1、单位安全管理平台建设方案882020年5月29日文档仅供参考XX公安安全管理平台建设方案北京启明星辰信息技术股份有限公司Beijing Venus Technology Co. Ltd.2024年10月目 录1前言42设计依据53术语和定义74建设原则85系统现状及需求分析96安全管理平台建设目标116.1集中监控告警116.2事件定位处理116.3安全关联分析116.4实时风险管理126.5安全运维流程126.6安全管理流程126.7策略知识体系127安全管理平台方案设计147.1平台概述147.2系统组成147.3系统架构157.4平台功能描述177.4.1集中展示模块177.4.2运行监
2、控模块197.4.3业务处理模块247.4.4业务统计模块287.4.5关联分析307.4.6安全态势分析317.4.7关键安全管理指标分析327.4.8业务配置模块327.4.9平台管理模块367.4.10接入交换管理模块407.5系统接口427.6部署方式437.6.1单级部署437.6.2级联部署447.7运行环境要求458启明星辰公安安全管理平台特性优势478.1多层次的安全事件管理478.1.1安全专项系统的信息采集478.1.2支持分布式日志采集488.1.3详尽的日志范式化与事件分类498.1.4智能化安全事件关联分析498.1.5可视化安全事件分析508.2多维度的业务处理过程
3、508.2.1丰富的业务流程分类508.2.2灵活的流程定制能力518.3全方位的IT系统性能与可用性监控528.3.1网络拓扑管理528.3.2支持多种监控对象528.3.3全方位细粒度监控538.4基于风险矩阵的量化安全风险评估548.5指标化的宏观态势感知558.5.1地址熵态势分析558.5.2威胁态势分析558.5.1关键安全管理指标分析568.6丰富灵活的报表报告568.6.1可扩展的报表内容568.6.2公安业务考核支持568.7可运维的多级管理架构578.7.1级联内容578.7.2虚拟下级578.8对用户网络和业务影响最小578.9完善的系统自身安全性保证588.10有好的用
4、户交互体验599二次开发模块及系统对接说明599.1二次模块开发说明599.2与XX公安现有系统对接说明6010成功案例6010.1成功案例名单6010.2典型案例6111项目预算641 前言网络的快速发展为经济建设和社会发展带来了巨大的影响,随着信息化建设的飞速发展,信息安全系统已成为XX公安工作的重要资源和基础平台。当前XX公安的安全专项系统主要有:”一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统。近年来公安网络安全问题呈现日益严重的趋势,从公安部的相关统计数据中能够看出,”一机两用”违规事件
5、、病毒传播率、漏洞发生率等涉及网络安全的考核指标,都在不同程度的增加。因为信息泄密、信息遭受破坏等带来的损失越来越令人触目惊心。在这种大的形势下,网络安全的重要性被提到了前所未有的高度。由于公安以往的信息系统都是针对具体的应用进行设计,未考虑系统的综合管理,因此在管控手段和管控水平上极需加强。另外,随着公安信息应用的进一步推进,对信息安全的日常运维和应急预案等方面提出了更高的要求,切实需要建立省市两级信息通信部门的快速反应机制,强化信息系统基础平台的安全管理,建设可信的信息系统环境,为公安各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。2 设计依据国际国内标准和规范:l
6、 l l (中发199716号)l (国保发19981号)l (中保办发19986号)l (国保发19994号)l (国保发199910号)l (中保委发 4号)l (中办发 17号)l (中办发 27号)l (中保委发 7号)l (国保发 5号)l 中华人民共和国保密标准:l BMZ1- l BMZ2- l BMZ3- l BMB3-1999l BMB4- l BMB5- l BMB10- l BMB11- l BMB12- l BMB13- l BMB15- l BMB16- GB及参考文献:l GB 17859-1999 计算机信息系统安全保护等级划分准则。l GB/T 18336.1-
