（高清正版）DB3305_T 245-2022《数字法院风险预警系统建设与应用规范》.pdf

1、ICS 35.240.01 CCS A 91 DB3305 浙江省湖州市地方标准 DB 3305/T 2452022 数字法院风险预警系统建设与应用规范 2022-11-25 发布 2022-11-28 实施 湖州市市场监督管理局 发 布 目 次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 总体要求.1 5 系统架构.2 6 系统性能要求.2 7 数据处理层建设.2 8 服务层建设.3 9 应用层建设.4 10 系统应用.11 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由浙江省湖州市中级人民法院

2、提出和归口管理。本文件主要起草单位：湖州市南浔区人民法院、浙江省湖州市中级人民法院、浙江省标准化研究院。本文件主要起草人：孟振华、周平、江利良、俞梦潇、王莹、叶凯。数字法院风险预警系统建设与应用规范 1 范围 本文件规定了数字法院风险预警系统建设与应用的总体要求、系统架构、系统性能要求、数据处理层建设、服务层建设、应用层建设、系统应用。本文件适用于数字法院信息系统的监测报警子系统的建设与应用。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。G

3、B/T 22239-2019 信息安全技术网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 40652 信息安全技术 恶意软件事件预防和处理指南 3 术语和定义 GB/T 25069和GB/T 40652界定的术语和定义适用于本文件。4 总体要求 4.1 数字法院风险预警系统的安全保护等级应符合 GB/T 22239-2019 规定的第三级安全要求。4.2 应建立网络被攻击次数、有害程序事件数、终端漏洞数、服务器漏洞数、安全设备运行状态、网络防护能力、主机/终端防护能力、应用防护能力、数据防护能力等安全巡检能力，不断优化完善安全风险评估、关键指标监控分析、安全策略、

4、安全加固措施并实施风险监测，提高数字法院信息安全质效。4.3 应建立综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等展示场景，汇聚相关数据，通过可视化手段以图表的形式集成展示安全态势，呈现数字法院风险预警分析的实时结果。4.4 对于新系统、新功能的上线，在系统验收时应充分评估安全风险、进行安全检测、做好上线前的突发应急处置措施，确保系统上线后安全运行。5 系统架构 网网络络安安全全相相关关政政策策规规范范数据服务接口总线综合态势大数据智能情报安全运营攻击链回溯应急指导数字法院领导架势舱数字法院领导架势舱通告预警检查督办考核评估平台级联业务协同业务协同数据采集组件管理日志检索系统配置运

5、营管理运营管理监测分析监测分析资产管理风险监测事件案例数据分析基础管理基础管理运维管理安全控制数据存算数据存算数据存储数据计算数据接入网络服务器存储云平台操作系统数据库中间件网络、安全设备人民法院内外网下级单位系统平台网络流量云端数据情报数据日志数据展示层展示层应用层应用层服务层服务层数据数据 处理层处理层平台层平台层监管监管 对象对象运运营营服服务务保保障障体体系系 图1 数字法院风险预警系统参考架构 5.1 系统主要由监管对象、平台层、数据处理层、服务层、应用层、展示层、网络安全相关政策规范及运营服务保障体系组成，系统架构参见图 1。5.2 监管对象包括人民法院内外网、下级单位系统平台、网

6、络流量、云端数据、情报数据、日志数据和网络、安全设备。5.3 平台层由服务器、存储、网络、云平台、操作系统、数据库、中间件等 IT 基础设施组成。5.4 数据处理层将安全监测数据进行汇聚，采集数据主要包括日志和流量，主要数据采集点包括市级、区县本级节点、政务云出口、下级单位。5.5 服务层将业务计算任务发送至数据处理层，根据不同的业务场景针对数据进行分析。5.6 应用层将各大子系统与模块从业务功能视角划分为监测分析、业务协同、运营管理：a)监测分析包括资产管理、安全监测、事件案例、数据分析子系统；b)业务协同包括信息通报预警、检查督办、考核评估、平台级联子系统；c)运营管理包括数据采集、组件管

