XX公安安全管理平臺(tái)建設(shè)方案北京啟明星辰信息技術(shù)股份有限公司

BeijingVenusTechnologyCo.Ltd.

TIME\@"yyyy年M月"2013年7月目錄1 前言 42 設(shè)計(jì)依據(jù) 53 術(shù)語和定義 74 建設(shè)原則 85 系統(tǒng)現(xiàn)狀及需求分析 96 安全管理平臺(tái)建設(shè)目標(biāo) 116.1 集中監(jiān)控告警 116.2 事件定位處理 116.3 安全關(guān)聯(lián)分析 116.4 實(shí)時(shí)風(fēng)險(xiǎn)管理 126.5 安全運(yùn)維流程 126.6 安全管理流程 126.7 策略知識(shí)體系 127 安全管理平臺(tái)方案設(shè)計(jì) 147.1 平臺(tái)概述 147.2 系統(tǒng)組成 147.3 系統(tǒng)架構(gòu) 157.4 平臺(tái)功能描述 177.4.1 集中展示模塊 177.4.2 運(yùn)行監(jiān)控模塊 197.4.3 業(yè)務(wù)處理模塊 247.4.4 業(yè)務(wù)統(tǒng)計(jì)模塊 287.4.5 關(guān)聯(lián)分析 307.4.6 安全態(tài)勢分析 317.4.7 關(guān)鍵安全管理指標(biāo)分析 327.4.8 業(yè)務(wù)配置模塊 327.4.9 平臺(tái)管理模塊 367.4.10 接入交換管理模塊 407.5 系統(tǒng)接口 427.6 部署方式 437.6.1 單級(jí)部署 437.6.2 級(jí)聯(lián)部署 447.7 運(yùn)行環(huán)境要求 458 啟明星辰公安安全管理平臺(tái)特性優(yōu)勢 478.1 多層次的安全事件管理 478.1.1 安全專項(xiàng)系統(tǒng)的信息采集 478.1.2 支持分布式日志采集 488.1.3 詳盡的日志范式化與事件分類 498.1.4 智能化安全事件關(guān)聯(lián)分析 498.1.5 可視化安全事件分析 508.2 多維度的業(yè)務(wù)處理過程 508.2.1 豐富的業(yè)務(wù)流程分類 508.2.2 靈活的流程定制能力 518.3 全方位的IT系統(tǒng)性能與可用性監(jiān)控 528.3.1 網(wǎng)絡(luò)拓?fù)涔芾?528.3.2 支持多種監(jiān)控對(duì)象 528.3.3 全方位細(xì)粒度監(jiān)控 538.4 基于風(fēng)險(xiǎn)矩陣的量化安全風(fēng)險(xiǎn)評(píng)估 548.5 指標(biāo)化的宏觀態(tài)勢感知 558.5.1 地址熵態(tài)勢分析 558.5.2 威脅態(tài)勢分析 558.5.1 關(guān)鍵安全管理指標(biāo)分析 568.6 豐富靈活的報(bào)表報(bào)告 568.6.1 可擴(kuò)展的報(bào)表內(nèi)容 568.6.2 公安業(yè)務(wù)考核支持 568.7 可運(yùn)維的多級(jí)管理架構(gòu) 578.7.1 級(jí)聯(lián)內(nèi)容 578.7.2 虛擬下級(jí) 578.8 對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小 578.9 完善的系統(tǒng)自身安全性保證 588.10 有好的用戶交互體驗(yàn) 599 二次開發(fā)模塊及系統(tǒng)對(duì)接說明 599.1 二次模塊開發(fā)說明 599.2 與XX公安現(xiàn)有系統(tǒng)對(duì)接說明 6010 成功案例 6010.1 成功案例名單 6010.2 典型案例 6111 項(xiàng)目預(yù)算 64

前言網(wǎng)絡(luò)的快速發(fā)展為經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展帶來了巨大的影響，隨著信息化建設(shè)的飛速發(fā)展，信息安全系統(tǒng)已成為XX公安工作的重要資源和基礎(chǔ)平臺(tái)。目前XX公安的安全專項(xiàng)系統(tǒng)主要有：“一機(jī)兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺(tái)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測系統(tǒng)、應(yīng)急響應(yīng)系統(tǒng)。近年來公安網(wǎng)絡(luò)安全問題呈現(xiàn)日益嚴(yán)重的趨勢，從公安部的相關(guān)統(tǒng)計(jì)數(shù)據(jù)中可以看出，“一機(jī)兩用”違規(guī)事件、病毒傳播率、漏洞發(fā)生率等涉及網(wǎng)絡(luò)安全的考核指標(biāo)，都在不同程度的增加。因?yàn)樾畔⑿姑堋⑿畔⒃馐芷茐牡葞淼膿p失越來越令人觸目驚心。在這種大的形勢下，網(wǎng)絡(luò)安全的重要性被提到了前所未有的高度。由于公安以往的信息系統(tǒng)都是針對(duì)具體的應(yīng)用進(jìn)行設(shè)計(jì)，未考慮系統(tǒng)的綜合管理，所以在管控手段和管控水平上極需加強(qiáng)。另外，隨著公安信息應(yīng)用的進(jìn)一步推進(jìn)，對(duì)信息安全的日常運(yùn)維和應(yīng)急預(yù)案等方面提出了更高的要求，切實(shí)需要建立省市兩級(jí)信息通信部門的快速反應(yīng)機(jī)制，強(qiáng)化信息系統(tǒng)基礎(chǔ)平臺(tái)的安全管理，建設(shè)可信的信息系統(tǒng)環(huán)境，為公安各類信息系統(tǒng)的安全、可靠、穩(wěn)定、高效的運(yùn)行提供良好的基礎(chǔ)和強(qiáng)有力的保障。設(shè)計(jì)依據(jù)國際國內(nèi)標(biāo)準(zhǔn)和規(guī)范：《中華人民共和國保守國家秘密法》《中華人民共和國保守國家秘密法實(shí)施辦法》《中共中央關(guān)于加強(qiáng)新形勢下保密工作的決定》（中發(fā)[1997]16號(hào)）《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā)[1998]1號(hào)）《涉及國家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號(hào)）《關(guān)于加強(qiáng)政府上網(wǎng)信息保密管理的通知》（國保發(fā)[1999]4號(hào)）《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》（國保發(fā)[1999]10號(hào)）《關(guān)于加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)保密管理的通知》（中保委發(fā)[2002]4號(hào)）《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》（中辦發(fā)[2002]17號(hào)）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見》（中保委發(fā)[2004]7號(hào)）《涉及國家秘密計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法》（國保發(fā)[2005]5號(hào)）《信息系統(tǒng)保密管理規(guī)定》中華人民共和國保密標(biāo)準(zhǔn)：BMZ1-2000《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》BMZ2-2001《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》BMZ3-2001《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測評(píng)指南》BMB3-1999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法》BMB4-2000《電磁干擾器技術(shù)要求和測試方法》BMB5-2000《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求》BMB10-2004《涉及國家秘密的計(jì)算機(jī)網(wǎng)絡(luò)安全隔離設(shè)備的技術(shù)要求和測試方法》BMB11-2004《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)防火墻安全技術(shù)要求》BMB12-2004《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)漏洞掃描產(chǎn)品安全技術(shù)要求》BMB13-2004《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)入侵檢測產(chǎn)品技術(shù)要求》BMB15-2004《涉及國家秘密的信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求》BMB16-2004《涉及國家秘密的信息系統(tǒng)安全隔離與信息交換產(chǎn)品技術(shù)要求》GB及參考文獻(xiàn)：GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。GB/T18336.1-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第一部分：簡介和一般模型（idtISO/IEC15408-1：1999。GB/T18336.2-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第二部分：安全功能要求（idtISO15408-2:1999）。GB/T18336.3-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第三部分：安全保證要求（idtISO15408-3:1999）。GB/T9387.2-1995信息系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)。ISO/IEC17799：2000信息技術(shù)信息安全管理實(shí)用規(guī)則。BMB17-2006涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求。GB50174-1993電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范。GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求。ISO/IECTR18044:2004，信息技術(shù)安全技術(shù)—信息安全事件管理。GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求。GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求。GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求。術(shù)語和定義下列術(shù)語和定義適用于本方案。