7、 信息技术 安全技术 信息技术安全性评估准则 第一部分:简介和一般模型(idt ISO/IEC 15408-1:1999。l GB/T 18336.2- 信息技术 安全技术 信息技术安全性评估准则 第二部分:安全功能要求(idt ISO 15408-2:1999)。l GB/T 18336.3- 信息技术 安全技术 信息技术安全性评估准则 第三部分:安全保证要求(idt ISO 15408-3:1999)。l GB/T 9387.2-1995 信息系统 开放系统互连 基本参考模型 第2部分:安全体系结构。l ISO/IEC 17799: 信息技术 信息安全管理实用规则。l BMB17- 涉及国
8、家秘密的计算机信息系统分级保护技术要求。l GB 50174-1993 电子计算机机房设计规范。l GB/T20269- 信息安全技术 信息系统安全管理要求。l ISO/IEC TR 18044: ,信息技术 安全技术信息安全事件管理。l GB/T20270- 信息安全技术 网络基础安全技术要求。l GB/T20282- 信息安全技术 信息系统安全工程管理要求。l GB/T20271- 信息安全技术 信息系统通用安全技术要求。3 术语和定义下列术语和定义适用于本方案。术语解释安管平台本规范中的”安管平台”特指公安集中安全管理平台。它是实现公安信息网信息安全管理的技术支撑平台。它以流程和标准化的
9、方法为手段,实现安全业务监控和安全事件的处理,为安全运营和管理提供支撑。安全专项系统为特定安全目标建立的安全系统,包括但不限于现有的几大系统:”一机两用”监控系统、补丁分发系统、病毒监控预警系统、边界安全接入平台、入侵监测系统、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统。工单指为了完成某个具体业务请求所使用的协同工作载体,承载内容包括业务状态、业务数据和业务要求等,按业务处理流程进行流转。活动活动组成了业务流程中的步骤和任务,是按照规范流程要求而采取的动作,在安管平台中,活动包括判断、响应、流转、处理等。业务流程业务流程是为达到特定的价值目标而由不同的人协作完成
10、的一系列活动。活动之间不但有严格的先后顺序限定,而且活动的内容、方式、责任等也都必须有明确的安排和界定,以使不同活动在不同岗位角色之间进行转手交接成为可能。本文主要指信通网中与安全运行管理相关的签到、巡检、签收、通报告警、响应处理、审核等流程。安全事件由计算机信息系统或者网络中的各种设备与系统,例如安全子系统、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。安全策略安全策略是各种论述、规则和准则的集合,用以解释和说明公安信息网资源使用以及网络与业务保护的方式和要求。4 建设原则1) 安全性。XX公安的SOC安全管理平台建设,必须具备在各个层次上的安全策略、体系和管理办法,并系统地
11、解决安全问题的能力。2) 有效性和实用性。网络的安全对所有用户是透明的,操作的人机界面必须达到安全、简捷、方便,同时不影响现有网络安全的功能和系统的正常运行。3) 开放性。网络安全系统和设备,必须适应多种软、硬件平台和通讯的能力。4) 自主性和可控性。根据国家相关的法规和政策,在安全建设的过程中,安全设备必须经过国家有关管理部门(主要是公安部门)的认可或认证,保证其配置及设备的合法性。5) 适应性和可扩展性。所采取的措施必须能随着网络性能及安全需求的变化而变化,要具备可扩充性和可升级性,以适应将来网络规模的发展。6) 业务符合性。平台所提供的事件监控、处理流程,必须符合公安行业的实际工作特性与
