NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

系统监控包括外部监控和内部监控。外部监控包括对系统外部接口发生的事件进行观察。内部监控包括对系统内部发生的事件进行观察。组织通过实时观察审计活动或观察系统的其他方面，如访问模式、访问特征及其他操作来监控系统。监控目标指导并决定事件的判定。系统监控功能是通过多种工具和技术实现的，包括入侵检测与防护系统、恶意代码防护软件、扫描工具、审计记录监控软件以及网络监控软件。根据安全架构的不同，监控设备的分布和配置可能会影响关键内部和外部边界以及网络其他位置的吞吐量，因为会引入网络吞吐延迟。如果需要进行吞吐量管理，这些设备会作为既定的全组织安全架构的一部分进行战略性部署和配置。监控设备的战略位置包括选定的周界位置以及支持关键应用的关键服务器和服务器群附近。监控设备通常部署在与控制措施 SC-7 和 AC-17 相关的管理接口上。收集的信息取决于组织的监控目标以及系统支持这些目标的能力。感兴趣的特定类型交易包括绕过 HTTP 代理的超文本传输协议（HTTP）流量。系统监控是组织持续监控和事件响应计划的一个组成部分，系统监控的输出作为这些计划的输入。系统监控要求，包括对特定类型系统监控的需求，可能在其他控制措施中被引用（例如，AC-2g、AC-2(7)、AC-2(12)(a)、AC-17(1)、AU-13、AU-13(1)、AU-13(2)、CM-3f、CM-6d、MA-3a、MA-4a、SC-5(3)(b)、SC-7a、SC-7(24)(b)、SC-18b、SC-43b）。系统监控级别的调整基于执法信息、情报信息或其他信息来源。系统监控活动的合法性基于适用的法律、行政命令、指令、规章、政策、标准和指导方针。