【正文】 。XX公安安全管理平臺建設方案北京啟明星辰信息技術股份有限公司Beijing Venus Technology Co. Ltd.2022年5月目 錄1 前言 42 設計依據 53 術語和定義 74 建設原則 85 系統現狀及需求分析 96 安全管理平臺建設目標 11 集中監(jiān)控告警 11 事件定位處理 11 安全關聯分析 11 實時風險管理 12 安全運維流程 12 安全管理流程 12 策略知識體系 127 安全管理平臺方案設計 14 平臺概述 14 系統組成 14 系統架構 15 平臺功能描述 17 集中展示模塊 17 運行監(jiān)控模塊 19 業(yè)務處理模塊 24 業(yè)務統計模塊 28 關聯分析 30 安全態(tài)勢分析 31 關鍵安全管理指標分析 32 業(yè)務配置模塊 32 平臺管理模塊 36 接入交換管理模塊 40 系統接口 42 部署方式 43 單級部署 43 級聯部署 44 運行環(huán)境要求 458 啟明星辰公安安全管理平臺特性優(yōu)勢 47 多層次的安全事件管理 47 安全專項系統的信息采集 47 支持分布式日志采集 48 詳盡的日志范式化與事件分類 49 智能化安全事件關聯分析 49 可視化安全事件分析 50 多維度的業(yè)務處理過程 50 豐富的業(yè)務流程分類 50 靈活的流程定制能力 51 全方位的IT系統性能與可用性監(jiān)控 52 網絡拓撲管理 52 支持多種監(jiān)控對象 52 全方位細粒度監(jiān)控 53 基于風險矩陣的量化安全風險評估 54 指標化的宏觀態(tài)勢感知 55 地址熵態(tài)勢分析 55 威脅態(tài)勢分析 55 關鍵安全管理指標分析 56 豐富靈活的報表報告 56 可擴展的報表內容 56 公安業(yè)務考核支持 56 可運維的多級管理架構 57 級聯內容 57 虛擬下級 57 對用戶網絡和業(yè)務影響最小 57 完善的系統自身安全性保證 58 有好的用戶交互體驗 599 二次開發(fā)模塊及系統對接說明 59 二次模塊開發(fā)說明 59 與XX公安現有系統對接說明 6010 成功案例 60 成功案例名單 60 典型案例 6111 項目預算 641 前言網絡的快速發(fā)展為經濟建設和社會發(fā)展帶來了巨大的影響，隨著信息化建設的飛速發(fā)展，信息安全系統已成為XX公安工作的重要資源和基礎平臺。目前XX公安的安全專項系統主要有：“一機兩用”監(jiān)控系統、病毒監(jiān)控預警系統、邊界安全接入平臺、PKI/PMI系統、漏洞掃描系統、違規(guī)網站及信息掃描系統、異常流量監(jiān)測系統、應急響應系統。近年來公安網絡安全問題呈現日益嚴重的趨勢，從公安部的相關統計數據中可以看出，“一機兩用”違規(guī)事件、病毒傳播率、漏洞發(fā)生率等涉及網絡安全的考核指標，都在不同程度的增加。因為信息泄密、信息遭受破壞等帶來的損失越來越令人觸目驚心。在這種大的形勢下，網絡安全的重要性被提到了前所未有的高度。由于公安以往的信息系統都是針對具體的應用進行設計，未考慮系統的綜合管理，所以在管控手段和管控水平上極需加強。另外，隨著公安信息應用的進一步推進，對信息安全的日常運維和應急預案等方面提出了更高的要求，切實需要建立省市兩級信息通信部門的快速反應機制，強化信息系統基礎平臺的安全管理，建設可信的信息系統環(huán)境，為公安各類信息系統的安全、可靠、穩(wěn)定、高效的運行提供良好的基礎和強有力的保障。2 設計依據國際國內標準和規(guī)范：l 《中華人民共和國保守國家秘密法》l 《中華人民共和國保守國家秘密法實施辦法》l 《中共中央關于加強新形勢下保密工作的決定》（中發(fā)[1997]16號）l 《計算機信息系統保密管理暫行規(guī)定》（國保發(fā)[1998]1號）l 《涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法》（中保辦發(fā)[1998]6號）l 《關于加強政府上網信息保密管理的通知》（國保發(fā)[1999]4號）l 《計算機信息系統國際聯網保密管理規(guī)定》（國保發(fā)[1999]10號）l 《關于加強計算機信息網絡保密管理的通知》（中保委發(fā)[2002]4號）l 《國家信息化領導小組關于我國電子政務建設指導意見》（中辦發(fā)[2002]17號）l 《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）l 《關于加強信息安全保障工作中保密管理的若干意見》（中保委發(fā)[2004]7號）l 《涉及國家秘密計算機信息系統集成資質管理辦法》（國保發(fā)[2005]5號）l 