12、工作过程。7) 可管理性。网络安全系统必须具备良好的可管理性。5 系统现状及需求分析当前XX公安信息专网涉及地域广泛,包括省厅及直属单位、个地市,多个区县等接入单位;应用系统繁多,共有100多个应用系统。随着XX公安信息网的不断发展,网络范围越趋扩大,主机设备、网络设备、安全设备数量也随之不断地增长,而且种类繁多、部署分散,这些系统每天都要产生成千上万的各类安全事件和告警信息。XX公安非常重视公安信息安全建设,当前建成包括”一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统等安全专项系统,这些系统在省
13、厅及各地市得到应用,但各个系统提供独立的安全管理监控平台,形成多个”信息孤岛”,缺乏全网统一的安全状况实时监控了解工具,缺乏安全策略与安全技术相结合的沟通手段,没有一套完善的安全管理机制,没有专门负责安全监控的组织和人员,现有的安全管理、安全监控手段已经不能满足日益扩展的复杂的信息安全保障的需要,因此难以有效发挥其功能作用。当前XX省公安厅的安全管理系统存在以下问题:l 网络范围越趋扩大,主机设备、网络设备、安全设备数量也随之不断地增长,而且种类繁多、部署分散,这些系统每天都要产生成千上万的各类安全事件和告警信息,可是安全事件得不到有效处理。告警信息得不到有效分析。l 安全告警信息没有与具体的
14、设备资产想关联,发现告警后无法定位和处理,比如病毒信息和IDS安全告警信息,因为没有和具体的设备相关联,无法及时定位和处理;l 网络中各安全设备基本采用各自分散的管理模式,而零散的安全信息很难形成集中性的、对决策、判断及处理有重要意义的数据l 没有明确的安全监控、处理、安全管理流程和上报工作流程,缺乏有效的事件处理机制,当产生安全事件时,相关人员按照自己的想法和理解进行处理,可能会造成更大的损失和影响;l 缺乏全网统一的安全状况实时监控了解工具,缺乏安全策略与安全技术相结合的沟通手段。l 缺乏明确的人员职责定位与考核标准,安全告警不能落实到具体责任人,安全事件处理不能落实到任务处理人,难以形成
15、高效的绩效考核机制。l 缺乏与安全管理工作相适应的安全知识体系。安全告警发生之后无法及时寻找对应的知识库进行参照处理。针对上述问题,并根据网络与信息安全风险管理的本质,对风险进行有效的控制,围绕”重要资产、重要告警、重点监控”的工作目标,建议XX公安信息网建设安全管理平台系统,从而解决上述问题及满足省厅相关规范,最终逐步形成具有XX公安信息网特色的功能成熟、并能切实发挥作用的安全管理平台。6 安全管理平台建设目标XX公安的SOC安全管理平台的建设目标是搭建以事件管理为核心的集中安全监控平台,经过实现对网络/系统中采集到的安全事件、资产、漏洞、风险、预警的进行集中监测和分析,实现安全告警管理与安
16、全事件的流程化处理,建立安全策略管理基本框架。初步建立安全知识体系和应急响应体系,从而提高科通处所管理系统的安全威胁实时检测率,降低被成功攻击的概率,提高安全事件的响应速度。其具体目标可表现为:6.1 集中监控告警统一监控管辖范围内的主机、网络设备、安全设备、数据库、中间件、服务和机房设备,为用户提供一个全方位监控的统一管理平台,使得管理员经过一个单一控制台就能够进行实时全网监控,保障全网IT计算环境基础设施的可用性,业务的持续性和安全性。6.2 事件定位处理在所的监控的设备发生故障或安全事件时,监控系统能帮助管理员快速、准确地找到问题的根源所在,有效排查。对于一机两用这类公安的专项系统,必须
17、能够在事件发生的第一时间定位到所属区域、责任人,而且能够以便捷的通知方式(例如短信、邮件、网上通知)快速下发信息,明确处理人,以工单流转的方式进行及时处理。6.3 安全关联分析安全系统产生的日志数量是非常庞大的,要在这些事件里找出有用的信息,没有安全管理平台的帮助,几乎是不可能实现的。安全管理平台需要提供的事件关联分析功能,帮助管理员对事件进行相关性分析,得出需要关注的少量的安全事故,大大降低事件处理的工作量,使重要的事件能够以较高的优先级被处理。对于所收集到的事件,安全管理平台需要将其标准化后赋予其唯一的ID,以实现事件关联效率高,分析更清楚,和事故处理知识库能紧密联系。6.4 实时风险管理
