入侵检测

一般

入侵检测在实现和执行组织安全策略方面起着重要作用. 随着信息资源日益复杂，有效的安全系统必须不断发展. 随着使用分布式系统引入的漏洞点数量的激增, 需要某种类型的保证系统和网络是安全的. 入侵检测系统可以提供部分保证. 入侵检测在保护信息资源方面提供了两个重要功能:

1. 反馈是针对安全系统其他组成部分的有效性的信息. 如果有一个强大而有效的入侵检测系统, 缺乏检测到的入侵表明，其他防御措施正在发挥作用.

2. 触发器是一种机制，它决定何时激活针对入侵事件的计划响应.

适用性

本程序适用于大学的信息资源，存储, 过程, 或传输关键任务和/或机密信息. 本程序的目的是提供一套措施，以减轻与入侵检测有关的信息安全风险. 本标准管理程序的目标读者包括, 但不限于, 所有信息资源管理人员, 主人, 系统管理员.

程序

1. 操作系统, 用户会计, 在资源允许的情况下，应在所有主机和服务器系统上启用应用软件审计日志记录过程.

2. 应启用任何防火墙和其他网络边界访问控制系统的警报和警报功能以及审计日志记录.

3. 当风险管理决策需要时，应监视/审查网络外围访问控制系统的审计日志.

4. 内部受保护网络上服务器和主机的审计日志应每月审核一次.

a. 基于主机的入侵工具将在常规计划中进行测试.

b. 应审查报告是否有侵入性活动的迹象.

5. 所有可疑和/或确认的成功入侵事件应根据大学信息安全标准管理程序立即报告, 事件管理.

相关法规、政策和要求

大学信息安全标准管理程序，事件管理

历史

最后更新2014年3月31日