7、理、日志检索、系统配置子系统。5.7 展示层提供数据可视化分析和流程跟踪，包括综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等业务可视化大屏。5.8 网络安全相关政策规范保障平台对接过程中数据采集、事件上报、通报下发、下级平台数据上报等的数据信息和流程的标准化、规范化。5.9 运营服务保障体系是平台稳定的基础要求，建立有组织的运营服务保障体系，能够安全监管平台的使用效果。6 系统性能要求 数字法院风险预警系统性能应满足：a)提交事务平均响应时间不超过 1.5s；b)用户查询响应时间不高于 5s；c)具备每分钟百万条以上数据的分析能力；d)系统年运行可用率不低于 99.99%。7 数据

8、处理层建设 7.1 数据接入 具备将内外部数据导入至大数据平台的功能，包括流式数据接入、批量数据接入两大主要方式，支持结构化数据、半结构化数据、非结构化数据等多种数据类型。7.2 数据存储 支持多种存储结构，最终形成数据仓库及全文索引。数据存储过程包括不限于：格式转换、数据清洗、数据补全、数据标识。7.3 数据计算 具备对已保存至平台内数据的计算功能，并提供相应的计算调用接口，能够满足外部分析系统的调用。7.4 运维管理 为大数据平台提供统一部署、统一调度、统一运维、统一参数配置功能。7.5 安全控制 从用户、数据、通信等角度为大数据平台提供完整的安全防护，包括行为审计、数据自身安全、认证授权

9、、操作系统安全、网络安全、技术设施安全等其他方面。8 服务层建设 8.1 服务层基于数据服务接口总线提供内部接口与资源调用，数据服务接口总线集成模式如图 2 所示。8.2 服务总线是一种体系结构模式，在总线模式中，服务交互的参与方并不直接交互，而是通过一个总线交互，该总线提供虚拟化和管理功能来实现和扩展 SOA 的核心定义。8.3 应用程序逻辑可以使用各种编程模型和技术调用或交付服务，而无需考虑是直接连接还是通过总线传递的。8.4 应用组件和应用功能可根据各类用户需要，按照统一的规范包装成 restful 服务注册到总线上，由服务总线统一管理，统一编排，统一提供外部服务。应用系统应用系统中间件

10、中间件外部服务外部服务请求请求 交互交互路由路由 映射映射安全安全外部服务外部服务内部服务内部服务其他注册服务其他注册服务 图2 数据服务接口总线集成模式图 9 应用层建设 9.1 监测分析 9.1.1 资产管理 9.1.1.1 支持通过主动探测、流量分析、人工报送、数据导入等手段汇聚网络资产，并通过统一的资产数据模型将多源异构的数据进行融合，形成以系统、网站、计算设备、软件、服务、机房、云平台为主体的网络资产库，建立关键资产、所属单位、运营人员之间的联系，形成统一资产库。9.1.1.2 针对核心关键资产，提供相关运营手段，自动或半自动对资产变动进行维护，并整合资产脆弱性、关联的网络安全事件对

11、系统、网站、单位进行全面风险分析。支撑其他业务支撑其他业务资产管理资产管理资产概况一键搜索资产发现流量发现人工录入第三方对接资产管理资产管理单位组织设备资产软件资产IP资产IDC机房安全监测安全监测告警富化重保指挥重保指挥重保资产通告预警通告预警责任归属事件案例事件案例目标分析考核评估考核评估资产指标检查督办检查督办资产检查数据分析数据分析资产定位态势呈现态势呈现资产统计、告警资产定位下级平台上报 图3 资产管理数据流程图 9.1.1.3 资产管理数据来源包括流量发现、人工录入、下级平台上报、第三方对接四类：a)流量发现：通过数据采集中接入的原始流量，提取原始流量中的 IP、端口，与归档资产库