18、风险管理以业务系统为核心,以资产为基础,依据等级保护标准GB/T 22239- 和公安行业规则,提供两大规则库供安全管理员对重要业务系统进行等级评定和风险管理,以实时展现业务系统存在的威胁、脆弱性和风险,尽可能减少或避免业务系统面临的风险,确保业务系统在网络环境中能够持续、稳定和安全的运行。6.5 安全运维流程公安信息安全工作中的重点是日常的安全运维工作,包括签到、巡检、事件处理、通知通报、响应等工作环节,运维工作强调制度化、流程化与标准化,核心是事件的处理过程。平台需要内置事件处理流程工单系统,经过与可定制安全知识库的结合,可方便快捷的将安全事故处理建议分发给负责人员进行事故的及时处理并反馈
19、。6.6 安全管理流程作为一个开放的网络,安全和维护的压力越来越高,需要实现从依靠人工维护IT 系统的模式,转变成基于流程和工具的安全、可靠、高质量、高效的服务模式。建设完备的安全管理流程,实现自动化工单、案例、知识库的自动管理和维护实时自动化监控,并提供高品质的服务,降低安全风险以提高IT 系统的可用性。具体工具公安业务进行定制:比如:案件处理流程、CA证书发放流程管理、应急服务处理流程、规章制度流程信息化、安全管理员管理、设备注册管理等功能。6.7 策略知识体系安全事件的特殊性、突发性决定了作为攻击的防御方安全管理员和所有IT信息的使用者,需要具备一定的安全防护知识。安全知识管理解决用户环
20、境中安全知识(包括漏洞信息、威胁信息、案例、安全策略)的积累、发布和管理问题,实现安全教育的全员化。安全管理平台厂商必须维护平台知识库,可快速升级安全管理平台中相关的产品特征库模块,另一方面将紧急的、影响重大的安全事件经过Web的方式发布出去。实现安全管理平台的知识管理与网络安全态势同步。7 安全管理平台方案设计7.1 平台概述启明星辰推出的泰合信息安全运营中心系统(以下简称TSOC)是立足于公司十多年信息安全积累的基础之上,基于客户最新需求推出的全新一代安全管理平台。TSOCGA公安行业专版(以下简称TSOCGA)是启明星辰基于TSOC产品成果、面向全国公安用户定向开发的行业化版本。公安行业
21、专版完全遵照公安部,充分结合了公安行业业务特性,并有效发挥了启明星辰在安全管理平台领域的技术专长,体现了公安信息安全管理工作中”集中监控、统一管理、全面分析、快速响应、规范运行”的管理思想,能够显著提升公安信息安全管理工作的效率与质量。TSOCGA采用了新一代的基于超微内核的技术架构,融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户实现对业务信息系统的统一安全保障。TSOCGA采用开放平台架构设计,遵循业界通行的应用接口和管理接口,功能部件都实现了模块化装配,客户能够自由选择,并能够与客户的应用和管理环境实现很好的对接与整合。TSOC具有国内最广泛的应用范围
22、和客户群,已经连续4年位居国内市场销量第一 ,TSOCGA已经在公安行业拥有多个大型成功案例。7.2 系统组成TSOCGA包括管理中心、日志采集器、性能采集器和日志代理四个部件。l 管理中心 管理中心是TSOCGA的核心部件,实现了对IT系统集中化的性能及可用性监控、安全事件的集中管理、安全风险的评估、宏观安全态势感知,以及流程化的安全响应与处理。客户经过浏览器即可登陆管理中心,进行各种操作。管理中心内置日志采集和性能采集功能,客户无需另行安装其它任何部件即可直接收集管理对象的日志信息和性能信息。管理中心也能够汇聚来自日志采集器、日志代理和性能采集器的日志信息。l 日志采集器 日志采集器能够安
