网络安全监控2014月报表

检查时间： 2014 年 1 月 1 日至 31 日 部门： 人力行政部 检查人：董鹏举 检查项 操作提示/正常值 查看设备运行情况 违规数据库操作 违规业务操作 违规运维操作 查看设备运行情况 自动备份控制单个数据库文件大小 结论 □正常 □异常 □是 □否 □是 □否 □是 □否 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 情况摘要 4号出现设备宕机 20号有异常突发流量 业系统故障 务违规操作 审计 系统故障 日志文件 入按事件次数排名 侵按事件危险级别排名 报警分析 检（附系统报表） 按关键服务器关联事件排名 测 以往关键事件关联分析 策略调整 系统故障 日志文件 跟踪异常行为 查看设备运行情况 入按事件次数排名 侵按事件危险级别排名 报警分析 防（附系统报表） 按关键服务器关联事件排名 御 以往关键事件关联分析 策略调制 一系统故障 体化安日志分析 全网关 策略调整 终系统故障 端安日志分析 全管策略调整 理 阻断尝试攻击 查看设备运行情况 病毒告警次数及相关主机 垃圾邮件过滤 流量异常分析 并发数异常分析 自动备份控制单个数据库文件大小 结合IDS/IPS报警阻断危险行为 查看系统运行情况 是否有非法接入设备 是否有资产变动设备 是否有违规使用U盘等外设 根据IDS及系统本身日志调整 （1） 4号出现异常宕机，查询日志发现数据库文件丢失，重新更改数据库参数配置后恢复正常。 处（2） 20号设备日志中发现网络有异常突发流量，分析日志发现有设备再做发包测试数据量很大，理事后对该发包设备进行流量策略控制，网络流量恢复正常。 方 法 网络安全监控月报表

检查时间： 2014 年 2 月 1 日至 28 日 部门： 人力行政部 检查人：董鹏举 检查项 操作提示/正常值 查看设备运行情况 违规数据库操作 违规业务操作 违规运维操作 查看设备运行情况 自动备份控制单个数据库文件大小 结论 □正常 □异常 □是 □否 □是 □否 □是 □否 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 情况摘要 IDS报警策略没有生效 22号添加新设备 业系统故障 务违规操作 审计 系统故障 日志文件 入按事件次数排名 侵按事件危险级别排名 报警分析 检（附系统报表） 按关键服务器关联事件排名 测 以往关键事件关联分析 策略调整 系统故障 日志文件 跟踪异常行为 查看设备运行情况 入按事件次数排名 侵按事件危险级别排名 报警分析 防（附系统报表） 按关键服务器关联事件排名 御 以往关键事件关联分析 策略调制 一系统故障 体化日志分析 安全网关 策略调整 终系统故障 端安日志分析 全管策略调整 理 阻断尝试攻击 查看设备运行情况 病毒告警次数及相关主机 垃圾邮件过滤 流量异常分析 并发数异常分析 自动备份控制单个数据库文件大小 结合IDS/IPS报警阻断危险行为 查看系统运行情况 是否有非法接入设备 是否有资产变动设备 是否有违规使用U盘等外设 根据IDS及系统本身日志调整 （1） 11号 IDS报警策略显示没有生效，审核策略发现策略编写规则有错误，重新更改策略格式处后生效。 理（2）22号网络中添加了新的交换机设备，并开启snmp协议。 方 法 网络安全监控月报表

检查时间： 2014 年 3 月 1 日至 31 日 部门： 人力行政部 检查人：董鹏举 检查项 操作提示/正常值 查看设备运行情况 违规数据库操作 违规业务操作 违规运维操作 查看设备运行情况 自动备份控制单个数据库文件大小 结论 □正常 □异常 □是 □否 □是 □否 □是 □否 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 情况摘要 7号检测到DOS攻击 OA服务器病毒告警 业系统故障 务违规操作 审计 系统故障 日志文件 入按事件次数排名 侵按事件危险级别排名 报警分析 检（附系统报表） 按关键服务器关联事件排名 测 以往关键事件关联分析 策略调整 系统故障 日志文件 跟踪异常行为 查看设备运行情况 入按事件次数排名 侵按事件危险级别排名 报警分析 防（附系统报表） 按关键服务器关联事件排名 御 以往关键事件关联分析 策略调制 一系统故障 体化安日志分析 全网关 策略调整 终系统故障 端安日志分析 全管策略调整 理 阻断尝试攻击 查看设备运行情况 病毒告警次数及相关主机 垃圾邮件过滤 流量异常分析 并发数异常分析 自动备份控制单个数据库文件大小 结合IDS/IPS报警阻断危险行为 查看系统运行情况 是否有非法接入设备 是否有资产变动设备 是否有违规使用U盘等外设 根据IDS及系统本身日志调整 处理（1） 7号 入侵检测系统发现有DOS攻击，并调用策略阻断尝试攻击，网络恢复正常。 方（2） 25 网关设备发现OA服务器有病毒告警后立即登录服务器查毒杀毒，服务器未受到任何影响 法 网络安全监控月报表

