安全管理平台解决方案模板.docx

安全管理平台解决方案模板省级XX公安安全管理平台建设方案启明星后g*EMRtcci1.M*S北京启明星辰信息技术股份有限公司BeijingVenusTechnologyCo.1.td.2024年4月目录123456目lI错误!未定乂书签。设计依据错误!未定义书签。术语和定义错误!未定乂书签。建设原则错误!未定义书签。系统现状及需求分析错误!未定义书签。安全管理平台建设目标错误!未定义书签。6.1 中告错误!未定义书签。6.2 事件定位处理错误!未定义书签。6.3 安全关联分析错误!未定义书签。6.4 实时风险管理错误!未定义书签。6.5 安全运维流程错误!未定义书签。6.6 安全管理流程错误!未定义书签。6.7 策略知识体系错误!未定义书签。安全管理平台方案设计错误!未定义书签。7.1 平台本既述错误!未定义书签。7.2 系统组成错误!未定义书签。7.3 系统架构错误!未定义书签。7.4 平台功能描述错误!未定义书签。7.4.1 集中展示模块错误!未定义书签。7.4.2 g彳丁IjS控木莫块错误!未定义书签。7.4.3 业务处理模块错误!未定义书签。7.4.4 业务统计模块7.4.5 关联分析7.4.6 安全态势分析7.4.7 关键安全管理指标分析.7.4.8 业务配置模块7.4.9 平台管理模块.4»1错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。接入交换管理模块7.5 系统接错误!未定义书签。7.6 部署方式错误!未定义书签。7.6.1 单级部署错误!未定义书签。7.7运行环境要求错误!未定义书签。7.6.2 级联部署错误!未定义书签。8启明星辰公安安全管理平台特性优势错误!未定义书签。8.1 多层次的安全事件管理错误!未定义书签。8.1.1 安全专项系统的信息采集错误!未定义书签。8.1.2 支持分布式日志采集错误!未定义书签。8.1.3 详尽的日志范式化与事件分类错误!未定义书签。8.1.4 智能化安全事件关联分析错误!未定义书签。8.1.5 可视化安全事件分析错误!未定义书签。8.2 多维度的业务处理过程错误!未定义书签。8.2.1 丰富的业务流程分类错误!未定义书签。8.2.2 灵活的流程定制能力错误!未定义书签。8.3 全方位的IT系统性能与可用性监控错误!未定义书签。8.3.1 网络拓扑管理错误!未定义书签。8.3.2 支持多种监控对象错误!未定义书签。8.3.3 全方位名田粒度监控错误!未定义书签。8.4 基于风险矩阵的量化安全风险评估错误!未定义书签。8.5 指标化的宏观态势感知错误!未定义书签。8.5.1 地址熔态势分析错误!未定义书签。8.5.2 威胁态势分析错误!未定义书签。8.5.3 关键安全管理指标分析错误!未定义书签。8.6 丰富灵活的报表报告错误!未定义书签。8.6.1 可扩展的报表内容错误!未定义书签。8.6.2 公安业务考核支持错误!未定义书签。8.7 可运维的多级管理架构错误!未定义书签。8.7.1 级联内容错误!未定义书签。8.7.2 虚拟下级错误!未定义书签。8.8 对用户网络和业务影响最小错误!未定义书签。8.9 完善的系统自身安全性保证错误!未定义书签。8.1()有好的用户交互体验错误!未定义书签。9二次开发模块及系统对接说明错误!未定义书签。9.1 二次模块开发说明错误!未定义书签。9.2 与XX公安现有系统对接说明错误!未定义书签。10成功案例错误!未定义书签。10.1 成功案例名单错误!未定义书签。10.2 典型案例错误!未定义书签。11项目预算错误!未定义书签。1前言网络的快速发展为经济建设和社会发展带来了巨大的影响,随着信息化建设的飞速发展,信息安全系统已成为XX公安工作的重要资源和基础平台。当前XX公安的安全专项系统主要有/一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统。近年来公安网络安全问题呈现日益产重的趋势,从公安部的相关统计数据中能够看出,“一机两用“违规事件、病毒传播率、漏洞发生率等涉及网络安全的考核指标,都在不同程度的增加。