安全管理平臺(tái)解決

方案模板省級(jí)

XX公安

安全管理平臺(tái)建設(shè)方案

啟用星辰

北京啟明星辰信息技術(shù)股份有限公司

BeijingVenusTechnologyCo.Ltd.

2024年4月

文檔僅供參考

目錄

1前言...................................錯(cuò)誤!未定義書(shū)簽。

2設(shè)計(jì)依據(jù)..............................錯(cuò)誤!未定義書(shū)簽。

3術(shù)語(yǔ)和定義............................錯(cuò)誤!未定義書(shū)簽。

4建設(shè)原則..............................錯(cuò)誤!未定義書(shū)簽。

5系統(tǒng)現(xiàn)狀及需求分析....................錯(cuò)誤!未定義書(shū)簽。

6安全管理平臺(tái)建設(shè)目標(biāo)..................錯(cuò)誤!未定義書(shū)簽。

6.1集中監(jiān)控告警..........................錯(cuò)誤味定義書(shū)簽。

6.2事彳牛定位處理..........................錯(cuò)誤!未定義書(shū)簽。

6.3安全關(guān)聯(lián)分析..........................錯(cuò)誤!未定義書(shū)簽。

6.4實(shí)時(shí)風(fēng)險(xiǎn)管理..........................錯(cuò)誤!未定義書(shū)簽。

6.5安全運(yùn)維流程..........................錯(cuò)誤味定義書(shū)簽。

6.6安全管理流程..........................錯(cuò)誤!未定義書(shū)簽。

6.7策略知識(shí)體系..........................錯(cuò)誤!未定義書(shū)簽。

7安全管理平臺(tái)方案設(shè)計(jì)..................錯(cuò)誤!未定義書(shū)簽。

7.1平臺(tái)概述..............................錯(cuò)誤!未定義書(shū)簽。

7.2系統(tǒng)組成..............................錯(cuò)誤!未定義書(shū)簽。

7.3系統(tǒng)架構(gòu)..............................錯(cuò)誤味定義書(shū)簽。

7.4平臺(tái)功能描述..........................錯(cuò)誤!未定義書(shū)簽。

7.4.1集中展示模塊......................錯(cuò)誤!未定義書(shū)簽。

7.4.2運(yùn)彳亍監(jiān)控模塊......................錯(cuò)誤!未定義書(shū)簽。

7.4.3業(yè)務(wù)處理模塊......................錯(cuò)誤!未定義書(shū)簽。

文檔僅供參考

7.4.4業(yè)務(wù)統(tǒng)計(jì)模塊......................錯(cuò)誤!未定義書(shū)簽。

7.4.5關(guān)聯(lián)分析..........................錯(cuò)誤!未定義書(shū)簽。

7.4.6安全態(tài)勢(shì)分析......................錯(cuò)誤!未定義書(shū)簽。

7.4.7關(guān)鍵安全管理指標(biāo)分析..............錯(cuò)誤!未定義書(shū)簽。

7.4.8業(yè)務(wù)可d置模塊......................錯(cuò)誤!未定義書(shū)簽。

7.4.9平臺(tái)管理模塊......................錯(cuò)誤!未定義書(shū)簽。

7.4.10接入交換管理模塊

錯(cuò)誤!未定義書(shū)簽。

7.5系統(tǒng)接口.............................錯(cuò)誤!未定義書(shū)簽。

7.6部署方式.............................錯(cuò)誤!未定義書(shū)簽。

7.6.1單級(jí)部署..........................錯(cuò)誤!未定義書(shū)簽。

7.6.2級(jí)聯(lián)部署..........................錯(cuò)誤!未定義書(shū)簽。

7.7運(yùn)彳亍環(huán)境要求.........................錯(cuò)誤!未定義書(shū)簽。

8啟明星辰公安安全管埋平臺(tái)特性?xún)?yōu)勢(shì)......錯(cuò)誤!未定義書(shū)簽。

8.1多層次的安全事件管理.................錯(cuò)誤!未定義書(shū)簽。

8.1.1安全專(zhuān)項(xiàng)系統(tǒng)的信息采集...........錯(cuò)誤!未定義書(shū)簽。

8.1.2支持分布式日志采集................錯(cuò)誤!未定義書(shū)簽。

8.1.3詳盡的日志范式化與事件分類(lèi).......錯(cuò)誤!未定義書(shū)簽。

8.1.4智能化安全事件關(guān)聯(lián)分析...........錯(cuò)誤味定義書(shū)簽。

8.1.5可視化安全事件分析................錯(cuò)誤!未定義書(shū)簽。

8.2多維度的業(yè)務(wù)處理過(guò)程.................錯(cuò)誤!未定義書(shū)簽。

8.2.1豐富的業(yè)務(wù)流程分類(lèi)................錯(cuò)誤!未定義書(shū)簽。

文檔僅供參考

8.2.2靈活的流程定制能力................錯(cuò)誤!未定義書(shū)簽。

8.3全方位的IT系統(tǒng)性能與可用性監(jiān)控......錯(cuò)誤!未定義書(shū)簽。

8.3.1網(wǎng)絡(luò)拓?fù)涔芾?.....................錯(cuò)誤!未定義書(shū)簽。

8.3.2支持多種監(jiān)控對(duì)象..................錯(cuò)誤!未定義書(shū)簽。

8.3.3全方位細(xì)粒度監(jiān)控..................錯(cuò)誤!未定義書(shū)簽。

8.4基于風(fēng)險(xiǎn)矩陣的量化安全風(fēng)險(xiǎn)評(píng)估......錯(cuò)誤!未定義書(shū)簽。

8.5指標(biāo)化的宏觀態(tài)勢(shì)感知.................錯(cuò)誤!未定義書(shū)簽。

8.5.1地址熔態(tài)勢(shì)分析....................錯(cuò)誤!未定義書(shū)簽。

8.5.2威脅'態(tài)勢(shì)分析......................錯(cuò)誤!未定義書(shū)簽。

8.5.1關(guān)鍵安全管理指標(biāo)分析..............錯(cuò)誤味定義書(shū)簽。

8.6豐富靈活的報(bào)表報(bào)告...................錯(cuò)誤!未定義書(shū)簽。

8.6.1可擴(kuò)展的報(bào)表內(nèi)容..................錯(cuò)誤味定義書(shū)簽。

8.6.2公安業(yè)務(wù)考核支持..................錯(cuò)誤!未定義書(shū)簽。

8.7可運(yùn)維的多級(jí)管理架構(gòu).................錯(cuò)誤!未定義書(shū)簽。

8.7.1級(jí)聯(lián)內(nèi)容..........................錯(cuò)誤!未定義書(shū)簽。

8.7.2虛擬下級(jí)..........................錯(cuò)誤!未定義書(shū)簽。

8.8對(duì)用戶(hù)網(wǎng)絡(luò)和業(yè)務(wù)影響最小.............錯(cuò)誤!未定義書(shū)簽。

8.9完善的系統(tǒng)自身安全性保證.............錯(cuò)誤味定義書(shū)簽。

8.10有好的用戶(hù)交互體驗(yàn)...................錯(cuò)誤!未定義書(shū)簽。

9二次開(kāi)發(fā)模塊及系統(tǒng)對(duì)接說(shuō)明............錯(cuò)誤!未定義書(shū)簽。

9.1二次模塊開(kāi)發(fā)說(shuō)明.....................錯(cuò)誤!未定義書(shū)簽。

9.2與XX公安現(xiàn)有系統(tǒng)對(duì)接說(shuō)明...........錯(cuò)誤!未定義書(shū)簽。

文檔僅供參考

10成功案例...............................錯(cuò)誤!未定義書(shū)簽。

10.1成功案例名單.................................錯(cuò)誤!未定義書(shū)簽。

10.2典型案例.....................................錯(cuò)誤!未定義書(shū)簽。

11項(xiàng)目預(yù)算...............................錯(cuò)誤!未定義書(shū)簽。

文檔僅供參考

1前言

網(wǎng)絡(luò)的快速發(fā)展為經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展帶來(lái)了巨大的影響，隨

著信息化建設(shè)的飛速發(fā)展,信息安全系統(tǒng)已成為XX公安工作的重

要資源和基礎(chǔ)平臺(tái)。

當(dāng)前XX公安的安全專(zhuān)項(xiàng)系統(tǒng)主要有:“一機(jī)兩用”監(jiān)控系

統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺(tái)、PKI/PMI系統(tǒng)、漏

洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測(cè)系統(tǒng)、應(yīng)

急響應(yīng)系統(tǒng)。

近年來(lái)公安網(wǎng)絡(luò)安全問(wèn)題呈現(xiàn)日益嚴(yán)重的趨勢(shì),從公安部的相

關(guān)統(tǒng)計(jì)數(shù)據(jù)中能夠看出,“一機(jī)兩用“違規(guī)事件、病毒傳播率、漏

洞發(fā)生率等涉及網(wǎng)絡(luò)安全的考核指標(biāo)，都在不同程度的增加。因?yàn)?/p>

信息泄密、信息遭受破壞等帶來(lái)的損失越來(lái)越令人觸目驚心。在

這種大的形勢(shì)下，網(wǎng)絡(luò)安全的重要性被提到了前所未有的高度。

由于公安以往的信息系統(tǒng)都是針對(duì)具體的應(yīng)用進(jìn)行設(shè)計(jì)，未考

慮系統(tǒng)的綜合管理,因此在管控手段和管控水平上極需加強(qiáng)。另外,

隨著公安信息應(yīng)用的進(jìn)一步推進(jìn)，對(duì)信息安全的日常運(yùn)維和應(yīng)急預(yù)

