【正文】 立配置。系統(tǒng)提供了及時的預(yù)警管理機(jī)制，能夠發(fā)布經(jīng)審核的預(yù)警信息，系統(tǒng)支持豐富的預(yù)警類別，支持預(yù)警定級，支持預(yù)警的發(fā)布范圍定義。告警管理則包括對告警信息的查看、處理和統(tǒng)計分析。系統(tǒng)支持各種告警響應(yīng)動作，包括彈出提示框、發(fā)送郵件、發(fā)送SNMP Trap、發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動、發(fā)送飛鴿傳書、發(fā)送Syslog等告警方式。u 可以提供基于單個或多個下級平臺或管理域的安全事件監(jiān)控。具體界面如下圖所示： 安全事件監(jiān)控安全事件監(jiān)控能夠?qū)ζ脚_采集到的安全事件進(jìn)行實時性的展示和報警，系統(tǒng)提供了實時監(jiān)控視圖，可以根據(jù)內(nèi)置或者自定義的實時監(jiān)視策略，從各個維度實時觀測安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來源定位，具體包括：u 監(jiān)控展示，內(nèi)容包括編號、名稱、級別、發(fā)生時間、狀態(tài)、內(nèi)容描述等，并可支持自定義屬性信息的展示。 運(yùn)行監(jiān)控模塊 專項系統(tǒng)日志采集和監(jiān)控系統(tǒng)支持公安系統(tǒng)內(nèi)一機(jī)兩用、異常流量、防火墻、入侵攻擊與防御等多種安全專項系統(tǒng)的日志收集，能夠以Syslog、SNMP Trap、FTP、EventLog、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等協(xié)議進(jìn)行日志采集，并支持對日志進(jìn)行范式化、過濾、歸并。工作臺能夠支持展示的信息包括：l 公安網(wǎng)各類安全預(yù)警、事件、通報摘要信息；l 公安網(wǎng)各安全專項系統(tǒng)運(yùn)行摘要信息；l 待辦工作信息；l 個人工作信息；l 運(yùn)行及服務(wù)狀態(tài)指標(biāo)數(shù)據(jù)；l 安全運(yùn)行管理考核指標(biāo)數(shù)據(jù)；l 統(tǒng)計分析數(shù)據(jù)；l 平臺自身運(yùn)行監(jiān)控信息；l 組織機(jī)構(gòu)信息，包括上級及本級安全管理組織機(jī)構(gòu)、人員等；l 安全技術(shù)、法規(guī)（包括上級及本級的安全管理相關(guān)的制度、文件、規(guī)章）、案例等展示和培訓(xùn)；l 安全服務(wù)信息指南，提供補(bǔ)丁下載、病毒庫更新、安全專項工具和相關(guān)表格等相關(guān)資源幫助信息；應(yīng)急響應(yīng)信息，包括公安信息網(wǎng)安全應(yīng)急預(yù)案等信息。l 基于浮動窗口的信息顯示安全主頁中能夠以浮動窗口的形式，直接提醒管理人員待辦工作，避免出現(xiàn)工作遺漏。列表信息支持實時更新，也支持監(jiān)控窗口的擴(kuò)展。通過接入交換層，安管平臺與公安網(wǎng)中安全專項系統(tǒng)、上下級安管平臺、運(yùn)維/值班平臺等系統(tǒng)實現(xiàn)數(shù)據(jù)交換和共享。 系統(tǒng)架構(gòu)TSOC－GA的技術(shù)架構(gòu)圖如下：集中展示層是安全預(yù)警和事件監(jiān)控、安全運(yùn)行監(jiān)控、協(xié)同工作處理、安全知識培訓(xùn)、綜合分析的統(tǒng)一展示，是安管平臺與各類用戶交互的窗口。l 日志代理日志代理用于安裝并運(yùn)行在管理對象上，實現(xiàn)對管理對象的日志采集和轉(zhuǎn)發(fā)。管理中心可以對網(wǎng)絡(luò)中分散的日志采集器進(jìn)行集中管理。管理中心內(nèi)置日志采集和性能采集功能，客戶無需另行安裝其它任何部件即可直接收集管理對象的日志信息和性能信息。TSOC具有國內(nèi)最廣泛的應(yīng)用范圍和客戶群，已經(jīng)連續(xù)4年位居國內(nèi)市場銷量第一 ，TSOC－GA已經(jīng)在公安行業(yè)擁有多個大型成功案例。TSOC－GA公安行業(yè)專版（以下簡稱TSOC－GA）是啟明星辰基于TSOC產(chǎn)品成果、面向全國公安用戶定向開發(fā)的行業(yè)化版本。安全知識管理解決用戶環(huán)境中安全知識（包括漏洞信息、威脅信息、案例、安全策略）的積累、發(fā)布和管理問題，實現(xiàn)安全教育的全員化。 安全管理流程作為一個開放的網(wǎng)絡(luò)，安全和維護(hù)的壓力越來越高，需要實現(xiàn)從依靠人工維護(hù)IT 系統(tǒng)的模式，轉(zhuǎn)變成基于流程和工具的安全、可靠、高質(zhì)量、高效的服務(wù)模式。對于所收集到的事件，安全管理平臺需要將其標(biāo)準(zhǔn)化后賦予其唯一的ID，以實現(xiàn)事件關(guān)聯(lián)效率高，分析更清楚，和事故處理知識庫能緊密聯(lián)系。 