-1 - 附件 网络与信息安全监控内容 本文用于指导监控人员进行税务专网信息安全监控、日志整理和分析、监控报告撰写工作。 一、监控对象 根据网络具体结构,确定日常监控工作所包括的对象,包括主要网络设备、安全设备等,其中网络中的边界防火墙、入侵检测系统(IDS)、网络核心交换机和路由器、防病毒系统等必需纳入监控工作。 二、监控工作内容 1.防火墙监控内容:查看防火墙日志,对防火墙的流量和入侵事件要每日记录并分析,对超常流量和入侵事件要及时通报和响应; 2.入侵检测监控内容:对IDS报警日志要重点监控,高级安全事件要追溯其源地址和目的地址,并分析其危害性; 3.防病毒系统:每日要做病毒数量统计和趋势分析,对新增病毒和高危害型病毒要及时通报,避免其迅速扩散和加大危害性。 -2 - 4.核心交换机和路由器:对于网络核心交换机和路由器,开启日志记录功能,并定时对日志进行分析,对报警信息要与相关维护人员沟通并解决。 5.其它监控设备可参考以上监控重点。 三、监控方法 (一)防火墙监控 防火墙的监控采用后台管理系统中提供的统计分析工具,对防火墙的流量、安全事件、入侵报警等信息进行日统计,并对比前一日和周平均值,填写监控日报。 监控内容包括: 网络流量是否异常 入侵事件类型及是否有增长趋势 网络协议是否有明显变化 防火墙运行状况 (二)入侵检测系统监控 监控人员定时查看报警事件,根据入侵检测系统报警的安全事件级别,对高级安全事件依据处理流程实时响应和处理,采取行动阻止可能发生的破坏行为。对发现的中、低级安全事件则要重点监视和跟踪。入侵检测系统要进行日统计,并对比前一日和周平均值,填写监控报表。监控内容包括: 日报警事件总量 -3 - 安全事件的级别、类型的统计和分布 对入侵事件分析,并采取应对手段 (三)网络设备监控 网络设备监控要求启用SNMP网管协议,使用网络性能监控器实时查看一次日志警告信息,并检查网络设备硬件健康状况,填写监控报表。监控工作可以使用SolarWinds Engineers Edition、Orion Network Performance Monitor等网络性能监控工具实现。具体内容包括: 网络设备的CPU、内存、端口运行情况 检查分析网络系统数据的流量和性能 定时分析日志报警信息 监控对象: 内网核心交换机、内网核心路由器 监控方法: 可采用以下任意一种监控方法: 方法1: 通过...