12、中的已有资产进行对比，如果不存在则认为是新发现资产，经过人工运营确认后进行归档，最终进入资产库；b)人工录入：运营人员通过平台添加以及 excel 导入的方式进行资产的更新维护；c)下级平台上报：下级平台通过平台级联规范进行网络资产上报，上级平台进行校验后进行资产融合；d)第三方对接：平台支持对接第三方资产扫描器，通过数据采集模块进行对接后，与平台资产进行融合。9.1.1.4 网络资产在资产发现中进行运营归档后形成资产库，集中在资产管理模块中进行管理维护，主要分为单位组织、设备资产、软件资产、IP 资产、idc 机房信息等。其中单位组织、设备资产、软件资产、IP 资产将作为平台的基础数据用于支

13、撑其他业务子系统的相关业务。9.1.1.5 资产概况将从资产的各个维度如资产类型、来源、所属单位等进行统计分析。9.1.1.6 一键搜索将通过关键词快速匹配新发现与已归档的网络资产。9.1.1.7 资产管理经过运营后形成的资产库将为其他业务子系统做业务支撑。9.1.2 风险监测 9.1.2.1 应支持通过流量传感器、网站监测、第三方告警接入等方式发现的告警，通过归并、过滤、富化、分析、人工判断等处理转化为标准分类及数据格式的告警，并提供包括基本信息、规则信息、威胁行为、原始告警、资产信息告警详情信息。针对不同类型对告警基本信息进行差异化展示，有效传递给用户，并发出提醒警示信息。安全监测安全监测

14、监测规则监测规则过滤筛选归并策略字段映射、资产富化告警管理告警管理告警列表白名单管理告警回收站监测概况资源对象支撑其他业务支撑其他业务探针原始告警人工录入第三方对接云监测接入资产管理资产管理资产风险评分重保指挥重保指挥专项监测通告预警通告预警安全事件分析、监测报告事件案例事件案例安全事件考核评估考核评估告警指标检查督办检查督办安全检查数据分析数据分析关联分析态势呈现态势呈现安全态势、攻击态势等日志检索日志检索原始告警搜索 图4 安全监测数据流程图 9.1.2.2 风险监测告警数据来源主要包括探针原始告警、云监测接入、第三方对接这三种方式，统一通过数据采集子系统进行数据接入，并支持人工在 web

15、 界面上手动添加告警。9.1.2.3 多种来源的告警信息首先经过监测规则进行数据过滤。过滤规则可在页面上进行配置，支持多种条件组合。经过数据过滤后的告警会通过数据归并策略进行告警归并，将多条告警归并成一条告警，之后结合网络资产库进行告警数据富化，明确告警受影响的网络资产，涉事单位，明确责任人等。注：监测规则可直接引用资源对象中的条件池，比如白名单池。9.1.2.4 通过监测规则形成的告警最终会进入告警列表中，经研判分析及人工运营确认后，告警会形成安全事件。运营人员可结合用户的实际业务对告警进行白名单设置，比如内网中自身扫描器的扫描行为告警，针对误报的告警可进行删除至回收站，针对误删的数据同样可

16、从回收站中恢复数据。9.1.2.5 监测概况以告警数据作为分析源，进行告警的各维度分析，比如告警的级别、攻击结果、告警来源，事件等级等。9.1.3 数据分析 应提供对告警的攻击链分析、专项分析、行为分析、关联分析，作为实时监测分析的补充，保障运营安全：a）攻击链分析：数据源来自安全告警和网络资产，通过系统自动识别加人工运营的方式针对特定攻击事件进行改攻击事件所关联的所有告警进行攻击阶段、攻击手段、攻击结果进行举证分析。根据攻击的特征最终将同一组源 IP 相关的告警归类到侦查、入侵、命令控制、横向渗透、数据外泄、痕迹清理六个阶段中；b）专项分析：数据源来自探针原始流量结合网络资产提供账号安全、邮

