保护受控未分类信息 Rev 3

系统监控包括外部监控和内部监控。内部监控包括对系统内部发生的事件进行观察。外部监控包括对系统边界发生的事件进行观察。组织可以通过实时观察审计记录活动或观察系统的其他方面（如访问模式、访问特征和其他操作）来监控系统。监控目标可以指导事件的确定。系统监控能力是通过各种工具和技术实现的（例如）。审计记录监控软件、入侵检测系统、入侵防御系统、恶意代码防护软件、扫描工具、网络监控软件）。用于部署监控设备的战略位置包括选定的边界位置以及支持关键应用程序的服务器群附近，并在受管系统接口处使用此类设备。收集信息的监控粒度取决于组织的监控目标以及系统支持这些目标的能力。系统连接可以是网络的、远程的或本地的。网络连接是指与通过网络（例如局域网、互联网）通信的设备的任何连接。远程连接是指通过外部网络（例如互联网）与设备进行通信的任何连接。网络连接、远程连接和本地连接都可以是有线的或无线的。与入站和出站通信流量相关的不寻常或未授权的活动或情况包括：表明系统中存在恶意代码的内部流量，或在系统组件之间传播的恶意代码、未经授权的信息导出，或向外部系统发信号。恶意代码的证据可用于识别可能被入侵的系统。系统监控要求，包括对系统监控类型的需求，可能在其他要求中被引用。