案等方面提出了更高的要求，切實(shí)需要建立省市兩級(jí)信息通信部門(mén)

的快速反應(yīng)機(jī)制，強(qiáng)化信息系統(tǒng)基礎(chǔ)平臺(tái)的安全管理,建設(shè)可信的信

息系統(tǒng)環(huán)境，為公安各類(lèi)信息系統(tǒng)的安全、可靠、穩(wěn)定、高效的運(yùn)

行提供良好的基礎(chǔ)和強(qiáng)有力的保障。

文檔僅供參考

2設(shè)計(jì)依據(jù)

國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)和規(guī)范：

?〈中華人民共和國(guó)保守國(guó)家秘密法》

?〈中華人民共和國(guó)保守國(guó)家秘密法實(shí)施辦法〉

?〈中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定》（中發(fā)[1997]16

號(hào)）

?〈計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國(guó)保發(fā)[1998]1號(hào)）

?＜涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)日批

暫行辦法》（中保辦發(fā)[1998]6號(hào)）

?＜關(guān)于加強(qiáng)政府上網(wǎng)信息保密管理的通知〉（國(guó)保發(fā)[1999]4號(hào)）

?〈計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》（國(guó)保發(fā)[1999]10

號(hào)）

?〈關(guān)于加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)保密管理的通知〉（中保委發(fā)[]4號(hào)）

?〈國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于中國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)＞（中

辦發(fā)口17號(hào)）

文檔僅供參考

?〈國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意

見(jiàn)〉（中辦發(fā)[]27號(hào)）

?〈關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見(jiàn)〉（口保

委發(fā)口7號(hào)）

?〈涉及國(guó)家秘密計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法》（國(guó)保發(fā)

口5號(hào)）

?〈信息系統(tǒng)保密管理規(guī)定〉

中華人民共和國(guó)保密標(biāo)準(zhǔn)：

?BMZl-＜涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求,

?BMZ2-＜涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)

指南〉

?BMZ3-＜涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指

南〉

?BMB3-1999〈處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試

方法〉

?BMB4.＜電磁干擾器技術(shù)要求和測(cè)試方法〉

?BMB5-〈涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求,

?BMB10-v涉及國(guó)家秘密的計(jì)算機(jī)網(wǎng)絡(luò)安全隔離設(shè)備的技術(shù)

要求和測(cè)試方法〉

?BMB11-＜涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)防火墻安全技術(shù)

要求〉

文檔僅供參考

?BMB12.〈涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)漏洞掃描產(chǎn)品安

全技術(shù)要求》

?BMB13-v涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)入侵檢測(cè)產(chǎn)品技

術(shù)要求,

?BMB15-＜涉及國(guó)家秘密的信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求,

?BMB16-＜涉及國(guó)家秘密的信息系統(tǒng)安全隔離與信息交換產(chǎn)

品技術(shù)要求》

GB及參考文獻(xiàn)：

?GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。

?GB/T18336.1-信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)

則第一部分:簡(jiǎn)介和一般模型(idtlSO/IEC15408-1:1999。

?GB/T18336.2-信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)

則第二部分:安全功能要求(idtISO15408-2:1999)o

?GB/T18336.3-信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)

則第三部分:安全保證要求(idtISO15408-3:1999)O

?GB/T9387.2-1995信息系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型

第2部分:安全體系結(jié)構(gòu)。

?ISO/正C17799:信息技術(shù)信息安全管理實(shí)用規(guī)則。

?BMB17-涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要

求。

?GB50174-1993電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范。

?GB/T20269-信息安全技術(shù)信息系統(tǒng)安全管理要求。

文檔僅供參考

?ISO/IECTR18044:,信息技術(shù)安全技術(shù)一信息安全事件管

理。

?GB/T20270-信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求。

?GB/T20282-信息安全技術(shù)信息系統(tǒng)安全工程管理要求。

?GB/T20271-信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求。

3術(shù)語(yǔ)和定義

卜列術(shù)語(yǔ)和定義適用于本方案。

術(shù)語(yǔ)解釋

安管平臺(tái)本規(guī)范中的“安管平臺(tái)”特指公安集中安全管理平臺(tái)。它是實(shí)現(xiàn)公安

信息網(wǎng)信息安全管理的技術(shù)支撐平臺(tái)。它以流程和標(biāo)準(zhǔn)化的方法為手

段，實(shí)現(xiàn)安全業(yè)務(wù)監(jiān)控和安全事件的處理，為安全運(yùn)營(yíng)和管理提供支

撐。

安全專(zhuān)項(xiàng)系統(tǒng)為特定安全目標(biāo)建立的安全系統(tǒng),包括但不限于現(xiàn)有的幾大系統(tǒng):"一

機(jī)兩用”監(jiān)控系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接

入平臺(tái)、入侵監(jiān)測(cè)系統(tǒng)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及

信息掃描系統(tǒng)、異常流量監(jiān)測(cè)系統(tǒng)。

工單指為了完成某個(gè)具體業(yè)務(wù)請(qǐng)求所使用的協(xié)同工作載體,承載內(nèi)容包括

業(yè)務(wù)狀態(tài)、業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)要求等,按業(yè)務(wù)處理流程進(jìn)行流轉(zhuǎn)。

活動(dòng)活動(dòng)組成了業(yè)務(wù)流程中的步驟和任務(wù)，是按照規(guī)范流程要求而采取的

動(dòng)作,在安管平臺(tái)中，活動(dòng)包括判斷、響應(yīng)、流轉(zhuǎn)、處理等。

業(yè)務(wù)流程業(yè)務(wù)流程是為達(dá)到特定的價(jià)值目標(biāo)而由不同的人協(xié)作完成的一系列活

動(dòng)?；顒?dòng)之間不但有嚴(yán)格的先后順序限定，而且活動(dòng)的內(nèi)容、方式、

責(zé)任等也都必須有明確的安排和界定，以使不同活動(dòng)在不同崗位角色

之間進(jìn)行轉(zhuǎn)手交接成為可能。本文主要指信通網(wǎng)中與安全運(yùn)行管理相

文檔僅供參考

關(guān)的簽到、巡檢、簽收、通報(bào)告警、響應(yīng)處理、審核等流程。

安全事件由計(jì)算機(jī)信息系統(tǒng)或者網(wǎng)絡(luò)中的各種設(shè)備與系統(tǒng)，例如安全子系統(tǒng)、

網(wǎng)絡(luò)設(shè)備、安全設(shè)備等發(fā)現(xiàn)并記錄下的各種可疑活動(dòng)被稱(chēng)為安全事

件。

安全策略安全策略是各種論述、規(guī)則和準(zhǔn)則的集合，用以解釋和說(shuō)明公安信息

網(wǎng)資源使用以及網(wǎng)絡(luò)與業(yè)務(wù)保護(hù)的方式和要求。

4建設(shè)原則

1）安全性。XX公安的SOC安全管理平臺(tái)建設(shè),必須具備在各

個(gè)層次上的安全策略、體系和管理辦法，并系統(tǒng)地解決安全

問(wèn)題的能力。

2）有效性和實(shí)用性。網(wǎng)絡(luò)的安全對(duì)所有用戶(hù)是透明的,操作的

人機(jī)界面必須達(dá)到安全、簡(jiǎn)捷、方便,同時(shí)不影響現(xiàn)有網(wǎng)絡(luò)

安全的功能和系統(tǒng)的正常運(yùn)行。

3）開(kāi)放性。網(wǎng)絡(luò)安全系統(tǒng)和設(shè)備，必須適應(yīng)多種軟、硬件五臺(tái)

和通訊的能力。

4）自主性和可控性。根據(jù)國(guó)家相關(guān)的法規(guī)和政策，在安全建設(shè)

的過(guò)程中，安全設(shè)備必須經(jīng)過(guò)國(guó)家有關(guān)管理部門(mén)（主要是公安

部門(mén)）的認(rèn)可或認(rèn)證，保證其配置及設(shè)備的合法性。

5）適應(yīng)性和可擴(kuò)展性。所采取的措施必須能隨著網(wǎng)絡(luò)性能及安

全需求的變化而變化，要具備可擴(kuò)充性和可升級(jí)性，以適應(yīng)將

來(lái)網(wǎng)絡(luò)規(guī)模的發(fā)展。

文檔僅供參考

6）業(yè)務(wù)符合性。平臺(tái)所提供的事件監(jiān)控、處理流程，必須符合

公安行業(yè)的實(shí)際工作特性與工作過(guò)程。

7）可管理性。網(wǎng)絡(luò)安全系統(tǒng)必須具備美好的可管理性。

5系統(tǒng)現(xiàn)狀及需求分析

當(dāng)前XX公安信息專(zhuān)網(wǎng)涉及地域廣泛，包括省廳及直屬單位、

個(gè)地市，多個(gè)區(qū)縣等接入單位;應(yīng)用系統(tǒng)繁多，共有100多個(gè)應(yīng)用

系統(tǒng)。隨著XX公安信息網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)范圍越趨擴(kuò)大，主機(jī)設(shè)

備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)量也隨之不斷地增長(zhǎng)，而且種類(lèi)繁多、

部署分散,這些系統(tǒng)每天都要產(chǎn)生成千上萬(wàn)的各類(lèi)安全事件和告警

信息。

XX公安非常重視公安信息安全建設(shè)，當(dāng)前建成包括”一機(jī)兩

用”監(jiān)控系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺(tái)、

PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常

流量監(jiān)測(cè)系統(tǒng)、應(yīng)急響應(yīng)系統(tǒng)等安全專(zhuān)項(xiàng)系統(tǒng)，這些系統(tǒng)在省廳及