17、件安全相关的专项安全场景分析；c）行为分析：数据源来自探针原始流量结合网络资产提供黑客渗透攻击惯用手段的场景分析；d）关联分析：利用流量、告警、网络资产，基于本体论的思想，提取关键实体并构建实体之间的关系网络，为网络攻击事件溯源提供支撑。9.1.4 事件案例 9.1.4.1 告警经人工运营确认为安全事件后，经通告预警处置形成事件案例，并支持人工录入。9.1.4.2 事件案例对事件数据进行维护，包括安全事件的基本信息、事件来源、事件的影响范围、研判结论、处置建议。9.1.4.3 平台应支持形成事件案例库，作为后续出现同类安全告警的分析研判、处置闭环管理的经验库。事件案例事件案例事件研判事件研判基

18、本信息事件来源影响范围事件管理人工录入研判结论处置建议通告预警通告预警通告后事件支撑其他业务支撑其他业务安全监测安全监测告警研判依据 图5 事件案例数据流程图 9.2 业务协同 9.2.1 通告预警 安全监测安全监测通告预警通告预警安全事件分析安全事件分析单位安全事件统计日常通报事件配置支撑其他业务支撑其他业务安全事件分析研判明确归属选择通告类型生成通报文件创建工单、下发（通告、预警）周期配置综合报告综合报告安全事件筛选规则安全事件筛选规则分析过滤条件事件有效设置确认方式设置涉事单位通告反馈涉事单位通告反馈接收工单（通告、预警）处置反馈处置反馈反馈验证归档专项通告专项通告创建专项通告下发专项通

19、告资产管理资产管理资产风险评分考核评估考核评估通告相关指标态势呈现态势呈现通告工作成果相关统计平台级联平台级联通告指令 图6 通告预警数据流程图 9.2.1.1 通告预警的数据来自安全监测，并通过机器确认或者人工确认后形成的安全事件数据。在通告预警子系统中首先通过安全事件筛选规则进行过滤，包括分析条件过滤、事件有效性过滤、确认方式过滤（人工确认、机器确认）。9.2.1.2 安全事件的分析、工单处置在日常通报模块中进行全流程管理，主要包括以下步骤：a）以单位维度归类统计每个单位涉及的安全事件数量，运营人员以单位维度进行安全分析，分析该单位下的哪些安全事件需要进行通告；b）分析研判，分析人员通过查

20、看该单位下的安全事件详情以及相关的原始告警信息，判断是否需要将此事件作为通告依据；c）明确归属，分析人员需要确认该涉事单位是否有相关责任人，如果没有应在资产管理中补充完整；d）运营人员可根据事件的类型、级别选择相应的通告类型，包括隐患告知、限期整改；e）系统根据运营人员选择的需要通告的安全事件自动生成通报相关的文档，如安全监测报告、隐患通知书、限期整改通知书，反馈模板等；f）用于确认下发后，通告工单下发至涉事单位，主要以单位账号和移动 APP 方式两种方式发送给涉事单位；g）涉事单位接收到工单后，对安全事件进行处置、反馈；h）安全主管单位接收到涉事单位针对工单的反馈后进行处置验证后进行归档，最

21、终完成安全事件的业务闭环。9.2.1.3 结果数据作为综合报告的数据源。综合报告的生成规则由周期配置功能进行配置，包括周报、月报、季报、年报生成的周期配置。9.2.1.4 网络安全预警针对重要单位、行业按照国标（蓝色、黄色、橙色、红色）进行网络安全风险或隐患进行预警；网络安全通报针对系统监测出的重点威胁进行分析研判后，按照表 1 网络安全事件的一般、较大、重大、特大分类定性要求，生成对应专项通告发送给相关涉事单位，并设定整改期限，实现在线业务闭环。表1 网络安全事件定性要求 事件定义 事件级别 判定依据 网络安全事件是指突然发生的，由网络攻击、网络入侵、恶意程序等导致的，造成或可能造成社会危害