因为信息泄密、信息遭受破坏等带来的损失越来越令人触目惊心。在这种大的形势下,网络安全的重要性被提到了前所未有的高度。由于公安以往的信息系统都是针对具体的应用进行设计,未考虑系统的综合管理,因此在管控手段和管控水平上极需加强。另外,随着公安信息应用的进一步推进,对信息安全的日常运维和应急预案等方面提出了更高的要求,切实需要建立省市两级信息通信部门的快速反应机制,强化信息系统基础平台的安全管理,建设可信的信息系统环境,为公安各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。2设计依据国际国内标准和规范： 中华人民共和国保守国家秘密法 中华人民共和国保守国家秘密法实施办法 中共中央关于加强新形势下保密工作的决定（中发199716号） 计算机信息系统保密管理暂行规定（国保发9981号） 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法（中保办发19986号） 关于加强政府上网信息保密管理的通知（国保发19994号） 计算机信息系统国际联网保密管理规定（国保发19991（）号） V关于加强计算机信息网络保密管理的通知（中保委发4号） 国家信息化领导小组关于中国电子政务建设指导意见（中办发17号） 国家信息化领导小组关于加强信息安全保障工作的意见（中办发口27号） 关于加强信息安全保障工作中保密管理的若干意见（中保委发7号） 涉及国家秘密计算机信息系统集成资质管理办法（国保发口5号） 信息系统保密管理规定中华人民共和国保密标准： BMZlY涉及国家秘密的计算机信息系统保密技术要求 BMZ2-涉及国家秘密的计算机信息系统安全保密方案设计指南 BMZ3-V涉及国家秘密的计算机信息系统安全保密测评指南 BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和测试方法 BMB4电磁干扰器技术要求和测试方法 BMB5-涉密信息设备使用现场的电磁泄漏发射防护要求 BMBlO-V涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法 BMBll-V涉及国家秘密的计算机信息系统防火墙安全技术要求 BMBI2.涉及国家秘密的计算机信息系统漏洞扫描产品安全技术要求 BMBl3.涉及国家秘密的计算机信息系统入侵检测产品技术要求 BMBI5-涉及国家秘密的信息系统安全审计产品技术要求 BMBI6.涉及国家秘密的信息系统安全隔离与信息交换产品技术要求GB及参考文献： GB17859-1999计算机信息系统安全保护等级划分准则。 GB"18336.1-信息技术安全技术信息技术安全性评估准则第一部分:简介和一般模型(idtISOIEC15408-1:1999o GB"18336.2-信息技术安全技术信息技术安全性评估准则第二部分:安全功能要求(idtISO15408-2:1999)o GB"18336.3-信息技术安全技术信息技术安全性评估准则第三部分:安全保证要求(idtISO15408-3:1999)0 GB/T9387.2-1995信息系统开放系统互连基本参考模型第2部分:安全体系结构。 ISO/IEel7799:信息技术信息安全管理实用规则。 BMB17-涉及国家秘密的计算机信息系统分级保护技术要求。 GB50174-1993电子计算机机房设计规范。 GB"2()269-信息安全技术信息系统安全管理要求。 ISO/IECTR18044:信息技术安全技术一信息安全事件管理。 GB/T20270-信息安全技术网络基础安全技术要求。 GB/T20282-信息安全技术信息系统安全工程管理要求。 GB/T20271-信息安全技术信息系统通用安全技术要求。3术语和定义N列术语和定义适用于本方案。术语解释安管平台本规范中的“安管平台”特指公安集中安全管理平台。它是实现公安信息网信息安全管理的技术支撑平台。它以流程和标准化的方法为手段,实现安全业务监控和安全事件的处理,为安全运营和管理提供支撑。