文檔僅供參考

各地市得到應(yīng)用，但各個(gè)系統(tǒng)提供獨(dú)立的安全管理監(jiān)控平臺(tái),形成多

個(gè)“信息孤島”，缺乏全網(wǎng)統(tǒng)一的安全狀況實(shí)時(shí)監(jiān)控了解工具，缺乏

安全策略與安全技術(shù)相結(jié)合的溝通手段，沒(méi)有一套完善的安全管理

機(jī)制，沒(méi)有專(zhuān)門(mén)負(fù)責(zé)安全監(jiān)控的組織和人員，現(xiàn)有的安全管理、安全

監(jiān)控手段已經(jīng)不能滿(mǎn)足日益擴(kuò)展的復(fù)雜的信息安全保障的需要，因

此難以有效發(fā)揮其功能作用。

當(dāng)前XX省公安廳的安全管理系統(tǒng)存在以下問(wèn)題：

?網(wǎng)絡(luò)范圍越趨擴(kuò)大，主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)量也

隨之不斷地增長(zhǎng)，而且種類(lèi)繁多、部署分散，這些系統(tǒng)每天都

要產(chǎn)生成千上萬(wàn)的各類(lèi)安全事件和告警信息,可是安全事件

得不到有效處理。告警信息得不到有效分析。

?安全告警信息沒(méi)有與具體的設(shè)備資產(chǎn)想關(guān)聯(lián),發(fā)現(xiàn)告警后無(wú)

法定位和處理，比如病毒信息和IDS安全告警信息，因?yàn)闆](méi)

有和具體的設(shè)備相關(guān)聯(lián)，無(wú)法及時(shí)定位和處理；

?網(wǎng)絡(luò)中各安全設(shè)備基本采用各自分散的管理模式，而零散的

安全信息很難形成集中性的、對(duì)決策、判斷及處理有重要

意義的數(shù)據(jù)

?沒(méi)有明確的安全監(jiān)控、處理、安全管理流程和上報(bào)工作流程,

缺乏有效的事件處理機(jī)制，當(dāng)產(chǎn)生安全事件時(shí)，相關(guān)人員按照

自己的想法和理解進(jìn)行處理，可能會(huì)造成更大的損失和影響;

?缺乏全網(wǎng)統(tǒng)一的安全狀況實(shí)時(shí)監(jiān)挖了解工具,缺乏安全貨略

與安全技術(shù)相結(jié)合的溝通手段。

文檔僅供參考

?缺乏明確的人員職責(zé)定位與考核標(biāo)準(zhǔn),安全告警不能落實(shí)到

具體責(zé)任人，安全事件處理不能落實(shí)到任務(wù)處理人，難以形成

高效的績(jī)效考核機(jī)制。

?缺乏與安全管理工作相適應(yīng)的安全知識(shí)體系。安全告警發(fā)生

之后尢法及時(shí)尋找對(duì)應(yīng)的知識(shí)庫(kù)進(jìn)行參照處理。

針對(duì)上述問(wèn)題，并根據(jù)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理的本質(zhì)，對(duì)風(fēng)險(xiǎn)

進(jìn)行有效的控制,圍繞“重要資產(chǎn)、重要告警、重點(diǎn)監(jiān)控”的工作

目標(biāo)，建議XX公安信息網(wǎng)建設(shè)安全管理平臺(tái)系統(tǒng)，從而解決上述問(wèn)

題及滿(mǎn)足省廳相關(guān)規(guī)范，最終逐步形成具有XX公安信息網(wǎng)特色的

功能成熟、并能切實(shí)發(fā)揮作用的安全管理平臺(tái)。

文檔僅供參考

6安全管理平臺(tái)建設(shè)目標(biāo)

XX公安的SOC安全管理平臺(tái)的建設(shè)目標(biāo)是搭建以事件管理

為核心的集中安全監(jiān)控平臺(tái)，經(jīng)過(guò)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)/系統(tǒng)中采集到的安全

事件、資產(chǎn)、漏洞、風(fēng)險(xiǎn)、預(yù)警的進(jìn)行集中監(jiān)測(cè)和分析，實(shí)現(xiàn)安全

告警管理與安全事件的流程化處理，建立安全策略管理基本框架。

初步建立安全知識(shí)體系和應(yīng)急響應(yīng)體系，從而提高科通處所管理系

統(tǒng)的安全威脅實(shí)時(shí)檢測(cè)率，降低被成功攻擊的概率，提高安全事件的

響應(yīng)速度。其具體目標(biāo)可表現(xiàn)為：

6.1集中監(jiān)控告警

統(tǒng)一監(jiān)控管轄范圍內(nèi)的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)

庫(kù)、中間件、服務(wù)和機(jī)房設(shè)備，為用戶(hù)提供一個(gè)全方位監(jiān)控的統(tǒng)一

管理平臺(tái),使得管理員經(jīng)過(guò)一個(gè)單一控制臺(tái)就能夠進(jìn)行實(shí)時(shí)全網(wǎng)監(jiān)

控，保障全網(wǎng)IT計(jì)算環(huán)境基礎(chǔ)設(shè)施的可用性，業(yè)務(wù)的持續(xù)性和安全

性。

6.2事件定位處理

在所的監(jiān)控的設(shè)備發(fā)生故障或安全事件時(shí)，監(jiān)控系統(tǒng)能幫助管

理員快速、準(zhǔn)確地找到問(wèn)題的根源所在，有效排查。

對(duì)于'一機(jī)兩用'這類(lèi)公安的專(zhuān)項(xiàng)系統(tǒng)，必須能夠在事件發(fā)生

文檔僅供參考

的第一時(shí)間定位到所屬區(qū)域、責(zé)任人，而且能夠以便捷的通知方式

（例如短信、郵件、網(wǎng)上通知）快速下發(fā)信息，明確處理人，以工單流

轉(zhuǎn)的方式進(jìn)行及時(shí)處理。

6.3安全關(guān)聯(lián)分析

安全系統(tǒng)產(chǎn)生的日志數(shù)量是非常龐大的,要在這些事件里找出

有用的信息，沒(méi)有安全管理平臺(tái)的幫助，幾乎是不可能實(shí)現(xiàn)的。安全

管理平臺(tái)需要提供的事件關(guān)聯(lián)分析功能，幫助管理員對(duì)事件進(jìn)行相

關(guān)性分析，得出需要關(guān)注的少量的安全事故，大大降低事件處理的工

作量，使重要的事件能夠以較高的優(yōu)先級(jí)被處理。對(duì)于所收集到的

事件，安全管理平臺(tái)需要將其標(biāo)準(zhǔn)化后賦予其唯一的ID,以實(shí)現(xiàn)事

件關(guān)聯(lián)效率高，分析更清楚，和事故處理知識(shí)庫(kù)能緊密聯(lián)系。

6.4實(shí)時(shí)風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理以業(yè)務(wù)系統(tǒng)為核心，以資產(chǎn)為基礎(chǔ)，依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)

GB/T22239-和公安行業(yè)規(guī)則,提供兩大規(guī)則庫(kù)供安全管理員對(duì)重

要業(yè)務(wù)系統(tǒng)進(jìn)行等級(jí)評(píng)定和風(fēng)險(xiǎn)管理,以實(shí)時(shí)展現(xiàn)業(yè)務(wù)系統(tǒng)存在的

威脅、脆弱性和風(fēng)險(xiǎn)，盡可能減少或避免業(yè)務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)，確保

業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)環(huán)境中能夠持續(xù)、穩(wěn)定和安全的運(yùn)行。

6.5安全運(yùn)維流程

公安信息安全工作中的重點(diǎn)是日常的安全運(yùn)維工作,包括簽

到、巡檢、事件處理、通知通報(bào)、響應(yīng)等工作環(huán)節(jié),運(yùn)維工作強(qiáng)調(diào)

文檔僅供參考

制度化、流程化與標(biāo)準(zhǔn)化，核心是事件的處理過(guò)程。平臺(tái)需要內(nèi)置

事件處理流程工單系統(tǒng)，經(jīng)過(guò)與可定制安全知識(shí)庫(kù)的結(jié)合，可方便快

捷的將安全事故處理建議分發(fā)給負(fù)責(zé)人員進(jìn)行事故的及時(shí)處理并

反饋。

6.6安全管理流程

作為一個(gè)開(kāi)放的網(wǎng)絡(luò)，安全和維護(hù)的壓力越來(lái)越高，需要實(shí)現(xiàn)從

依靠人工維護(hù)IT系統(tǒng)的模式，轉(zhuǎn)變成基于流程和工具的安全、可

靠、高質(zhì)量、高效的服務(wù)模式。建設(shè)完備的安全管理流程,實(shí)現(xiàn)自

動(dòng)化工單、案例、知識(shí)庫(kù)的自動(dòng)管理和維護(hù)實(shí)時(shí)自動(dòng)化監(jiān)控，并提

供高品質(zhì)的服務(wù),降低安全風(fēng)險(xiǎn)以提高IT系統(tǒng)的可用性。具體工

具公安業(yè)務(wù)進(jìn)行定制:比如:案件處理流程、CA證書(shū)發(fā)放流程管

理、應(yīng)急服務(wù)處理流程、規(guī)章制度流程信息化、安全管理員管

理、設(shè)備注冊(cè)管理等功能。

6.7策略知識(shí)體系

安全事件的特殊性、突發(fā)性決定了作為攻擊的防御方一一安

全管理員和所有IT信息的使用者，需要具備一定的安全防護(hù)知識(shí)。

安全知識(shí)管理解決用戶(hù)環(huán)境中安全知識(shí)（包括漏洞信息、威脅信

息、案例、安全策略）的積累、發(fā)布和管理問(wèn)題，實(shí)現(xiàn)安全教育的全

員化。安全管理平臺(tái)廠(chǎng)商必須維護(hù)平臺(tái)知識(shí)庫(kù)，可快速升級(jí)安全管

理平臺(tái)中相關(guān)的產(chǎn)品特征庫(kù)模塊,另一方面將緊急的、影響重天的

文檔僅供參考

安全事件經(jīng)過(guò)Web的方式發(fā)布出去。實(shí)現(xiàn)安全管理平臺(tái)的知識(shí)管

理與網(wǎng)絡(luò)安全態(tài)勢(shì)同步。

7安全管理平臺(tái)方案設(shè)計(jì)

