【正文】 立配置。系統(tǒng)提供了及時(shí)的預(yù)警管理機(jī)制，能夠發(fā)布經(jīng)審核的預(yù)警信息，系統(tǒng)支持豐富的預(yù)警類別，支持預(yù)警定級(jí)，支持預(yù)警的發(fā)布范圍定義。告警管理則包括對(duì)告警信息的查看、處理和統(tǒng)計(jì)分析。系統(tǒng)支持各種告警響應(yīng)動(dòng)作，包括彈出提示框、發(fā)送郵件、發(fā)送SNMP Trap、發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動(dòng)、發(fā)送飛鴿傳書、發(fā)送Syslog等告警方式。u 可以提供基于單個(gè)或多個(gè)下級(jí)平臺(tái)或管理域的安全事件監(jiān)控。具體界面如下圖所示： 安全事件監(jiān)控安全事件監(jiān)控能夠?qū)ζ脚_(tái)采集到的安全事件進(jìn)行實(shí)時(shí)性的展示和報(bào)警，系統(tǒng)提供了實(shí)時(shí)監(jiān)控視圖，可以根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從各個(gè)維度實(shí)時(shí)觀測(cè)安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來(lái)源定位，具體包括：u 監(jiān)控展示，內(nèi)容包括編號(hào)、名稱、級(jí)別、發(fā)生時(shí)間、狀態(tài)、內(nèi)容描述等，并可支持自定義屬性信息的展示。 運(yùn)行監(jiān)控模塊 專項(xiàng)系統(tǒng)日志采集和監(jiān)控系統(tǒng)支持公安系統(tǒng)內(nèi)一機(jī)兩用、異常流量、防火墻、入侵攻擊與防御等多種安全專項(xiàng)系統(tǒng)的日志收集，能夠以Syslog、SNMP Trap、FTP、EventLog、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等協(xié)議進(jìn)行日志采集，并支持對(duì)日志進(jìn)行范式化、過(guò)濾、歸并。工作臺(tái)能夠支持展示的信息包括：l 公安網(wǎng)各類安全預(yù)警、事件、通報(bào)摘要信息；l 公安網(wǎng)各安全專項(xiàng)系統(tǒng)運(yùn)行摘要信息；l 待辦工作信息；l 個(gè)人工作信息；l 運(yùn)行及服務(wù)狀態(tài)指標(biāo)數(shù)據(jù)；l 安全運(yùn)行管理考核指標(biāo)數(shù)據(jù)；l 統(tǒng)計(jì)分析數(shù)據(jù)；l 平臺(tái)自身運(yùn)行監(jiān)控信息；l 組織機(jī)構(gòu)信息，包括上級(jí)及本級(jí)安全管理組織機(jī)構(gòu)、人員等；l 安全技術(shù)、法規(guī)（包括上級(jí)及本級(jí)的安全管理相關(guān)的制度、文件、規(guī)章）、案例等展示和培訓(xùn)；l 安全服務(wù)信息指南，提供補(bǔ)丁下載、病毒庫(kù)更新、安全專項(xiàng)工具和相關(guān)表格等相關(guān)資源幫助信息；應(yīng)急響應(yīng)信息，包括公安信息網(wǎng)安全應(yīng)急預(yù)案等信息。l 基于浮動(dòng)窗口的信息顯示安全主頁(yè)中能夠以浮動(dòng)窗口的形式，直接提醒管理人員待辦工作，避免出現(xiàn)工作遺漏。列表信息支持實(shí)時(shí)更新，也支持監(jiān)控窗口的擴(kuò)展。通過(guò)接入交換層，安管平臺(tái)與公安網(wǎng)中安全專項(xiàng)系統(tǒng)、上下級(jí)安管平臺(tái)、運(yùn)維/值班平臺(tái)等系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)交換和共享。 系統(tǒng)架構(gòu)TSOC－GA的技術(shù)架構(gòu)圖如下：集中展示層是安全預(yù)警和事件監(jiān)控、安全運(yùn)行監(jiān)控、協(xié)同工作處理、安全知識(shí)培訓(xùn)、綜合分析的統(tǒng)一展示，是安管平臺(tái)與各類用戶交互的窗口。l 日志代理日志代理用于安裝并運(yùn)行在管理對(duì)象上，實(shí)現(xiàn)對(duì)管理對(duì)象的日志采集和轉(zhuǎn)發(fā)。管理中心可以對(duì)網(wǎng)絡(luò)中分散的日志采集器進(jìn)行集中管理。管理中心內(nèi)置日志采集和性能采集功能，客戶無(wú)需另行安裝其它任何部件即可直接收集管理對(duì)象的日志信息和性能信息。