安全专项系统为特定安全目标建立的安全系统,包括但不限于现有的几大系统:“一机两用”监控系统、补丁分发系统、病毒监控预警系统、边界安全接入平台、入侵监测系统、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统。工单指为了完成某个具体业务请求所使用的协同工作载体,承载内容包括业务状态、业务数据和业务要求等,按业务处理流程进行流转。活动活动组成了业务流程中的步骤和任务,是按照规范流程要求而采取的动作,在安管平台中,活动包括判断、响应、流转、处理等。业务流程业务流程是为达到特定的价值目标而由不同的人协作完成的一系列活动。活动之间不但有严格的先后顺序限定,而且活动的内容、方式、责任等也都必须有明确的安排和界定,以使不同活动在不同岗位角色之间进行转手交接成为可能。本文主要指信通网中与安全运行管理相关的签到、巡检、签收、通报告警、响应处理、审核等流程。安全事件由计算机信息系统或者网络中的各种设备与系统,例如安全子系统、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。安全策略安全策略是各种论述、规则和准则的集合,用以解释和说明公安信息网资源使用以及网络与业务保护的方式和要求。4建设原则D安全性。XX公安的SOC安全管理平台建设,必须具备在各个层次上的安全策略、体系和管理办法,并系统地解决安全问题的能力。2）有效性和实用性。网络的安全对所有用户是透明的,操作的人机界面必须达到安全、简捷、方便,同时不影响现有网络安全的功能和系统的正常运行。3）开放性。网络安全系统和设备,必须适应多种软、硬件平台和通讯的能力。4）自主性和可控性。根据国家相关的法规和政策,在安全建设的过程中,安全设备必须经过国家有关管理部门（主要是公安部门）的认可或认证,保证其配置及设备的合法性。5）适应性和可扩展性。所采取的措施必须能随着网络性能及安全需求的变化而变化,要具备可扩充性和可升级性,以适应将来网络规模的发展。6）业务符合性。平台所提供的事件监控、处理流程,必须符合公安行业的实际工作特性与工作过程。7）可管理性。网络安全系统必须具备良好的可管理性。5系统现状及需求分析当前XX公安信息专网涉及地域广泛,包括省厅及直属单位、个地市，多个区县等接入单位;应用系统繁多,共有100多个应用系统。随着XX公安信息网的不断发展,网络范围越趋扩大,主机设备、网络设备、安全设备数量也随之不断地增长,而且种类繁多、部署分散,这些系统每天都要产生成千上万的各类安全事件和告警息。XX公安非常重视公安信息安全建设,当前建成包括“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统等安全专项系统,这些系统在省厅及各地市得到应用,但各个系统提供独立的安全管理监控平台,形成多个“信息孤岛”，缺乏全网统一的安全状况实时监控了解工具,缺乏安全策略与安全技术相结合的沟通手段,没有一套完善的安全管理机制,没有专门负责安全监控的组织和人员,现有的安全管理、安全监控手段已经不能满足日益扩展的复杂的信息安全保障的需要,因此难以有效发挥其功能作用。当前XX省公安厅的安全管理系统存在以下问题：网络范围越趋扩大,主机设备、网络设备、安全设备数量也随之不断地增长,而且种类繁多、部署分散,这些系统每天都要产生成千上万的各类安全事件和告警信息,可是安全事件得不到有效处理。告警信息得不到有效分析。 安全告警信息没有与具体的设备资产想关联,发现告警后无法定位和处理,比如病毒信息和IDS安全告警信息,因为没有和具体的设备相关联,无法及时定位和处理； 网络中各安全设备基本采用各自分散的管理模式,而零散的安全信息很难形成集中性的、对决策、判断及处理有重要意义的数据 没有明确的安全监控、处理、安全管理流程和上报工作流程,缺乏有效的事件处理机制,当产生安全事件时,相关人员按照自己的想法和理解进行处理,可能会造成更大的损失和影响; 缺乏全网统一的安全状况实时监控了解工具,缺乏安全策略与安全技术相结合的沟通手段。 缺乏明确的人员职责定位与考核标准,安全告警不能落实到具体责任人,安全事件处理不能落实到任务处理人,难以形成高效的绩效考核机制。 