【正文】 入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。最近出現(xiàn)的一種ID：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺。網(wǎng)絡(luò)型入侵檢測。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)于混雜模式(PromiseMode)，對所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行信息收集，并進行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務(wù)。對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標志(CSignatureBased)，另一種基于異常情況(AbnormallyBased)第一條 信息系統(tǒng)常見技術(shù)安全漏洞與技術(shù)安全隱患 一、 權(quán)限攻擊攻擊者無須一個賬號登錄到本地直接獲得遠程系統(tǒng)的管理員權(quán)限，通常通過攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來完成。漏洞的絕大部分來源于緩沖區(qū)溢出，少部分來自守護進程本身的邏輯缺陷。 二、 讀取受限文件攻擊者通過利用某些漏洞，讀取系統(tǒng)中他應(yīng)該沒有權(quán)限的文件，這些文件通常是安全相關(guān)的。這些漏洞的存在可能是文件設(shè)置權(quán)限不正確，或者是特權(quán)進程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中. 三、 拒絕服務(wù)攻擊者利用這類漏洞，無須登錄即可對系統(tǒng)發(fā)起拒絕服務(wù)攻擊，使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。這類漏洞通常是系統(tǒng)本身或其守護進程有缺陷或設(shè)置不正確造成的。 四、 口令恢復因為采用了很弱的口令加密方式，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。 五、 服務(wù)器信息泄露利用這類漏洞，攻擊者可以收集到對于進一步攻擊系統(tǒng)有用的信息。這類漏洞的產(chǎn)生主要是因為系統(tǒng)程序有缺陷，一般是對錯誤的不正確處理。漏洞的存在是個客觀事實，但漏洞只能以一定的方式被利用，每個漏洞都要求攻擊處于網(wǎng)絡(luò)空間一個特定的位置，因此按攻擊的位置劃分，可能的攻擊方式分為物理接觸、主機模式、客戶機模式、中間人方式等四種。 第四章 信息系統(tǒng)應(yīng)急預案第一條 日常準備工作一、 軟資源備用：對重要信息資源需要有足夠備份，并將備份存放于攻擊和災害不能及的地方。二、 設(shè)備備用：在工作現(xiàn)場有主板、硬盤、光驅(qū)、網(wǎng)線等備件，以及備用的外部設(shè)備。三、 電源備用：配置不間斷UPS電源。不間斷電源可在斷電后維持工作3小時以上。四、 重要或大型系統(tǒng)中的關(guān)鍵設(shè)備和信息安全產(chǎn)品采用雙機熱備份。第二條 應(yīng)急處理流程一、 信息系統(tǒng)管理人員在監(jiān)控過程中發(fā)現(xiàn)或收到其他部門反饋不能正常使用辦公或業(yè)務(wù)應(yīng)用系統(tǒng)等故障事件，信息系統(tǒng)安全技術(shù)人員應(yīng)立即行動，初步查明原因(電力、服務(wù)器、存儲、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)軟件等)，并向部門相關(guān)領(lǐng)導匯報。二、 部門領(lǐng)導在聽取情況匯報后，根據(jù)事件的范圍、影響和緊急程度啟動相應(yīng)的專題預案。如果沒有相應(yīng)的專題預案，要根據(jù)情況迅速采取措施抑制事件的擴散，恢復系統(tǒng)運行。三、 信息系統(tǒng)管理人員盡快通過電話、短信平臺、公司網(wǎng)站等方式向各部門、各煤礦下發(fā)《應(yīng)用系統(tǒng)暫停通知》或公告。各部門、各煤礦要做好信息系統(tǒng)出現(xiàn)故障后的應(yīng)急安排，盡力減小對公司正常業(yè)務(wù)的影響。四、 信息系統(tǒng)管理人員進一步落實故障原因，根據(jù)事件的范圍、影響程度，采取應(yīng)急措施，盡快恢復系統(tǒng)運行。