網(wǎng)絡(luò)與信息安全監(jiān)控內(nèi)容.doc

附件網(wǎng)絡(luò)與信息安全監(jiān)控內(nèi)容本文用于指導(dǎo)監(jiān)控人員進(jìn)行稅務(wù)專網(wǎng)信息安全監(jiān)控、日志整理和分析、監(jiān)控報告撰寫工作。一、監(jiān)控對象根據(jù)網(wǎng)絡(luò)具體結(jié)構(gòu)，確定日常監(jiān)控工作所包括的對象，包括主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，其中網(wǎng)絡(luò)中的邊界防火墻、入侵檢測系統(tǒng)（IDS）、網(wǎng)絡(luò)核心交換機(jī)和路由器、防病毒系統(tǒng)等必需納入監(jiān)控工作。二、監(jiān)控工作內(nèi)容1防火墻監(jiān)控內(nèi)容：查看防火墻日志，對防火墻的流量和入侵事件要每日記錄并分析，對超常流量和入侵事件要及時通報和響應(yīng)；2入侵檢測監(jiān)控內(nèi)容：對IDS報警日志要重點(diǎn)監(jiān)控，高級安全事件要追溯其源地址和目的地址，并分析其危害性；3防病毒系統(tǒng)：每日要做病毒數(shù)量統(tǒng)計和趨勢分析，對新增病毒和高危害型病毒要及時通報，避免其迅速擴(kuò)散和加大危害性。4核心交換機(jī)和路由器：對于網(wǎng)絡(luò)核心交換機(jī)和路由器，開啟日志記錄功能，并定時對日志進(jìn)行分析，對報警信息要與相關(guān)維護(hù)人員溝通并解決。5其它監(jiān)控設(shè)備可參考以上監(jiān)控重點(diǎn)。三、監(jiān)控方法(一)防火墻監(jiān)控防火墻的監(jiān)控采用后臺管理系統(tǒng)中提供的統(tǒng)計分析工具，對防火墻的流量、安全事件、入侵報警等信息進(jìn)行日統(tǒng)計，并對比前一日和周平均值，填寫監(jiān)控日報。監(jiān)控內(nèi)容包括：l 網(wǎng)絡(luò)流量是否異常l 入侵事件類型及是否有增長趨勢l 網(wǎng)絡(luò)協(xié)議是否有明顯變化l 防火墻運(yùn)行狀況(二)入侵檢測系統(tǒng)監(jiān)控監(jiān)控人員定時查看報警事件，根據(jù)入侵檢測系統(tǒng)報警的安全事件級別，對高級安全事件依據(jù)處理流程實(shí)時響應(yīng)和處理，采取行動阻止可能發(fā)生的破壞行為。對發(fā)現(xiàn)的中、低級安全事件則要重點(diǎn)監(jiān)視和跟蹤。入侵檢測系統(tǒng)要進(jìn)行日統(tǒng)計，并對比前一日和周平均值，填寫監(jiān)控報表。監(jiān)控內(nèi)容包括：l 日報警事件總量l 安全事件的級別、類型的統(tǒng)計和分布l 對入侵事件分析，并采取應(yīng)對手段(三)網(wǎng)絡(luò)設(shè)備監(jiān)控網(wǎng)絡(luò)設(shè)備監(jiān)控要求啟用SNMP網(wǎng)管協(xié)議，使用網(wǎng)絡(luò)性能監(jiān)控器實(shí)時查看一次日志警告信息，并檢查網(wǎng)絡(luò)設(shè)備硬件健康狀況，填寫監(jiān)控報表。監(jiān)控工作可以使用SolarWinds Engineers Edition、Orion Network Performance Monitor等網(wǎng)絡(luò)性能監(jiān)控工具實(shí)現(xiàn)。具體內(nèi)容包括：l 網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存、端口運(yùn)行情況l 檢查分析網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的流量和性能l 定時分析日志報警信息監(jiān)控對象：內(nèi)網(wǎng)核心交換機(jī)、內(nèi)網(wǎng)核心路由器l 監(jiān)控方法：l 可采用以下任意一種監(jiān)控方法:l 方法1：l 通過控制臺或遠(yuǎn)程訪問登錄到交換機(jī)/路由器上，進(jìn)入“enable”模式，在命令行提示符下輸入如下命令：l #show process cpu l 記錄以下紅色字符顯示的CPU利用率，填入附錄表中：l CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%l #show memory l 記錄顯示的內(nèi)存使用情況，填入附錄表中Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)Processor # # # # # #方法2：通過集中監(jiān)控平臺，實(shí)時查看和記錄交換機(jī)/路由器的CPU和內(nèi)容使用情況，并填入附錄表中。