12.5 信息系統監測

12.5.1一般要求

云服務商應：

a）能夠針對[賦值：云服務商定義的監測目標]，發現攻擊行為。

b）能夠檢測出非授權的本地、網絡和遠程連接。

c）能夠通過[賦值：云服務商定義的技術和方法]，發現對信息系統的非授權使用。

d）能夠對入侵監測工具收集的信息進行保護，防止非授權訪問、修改或刪除。

e）當威脅環境發生變化、信息系統風險增加時，提升信息系統監測級別。

f）確保信息系統監控活動符合關于隱私保護的相關政策法規。

g）按照需要或[賦值：云服務商定義的頻率]，向[賦值：云服務商定義的人員或角色]提供[賦值：云服務商定義的信息系統監測信息]。

12.5.2增強要求

云服務商應：

a）使用自動工具對攻擊事件進行準實時分析。

b）信息系統應按照[賦值：云服務商定義的頻率]監測進出的通信，以發現異常或非授權的行為。

c）當下述跡象發生時，信息系統應向[賦值：云服務商定義的人員或角色]發出警報：

1）受保護的信息系統文件或目錄在未得到正常通知的情況下被修改。

2）當發生異常資源消耗時。

3）審計功能被禁止或修改，導致審計可見性降低。

4）審計或日志記錄因不明原因被刪除或修改。

5）預期之外的用戶發起了資源或服務請求。

6）信息系統報告了管理員或關鍵服務賬號的登錄失敗或口令變更情況。

7）進程或服務的運行方式與系統常規情況不符。

8）在生產系統上保存或安裝與業務無關的程序、工具、腳本。

d）防止非授權用戶繞過入侵檢測和入侵防御機制。

e）對信息系統運行狀態（包括CPU、內存、網絡）進行監視，并能夠對資源的非法越界使用發出警報。