《信息系統保密管理規(guī)定》中華人民共和國保密標準：l BMZ12000《涉及國家秘密的計算機信息系統保密技術要求》l BMZ22001《涉及國家秘密的計算機信息系統安全保密方案設計指南》l BMZ32001《涉及國家秘密的計算機信息系統安全保密測評指南》l BMB31999《處理涉密信息的電磁屏蔽室的技術要求和測試方法》l BMB42000《電磁干擾器技術要求和測試方法》l BMB52000《涉密信息設備使用現場的電磁泄漏發(fā)射防護要求》l BMB102004《涉及國家秘密的計算機網絡安全隔離設備的技術要求和測試方法》l BMB112004《涉及國家秘密的計算機信息系統防火墻安全技術要求》l BMB122004《涉及國家秘密的計算機信息系統漏洞掃描產品安全技術要求》l BMB132004《涉及國家秘密的計算機信息系統入侵檢測產品技術要求》l BMB152004《涉及國家秘密的信息系統安全審計產品技術要求》l BMB162004《涉及國家秘密的信息系統安全隔離與信息交換產品技術要求》GB及參考文獻：l GB 178591999 計算機信息系統安全保護等級劃分準則。l GB/T 信息技術 安全技術 信息技術安全性評估準則 第一部分：簡介和一般模型（idt ISO/IEC 154081：1999。l GB/T 信息技術 安全技術 信息技術安全性評估準則 第二部分：安全功能要求（idt ISO 154082:1999）。l GB/T 信息技術 安全技術 信息技術安全性評估準則 第三部分：安全保證要求（idt ISO 154083:1999）。l GB/T 信息系統 開放系統互連 基本參考模型 第2部分：安全體系結構。l ISO/IEC 17799：2000信息技術 信息安全管理實用規(guī)則。l BMB172006 涉及國家秘密的計算機信息系統分級保護技術要求。l GB 501741993 電子計算機機房設計規(guī)范。l GB/T202692006 信息安全技術 信息系統安全管理要求。l ISO/IEC TR 18044:2004，信息技術 安全技術—信息安全事件管理。l GB/T202702006 信息安全技術 網絡基礎安全技術要求。l GB/T202822006 信息安全技術 信息系統安全工程管理要求。l GB/T202712006 信息安全技術 信息系統通用安全技術要求。3 術語和定義下列術語和定義適用于本方案。術語解釋安管平臺本規(guī)范中的“安管平臺”特指公安集中安全管理平臺。它是實現公安信息網信息安全管理的技術支撐平臺。它以流程和標準化的方法為手段，實現安全業(yè)務監(jiān)控和安全事件的處理，為安全運營和管理提供支撐。安全專項系統為特定安全目標建立的安全系統，包括但不限于現有的幾大系統：“一機兩用”監(jiān)控系統、補丁分發(fā)系統、病毒監(jiān)控預警系統、邊界安全接入平臺、入侵監(jiān)測系統、PKI/PMI系統、漏洞掃描系統、違規(guī)網站及信息掃描系統、異常流量監(jiān)測系統。工單指為了完成某個具體業(yè)務請求所使用的協同工作載體，承載內容包括業(yè)務狀態(tài)、業(yè)務數據和業(yè)務要求等，按業(yè)務處理流程進行流轉。活動活動組成了業(yè)務流程中的步驟和任務，是按照規(guī)范流程要求而采取的動作，在安管平臺中，活動包括判斷、響應、流轉、處置等。業(yè)務流程業(yè)務流程是為達到特定的價值目標而由不同的人協作完成的一系列活動?；顒又g不僅有嚴格的先后順序限定，而且活動的內容、方式、責任等也都必須有明確的安排和界定，以使不同活動在不同崗位角色之間進行轉手交接成為可能。本文主要指信通網中與安全運行管理相關的簽到、巡檢、簽收、通報告警、響應處理、審核等流程。安全事件由計算機信息系統或者網絡中的各種設備與系統，例如安全子系統、網絡設備、安全設備等發(fā)現并記錄下的各種可疑活動被稱為安全事件。安全策略安全策略是各種論述、規(guī)則和準則的集合，用以解釋和說明公安信息網資源使用以及網絡與業(yè)務保護的方式和要求。4 建設原則1) 安全性。XX公安的SOC安全管理平臺建設，必須具備在各個層次上的安全策略、體系和管理辦法，并系統地解決安全問題的能力。2) 有效性和實用性。網絡的安全對所有用戶是透明的，操作的人機界面必須達到安全、簡捷、方便，同時不影響現有網絡安全的功能和系統的正常運行。3) 開放性。網絡安全系統和設備，必須適應多種軟、硬件平臺和通訊的能力。4) 自主性和可控性。根據國家相關的法規(guī)和政策，在安全建設的過程中，安全設備必須通過國家有關管理部門（主要是公安部門）的認可或認證，保證其配置及設備的合法性。5) 適應性和可擴展性。