TSOC具有國(guó)內(nèi)最廣泛的應(yīng)用范圍和客戶群，已經(jīng)連續(xù)4年位居國(guó)內(nèi)市場(chǎng)銷量第一 ，TSOC－GA已經(jīng)在公安行業(yè)擁有多個(gè)大型成功案例。TSOC－GA公安行業(yè)專版（以下簡(jiǎn)稱TSOC－GA）是啟明星辰基于TSOC產(chǎn)品成果、面向全國(guó)公安用戶定向開(kāi)發(fā)的行業(yè)化版本。安全知識(shí)管理解決用戶環(huán)境中安全知識(shí)（包括漏洞信息、威脅信息、案例、安全策略）的積累、發(fā)布和管理問(wèn)題，實(shí)現(xiàn)安全教育的全員化。 安全管理流程作為一個(gè)開(kāi)放的網(wǎng)絡(luò)，安全和維護(hù)的壓力越來(lái)越高，需要實(shí)現(xiàn)從依靠人工維護(hù)IT 系統(tǒng)的模式，轉(zhuǎn)變成基于流程和工具的安全、可靠、高質(zhì)量、高效的服務(wù)模式。對(duì)于所收集到的事件，安全管理平臺(tái)需要將其標(biāo)準(zhǔn)化后賦予其唯一的ID，以實(shí)現(xiàn)事件關(guān)聯(lián)效率高，分析更清楚，和事故處理知識(shí)庫(kù)能緊密聯(lián)系。 事件定位處理在所的監(jiān)控的設(shè)備發(fā)生故障或安全事件時(shí)，監(jiān)控系統(tǒng)能幫助管理員快速、準(zhǔn)確地找到問(wèn)題的根源所在，有效排查。針對(duì)上述問(wèn)題，并根據(jù)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理的本質(zhì)，對(duì)風(fēng)險(xiǎn)進(jìn)行有效的控制，圍繞“重要資產(chǎn)、重要告警、重點(diǎn)監(jiān)控”的工作目標(biāo)，建議XX公安信息網(wǎng)建設(shè)安全管理平臺(tái)系統(tǒng)，從而解決上述問(wèn)題及滿足省廳相關(guān)規(guī)范，最終逐步形成具有XX公安信息網(wǎng)特色的功能成熟、并能切實(shí)發(fā)揮作用的安全管理平臺(tái)。l 安全告警信息沒(méi)有與具體的設(shè)備資產(chǎn)想關(guān)聯(lián)，發(fā)現(xiàn)告警后無(wú)法定位和處理，比如病毒信息和IDS安全告警信息，因?yàn)闆](méi)有和具體的設(shè)備相關(guān)聯(lián)，無(wú)法及時(shí)定位和處理；l 網(wǎng)絡(luò)中各安全設(shè)備基本采用各自分散的管理模式，而零散的安全信息很難形成集中性的、對(duì)決策、判斷及處理有重要意義的數(shù)據(jù)l 沒(méi)有明確的安全監(jiān)控、處理、安全管理流程和上報(bào)工作流程，缺乏有效的事件處理機(jī)制，當(dāng)產(chǎn)生安全事件時(shí)，相關(guān)人員按照自己的想法和理解進(jìn)行處理，可能會(huì)造成更大的損失和影響；l 缺乏全網(wǎng)統(tǒng)一的安全狀況實(shí)時(shí)監(jiān)控了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段。隨著XX公安信息網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)范圍越趨擴(kuò)大，主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)量也隨之不斷地增長(zhǎng)，并且種類繁多、部署分散，這些系統(tǒng)每天都要產(chǎn)生成千上萬(wàn)的各類安全事件和告警信息。平臺(tái)所提供的事件監(jiān)控、處理流程，必須符合公安行業(yè)的實(shí)際工作特性與工作過(guò)程。根據(jù)國(guó)家相關(guān)的法規(guī)和政策，在安全建設(shè)的過(guò)程中，安全設(shè)備必須通過(guò)國(guó)家有關(guān)管理部門（主要是公安部門）的認(rèn)可或認(rèn)證，保證其配置及設(shè)備的合法性。網(wǎng)絡(luò)的安全對(duì)所有用戶是透明的，操作的人機(jī)界面必須達(dá)到安全、簡(jiǎn)捷、方便，同時(shí)不影響現(xiàn)有網(wǎng)絡(luò)安全的功能和系統(tǒng)的正常運(yùn)行。安全策略安全策略是各種論述、規(guī)則和準(zhǔn)則的集合，用以解釋和說(shuō)明公安信息網(wǎng)資源使用以及網(wǎng)絡(luò)與業(yè)務(wù)保護(hù)的方式和要求。業(yè)務(wù)流程業(yè)務(wù)流程是為達(dá)到特定的價(jià)值目標(biāo)而由不同的人協(xié)作完成的一系列活動(dòng)。