22、、损害法院业务的网络中断（拥塞）、系统瘫痪（异常）、数据泄露（丢失）、病毒传播等事件 特别重大网络安全事件(I级)符合下列情形之一的，为特别重大网络安全事件：关键信息基础设施以及其他重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力；中级人民法院秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对中级人民法院网络安全和业务稳定构成特别严重威胁；其他对中级人民法院网络安全构成特别严重威胁、造成特别严重影响的网络安全事件，如：运维周期内运维人员存在利用法院网络、设备从事危害网络安全或违反网络安全保密管理规定造成失泄密的情形；重大网络安全事件(II级)符合下列情形

23、之一且未达到特别重大网络安全事件的，为重大网络安全事件：关键信息基础设施以及其他重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响；中级人民法院秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对中级人民法院网络安全和业务稳定构成严重威胁；其他对中级人民法院网络安全构成严重威胁、造成严重影响的网络安全事件。较大网络安全事件(III级)符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：关键信息基础设施及其他重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响；中级人民法院秘密信息、重要敏感信息和

24、关键数据丢失或被窃取、篡改、假冒，对中级人民法院网络安全和业务稳定构成较严重威胁；其他对中级人民法院网络安全构成较严重威胁、造成较严重影响的网络安全事件。一般网络安全事件(IV级)除上述情形外，对中级人民法院网络安全构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。如：信息系统、网站、计算机终端被攻击，单个用户受到影响，导致用户无法执行工作任务。9.2.2 检查督办 9.2.2.1 检查督办主要用于专项网络安全检查任务的下发跟踪（如弱密码专项检查任务、安全加固检查等），数据源主要来自客户贴合自身业务指令检查表。检查督办检查督办检查任务管理检查任务管理检查目标设置检查内容设置（检查表

25、）任务概览支撑其他业务支撑其他业务人工运营检查表平台级联平台级联检查指令指令安全检查任务安全检查任务（被检查单位被检查单位）下发检查任务检查任务反馈任务审核打回或催办考核评估考核评估检查反馈指标 图7 检查督办数据流程图 9.2.2.2 检查任务管理用于对监测任务创建、下发、审核等过程进行数据管理，主要包括：a）检查目标设置，指定被检查单位、设置检查任务时限等；b）检查内容制定，上传检查表；c）下发检查任务；d）当被检查单位反馈检查任务后，检查单位应对任务进行审核，审核检查反馈数据是否符合要求，不符合检查规范的可进行打回操作，当反向任务超时未反馈的情况可进行催办操作。9.2.2.3 安全检查任

26、务（被检查单位），主要用于被检查单位对检查任务进行反馈操作。9.2.2.4 任务概览的统计数据来自检查任务数据，如任务填报率排名、催办单位排名等。9.2.3 考核评估 9.2.3.1 考核评估包括考核指标管理、考核任务统计分析、考核任务管理、考核评分管理四个模块。考核评估考核评估考核指标库考核指标库考核任务管理考核任务管理（考核单位考核单位）考核目标设置制定考核指标考核任务统计分析考核指标管理支撑其他业务支撑其他业务系统内置考核指标人工运营考核指标线下工作线下工作作为促进下级单位网络安全建设的依据平台级联平台级联协同考核指令业务工作成果指标业务工作成果指标通告处置率安全监测考核评分管理考核评分

27、管理（含被考核单位含被考核单位）下发考核任务自评（被考核单位）主评（考核单位）综合得分 图8 考核评估数据流程图 9.2.3.2 考核指标库通过考核指标管理模块进行维护管理，考核评估的指标来源包括以下三种方式：a）系统内置考核指标，主要根据现有项目经验，根据实际考核要求制定考核标准；b）人工运营考核指标，人工运营结合客户实际需求而制定的考核指标；c）业务工作成果指标，业务系统结果数据自动评分的考核指标，如通告处置率、安全监测中的告警数据量等。9.2.3.3 考核任务管理主要针对考核任务进行管理维护，考核任务的创建主要包括以下步骤：a）制定考核目标，选取被考核单位；b）制定该任务考核指标，包括每