術(shù)語解釋安管平臺(tái)本規(guī)范中的“安管平臺(tái)”特指公安集中安全管理平臺(tái)。它是實(shí)現(xiàn)公安信息網(wǎng)信息安全管理的技術(shù)支撐平臺(tái)。它以流程和標(biāo)準(zhǔn)化的方法為手段，實(shí)現(xiàn)安全業(yè)務(wù)監(jiān)控和安全事件的處理，為安全運(yùn)營和管理提供支撐。安全專項(xiàng)系統(tǒng)為特定安全目標(biāo)建立的安全系統(tǒng)，包括但不限于現(xiàn)有的幾大系統(tǒng)：“一機(jī)兩用”監(jiān)控系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺(tái)、入侵監(jiān)測系統(tǒng)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測系統(tǒng)。工單指為了完成某個(gè)具體業(yè)務(wù)請(qǐng)求所使用的協(xié)同工作載體，承載內(nèi)容包括業(yè)務(wù)狀態(tài)、業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)要求等，按業(yè)務(wù)處理流程進(jìn)行流轉(zhuǎn)?；顒?dòng)活動(dòng)組成了業(yè)務(wù)流程中的步驟和任務(wù)，是按照規(guī)范流程要求而采取的動(dòng)作，在安管平臺(tái)中，活動(dòng)包括判斷、響應(yīng)、流轉(zhuǎn)、處置等。業(yè)務(wù)流程業(yè)務(wù)流程是為達(dá)到特定的價(jià)值目標(biāo)而由不同的人協(xié)作完成的一系列活動(dòng)。活動(dòng)之間不僅有嚴(yán)格的先后順序限定，而且活動(dòng)的內(nèi)容、方式、責(zé)任等也都必須有明確的安排和界定，以使不同活動(dòng)在不同崗位角色之間進(jìn)行轉(zhuǎn)手交接成為可能。本文主要指信通網(wǎng)中與安全運(yùn)行管理相關(guān)的簽到、巡檢、簽收、通報(bào)告警、響應(yīng)處理、審核等流程。安全事件由計(jì)算機(jī)信息系統(tǒng)或者網(wǎng)絡(luò)中的各種設(shè)備與系統(tǒng)，例如安全子系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等發(fā)現(xiàn)并記錄下的各種可疑活動(dòng)被稱為安全事件。安全策略安全策略是各種論述、規(guī)則和準(zhǔn)則的集合，用以解釋和說明公安信息網(wǎng)資源使用以及網(wǎng)絡(luò)與業(yè)務(wù)保護(hù)的方式和要求。建設(shè)原則安全性。XX公安的SOC安全管理平臺(tái)建設(shè)，必須具備在各個(gè)層次上的安全策略、體系和管理辦法，并系統(tǒng)地解決安全問題的能力。有效性和實(shí)用性。網(wǎng)絡(luò)的安全對(duì)所有用戶是透明的，操作的人機(jī)界面必須達(dá)到安全、簡捷、方便，同時(shí)不影響現(xiàn)有網(wǎng)絡(luò)安全的功能和系統(tǒng)的正常運(yùn)行。開放性。網(wǎng)絡(luò)安全系統(tǒng)和設(shè)備，必須適應(yīng)多種軟、硬件平臺(tái)和通訊的能力。自主性和可控性。根據(jù)國家相關(guān)的法規(guī)和政策，在安全建設(shè)的過程中，安全設(shè)備必須通過國家有關(guān)管理部門（主要是公安部門）的認(rèn)可或認(rèn)證，保證其配置及設(shè)備的合法性。適應(yīng)性和可擴(kuò)展性。所采取的措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要具備可擴(kuò)充性和可升級(jí)性，以適應(yīng)將來網(wǎng)絡(luò)規(guī)模的發(fā)展。業(yè)務(wù)符合性。平臺(tái)所提供的事件監(jiān)控、處理流程，必須符合公安行業(yè)的實(shí)際工作特性與工作過程。可管理性。網(wǎng)絡(luò)安全系統(tǒng)必須具備良好的可管理性。系統(tǒng)現(xiàn)狀及需求分析目前XX公安信息專網(wǎng)涉及地域廣泛，包括省廳及直屬單位、個(gè)地市，多個(gè)區(qū)縣等接入單位；應(yīng)用系統(tǒng)繁多，共有100多個(gè)應(yīng)用系統(tǒng)。隨著XX公安信息網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)范圍越趨擴(kuò)大，主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)量也隨之不斷地增長，并且種類繁多、部署分散，這些系統(tǒng)每天都要產(chǎn)生成千上萬的各類安全事件和告警信息。XX公安非常重視公安信息安全建設(shè)，目前建成包括“一機(jī)兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺(tái)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測系統(tǒng)、應(yīng)急響應(yīng)系統(tǒng)等安全專項(xiàng)系統(tǒng)，這些系統(tǒng)在省廳及各地市得到應(yīng)用，但各個(gè)系統(tǒng)提供獨(dú)立的安全管理監(jiān)控平臺(tái)，形成多個(gè)“信息孤島”，缺乏全網(wǎng)統(tǒng)一的安全狀況實(shí)時(shí)監(jiān)控了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段，沒有一套完善的安全管理機(jī)制，沒有專門負(fù)責(zé)安全監(jiān)控的組織和人員，現(xiàn)有的安全管理、安全監(jiān)控手段已經(jīng)不能滿足日益擴(kuò)展的復(fù)雜的信息安全保障的需要，因此難以有效發(fā)揮其功能作用。目前XX省公安廳的安全管理系統(tǒng)存在以下問題：網(wǎng)絡(luò)范圍越趨擴(kuò)大，主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)量也隨之不斷地增長，并且種類繁多、部署分散，這些系統(tǒng)每天都要產(chǎn)生成千上萬的各類安全事件和告警信息，但是安全事件得不到有效處理。告警信息得不到有效分析。安全告警信息沒有與具體的設(shè)備資產(chǎn)想關(guān)聯(lián)，發(fā)現(xiàn)告警后無法定位和處理，比如病毒信息和IDS安全告警信息，因?yàn)闆]有和具體的設(shè)備相關(guān)聯(lián)，無法及時(shí)定位和處理；網(wǎng)絡(luò)中各安全設(shè)備基本采用各自分散的管理模式，而零散的安全信息很難形成集中性的、對(duì)決策、判斷及處理有重要意義的數(shù)據(jù)沒有明確的安全監(jiān)控、處理、安全管理流程和上報(bào)工作流程，缺乏有效的事件處理機(jī)制，當(dāng)產(chǎn)生安全事件時(shí)，相關(guān)人員按照自己的想法和理解進(jìn)行處理，可能會(huì)造成更大的損失和影響；缺乏全網(wǎng)統(tǒng)一的安全狀況實(shí)時(shí)監(jiān)控了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段。缺乏明確的人員職責(zé)定位與考核標(biāo)準(zhǔn)，安全告警不能落實(shí)到具體責(zé)任人，安全事件處理不能落實(shí)到任務(wù)處理人，難以形成高效的績效考核機(jī)制。缺乏與安全管理工作相適應(yīng)的安全知識(shí)體系。安全告警發(fā)生之后無法及時(shí)尋找對(duì)應(yīng)的知識(shí)庫進(jìn)行參照處理。針對(duì)上述問題，并根據(jù)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理的本質(zhì)，對(duì)風(fēng)險(xiǎn)進(jìn)行有效的控制，圍繞“重要資產(chǎn)、重要告警、重點(diǎn)監(jiān)控”的工作目標(biāo)，建議XX公安信息網(wǎng)建設(shè)安全管理平臺(tái)系統(tǒng)，從而解決上述問題及滿足省廳相關(guān)規(guī)范，最終逐步形成具有XX公安信息網(wǎng)特色的功能成熟、并能切實(shí)發(fā)揮作用的安全管理平臺(tái)。安全管理平臺(tái)建設(shè)目標(biāo)XX公安的SOC安全管理平臺(tái)的建設(shè)目標(biāo)是搭建以事件管理為核心的集中安全監(jiān)控平臺(tái)，通過實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)/系統(tǒng)中采集到的安全事件、資產(chǎn)、漏洞、風(fēng)險(xiǎn)、預(yù)警的進(jìn)行集中監(jiān)測和分析，實(shí)現(xiàn)安全告警管理與安全事件的流程化處置，建立安全策略管理基本框架。初步建立安全知識(shí)體系和應(yīng)急響應(yīng)體系，從而提高科通處所管理系統(tǒng)的安全威脅實(shí)時(shí)檢測率，降低被成功攻擊的概率，提高安全事件的響應(yīng)速度。其具體目標(biāo)可表現(xiàn)為：集中監(jiān)控告警統(tǒng)一監(jiān)控管轄范圍內(nèi)的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、中間件、服務(wù)和機(jī)房設(shè)備，為用戶提供一個(gè)全方位監(jiān)控的統(tǒng)一管理平臺(tái)，使得管理員通過一個(gè)單一控制臺(tái)就能夠進(jìn)行實(shí)時(shí)全網(wǎng)監(jiān)控，保障全網(wǎng)IT計(jì)算環(huán)境基礎(chǔ)設(shè)施的可用性，業(yè)務(wù)的持續(xù)性和安全性。事件定位處理在所的監(jiān)控的設(shè)備發(fā)生故障或安全事件時(shí)，監(jiān)控系統(tǒng)能幫助管理員快速、準(zhǔn)確地找到問題的根源所在，有效排查。對(duì)于‘一機(jī)兩用’這類公安的專項(xiàng)系統(tǒng)，必須能夠在事件發(fā)生的第一時(shí)間定位到所屬區(qū)域、責(zé)任人，并且能夠以便捷的通知方式（例如短信、郵件、網(wǎng)上通知）快速下發(fā)信息，明確處理人，以工單流轉(zhuǎn)的方式進(jìn)行及時(shí)處理。安全關(guān)聯(lián)分析安全系統(tǒng)產(chǎn)生的日志數(shù)量是非常龐大的，要在這些事件里找出有用的信息，沒有安全管理平臺(tái)的幫助，幾乎是不可能實(shí)現(xiàn)的。安全管理平臺(tái)需要提供的事件關(guān)聯(lián)分析功能，幫助管理員對(duì)事件進(jìn)行相關(guān)性分析，得出需要關(guān)注的少量的安全事故，大大降低事件處理的工作量，使重要的事件能夠以較高的優(yōu)先級(jí)被處理。對(duì)于所收集到的事件，安全管理平臺(tái)需要將其標(biāo)準(zhǔn)化后賦予其唯一的ID，以實(shí)現(xiàn)事件關(guān)聯(lián)效率高，分析更清楚，和事故處理知識(shí)庫能緊密聯(lián)系。