它以流程和標(biāo)準(zhǔn)化的方法為手段，實(shí)現(xiàn)安全業(yè)務(wù)監(jiān)控和安全事件的處理，為安全運(yùn)營(yíng)和管理提供支撐。l GB/T202712006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求。l GB/T202692006 信息安全技術(shù) 信息系統(tǒng)安全管理要求。l GB/T 信息系統(tǒng) 開(kāi)放系統(tǒng)互連 基本參考模型 第2部分：安全體系結(jié)構(gòu)。2 設(shè)計(jì)依據(jù)國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)和規(guī)范：l 《中華人民共和國(guó)保守國(guó)家秘密法》l 《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施辦法》l 《中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定》（中發(fā)[1997]16號(hào)）l 《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國(guó)保發(fā)[1998]1號(hào)）l 《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號(hào)）l 《關(guān)于加強(qiáng)政府上網(wǎng)信息保密管理的通知》（國(guó)保發(fā)[1999]4號(hào)）l 《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》（國(guó)保發(fā)[1999]10號(hào)）l 《關(guān)于加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)保密管理的通知》（中保委發(fā)[2002]4號(hào)）l 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)》（中辦發(fā)[2002]17號(hào)）l 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）l 《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見(jiàn)》（中保委發(fā)[2004]7號(hào)）l 《涉及國(guó)家秘密計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法》（國(guó)保發(fā)[2005]5號(hào)）l 《信息系統(tǒng)保密管理規(guī)定》中華人民共和國(guó)保密標(biāo)準(zhǔn)：l BMZ12000《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》l BMZ22001《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》l BMZ32001《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南》l BMB31999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試方法》l BMB42000《電磁干擾器技術(shù)要求和測(cè)試方法》l BMB52000《涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求》l BMB102004《涉及國(guó)家秘密的計(jì)算機(jī)網(wǎng)絡(luò)安全隔離設(shè)備的技術(shù)要求和測(cè)試方法》l BMB112004《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)防火墻安全技術(shù)要求》l BMB122004《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)漏洞掃描產(chǎn)品安全技術(shù)要求》l BMB132004《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)入侵檢測(cè)產(chǎn)品技術(shù)要求》l BMB152004《涉及國(guó)家秘密的信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求》l BMB162004《涉及國(guó)家秘密的信息系統(tǒng)安全隔離與信息交換產(chǎn)品技術(shù)要求》GB及參考文獻(xiàn)：l GB 178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。