缺乏与安全管理工作相适应的安全知识体系。安全告警发生之后无法及时寻找对应的知识库进行参照处理。针对上述问题,并根据网络与信息安全风险管理的本质,对风险进行有效的控制,围绕“重要资产、重要告警、重点监控”的工作目标,建议XX公安信息网建设安全管理平台系统,从而解决上述问题及满足省厅相关规范,最终逐步形成具有XX公安信息网特色的功能成熟、并能切实发挥作用的安全管理平台。6安全管理平台建设目标XX公安的SOC安全管理平台的建设目标是搭建以事件管理为核心的集中安全监控平台,经过实现对网络/系统中采集到的安全事件、资产、漏洞、风险、预警的进行集中监测和分析,实现安全告警管理与安全事件的流程化处理,建立安全策略管理基本框架。初步建立安全知识体系和应急响应体系,从而提高科通处所管理系统的安全威胁实时检测率,降低被成功攻击的概率,提高安全事件的响应速度。其具体目标可表现为：6.1 集中监控告警统一监控管辖范围内的主机、网络设备、安全设备、数据库、中间件、服务和机房设备,为用户提供一个全方位监控的统一管理平台,使得管理员经过一个单一控制台就能够进行实时全网监控,保障全网IT计算环境基础设施的可用性,业务的持续性和安全性。6.2 事件定位处理在所的监控的设备发生故障或安全事件时,监控系统能帮助管理员快速、准确地找到问题的根源所在,有效排查。对于'一机两用'这类公安的专项系统,必须能够在事件发生的第一时间定位到所属区域、责任人,而且能够以便捷的通知方式（例如短信、邮件、网上通知）快速下发信息,明确处理人,以工单流转的方式进行及时处理。6.3 安全关联分析安全系统产生的日志数量是非常庞大的,要在这些事件里找出有用的信息,没有安全管理平台的帮助,几乎是不可能实现的。安全管理平台需要提供的事件关联分析功能,帮助管理员对事件进行相关性分析,得出需要关注的少量的安全事故,大大降低事件处理的工作量,使重要的事件能够以较高的优先级被处理。对于所收集到的事件,安全管理平台需要将其标准化后赋予其唯一的ID,以实现事件关联效率高,分析更清楚,和事故处理知识库能紧密联系。6.4 实时风险管理风险管理以业务系统为核心,以资产为基础,依据等级保护标准GB"22239-和公安行业规则,提供两大规则库供安全管理员对重要业务系统进行等级评定和风险管理,以实时展现业务系统存在的威胁、脆弱性和风险,尽可能减少或避免业务系统面临的风险,确保业务系统在网络环境中能够持续、稳定和安全的运行。6.5 安全运维流程公安信息安全工作中的重点是日常的安全运维工作,包括签到、巡检、事件处理、通知通报、响应等工作环节,运维工作强调制度化、流程化与标准化,核心是事件的处理过程。平台需要内置事件处理流程工单系统,经过与可定制安全知识库的结合,可方便快捷的将安全事故处理建议分发给负责人员进行事故的及时处理并反馈。6.6 安全管理流程作为一个开放的网络,安全和维护的压力越来越高,需要实现从依靠人工维护IT系统的模式,转变成基于流程和工具的安全、可靠、高质量、高效的服务模式。建设完备的安全管理流程,实现自动化工单、案例、知识库的自动管理和维护实时自动化监控,并提供高品质的服务,降低安全风险以提高IT系统的可用性。具体工具公安业务进行定制:比如:案件处理流程、CA证书发放流程管理、应急服务处理流程、规章制度流程信息化、安全管理员管理、设备注册管理等功能。6.7 策略知识体系安全事件的特殊性、突发性决定了作为攻击的防御方一一安全管理员和所有IT信息的使用者,需要具备一定的安全防护知识。安全知识管理解决用户环境中安全知识（包括漏洞信息、威胁信息、案例、安全策略）的积累、发布和管理问题,实现安全教育的全员化。安全管理平台厂商必须维护平台知识库,可快速升级安全管理平台中相关的产品特征库模块,另一方面将紧急的、影响重大的安全事件经过Web的方式发布出去。实现安全管理平台的知识管理与网络安全态势同步。7安全管理平台方案设计7.1 平台概述启明星辰推出的泰合信息安全运营中心系统（以下简称TSOO是立足于公司十多年信息安全积累的基础之上,基于客户最新需求推出的全新一代安全管理平台。