28、个指标的分数上限，自评主评权重占比，评分等级设置，考核周期设置等；c）下发考核任务。9.2.3.4 考核评分管理模块中，被考核单位接收考核任务，针对每项考核指标进行自评，提交。考核单位对被考核单位的自评进行审核、主评。系统根据考核任务的自评主评权重计算综合得分。9.2.4 平台级联 9.2.4.1 对多级平台级联关系及节点状态进行统计，通过拓扑关系方式呈现各个平台节点直接的上下级关系，以及通过连线颜色标识级联状态，包括上级节点数量、下级节点数量、在线节点数量、离线节点数量，显示单个节点的系统名称、IP 地址、厂商 logo 以及在线状态。下级单位数据上报下级单位数据上报平台级联平台级联级联管理

29、级联管理级联概况支撑其他业务支撑其他业务资产（平台级联规范）指令通道指令通道（平台级联规范）数据通道数据通道资产管理资产管理资产发现考核评估考核评估考核协同安全监测安全监测下级单位上报告警通告处置通告处置通告协同检查督办检查督办检查协同下级单位业务协同下级单位业务协同查询指令数据上报告警日志流量指令管理指令管理通告指令反馈考核指令反馈检查指令反馈查询指令通告指令考核指令检查指令本级节点配置关联节点配置本级节点数据接收本级节点数据接收服务服务数据融合数据融合 图9 平台级联数据流程图 平台级联数据通道用于接收下级平台上报数据，接收上报的数据种类包括资产、告警、日志、流量。数据格式遵循平台级联规范

30、，接收下级平台上报数据后接收方会对数据进行校验融合等操作。9.2.4.2 平台级联指令通道用于上级平台下发指令到下级平台，下级平台做指令反馈。指令类型包括数据查询指令、通告指令、考核指令、检查指令等。9.2.4.3 平台级联模块包括级联管理、指令管理及级联概况：a）级联管理用于对本级节点以及关联节点的配置，配置内容包括指令通道地址及认证信息、数据通道地址及认证信息，以及各节点的监听功能；b）指令管理功能包括各类指令的添加编辑下发与指令接收情况的统计等，指令类型主要包括查询指令、通告指令、考核指令、监测指令。c）级联概况用于监听所有节点的对接状态，以及统计下级平台数据上报与指令执行情况。9.3

31、运营管理 9.3.1 数据采集 9.3.1.1 数据采集主要用于多源异构数据的接入、解析、分析富化，归并等，并支持对数据采集接入进行性能监控、数据接入管理、数据处理管理、查询检索、参数配置、插件管理以及在线智能运维。图10 数据采集流程图 9.3.1.2 运行平台由数据采集、数据处理、数据存储构成，完成数据接入并存储至系统：a）数据采集完成多种不同类型、不同协议数据的采集封包并发送至下一个环节；b）数据处理模块完成格式化、富化等操作，将不同来源的数据归一化到业务需要的格式；c）数据存储完成数据最终存储动作，控制数据的保存位置、形式。根据不同的业务需求，数据还可以分发至流处理，经处理后再进入存储

32、。9.3.1.3 管理平台和监控平台负责对整个采集、处理、存储过程进行管理配置和运行监控。9.3.2 组件管理 9.3.2.1 基于 hadoop 生态圈组件支撑态势感知管理平台的分布式计算、分布式存储，主要功能包括各类业务分析任务的调度管理，集群节点性能的监控，各类数据存储分片管理以及在线扩容配置等。图11 组件管理架构图 9.3.2.2 数据接入支持流式、批量两种方式接入数据，主要用于数据采集子系统中数据接入阶段的相关数据处理。9.3.2.3 存储方式采用集群化分布式存储结构。9.3.2.4 数据计算实现已经保存至大数据平台的计算功能。9.3.2.5 数据分析实现数据价值体现。9.3.2.