因?yàn)樾畔⑿姑?、信息遭受破壞等帶?lái)的損失越來(lái)越令人觸目驚心。XX公安安全管理平臺(tái)建設(shè)方案北京啟明星辰信息技術(shù)股份有限公司Beijing Venus Technology Co. Ltd.2022年5月目 錄1 前言 42 設(shè)計(jì)依據(jù) 53 術(shù)語(yǔ)和定義 74 建設(shè)原則 85 系統(tǒng)現(xiàn)狀及需求分析 96 安全管理平臺(tái)建設(shè)目標(biāo) 11 集中監(jiān)控告警 11 事件定位處理 11 安全關(guān)聯(lián)分析 11 實(shí)時(shí)風(fēng)險(xiǎn)管理 12 安全運(yùn)維流程 12 安全管理流程 12 策略知識(shí)體系 127 安全管理平臺(tái)方案設(shè)計(jì) 14 平臺(tái)概述 14 系統(tǒng)組成 14 系統(tǒng)架構(gòu) 15 平臺(tái)功能描述 17 集中展示模塊 17 運(yùn)行監(jiān)控模塊 19 業(yè)務(wù)處理模塊 24 業(yè)務(wù)統(tǒng)計(jì)模塊 28 關(guān)聯(lián)分析 30 安全態(tài)勢(shì)分析 31 關(guān)鍵安全管理指標(biāo)分析 32 業(yè)務(wù)配置模塊 32 平臺(tái)管理模塊 36 接入交換管理模塊 40 系統(tǒng)接口 42 部署方式 43 單級(jí)部署 43 級(jí)聯(lián)部署 44 運(yùn)行環(huán)境要求 458 啟明星辰公安安全管理平臺(tái)特性優(yōu)勢(shì) 47 多層次的安全事件管理 47 安全專項(xiàng)系統(tǒng)的信息采集 47 支持分布式日志采集 48 詳盡的日志范式化與事件分類 49 智能化安全事件關(guān)聯(lián)分析 49 可視化安全事件分析 50 多維度的業(yè)務(wù)處理過(guò)程 50 豐富的業(yè)務(wù)流程分類 50 靈活的流程定制能力 51 全方位的IT系統(tǒng)性能與可用性監(jiān)控 52 網(wǎng)絡(luò)拓?fù)涔芾?52 支持多種監(jiān)控對(duì)象 52 全方位細(xì)粒度監(jiān)控 53 基于風(fēng)險(xiǎn)矩陣的量化安全風(fēng)險(xiǎn)評(píng)估 54 指標(biāo)化的宏觀態(tài)勢(shì)感知 55 地址熵態(tài)勢(shì)分析 55 威脅態(tài)勢(shì)分析 55 關(guān)鍵安全管理指標(biāo)分析 56 豐富靈活的報(bào)表報(bào)告 56 可擴(kuò)展的報(bào)表內(nèi)容 56 公安業(yè)務(wù)考核支持 56 可運(yùn)維的多級(jí)管理架構(gòu) 57 級(jí)聯(lián)內(nèi)容 57 虛擬下級(jí) 57 對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小 57 完善的系統(tǒng)自身安全性保證 58 有好的用戶交互體驗(yàn) 599 二次開(kāi)發(fā)模塊及系統(tǒng)對(duì)接說(shuō)明 59 二次模塊開(kāi)發(fā)說(shuō)明 59 與XX公安現(xiàn)有系統(tǒng)對(duì)接說(shuō)明 6010 成功案例 60 成功案例名單 60 典型案例 6111 項(xiàng)目預(yù)算 641 前言網(wǎng)絡(luò)的快速發(fā)展為經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展帶來(lái)了巨大的影響，隨著信息化建設(shè)的飛速發(fā)展，信息安全系統(tǒng)已成為XX公安工作的重要資源和基礎(chǔ)平臺(tái)。在這種大的形勢(shì)下，網(wǎng)絡(luò)安全的重要性被提到了前所未有的高度。l GB/T 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第一部分：簡(jiǎn)介和一般模型（idt ISO/IEC 154081：1999。l ISO/IEC 17799：2000信息技術(shù) 信息安全管理實(shí)用規(guī)則。l ISO/IEC TR 18044:2004，信息技術(shù) 安全技術(shù)—信息安全事件管理。3 術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本方案。