事件定位處理在所的監(jiān)控的設(shè)備發(fā)生故障或安全事件時，監(jiān)控系統(tǒng)能幫助管理員快速、準(zhǔn)確地找到問題的根源所在，有效排查。針對上述問題，并根據(jù)網(wǎng)絡(luò)與信息安全風(fēng)險管理的本質(zhì)，對風(fēng)險進(jìn)行有效的控制，圍繞“重要資產(chǎn)、重要告警、重點監(jiān)控”的工作目標(biāo)，建議XX公安信息網(wǎng)建設(shè)安全管理平臺系統(tǒng)，從而解決上述問題及滿足省廳相關(guān)規(guī)范，最終逐步形成具有XX公安信息網(wǎng)特色的功能成熟、并能切實發(fā)揮作用的安全管理平臺。l 安全告警信息沒有與具體的設(shè)備資產(chǎn)想關(guān)聯(lián)，發(fā)現(xiàn)告警后無法定位和處理，比如病毒信息和IDS安全告警信息，因為沒有和具體的設(shè)備相關(guān)聯(lián)，無法及時定位和處理；l 網(wǎng)絡(luò)中各安全設(shè)備基本采用各自分散的管理模式，而零散的安全信息很難形成集中性的、對決策、判斷及處理有重要意義的數(shù)據(jù)l 沒有明確的安全監(jiān)控、處理、安全管理流程和上報工作流程，缺乏有效的事件處理機(jī)制，當(dāng)產(chǎn)生安全事件時，相關(guān)人員按照自己的想法和理解進(jìn)行處理，可能會造成更大的損失和影響；l 缺乏全網(wǎng)統(tǒng)一的安全狀況實時監(jiān)控了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段。隨著XX公安信息網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)范圍越趨擴(kuò)大，主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)量也隨之不斷地增長，并且種類繁多、部署分散，這些系統(tǒng)每天都要產(chǎn)生成千上萬的各類安全事件和告警信息。平臺所提供的事件監(jiān)控、處理流程，必須符合公安行業(yè)的實際工作特性與工作過程。根據(jù)國家相關(guān)的法規(guī)和政策，在安全建設(shè)的過程中，安全設(shè)備必須通過國家有關(guān)管理部門（主要是公安部門）的認(rèn)可或認(rèn)證，保證其配置及設(shè)備的合法性。網(wǎng)絡(luò)的安全對所有用戶是透明的，操作的人機(jī)界面必須達(dá)到安全、簡捷、方便，同時不影響現(xiàn)有網(wǎng)絡(luò)安全的功能和系統(tǒng)的正常運(yùn)行。安全策略安全策略是各種論述、規(guī)則和準(zhǔn)則的集合，用以解釋和說明公安信息網(wǎng)資源使用以及網(wǎng)絡(luò)與業(yè)務(wù)保護(hù)的方式和要求。業(yè)務(wù)流程業(yè)務(wù)流程是為達(dá)到特定的價值目標(biāo)而由不同的人協(xié)作完成的一系列活動。它以流程和標(biāo)準(zhǔn)化的方法為手段，實現(xiàn)安全業(yè)務(wù)監(jiān)控和安全事件的處理，為安全運(yùn)營和管理提供支撐。l GB/T202712006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求。l GB/T202692006 信息安全技術(shù) 信息系統(tǒng)安全管理要求。l GB/T 信息系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第2部分：安全體系結(jié)構(gòu)。2 設(shè)計依據(jù)國際國內(nèi)標(biāo)準(zhǔn)和規(guī)范：l 《中華人民共和國保守國家秘密法》l 《中華人民共和國保守國家秘密法實施辦法》l 《中共中央關(guān)于加強(qiáng)新形勢下保密工作的決定》（中發(fā)[1997]16號）l 《計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā)[1998]1號）l 《涉及國家秘密的通信、辦公自動化和計算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號）l 《關(guān)于加強(qiáng)政府上網(wǎng)信息保密管理的通知》（國保發(fā)[1999]4號）l 《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》（國保發(fā)[1999]10號）l 《關(guān)于加強(qiáng)計算機(jī)信息網(wǎng)絡(luò)保密管理的通知》（中保委發(fā)[2002]4號）l 《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》（中辦發(fā)[2002]17號）l 《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）l 