主要包括:
(1)在检测到入侵事件时,自动执行切断服务、记录入侵过程、邮件报警等动作。
(2)支持攻击特征信息的集中式发布和攻击取证信息的分布式上载。
(3)提供多种方式对监视引擎和检测特征的定期更新服务。
(4)内置网络使用状况监控工具和网络监听工具。
主要包括:
(1)定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描,及时发现系统的安全漏洞、报警并提出补救建议。
(2)支持与入侵监测系统的联动。
(3)检测规则应与相应的国际标准漏洞相对应,包括CVE, BugTrap, WhiteHats等国际标准漏洞库。
(4)支持灵活的事件和规则自定义功能,允许用户修改和添加自定义检测事件和规
则,支持事件查询。
(5)支持快速检索事件和规则信息的功能,方便用户通过事件名、详细信息、检测
规则等关键字对事件进行快速查询。
(6)可以按照风险级别进行事件分级。
(7)控制台应能提供事件分析和事后处理功能,应具有对报警事件的源地址进行地址解析,分析主机名,分析攻击来源的功能。
(8)传感器应提供TCP连接的检测报警能力。
(9)提供安全事件统计概要报表,并按照风险等级进行归类。
(10)通过数据库管理工具统计数据库建立时间以及当前记录数目。
(11)支持对Teardrop, s.cgi缓冲区溢出攻击的检测。
各省软考办 | ||||||||||