實(shí)時(shí)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理以業(yè)務(wù)系統(tǒng)為核心，以資產(chǎn)為基礎(chǔ)，依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)GB/T22239-2008和公安行業(yè)規(guī)則，提供兩大規(guī)則庫供安全管理員對(duì)重要業(yè)務(wù)系統(tǒng)進(jìn)行等級(jí)評(píng)定和風(fēng)險(xiǎn)管理，以實(shí)時(shí)展現(xiàn)業(yè)務(wù)系統(tǒng)存在的威脅、脆弱性和風(fēng)險(xiǎn)，盡可能減少或避免業(yè)務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)，確保業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)環(huán)境中能夠持續(xù)、穩(wěn)定和安全的運(yùn)行。安全運(yùn)維流程公安信息安全工作中的重點(diǎn)是日常的安全運(yùn)維工作，包括簽到、巡檢、事件處置、通知通報(bào)、響應(yīng)等工作環(huán)節(jié)，運(yùn)維工作強(qiáng)調(diào)制度化、流程化與標(biāo)準(zhǔn)化，核心是事件的處理過程。平臺(tái)需要內(nèi)置事件處理流程工單系統(tǒng)，通過與可定制安全知識(shí)庫的結(jié)合，可方便快捷的將安全事故處理建議分發(fā)給負(fù)責(zé)人員進(jìn)行事故的及時(shí)處理并反饋。安全管理流程作為一個(gè)開放的網(wǎng)絡(luò)，安全和維護(hù)的壓力越來越高，需要實(shí)現(xiàn)從依靠人工維護(hù)IT系統(tǒng)的模式，轉(zhuǎn)變成基于流程和工具的安全、可靠、高質(zhì)量、高效的服務(wù)模式。建設(shè)完備的安全管理流程，實(shí)現(xiàn)自動(dòng)化工單、案例、知識(shí)庫的自動(dòng)管理和維護(hù)實(shí)時(shí)自動(dòng)化監(jiān)控，并提供高品質(zhì)的服務(wù)，降低安全風(fēng)險(xiǎn)以提高IT系統(tǒng)的可用性。具體工具公安業(yè)務(wù)進(jìn)行定制：比如：案件處理流程、CA證書發(fā)放流程管理、應(yīng)急服務(wù)處理流程、規(guī)章制度流程信息化、安全管理員管理、設(shè)備注冊管理等功能。策略知識(shí)體系安全事件的特殊性、突發(fā)性決定了作為攻擊的防御方——安全管理員和所有IT信息的使用者，需要具備一定的安全防護(hù)知識(shí)。安全知識(shí)管理解決用戶環(huán)境中安全知識(shí)（包括漏洞信息、威脅信息、案例、安全策略）的積累、發(fā)布和管理問題，實(shí)現(xiàn)安全教育的全員化。安全管理平臺(tái)廠商必需維護(hù)平臺(tái)知識(shí)庫，可快速升級(jí)安全管理平臺(tái)中相關(guān)的產(chǎn)品特征庫模塊，另一方面將緊急的、影響重大的安全事件通過Web的方式發(fā)布出去。實(shí)現(xiàn)安全管理平臺(tái)的知識(shí)管理與網(wǎng)絡(luò)安全態(tài)勢同步。安全管理平臺(tái)方案設(shè)計(jì)平臺(tái)概述啟明星辰推出的泰合信息安全運(yùn)營中心系統(tǒng)（以下簡稱TSOC）是立足于公司十多年信息安全積累的基礎(chǔ)之上，基于客戶最新需求推出的全新一代安全管理平臺(tái)。TSOC－GA公安行業(yè)專版（以下簡稱TSOC－GA）是啟明星辰基于TSOC產(chǎn)品成果、面向全國公安用戶定向開發(fā)的行業(yè)化版本。公安行業(yè)專版完全遵照公安部《公安信息通信網(wǎng)綜合安全管理平臺(tái)技術(shù)規(guī)范（試行）》，充分結(jié)合了公安行業(yè)業(yè)務(wù)特性，并有效發(fā)揮了啟明星辰在安全管理平臺(tái)領(lǐng)域的技術(shù)專長，體現(xiàn)了公安信息安全管理工作中“集中監(jiān)控、統(tǒng)一管理、全面分析、快速響應(yīng)、規(guī)范運(yùn)行”的管理思想，能夠顯著提升公安信息安全管理工作的效率與質(zhì)量。TSOC－GA采用了新一代的基于超微內(nèi)核的技術(shù)架構(gòu)，融合多種信息安全技術(shù)和管理理念，充分實(shí)現(xiàn)組織、管理、技術(shù)三個(gè)體系的合理調(diào)配，幫助用戶實(shí)現(xiàn)對(duì)業(yè)務(wù)信息系統(tǒng)的統(tǒng)一安全保障。TSOC－GA采用開放平臺(tái)架構(gòu)設(shè)計(jì)，遵循業(yè)界通行的應(yīng)用接口和管理接口，功能部件都實(shí)現(xiàn)了模塊化裝配，客戶可以自由選擇，并能夠與客戶的應(yīng)用和管理環(huán)境實(shí)現(xiàn)很好的對(duì)接與整合。TSOC具有國內(nèi)最廣泛的應(yīng)用范圍和客戶群，已經(jīng)連續(xù)4年位居國內(nèi)市場銷量第一，TSOC－GA已經(jīng)在公安行業(yè)擁有多個(gè)大型成功案例。系統(tǒng)組成TSOC－GA包括管理中心、日志采集器、性能采集器和日志代理四個(gè)部件。管理中心管理中心是TSOC－GA的核心部件，實(shí)現(xiàn)了對(duì)IT系統(tǒng)集中化的性能及可用性監(jiān)控、安全事件的集中管理、安全風(fēng)險(xiǎn)的評(píng)估、宏觀安全態(tài)勢感知，以及流程化的安全響應(yīng)與處理。客戶通過瀏覽器即可登陸管理中心，進(jìn)行各種操作。管理中心內(nèi)置日志采集和性能采集功能，客戶無需另行安裝其它任何部件即可直接收集管理對(duì)象的日志信息和性能信息。管理中心也可以匯聚來自日志采集器、日志代理和性能采集器的日志信息。日志采集器日志采集器可以安裝并獨(dú)立運(yùn)行在一臺(tái)服務(wù)器上，也可以與性能采集器集成安裝和運(yùn)行一臺(tái)服務(wù)器上，實(shí)現(xiàn)對(duì)異構(gòu)管理對(duì)象的日志采集，功能同管理中心的日志采集模塊，用以輔助管理中心解決特定日志采集的問題，并可以實(shí)現(xiàn)分布式日志采集能力。日志采集器收集的日志可以轉(zhuǎn)發(fā)給管理中心。管理中心可以對(duì)網(wǎng)絡(luò)中分散的日志采集器進(jìn)行集中管理。性能采集器性能采集器可以安裝并獨(dú)立運(yùn)行在一臺(tái)服務(wù)器上，也可以與日志采集器集成安裝和運(yùn)行一臺(tái)服務(wù)器上，實(shí)現(xiàn)對(duì)異構(gòu)管理對(duì)象的性能信息采集，包括可用性信息、運(yùn)行狀態(tài)信息、性能信息等，功能同管理中心的性能采集模塊，用以輔助管理中心解決分布式性能數(shù)據(jù)采集的問題。性能采集器收集的數(shù)據(jù)可以轉(zhuǎn)發(fā)給管理中心。管理中心可以對(duì)網(wǎng)絡(luò)中分散的性能采集器進(jìn)行集中管理。日志代理日志代理用于安裝并運(yùn)行在管理對(duì)象上，實(shí)現(xiàn)對(duì)管理對(duì)象的日志采集和轉(zhuǎn)發(fā)。目前，日志代理支持Windows操作系統(tǒng)，主要用于采集Windows操作系統(tǒng)及其服務(wù)與應(yīng)用的日志。日志代理收集的日志可以轉(zhuǎn)發(fā)給日志采集器，或者直接轉(zhuǎn)發(fā)給管理中心。管理中心可以對(duì)網(wǎng)絡(luò)中分散的日志代理進(jìn)行集中管理。系統(tǒng)架構(gòu)TSOC－GA的技術(shù)架構(gòu)圖如下：集中展示層是安全預(yù)警和事件監(jiān)控、安全運(yùn)行監(jiān)控、協(xié)同工作處理、安全知識(shí)培訓(xùn)、綜合分析的統(tǒng)一展示，是安管平臺(tái)與各類用戶交互的窗口。核心處理層是實(shí)現(xiàn)安全管理業(yè)務(wù)的核心層，各類安全工作人員完成所授權(quán)的工作，完成對(duì)事件與狀態(tài)的處理，完成平臺(tái)自身的管理，實(shí)現(xiàn)公安信息網(wǎng)安全管理制度的全面落實(shí)。該層分為運(yùn)行監(jiān)控子系統(tǒng)、業(yè)務(wù)處理子系統(tǒng)、業(yè)務(wù)分析子系統(tǒng)、業(yè)務(wù)配置子系統(tǒng)和平臺(tái)管理子系統(tǒng)，這五個(gè)子系統(tǒng)不僅可以完成獨(dú)立的功能，同時(shí)也是相互結(jié)合的，實(shí)現(xiàn)完整的工作流和事件處理。接入交換層包括平臺(tái)級(jí)聯(lián)接口、安全專項(xiàng)系統(tǒng)接口、其他系統(tǒng)接口等，實(shí)現(xiàn)各級(jí)安管平臺(tái)的接入認(rèn)證、級(jí)聯(lián)數(shù)據(jù)同步和安全傳輸；實(shí)現(xiàn)安全專項(xiàng)系統(tǒng)的統(tǒng)一接入管理和策略管理；提供安管平臺(tái)反饋處理的信息通道；提供安管平臺(tái)外部系統(tǒng)服務(wù)接口，規(guī)范安管平臺(tái)提供服務(wù)的形式和內(nèi)容。通過接入交換層，安管平臺(tái)與公安網(wǎng)中安全專項(xiàng)系統(tǒng)、上下級(jí)安管平臺(tái)、運(yùn)維/值班平臺(tái)等系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)交換和共享。平臺(tái)功能描述集中展示模塊安全主頁用戶登錄即可進(jìn)入安全首頁。通過該界面，能夠快速的導(dǎo)航到各個(gè)功能。安全首頁將各個(gè)界面的信息集中顯示和發(fā)布，采用Web方式，對(duì)監(jiān)控類信息、全網(wǎng)工作協(xié)同類信息、信息安全培訓(xùn)知識(shí)、綜合分析類信息等進(jìn)行統(tǒng)一呈現(xiàn)，提供相應(yīng)權(quán)限的查閱與工作界面，如下圖所示：在首頁的展示樣式上，我們綜合采用了以下各種方式：基于列表的信息顯示專項(xiàng)系統(tǒng)告警、事件、通知通報(bào)等內(nèi)容，均提供列表方式的信息顯示。列表信息支持實(shí)時(shí)更新，也支持監(jiān)控窗口的擴(kuò)展?；趫D表的信息顯示系統(tǒng)整體安全狀態(tài)、專項(xiàng)系統(tǒng)事件的發(fā)展趨勢，均以直觀的圖形化方式顯示，安全首頁中采用雷達(dá)圖、趨勢圖、柱狀圖、儀表圖等多種圖表樣式，滿足美觀、直觀的監(jiān)控要求?；陔娮拥貓D的信息顯示在多級(jí)管理架構(gòu)下，各個(gè)下級(jí)平臺(tái)的安全運(yùn)行狀態(tài)、以及考核得分，能夠在電子地圖上直接查看。電子地圖支持圖形自定義，并能夠自動(dòng)根據(jù)相關(guān)系統(tǒng)的安全狀態(tài)自動(dòng)調(diào)整界面顏色，支持自動(dòng)刷新?；诟?dòng)窗口的信息顯示安全主頁中能夠以浮動(dòng)窗口的形式，直接提醒管理人員待辦工作，避免出現(xiàn)工作遺漏。個(gè)人工作臺(tái)工作臺(tái)為用戶提供了一個(gè)從用戶自身業(yè)務(wù)需要出發(fā)使用本系統(tǒng)的快速入口，通過預(yù)先配置，工作臺(tái)集成了當(dāng)前登錄用戶有關(guān)的日常工作活動(dòng)，為其提供一站式管理功能。