网络安全监控2014月报表

网络安全监控月报表检查时间：2014年1月1日至31日部门：人力行政部检查人：董鹏举检查项操作提示/正常值结论情况摘要业务审计系统故障查看设备运行情况□正常□异常违规操作违规数据库操作□是□否违规业务操作□是□否违规运维操作□是□否入侵检测系统故障查看设备运行情况□正常□异常4号出现设备宕机日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调整跟踪异常行为□正常□异常入侵防御系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调制阻断尝试攻击□正常□异常一体化安全网关系统故障查看设备运行情况□正常□异常日志分析病毒告警次数及相关主机□正常□异常垃圾邮件过滤□正常□异常流量异常分析□正常□异常20号有异常突发流量并发数异常分析□正常□异常策略调整结合IDS/IPS报警阻断危险行为□正常□异常终端安全管理系统故障查看系统运行情况□正常□异常日志分析是否有非法接入设备□正常□异常是否有资产变动设备□正常□异常是否有违规使用U盘等外设□正常□异常策略调整根据IDS及系统本身日志调整□正常□异常处理方法（1）4号出现异常宕机，查询日志发现数据库文件丢失，重新更改数据库参数配置后恢复正常。（2）20号设备日志中发现网络有异常突发流量，分析日志发现有设备再做发包测试数据量很大，事后对该发包设备进行流量策略控制，网络流量恢复正常。网络安全监控月报表检查时间：2014年2月1日至28日部门：人力行政部检查人：董鹏举检查项操作提示/正常值结论情况摘要业务审计系统故障查看设备运行情况□正常□异常违规操作违规数据库操作□是□否违规业务操作□是□否违规运维操作□是□否入侵检测系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调整跟踪异常行为□正常□异常入侵防御系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调制阻断尝试攻击□正常□异常一体化安全网关系统故障查看设备运行情况□正常□异常日志分析病毒告警次数及相关主机□正常□异常垃圾邮件过滤□正常□异常流量异常分析□正常□异常并发数异常分析□正常□异常策略调整结合IDS/IPS报警阻断危险行为□正常□异常IDS报警策略没有生效终端安全管理系统故障查看系统运行情况□正常□异常日志分析是否有非法接入设备□正常□异常是否有资产变动设备□正常□异常22号添加新设备是否有违规使用U盘等外设□正常□异常策略调整根据IDS及系统本身日志调整□正常□异常处理方法（1）11号IDS报警策略显示没有生效，审核策略发现策略编写规则有错误，重新更改策略格式后生效。（2）22号网络中添加了新的交换机设备，并开启snmp协议。网络安全监控月报表检查时间：2014年3月1日至31日部门：人力行政部检查人：董鹏举检查项操作提示/正常值结论情况摘要业务审计系统故障查看设备运行情况□正常□异常违规操作违规数据库操作□是□否违规业务操作□是□否违规运维操作□是□否入侵检测系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调整跟踪异常行为□正常□异常7号检测到DOS攻击入侵防御系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调制阻断尝试攻击□正常□异常一体化安全网关系统故障查看设备运行情况□正常□异常日志分析病毒告警次数及相关主机□正常□异常OA服务器病毒告警垃圾邮件过滤□正常□异常流量异常分析□正常□异常并发数异常分析□正常□异常策略调整结合IDS/IPS报警阻断危险行为□正常□异常终端安全管理系统故障查看系统运行情况□正常□异常日志分析是否有非法接入设备□正常□异常是否有资产变动设备□正常□异常是否有违规使用U盘等外设□正常□异常策略调整根据IDS及系统本身日志调整□正常□异常处理方法（1）7号入侵检测系统发现有DOS攻击，并调用策略阻断尝试攻击，网络恢复正常。