第一章 总则

第一条 为了督促校园网信息安全管理要求、技术规范良好执行，落实各项网络与信息安全工作，特制定本制度。本制度目标是规范校园网信息安全审计检查工作的具体过程，明确各相关人员的职责和工作内容，为信息安全检查工作的顺利开展提供有效的指导。

第二条 适用范围

l 设备安全日志

其中包括网络中防火干墙、入侵防御系统（IPS）、WEB应用安全系统日志等

l 应用系统操作日志

包括数据库操作、应用系统操作日志、设备操作日志

l 网站内容安全监控

监控人员需要进行发布的网站内容监控和审计，实时监控网站出现非法、敏感类信息以及网站可访问性。

第二章 监控总体要求

第三条 安全监控和监控事件总体要求

1. 监控要求

l 安全监控包括了解系统面临的威胁以及这些威胁出现的方式，有些事件可能在发生安全事故时要求进行进一步调查。

l 系统日志通常包括大量的信息，多数与安全监控无关。为了识别用于安全监控目的的重要事件，应该考虑对日志进行过滤，重点关注安全性事件。

l 应定期将日志进行备份以保证事后分析和监控时使用。

l 分配安全监控责任时，应该考虑把监控人员和被监控者的角色分离开来。

l 要注意日志记录工具的安全。因为该工具如果随意使用，就可能在安全问题上产生错觉，应制定控制措施防止日志工具的非法更改和操作问题。

2. 监控职责

l 现代教育技术中心

1）统管整个网络运行情况，以保障网络的正常运行为第一重任。

2）指挥调度各专业维护人员及时处理全网故障，同时调集各专业维护人员确认故障原因，尤其对安全事件重点关注。

3）要对相关事件进行认真分析并及时上报信息安全管理小组，涉及到重大安全事件的并要上报到公安机关等。

l 监控告警

1）7X24小时实时监控学校网络运行情况，对异常事件进行告警，安全管理员对其进行分析及时上报，并协助相关人员处理故障，做好配合工作。

2）及时完成情况，对处理完安全事件后进行安全事件记录并上报相关部门。

第四条 网络与信息安全监控内容

1．防火墙监控内容：查看防火墙日志，对防火墙的流量和入侵事件要每日记录并分析，对超常流量和入侵事件要及时通报和响应；

2．入侵防御监控内容：对IPS报警日志要重点监控，高级安全事件要追溯其源地址和目的地址，并分析其危害性；

3．防病毒系统：要做病毒数量统计和趋势分析，对新增病毒和高危害型病毒要及时通报，避免其迅速扩散和加大危害性。

4．其它监控设备可参考以上监控重点

第五条 监控方法

(一)防火墙监控

防火墙的监控采用后台管理系统中提供的统计分析工具，对防火墙的流量、安全事件、入侵报警等信息进行周统计，并对比前一周。监控内容包括：

l 网络流量是否异常

l 入侵事件类型及是否有增长趋势

l 网络协议是否有明显变化

l 防火墙运行状况

(二)入侵防御系统监控

监控人员定时查看报警事件，根据入侵检测系统报警的安全事件级别，对高级安全事件依据处理流程实时响应和处理，采取行动阻止可能发生的破坏行为。对发现的中、低级安全事件则要重点监视和跟踪。入侵检测系统要进行周统计，并对比前一周和周平均值。监控内容包括：

l 周报警事件总量

l 安全事件的级别、类型的统计和分布

l 对入侵事件分析，并采取应对手段

(三)其他设备监控

使用网络性能监控器实时查看一次日志警告信息，并检查网络设备硬件健康状况。具体内容包括：

l 其他设备的CPU、内存、端口运行情况

l 检查分析网络系统数据的流量和性能

l 定时分析日志报警信息

(四)防病毒系统监控

监控人员须注意监测防病毒系统运行状况和病毒高发状况，在病毒高发危机前，须及时发出病毒防范安全警告，并调整防病毒系统策略，配合相关部门做好病毒预防措施。

第六条 趋势分析

根据当周监控情况和前几周安全事件发生的状况，分析网络系统目前的安全状态，预测安全事件的发展趋势，对监控时间段内的总体安全情况进行评价、分析和小结。

第三章 附则

第七条 本制度由现代教育技术中心负责解释。

第八条 本制度自发布之日起生效执行。