工作臺(tái)是與用戶相關(guān)的，它把系統(tǒng)各功能模塊進(jìn)行有序的聯(lián)系，形成面向用戶的、條理清晰的工作桌面。用戶可以在工作臺(tái)中自定義儀表板，按需設(shè)計(jì)儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。工作臺(tái)能夠支持展示的信息包括：公安網(wǎng)各類安全預(yù)警、事件、通報(bào)摘要信息；公安網(wǎng)各安全專項(xiàng)系統(tǒng)運(yùn)行摘要信息；待辦工作信息；個(gè)人工作信息；運(yùn)行及服務(wù)狀態(tài)指標(biāo)數(shù)據(jù)；安全運(yùn)行管理考核指標(biāo)數(shù)據(jù)；統(tǒng)計(jì)分析數(shù)據(jù)；平臺(tái)自身運(yùn)行監(jiān)控信息；組織機(jī)構(gòu)信息，包括上級(jí)及本級(jí)安全管理組織機(jī)構(gòu)、人員等；安全技術(shù)、法規(guī)（包括上級(jí)及本級(jí)的安全管理相關(guān)的制度、文件、規(guī)章）、案例等展示和培訓(xùn)；安全服務(wù)信息指南，提供補(bǔ)丁下載、病毒庫更新、安全專項(xiàng)工具和相關(guān)表格等相關(guān)資源幫助信息；應(yīng)急響應(yīng)信息，包括公安信息網(wǎng)安全應(yīng)急預(yù)案等信息。安全門戶系統(tǒng)提供免登錄的服務(wù)入口，能夠?yàn)閺V大公安干警提供安全信息與服務(wù)支持。安全門戶可以被嵌入到公安的其它信息網(wǎng)站中。安全門戶支持安全公告瀏覽、服務(wù)工具、補(bǔ)丁下載，并提供安全服務(wù)功能的受理、跟蹤。運(yùn)行監(jiān)控模塊專項(xiàng)系統(tǒng)日志采集和監(jiān)控系統(tǒng)支持公安系統(tǒng)內(nèi)一機(jī)兩用、異常流量、防火墻、入侵攻擊與防御等多種安全專項(xiàng)系統(tǒng)的日志收集，能夠以Syslog、SNMPTrap、FTP、EventLog、NETBIOS、ODBC、WMI、Shell腳本、VIP、WebService等協(xié)議進(jìn)行日志采集，并支持對(duì)日志進(jìn)行范式化、過濾、歸并。此外，TSOC－GA還提供可獨(dú)立部署的日志采集器，每個(gè)采集器都能對(duì)日志進(jìn)行采集、范式化、過濾和歸并，實(shí)現(xiàn)分布式日志采集。日志采集器統(tǒng)一接入管理中心，實(shí)現(xiàn)集中化安全事件管理。管理中心具備對(duì)多個(gè)日志采集器的集中管理功能。具體界面如下圖所示：安全事件監(jiān)控安全事件監(jiān)控能夠?qū)ζ脚_(tái)采集到的安全事件進(jìn)行實(shí)時(shí)性的展示和報(bào)警，系統(tǒng)提供了實(shí)時(shí)監(jiān)控視圖，可以根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從各個(gè)維度實(shí)時(shí)觀測安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來源定位，具體包括：監(jiān)控展示，內(nèi)容包括編號(hào)、名稱、級(jí)別、發(fā)生時(shí)間、狀態(tài)、內(nèi)容描述等，并可支持自定義屬性信息的展示。可以提供對(duì)重大安全事件和違規(guī)事件提供報(bào)警和業(yè)務(wù)處理入口?？梢蕴峁┗诎踩录燃?jí)、安全事件分類、安全域的監(jiān)控?？梢曰趩蝹€(gè)或多個(gè)安全專項(xiàng)系統(tǒng)的日志分析、安全告警、事件的監(jiān)控?？梢蕴峁┗趩蝹€(gè)或多個(gè)下級(jí)平臺(tái)或管理域的安全事件監(jiān)控?？梢灾С謱?duì)事件源的定位功能。告警監(jiān)控相對(duì)于來源于原始日志的事件而言，告警是更需要引起關(guān)注的重要信息。系統(tǒng)中的事件，可以基于預(yù)定義規(guī)則生成為告警。系統(tǒng)支持各種告警響應(yīng)動(dòng)作，包括彈出提示框、發(fā)送郵件、發(fā)送SNMPTrap、發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動(dòng)、發(fā)送飛鴿傳書、發(fā)送Syslog等告警方式。告警信息可查詢，可追蹤和統(tǒng)計(jì)分析。告警的另一來源于設(shè)備的性能狀態(tài)。用戶可以設(shè)置性能狀態(tài)的監(jiān)控閥值，當(dāng)超過閥值時(shí)可以生成為告警。告警管理則包括對(duì)告警信息的查看、處理和統(tǒng)計(jì)分析。系統(tǒng)提供快捷的告警響應(yīng)處理流程，可記錄告警信息的處理過程和處理結(jié)果，并能夠與工單管理模塊聯(lián)動(dòng)。安全預(yù)警監(jiān)控平臺(tái)提供安全預(yù)警的管理。安全預(yù)警是一種有效預(yù)防措施和制度措施，涉及收集預(yù)警、審核發(fā)布、響應(yīng)與安全防護(hù)等過程，包括安全預(yù)警監(jiān)控展示和報(bào)警。系統(tǒng)提供了及時(shí)的預(yù)警管理機(jī)制，能夠發(fā)布經(jīng)審核的預(yù)警信息，系統(tǒng)支持豐富的預(yù)警類別，支持預(yù)警定級(jí)，支持預(yù)警的發(fā)布范圍定義。具體界面如下圖所示：安全預(yù)警功能包括：安全預(yù)警監(jiān)控對(duì)本平臺(tái)產(chǎn)生的最新預(yù)警信息內(nèi)容進(jìn)行監(jiān)控展示。根據(jù)預(yù)警來源、預(yù)警類別范圍、預(yù)警的級(jí)別、影響的范圍等進(jìn)行監(jiān)視。支持對(duì)接受預(yù)警的存儲(chǔ)、報(bào)警等方式進(jìn)行設(shè)置。設(shè)備性能信息采集系統(tǒng)能夠主動(dòng)地、周期性地采集各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)的性能與可用性信息，采樣周期、采集參數(shù)都可以獨(dú)立配置。系統(tǒng)支持通過SNMP、TELNET、SSH、SSH2、ODBC、JMX、協(xié)議仿真等方式對(duì)IT資產(chǎn)進(jìn)行性能與可用性信息的采集。管理中心內(nèi)置性能信息采集，也提供獨(dú)立安裝的性能信息采集器。系統(tǒng)提供可獨(dú)立部署的性能信息采集器，每個(gè)采集器都能對(duì)性能信息進(jìn)行采集，并統(tǒng)一接入管理中心，實(shí)現(xiàn)集中化的性能與可用性監(jiān)控。管理中心具備對(duì)多個(gè)性能信息采集器的集中管理功能。設(shè)備性能狀態(tài)監(jiān)控系統(tǒng)能夠?qū)Ω鞣N不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)的性能與狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，具有豐富的監(jiān)控指標(biāo)。管理員可以通過豐富的可視化圖表查看監(jiān)控指標(biāo)信息；可以對(duì)監(jiān)控指標(biāo)設(shè)置告警閥值；可以將監(jiān)控指標(biāo)的數(shù)據(jù)保存起來，并進(jìn)行歷史分析。系統(tǒng)可以監(jiān)控公安安全專項(xiàng)系統(tǒng)的關(guān)鍵服務(wù)運(yùn)行狀態(tài)指標(biāo)。如專項(xiàng)系統(tǒng)名稱、IP地址、運(yùn)行狀態(tài)描述、詳細(xì)狀態(tài)信息，通過對(duì)上述信息的監(jiān)控，可對(duì)關(guān)鍵服務(wù)運(yùn)行故障實(shí)現(xiàn)基本定位和跟蹤。平臺(tái)運(yùn)行監(jiān)控綜合安全管理平臺(tái)提供平臺(tái)狀態(tài)監(jiān)控功能，完成對(duì)平臺(tái)自身狀態(tài)信息、與部運(yùn)維平臺(tái)等連通情況、平臺(tái)目前操作人員信息的監(jiān)控展示，如下圖所示：平臺(tái)自身狀態(tài)信息包括系統(tǒng)當(dāng)前CPU、內(nèi)存、磁盤空間、網(wǎng)卡流量等、數(shù)據(jù)庫使用狀態(tài)，上/下級(jí)平臺(tái)在線狀態(tài)、平臺(tái)模塊運(yùn)行狀態(tài)、當(dāng)前登錄用戶信息、當(dāng)前上線人數(shù)、當(dāng)前的時(shí)間等進(jìn)行監(jiān)控。支持自身如CPU、內(nèi)存、磁盤空間等、數(shù)據(jù)庫內(nèi)存等系統(tǒng)狀態(tài)的報(bào)警方式設(shè)置。通知通報(bào)監(jiān)控公安行業(yè)的重要安全管理工作以通知通報(bào)形式發(fā)布，平臺(tái)提供通知通報(bào)的錄入、修改、刪除等功能，同時(shí)安全管理的相關(guān)通知通報(bào)也需要相應(yīng)管理員進(jìn)行簽收，如下圖所示:本平臺(tái)能夠預(yù)告加載標(biāo)準(zhǔn)的通知通報(bào)模板，自動(dòng)補(bǔ)充相關(guān)內(nèi)容，并支持人工的再修改，經(jīng)審核后才發(fā)布。系統(tǒng)既可以展示來源于本級(jí)的通知通報(bào)，也可展示來自于相關(guān)的級(jí)聯(lián)平臺(tái)發(fā)布的信息。系統(tǒng)的通知通報(bào)監(jiān)控具備實(shí)時(shí)更新功能，能夠?qū)π掳l(fā)布的信息進(jìn)行及時(shí)呈現(xiàn)。脆弱性監(jiān)控系統(tǒng)具有脆弱性管理功能，能夠?qū)胭Y產(chǎn)的弱點(diǎn)信息，并計(jì)算資產(chǎn)/安全域/業(yè)務(wù)系統(tǒng)的脆弱性值。系統(tǒng)能夠通過多種方式展示資產(chǎn)/安全域/業(yè)務(wù)系統(tǒng)的弱點(diǎn)信息，支持時(shí)間趨勢分析和橫向?qū)Ρ确治?。安全風(fēng)險(xiǎn)監(jiān)控系統(tǒng)通過內(nèi)置的風(fēng)險(xiǎn)計(jì)算模型，綜合考慮資產(chǎn)的價(jià)值、脆弱性和威脅，能夠定期自動(dòng)地計(jì)算出資產(chǎn)的風(fēng)險(xiǎn)可能性和影響性，并通過二者建立了一個(gè)風(fēng)險(xiǎn)矩陣，進(jìn)而計(jì)算出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)值，并刻畫出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)隨時(shí)間變化的風(fēng)險(xiǎn)變化曲線。系統(tǒng)能夠形象地展示出安全域的風(fēng)險(xiǎn)矩陣，從可能性和影響性兩個(gè)角度標(biāo)注安全域中風(fēng)險(xiǎn)的分布情況，通過風(fēng)險(xiǎn)矩陣法，指導(dǎo)管理員進(jìn)行風(fēng)險(xiǎn)分析，采取相應(yīng)的風(fēng)險(xiǎn)處置對(duì)策。系統(tǒng)還能以圖表的形式可視化地顯示每個(gè)資產(chǎn)、安全域或業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)的關(guān)鍵因素，便于管理人員理解風(fēng)險(xiǎn)的具體含義。