23、装并独立运行在一台服务器上,也能够与性能采集器集成安装和运行一台服务器上,实现对异构管理对象的日志采集,功能同管理中心的日志采集模块,用以辅助管理中心解决特定日志采集的问题,并能够实现分布式日志采集能力。日志采集器收集的日志能够转发给管理中心。管理中心能够对网络中分散的日志采集器进行集中管理。l 性能采集器 性能采集器能够安装并独立运行在一台服务器上,也能够与日志采集器集成安装和运行一台服务器上,实现对异构管理对象的性能信息采集,包括可用性信息、运行状态信息、性能信息等,功能同管理中心的性能采集模块,用以辅助管理中心解决分布式性能数据采集的问题。性能采集器收集的数据能够转发给管理中心。管理中心
24、能够对网络中分散的性能采集器进行集中管理。l 日志代理日志代理用于安装并运行在管理对象上,实现对管理对象的日志采集和转发。当前,日志代理支持Windows操作系统,主要用于采集Windows 操作系统及其服务与应用的日志。日志代理收集的日志能够转发给日志采集器,或者直接转发给管理中心。管理中心能够对网络中分散的日志代理进行集中管理。7.3 系统架构TSOCGA的技术架构图如下:集中展示层是安全预警和事件监控、安全运行监控、协同工作处理、安全知识培训、综合分析的统一展示,是安管平台与各类用户交互的窗口。核心处理层是实现安全管理业务的核心层,各类安全工作人员完成所授权的工作,完成对事件与状态的处理
25、,完成平台自身的管理,实现公安信息网安全管理制度的全面落实。该层分为运行监控子系统、业务处理子系统、业务分析子系统、业务配置子系统和平台管理子系统,这五个子系统不但能够完成独立的功能,同时也是相互结合的,实现完整的工作流和事件处理。接入交换层包括平台级联接口、安全专项系统接口、其它系统接口等,实现各级安管平台的接入认证、级联数据同步和安全传输;实现安全专项系统的统一接入管理和策略管理;提供安管平台反馈处理的信息通道;提供安管平台外部系统服务接口,规范安管平台提供服务的形式和内容。经过接入交换层,安管平台与公安网中安全专项系统、上下级安管平台、运维/值班平台等系统实现数据交换和共享。7.4 平台
26、功能描述7.4.1 集中展示模块7.4.1.1 安全主页用户登录即可进入安全首页。经过该界面,能够快速的导航到各个功能。安全首页将各个界面的信息集中显示和发布,采用Web方式,对监控类信息、全网工作协同类信息、信息安全培训知识、综合分析类信息等进行统一呈现,提供相应权限的查阅与工作界面,如下图所示:在首页的展示样式上,我们综合采用了以下各种方式:l 基于列表的信息显示专项系统告警、事件、通知通报等内容,均提供列表方式的信息显示。列表信息支持实时更新,也支持监控窗口的扩展。l 基于图表的信息显示系统整体安全状态、专项系统事件的发展趋势,均以直观的图形化方式显示,安全首页中采用雷达图、趋势图、柱状
27、图、仪表图等多种图表样式,满足美观、直观的监控要求。l 基于电子地图的信息显示在多级管理架构下,各个下级平台的安全运行状态、以及考核得分,能够在电子地图上直接查看。电子地图支持图形自定义,并能够自动根据相关系统的安全状态自动调整界面颜色,支持自动刷新。l 基于浮动窗口的信息显示安全主页中能够以浮动窗口的形式,直接提醒管理人员待办工作,避免出现工作遗漏。7.4.1.2 个人工作台工作台为用户提供了一个从用户自身业务需要出发使用本系统的快速入口,经过预先配置,工作台集成了当前登录用户有关的日常工作活动,为其提供一站式管理功能。工作台是与用户相关的,它把系统各功能模块进行有序的联系,形成面向用户的、
28、条理清晰的工作桌面。用户能够在工作台中自定义仪表板,按需设计仪表板显示的内容和布局,能够为不同角色的用户建立不同维度的仪表板。工作台能够支持展示的信息包括:l 公安网各类安全预警、事件、通报摘要信息;l 公安网各安全专项系统运行摘要信息;l 待办工作信息;l 个人工作信息;l 运行及服务状态指标数据;l 安全运行管理考核指标数据;l 统计分析数据;l 平台自身运行监控信息;l 组织机构信息,包括上级及本级安全管理组织机构、人员等;l 安全技术、法规(包括上级及本级的安全管理相关的制度、文件、规章)、案例等展示和培训;l 安全服务信息指南,提供补丁下载、病毒库更新、安全专项工具和相关表格等相关资