五、 信息系統(tǒng)管理人員在對系統(tǒng)完成修復后，在完成測試的基礎(chǔ)上，經(jīng)請示相關(guān)領(lǐng)導進行系統(tǒng)的啟用，同時通過公司網(wǎng)站、電話等向各部門、各煤礦發(fā)布系統(tǒng)恢復公告。第三條 全局事件處理一、 總公司核心信息系統(tǒng)的外部電力中斷、UPS故障等導致的大面積停電事件處理流程：二、 網(wǎng)絡(luò)線路或網(wǎng)絡(luò)設(shè)備故障導致的內(nèi)外網(wǎng)中斷故障處理流程：三、 服務(wù)器或其他機房設(shè)備發(fā)生的軟硬件故障處理流程：1. 信息管理科人員立即到達事故現(xiàn)場，觀察故障現(xiàn)象(操作系統(tǒng)情況、日志信息、硬件報警信息等)，如果問題簡單，則嘗試恢復(對單機系統(tǒng)，嘗試使用備用設(shè)備恢復)。2. 如果不能自行恢復，則進行電話報修，向廠家對故障情況等信息進行描述，請求廠家現(xiàn)場技術(shù)支持。3. 確定向廠家報修的受理回復，以及廠家工程師和故障備件到場時間。4. 信息管理科有關(guān)人員做好相關(guān)系統(tǒng)和數(shù)據(jù)備份及安全關(guān)機準備。5. 如果設(shè)備故障不能及時修復，應(yīng)向各級相關(guān)領(lǐng)導匯報，并采取相應(yīng)措施。第八章 信息系統(tǒng)安全教育培訓第一條 培訓方式一 公眾信息交流信息系統(tǒng)應(yīng)急工作領(lǐng)導小組在應(yīng)急預案修訂、演練的前后，應(yīng)利用各種新聞媒介開展宣傳；不定期地利用各種安全活動向社會大眾宣傳信息安全應(yīng)急法律、法規(guī)和預防、應(yīng)急的常識。二 人員培訓為確保信息安全應(yīng)急預案有效運行，定期或不定期舉辦不同層次、不同類型的培訓班或研討會，以便不同崗位的應(yīng)急人員都能全面熟悉并掌握信息安全應(yīng)急處理的知識和技能。三 應(yīng)急演習為提高信息安全突發(fā)事件應(yīng)急響應(yīng)水平，定期或不定期組織預案演練；檢驗應(yīng)急預案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否符合快速、高效的要求。通過演習，進一步明確應(yīng)急響應(yīng)各崗位責任，對預案中存在的問題和不足及時補充、完善。第二條 培訓內(nèi)容舉例一 防病毒及木馬知識 1. 安裝正版殺毒軟件，并及時升級，定期掃描病毒。可以是免費的如金山毒霸、瑞星、360殺毒等，也可以是收費的如諾頓、卡巴斯基、NOD32等；2. 不運行來歷不明的軟件；3. 下載軟件時只從大網(wǎng)站上下載，如華軍軟件園、天空軟件站、多特軟件站等；4. 不瀏覽黑客內(nèi)容的網(wǎng)站，防止你沒黑別人，別人先黑了你；5. 網(wǎng)址記不清時可以從搜索引摯搜索得到，查找信息時建議用百度搜索引摯（因為它對惡意網(wǎng)站有一定的判斷分析）；6. 建議顯示出文件后綴名，以識別別人給你發(fā)過來的文件的真正類型。二 設(shè)置Windows自動更新 1. 開始→控制面板→安全中心→自動更新→選擇自動→時間→確定即可2. 用360安全衛(wèi)士修復系統(tǒng)漏洞 3. 打開360安全衛(wèi)士，選擇“修復系統(tǒng)漏洞”選項卡，再點擊“查看并修復漏洞”按鈕，360度安全衛(wèi)士將跳轉(zhuǎn)到“待修復系統(tǒng)漏洞”界面，點選“查看并修復漏洞”轉(zhuǎn)到漏洞修復頁面，自動檢測并顯示出系統(tǒng)存在的漏洞，在“全選”前打勾，點擊下邊的“修復選中漏洞”按鈕，即可修復系統(tǒng)漏洞。三 開始→運行，輸入　CMD　，點確定，在DOS窗口中輸入U盤所占盤符加冒號并回車，MD .　回車，CD .　回車，MD A..\　回車，關(guān)閉DOS窗口即可。四 正確刪除U盤的步驟關(guān)閉正在運行的U盤中的程序和窗口，雙擊任務(wù)欄里的移動設(shè)備圖標，在出現(xiàn)的“安全刪除硬件”對話框中點“停止”按鈕，然后再點“確定”按鈕，任務(wù)欄出現(xiàn)“安全地移除硬件”提示后就可拔下U盤。 22 陽泉公司信息系統(tǒng)管理規(guī)章制度統(tǒng)計表規(guī)章 制度各單位 機房管理制度設(shè)備管理制度病毒防治管理制度數(shù)據(jù)備份與恢復制度應(yīng)急響應(yīng)制度設(shè)備軟件和業(yè)務(wù)數(shù)據(jù)的安全管理安全隱患和安全威脅防范措施系統(tǒng)日志和安全日志備注陽泉公司信息系統(tǒng)安全技術(shù)統(tǒng)計表防范各 技術(shù)單位主機安全防護系統(tǒng)非法接入屏蔽系統(tǒng)數(shù)據(jù)差錯預警系統(tǒng)容災備份系統(tǒng)CA認證系統(tǒng)防火墻防水墻防毒墻入侵檢測應(yīng)急預案安全教育培訓備注