拓?fù)浔O(jiān)控系統(tǒng)能夠自動(dòng)發(fā)現(xiàn)和識(shí)別IT硬件資產(chǎn)（例如網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)），能自動(dòng)發(fā)現(xiàn)和識(shí)別軟件資產(chǎn)（例如數(shù)據(jù)庫、中間件），并識(shí)別這些軟硬件資產(chǎn)之間的連接關(guān)系或包含關(guān)系，還能自動(dòng)描繪出網(wǎng)絡(luò)及服務(wù)拓?fù)鋱D以及機(jī)架視圖。通過網(wǎng)絡(luò)拓?fù)鋱D，管理員可以對(duì)全網(wǎng)的資產(chǎn)進(jìn)行可視化的監(jiān)控。拓?fù)鋱D具備動(dòng)態(tài)更新能力，能夠?qū)崟r(shí)地顯示資產(chǎn)的運(yùn)行狀態(tài)和安全狀態(tài)，能夠方便地鏈接到其他功能模塊。系統(tǒng)能夠?qū)崟r(shí)地顯示資產(chǎn)的運(yùn)行狀態(tài)和安全狀態(tài)，并能夠方便地實(shí)現(xiàn)與網(wǎng)絡(luò)拓?fù)湟晥D的雙向切換。業(yè)務(wù)處理模塊公安行業(yè)對(duì)業(yè)務(wù)的規(guī)范化處理有很高要求，規(guī)定要依據(jù)業(yè)務(wù)流程人工或自動(dòng)完成安全管理中的日常工作、管理工作和響應(yīng)處理。具體包括：流程啟動(dòng)：支持信息預(yù)處理自動(dòng)啟動(dòng)流程，支持人工啟動(dòng)流程。業(yè)務(wù)狀態(tài)：包括待閱、待辦、在辦、辦結(jié)、打回等。處理方式：手動(dòng)、自動(dòng)、轉(zhuǎn)辦、委托處理，支持附件上傳。工作記錄：對(duì)工作和事件的信息查看、狀態(tài)修改、信息補(bǔ)充、結(jié)果記錄。通知提醒：人工和自動(dòng)提醒工作和事件，提醒內(nèi)容包括內(nèi)容、時(shí)間、重要程度，提醒方式包括手機(jī)短信、郵件、界面提示。TSOC－GA充分考慮到了多級(jí)平臺(tái)架構(gòu)下流程狀態(tài)的反饋能力。在上級(jí)平臺(tái)中能夠及時(shí)查看到下級(jí)的處理狀態(tài)，完成事件處理的跟蹤處理。所有的這些配置操作，本平臺(tái)都是在工作流中間件里進(jìn)行的。工作流中間件能夠以圖形化的方式進(jìn)行流程節(jié)點(diǎn)的增刪、狀態(tài)的調(diào)整配置、人員權(quán)限的設(shè)置，通知方式的設(shè)置，可以靈活適應(yīng)公安實(shí)際工作的需要。日常工作公安的日常工作包括：簽到、簽收、巡檢、個(gè)人工作日志等工作的排班、啟動(dòng)、工作記錄等。這些工作都是在日常的流程中進(jìn)行處理。如下圖所示：管理簽到按照公安要求，管理簽到主要是提供考勤簽到，實(shí)現(xiàn)本級(jí)單位安全管理人員和運(yùn)維人員的簽到功能。簽到的記錄將統(tǒng)計(jì)計(jì)入人員考核結(jié)果。本平臺(tái)的簽到支持人工簽到與自動(dòng)簽到兩種。并提供對(duì)簽到情況的提醒與查詢功能。信息簽收對(duì)于接收到的各類信息、包括各種工單、通知通報(bào)，接收方均應(yīng)提供簽收功能。簽收功能還包括一些信息的反饋，以便于發(fā)送方確認(rèn)信息已被簽收。安全巡檢安全巡檢主要是指安全運(yùn)維人員根據(jù)預(yù)先設(shè)定的安全基線指標(biāo)，對(duì)安全專項(xiàng)系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備及安全應(yīng)用系統(tǒng)的各項(xiàng)硬件參數(shù)、軟件參數(shù)及業(yè)務(wù)參數(shù)進(jìn)行巡檢和記錄，并對(duì)巡檢中發(fā)現(xiàn)的異常情況進(jìn)行匯報(bào)和處理。運(yùn)維人員進(jìn)行巡檢之后，需要進(jìn)行日志填寫。日志可由領(lǐng)導(dǎo)進(jìn)行審查，并作為考核依據(jù)。管理工作公安的管理性工作包括安全員管理、工單修訂等工作的啟動(dòng)、工作記錄、狀態(tài)修改、處理方式選擇。對(duì)于安全員的變動(dòng)，系統(tǒng)提供安全員管理的審核流程。支持的安全員管理類型包括增、刪、改、調(diào)整權(quán)限等。對(duì)于運(yùn)行過程中的各類工單，管理性工作提供經(jīng)審核后的工單修訂功能，能夠?qū)芜\(yùn)行流程進(jìn)行特殊干預(yù)，例如強(qiáng)制退回、重新打開、跳過節(jié)點(diǎn)等等。界面如下圖所示：響應(yīng)處理在公安的響應(yīng)處理過程，最重要的是進(jìn)行應(yīng)急響應(yīng)。對(duì)于系統(tǒng)自動(dòng)產(chǎn)生的工單、或者人工發(fā)起的工單、或者協(xié)同工單，均存在應(yīng)急響應(yīng)處理的可能。應(yīng)急響應(yīng)處理是工單處理環(huán)節(jié)中重要的內(nèi)容，界面如下圖所示：應(yīng)急響應(yīng)包括三方面內(nèi)容：應(yīng)急響應(yīng)流程該功能主要提供應(yīng)急響應(yīng)的通知通報(bào)、信息發(fā)布、簽收，響應(yīng)處理、結(jié)果填報(bào)，是事件處理環(huán)節(jié)的內(nèi)嵌流程。響應(yīng)處理動(dòng)作在響應(yīng)處理的具體操作中，平臺(tái)提供各種處理手段，包括查處通知、故障問題處理、運(yùn)行維護(hù)調(diào)度單、服務(wù)反饋通知、報(bào)警通報(bào)等。應(yīng)急響應(yīng)工具平臺(tái)提供響應(yīng)工具的管理，包括上傳、下載等。有效的工具是執(zhí)行應(yīng)急響應(yīng)的基礎(chǔ)。應(yīng)急響應(yīng)預(yù)案預(yù)案是安全管理中的重要知識(shí)內(nèi)容，在響應(yīng)處理環(huán)節(jié)可以根據(jù)需要人工啟動(dòng)某一級(jí)預(yù)案，啟動(dòng)后的預(yù)案將發(fā)布在顯著位置，所有登錄用戶均能夠查看到。安全服務(wù)工作安管平臺(tái)服務(wù)于全體公安干警的功能體現(xiàn)在兩方面：一是安全知識(shí)庫功能，二是安全服務(wù)受理。平臺(tái)的使用人員，包括全體警員，均可以在平臺(tái)上瀏覽相關(guān)的安全知識(shí)庫，進(jìn)行安全補(bǔ)丁、安全工具的下載，接收最新的安全公告，提高自身的安全防護(hù)能力。服務(wù)受理功能主要提供安全業(yè)務(wù)的受理和處理功能，對(duì)不同的安全業(yè)務(wù)提供不同的處理流程，并且該類流程是可配置、可視化、靈活的。同時(shí)也能對(duì)安全業(yè)務(wù)受理、處理的狀態(tài)和結(jié)果進(jìn)行審核和發(fā)布。公安網(wǎng)絡(luò)面向全體警員可提供的常見業(yè)務(wù)有：設(shè)備出入網(wǎng)注冊服務(wù)；邊界接入申請(qǐng)服務(wù)；公安數(shù)字證書申請(qǐng)服務(wù)；電子印章申請(qǐng)服務(wù)；本平臺(tái)也提供對(duì)本地化的安全業(yè)務(wù)受理的定制，例如與公安門戶網(wǎng)站的整合，以實(shí)現(xiàn)為全體警員服務(wù)的目標(biāo)。業(yè)務(wù)統(tǒng)計(jì)模塊業(yè)務(wù)統(tǒng)計(jì)分析公安綜合安全管理平臺(tái)對(duì)業(yè)務(wù)統(tǒng)計(jì)分析功能需要實(shí)現(xiàn)對(duì)安全事件、安全流程處理、管理考核、安全專項(xiàng)系統(tǒng)等業(yè)務(wù)進(jìn)行統(tǒng)計(jì)分析，如下圖所示：具體針對(duì)以下的數(shù)據(jù)進(jìn)行分析安全告警：依據(jù)告警時(shí)間、告警等級(jí)、處理狀態(tài)、告警類型、設(shè)備類型等屬性進(jìn)行組合統(tǒng)計(jì)與分析安全事件：依據(jù)事件時(shí)間、事件類別、事件級(jí)別、IP地址、區(qū)域、資產(chǎn)、處理狀態(tài)、響應(yīng)級(jí)別、報(bào)警等級(jí)等組合統(tǒng)計(jì)和分析。流程處理：依據(jù)人員、部門、區(qū)域、事件類別、流程名稱、完成率、超時(shí)率等組合統(tǒng)計(jì)和分析。人員績效及運(yùn)行管理考核分析：依據(jù)人員、部門與區(qū)域、安全專項(xiàng)系統(tǒng)名稱等組合進(jìn)行工作量、指標(biāo)參數(shù)的統(tǒng)計(jì)和分析。運(yùn)行分析：依據(jù)專項(xiàng)系統(tǒng)的名稱、服務(wù)名稱、時(shí)間、系統(tǒng)提供商、區(qū)域、性能指標(biāo)、連續(xù)工作周期等組合統(tǒng)計(jì)和分析。對(duì)各單位的各項(xiàng)安全管理工作進(jìn)行統(tǒng)計(jì)分析并排名，并生成相應(yīng)的統(tǒng)計(jì)排名報(bào)表。業(yè)務(wù)考核報(bào)表公安對(duì)各級(jí)平臺(tái)有業(yè)務(wù)考核的需求，這一般通過下發(fā)考核模板、并且由下級(jí)平臺(tái)進(jìn)行定期報(bào)表上報(bào)來實(shí)現(xiàn)。系統(tǒng)內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、對(duì)比報(bào)表，管理人員可以根據(jù)需要生成不同的報(bào)表。典型的工作包括匯總的工作周報(bào)、工作月報(bào)、月通報(bào)、年通報(bào)等，其中包含了涉及到考核要求的各種信息的匯總。尤其對(duì)于省廳級(jí)平臺(tái)，還能夠依據(jù)公安部的考核要求對(duì)各個(gè)下級(jí)地市平臺(tái)進(jìn)行考核打分，其結(jié)果還將反映到首頁中。為了適應(yīng)可能的考核要求變化，本平臺(tái)的自定義報(bào)表通過報(bào)表中間件來完成，對(duì)于上級(jí)下發(fā)的報(bào)表模板，下級(jí)可相應(yīng)制訂報(bào)表模板。并完成以下功能：定期自動(dòng)（如周、月、季度、年）自動(dòng)和人工方式統(tǒng)計(jì)與分析。應(yīng)支持word、excel、html、pdf報(bào)表格式，應(yīng)支持圖形化的報(bào)表呈現(xiàn)模式如柱形圖、餅形圖等。用戶可自行設(shè)計(jì)報(bào)表，包括報(bào)表的頁面版式、統(tǒng)計(jì)內(nèi)容、顯示風(fēng)格等。通過圖表查詢、展示、打印、存儲(chǔ)分析結(jié)果。分析圖表應(yīng)包括：變化趨勢圖表、TOPN數(shù)量圖表、詳細(xì)信息圖表等。支持以郵件等方式自動(dòng)投遞關(guān)聯(lián)分析TSOC－GA關(guān)聯(lián)分析通過對(duì)告警信息、已經(jīng)處理的事件、業(yè)務(wù)記錄、基礎(chǔ)資源庫等各類信息資源進(jìn)行綜合關(guān)聯(lián)分析、挖掘和歸并，發(fā)現(xiàn)隱藏在獨(dú)立事件與業(yè)務(wù)背后的規(guī)律與事實(shí)，實(shí)現(xiàn)業(yè)務(wù)考核分析、運(yùn)行考核分析、平臺(tái)自身業(yè)務(wù)分析的綜合與提升。