TSOC-GA公安行业专版（以下简称TSe）C-GA）是启明星辰基于TSOC产品成果、面向全国公安用户定向开发的行业化版本。公安行业专版完全遵照公安部公安信息通信网综合安全管理平台技术规范（试行）,充分结合了公安行业业务特性,并有效发挥了启明星辰在安全管理平台领域的技术专长,体现了公安信息安全管理工作中”集中监控、统一管理、全面分析、快速响应、规范运行”的管理思想,能够显著提升公安信息安全管理工作的效率与质量。TSOC-GA采用了新一代的基于超微内核的技术架构,融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户实现对业务信息系统的统一安全保障。TSOC-GA采用开放平台架构设计,遵循业界通行的应用接口和管理接口,功能部件都实现了模块化装配,客户能够自由选择,并能够与客户的应用和管理环境实现很好的对接与整合。TSOC具有国内最广泛的应用范围和客户群,已经连续4年位居国内市场销量第一,TSOC-GA已经在公安行业拥有多个大型成功案例。7.2 系统组成TSOC-GA包括管理中心、日志采集器、性能采集器和日志代理四个部件。 管理中心管理中心是TSOC-GA的核心部件,实现了对IT系统集中化的性能及可用性监控、安全事件的集中管理、安全风险的评估、宏观安全态势感知,以及流程化的安全响应与处理。客户经过浏览器即可登陆管理中心,进行各种操作。管理中心内置日志采集和性能采集功能,客户无需另行安装其它任何部件即可直接收集管理对象的日志信息和性能信息。管理中心也能够汇聚来自日志采集器、日志代理和性能采集器的日志信息。 日志采集器日志采集器能够安装并独立运行在一台服务器上,也能够与性能采集器集成安装和运行一台服务器上,实现对异构管理对象的日志采集,功能同管理中心的日志采集模块,用以辅助管理中心解决特定日志采集的问题,并能够实现分布式日志采集能力。日志采集器收集的日志能够转发给管理中心。管理中心能够对网络中分散的日志采集器进行集中管理。 性能采集器性能采集器能够安装并独立运行在一台服务器上,也能够与日志采集器集成安装和运行一台服务器上,实现对异构管理对象的性能信息采集,包括可用性信息、运行状态信息、性能信息等,功能同管理中心的性能采集模块,用以辅助管理中心解决分布式性能数据采集的问题。性能采集器收集的数据能够转发给管理中心。管理中心能够对网络中分散的性能采集器进行集中管理。 日志代理日志代理用于安装并运行在管理对象上,实现对管理对象的日志采集和转发。当前,日志代理支持WindOWS操作系统,主要用于采集Windows操作系统及其服务与应用的日志。日志代理收集的日志能够转发给日志采集器,或者直接转发给管理中心。管理中心能够对网络中分散的日志代理进行集中管理。7.3 系统架构TSOC-GA的技术架构图如下:集中展示层核心处理层接入交换层交互对象事件与状态监控运行监控子系统安全信息监控）（运行状态峰（专项系线监控<7安全专项系统接口全网工作协同业务处理于系统日常工作管理工作二安全专项系统知识与培训业务分析子系统业务配子系统流程管理平台t联接口IPKI/PMI平台I防火堵平台一|I行为峥叫I一机两用”系司I防入侵和攻击系爰11边界接入¥台*|I防病毒系线-I¾mw扫描系统一I其它安全系统综合分析平台管理子系统用户与授权系统审计数据管理竺复（gEK策略管理j员管理资产管理j其他系统接口安管平台上、下i安管平台运维/值班平台资（管理系歧网管系统集中展示层是安全预警和事件监控、安全运行监控、协同工作处理、安全知识培训、综合分析的统一展示,是安管平台与各类用户交互的窗口。核心处理层是实现安全管理业务的核心层,各类安全工作人员完成所授权的工作,完成对事件与状态的处理,完成平台自身的管理,实现公安信息网安全管理制度的全面落实。该层分为运行监控子系统、业务处理子系统、业务分析子系统、业务配置子系统和平台管理子系统,这五个子系统不但能够完成独立的功能,同时也是相互结合的,实现完整的工作流和事件处理。