7.1平臺(tái)概述

啟明星辰推出的泰合信息安全運(yùn)營(yíng)中心系統(tǒng)（以下簡(jiǎn)稱(chēng)TSOC）

文檔僅供參考

是立足于公司十多年信息安全積累的基礎(chǔ)之上，基于客戶(hù)最新需求

推出的全新一代安全管理平臺(tái)。

TSOC-GA公安行業(yè)專(zhuān)版（以下簡(jiǎn)稱(chēng)TSOC-GA）是啟明星辰

基于TSOC產(chǎn)品成果、面向全國(guó)公安用戶(hù)定向開(kāi)發(fā)的行業(yè)化版

本。公安行業(yè)專(zhuān)版完全遵照公安部〈公安信息通信網(wǎng)綜合安全管理

平臺(tái)技術(shù)規(guī)范（試行）〉，充分結(jié)合了公安行業(yè)業(yè)務(wù)特性，并有效發(fā)揮

了啟明星辰在安全管理平臺(tái)領(lǐng)域的技術(shù)專(zhuān)長(zhǎng),體現(xiàn)了公安信息安全

管理工作中”集中監(jiān)控、統(tǒng)一管理、全面分析、快速響應(yīng)、規(guī)范

運(yùn)行”的管理思想，能夠顯著提升公安信息安全管理工作的效寵與

質(zhì)量。

TSOC-GA采用了新一代的基于超微內(nèi)核的技術(shù)架構(gòu)，融合多

種信息安全技術(shù)和管理理念，充分實(shí)現(xiàn)組織、管理、技術(shù)三個(gè)體系

的合理調(diào)配,幫助用戶(hù)實(shí)現(xiàn)對(duì)業(yè)務(wù)信息系統(tǒng)的統(tǒng)一安全保障。

TSOC-GA采用開(kāi)放平臺(tái)架構(gòu)設(shè)計(jì)，遵循業(yè)界通行的應(yīng)用接口

和管理接口，功能部件都實(shí)現(xiàn)了模塊化裝配，客戶(hù)能夠自由選擇，并

能夠與客戶(hù)的應(yīng)用和管理環(huán)境實(shí)現(xiàn)很好的對(duì)接與整合。

TSOC具有國(guó)內(nèi)最廣泛的應(yīng)用范圍和客戶(hù)群，已經(jīng)連續(xù)4年位

居國(guó)內(nèi)市場(chǎng)銷(xiāo)量第一,TSOC-GA已經(jīng)在公安行業(yè)擁有多個(gè)大型

成功案例。

7.2系統(tǒng)組成

TSOC-GA包括管理中心、日志采集器、性能采集器和日志

文檔僅供參考

代理四個(gè)部件。

?管理中心

管理中心是TSOC-GA的核心部件，實(shí)現(xiàn)了對(duì)IT系統(tǒng)集中化

的性能及可用性監(jiān)控、安全事件的集中管理、安全風(fēng)險(xiǎn)的評(píng)估、

宏觀安全態(tài)勢(shì)感知，以及流程化的安全響應(yīng)與處理?？蛻?hù)經(jīng)過(guò)瀏覽

器即可登陸管理中心，進(jìn)行各種操作。

管理中心內(nèi)置日志采集和性能采集功能,客戶(hù)無(wú)需另行安裝其

它任何部件即可直接收集管理對(duì)象的日志信息和性能信息。管理

中心也能夠匯聚來(lái)自日志采集器、日志代理和性能采集器的日志

?日志采集器

日志采集器能夠安裝并獨(dú)立運(yùn)行在一臺(tái)服務(wù)器上，也能夠與性

能采集器集成安裝和運(yùn)行一臺(tái)服務(wù)器上，實(shí)現(xiàn)對(duì)異構(gòu)管理對(duì)象的日

志采集，功能同管理中心的日志采集模塊用以輔助管理中心解決特

定日志采集的問(wèn)題,并能夠?qū)崿F(xiàn)分布式日志采集能力。

日志采集器收集的日志能夠轉(zhuǎn)發(fā)給管理中心。管理中心能夠

對(duì)網(wǎng)絡(luò)中分散的日志采集器進(jìn)行集中管理。

?性能采集器

性能采集器能夠安裝并獨(dú)立運(yùn)行在一臺(tái)服務(wù)器上，也能夠與日

志采集器集成安裝和運(yùn)行一臺(tái)服務(wù)器上，實(shí)現(xiàn)對(duì)異構(gòu)管理對(duì)象的性

能信息采集，包括可用性信息、運(yùn)行狀態(tài)信息、性能信息等，功能同

管理中心的性能采集模塊，用以輔助管理中心解決分布式性能數(shù)據(jù)

文檔僅供參考

采集的問(wèn)題。

性能采集器收集的數(shù)據(jù)能夠轉(zhuǎn)發(fā)給管理中心。管理中心能夠

對(duì)網(wǎng)絡(luò)中分散的性能采集器進(jìn)行集中管理。

?日志代理

日志代理用于安裝并運(yùn)行在管理對(duì)象上,實(shí)現(xiàn)對(duì)管理對(duì)象的日

志采集和轉(zhuǎn)發(fā)。當(dāng)前,日志代理支持Windows操作系統(tǒng)，主要用于

采集Windows操作系統(tǒng)及其服務(wù)與應(yīng)用的日志。

日志代理收集的日志能夠轉(zhuǎn)發(fā)給日志采集器，或者直接轉(zhuǎn)發(fā)給

管理中心。管理中心能夠?qū)W(wǎng)絡(luò)中分散的日志代理進(jìn)行集中管

理。

7.3系統(tǒng)架構(gòu)

TSOC-GA的技術(shù)架構(gòu)圖如下:

文檔僅供參考

集中

事件與狀態(tài)監(jiān)控全網(wǎng)工作協(xié)同知識(shí)與培訓(xùn)綜合分析

展示層

運(yùn)行監(jiān)控子系蛻業(yè)務(wù)處理子系統(tǒng)業(yè)務(wù)分析子系統(tǒng)

安全信息監(jiān)控日常工作

運(yùn)行狀態(tài)監(jiān)控管理工作

專(zhuān)項(xiàng)系統(tǒng)監(jiān)控

核心響應(yīng)處理

處理層風(fēng)險(xiǎn)監(jiān)控

服務(wù)工作

性愛(ài)拓?fù)淦强亍?/p>

業(yè)務(wù)配置于系統(tǒng)

監(jiān)控與報(bào)魯管理信息S（處理管理流程管理模板管理

接入

安全專(zhuān)項(xiàng)系及接口平臺(tái)（R聯(lián)*口其他系我接口

交換層

安全專(zhuān)項(xiàng)系統(tǒng)

交互PKI/PVI平臺(tái)防火墻管理系統(tǒng)違短行為窗拄系統(tǒng)

對(duì)象“一機(jī)兩用”系統(tǒng)防入侵和攻擊系統(tǒng)邊界接入平臺(tái)系統(tǒng)

防病毒系統(tǒng)漏洞掃描系林其它安全系統(tǒng)

集中展示層是安全預(yù)警和事件監(jiān)控、安全運(yùn)行監(jiān)控、協(xié)同工

作處理、安全知識(shí)培訓(xùn)、綜合分析的統(tǒng)一展示，是安管平臺(tái)與各類(lèi)

用戶(hù)交互的窗口。

核心處理層是實(shí)現(xiàn)安全管理業(yè)務(wù)的核心層，各類(lèi)安全工作人員

完成所授權(quán)的工作，完成對(duì)事件與狀態(tài)的處理，完成平臺(tái)自身的管理,

實(shí)現(xiàn)公安信息網(wǎng)安全管理制度的全面落實(shí)。該層分為運(yùn)行監(jiān)控子

系統(tǒng)、業(yè)務(wù)處理子系統(tǒng)、業(yè)務(wù)分析子系統(tǒng)、業(yè)務(wù)配置子系統(tǒng)和平

臺(tái)管理子系統(tǒng)，這五個(gè)子系統(tǒng)不但能夠完成獨(dú)立的功能，同時(shí)也是相

互結(jié)合的，實(shí)現(xiàn)完整的工作流和事件處理。

接入交換層包括平臺(tái)級(jí)聯(lián)接口、安全專(zhuān)項(xiàng)系統(tǒng)接口、其它系

統(tǒng)接口等，實(shí)現(xiàn)各級(jí)安管平臺(tái)的接入認(rèn)證、級(jí)聯(lián)數(shù)據(jù)同步和安全傳

輸;實(shí)現(xiàn)安全專(zhuān)項(xiàng)系統(tǒng)的統(tǒng)一接入管理和策略管理;提供安管平臺(tái)反

文檔僅供參考

饋處理的信息通道;提供安管平臺(tái)外部系統(tǒng)服務(wù)接口，規(guī)范安管平臺(tái)