29、源帮助信息;应急响应信息,包括公安信息网安全应急预案等信息。7.4.1.3 安全门户系统提供免登录的服务入口,能够为广大公安干警提供安全信息与服务支持。安全门户能够被嵌入到公安的其它信息网站中。安全门户支持安全公告浏览、服务工具、补丁下载,并提供安全服务功能的受理、跟踪。7.4.2 运行监控模块7.4.2.1 专项系统日志采集和监控系统支持公安系统内一机两用、异常流量、防火墙、入侵攻击与防御等多种安全专项系统的日志收集,能够以Syslog、SNMP Trap、FTP、EventLog、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等协议进行日志采集,并支持对日
30、志进行范式化、过滤、归并。另外,TSOCGA还提供可独立部署的日志采集器,每个采集器都能对日志进行采集、范式化、过滤和归并,实现分布式日志采集。日志采集器统一接入管理中心,实现集中化安全事件管理。管理中心具备对多个日志采集器的集中管理功能。具体界面如下图所示:7.4.2.2 安全事件监控安全事件监控能够对平台采集到的安全事件进行实时性的展示和报警,系统提供了实时监控视图,能够根据内置或者自定义的实时监视策略,从各个维度实时观测安全事件的走向,并能够进行事件调查、钻取,并进行事件行为分析和来源定位,具体包括:u 监控展示,内容包括编号、名称、级别、发生时间、状态、内容描述等,并可支持自定义属性信
31、息的展示。u 能够提供对重大安全事件和违规事件提供报警和业务处理入口。u 能够提供基于安全事件等级、安全事件分类、安全域的监控。u 能够基于单个或多个安全专项系统的日志分析、安全告警、事件的监控。u 能够提供基于单个或多个下级平台或管理域的安全事件监控。u 能够支持对事件源的定位功能。7.4.2.3 告警监控相对于来源于原始日志的事件而言,告警是更需要引起关注的重要信息。系统中的事件,能够基于预定义规则生成为告警。系统支持各种告警响应动作,包括弹出提示框、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog等告警方式。告警信息可查询,可追踪和统计分
32、析。告警的另一来源于设备的性能状态。用户能够设置性能状态的监控阀值,当超过阀值时能够生成为告警。告警管理则包括对告警信息的查看、处理和统计分析。系统提供快捷的告警响应处理流程,可记录告警信息的处理过程和处理结果,并能够与工单管理模块联动。7.4.2.4 安全预警监控平台提供安全预警的管理。安全预警是一种有效预防措施和制度措施,涉及收集预警、审核发布、响应与安全防护等过程,包括安全预警监控展示和报警。系统提供了及时的预警管理机制,能够发布经审核的预警信息,系统支持丰富的预警类别,支持预警定级,支持预警的发布范围定义。具体界面如下图所示:安全预警功能包括:1. 安全预警监控对本平台产生的最新预警信
33、息内容进行监控展示。2. 根据预警来源、预警类别范围、预警的级别、影响的范围等进行监视。支持对接受预警的存储、报警等方式进行设置。7.4.2.5 设备性能信息采集系统能够主动地、周期性地采集各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的性能与可用性信息,采样周期、采集参数都能够独立配置。系统支持经过SNMP、TELNET、SSH、SSH2、ODBC、JMX、协议仿真等方式对IT资产进行性能与可用性信息的采集。管理中心内置性能信息采集,也提供独立安装的性能信息采集器。系统提供可独立部署的性能信息采集器,每个采集器都能对性能信息进行采集,并统一接入管理中心,实现集中化的性能与