TSOC－GA關(guān)聯(lián)分析支持業(yè)務(wù)管理類和事件分析類的關(guān)聯(lián)分析。業(yè)務(wù)管理類包括本平臺(tái)使用人員異常行為分析、考核績效趨勢分析、業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)變化趨勢等。事件分析類關(guān)聯(lián)分析包括違規(guī)類、攻擊類、訪問異常類、啟發(fā)追蹤類、桌面操作異常類等。TSOC－GA關(guān)聯(lián)分析借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r(shí)不間斷地所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。系統(tǒng)具備多種關(guān)聯(lián)分析方法和能力：基于規(guī)則的事件關(guān)聯(lián)系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式和統(tǒng)計(jì)條件的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。規(guī)則的邏輯表達(dá)式支持等于、不等于、大于、小于、不大于、不小于、位于……之間、屬于、包含、FollowBy等運(yùn)算符和關(guān)鍵字。規(guī)則支持統(tǒng)計(jì)計(jì)數(shù)功能，并可以指定在統(tǒng)計(jì)時(shí)的固定和變動(dòng)的事件屬性，可以關(guān)聯(lián)出達(dá)到一定統(tǒng)計(jì)規(guī)則的事件。單事件關(guān)聯(lián)通過單事件關(guān)聯(lián)，系統(tǒng)可以對(duì)符合單一規(guī)則的事件流進(jìn)行規(guī)則匹配。多事件關(guān)聯(lián)通過多事件關(guān)聯(lián)，系統(tǒng)可以對(duì)符合多個(gè)規(guī)則（稱作組合規(guī)則）的事件流進(jìn)行復(fù)雜事件規(guī)則匹配。安全態(tài)勢分析系統(tǒng)具備安全態(tài)勢感知功能，包括安全整體狀態(tài)的計(jì)算和安全整體發(fā)展趨勢的預(yù)測。系統(tǒng)提供兩種安全態(tài)勢分析方法：地址熵態(tài)勢分析和威脅態(tài)勢（威脅KPI）分析。地址熵態(tài)勢分析：系統(tǒng)通過對(duì)收集到的一段時(shí)間內(nèi)的海量安全事件的報(bào)送IP地址進(jìn)行熵值計(jì)算，得到這些安全事件報(bào)送IP聚合度的變化幅度，以此來刻畫這段時(shí)間內(nèi)這些安全事件所屬網(wǎng)絡(luò)的安全狀態(tài)，并預(yù)測下一步的整體安全走勢。系統(tǒng)能夠可視化的展示隨時(shí)間變化的安全態(tài)勢曲線，并能夠通過曲線下鉆到影響網(wǎng)絡(luò)安全整體狀態(tài)的關(guān)鍵安全事件，實(shí)現(xiàn)從宏觀到微觀的聚焦。威脅態(tài)勢（威脅KPI）分析：系統(tǒng)通過對(duì)一組關(guān)鍵威脅指標(biāo)（KPI）計(jì)算得到一個(gè)威脅指數(shù)，并以此隨時(shí)間描述出一條威脅指數(shù)曲線，從而表征一段時(shí)間內(nèi)、某個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)安全威脅狀態(tài)及其發(fā)展趨勢。系統(tǒng)建立了一套動(dòng)態(tài)的多維威脅指標(biāo)體系，通過帕累托分析法，協(xié)助管理員對(duì)當(dāng)前的威脅成因進(jìn)行辨別，實(shí)現(xiàn)對(duì)關(guān)鍵威脅因素從宏觀到中觀，再到微觀的層層下鉆，直至定位到導(dǎo)致威脅態(tài)勢異常的關(guān)鍵安全事件。關(guān)鍵安全管理指標(biāo)分析系統(tǒng)通過對(duì)一組表征某個(gè)安全域或者業(yè)務(wù)系統(tǒng)安全管理建設(shè)水平的層次化指標(biāo)的計(jì)算，得到該安全域或者業(yè)務(wù)系統(tǒng)的安全管理建設(shè)水平評(píng)級(jí)，以此來表明該安全域或業(yè)務(wù)系統(tǒng)的信息安全管理體系的建設(shè)成熟度。系統(tǒng)將表征安全管理建設(shè)水平的這套層次化指標(biāo)稱作關(guān)鍵管理指標(biāo)，每個(gè)指標(biāo)項(xiàng)都建立了一個(gè)針對(duì)某類安全事件的度量標(biāo)準(zhǔn)。系統(tǒng)能夠可視化的展示出每個(gè)安全域或業(yè)務(wù)系統(tǒng)隨時(shí)間變化的安全管理評(píng)估曲線，并能夠進(jìn)行環(huán)比分析，以及跨安全域或業(yè)務(wù)系統(tǒng)的同比分析。對(duì)于每個(gè)關(guān)鍵管理指標(biāo)都支持指標(biāo)項(xiàng)的下鉆，實(shí)現(xiàn)從宏觀到微觀的聚焦。業(yè)務(wù)配置模塊監(jiān)控和報(bào)警管理綜合安全管理平臺(tái)對(duì)安全事件、安全預(yù)警、安全專項(xiàng)系統(tǒng)運(yùn)行狀態(tài)、平臺(tái)狀態(tài)的監(jiān)控與報(bào)警設(shè)置。綜合安全管理平臺(tái)監(jiān)控支持對(duì)信息的采集、信息顯示配置，同時(shí)支持顯示模板。綜合安全管理平臺(tái)報(bào)警條件可以通過告警規(guī)則靈活配置，配置條件包括級(jí)別、類別、區(qū)域等。綜合安全管理平臺(tái)報(bào)警方式支持自動(dòng)或人工的報(bào)警方式，可提供電子郵件、手機(jī)短信、syslog、snmptrap等多種方式。綜合安全管理平臺(tái)監(jiān)控與報(bào)警內(nèi)容包括事件名稱、IP、安全專項(xiàng)系統(tǒng)名稱、事件等級(jí)、詳細(xì)程度等。信息預(yù)處理管理綜合安全管理平臺(tái)提供信息預(yù)處理管理功能，對(duì)采集到的信息通過事件采集器配置信息預(yù)處理的參數(shù)、規(guī)則、條件等，具體界面如下圖所示：安全管理平臺(tái)可提供如下預(yù)處理配置：綜合安全管理平臺(tái)提供配置解析功能，通過XML解析文件將接收到的信息拆分為不同字段，并對(duì)應(yīng)到安全事件字段。綜合安全管理平臺(tái)提供信息補(bǔ)全配置功能，提供補(bǔ)全條件和補(bǔ)全內(nèi)容等。綜合安全管理平臺(tái)提供信息過濾配置，用戶可以自定義過濾條件。對(duì)于有可能出現(xiàn)的大流量數(shù)據(jù)，綜合安全管理平臺(tái)也提供數(shù)據(jù)歸并壓縮的配置功能。綜合安全管理平臺(tái)提供信息分類配置，在信息預(yù)處理時(shí)可以根據(jù)事件分類條件和對(duì)應(yīng)類別進(jìn)行歸類。綜合安全管理平臺(tái)提供工作和事件分配配置，通過設(shè)置判斷條件和啟動(dòng)流程。綜合安全管理平臺(tái)信息預(yù)處理的配置支持策略管理。流程管理綜合安全管理平臺(tái)采用工作流組件來完成流程管理工作，具體界面如下圖所示：其管理功能包括：基本管理：流程和活動(dòng)的新建、修改、刪除、查詢，流程的導(dǎo)入、導(dǎo)出。流程狀態(tài)：狀態(tài)管理，包括啟用、停用。對(duì)象管理：管理流程執(zhí)行者，包括部門（組織機(jī)構(gòu)）、角色、小組、人員。關(guān)系管理：活動(dòng)、流程的組合，包括引用、串行、并行、搶占。條件管理：依據(jù)工單內(nèi)容設(shè)置判斷條件，包括時(shí)間、工單類型、關(guān)鍵字判斷。觸發(fā)動(dòng)作：人工或依據(jù)條件自動(dòng)觸發(fā)動(dòng)作，包括打回、反饋、撤銷、轉(zhuǎn)閱、轉(zhuǎn)辦、通知提醒、轉(zhuǎn)入下一活動(dòng)、啟動(dòng)應(yīng)急預(yù)案。通知提醒管理：提醒內(nèi)容、提醒方式、提醒對(duì)象。流程配置策略管理。可根據(jù)實(shí)際需求，針對(duì)不同安全專項(xiàng)系統(tǒng)特點(diǎn)，自定義不同處理流程，靈活制定工作機(jī)制與管理策略。模版管理綜合安全管理平臺(tái)模版管理提供應(yīng)急預(yù)案模板、統(tǒng)計(jì)分析模板、業(yè)務(wù)考核模板的管理。模板管理包括：基本管理：預(yù)案和模板的新建、刪除、修改、導(dǎo)入、導(dǎo)出。應(yīng)急預(yù)案模板內(nèi)容：預(yù)案名稱、預(yù)案編號(hào)、建立時(shí)間、修改時(shí)間、應(yīng)急小組組長、應(yīng)急小組成員、行動(dòng)內(nèi)容與計(jì)劃、預(yù)案演練結(jié)果等。統(tǒng)計(jì)分析模板內(nèi)容：統(tǒng)計(jì)內(nèi)容、分析要素、展示方式等?？己四０鍍?nèi)容：考核內(nèi)容、考核要素、考核方法、展示方式、考核周期等。排班管理在公安的日常運(yùn)行工作與事件處理過程中，排班管理是一種高效的任務(wù)分配機(jī)制，它是與所有安全工作緊密相關(guān)的。通過合理的排班管理，不但能夠高效地安排資源，更能夠?yàn)槿藛T考核打下基礎(chǔ)。具體界面如下圖所示：排班可以基于日期進(jìn)行排定，還能夠細(xì)化了最多5個(gè)時(shí)間區(qū)段進(jìn)行排班。在本平臺(tái)中，以下工作與排班相關(guān)：簽到巡檢事件處理在多級(jí)管理結(jié)構(gòu)下，下級(jí)還能夠?qū)ε虐嘈畔⑦M(jìn)行上報(bào)，便于上級(jí)查看與安排工作。平臺(tái)管理模塊用戶與授權(quán)提供用戶集中管理的功能，對(duì)用戶可以訪問的資源權(quán)限進(jìn)行細(xì)致的劃分，具備安全可靠的分級(jí)及分類用戶管理功能。實(shí)現(xiàn)綜合安全管理負(fù)責(zé)人與管理員、專項(xiàng)安全系統(tǒng)管理員等角色分類管理。系統(tǒng)提供三權(quán)分立的設(shè)計(jì)，內(nèi)置系統(tǒng)管理員、用戶管理員和審計(jì)管理員。平臺(tái)支持基于角色的用戶管理、授權(quán)管理、身份認(rèn)證。用戶與資源權(quán)限之間通過角色授權(quán)進(jìn)行聯(lián)系，身份認(rèn)證支持包括公安PKI數(shù)字證書在內(nèi)的雙因子認(rèn)證。平臺(tái)支持分域用戶授權(quán)和用戶組管理。支持根據(jù)需要?jiǎng)澐植煌脩艚M（域），如按照部門、地域等劃分不同用戶組（域），用戶只具備用戶所屬域內(nèi)的相關(guān)權(quán)限。平臺(tái)支持角色的管理包括對(duì)角色的添加、修改和刪除等操作。支持對(duì)資源、菜單、功能等級(jí)別的權(quán)限管理，各功能與菜單間相互獨(dú)立。部門與人員管理公安系統(tǒng)的人員管理功能中，一方面需要遵照規(guī)范的要求建立標(biāo)準(zhǔn)的人員信息庫，并能夠與平臺(tái)的使用帳戶進(jìn)行關(guān)聯(lián)，另一方面也需要與外部的資源系統(tǒng)進(jìn)行單向或雙向的同步。