提供服務(wù)的形式和內(nèi)容。經(jīng)過(guò)接入交換層，安管平臺(tái)與公安網(wǎng)中安

全專(zhuān)項(xiàng)系統(tǒng)、上下級(jí)安管平臺(tái)、運(yùn)維/值班平臺(tái)等系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)交

換和共享。

7.4平臺(tái)功能描述

7.4.1集中展示模塊

安全主頁(yè)

用戶(hù)登錄即可進(jìn)入安全首頁(yè)。經(jīng)過(guò)該界面，能夠快速的導(dǎo)航到

各個(gè)功能。安全首頁(yè)將各個(gè)界面的信息集中顯示和發(fā)布，采用Web

方式，對(duì)監(jiān)控類(lèi)信息、全網(wǎng)工作協(xié)同類(lèi)信息、信息安全培訓(xùn)知識(shí)、

綜合分析類(lèi)信息等進(jìn)行統(tǒng)一呈現(xiàn),提供相應(yīng)權(quán)限的查閱與工作界面,

如下圖所示：

ffl

窗

MBW

9*

inJinX1M1-22

充灶i”2C1M1-20

>332423114:20^2■整■修KI2-I1-20

■■■M1212H192?2】行mr阜BY9I<(

192.g.19.21WinXX2-11-20

在首頁(yè)的展示樣式上，我們綜合采用了以下各種方式:

文檔僅供參考

?基于列表的信息顯示

專(zhuān)項(xiàng)系統(tǒng)告警、事件、通知通報(bào)等內(nèi)容,均提供列表方式的信

息顯示。列表信息支持實(shí)時(shí)更新,也支持監(jiān)控窗口的擴(kuò)展。

?基于圖表的信息顯示

系統(tǒng)整體安全狀態(tài)、專(zhuān)項(xiàng)系統(tǒng)事件的發(fā)展趨勢(shì),均以直觀的圖

形化方式顯示，安全首頁(yè)中采用雷達(dá)圖、趨勢(shì)圖、柱狀圖、儀表圖

等多種圖表樣式，滿(mǎn)足美觀、直觀的監(jiān)控要求。

?基于電子地圖的信息顯示

在多級(jí)管理架構(gòu)下，各個(gè)下級(jí)平臺(tái)的安全運(yùn)行狀態(tài)、以及考核

得分，能夠在電子地圖上直接查看。電子地圖支持圖形自定義，并能

夠自動(dòng)根據(jù)相關(guān)系統(tǒng)的安全狀態(tài)自動(dòng)調(diào)整界面顏色，支持自動(dòng)刷

新。

?基于浮動(dòng)窗口的信息顯示

安全主頁(yè)中能夠以浮動(dòng)窗口的形式，直接提醒管理人員待辦工

作,避免出現(xiàn)工作遺漏。

個(gè)人工作臺(tái)

工作臺(tái)為用戶(hù)提供了一個(gè)從用戶(hù)自身業(yè)務(wù)需要出發(fā)使用本系

統(tǒng)的快速入口，經(jīng)過(guò)預(yù)先配置，工作臺(tái)集成了當(dāng)前登錄用戶(hù)有關(guān)的日

常工作活動(dòng),為其提供一站式管理功能。

工作臺(tái)是與用戶(hù)相關(guān)的，它把系統(tǒng)各功能模塊進(jìn)行有序的聯(lián)系,

形成面向用戶(hù)的、條理清晰的工作桌面。

文檔僅供參考

用戶(hù)能夠在工作臺(tái)中自定義儀表板，按需設(shè)計(jì)儀表板顯示的內(nèi)

容和布局,能夠?yàn)椴煌巧挠脩?hù)建立不同維度的儀表板。

工作臺(tái)能夠支持展示的信息包括：

?公安網(wǎng)各類(lèi)安全預(yù)警、事件、通報(bào)摘要信息；

?公安網(wǎng)各安全專(zhuān)項(xiàng)系統(tǒng)運(yùn)行摘要信息；

?待辦工作信息；

?個(gè)人工作信息；

?運(yùn)行及服務(wù)狀態(tài)指標(biāo)數(shù)據(jù)；

?安全運(yùn)行管理考核指標(biāo)數(shù)據(jù)；

?統(tǒng)計(jì)分析數(shù)據(jù)；

?平臺(tái)自身運(yùn)行監(jiān)控信息；

?組織機(jī)構(gòu)信息，包括上級(jí)及本級(jí)安全管理組織機(jī)構(gòu)、人員等；

?安全技術(shù)、法規(guī)（包括上級(jí)及本級(jí)的安全管理相關(guān)的制度、

文件、規(guī)章）、案例等展示和培訓(xùn)；

?安全服務(wù)信息指南，提供補(bǔ)丁下載、病毒庫(kù)更新、安全專(zhuān)I頁(yè)

工具和相關(guān)表格等相關(guān)資源幫助信息；

應(yīng)急響應(yīng)信息，包括公安信息網(wǎng)安全應(yīng)急預(yù)案等信息。

安全門(mén)戶(hù)

系統(tǒng)提供免登錄的服務(wù)入口，能夠?yàn)閺V大公安干警提供安全信

息與服務(wù)支持。安全門(mén)戶(hù)能夠被嵌入到公安的其它信息網(wǎng)站口。

安全門(mén)戶(hù)支持安全公告瀏覽、服務(wù)工具、補(bǔ)丁下載,并提供安全服

文檔僅供參考

務(wù)功能的受理、跟蹤。

7.4.2運(yùn)行監(jiān)控模塊

專(zhuān)項(xiàng)系統(tǒng)日志采集和監(jiān)控

系統(tǒng)支持公安系統(tǒng)內(nèi)一機(jī)兩用、異常流量、防火墻、入侵攻

擊與防御等多種安全專(zhuān)項(xiàng)系統(tǒng)的日志收集，能夠以Syslog.SNMP

Trap.FTP、EventLog.NETBIOS.ODBC、WMI、Shell腳五、

VIP、WebService等協(xié)議進(jìn)行日志采集，并支持對(duì)日志進(jìn)行范式

化、過(guò)濾、歸并。

另外,TSOC-GA還提供可獨(dú)立部署的日志采集器，每個(gè)采集

器都能對(duì)日志進(jìn)行采集、范式化、過(guò)濾和歸并，實(shí)現(xiàn)分布式日志采

集。日志采集器統(tǒng)一接入管理中心,實(shí)現(xiàn)集中化安全事件管理。管

理中心具備對(duì)多個(gè)日志采集器的集中管理功能。

具體界面如下圖所示：

文檔僅供參考

安全事件監(jiān)控

安全事件監(jiān)控能夠?qū)ζ脚_(tái)采集到的安全事件進(jìn)行實(shí)時(shí)性的展

示和報(bào)警，系統(tǒng)提供了實(shí)時(shí)監(jiān)控視圖，能夠根據(jù)內(nèi)置或者自定義的實(shí)

時(shí)監(jiān)視策略，從各個(gè)維度實(shí)時(shí)觀測(cè)安全事件的走向，并能夠進(jìn)行事件

調(diào)查、鉆取，并進(jìn)行事件行為分析和來(lái)源定位，具體包括：

?監(jiān)控展示，內(nèi)容包括編號(hào)、名稱(chēng)、級(jí)別、發(fā)生時(shí)間、狀

態(tài)、內(nèi)容描述等,并可支持自定義屬性信息的展示。

?能夠提供對(duì)重大安全事件和違規(guī)事件提供報(bào)警和業(yè)務(wù)處

理入口。

?能夠提供基于安全事件等級(jí)、安全事件分類(lèi)、安全域的

監(jiān)控。

?能夠基于單個(gè)或多個(gè)安全專(zhuān)項(xiàng)系統(tǒng)的日志分析、安全告

警、事件的監(jiān)控。

?能夠提供基于單個(gè)或多個(gè)下級(jí)平臺(tái)或管理域的安全事件

監(jiān)控。

?能夠支持對(duì)事件源的定位功能。

7.4.23告警監(jiān)控

相對(duì)于來(lái)源于原始日志的事件而言，告警是更需要引起關(guān)注的

重要信息。系統(tǒng)中的事件，能夠基于預(yù)定義規(guī)則生成為告警。系統(tǒng)

支持各種告警響應(yīng)動(dòng)作，包括彈出提示框、發(fā)送郵件、發(fā)送SNMP

Trap,發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動(dòng)、發(fā)送飛鴿傳書(shū)、發(fā)

文檔僅供參考

送Syslog等告警方式。告警信息可查詢(xún),可追蹤和統(tǒng)計(jì)分析。

告警的另一來(lái)源于設(shè)備的性能狀態(tài)。用戶(hù)能夠設(shè)置性能狀態(tài)的

監(jiān)控閥值，當(dāng)超過(guò)閥值時(shí)能夠生成為告警。

告警管理則包括對(duì)告警信息的查看、處理和統(tǒng)計(jì)分析。系統(tǒng)

