本文用于指导监控人员进行税务专网信息安全监控、日志整理和分析、监控报告撰写工作。

一、监控对象

根据网络具体结构，确定日常监控工作所包括的对象，包括主要网络设备、安全设备等，其中网络中的边界防火墙、***检测系统（IDS）、网络核心交换机和路由器、防病毒系统等必需纳入监控工作。

二、监控工作内容

1．防火墙监控内容：查看防火墙日志，对防火墙的流量和***事件要每日记录并分析，对超常流量和***事件要及时通报和响应；

2．***检测监控内容：对IDS报警日志要重点监控，高级安全事件要追溯其源地址和目的地址，并分析其危害性；

3．防病毒系统：每日要做病毒数量统计和趋势分析，对新增病毒和高危害型病毒要及时通报，避免其迅速扩散和加大危害性。

4．核心交换机和路由器：对于网络核心交换机和路由器，开启日志记录功能，并定时对日志进行分析，对报警信息要与相关维护人员沟通并解决。

5．其它监控设备可参考以上监控重点。

三、监控方法

(一)防火墙监控

防火墙的监控采用后台管理系统中提供的统计分析工具，对防火墙的流量、安全事件、***报警等信息进行日统计，并对比前一日和周平均值，填写监控日报。

监控内容包括：

l  网络流量是否异常

l  ***事件类型及是否有增长趋势

l  网络协议是否有明显变化

l  防火墙运行状况

(二)***检测系统监控

监控人员定时查看报警事件，根据***检测系统报警的安全事件级别，对高级安全事件依据处理流程实时响应和处理，采取行动阻止可能发生的破坏行为。对发现的中、低级安全事件则要重点监视和跟踪。***检测系统要进行日统计，并对比前一日和周平均值，填写监控报表。监控内容包括：

l  日报警事件总量

l  安全事件的级别、类型的统计和分布

l  对***事件分析，并采取应对手段

(三)网络设备监控

网络设备监控要求启用SNMP网管协议，使用网络性能监控器实时查看一次日志警告信息，并检查网络设备硬件健康状况，填写监控报表。监控工作可以使用SolarWinds Engineers Edition、Orion NetworkPerformance Monitor等网络性能监控工具实现。具体内容包括：

l  网络设备的CPU、内存、端口运行情况

l  检查分析网络系统数据的流量和性能

l  定时分析日志报警信息

监控对象：

内网核心交换机、内网核心路由器

l  监控方法：

l  可采用以下任意一种监控方法:

l  方法1：

l  通过控制台或远程访问登录到交换机/路由器上，进入“enable”模式，在命令行提示符下输入如下命令：

l  #showprocess cpu

l  记录以下红色字符显示的CPU利用率，填入附录表中：

l  CPUutilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%

l  #showmemory

l  记录显示的内存使用情况，填入附录表中

方法2：

通过集中监控平台，实时查看和记录交换机/路由器的CPU和内容使用情况，并填入附录表中。未建立集中监控平台的，可通过SolarWinds Engineers Edition或Orion NetworkPerformance Monitor搭建临时网络设备监控平台，记录设备性能走势图。

SolarWinds Engineers Edition或Orion Network Performance Monitor系统可使用“NetworkPerformance Monitor”功能，新建设备管理地址和SNMP字符串，将网络设备添加入监控菜单。点击被监控设备，在展开的结构中选取“cpu load and memory use”，依次打开不同的监控窗口，实时监控各端口和网络运行情况。其中，Orion Network Performance Monitor可通过WEB页面监控，并生成监控报表。

(四)防病毒系统监控

监控人员须注意每日监测防病毒系统运行状况和病毒高发状况，在病毒高发危机前，须及时发出病毒防范安全警告，并调整防病毒系统策略，配合相关部门做好病毒预防措施。监控人员根据每日病毒服务器运行状况形成日、周统计报表，内容包括：

l  日病毒总量，并统计出排名前10的病毒类型、数量和地区

l  每日病毒类型和数量要进行比较，预测病毒发展趋势

l  对发现的高危病毒要进行说明，并采用有效防范措施

四、趋势分析

在完成日监控内容后，将根据当日监控情况和前几日安全事件发生的状况，分析网络系统目前的安全状态，预测安全事件的发展趋势，对监控时间段内的总体安全情况进行评价、分析和小结。

五、监控报表

2009年“两会”期间，监控人员每日监控本地区的网络和信息系统安全情况，如实填写监控报表，并每日定时上报。上报具体要求如下：

（一）特殊时期每日上报

1．操作方法

（1）访问并登录 “税务系统信息安全保障支持平台”（内网http://130.9.1.141）；

（2）点击首页导航栏的“两会保障专题”，进入该模块；

（3）点击“两会保障专题”中的“特殊时期每日上报”，进入该子栏目，点击“新增”；

（4）填写“上报人”、“联系方式”，并选择是否平安，然后点击“保存”。

2．注意事项

用户填报完成并保存后，将不可修改。填报信息如有误，请与总局信息中心安全处联络。

（二）监控事件每日上报

1．操作方法

（1）访问并登录 “税务系统信息安全保障支持平台”（内网http://130.9.1.141）；

（2）点击首页导航栏的“两会保障专题”，进入该模块；

（3）点击“两会保障专题”中的“监控事件每日上报”，进入该子栏目，点击“新增”，可以进入上报页面；

（4）每个页面可以填写一个设备情况，当前表单填写完毕并确认无误后，点击页面右下角的“保存并填报其他表单”，则当前表单保存，并进入下一表单，直至全部表单填写完毕。如果没有当前设备，请点击页面左下角的“跳过”进入下一张表单。

2．注意事项

（1）“监控事件每日上报”包括多个表单，每个表单均可单独保存；

（2）每个表单一经填报并保存，将不可修改。填报信息如有误，请与总局信息中心安全处联络。

（3）如果想对上次填写过程中跳过的表单进行填写，请点击“两会保障专题”中的“监控事件每日上报”，点击“新增”按钮，跳转到相应设备的表单页面进行填报并保存