12.5　信息系統監測

12.5.1　一般要求

12.5.1.1　評估內容

詳見GB/T31168－2014中12.5.1的a）、b）、c）、d）、e）、f）和g）。

12.5.1.2　評估方法

12.5.1.2.1 對a）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否定義了監測目標，是否有針對監測目標發現攻擊行為的要求；

——檢查信息系統監測記錄，查看其是否包含了所定義的監測目標，是否有攻擊行為的相關描述。

12.5.1.2.2 對b）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否有非授權連接的檢測機制；

——測試非授權連接檢測機制，驗證其是否能夠檢測出非授權的本地、網絡和遠程連接。

12.5.1.2.3 對c）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否定義了發現對信息系統的非授權使用的技術和方法；

——測試云服務商定義的技術和方法，驗證其是否能夠發現對信息系統的非授權使用。

##### 12.5.1.2.4 對d）的評估方法為：

——檢查風險評估和持續監控策略與規程、系統設計說明書等相關文檔，查看其是有對入侵監測工具收集的信息進行保護的機制；

——測試信息保護機制，驗證其是否能夠防止對入侵監測工具收集的信息非授權訪問、修改或刪除。

12.5.1.2.5 對e）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否有當威脅環境發生變化、信息系統風險增加時，應提升信息系統監測級別的要求；

——檢查提升信息系統監測級別的記錄，查看其是否符合要求；

——訪談系統安全負責人等相關人員，詢問提升信息系統監測級別的條件。

##### 12.5.1.2.6 對f）的評估方法為：

——訪談系統安全負責人或維護人員等相關人員，詢問其是否收集和整理了隱私保護的相關政策法規；

——檢查信息系統監控活動記錄等相關文檔，查看是否符合關于隱私保護的相關政策法規的要求。

12.5.1.2.7 對g）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否定義了頻率、人員或角色、信息系統監控信息；

——檢查向定義的人員或角色提供監控信息的記錄文檔，查看其是否按需或按照定義的頻率向其提供所定義的信息系統監控信息；

——訪談所定義的人員或角色，詢問其接收信息系統監控信息的情況。

12.5.2　增強要求

12.5.2.1　評估內容

詳見GB/T31168－2014中12.5.2的a）、b）、c）、d）和e）。

12.5.2.2　評估方法

12.5.2.2.1 對a）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否有須使用自動工具對攻擊事件進行準實時分析的要求；

——檢查系統設計說明書等相關文檔，查看其是否規定了對攻擊事件進行準實時分析的自動工具；

——檢查自動工具進行準實時分析的記錄，查看其是否能夠對攻擊事件進行準實時分析；

——訪談維護人員等相關人員，詢問其使用自動工具對攻擊事件進行準實時分析的情況。

12.5.2.2.2 對 b）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否定義了監測進出通信的頻率；

——檢查監測記錄，查看是否按照定義的頻率實施監測。

12.5.2.2.3 對c）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否定義了信息系統應向其發出警報的人員或角色；

——訪談所定義的人員或角色，詢問其接收信息系統發出的警報情況；

——測試信息系統的告警機制，驗證其當下述跡象發生時，信息系統是否會發出警報：

1）受保護的信息系統文件或目錄在未得到正常通知的情況下被修改。

2）當發生異常資源消耗時。

3）審計功能被禁止或修改，導致審計可見性降低。

4）審計或日志記錄因不明原因被刪除或修改。

5）預期之外的用戶發起了資源或服務請求。

6）信息系統報告了管理員或關鍵服務賬號的登錄失敗或口令變更情況。

7）進程或服務的運行方式與系統的常規情況不符。  

8）在生產系統上保存或安裝與業務無關的程序、工具、腳本。

12.5.2.2.4 對 d）的評估方法為：

——檢查風險評估和持續監控策略與規程等相關文檔，查看其是否有防止非授權用戶繞過入侵檢測和入侵防御機制的安全措施；

——測試所實施的安全措施，驗證其是否能夠防止非授權用戶繞過入侵檢測和入侵防御機制。

12.5.2.2.5 對e）的評估方法為：

——檢查信息系統監視記錄，查看其是否對信息系統運行狀態進行監視；

——測試信息系統監視機制，驗證其是否能夠對資源的非法越界使用發出警報。