提供快捷的告警響應(yīng)處理流程,可記錄告警信息的處理過(guò)程和處理

結(jié)果，并能夠與工單管理模塊聯(lián)動(dòng)。

7.424安全預(yù)警監(jiān)控

平臺(tái)提供安全預(yù)警的管理。安全預(yù)警是一種有效預(yù)防措施和

制度措施，涉及收集預(yù)警、審核發(fā)布、響應(yīng)與安全防護(hù)等過(guò)程，包括

安全預(yù)警監(jiān)控展示和報(bào)警。系統(tǒng)提供了及時(shí)的預(yù)警管理機(jī)制，能夠

發(fā)布經(jīng)審核的預(yù)警信息，系統(tǒng)支持豐富的預(yù)警類(lèi)別，支持預(yù)警定級(jí),

支持預(yù)警的發(fā)布范圍定義。

具體界面如下圖所示：

H回0?穿零慝空MRD

■Dit務(wù)U&境計(jì)分著美“方磨北務(wù)鴕量燙產(chǎn)

O。-4

□MT*ga初

1

□2012-12*1110^2廳知rN日租里拄￡嫣n*<as4

□2032-n-li10:44紀(jì)mrrs?i?*€jmm?無(wú)a

□2012-12-1110:3?行安班平日UBA?n喊mis

??<口“，?n-3典建:

?wi/n月」日ISXIM：18：】99■，泵用戶(hù)23arsMXxrt*B

安全預(yù)警功能包括:

文檔僅供參考

1.安全預(yù)警監(jiān)控對(duì)本平臺(tái)產(chǎn)生的最新預(yù)警信息內(nèi)容進(jìn)行

監(jiān)控展ZEo

2.根據(jù)預(yù)警來(lái)源、預(yù)警類(lèi)別范圍、預(yù)警的級(jí)別、影響的

范圍等進(jìn)行監(jiān)視。

支持對(duì)接受預(yù)警的存儲(chǔ)、報(bào)警等方式進(jìn)行設(shè)置。

7.425設(shè)備性能信息采集

系統(tǒng)能夠主動(dòng)地、周期性地采集各種不同廠(chǎng)商的安全設(shè)備、網(wǎng)

絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)的性能與可用性信

息，采樣周期、采集參數(shù)都能夠獨(dú)立配置。系統(tǒng)支持經(jīng)過(guò)SNMP、

TELNET.SSH、SSH2、ODBC、JMX、協(xié)議仿真等方式對(duì)IT資

產(chǎn)進(jìn)行性能與可用性信息的采集。管理中心內(nèi)置性能信息采集，也

提供獨(dú)立安裝的性能信息采集器。

系統(tǒng)提供可獨(dú)立部署的性能信息采集器,每個(gè)采集器都能對(duì)性

能信息進(jìn)行采集，并統(tǒng)一接入管理中心,實(shí)現(xiàn)集中化的性能與可用性

監(jiān)控。管理中心具備對(duì)多個(gè)性能信息采集器的集中管理功能。

7.426設(shè)備性能狀態(tài)監(jiān)控

系統(tǒng)能夠?qū)Ω鞣N不同廠(chǎng)商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作

系統(tǒng)、以及各種應(yīng)用系統(tǒng)的性能與狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，具有豐富的

監(jiān)控指標(biāo)。管理員能夠經(jīng)過(guò)豐富的可視化圖表查看監(jiān)控指標(biāo)信息;

能夠?qū)ΡO(jiān)控指標(biāo)設(shè)置告警閥值;能夠?qū)⒈O(jiān)控指標(biāo)的數(shù)據(jù)保存起來(lái)，并

文檔僅供參考

進(jìn)行歷史分析。

系統(tǒng)能夠監(jiān)控公安安全專(zhuān)項(xiàng)系統(tǒng)的關(guān)鍵服務(wù)運(yùn)行狀態(tài)指標(biāo)。

如專(zhuān)項(xiàng)系統(tǒng)名稱(chēng)、IP地址、運(yùn)行狀態(tài)描述、詳細(xì)狀態(tài)信息，經(jīng)過(guò)對(duì)

上述信息的監(jiān)控，巨對(duì)關(guān)鍵服務(wù)運(yùn)行故障實(shí)現(xiàn)基本定位和跟蹤。

平臺(tái)運(yùn)行監(jiān)控

綜合安全管理平臺(tái)提供平臺(tái)狀態(tài)監(jiān)控功能，完成對(duì)平臺(tái)自身狀

態(tài)信息、與部運(yùn)維平臺(tái)等連通情況、平臺(tái)當(dāng)前操作人員信息的監(jiān)

控展示，如下圖所示：

平臺(tái)自身狀態(tài)信息包括系統(tǒng)當(dāng)前CPU、內(nèi)存、磁盤(pán)空間、網(wǎng)

卡流量等、數(shù)據(jù)庫(kù)使用狀態(tài)，上/下級(jí)平臺(tái)在線(xiàn)狀態(tài)、平臺(tái)模塊運(yùn)行

狀態(tài)、當(dāng)前登錄用戶(hù)信息、當(dāng)前上線(xiàn)人數(shù)、當(dāng)前的時(shí)間等進(jìn)行監(jiān)

控。支持自身如CPU、內(nèi)存、磁盤(pán)空間等、數(shù)據(jù)庫(kù)內(nèi)存等系統(tǒng)狀

態(tài)的報(bào)警方式設(shè)置。

文檔僅供參考

通知通報(bào)監(jiān)控

公安行業(yè)的重要安全管理工作以通知通報(bào)形式發(fā)布，平臺(tái)提供

通知通報(bào)的錄入、修改、刪除等功能,同時(shí)安全管理的相關(guān)通知通

報(bào)也需要相應(yīng)管理員進(jìn)行簽收,如下圖所示：

本平臺(tái)能夠預(yù)告加載標(biāo)準(zhǔn)的通知通報(bào)模板，自動(dòng)補(bǔ)充相關(guān)內(nèi)容,

并支持人工的再修改，經(jīng)審核后才發(fā)布。

系統(tǒng)既能夠展示來(lái)源于本級(jí)的通知通報(bào),也可展示來(lái)自于相關(guān)

的級(jí)聯(lián)平臺(tái)發(fā)布的信息。

系統(tǒng)的通知通報(bào)監(jiān)控具備實(shí)時(shí)更新功能,能夠?qū)π掳l(fā)布的信息

進(jìn)行及時(shí)呈現(xiàn)。

7.429脆弱性監(jiān)控

系統(tǒng)具有脆弱性管理功能，能夠?qū)胭Y產(chǎn)的弱點(diǎn)信息，并計(jì)算資

產(chǎn)/安全域/業(yè)務(wù)系統(tǒng)的脆弱性值。系統(tǒng)能夠經(jīng)過(guò)多種方式展示資產(chǎn)

/安全域/業(yè)務(wù)系統(tǒng)的弱點(diǎn)信息，支持時(shí)間趨勢(shì)分析和橫向?qū)Ρ确?/p>

文檔僅供參考

析。

0安全風(fēng)險(xiǎn)監(jiān)控

系統(tǒng)經(jīng)過(guò)內(nèi)置的風(fēng)險(xiǎn)計(jì)算模型，綜合考慮資產(chǎn)的價(jià)值、脆弱性

和威脅，能夠定期自動(dòng)地計(jì)算出資產(chǎn)的風(fēng)險(xiǎn)可能性和影響性,并經(jīng)過(guò)

二者建立了一個(gè)風(fēng)險(xiǎn)矩陣，進(jìn)而計(jì)算出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)的

風(fēng)險(xiǎn)值，并刻畫(huà)出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)隨時(shí)間變化的風(fēng)險(xiǎn)變化

曲線(xiàn)。

系統(tǒng)能夠形象地展示出安全域的風(fēng)險(xiǎn)矩陣，從可能性和影響性

兩個(gè)角度標(biāo)注安全域中風(fēng)險(xiǎn)的分布情況，經(jīng)過(guò)風(fēng)險(xiǎn)矩陣法，指導(dǎo)管理

員進(jìn)行風(fēng)險(xiǎn)分析,采取相應(yīng)的風(fēng)險(xiǎn)處理對(duì)策。

系統(tǒng)還能以圖表的形式可視化地顯示每個(gè)資產(chǎn)、安全域或業(yè)

務(wù)系統(tǒng)風(fēng)險(xiǎn)的關(guān)鍵因素，便于管理人員理解風(fēng)險(xiǎn)的具體含義。

1拓?fù)浔O(jiān)控

系統(tǒng)能夠自動(dòng)發(fā)現(xiàn)和識(shí)別IT硬件資產(chǎn)（例如網(wǎng)絡(luò)設(shè)備、安全

設(shè)備、主機(jī)），能自動(dòng)發(fā)現(xiàn)和識(shí)別軟件資產(chǎn)（例如數(shù)據(jù)庫(kù)、中間件），并

識(shí)別這些軟硬件資產(chǎn)之間的連接關(guān)系或包含關(guān)系，還能自動(dòng)描繪出

網(wǎng)絡(luò)及服務(wù)拓?fù)鋱D以及機(jī)架視圖。

經(jīng)過(guò)網(wǎng)絡(luò)拓?fù)鋱D,管理員能夠?qū)θW(wǎng)的資產(chǎn)進(jìn)行可視化的監(jiān)