所采取的措施必須能隨著網絡性能及安全需求的變化而變化，要具備可擴充性和可升級性，以適應將來網絡規(guī)模的發(fā)展。6) 業(yè)務符合性。平臺所提供的事件監(jiān)控、處理流程，必須符合公安行業(yè)的實際工作特性與工作過程。7) 可管理性。網絡安全系統必須具備良好的可管理性。5 系統現狀及需求分析目前XX公安信息專網涉及地域廣泛，包括省廳及直屬單位、　個地市，　多個區(qū)縣等接入單位；應用系統繁多，共有100多個應用系統。隨著XX公安信息網的不斷發(fā)展，網絡范圍越趨擴大，主機設備、網絡設備、安全設備數量也隨之不斷地增長，并且種類繁多、部署分散，這些系統每天都要產生成千上萬的各類安全事件和告警信息。XX公安非常重視公安信息安全建設，目前建成包括“一機兩用”監(jiān)控系統、病毒監(jiān)控預警系統、邊界安全接入平臺、PKI/PMI系統、漏洞掃描系統、違規(guī)網站及信息掃描系統、異常流量監(jiān)測系統、應急響應系統等安全專項系統，這些系統在省廳及各地市得到應用，但各個系統提供獨立的安全管理監(jiān)控平臺，形成多個“信息孤島”，缺乏全網統一的安全狀況實時監(jiān)控了解工具，缺乏安全策略與安全技術相結合的溝通手段，沒有一套完善的安全管理機制，沒有專門負責安全監(jiān)控的組織和人員，現有的安全管理、安全監(jiān)控手段已經不能滿足日益擴展的復雜的信息安全保障的需要，因此難以有效發(fā)揮其功能作用。目前XX省公安廳的安全管理系統存在以下問題：l 網絡范圍越趨擴大，主機設備、網絡設備、安全設備數量也隨之不斷地增長，并且種類繁多、部署分散，這些系統每天都要產生成千上萬的各類安全事件和告警信息，但是安全事件得不到有效處理。告警信息得不到有效分析。l 安全告警信息沒有與具體的設備資產想關聯，發(fā)現告警后無法定位和處理，比如病毒信息和IDS安全告警信息，因為沒有和具體的設備相關聯，無法及時定位和處理；l 網絡中各安全設備基本采用各自分散的管理模式，而零散的安全信息很難形成集中性的、對決策、判斷及處理有重要意義的數據l 沒有明確的安全監(jiān)控、處理、安全管理流程和上報工作流程，缺乏有效的事件處理機制，當產生安全事件時，相關人員按照自己的想法和理解進行處理，可能會造成更大的損失和影響；l 缺乏全網統一的安全狀況實時監(jiān)控了解工具，缺乏安全策略與安全技術相結合的溝通手段。l 缺乏明確的人員職責定位與考核標準，安全告警不能落實到具體責任人，安全事件處理不能落實到任務處理人，難以形成高效的績效考核機制。l 缺乏與安全管理工作相適應的安全知識體系。安全告警發(fā)生之后無法及時尋找對應的知識庫進行參照處理。針對上述問題，并根據網絡與信息安全風險管理的本質，對風險進行有效的控制，圍繞“重要資產、重要告警、重點監(jiān)控”的工作目標，建議XX公安信息網建設安全管理平臺系統，從而解決上述問題及滿足省廳相關規(guī)范，最終逐步形成具有XX公安信息網特色的功能成熟、并能切實發(fā)揮作用的安全管理平臺。6 安全管理平臺建設目標XX公安的SOC安全管理平臺的建設目標是搭建以事件管理為核心的集中安全監(jiān)控平臺，通過實現對網絡/系統中采集到的安全事件、資產、漏洞、風險、預警的進行集中監(jiān)測和分析，實現安全告警管理與安全事件的流程化處置，建立安全策略管理基本框架。初步建立安全知識體系和應急響應體系，從而提高科通處所管理系統的安全威脅實時檢測率，降低被成功攻擊的概率，提高安全事件的響應速度。其具體目標可表現為： 集中監(jiān)控告警統一監(jiān)控管轄范圍內的主機、網絡設備、安全設備、數據庫、中間件、服務和機房設備，為用戶提供一個全方位監(jiān)控的統一管理平臺，使得管理員通過一個單一控制臺就能夠進行實時全網監(jiān)控，保障全網IT計算環(huán)境基礎設施的可用性，業(yè)務的持續(xù)性和安全性。 事件定位處理在所的監(jiān)控的設備發(fā)生故障或安全事件時，監(jiān)控系統能幫助管理員快速、準確地找到問題的根源所在，有效排查。對于‘一機兩用’這類公安的專項系統，必須能夠在事件發(fā)生的第一時間定位到所屬區(qū)域、責任人，并且能夠以便捷的通知方式（例如短信、郵件、網上通知）快速下發(fā)信息，明確處理人，以工單流轉的方式進行及時處理。 安全關聯分析安全系統產生的日志數量是非常龐大的，要在這些事件里找出有用的信息，沒有安全管理平臺的幫助，幾乎是不可能實現的。安全管理平臺需要提供的事件關聯分析功能，幫助管理員對事件進行相關性分析，得出需要關注的少量的安全事故，大大降低事件處理的工作量，使重要的事件能夠以較高的優(yōu)先級被處理。對于所收集到的事件，安全管理平臺需要將其標準化后賦予其唯一的ID，以實