在人員管理中，另一個(gè)非常重要的功能是對(duì)人員的安全教育培訓(xùn)情況進(jìn)行管理。安全管理工作最終的執(zhí)行者是人員，而人員的安全素養(yǎng)是決定安全管理成效的重要環(huán)節(jié)，這也是國際國內(nèi)各個(gè)安全標(biāo)準(zhǔn)的基本要求。本平臺(tái)提供的教育培訓(xùn)管理功能，能夠完整記錄人員的培訓(xùn)歷史，并且能夠基于培訓(xùn)歷史進(jìn)行人員素質(zhì)的評(píng)定，從側(cè)面反映各級(jí)平臺(tái)的人員安全狀況。綜合安全管理平臺(tái)人員庫提供與公安網(wǎng)信息安全相關(guān)人員的基本信息。人員庫管理包括：人員基本信息的導(dǎo)入、導(dǎo)出、新建、刪除、修改等；支持從外部人員庫管理系統(tǒng)獲取數(shù)據(jù)；人員信息補(bǔ)全；支持對(duì)各個(gè)人員的安全教育培訓(xùn)情況進(jìn)行管理，并可基于教育培訓(xùn)情況進(jìn)行人員統(tǒng)計(jì)；系統(tǒng)也提供部門管理功能，將人員劃分到各個(gè)部門進(jìn)行統(tǒng)一分配管理。系統(tǒng)也提供整體的部門組織結(jié)構(gòu)圖。資產(chǎn)管理系統(tǒng)提供資產(chǎn)管理功能，可以對(duì)網(wǎng)絡(luò)中的管理對(duì)象資產(chǎn)進(jìn)行管理。除基本資產(chǎn)信息外，用戶還可以自定義資產(chǎn)標(biāo)簽，實(shí)現(xiàn)資產(chǎn)的動(dòng)態(tài)屬性擴(kuò)展。系統(tǒng)提供基于拓?fù)涞馁Y產(chǎn)視圖，可以按圖形化拓?fù)淠Ｊ斤@示資產(chǎn)，并可編輯資產(chǎn)之間的網(wǎng)絡(luò)連接關(guān)系，通過資產(chǎn)視圖可直接查看該資產(chǎn)的狀態(tài)、事件及告警信息。資產(chǎn)管理的相關(guān)功能也包括：資產(chǎn)基本信息的導(dǎo)入、導(dǎo)出、新建、刪除、修改等；支持從外部資產(chǎn)庫管理系統(tǒng)獲取數(shù)據(jù)；資產(chǎn)信息補(bǔ)全；資產(chǎn)信息核對(duì)（自動(dòng)或人工方式）。知識(shí)庫管理系統(tǒng)提供開放的知識(shí)管理功能，內(nèi)置了大量的安全知識(shí)，同時(shí)也允許用戶在系統(tǒng)使用過程中不斷豐富和完善。用戶可以對(duì)所有的知識(shí)點(diǎn)進(jìn)行基于關(guān)鍵字的檢索。系統(tǒng)預(yù)先建立的知識(shí)包括：預(yù)案庫、模板庫、策略庫、案例庫、法律法規(guī)庫、漏洞庫、事件庫，等等，具體界面如下圖所示：平臺(tái)內(nèi)的各種知識(shí)庫，包括法律法規(guī)庫、事件庫、漏洞庫、案例庫、策略庫、預(yù)案庫等，均支持從上級(jí)向下級(jí)的分發(fā)同步。知識(shí)庫管理具備級(jí)聯(lián)功能。一般情況下，公安省廳負(fù)責(zé)知識(shí)庫的整理與傳遞，地市接收并且納入自己的知識(shí)庫，以便于地市公安提高人員知識(shí)技能，強(qiáng)化事件處理的操作規(guī)范性與有效性。上級(jí)平臺(tái)可以將基礎(chǔ)數(shù)據(jù)、考核模板進(jìn)行下發(fā)。策略管理泰合安管平臺(tái)的策略支持平臺(tái)配置策略、業(yè)務(wù)管理策略、平臺(tái)安全策略等。平臺(tái)配置策略包括運(yùn)行監(jiān)控類的配置要求或建議等，業(yè)務(wù)管理策略包括業(yè)務(wù)處理中的相關(guān)要求或建議，平臺(tái)安全策略包括平臺(tái)管理技術(shù)策略、平臺(tái)系統(tǒng)的邊界安全和自身安全要求等。策略具有名稱、編號(hào)、級(jí)別、應(yīng)用范圍、發(fā)布人、有效時(shí)間、背景說明等基本屬性。安管平臺(tái)的安全策略管理包括：策略的存儲(chǔ)、查詢、導(dǎo)入導(dǎo)出等。支持策略審核與修訂。其他管理類策略的制訂、編輯、導(dǎo)入、導(dǎo)出、下發(fā)等。系統(tǒng)配置綜合安全管理平臺(tái)提供平臺(tái)自身的其他配置功能，對(duì)平臺(tái)自身的配置包括：支撐系統(tǒng)運(yùn)行組件的啟停；組件運(yùn)行狀態(tài)監(jiān)視配置；數(shù)據(jù)庫狀態(tài)信息監(jiān)視配置；系統(tǒng)自動(dòng)響應(yīng)規(guī)則的配置/界面配置等。綜合安全管理平臺(tái)提供平臺(tái)級(jí)聯(lián)、安全專項(xiàng)系統(tǒng)、資源管理系統(tǒng)、運(yùn)維\值班平臺(tái)等的交互對(duì)象接口配置和連接監(jiān)控方式配置，包括平臺(tái)IP與編碼、安全連接方式等。系統(tǒng)配置功能包含對(duì)業(yè)務(wù)系統(tǒng)的定義和管理。系統(tǒng)審計(jì)綜合安全管理平臺(tái)系統(tǒng)審計(jì)記錄每個(gè)操作員進(jìn)入、退出平臺(tái)的時(shí)間以及在平臺(tái)中的所有操作的內(nèi)容，記錄與統(tǒng)計(jì)分析平臺(tái)軟硬件的異常以及執(zhí)行錯(cuò)誤指令導(dǎo)致的異常等本身運(yùn)行狀態(tài)，實(shí)現(xiàn)對(duì)平臺(tái)運(yùn)行過程中的操作日志和運(yùn)行日志的記錄、查詢、統(tǒng)計(jì)與分析功能。審計(jì)內(nèi)容包括時(shí)間、人員、IP地址、區(qū)域、部門、操作內(nèi)容、操作結(jié)果等。備份與恢復(fù)綜合安全管理平臺(tái)提供平臺(tái)完整數(shù)據(jù)備份與恢復(fù)、系統(tǒng)備份與恢復(fù)機(jī)制，保證避免物理故障、系統(tǒng)硬件維護(hù)等造成的數(shù)據(jù)損失或者系統(tǒng)損壞。備份策略可配置，支持備份任務(wù)的人工執(zhí)行和自動(dòng)執(zhí)行。平臺(tái)數(shù)據(jù)包括用戶、事件、狀態(tài)、備份策略、配置數(shù)據(jù)等。接入交換管理模塊平臺(tái)級(jí)聯(lián)管理綜合安全管理平臺(tái)提供上級(jí)安管平臺(tái)的接口，具體界面如下圖所示：平臺(tái)級(jí)聯(lián)管理實(shí)現(xiàn)如下配置和管理：平臺(tái)基本參數(shù)配置：包括平臺(tái)唯一標(biāo)識(shí)編碼、活動(dòng)偵測時(shí)間配置等。上、下級(jí)平臺(tái)接口設(shè)置：包括IP、端口配置，級(jí)聯(lián)數(shù)據(jù)同步，安全認(rèn)證配置等。接入注冊認(rèn)證管理：包括平臺(tái)注冊認(rèn)證申請(qǐng)、審核等。證書管理：包括平臺(tái)服務(wù)器證書管理、用戶身份證書管理、CA證書管理等。事件級(jí)聯(lián)管理安全行為的復(fù)雜性、以及公安各級(jí)安管部門專業(yè)技術(shù)能力上的差異，決定了平臺(tái)之間會(huì)有大量的協(xié)同工作，尤其體現(xiàn)在事件的分析處理上。事件的多級(jí)管理存在兩個(gè)方向的需求：上級(jí)向下級(jí)傳遞安全事件，目的在于落實(shí)對(duì)事件的協(xié)查，伴隨事件處理工單的流轉(zhuǎn)，上級(jí)將事件傳遞到下級(jí)，確保事件層層分解到具體的責(zé)任人。下級(jí)接收事件并形成為本級(jí)的待處理事件，同時(shí)在界面進(jìn)行監(jiān)控。下級(jí)向上級(jí)傳遞安全事件，采用定時(shí)、批量上報(bào)的形式，目的在于匯報(bào)安全異常行為、請(qǐng)示上級(jí)協(xié)助分析。上級(jí)可對(duì)下級(jí)上報(bào)的事件進(jìn)行指定范圍的查詢，并將分析結(jié)果以其它工單形式進(jìn)行反饋。工單級(jí)聯(lián)管理平臺(tái)中的工單處理，除了能夠在同一平臺(tái)內(nèi)用戶間流轉(zhuǎn)外，也支持多級(jí)平臺(tái)之間的工單流轉(zhuǎn)。在流轉(zhuǎn)的過程中，工單的附帶的相關(guān)屬性信息保持不變。工單支持雙向流轉(zhuǎn)，支持各種簽收、通知、審核等流程節(jié)點(diǎn)，支持事件工單、管理工單、其它承載工單的多級(jí)流轉(zhuǎn)。在流轉(zhuǎn)過程中、過程后，在上下級(jí)平臺(tái)均可查詢工單流轉(zhuǎn)的歷史。虛擬平臺(tái)管理當(dāng)平臺(tái)部署到地市一級(jí)時(shí)，同樣有接入?yún)^(qū)、縣公安局信息系統(tǒng)的需要。然而對(duì)于某些特殊的區(qū)縣公安局，由于設(shè)備數(shù)量少、信息系統(tǒng)相對(duì)簡單、安全運(yùn)維與管理工作內(nèi)容單一，因此完全可以采用更加輕量級(jí)的接入方式。TSOC-GA支持在地市平臺(tái)中建立多個(gè)虛擬縣級(jí)平臺(tái)，使用縣級(jí)管理帳號(hào)登錄地市平臺(tái)后仍然能夠完成基本的安全管理工作，例如在所屬縣的范圍內(nèi)進(jìn)行工單處理、查閱通知通報(bào)、進(jìn)行技術(shù)交流等。虛擬縣級(jí)平臺(tái)的建立，簡化了地市公安局的安全管理與運(yùn)維過程，有利于地市公安局快速構(gòu)建起基本的分級(jí)管理架構(gòu)。當(dāng)然，由于無法象真實(shí)平臺(tái)一樣進(jìn)行本地的信息采集與處理，虛擬平臺(tái)仍然不能替代真實(shí)平臺(tái)的所有工作。安全專項(xiàng)系統(tǒng)管理綜合安全管理平臺(tái)提供與各安全專項(xiàng)系統(tǒng)的接口管理。通過接口，安管平臺(tái)能從安全專項(xiàng)系統(tǒng)獲取數(shù)據(jù)進(jìn)行規(guī)范化處理，并將之轉(zhuǎn)換為安管平臺(tái)所定義的規(guī)范化狀態(tài)監(jiān)控、安全事件、預(yù)警等數(shù)據(jù)，同時(shí)提供安全專項(xiàng)系統(tǒng)應(yīng)急響應(yīng)和聯(lián)動(dòng)的規(guī)范流程和信息通道，具體界面如下圖所示：安全專項(xiàng)系統(tǒng)接口管理包括：安全專項(xiàng)系統(tǒng)基本參數(shù)配置：包括安全專項(xiàng)系統(tǒng)名稱、編碼、活動(dòng)偵測時(shí)間配置等。安全專項(xiàng)系統(tǒng)接口設(shè)置：包括IP、端口配置，安全認(rèn)證配置等。接入注冊認(rèn)證管理：包括安全專項(xiàng)系統(tǒng)注冊認(rèn)證申請(qǐng)、審核等。系統(tǒng)接口安管平臺(tái)通過接口與其他系統(tǒng)進(jìn)行數(shù)據(jù)交換與通訊。根據(jù)安管系統(tǒng)各功能模塊實(shí)現(xiàn)的需求，本平臺(tái)定義了5類相關(guān)數(shù)據(jù)和6類相關(guān)接口。通過6類相關(guān)接口對(duì)5大類相關(guān)數(shù)據(jù)的采集和分析，為安管平臺(tái)功能實(shí)現(xiàn)提供基礎(chǔ)數(shù)據(jù)。安管平臺(tái)接口示意圖如下：在數(shù)據(jù)采集層面，接口方式示意圖如下：部署方式單級(jí)部署產(chǎn)品部署對(duì)于客戶網(wǎng)絡(luò)的要求比較簡單，只要系統(tǒng)的管理中心與管理對(duì)象之間網(wǎng)絡(luò)可達(dá)即可。