33、6 基础管理主要提供组件管理子系统的可视化交互管理功能。9.3.3 日志检索 9.3.3.1 日志检索是一个实时的分布式搜索和分析引擎，采用高性能的分布式集群数据存储系统，能自适应任何格式的数据来源，主要用于支撑安全分析人员进行告警的溯源检索。9.3.3.2 日志检索的数据来源为安全告警、网络资产、探针原始流量、第三方日志等，对所有数据建立索引，通过搜索引擎为用户提供快速搜索。9.3.3.3 搜索引擎的搜索方式包括两种模式：a）Lucene 语法用于支持告警搜索，适用于具有一定技术背景的用户；b）字段胶囊方式（如：sip=“”）用于支持快捷搜索。9.3.3.4 搜索的结果数据可根据模字段进行聚

34、合统计，支持数据的导出。日志检索搜索引擎搜索引擎支撑其他业务安全运营溯源分析安全监测安全告警资产管理网络资产高级搜索快捷搜索探针流量第三方日志lucene语句搜索字段胶囊聚合分析导出 图12 日志检索数据流程图 9.3.4 系统配置 为平台全局配置管理提供支撑，包括账号管理、角色管理、单位组管理、平台授权、全局参数配置以及系统日志等，并为其他业务子系统提供全局配置、权限认证、记录操作日志等通用基础功能。10 系统应用 10.1 场景展示 10.1.1 综合态势大屏 9.1.1.1 通过恶意代码检测、异常流量分析、威胁分析等技术进行宏观分析，以监管单位为视角，对监管范围内的单位安全状态进行监测。

35、9.1.1.2 根据系统内置的风险评估算法给出被监管单位的整体安全评估，有效感知法院系统业务网内存在的威胁，并实现可视化呈现。10.1.2 大数据智能情报大屏 在多维度威胁情报数据、实体的关联整合中，以覆盖更全面的木马后门、僵尸主机及 APT 攻击等为目标，提供威胁检测、监测预警等持续性网络安全监控服务，及时发现网络威胁。10.1.3 安全运营大屏 以资产梳理与更新为基础，风险日常监测为驱动，风险预警、资产脆弱性为抓手，辅以人机结合的常态化运营，构建成可以自循环的安全运营体系。10.1.4 攻击链回溯大屏 针对已发生事件，快速准确地发现攻击，高效梳理分析和感知攻击全流程，实现安全闭环管理。10

36、.1.5 应急指挥大屏 以安全事件闭环管理为目标，启动应急或通报，对涉事单位进行通报、处置、反馈、催办、归档全流程闭环管理，以流线图的方式展示事件实时进度及状态。10.2 用户管理 10.2.1 组织机构 10.2.1.1 对组织机构进行添加管理，可自定义机构名称、组织机构代码、组织机构负责人和联系人相关信息，以及组织机构地址，地址可精确到区县，支持机构名称搜索，以及分层上下级机构展示管理。10.2.1.2 自定义分组名称对具体单位创建分组进行管理，可以根据具体区域、具体行业进行分组，支持创建多层级分组，并进行编辑、删除。10.2.1.3 通过对接浙政钉组织机构进行管理，获取组织机构代码、组织

37、机构负责人和联系人相关信息，以及组织机构地址。10.2.2 用户角色 10.2.2.1 添加用户角色，配置管理其可以管理的功能模块，支持编辑、删除或者批量删除已添加的系统角色，可在列表中展开查看具体角色配置信息。10.2.2.2 为已添加的用户角色创建用户组，每个用户组可关联单个或者多个系统角色，实现分组管理查看系统角色，支持对已创建的用户进行编辑、删除和批量删除。10.2.2.3 创建添加可供登录平台的具体用户，可自定义设置姓名、账号、密码、用户信息（电话、邮箱等），选择所属系统角色、组织以及用户组，支持对系统用户的单独和批量的编辑、删除，以及启用、禁用。10.3 日志管理 10.3.1 支持将系统操作日志、通信日志和运行状态情况等日志批量导出，离线查看。10.3.2 支持按照关键字以及具体时间搜索导出日志。_