控。拓?fù)鋱D具備動(dòng)態(tài)更新能力,能夠?qū)崟r(shí)地顯示資產(chǎn)的運(yùn)行狀態(tài)和

安全狀態(tài),能夠方便地鏈接到其它功能模塊。

文檔僅供參考

系統(tǒng)能夠?qū)崟r(shí)地顯示資產(chǎn)的運(yùn)行狀態(tài)和安全狀態(tài)，并能夠方便

地實(shí)現(xiàn)與網(wǎng)絡(luò)拓?fù)湟晥D的雙向切換。

7.4.3業(yè)務(wù)處理模塊

公安行業(yè)對(duì)業(yè)務(wù)的規(guī)范化處理有很高要求，規(guī)定要依據(jù)業(yè)務(wù)流

程人工或自動(dòng)完成安全管理中的日常工作、管理工作和響應(yīng)處

理。具體包括：

>流程啟動(dòng):支持信息預(yù)處理自動(dòng)啟動(dòng)流程，支持人工啟動(dòng)

流程。

>業(yè)務(wù)狀態(tài):包括待閱、待辦、在辦、辦結(jié)、打回等。

>處理方式:手動(dòng)、自動(dòng)、轉(zhuǎn)辦、委托處理，支持附件上

傳。

>工作記錄:對(duì)工作和事件的信息查看、狀態(tài)修改、信息

補(bǔ)充、結(jié)果記錄。

>通知提醒:人工和自動(dòng)提醒工作和事件，提醒內(nèi)容包括內(nèi)

容、時(shí)間、重要程度，提醒方式包括手機(jī)短信、郵件、界面提示。

TSOC-GA充分考慮到了多級(jí)平臺(tái)架構(gòu)下流程狀態(tài)的反饋能

力。在上級(jí)平臺(tái)中能夠及時(shí)查看到下級(jí)的處理狀態(tài),完成事件處理

的跟蹤處理。

所有的這些配置操作，本平臺(tái)都是在工作流中間件里進(jìn)行的。

工作流中間件能鰭以圖形化的方式進(jìn)行流程節(jié)點(diǎn)的增刪、狀態(tài)的

調(diào)整配置、人員權(quán)限的設(shè)置，通知方式的設(shè)置,能夠靈活適應(yīng)公安實(shí)

文檔僅供參考

際工作的需要。

日常工作

公安的日常工作包括:簽到、簽收、巡檢、個(gè)人工作日志等工

作的排班、啟動(dòng)、工作記錄等。這些工乍都是在日常的流程口進(jìn)

行處理。如下圖所示：

管理簽到

按照公安要求，管理簽到主要是提供考勤簽到，實(shí)現(xiàn)本級(jí)單位安

全管理人員和運(yùn)維人員的簽到功能。

簽到的記錄將統(tǒng)計(jì)計(jì)入人員考核結(jié)果。

本平臺(tái)的簽到支持人工簽到與自動(dòng)簽到兩種。并提供對(duì)簽到

情況的提醒與查詢(xún)功能。

信息簽收

對(duì)于接收到的各類(lèi)信息、包括各種工單、通知通報(bào)，接收方均

文檔僅供參考

應(yīng)提供簽收功能。簽收功能還包括一些信息的反饋,以便于發(fā)送方

確認(rèn)信息已被簽收J(rèn)

安全巡檢

安全巡檢主要是指安全運(yùn)維人員根據(jù)預(yù)先設(shè)定的安全基線(xiàn)指

標(biāo)，對(duì)安全專(zhuān)項(xiàng)系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備及安全應(yīng)用系統(tǒng)的各項(xiàng)硬件參

數(shù)、軟件參數(shù)及業(yè)務(wù)參數(shù)進(jìn)行巡檢和記錄，并對(duì)巡檢中發(fā)現(xiàn)的異常

情況進(jìn)行匯報(bào)和處理。

運(yùn)維人員進(jìn)行巡檢之后,需要進(jìn)行日志填寫(xiě)。日志可由領(lǐng)導(dǎo)進(jìn)

行審查，并作為考核依據(jù)。

管理工作

公安的管理性工作包括安全員管理、工單修訂等工作的啟

動(dòng)、工作記錄、狀態(tài)修改、處理方式選擇。

對(duì)于安全員的變動(dòng),系統(tǒng)提供安全員管理的審核流程。支持的

安全員管理類(lèi)型包括增、刪、改、調(diào)整權(quán)限等。

對(duì)于運(yùn)行過(guò)程中的各類(lèi)工單，管理性工作提供經(jīng)審核后的工單

修訂功能,能夠?qū)芜\(yùn)行流程進(jìn)行特殊干預(yù)，例如強(qiáng)制退回、重新

打開(kāi)、跳過(guò)節(jié)點(diǎn)等等。界面如下圖所示：

文檔僅供參考

7.43.3響應(yīng)處理

在公安的響應(yīng)處理過(guò)程,最重要的是進(jìn)行應(yīng)急響應(yīng)。對(duì)于系統(tǒng)

自動(dòng)產(chǎn)生的工單、或者人工發(fā)起的工單、或者協(xié)同工單，均存在應(yīng)

急響應(yīng)處理的可能。應(yīng)急響應(yīng)處理是工單處理環(huán)節(jié)中重要的內(nèi)容,

界面如下圖所示:

應(yīng)急響應(yīng)包括三方面內(nèi)容:

文檔僅供參考

?應(yīng)急響應(yīng)流程

該功能主要提供應(yīng)急響應(yīng)的通知通報(bào)、信息發(fā)布、簽收，響應(yīng)

處理、結(jié)果填報(bào)，是事件處理環(huán)節(jié)的內(nèi)嵌流程。

?響應(yīng)處理動(dòng)作

在響應(yīng)處理的具體操作中，平臺(tái)提供各種處理手段，包括查處通

知、故障問(wèn)題處理、運(yùn)行維護(hù)調(diào)度單、服務(wù)反饋通知、報(bào)警通報(bào)

等。

?應(yīng)急響應(yīng)工具

平臺(tái)提供響應(yīng)工具的管理，包括上傳、下載等。有效的工具是

執(zhí)行應(yīng)急響應(yīng)的基礎(chǔ)。

?應(yīng)急響應(yīng)預(yù)案

預(yù)案是安全管理中的重要知識(shí)內(nèi)容，在響應(yīng)處理環(huán)節(jié)能夠根據(jù)

需要人工啟動(dòng)某一級(jí)預(yù)案，啟動(dòng)后的預(yù)案將發(fā)布在顯著位置，所有登

錄用戶(hù)均能夠查看到。

7.43.4安全服務(wù)工作

安管平臺(tái)服務(wù)于全體公安干警的功能體現(xiàn)在兩方面:一是安全

知識(shí)庫(kù)功能，二是安全服務(wù)受理C

平臺(tái)的使用人員,包括全體警員，均能夠在平臺(tái)上瀏覽相關(guān)的安

全知識(shí)庫(kù)，進(jìn)行安全補(bǔ)丁、安全工具的下載，接收最新的安全公告,

提高自身的安全防護(hù)能力。

服務(wù)受理功能主要提供安全業(yè)務(wù)的受理和處理功能，對(duì)不同的

文檔僅供參考

安全業(yè)務(wù)提供不同的處理流程，而且該類(lèi)流程是可配置、可視化、

靈活的。同時(shí)也能對(duì)安全業(yè)務(wù)受理、處理的狀態(tài)和結(jié)果進(jìn)行目核

和發(fā)布。

公安網(wǎng)絡(luò)面向全體警員可提供的常見(jiàn)業(yè)務(wù)有：

a)設(shè)備出入網(wǎng)注冊(cè)服務(wù)；

b)邊界接入申請(qǐng)服務(wù)；

c)公安數(shù)字證書(shū)申請(qǐng)服務(wù)；

d)電子印章申請(qǐng)服務(wù)；

本平臺(tái)也提供對(duì)本地化的安全業(yè)務(wù)受理的定制，例如與公安門(mén)

戶(hù)網(wǎng)站的整合，以實(shí)現(xiàn)為全體警員服務(wù)的目標(biāo)。

7.4.4業(yè)務(wù)統(tǒng)計(jì)模塊

業(yè)務(wù)統(tǒng)計(jì)分析

公安綜合安全管理平臺(tái)對(duì)業(yè)務(wù)統(tǒng)計(jì)分析功能需要實(shí)現(xiàn)對(duì)安全

事件、安全流程處理、管理考核、安全專(zhuān)項(xiàng)系統(tǒng)等業(yè)務(wù)進(jìn)行統(tǒng)計(jì)

分析,如下圖所示：

文檔僅供參考

不回0大牙零與f守n

WTenflViAfTEni?n^tUtMVTXMW444R1費(fèi)G

??nawntt

圓虹越H為比

Sstiajvmt

??trW?9S

aWUSMOF

㈤堂量

的史產(chǎn)舟任人

QeFe*M>?

g力也OK*

@d?!b量力比

0“twan匕

?MUftifti

國(guó)炎攵公信?■則比

的3WWB重力比

圓的dM“TM>m

具體針對(duì)以下的數(shù)據(jù)進(jìn)行分析

?安全告警:依據(jù)告警時(shí)間、告警等級(jí)、處理狀態(tài)、告警

類(lèi)型、設(shè)備類(lèi)型等屬性進(jìn)行組合統(tǒng)計(jì)與分析

?安全事件:依據(jù)事件時(shí)間、事件類(lèi)別、事件級(jí)別、IP地

址、區(qū)域、資產(chǎn)、處理狀態(tài)、響應(yīng)級(jí)別、報(bào)警等級(jí)等組合統(tǒng)計(jì)和

分析。

?流程處理:依據(jù)人員、部門(mén)、區(qū)域、事件類(lèi)別、流程名

稱(chēng)、完成率、超時(shí)率等組合統(tǒng)計(jì)和分析。

人員績(jī)效及運(yùn)行管理考核分析:依據(jù)人員、部門(mén)與區(qū)