（2）25网关设备发现OA服务器有病毒告警后立即登录服务器查毒杀毒，服务器未受到任何影响网络安全监控月报表检查时间：2014年4月1日至30日部门：人力行政部检查人：董鹏举检查项操作提示/正常值结论情况摘要业务审计系统故障查看设备运行情况□正常□异常违规操作违规数据库操作□是□否违规业务操作□是□否违规运维操作□是□否入侵检测系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常本月异常报警次数增加按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调整跟踪异常行为□正常□异常入侵防御系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调制阻断尝试攻击□正常□异常一体化安全网关系统故障查看设备运行情况□正常□异常日志分析病毒告警次数及相关主机□正常□异常垃圾邮件过滤□正常□异常流量异常分析□正常□异常并发数异常分析□正常□异常策略调整结合IDS/IPS报警阻断危险行为□正常□异常终端安全管理系统故障查看系统运行情况□正常□异常日志分析是否有非法接入设备□正常□异常是否有资产变动设备□正常□异常是否有违规使用U盘等外设□正常□异常策略调整根据IDS及系统本身日志调整□正常□异常设备断电日志部分缺失处理方法（1）本月异常报警次数同比上月增加，原因是策略阀值设置偏底，需要重新更改配置文件。（2）15号终端管理设备意外断电日志部分缺失，日后需要定时做日志备份。网络安全监控月报表检查时间：2014年5月1日至31日部门：人力行政部检查人：董鹏举检查项操作提示/正常值结论情况摘要业务审计系统故障查看设备运行情况□正常□异常违规操作违规数据库操作□是□否违规业务操作□是□否违规运维操作□是□否入侵检测系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调整跟踪异常行为□正常□异常入侵防御系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调制阻断尝试攻击□正常□异常一体化安全网关系统故障查看设备运行情况□正常□异常日志分析病毒告警次数及相关主机□正常□异常垃圾邮件过滤□正常□异常垃圾邮件过滤失效流量异常分析□正常□异常并发数异常分析□正常□异常发现大量异常并发数连接策略调整结合IDS/IPS报警阻断危险行为□正常□异常IDS报警策略没有生效终端安全管理系统故障查看系统运行情况□正常□异常日志分析是否有非法接入设备□正常□异常是否有资产变动设备□正常□异常是否有违规使用U盘等外设□正常□异常发现违规外设记录策略调整根据IDS及系统本身日志调整□正常□异常处理方法（1）2号垃圾邮件过滤失效，查看策略后发现更新后的策略没有应用成功，重新应用策略后生效（2）17号发现网络中有大量的异常并发数连接，抓包后分析发现有服务器尝试对外发送大量tcp连接，然后对该服务器断网杀毒后，网络恢复正常。（3）IDS报警策略没有生效，查询日志发现设备意外重启策略需要重新启动策略服务。（4）27号发现有违规传输介质记录，查证后发现是违规运维操作，数据并没有外泄记录。网络安全监控月报表检查时间：2014年6月1日至30日部门：人力行政部检查人：董鹏举检查项操作提示/正常值结论情况摘要业务审计系统故障查看设备运行情况□正常□异常违规操作违规数据库操作□是□否违规业务操作□是□否违规运维操作□是□否入侵检测系统故障查看设备运行情况□正常□异常设备多次异常重启日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调整跟踪异常行为□正常□异常入侵防御系统故障查看设备运行情况□正常□异常日志文件自动备份控制单个数据库文件大小□正常□异常报警分析（附系统报表）按事件次数排名□正常□异常按事件危险级别排名□正常□异常病毒感染级别排名居高按关键服务器关联事件排名□正常□异常以往关键事件关联分析□正常□异常策略调制阻断尝试攻击□正常□异常一体化安全网关系统故障查看设备运行情况□正常□异常日志分析病毒告警次数及相关主机□正常□异常AppServ服务器有病毒告警垃圾邮件过滤□正常□异常流量异常分析□正常□异常并发数异常分析□正常□异常策略调整结合IDS/IPS报警阻断危险行为□正常□异常终端安全管理系统故障查看系统运行情况□正常□异常日志分析是否有非法接入设备□正常□异常是否有资产变动设备□正常□异常是否有违规使用U盘等外设□正常□异常策略调整根据IDS及系统本身日志调整□正常□异常处理方法（1）本月设备异常重启多次，查证后发现因为机房电路没有按照规定使用，串联多个高负荷设备导致电压不稳设备断电重启，事后重新布置串联设备，机房电压稳定设备稳定运行。（2）本月入侵检测病毒级别的排行居高，需要及时的更新病毒特征库（3）24号AppServ服务器有病毒告警，发现后断网查毒清理病毒后系统恢复正常。