《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見》（中保委發(fā)[2004]7號）l 《涉及國家秘密計算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法》（國保發(fā)[2005]5號）l 《信息系統(tǒng)保密管理規(guī)定》中華人民共和國保密標(biāo)準(zhǔn)：l BMZ12000《涉及國家秘密的計算機(jī)信息系統(tǒng)保密技術(shù)要求》l BMZ22001《涉及國家秘密的計算機(jī)信息系統(tǒng)安全保密方案設(shè)計指南》l BMZ32001《涉及國家秘密的計算機(jī)信息系統(tǒng)安全保密測評指南》l BMB31999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法》l BMB42000《電磁干擾器技術(shù)要求和測試方法》l BMB52000《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求》l BMB102004《涉及國家秘密的計算機(jī)網(wǎng)絡(luò)安全隔離設(shè)備的技術(shù)要求和測試方法》l BMB112004《涉及國家秘密的計算機(jī)信息系統(tǒng)防火墻安全技術(shù)要求》l BMB122004《涉及國家秘密的計算機(jī)信息系統(tǒng)漏洞掃描產(chǎn)品安全技術(shù)要求》l BMB132004《涉及國家秘密的計算機(jī)信息系統(tǒng)入侵檢測產(chǎn)品技術(shù)要求》l BMB152004《涉及國家秘密的信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求》l BMB162004《涉及國家秘密的信息系統(tǒng)安全隔離與信息交換產(chǎn)品技術(shù)要求》GB及參考文獻(xiàn)：l GB 178591999 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則。因為信息泄密、信息遭受破壞等帶來的損失越來越令人觸目驚心。XX公安安全管理平臺建設(shè)方案北京啟明星辰信息技術(shù)股份有限公司Beijing Venus Technology Co. Ltd.2022年5月目 錄1 前言 42 設(shè)計依據(jù) 53 術(shù)語和定義 74 建設(shè)原則 85 系統(tǒng)現(xiàn)狀及需求分析 96 安全管理平臺建設(shè)目標(biāo) 11 集中監(jiān)控告警 11 事件定位處理 11 安全關(guān)聯(lián)分析 11 實時風(fēng)險管理 12 安全運(yùn)維流程 12 安全管理流程 12 策略知識體系 127 安全管理平臺方案設(shè)計 14 平臺概述 14 系統(tǒng)組成 14 系統(tǒng)架構(gòu) 15 平臺功能描述 17 集中展示模塊 17 運(yùn)行監(jiān)控模塊 19 業(yè)務(wù)處理模塊 24 業(yè)務(wù)統(tǒng)計模塊 28 關(guān)聯(lián)分析 30 安全態(tài)勢分析 31 關(guān)鍵安全管理指標(biāo)分析 32 業(yè)務(wù)配置模塊 32 平臺管理模塊 36 接入交換管理模塊 40 系統(tǒng)接口 42 部署方式 43 單級部署 43 級聯(lián)部署 44 運(yùn)行環(huán)境要求 458 啟明星辰公安安全管理平臺特性優(yōu)勢 47 多層次的安全事件管理 47 安全專項系統(tǒng)的信息采集 47 支持分布式日志采集 48 詳盡的日志范式化與事件分類 49 智能化安全事件關(guān)聯(lián)分析 49 可視化安全事件分析 50 多維度的業(yè)務(wù)處理過程 50 豐富的業(yè)務(wù)流程分類 50 靈活的流程定制能力 51 全方位的IT系統(tǒng)性能與可用性監(jiān)控 52 網(wǎng)絡(luò)拓?fù)涔芾?52 支持多種監(jiān)控對象 52 全方位細(xì)粒度監(jiān)控 53 基于風(fēng)險矩陣的量化安全風(fēng)險評估 54 指標(biāo)化的宏觀態(tài)勢感知 55 地址熵態(tài)勢分析 55 威脅態(tài)勢分析 55 關(guān)鍵安全管理指標(biāo)分析 56 豐富靈活的報表報告 56 可擴(kuò)展的報表內(nèi)容 56 公安業(yè)務(wù)考核支持 56 可運(yùn)維的多級管理架構(gòu) 57 級聯(lián)內(nèi)容 57 虛擬下級 57 對用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小 57 完善的系統(tǒng)自身安全性保證 58 有好的用戶交互體驗 599 二次開發(fā)模塊及系統(tǒng)對接說明 59 二次模塊開發(fā)說明 59 與XX公安現(xiàn)有系統(tǒng)對接說明 6010 成功案例 60 成功案例名單 60 典型案例 6111 項目預(yù)算 641 前言網(wǎng)絡(luò)的快速發(fā)展為經(jīng)濟(jì)建設(shè)和社會發(fā)展帶來了巨大的影響，隨著信息化建設(shè)的飛速發(fā)展，信息安全系統(tǒng)已成為XX公安工作的重要資源和基礎(chǔ)平臺。