34、可用性监控。管理中心具备对多个性能信息采集器的集中管理功能。7.4.2.6 设备性能状态监控系统能够对各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的性能与状态进行实时监控,具有丰富的监控指标。管理员能够经过丰富的可视化图表查看监控指标信息;能够对监控指标设置告警阀值;能够将监控指标的数据保存起来,并进行历史分析。系统能够监控公安安全专项系统的关键服务运行状态指标。如专项系统名称、IP地址、运行状态描述、详细状态信息,经过对上述信息的监控,可对关键服务运行故障实现基本定位和跟踪。7.4.2.7 平台运行监控综合安全管理平台提供平台状态监控功能,完成对平台自身状态信息、与部运
35、维平台等连通情况、平台当前操作人员信息的监控展示,如下图所示:平台自身状态信息包括系统当前CPU、内存、磁盘空间、网卡流量等、数据库使用状态,上/下级平台在线状态、平台模块运行状态、当前登录用户信息、当前上线人数、当前的时间等进行监控。支持自身如CPU、内存、磁盘空间等、数据库内存等系统状态的报警方式设置。7.4.2.8 通知通报监控公安行业的重要安全管理工作以通知通报形式发布,平台提供通知通报的录入、修改、删除等功能,同时安全管理的相关通知通报也需要相应管理员进行签收,如下图所示:本平台能够预告加载标准的通知通报模板,自动补充相关内容,并支持人工的再修改,经审核后才发布。系统既能够展示来源于
36、本级的通知通报,也可展示来自于相关的级联平台发布的信息。系统的通知通报监控具备实时更新功能,能够对新发布的信息进行及时呈现。7.4.2.9 脆弱性监控系统具有脆弱性管理功能,能够导入资产的弱点信息,并计算资产/安全域/业务系统的脆弱性值。系统能够经过多种方式展示资产/安全域/业务系统的弱点信息,支持时间趋势分析和横向对比分析。7.4.2.10 安全风险监控系统经过内置的风险计算模型,综合考虑资产的价值、脆弱性和威胁,能够定期自动地计算出资产的风险可能性和影响性,并经过二者建立了一个风险矩阵,进而计算出资产、安全域和业务系统的风险值,并刻画出资产、安全域和业务系统随时间变化的风险变化曲线。系统能
37、够形象地展示出安全域的风险矩阵,从可能性和影响性两个角度标注安全域中风险的分布情况,经过风险矩阵法,指导管理员进行风险分析,采取相应的风险处理对策。系统还能以图表的形式可视化地显示每个资产、安全域或业务系统风险的关键因素,便于管理人员理解风险的具体含义。7.4.2.11 拓扑监控系统能够自动发现和识别IT硬件资产(例如网络设备、安全设备、主机),能自动发现和识别软件资产(例如数据库、中间件),并识别这些软硬件资产之间的连接关系或包含关系,还能自动描绘出网络及服务拓扑图以及机架视图。经过网络拓扑图,管理员能够对全网的资产进行可视化的监控。拓扑图具备动态更新能力,能够实时地显示资产的运行状态和安全
38、状态,能够方便地链接到其它功能模块。系统能够实时地显示资产的运行状态和安全状态,并能够方便地实现与网络拓扑视图的双向切换。7.4.3 业务处理模块公安行业对业务的规范化处理有很高要求,规定要依据业务流程人工或自动完成安全管理中的日常工作、管理工作和响应处理。具体包括: 流程启动:支持信息预处理自动启动流程,支持人工启动流程。 业务状态:包括待阅、待办、在办、办结、打回等。 处理方式:手动、自动、转办、委托处理,支持附件上传。 工作记录:对工作和事件的信息查看、状态修改、信息补充、结果记录。 通知提醒:人工和自动提醒工作和事件,提醒内容包括内容、时间、重要程度,提醒方式包括手机短信、邮件、界面提
39、示。TSOCGA充分考虑到了多级平台架构下流程状态的反馈能力。在上级平台中能够及时查看到下级的处理状态,完成事件处理的跟踪处理。所有的这些配置操作,本平台都是在工作流中间件里进行的。工作流中间件能够以图形化的方式进行流程节点的增删、状态的调整配置、人员权限的设置,通知方式的设置,能够灵活适应公安实际工作的需要。7.4.3.1 日常工作公安的日常工作包括:签到、签收、巡检、个人工作日志等工作的排班、启动、工作记录等。这些工作都是在日常的流程中进行处理。如下图所示:管理签到按照公安要求,管理签到主要是提供考勤签到,实现本级单位安全管理人员和运维人员的签到功能。签到的记录将统计计入人员考核结果。本平