检查时间： 2014 年 4 月 1 日至 30 日 部门： 人力行政部 检查人：董鹏举 检查项 操作提示/正常值 查看设备运行情况 违规数据库操作 违规业务操作 违规运维操作 查看设备运行情况 自动备份控制单个数据库文件大小 结论 □正常 □异常 □是 □否 □是 □否 □是 □否 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 情况摘要 本月异常报警次数增加 设备断电日志部分缺失 业系统故障 务违规操作 审计 系统故障 日志文件 入按事件次数排名 侵按事件危险级别排名 报警分析 检（附系统报表） 按关键服务器关联事件排名 测 以往关键事件关联分析 策略调整 系统故障 日志文件 跟踪异常行为 查看设备运行情况 入按事件次数排名 侵按事件危险级别排名 报警分析 防（附系统报表） 按关键服务器关联事件排名 御 以往关键事件关联分析 策略调制 一系统故障 体化安日志分析 全网关 策略调整 终系统故障 端安日志分析 全管策略调整 理 阻断尝试攻击 查看设备运行情况 病毒告警次数及相关主机 垃圾邮件过滤 流量异常分析 并发数异常分析 自动备份控制单个数据库文件大小 结合IDS/IPS报警阻断危险行为 查看系统运行情况 是否有非法接入设备 是否有资产变动设备 是否有违规使用U盘等外设 根据IDS及系统本身日志调整 （1） 本月异常报警次数同比上月增加，原因是策略阀值设置偏底，需要重新更改配置文件。 处（2） 15号 终端管理设备意外断电日志部分缺失，日后需要定时做日志备份。 理 方 法 网络安全监控月报表

检查时间： 2014 年 5 月 1 日至 31 日 部门： 人力行政部 检查人：董鹏举 检查项 操作提示/正常值 查看设备运行情况 违规数据库操作 违规业务操作 违规运维操作 查看设备运行情况 自动备份控制单个数据库文件大小 结论 □正常 □异常 □是 □否 □是 □否 □是 □否 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 情况摘要 垃圾邮件过滤失效 发现大量异常并发数连接 IDS报警策略没有生效 发现违规外设记录 业系统故障 务违规操作 审计 系统故障 日志文件 入按事件次数排名 侵按事件危险级别排名 报警分析 检（附系统报表） 按关键服务器关联事件排名 测 以往关键事件关联分析 策略调整 系统故障 日志文件 跟踪异常行为 查看设备运行情况 入按事件次数排名 侵按事件危险级别排名 报警分析 防（附系统报表） 按关键服务器关联事件排名 御 以往关键事件关联分析 策略调制 一系统故障 体化安日志分析 全网关 策略调整 终系统故障 端安日志分析 全管策略调整 理 阻断尝试攻击 查看设备运行情况 病毒告警次数及相关主机 垃圾邮件过滤 流量异常分析 并发数异常分析 自动备份控制单个数据库文件大小 结合IDS/IPS报警阻断危险行为 查看系统运行情况 是否有非法接入设备 是否有资产变动设备 是否有违规使用U盘等外设 根据IDS及系统本身日志调整 （1） 2号 垃圾邮件过滤失效，查看策略后发现更新后的策略没有应用成功，重新应用策略后生效处（2） 17号 发现网络中有大量的异常并发数连接，抓包后分析发现有服务器尝试对外发送大量tcp理连接，然后对该服务器断网杀毒后，网络恢复正常。 方（3） IDS 报警策略没有生效，查询日志发现设备意外重启策略需要重新启动策略服务。 法 （4） 27号 发现有违规传输介质记录，查证后发现是违规运维操作，数据并没有外泄记录。 网络安全监控月报表

检查时间： 2014 年 6 月 1 日至 30 日 部门： 人力行政部 检查人：董鹏举 检查项 操作提示/正常值 查看设备运行情况 违规数据库操作 违规业务操作 违规运维操作 查看设备运行情况 自动备份控制单个数据库文件大小 结论 □正常 □异常 □是 □否 □是 □否 □是 □否 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 □正常 □异常 情况摘要 设备多次异常重启 病毒感染级别排名居高 AppServ服务器有病毒告警 业系统故障 务违规操作 审计 系统故障 日志文件 入按事件次数排名 侵按事件危险级别排名 报警分析 检（附系统报表） 按关键服务器关联事件排名 测 以往关键事件关联分析 策略调整 系统故障 日志文件 跟踪异常行为 查看设备运行情况 入按事件次数排名 侵按事件危险级别排名 报警分析 防（附系统报表） 按关键服务器关联事件排名 御 以往关键事件关联分析 策略调制 一系统故障 体化安日志分析 全网关 策略调整 终系统故障 端安日志分析 全管策略调整 理 阻断尝试攻击 查看设备运行情况 病毒告警次数及相关主机 垃圾邮件过滤 流量异常分析 并发数异常分析 自动备份控制单个数据库文件大小 结合IDS/IPS报警阻断危险行为 查看系统运行情况 是否有非法接入设备 是否有资产变动设备 是否有违规使用U盘等外设 根据IDS及系统本身日志调整 （1）本月设备异常重启多次，查证后发现因为机房电路没有按照规定使用，串联多个高负荷设备导致处电压不稳设备断电重启，事后重新布置串联设备，机房电压稳定设备稳定运行。 理（2）本月入侵检测病毒级别的排行居高，需要及时的更新病毒特征库 方（3）24号AppServ服务器有病毒告警，发现后断网查毒清理病毒后系统恢复正常。 法