一、要求内容 

a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警； 

b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施； 

c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 

二、实施建议

通过部署IDS设备可以监视外来的入侵行为并记录，在此基础上增加SOC可以更好的对入侵和安全事件进行管理，采取短信、邮件等形式的实时告警。 做好应急措施，定期对重要程序的完整性进行检测；新装系统遵循最小安装的原则，做好安全加固，保证系统补丁及时更新。 

三、常见问题 

有的企业虽然采购了IDS设备但使用的是默认配置，没有进行适当的配置，有的甚至没有定期升级特征库；也有些企业系统安装仍然是默认安装，没有很好的安全加固要求；UNIX系统的补丁多数企业不会打。 

四、实施难点 

对于补丁更新前的测试比较难实现，一般公司都缺少测试的条件。 

五、测评方法 

形式 访谈，检查。 对象 系统管理员，服务器操作系统。 

实施 

a) 应访谈系统管理员，询问是否采取入侵防范措施，入侵防范内容是否包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行为检测、完整性检测等方面内容； 

b) 应访谈系统管理员，询问入侵防范产品的厂家、版本和安装部署情况；询问是否按要求（如定期或实时）进行产品升级； 

c) 应检查服务器系统，查看是否对主机账户（如系统管理员）进行控制，以限制对重要账户的添加和更改等； 

d) 应检查服务器系统，查看能否记录攻击者的源IP、攻击类型、攻击目标、攻击时间等，在发生严重入侵事件时是否提供报警（如声音、短信、EMAIL等），在其响应处置方式中是否包含有对某些入侵事件的阻断，并已配置使用； 

e) 应检查是否专门设置了升级服务器实现了对服务器的补丁升级； 

f) 应检查服务器是否已经及时更新了操作系统和数据库系统厂商新公布的补丁。 

六、参考资料 

在IATF 3.1中对入侵检测的实施有相关描述： 6．4．1 网络入侵检测 入侵检测系统（IDS）的目标是近实时地识别和（潜在地）阻止内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用。由于本节侧重于基于网络的监测，讨论将集中于使用网络信息的操作。在7.2 节（计算环境中的基于主机的检测和响应能力），可以看到通过基于主机信息来完成相近功能的相似结构和技术。 6．4．1．1 技术概述 6．4．1．2 使用方式的一般考虑 6．4．1．3 重要特性 6．4．1．4 特性选择的基本原理 6．4．1．5 对配置点的考虑 6．4．1．6 对系统运行的考虑