终端安全理系统日常运维手册.doc

目录策略名 配置 备注 进程监控 新建进程监控策略，选择当单进程内存占用超过200M，CPU占用超过90%时报警至服务器。 可根据实际情况添加别的进程至黑名单 端口监控 新建端口监控策略，并将“135、137、139、445”端口列入黑名单，并选择发现端口时将报警信息发到服务器。 可根据实际情况添加别的端口至黑名单 流量统计监控 新建流量统计策略，设置阈值为“200KB/s”，并选择当实时流量大于这个值时，只报警不阻断。 外联监控 新建外联监控策略，并将内网IP段设为总队的IP段，并设置两个其他总队的web服务器作为外联测试服务器，选择客户同时在内外网时只提示不断网。 硬件监控 新建硬件监控策略，选择当硬件发生变化时，将报警信息上传至服务器。 软件监控 新建软件监控策略，选择当软件发生变化时，将报警信息上传至服务器。 系统性能监控 新建系统监控策略，选择当CPU持续5秒超过90%，内存持续5秒超过80%时报警。C盘空间少于1G时报警。 网络配置监控 新建网络配置监控策略，选择当网络配置发生变化时，将报警信息上传至服务器。 这些策略可以分成三类： 安全类监控：包含进程监控、端口监控、外联监控、网络配置监控。 信息类监控：包含硬件监控、软件监控、系统性能监控。 流量类监控：包含流量统计监控。 日志量较少时的调整 日志量较少说明策略定义比较宽松，可对策略进行适当调整： 信息类监控策略调整余地较小，如果为测试用，可以调整系统性能监控策略。 安全类监控策略可重点调整进程和端口策略。 流量类监控策略可将流量统计的阀值调小。 增加其他有针对性的监控策略。 日志量较多时的调整 日志量较少说明策略定义过于严格，可对策略进行适当调整： 1） 信息类监控策略调整余地较小，系统性能监控策略可适当调整。 2） 安全类监控策略可重点调整进程和端口策略。 3） 流量类监控策略可将流量统计的阀值调大。 日志分级 日志不分级会造成重要日志和非重要日志无法区分。 1）日志级别共分四级：严重危险、比较危险、一般危险和低危险。 2）一般来说，安全类日志比信息类重要，信息类比流量类重要。安全类中外联监控策略产生的日志最重要 以上仅为建议，可根据实际情况自行定义日志级别。 常见需求与策略 需求 策略 硬件发生变化报警 硬件监视策略 U盘与移动硬盘使用报警 硬件监视策略 软件发生变化报警 软件监视策略 CPU过载报警 系统性能策略 内存过载报警 系统性能策略 系统盘缓存不足报警 系统性能策略 检测木马或病毒进程 进程监视策略 强制关闭某些进程 进程监视策略 禁止使用某些端口 端口监视策略 禁止上互联网 外联监控策略 禁止无线上互联网 外联监控策略 禁止修改IP或MAC 网络配置监控策略 特定文件保护 文件监控策略 主机防火墙 主机防火墙策略 控制补丁分发速度 流量控制策略 控制软件分发速度 流量控制策略 流量大时暂时阻断 流量统计策略 常见问题处理 JVM_Bind异常 TD服务器启动时出现JVM_Bind异常。 TD服务器后台显示如下异常信息，关键信息是红色标注的一行，表示TD服务器中Jboss使用的端口已经被其他程序占用。jboss通常默认使用的端口为：8080、8009、443。 解决办法（任选其一）： 1、命令行中使用netstat –ano查看占用以上端口的进程，将其关闭。 2、修改jboss默认端口号。具体方法参考下面一个FAQ。 10:20:09,937 ERROR [JettyService] multiple exceptions... 10:20:09,937 ERROR [JettyService] exception .BindException: Address already in use: JVM_Bind at .PlainSocketImpl.socketBind(Native Method) at .PlainSocketImpl.bind(PlainSocketImpl.java:359) at .ServerSocket.bind(ServerSocket.java:319) at .ServerSocket.init(ServerSocket.java:185) at org.mortbay.util.ThreadedServer.newServerSocket(ThreadedServer.java:365) at org.mortbay.util.ThreadedServer.open(ThreadedServer.java:436) at org.mortbay.util.ThreadedServer.sta