接入交换层包括平台级联接口、安全专项系统接口、其它系统接口等,实现各级安管平台的接入认证、级联数据同步和安全传输;实现安全专项系统的统一接入管理和策略管理;提供安管平台反馈处理的信息通道;提供安管平台外部系统服务按口,规范安管平台提供服务的形式和内容。经过接入交换层,安管平台与公安网中安全专项系统、上下级安管平台、运维/值班平台等系统实现数据交换和共享。7.4 平台功能描述7.4.1 集中展示模块7.4.1.1 安全主页用户登录即可进入安全首页。经过该界面,能够快速的导航到各个功能。安全首页将各个界面的信息集中显示和发布,采用Web方式,对监控类信息、全网工作协同类信息、信息安全培训知识、综合分析类信息等迸行统一呈现,提供相应权限的查阅与工作界面,如下图所示：在首页的展示样式上,我们综合采用了以下各种方式: 基于列表的信息显示专项系统告警、事件、通知通报等内容,均提供列表方式的信息显示。列表信息支持实时更新,也支持监控窗口的扩展。 基于图表的信息显示系统整体安全状态、专项系统事件的发展趋势,均以直观的图形化方式显示,安全首页中采用雷达图、趋势图、柱状图、仪表图等多种图表样式,满足美观、直观的监控要求。 基于电子地图的信息显示在多级管理架构下,各个下级平台的安全运行状态、以及考核得分,能够在电子地图上直接查看。电子地图支持图形自定义,并能够自动根据相关系统的安全状态自动调整界面颜色,支持自动刷新。 基于浮动窗口的信息显示安全主页中能够以浮动窗口的形式,直接提醒管理人员待办工作,避免出现工作遗漏。7.4.1.2 个人工作台工作台为用户提供了一个从用户自身业务需要出发使用本系统的快速入口,经过预先配置,工作台集成了当前登录用户有关的日常工作活动,为其提供一站式管理功能。工作台是与用户相关的,它把系统各功能模块进行有序的联系,形成面向用户的、条理清晰的工作桌面Q用户能够在工作台中自定义仪表板,按需设计仪表板显示的内容和布局,能够为不同角色的用户建立不同维度的仪表板Q工作台能够支持展示的信息包括： 公安网各类安全预警、事件、通报摘要信息； 公安网各安全专项系统运行摘要信息； 待办工作信息； 个人工作信息； 运行及服务状态指标数据； 安全运行管理考核指标数据； 统计分析数据； 平台自身运行监控信息； 组织机构信息,包括上级及本级安全管理组织机构、人员等； 安全技术、法规（包括上级及本级的安全管理相关的制度、文件、规章）、案例等展示和培训； 安全服务信息指南,提供补丁下载、病毒库更新、安全专项工具和相关表格等相关资源帮助信息；应急响应信息,包括公安信息网安全应急预案等信息。7.4.1.3 安全门户系统提供免登录的服务入口,能够为广大公安干警提供安全信息与服务支持。安全门户能够被嵌入到公安的其它信息网站中。安全门户支持安全公告浏览、服务工具、补丁下载,并提供安全服务功能的受理、跟踪。7.4.2运行监控模块7.4.2.1 专项系统日志采集和监控系统支持公安系统内一机两用、异常流量、防火墙、入侵攻击与防御等多种安全专项系统的日志收集,能够以Syslog.SNMPTrap.FTP、Event1.og.NETBIOS.ODBC、WMI、Shell脚本、VIP、WebService等协议进行日志采集,并支持对日志进行范式化、过滤、归并。另外,TSOC-GA还提供可独立部署的日志采集器,每个采集器都能对日志进行采集、范式化、过滤和归并,实现分布式日志采集。日志采集器统一接入管理中心,实现集中化安全事件管理。管理中心具备对多个日志采集器的集中管理功能。具体界面如下图所示：7.4.2.2 安全事件监控安全事件监控能够对平台采集到的安全事件进行实时性的展示和报警,系统提供了实时监控视图,能够根据内置或者自定义的实时监视策略,从各个维度实时观测安全事件的走向,并能够进行事件调查、钻取,并进行事件行为分析和来源定位,具体包括： 监控展示,内容包括编号、名称、级别、发生时间、状态、内容描述等,并可支持自定义属性信息的展示。 能够提供对重大安全事件和违规事件提供报警和业务处理入口。 能够提供基于安全事件等级、安全事件分类、安全域的监控。 能够基于单个或多个安全专项系统的日志分析、安全告警、事件的监控。 能够提供基于单个或多个下级平台或管理域的安全事件监控。 能够支持对事件源的定位功能。