未建立集中監(jiān)控平臺的，可通過SolarWinds Engineers Edition或Orion Network Performance Monitor搭建臨時網(wǎng)絡(luò)設(shè)備監(jiān)控平臺，記錄設(shè)備性能走勢圖。SolarWinds Engineers Edition或Orion Network Performance Monitor系統(tǒng)可使用“Network Performance Monitor”功能，新建設(shè)備管理地址和SNMP字符串，將網(wǎng)絡(luò)設(shè)備添加入監(jiān)控菜單。點(diǎn)擊被監(jiān)控設(shè)備，在展開的結(jié)構(gòu)中選取“cpu load and memory use”，依次打開不同的監(jiān)控窗口，實(shí)時監(jiān)控各端口和網(wǎng)絡(luò)運(yùn)行情況。其中，Orion Network Performance Monitor可通過WEB頁面監(jiān)控，并生成監(jiān)控報表。(四)防病毒系統(tǒng)監(jiān)控監(jiān)控人員須注意每日監(jiān)測防病毒系統(tǒng)運(yùn)行狀況和病毒高發(fā)狀況，在病毒高發(fā)危機(jī)前，須及時發(fā)出病毒防范安全警告，并調(diào)整防病毒系統(tǒng)策略，配合相關(guān)部門做好病毒預(yù)防措施。監(jiān)控人員根據(jù)每日病毒服務(wù)器運(yùn)行狀況形成日、周統(tǒng)計報表，內(nèi)容包括：l 日病毒總量，并統(tǒng)計出排名前10的病毒類型、數(shù)量和地區(qū)l 每日病毒類型和數(shù)量要進(jìn)行比較，預(yù)測病毒發(fā)展趨勢l 對發(fā)現(xiàn)的高危病毒要進(jìn)行說明，并采用有效防范措施四、趨勢分析在完成日監(jiān)控內(nèi)容后，將根據(jù)當(dāng)日監(jiān)控情況和前幾日安全事件發(fā)生的狀況，分析網(wǎng)絡(luò)系統(tǒng)目前的安全狀態(tài)，預(yù)測安全事件的發(fā)展趨勢，對監(jiān)控時間段內(nèi)的總體安全情況進(jìn)行評價、分析和小結(jié)。五、監(jiān)控報表2009年“兩會”期間，監(jiān)控人員每日監(jiān)控本地區(qū)的網(wǎng)絡(luò)和信息系統(tǒng)安全情況，如實(shí)填寫監(jiān)控報表，并每日定時上報。上報具體要求如下：（一）特殊時期每日上報1操作方法（1）訪問并登錄 “稅務(wù)系統(tǒng)信息安全保障支持平臺”（內(nèi)網(wǎng)41）；（2）點(diǎn)擊首頁導(dǎo)航欄的“兩會保障專題”，進(jìn)入該模塊；（3）點(diǎn)擊“兩會保障專題”中的“特殊時期每日上報”，進(jìn)入該子欄目，點(diǎn)擊“新增”；（4）填寫“上報人”、“聯(lián)系方式”，并選擇是否平安，然后點(diǎn)擊“保存”。2注意事項用戶填報完成并保存后，將不可修改。填報信息如有誤，請與總局信息中心安全處聯(lián)絡(luò)。（二）監(jiān)控事件每日上報1操作方法（1）訪問并登錄 “稅務(wù)系統(tǒng)信息安全保障支持平臺”（內(nèi)網(wǎng)41）；（2）點(diǎn)擊首頁導(dǎo)航欄的“兩會保障專題”，進(jìn)入該模塊；（3）點(diǎn)擊“兩會保障專題”中的“監(jiān)控事件每日上報”，進(jìn)入該子欄目，點(diǎn)擊“新增”，可以進(jìn)入上報頁面；（4）每個頁面可以填寫一個設(shè)備情況，當(dāng)前表單填寫完畢并確認(rèn)無誤后，點(diǎn)擊頁面右下角的“保存并填報其他表單”，則當(dāng)前表單保存，并進(jìn)入下一表單，直至全部表單填寫完畢。如果沒有當(dāng)前設(shè)備，請點(diǎn)擊頁面左下角的“跳過”進(jìn)入下一張表單。2注意事項（1）“監(jiān)控事件每日上報”包括多個表單，每個表單均可單獨(dú)保存；（2）每個表單一經(jīng)填報并保存，將不