入侵防护系统架构与设备配置技术规范

1  范围

本标准确立了入侵防护系统的架构，规定了入侵防护系统的部署标准与配置技术要求。

本标准适用于集团IPS部署、管理和维护。

2  规范性引用文件

下列文件中的条款通过本规范的引用而成为本规范的条款,凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

Q/SY 161 002-2009        集团信息系统术语规范

3  集团总部IPS部署架构

3.1  部署标准 

集团总部IPS系统部署标准如表1。

表1 集团总部IPS系统部署标准

部署架构参考模型见图1。

图1  集团总部IPS部署架构图

互联网接入区的IPS采用串联模式接入网络，部署在防火墙前面。其余入侵防护系统部署在核心交换机和防火墙之间。

4  子公司IPS部署架构

4.1  部署标准 

子公司IPS系统部署标准如表2。

表2  子公司IPS系统部署标准

子公司IPS部署架构见图2。

图2   子公司IPS部署架构图

5  设备配置技术规范

5.1  策略配置程序

a) 配置安全策略前必须制定访问控制策略文档，策略文档必须详细解释每一条规则的

配置依据。 

b)设备首次接入网络后，必须在监视模式下运行一周。只检测，以发现网络安全现状，分析IPS监视模式下记录的日志，判断事件报警是否和实际环境相吻合，并根据分析结果调整策略；

c)监测期过后，将设置IPS工作在IPS模式，观察网络运行是否出现异常，如出现异常，则重复第2步直至不再出现异常，策略配置完成；

d)每次调整策略后，首先让设备工作在IPS监视下运行3天，确认是否会产生误报；

e)确认不会产生误报后，设置IPS工作在IPS模式。如果网络运行出现异常，要立刻设置IPS工作在Forward模式，并导入此前运行正常的策略，以保障应用系统的正常运转。

5.2  策略配置原则

a) 所有IPS使用“业务决定配置策略”的原则。

b)策略实现规则应尽量简单，明确。

c)较特殊的规则在前，较普通的规则在后。

5.3  事件处理要求

a) 管理员必须每天打开事件报表，关注发生频率比较高和风险级别高的两类事件，重

点观察DOS/DDOS、缓冲区溢出、扫描、木马后门、病毒\蠕虫、WEB攻击这几类

事件；

b)根据事件日志中的相关地址信息，确认目标服务器是否会受到该攻击的影响，如果不会受到影响，可以对该事件进行忽略处理，以减少虚警的数量；

c)如果目标服务器可能会受到影响，则结合实际环境确认报警事件对应的操作是否正常的应用，如果是正常的应用，设置响应方式为“通过”；如果不是正常的应用，则设置响应方式为“阻断”。

5.4  设备日常管理与维护

a) 确保管理控制台24小时运行，以便可以随时查看攻击事件；

b)设置不同权限的管理员，分权限管理；

c)必须将特征库及软件版本更新到厂商公开发布的最新版本。

d)入侵防护系统用户口令管理必须符合《用户密码、口令和权限管理制度》要求。

e)入侵防护系统日志管理按《日志安全管理制度》执行。

f)入侵防护系统配置变更按《变更管理制度》执行。