安全專項(xiàng)系統(tǒng)為特定安全目標(biāo)建立的安全系統(tǒng)，包括但不限于現(xiàn)有的幾大系統(tǒng)：“一機(jī)兩用”監(jiān)控系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺(tái)、入侵監(jiān)測(cè)系統(tǒng)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測(cè)系統(tǒng)?；顒?dòng)之間不僅有嚴(yán)格的先后順序限定，而且活動(dòng)的內(nèi)容、方式、責(zé)任等也都必須有明確的安排和界定，以使不同活動(dòng)在不同崗位角色之間進(jìn)行轉(zhuǎn)手交接成為可能。4 建設(shè)原則1) 安全性。3) 開(kāi)放性。5) 適應(yīng)性和可擴(kuò)展性。7) 可管理性。XX公安非常重視公安信息安全建設(shè)，目前建成包括“一機(jī)兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺(tái)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測(cè)系統(tǒng)、應(yīng)急響應(yīng)系統(tǒng)等安全專項(xiàng)系統(tǒng)，這些系統(tǒng)在省廳及各地市得到應(yīng)用，但各個(gè)系統(tǒng)提供獨(dú)立的安全管理監(jiān)控平臺(tái)，形成多個(gè)“信息孤島”，缺乏全網(wǎng)統(tǒng)一的安全狀況實(shí)時(shí)監(jiān)控了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段，沒(méi)有一套完善的安全管理機(jī)制，沒(méi)有專門負(fù)責(zé)安全監(jiān)控的組織和人員，現(xiàn)有的安全管理、安全監(jiān)控手段已經(jīng)不能滿足日益擴(kuò)展的復(fù)雜的信息安全保障的需要，因此難以有效發(fā)揮其功能作用。l 缺乏明確的人員職責(zé)定位與考核標(biāo)準(zhǔn)，安全告警不能落實(shí)到具體責(zé)任人，安全事件處理不能落實(shí)到任務(wù)處理人，難以形成高效的績(jī)效考核機(jī)制。6 安全管理平臺(tái)建設(shè)目標(biāo)XX公安的SOC安全管理平臺(tái)的建設(shè)目標(biāo)是搭建以事件管理為核心的集中安全監(jiān)控平臺(tái)，通過(guò)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)/系統(tǒng)中采集到的安全事件、資產(chǎn)、漏洞、風(fēng)險(xiǎn)、預(yù)警的進(jìn)行集中監(jiān)測(cè)和分析，實(shí)現(xiàn)安全告警管理與安全事件的流程化處置，建立安全策略管理基本框架。對(duì)于‘一機(jī)兩用’這類公安的專項(xiàng)系統(tǒng)，必須能夠在事件發(fā)生的第一時(shí)間定位到所屬區(qū)域、責(zé)任人，并且能夠以便捷的通知方式（例如短信、郵件、網(wǎng)上通知）快速下發(fā)信息，明確處理人，以工單流轉(zhuǎn)的方式進(jìn)行及時(shí)處理。 實(shí)時(shí)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理以業(yè)務(wù)系統(tǒng)為核心，以資產(chǎn)為基礎(chǔ)，依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)GB/T 222392008和公安行業(yè)規(guī)則，提供兩大規(guī)則庫(kù)供安全管理員對(duì)重要業(yè)務(wù)系統(tǒng)進(jìn)行等級(jí)評(píng)定和風(fēng)險(xiǎn)管理，以實(shí)時(shí)展現(xiàn)業(yè)務(wù)系統(tǒng)存在的威脅、脆弱性和風(fēng)險(xiǎn)，盡可能減少或避免業(yè)務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)，確保業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)環(huán)境中能夠持續(xù)、穩(wěn)定和安全的運(yùn)行。建設(shè)完備的安全管理流程，實(shí)現(xiàn)自動(dòng)化工單、案例、知識(shí)庫(kù)的自動(dòng)管理和維護(hù)實(shí)時(shí)自動(dòng)化監(jiān)控，并提供高品質(zhì)的服務(wù)，降低安全風(fēng)險(xiǎn)以提高IT 系統(tǒng)的可用性。安全管理平臺(tái)廠商必需維護(hù)平臺(tái)知識(shí)庫(kù)，可快速升級(jí)安全管理平臺(tái)中相關(guān)的產(chǎn)品特征庫(kù)模塊，另一方面將緊急的