7.4.2.3 告警监控相对于来源于原始日志的事件而言,告警是更需要引起关注的重要信息。系统中的事件,能够基于预定义规则生成为告警。系统支持各种告警响应动作,包括弹出提示框、发送邮件、发送SNMPTrap,发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送SySIog等告警方式。告警信息可查询,可追踪和统计分析。告警的另一来源于设备的性能状态。用户能够设置性能状态的监控阀值,当超过阀值时能够生成为告警。告警管理则包括对告警信息的查看、处理和统计分析。系统提供快捷的告警响应处理流程,可记录告警信息的处理过程和处理结果,并能够与工单管理模块联动。7.4.2.4 安全预警监控平台提供安全预警的管理。安全预警是一种有效预防措施和制度措施,涉及收集预警、审核发布、响应与安全防护等过程,包括安全预警监控展示和报警。系统提供了及时的预警管理机制,能够发布经审核的预警信息,系统支持丰富的预警类别,支持预警定级,支持预警的发布范围定义。具体界面如下图所示：安全预警功能包括:1. 安全预警监控对本平台产生的最新预警信息内容进行监控展ZTXO2. 根据预警来源、预警类别范围、预警的级别、影响的范围等进行监视。支持对接受预警的存储、报警等方式进行设置。7.4.2.5 设备性能信息采集系统能够主动地、周期性地采集各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的性能与可用性信息,采样周期、采集参数都能够独立配置。系统支持经过SNMP、TE1.NET.SSH、SSH2、ODBC、JMX、协议仿真等方式对IT资产进行性能与可用性信息的采集。管理中心内置性能信息采集,也提供独立安装的性能信息采集器。系统提供可独立部署的性能信息采集器,每个采集器都能对性能信息进行采集,并统一接入管理中心,实现集中化的性能与可用性监控。管理中心具备对多个性能信息采集器的集中管理功能。7.4.2.6 设备性能状态监控系统能够对各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的性能与状态进行实时监控,具有丰富的监控指标。管理员能够经过丰富的可视化图表查看监控指标信息;能够对监控指标设置告警阀值;能够招监控指标的数据保存起来,并进行历史分析。系统能够监控公安安全专项系统的关键服务运行状态指标。如专项系统名称、IP地址、运行状态描述、详细状态信息,经过对上述信息的监控,可对关键服务运行故障实现基本定位和跟踪。7.4.2.7 平台运行监控综合安全管理平台提供平台状态监控功能,完成对平台自身状态信息、与部运维平台等连通情况、平台当前操作人员信息的监控展示,如下图所示：平台自身状态信息包括系统当前CPU、内存、磁盘空间、网卡流量等、数据库使用状态,上/下级平台在线状态、平台模块运行状态、当前登录用户信息、当前上线人数、当前的时间等进行监控。支持自身如CPU、内存、磁盘空间等、数据库内存等系统状态的报警方式设置。7.4.2.8 通知通报监控公安行业的重要安全管理工作以通知通报形式发布,平台提供通知通报的录入、修改、删除等功能,同时安全管理的相关通知通报也需要相应管理员进行签收,如下图所示：本平台能够预告加载标准的通知通报模板启动补充相关内容,并支持人工的再修改,经审核后才发布。系统既能够展示来源于本级的通知通报,也可展示来自于相关的级联平台发布的信息。系统的通知通报监控具备实时更新功能,能够对新发布的信息进行及时呈现。7.4.2.9 脆弱性监控系统具有脆弱性管理功能,能够导入资产的弱点信息,并计算资产/安全域/业务系统的脆弱性值。系统能够经过多种方式展示资产/安全域/业务系统的弱点信息,支持时间趋势分析和横向对比分7.4.2.10 安全风险监控系统经过内置的风险计算模型,综合考虑资产的价值、脆弱性和威胁,能够定期自动地计算出资产的风险可能性和影响性,并经过二者建立了一个风险矩阵,进而计算出资产、安全域和业务系统的风险值,并刻画出资产、安全域和业务系统随时间变化的风险变化曲线。