40、台的签到支持人工签到与自动签到两种。并提供对签到情况的提醒与查询功能。信息签收对于接收到的各类信息、包括各种工单、通知通报,接收方均应提供签收功能。签收功能还包括一些信息的反馈,以便于发送方确认信息已被签收。安全巡检安全巡检主要是指安全运维人员根据预先设定的安全基线指标,对安全专项系统、重要网络设备及安全应用系统的各项硬件参数、软件参数及业务参数进行巡检和记录,并对巡检中发现的异常情况进行汇报和处理。运维人员进行巡检之后,需要进行日志填写。日志可由领导进行审查,并作为考核依据。7.4.3.2 管理工作公安的管理性工作包括安全员管理、工单修订等工作的启动、工作记录、状态修改、处理方式选择。对于安
41、全员的变动,系统提供安全员管理的审核流程。支持的安全员管理类型包括增、删、改、调整权限等。对于运行过程中的各类工单,管理性工作提供经审核后的工单修订功能,能够对工单运行流程进行特殊干预,例如强制退回、重新打开、跳过节点等等。界面如下图所示:7.4.3.3 响应处理在公安的响应处理过程,最重要的是进行应急响应。对于系统自动产生的工单、或者人工发起的工单、或者协同工单,均存在应急响应处理的可能。应急响应处理是工单处理环节中重要的内容,界面如下图所示:应急响应包括三方面内容:l 应急响应流程该功能主要提供应急响应的通知通报、信息发布、签收,响应处理、结果填报,是事件处理环节的内嵌流程。l 响应处理动
42、作在响应处理的具体操作中,平台提供各种处理手段,包括查处通知、故障问题处理、运行维护调度单、服务反馈通知、报警通报等。l 应急响应工具平台提供响应工具的管理,包括上传、下载等。有效的工具是执行应急响应的基础。l 应急响应预案预案是安全管理中的重要知识内容,在响应处理环节能够根据需要人工启动某一级预案,启动后的预案将发布在显著位置,所有登录用户均能够查看到。7.4.3.4 安全服务工作安管平台服务于全体公安干警的功能体现在两方面:一是安全知识库功能,二是安全服务受理。平台的使用人员,包括全体警员,均能够在平台上浏览相关的安全知识库,进行安全补丁、安全工具的下载,接收最新的安全公告,提高自身的安全
43、防护能力。服务受理功能主要提供安全业务的受理和处理功能,对不同的安全业务提供不同的处理流程,而且该类流程是可配置、可视化、灵活的。同时也能对安全业务受理、处理的状态和结果进行审核和发布。公安网络面向全体警员可提供的常见业务有:a) 设备出入网注册服务;b) 边界接入申请服务;c) 公安数字证书申请服务;d) 电子印章申请服务;本平台也提供对本地化的安全业务受理的定制,例如与公安门户网站的整合,以实现为全体警员服务的目标。7.4.4 业务统计模块7.4.4.1 业务统计分析公安综合安全管理平台对业务统计分析功能需要实现对安全事件、安全流程处理、管理考核、安全专项系统等业务进行统计分析,如下图所示
44、:具体针对以下的数据进行分析l 安全告警:依据告警时间、告警等级、处理状态、告警类型、设备类型等属性进行组合统计与分析l 安全事件:依据事件时间、事件类别、事件级别、IP地址、区域、资产、处理状态、响应级别、报警等级等组合统计和分析。l 流程处理:依据人员、部门、区域、事件类别、流程名称、完成率、超时率等组合统计和分析。l 人员绩效及运行管理考核分析:依据人员、部门与区域、安全专项系统名称等组合进行工作量、指标参数的统计和分析。l 运行分析:依据专项系统的名称、服务名称、时间、系统提供商、区域、性能指标、连续工作周期等组合统计和分析。对各单位的各项安全管理工作进行统计分析并排名,并生成相应的统计排名报表。7.4.4.2 业务考核报表公安对各级平台有业务考核的需求,这一般经过下发考核模板、而且由下级平台进行定期报表上报来实现。系统内置了丰富的报表模板,包括统计报表、明细报表、对比报表,管理人
浙ICP备2021020529号-1 | 浙B2-20240490 