在這種大的形勢下，網(wǎng)絡(luò)安全的重要性被提到了前所未有的高度。l GB/T 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第一部分：簡介和一般模型（idt ISO/IEC 154081：1999。l ISO/IEC 17799：2000信息技術(shù) 信息安全管理實用規(guī)則。l ISO/IEC TR 18044:2004，信息技術(shù) 安全技術(shù)—信息安全事件管理。3 術(shù)語和定義下列術(shù)語和定義適用于本方案。安全專項系統(tǒng)為特定安全目標(biāo)建立的安全系統(tǒng)，包括但不限于現(xiàn)有的幾大系統(tǒng)：“一機(jī)兩用”監(jiān)控系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺、入侵監(jiān)測系統(tǒng)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測系統(tǒng)?；顒又g不僅有嚴(yán)格的先后順序限定，而且活動的內(nèi)容、方式、責(zé)任等也都必須有明確的安排和界定，以使不同活動在不同崗位角色之間進(jìn)行轉(zhuǎn)手交接成為可能。4 建設(shè)原則1) 安全性。3) 開放性。5) 適應(yīng)性和可擴(kuò)展性。7) 可管理性。XX公安非常重視公安信息安全建設(shè)，目前建成包括“一機(jī)兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測系統(tǒng)、應(yīng)急響應(yīng)系統(tǒng)等安全專項系統(tǒng)，這些系統(tǒng)在省廳及各地市得到應(yīng)用，但各個系統(tǒng)提供獨立的安全管理監(jiān)控平臺，形成多個“信息孤島”，缺乏全網(wǎng)統(tǒng)一的安全狀況實時監(jiān)控了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段，沒有一套完善的安全管理機(jī)制，沒有專門負(fù)責(zé)安全監(jiān)控的組織和人員，現(xiàn)有的安全管理、安全監(jiān)控手段已經(jīng)不能滿足日益擴(kuò)展的復(fù)雜的信息安全保障的需要，因此難以有效發(fā)揮其功能作用。l 缺乏明確的人員職責(zé)定位與考核標(biāo)準(zhǔn)，安全告警不能落實到具體責(zé)任人，安全事件處理不能落實到任務(wù)處理人，難以形成高效的績效考核機(jī)制。6 安全管理平臺建設(shè)目標(biāo)XX公安的SOC安全管理平臺的建設(shè)目標(biāo)是搭建以事件管理為核心的集中安全監(jiān)控平臺，通過實現(xiàn)對網(wǎng)絡(luò)/系統(tǒng)中采集到的安全事件、資產(chǎn)、漏洞、風(fēng)險、預(yù)警的進(jìn)行集中監(jiān)測和分析，實現(xiàn)安全告警管理與安全事件的流程化處置，建立安全策略管理基本框架。對于‘一機(jī)兩用’這類公安的專項系統(tǒng)，必須能夠在事件發(fā)生的第一時間定位到所屬區(qū)域、責(zé)任人，并且能夠以便捷的通知方式（例如短信、郵件、網(wǎng)上通知）快速下發(fā)信息，明確處理人，以工單流轉(zhuǎn)的方式進(jìn)行及時處理。 實時風(fēng)險管理風(fēng)險管理以業(yè)務(wù)系統(tǒng)為核心，以資產(chǎn)為基礎(chǔ)，依據(jù)等級保護(hù)標(biāo)準(zhǔn)GB/T 222392008和公安行業(yè)規(guī)則，提供兩大規(guī)則庫供安全管理員對重要業(yè)務(wù)系統(tǒng)進(jìn)行等級評定和風(fēng)險管理，以實時展現(xiàn)業(yè)務(wù)系統(tǒng)存在的威脅、脆弱性和風(fēng)險，盡可能減少或避免業(yè)務(wù)系統(tǒng)面臨的風(fēng)險，確保業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)環(huán)境中能夠持續(xù)、穩(wěn)定和安全的運(yùn)行。建設(shè)完備的安全管理流程，實現(xiàn)自動化工單、案例、知識庫的自動管理和維護(hù)實時自動化監(jiān)控，并提供高品質(zhì)的服務(wù)，降低安全風(fēng)險以提高IT 系統(tǒng)的可用性。安全管理平臺廠商必需維護(hù)平臺知識庫，可快速升級安全管理平臺中相關(guān)的產(chǎn)品特征庫模塊，另一方面將緊急的