文檔僅供參考

域、安全專(zhuān)項(xiàng)系統(tǒng)名稱(chēng)等組合進(jìn)行工作量、指標(biāo)參數(shù)的統(tǒng)計(jì)和分

析。

?運(yùn)行分析:依據(jù)專(zhuān)項(xiàng)系統(tǒng)的名稱(chēng)、服務(wù)名稱(chēng)、時(shí)間、系

統(tǒng)提供商、區(qū)域、性能指標(biāo)、連續(xù)工作周期等組合統(tǒng)計(jì)和分析口

對(duì)各單位的各助安全管理工作進(jìn)行統(tǒng)計(jì)分析并排名，并生成相

應(yīng)的統(tǒng)計(jì)排名報(bào)表。

業(yè)務(wù)考核報(bào)表

公安對(duì)各級(jí)平臺(tái)有業(yè)務(wù)考核的需求，這一般經(jīng)過(guò)下發(fā)考核模

板、而且由下級(jí)平臺(tái)進(jìn)行定期報(bào)表上報(bào)來(lái)實(shí)現(xiàn)。

系統(tǒng)內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、對(duì)比

報(bào)表,管理人員能夠根據(jù)需要生成不同的報(bào)表。典型的工作包括匯

總的工作周報(bào)、工作月報(bào)、月通報(bào)、年通報(bào)等，其中包含了涉及到

考核要求的各種信息的匯總。特別對(duì)于省廳級(jí)平臺(tái)，還能夠依據(jù)公

安部的考核要求對(duì)各個(gè)下級(jí)地市平臺(tái)進(jìn)行考核打分,其結(jié)果還將反

映到首頁(yè)中。

為了適應(yīng)可能的考核要求變化，本平臺(tái)的自定義報(bào)表經(jīng)過(guò)報(bào)表

中間件來(lái)完成，對(duì)于上級(jí)下發(fā)的報(bào)表模板，下級(jí)可相應(yīng)制訂報(bào)表模

板。并完成以下功能：

?定期自動(dòng)（如周、月、季度、年）自動(dòng)和人工方式統(tǒng)計(jì)與分

析。應(yīng)支持word、excel,html、pdf報(bào)表格式，應(yīng)支持圖形

化的報(bào)表呈現(xiàn)模式如柱形圖、餅形圖等。

文檔僅供參考

?用戶(hù)可自行設(shè)計(jì)報(bào)表，包括報(bào)表的頁(yè)面版式、統(tǒng)計(jì)內(nèi)容、顯

示風(fēng)格等。

?經(jīng)過(guò)圖表查詢(xún)、展示、打印、存儲(chǔ)分析結(jié)果。

?分析圖表應(yīng)包括:變化趨勢(shì)圖表、TOPN數(shù)量圖表、詳細(xì)信

息圖表等。

?支持以郵件等方式自動(dòng)投遞

7.4.5關(guān)聯(lián)分析

TSOC-GA關(guān)聯(lián)分析經(jīng)過(guò)對(duì)告警信息、已經(jīng)處理的事件、業(yè)

務(wù)記錄、基礎(chǔ)資源庫(kù)等各類(lèi)信息資源進(jìn)行綜合關(guān)聯(lián)分析、挖掘和

歸并，發(fā)現(xiàn)隱藏在獨(dú)立事件與業(yè)務(wù)背后的規(guī)律與事實(shí)，實(shí)現(xiàn)業(yè)務(wù)考核

分析、運(yùn)行考核分析、平臺(tái)自身業(yè)務(wù)分析的綜合與提升。

TSOC-GA關(guān)聯(lián)分析支持業(yè)務(wù)管理類(lèi)和事件分析類(lèi)的關(guān)聯(lián)分

析。業(yè)務(wù)管理類(lèi)包括本平臺(tái)使用人員異常行為分析、考核績(jī)效趨

勢(shì)分析、業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)變化趨勢(shì)等。事件分析類(lèi)關(guān)聯(lián)分析包

括違規(guī)類(lèi)、攻擊類(lèi)、訪(fǎng)問(wèn)異常類(lèi)、啟發(fā)追蹤類(lèi)、桌面操作異常類(lèi)

等。

TSOC-GA關(guān)聯(lián)分析借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)

能夠?qū)崟r(shí)不間斷比所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分

析。系統(tǒng)具備多種關(guān)聯(lián)分析方法和能力：

?基于規(guī)則的事件關(guān)聯(lián)

系統(tǒng)提供了可視化的規(guī)則編輯器,用戶(hù)能夠定義基于邏輯表示

文檔僅供參考

式和統(tǒng)計(jì)條件的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。

規(guī)則的邏輯表示式支持等于、不等于、大于、小于、不大

于、不小于、位于……之間、屬于、包含、FollowBy等運(yùn)算符和

關(guān)鍵字。

規(guī)則支持統(tǒng)計(jì)計(jì)數(shù)功能，并能夠指定在統(tǒng)計(jì)時(shí)的固定和變動(dòng)的

事件屬性，能夠關(guān)聯(lián)出達(dá)到一定統(tǒng)計(jì)規(guī)則的事件。

?單事件關(guān)聯(lián)

經(jīng)過(guò)單事件關(guān)聯(lián)，系統(tǒng)能夠?qū)Ψ蠁我灰?guī)則的事件流進(jìn)行規(guī)則

匹配。

?多事件關(guān)聯(lián)

經(jīng)過(guò)多事件關(guān)聯(lián)，系統(tǒng)能夠?qū)Ψ隙鄠€(gè)規(guī)則（稱(chēng)作組合規(guī)則）的

事件流進(jìn)行復(fù)雜事件規(guī)則匹配。

7.4.6安全態(tài)勢(shì)分析

系統(tǒng)具備安全態(tài)勢(shì)感知功能，包括安全整體狀態(tài)的計(jì)算和安全

整體發(fā)展趨勢(shì)的預(yù)測(cè)。

系統(tǒng)提供兩種安全態(tài)勢(shì)分析方法:地址熠態(tài)勢(shì)分析和威脅態(tài)勢(shì)

（威脅KPI）分析。

地址熠態(tài)勢(shì)分析:系統(tǒng)經(jīng)過(guò)對(duì)收集到的一段時(shí)間內(nèi)的海量安全

事件的報(bào)送IP地址進(jìn)行熔值計(jì)算，得到這些安全事件報(bào)送IP聚合

度的變化幅度，以此來(lái)刻畫(huà)這段時(shí)間內(nèi)這些安全事件所屬網(wǎng)絡(luò)的安

全狀態(tài)，并預(yù)測(cè)下一步的整體安全走勢(shì)。系統(tǒng)能夠可視化的展示隨

文檔僅供參考

時(shí)間變化的安全態(tài)勢(shì)曲線(xiàn)，并能夠經(jīng)過(guò)曲線(xiàn)下鉆到影響網(wǎng)絡(luò)安全整

體狀態(tài)的關(guān)鍵安全事件,實(shí)現(xiàn)從宏觀到微觀的聚焦。

威脅態(tài)勢(shì)(威脅KPI)分析:系統(tǒng)經(jīng)過(guò)對(duì)一組關(guān)鍵威脅指標(biāo)(KPI)

計(jì)算得到一個(gè)威脅指數(shù)，并以此隨時(shí)間描述出一條威脅指數(shù)曲線(xiàn)，從

而表征一段時(shí)間內(nèi)、某個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)安全威脅狀態(tài)及其發(fā)展

趨勢(shì)。系統(tǒng)建立了一套動(dòng)態(tài)的多維威脅指標(biāo)體系，經(jīng)過(guò)帕累托分析

法，協(xié)助管理員對(duì)當(dāng)前的威脅成因進(jìn)行辨別，實(shí)現(xiàn)對(duì)關(guān)鍵威脅因素從

宏觀到中觀,再到微觀的層層下鉆，直至定位到導(dǎo)致威脅態(tài)勢(shì)異常的

關(guān)鍵安全事件。

7.4.7關(guān)鍵安全管理指標(biāo)分析

系統(tǒng)經(jīng)過(guò)對(duì)一組表征某個(gè)安全域或者業(yè)務(wù)系統(tǒng)安全管理建設(shè)

水平的層次化指標(biāo)的計(jì)算，得到該安全域或者業(yè)務(wù)系統(tǒng)的安全管理

建設(shè)水平評(píng)級(jí)，以此來(lái)表明該安全域或業(yè)務(wù)系統(tǒng)的信息安全管理體

系的建設(shè)成熟度。

系統(tǒng)將表征安全管理建設(shè)水平的這套層次化指標(biāo)稱(chēng)作關(guān)鍵管

理指標(biāo)，每個(gè)指標(biāo)項(xiàng)都建立了一個(gè)針對(duì)某類(lèi)安全事件的度量標(biāo)準(zhǔn)。

系統(tǒng)能夠可視化的展示出每個(gè)安全域或業(yè)務(wù)系統(tǒng)隨時(shí)間變化

的安全管理評(píng)估曲線(xiàn)，并能夠進(jìn)行環(huán)比分析，以及跨安全域或業(yè)務(wù)系

統(tǒng)的同比分析。對(duì)于每個(gè)關(guān)鍵管理指標(biāo)都支持指標(biāo)項(xiàng)的下鉆，實(shí)現(xiàn)

從宏觀到微觀的聚焦。

文檔僅供參考

7.4.8