A.6 IDPS的管理

A.6.1 簡介

IDPS的有效管理有助于組織有效和高效的部署網絡基礎設施。為使IDPS有效運行， 需注意A.6.2中IDPS管理的各個方面。

A.6.2 配置管理

A.6.2.1 總則

配置管理用以控制、識別、收集來自IDPS各組成部分的數據并向IDPS提供數據。未達到入侵檢測和防御的目的，其主要包括檢測功能的配置管理和響應功能的配置管理。

A.6.2.2 檢測功能

檢測功能的配置管理包括為事態和事態序列違反安全策略設置標準、描述誤用模式和正常用戶行為。

A.6.2.3 響應功能

響應功能的配置管理主要是安全報警時系統采取的措施，包括控制各種響應機制(如聲音報警、管理員和安全人員通知以及會話終止) 。為防止IDPS未授權的響應和對虛假入侵的響應(可能會產生比未安裝IDPS更大的損害， 主要取決于已配置的響應) ， 避免造成較大損失， 需采取相關措施保護IDPS。響應管理需與組織的事件管理方案相一致。

A.6.2.4 安全服務管理

安全服務管理主要是管理IDPS的安全服務， 包含控制用戶證書、機密性、完整性和訪問控制服務。主要根據用戶證書來設定用戶對IDPS的訪問(包括對配置參數、審計日志以及與安全事態相關信息的訪問)權限。

A.6.2.5 與其他管理系統的集成

IDPS管理不可孤立的去進行， 需要融入到組織的IT環境中， 與其他管理如網絡管理、系統管理和安全管理結合起來使用[如通過與網絡管理、系統管理和(或)安全管理系統的安全接口，或與其他管理系統集成成為管理系統不可或缺的一部分]。此時，需實施部分檢測功能(如訪問日志)和部分響應功能，以便更好的與其他管理相結合。

A.6.2.6 管理操作的安全

A.6.2.6.1 總則

為防止入侵者訪問IDPS的信息或控制IDPS的資源， 需要保護IDPS管理操作的安全， 主要包括管理服務的鑒別、完整性、機密性和可用性。

需要根據所要求的高安全級別安全策略(與其他管理系統所要求的安全策略相比較) 對擁有IDPS管理特權的系統進行配置。同時需注意H IDPS的管理特權漏洞：

– HIDPS傳感器擁有的主機操作系統特權漏洞， 可產生更為嚴重的安全漏洞并損害運行IDPS代理的主機；

– HIDPS的管理特權安全漏洞(易被忽略) ， 在監視主機上執行攻擊響應選項。

需保持對事態檢測器和傳感器的持續監視，以確保事態檢測器和傳感器的正確操作和運行(事態檢測器將來自傳感器的信息發送到檢測分析部分)，不會導致誤報(如錯誤的安全感應)或漏報(如傳感器失效，中央系統未發現此故障故中央系統將不會向中央管理員發送報警)等情況的發生。

A.6.2.6.2 鑒別

在進行管理操作之前，需對管理實體(可能是用戶或系統實體)進行識別和鑒別。

A.6.2.6.3 完整性

需保護管理操作以避免完整性攻擊。不可以未授權方式插入、刪除或更改管理操作。

A.6.2.6.4 機密性

需保護管理操作以避免機密性攻擊。不可以未授權方式推測管理操作的意圖。

A.6.2.6.5 可用性

管理服務的可用性不可受相關攻擊(針對網絡基礎設施、IDPS或監視目標) 的影響。例如， 當發生拒絕服務攻擊時， 即使IDPS發生故障， 也可對IDPS進行管理。IDPS及其管理需納入業務連續性管理。

A.6.3 管理模型

在包含大量IDPS部件的分布式環境中， IDPS部件的有效控制和管理對實現入侵檢測和防御的至關重要。圖A.3提供了一個實現分層管理模型的示例，該模型主要適用于具有較大規模網絡的組織。此模型主要缺點在于集中控制會導致單點失效(某些環境中可能無法接受)。同時，其也向攻擊者提供了一個單一的攻擊點， 使得攻擊者可延遲IDPS對攻擊的檢測， 并阻止IDPS響應。

在分層模型中除了使用一對多，還可使用如下管理關系集合：

– 多對多：多個管理控制臺能管理多個分布式代理；

– 一對一：一個管理控制臺能管理一個代理。