系统能够形象地展示出安全域的风险矩阵,从可能性和影响性两个角度标注安全域中风险的分布情况,经过风险矩阵法,指导管理员进行风险分析,采取相应的风险处理对策。系统还能以图表的形式可视化地显示每个资产、安全域或业务系统风险的关键因素,便于管理人员理解风险的具体含义。7.4.2.11 拓扑监控系统能够自动发现和识别IT硬件资产（例如网络设备、安全设备、主机）,能自动发现和识别软件资产（例如数据库、中间件）,并识别这些软硬件资产之间的连接关系或包含关系,还能自动描绘出网络及服务拓扑图以及机架视图。经过网络拓扑图,管理员能够对全网的资产进行可视化的监控。拓扑图具备动态更新能力,能够实时地显示资产的运行状态和安全状态,能够方便地链接到其它功能模块。系统能够实时地显示资产的运行状态和安全状态,并能够方便地实现与网络拓扑视图的双向切换。7.4.3业务处理模块公安行业对业务的规范化处理有很高要求,规定要依据业务流程人工或自动完成安全管理中的日常工作、管理工作和响应处理。具体包括：> 流程启动:支持信息预处理自动启动流程,支持人工启动流程。> 业务状态:包括待阅、待办、在办、办结、打回等。> 处理方式:手动、自动、转办、委托处理,支持附件上传。> 工作记录:对工作和事件的信息查看、状态修改、信息补充、结果记录。> 通知提醒:人工和自动提醒工作和事件,提醒内容包括内容、时间、重要程度,提醒方式包括手机短信、邮件、界面提示。TSOC-GA充分考虑到了多级平台架构下流程状态的反馈能ZJo在上级平台中能够及时查看到下级的处理状态,完成事件处理的跟踪处理。所有的这些配置操作,本平台都是在工作流中间件里进行的。工作流中间件能够以图形化的方式进行流程节点的增删、状态的调整配置、人员权限的设置,通知方式的设置,能够灵活适应公安实际工作的需要。7.4.3.1 日常工作公安的日常工作包括:签到、签收、巡检、个人工作日志等工作的排班、启动、工作记录等。这些工作都是在日常的流程中进行处理。如下图所示：出翼黑黑/回0要了零透守费11*三三三iI三U8食*B8三ZmH*"lKlfjB三J92MWM*5iWAEMS11n2JI991n13l<*斤虹不白<11MXltMBftW90U>1M113:99a三rjZBw¾fiW«mJjJtWn三NSKWQ-*C一a.；J洱MIK)W日Mzx-d11>>fflp;-Mt三三三a三iit÷管理签到按照公安要求,管理签到主要是提供考勤签到,实现本级单位安全管理人员和运维人员的签到功能。签到的记录招统计计入人员考核结果。本平台的签到支持人工签到与自动签到两种。并提供对签到情况的提醒与查询功能。信息签收对于接收到的各类信息、包括各种工单、通知通报,接收方均应提供签收功能。签收功能还包括一些信息的反馈,以便于发送方确认信息已被签收。安全巡检安全巡检主要是指安全运维人员根据预先设定的安全基线指标,对安全专项系统、重要网络设备及安全应用系统的各项硬件参数、软件参数及业务参数进行巡检和记录,并对巡检中发现的异常情况进行汇报和处理。运维人员进行巡检之后,需要进行日志填写。日志可由领导进行审查,并作为考核依据。7.4.3.2 管理工作公安的管理性工作包括安全员管理、工单修订等工作的启动、工作记录、状态修改、处理方式选择。对于安全员的变动,系统提供安全员管理的审核流程。支持的安全员管理类型包括增、删、改、调整权限等。对于运行过程中的各类工单,管理性工作提供经审核后的工单修订功能,能够对工单运行流程进行特殊干预,例如强制退回、重新打开、跳过节点等等。界面如下图所示：RY器般K四0I*7号零Gf%O>三3E三tZ÷0WTVx11S<f<SWtfeH÷*4r*KtwWffW'<11口"mwva：.dtr1£SXftMUMKTO»<OXNO角的惘JeS加WJImJMliMIt口人.WuIAjIgI2Q)M1-2IB电信三三三三M三2AMax±nn337.4.3.3 响应处理在公安的响应处理过程,最重要的是进行应急响应。对于系统自动产生的工单、或者人工发起的工单、或者协同工单,均存在应急响应处理的可能。应急响应处理是工单处理环节中重要的内容,界面如下图所示:应急响应包括三方面内容:应急响应流程该