如下圖所示，顯示了系統(tǒng)的一個(gè)單級(jí)分布式部署場景。在這個(gè)單級(jí)部署場景中，管理中心可以直接采集管理對(duì)象的日志和性能信息，也可以通過外掛的日志采集器和性能采集器采集管理對(duì)象的信息。系統(tǒng)使用者通過瀏覽器登錄安全管理平臺(tái)的WEB站點(diǎn)即可進(jìn)行各種管理操作。級(jí)聯(lián)部署對(duì)于公安系統(tǒng)常見的省-市-縣三級(jí)網(wǎng)絡(luò)，系統(tǒng)支持級(jí)聯(lián)部署，以適應(yīng)用戶多級(jí)管理的體制。如下圖所示，展示了一個(gè)系統(tǒng)多級(jí)級(jí)聯(lián)部署的典型場景。運(yùn)行環(huán)境要求TSOC－GA是一套軟件包，建議安裝在獨(dú)立的服務(wù)器上運(yùn)行。系統(tǒng)所需運(yùn)行環(huán)境如下：平臺(tái)支持的操作系統(tǒng)系統(tǒng)需求WindowsWindowsServer2003Windows7Windows2008Server最低Intel酷睿雙核CPU，推薦使用Intel至強(qiáng)4核以上CPU至少4GB內(nèi)存，推薦8GB以上內(nèi)存500GB以上磁盤空間LinuxRedhatEnterpriseLinux4RedhatEnterpriseLinux5CentOS最低Intel酷睿雙核CPU，推薦使用Intel至強(qiáng)4核以上CPU至少4GB內(nèi)存，推薦8GB以上內(nèi)存500GB以上磁盤空間本軟件需要運(yùn)行在64位操作系統(tǒng)上。在雙Intel至強(qiáng)4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，TSOC-GA的事件處理性能可達(dá)到平均15000EPS。此外，產(chǎn)品的功能模塊都是可以選擇和組合的。系統(tǒng)使用無需安裝客戶端軟件，用戶通過瀏覽器即可訪問管理中心。系統(tǒng)推薦使用微軟IE7/IE8，或者M(jìn)ozillaFirefox10以上版本瀏覽器。TSOC－GA支持的數(shù)據(jù)庫環(huán)境為：類型版本OracleOracle10g/11g啟明星辰公安安全管理平臺(tái)特性優(yōu)勢多層次的安全事件管理安全專項(xiàng)系統(tǒng)的信息采集TSOC－GA全面支持公安系統(tǒng)的各類安全專項(xiàng)系統(tǒng)信息采集，包括：PKIPMI系統(tǒng)，一機(jī)兩用系統(tǒng)，邊界接入平臺(tái)系統(tǒng)、違規(guī)行為系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、異常流量監(jiān)控系統(tǒng)、防入侵攻擊系統(tǒng)、防火墻系統(tǒng)等。對(duì)于公安專項(xiàng)系統(tǒng)的信息采集，TSOC－GA采用了面向公安行業(yè)的特定采集策略，嚴(yán)格遵照公安行業(yè)的事件分類、事件定級(jí)等信息規(guī)范，使之能夠方便地與其它第三方系統(tǒng)進(jìn)行無縫對(duì)接。同時(shí)，TSOC－GA也支持其它主流的各類通用型安全設(shè)備，部分廠商設(shè)備類型如下表所示：設(shè)備類型廠商或產(chǎn)品交換機(jī)Cisco、Extreme、Juniper、博科、華為、H3C、神州數(shù)碼、銳捷、博達(dá)、DellForce10路由器Cisco、Extreme、Juniper、華為、H3C、神州數(shù)碼、銳捷防火墻/UTM/USG啟明星辰、網(wǎng)御星云、Cisco、JuniperNetscreen、飛塔、Checkpoint、Nokia、Bluecoat、天融信、東軟、方正科技、網(wǎng)神、億陽信通、中科網(wǎng)威、中網(wǎng)、阿姆瑞特、衛(wèi)士通、H3C、迪普、山石VPN啟明星辰、網(wǎng)御星云、天融信、Array、Juniper網(wǎng)閘網(wǎng)御星云、國保金泰、鴻瑞、南瑞IDS/IPS/IDP啟明星辰、網(wǎng)御星云、Cisco、McAfee、IBM、Snort、TippingPoint、綠盟、東軟、H3C、迪普、天融信、安氏、三零盛安、網(wǎng)神、理工先河漏洞掃描啟明星辰、綠盟、榕基防病毒Symantec、TrendMicro、McAfee、瑞星、金山、江民、冠群金辰、熊貓Anti-DDoS網(wǎng)御星云、啟明星辰、綠盟WAF啟明星辰、Imperva、綠盟、中創(chuàng)InfoGuard負(fù)載均衡設(shè)備F5、信安世紀(jì)安全審計(jì)系統(tǒng)啟明星辰、復(fù)旦光華、漢邦、三零盛安運(yùn)維審計(jì)啟明星辰、奇智、諧潤身份認(rèn)證格爾、吉大正元服務(wù)器IBMAIX、HP-UX、MicrosoftWindows、SUNSolaris、Linux及其變種數(shù)據(jù)庫Oracle、SQLServer、DB2、MySQL、Informix、Sybase、國產(chǎn)數(shù)據(jù)庫中間件WebLogic、WebShpere、JBoss、Apache、Tomcat、Domino網(wǎng)管系統(tǒng)HPOpenViewNNM、IBMNetCool、CiscoWorks存儲(chǔ)系統(tǒng)HP、IBM、EMC、VERITA業(yè)務(wù)系統(tǒng)各種用戶自有的業(yè)務(wù)系統(tǒng)（需要定制）其它任意Syslog日志源、SNMPTrap日志源對(duì)于目前暫不支持的管理對(duì)象，TSOC－GA還提供了方便靈活的擴(kuò)展機(jī)制。只要獲得管理對(duì)象的日志樣本以及通訊協(xié)議方式，編寫一份XML格式日志解析文件，導(dǎo)入系統(tǒng)，即可獲得對(duì)該管理對(duì)象的日志采集能力，無需編碼。支持分布式日志采集TSOC－GA管理中心自帶日志采集功能，同時(shí)也支持在用戶網(wǎng)絡(luò)中分布式部署多個(gè)日志采集器，就近采集管理對(duì)象的日志信息，并進(jìn)行日志的范式化、過濾和歸并，然后匯聚到管理中心，從而實(shí)現(xiàn)對(duì)分散管理對(duì)象的日志采集，并有效降低網(wǎng)絡(luò)中日志流的帶寬占用。詳盡的日志范式化與事件分類系統(tǒng)對(duì)收集的各種日志進(jìn)行范式化處理，將各種不同表達(dá)方式的日志轉(zhuǎn)換成的統(tǒng)一的描述形式。安全管理人員不必再去熟悉不同廠商不同的日志信息，從而大大提升工作效率。系統(tǒng)提供的范式化字段包括日志接收時(shí)間、日志產(chǎn)生時(shí)間、日志持續(xù)時(shí)間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名稱、摘要、等級(jí)、原始等級(jí)、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等，數(shù)量超過50個(gè)，使范式化后的日志詳盡而易讀，更能滿足復(fù)雜的多維度統(tǒng)計(jì)分析和審計(jì)要求。更重要地，啟明星辰的安全技術(shù)人員還對(duì)每種日志進(jìn)行了手工分類和分析工作，加入了日志類型字段，豐富了日志所蘊(yùn)含的信息量，讓枯燥的日志信息變的更可理解。與此同時(shí)，系統(tǒng)將原始日志都原封不動(dòng)的保存了下來，以備調(diào)查取證之用。安全管理員員也可以直接對(duì)原始日志進(jìn)行模糊查詢。在事件分類定義上，本系統(tǒng)全面支持公安行業(yè)的事件分類定級(jí)規(guī)范。智能化安全事件關(guān)聯(lián)分析借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r(shí)不間斷地對(duì)所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。系統(tǒng)具備多種關(guān)聯(lián)分析方法和能力：基于規(guī)則的事件關(guān)聯(lián)系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式和統(tǒng)計(jì)條件的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。規(guī)則的邏輯表達(dá)式支持等于、不等于、大于、小于、不大于、不小于、位于……之間、屬于、包含、FollowBy等運(yùn)算符和關(guān)鍵字。規(guī)則支持統(tǒng)計(jì)計(jì)數(shù)功能，并可以指定在統(tǒng)計(jì)時(shí)的固定和變動(dòng)的事件屬性，可以關(guān)聯(lián)出達(dá)到一定統(tǒng)計(jì)規(guī)則的事件。單事件關(guān)聯(lián)通過單事件關(guān)聯(lián)，系統(tǒng)可以對(duì)符合單一規(guī)則的事件流進(jìn)行規(guī)則匹配。多事件關(guān)聯(lián)通過多事件關(guān)聯(lián)，系統(tǒng)可以對(duì)符合多個(gè)規(guī)則（稱作組合規(guī)則）的事件流進(jìn)行復(fù)雜事件規(guī)則匹配?？梢暬踩录治鱿到y(tǒng)為用戶提供了豐富的可視化安全事件分析視圖，充分提升分析效率。系統(tǒng)可以為用戶展示一幅管理對(duì)象的拓?fù)鋱D，反映管理對(duì)象的網(wǎng)絡(luò)拓?fù)潢P(guān)系，并且在拓?fù)涔?jié)點(diǎn)上標(biāo)注出每個(gè)管理對(duì)象的日志量和告警事件量。用戶點(diǎn)擊拓?fù)涔?jié)點(diǎn)可以查詢事件和告警信息詳情。針對(duì)安全事件，用戶可以對(duì)其源目的IP地址進(jìn)行追蹤，并在世界地圖上標(biāo)注出來。安全管理人員也可以對(duì)一段時(shí)間內(nèi)的安全事件進(jìn)行行為分析，通過生成一幅行為分析圖形象化地展示海量安全事件之間的關(guān)聯(lián)關(guān)系，從宏觀的角度來協(xié)助定位安全問題。多維度的業(yè)務(wù)處理過程豐富的業(yè)務(wù)流程分類TSOC－GA不但是集中監(jiān)控的平臺(tái)，同時(shí)也是集中處理的平臺(tái)。公安行業(yè)日常工作中的各項(xiàng)業(yè)務(wù)過程，在TSOC－GA中都能夠以集中的、高效的、規(guī)范的、流轉(zhuǎn)式的方式來運(yùn)行。公安的業(yè)務(wù)處理過程是全方位、多維度的，TSOC－GA能夠覆蓋公安信息安全工作中的以下幾類工作流程：管理維度－進(jìn)行流程調(diào)度、業(yè)務(wù)審核、安全員管理等管理性工作處理維度－進(jìn)行簽收、響應(yīng)處理、通知、通報(bào)等事務(wù)性工作運(yùn)行維度－進(jìn)行工作排班、簽到、巡檢、工作日志等個(gè)人日常工作服務(wù)維度－面向全體公安干警提供信息發(fā)布與業(yè)務(wù)服務(wù)受理靈活的流程定制能力TSOC－GA通過客戶化的工作流系統(tǒng)來滿足公安用戶的需要。其靈活性體現(xiàn)在：業(yè)務(wù)過程模板化：對(duì)于公安最常用的簽到、簽收、巡檢、審核、通知、通報(bào)、歸檔、響應(yīng)處理過程，系統(tǒng)均配置為相