【正文】 、影響重大的安全事件通過Web的方式發(fā)布出去。公安行業(yè)專版完全遵照公安部《公安信息通信網(wǎng)綜合安全管理平臺技術規(guī)范（試行）》，充分結(jié)合了公安行業(yè)業(yè)務特性，并有效發(fā)揮了啟明星辰在安全管理平臺領域的技術專長，體現(xiàn)了公安信息安全管理工作中“集中監(jiān)控、統(tǒng)一管理、全面分析、快速響應、規(guī)范運行”的管理思想，能夠顯著提升公安信息安全管理工作的效率與質(zhì)量。 系統(tǒng)組成TSOC－GA包括管理中心、日志采集器、性能采集器和日志代理四個部件。管理中心也可以匯聚來自日志采集器、日志代理和性能采集器的日志信息。l 性能采集器 性能采集器可以安裝并獨立運行在一臺服務器上，也可以與日志采集器集成安裝和運行一臺服務器上，實現(xiàn)對異構(gòu)管理對象的性能信息采集，包括可用性信息、運行狀態(tài)信息、性能信息等，功能同管理中心的性能采集模塊，用以輔助管理中心解決分布式性能數(shù)據(jù)采集的問題。目前，日志代理支持Windows操作系統(tǒng)，主要用于采集Windows 操作系統(tǒng)及其服務與應用的日志。核心處理層是實現(xiàn)安全管理業(yè)務的核心層，各類安全工作人員完成所授權(quán)的工作，完成對事件與狀態(tài)的處理，完成平臺自身的管理，實現(xiàn)公安信息網(wǎng)安全管理制度的全面落實。 平臺功能描述 集中展示模塊 安全主頁用戶登錄即可進入安全首頁。l 基于圖表的信息顯示系統(tǒng)整體安全狀態(tài)、專項系統(tǒng)事件的發(fā)展趨勢，均以直觀的圖形化方式顯示，安全首頁中采用雷達圖、趨勢圖、柱狀圖、儀表圖等多種圖表樣式，滿足美觀、直觀的監(jiān)控要求。 個人工作臺工作臺為用戶提供了一個從用戶自身業(yè)務需要出發(fā)使用本系統(tǒng)的快速入口，通過預先配置，工作臺集成了當前登錄用戶有關的日常工作活動，為其提供一站式管理功能。 安全門戶系統(tǒng)提供免登錄的服務入口，能夠為廣大公安干警提供安全信息與服務支持。此外，TSOC－GA還提供可獨立部署的日志采集器，每個采集器都能對日志進行采集、范式化、過濾和歸并，實現(xiàn)分布式日志采集。u 可以提供對重大安全事件和違規(guī)事件提供報警和業(yè)務處理入口。u 可以支持對事件源的定位功能。告警信息可查詢，可追蹤和統(tǒng)計分析。系統(tǒng)提供快捷的告警響應處理流程，可記錄告警信息的處理過程和處理結(jié)果，并能夠與工單管理模塊聯(lián)動。具體界面如下圖所示：安全預警功能包括：1. 安全預警監(jiān)控對本平臺產(chǎn)生的最新預警信息內(nèi)容進行監(jiān)控展示。系統(tǒng)支持通過SNMP、TELNET、SSH、SSHODBC、JMX、協(xié)議仿真等方式對IT資產(chǎn)進行性能與可用性信息的采集。 設備性能狀態(tài)監(jiān)控系統(tǒng)能夠?qū)Ω鞣N不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)、以及各種應用系統(tǒng)的性能與狀態(tài)進行實時監(jiān)控，具有豐富的監(jiān)控指標。 平臺運行監(jiān)控綜合安全管理平臺提供平臺狀態(tài)監(jiān)控功能，完成對平臺自身狀態(tài)信息、與部運維平臺等連通情況、平臺目前操作人員信息的監(jiān)控展示，如下圖所示：平臺自身狀態(tài)信息包括系統(tǒng)當前CPU、內(nèi)存、磁盤空間、網(wǎng)卡流量等、數(shù)據(jù)庫使用狀態(tài)，上/下級平臺在線狀態(tài)、平臺模塊運行狀態(tài)、當前登錄用戶信息、當前上線人數(shù)、當前的時間等進行監(jiān)控。系統(tǒng)的通知通報監(jiān)控具備實時更新功能，能夠?qū)π掳l(fā)布的信息進行及時呈現(xiàn)。系統(tǒng)能夠形象地展示出安全域的風險矩陣，從可能性和影響性兩個角度標注安全域中風險的分布情況，通過風險矩陣法，指導管理員進行風險分析，采取相應的風險處置對策。拓撲圖具備動態(tài)更新能力，能夠?qū)崟r地顯示資產(chǎn)的運行狀態(tài)和安全狀態(tài)，能夠方便地鏈接到其他功能模塊。 流程啟動：支持信息預處理自動啟動流程，支持人工啟動流程。 處理方式：手動、自動、轉(zhuǎn)辦、委托處理，支持附件上傳。 通知提醒：人工和自動提醒工作和事件，提醒內(nèi)容包括內(nèi)容、時間、重要程度，提醒方式包括手機短信、郵件、界面提示。工作流中間件能夠以圖形化的方式進行流程節(jié)點的增刪、狀態(tài)的調(diào)整配置、人員權(quán)限的設置，通知方式的設置，可以靈活適應公安實際工作的需要。簽到的記錄將統(tǒng)計計入人員考核結(jié)果。簽收功能還包括一些信息的反饋，以便于發(fā)送方確認信息已被簽收。 管理工作公安的管理性工作包括安全員管理、工單修訂等工作的啟動、工作記錄、狀態(tài)修改、處理方式選擇。界面如下圖所示： 響應處理在公安的響應處理過程，最重要的是進行應急響應。l 應急響應工具平臺提供響應工具的管理，包括上傳、下載等。平臺的使用人員，包括全體警員，均可以在平臺上瀏覽相關的安全知識庫，進行安全補丁、安全工具的下載，接收最新的安全公告，提高自身的安全防護能力。 業(yè)務統(tǒng)計模塊 業(yè)務統(tǒng)計分析公安綜合安全管理平臺對業(yè)務統(tǒng)計分析功能需要實現(xiàn)對安全事件、安全流程處理、管理考核、安全專項系統(tǒng)等業(yè)務進行統(tǒng)計分析，如下圖所示：具體針對以下的數(shù)據(jù)進行分析l 安全告警：依據(jù)告警時間、告警等級、處理狀態(tài)、告警類型、設備類型等屬性進行組合統(tǒng)計與分析l 安全事件：依據(jù)事件時間、事件類別、事件級別、IP地址、區(qū)域、資產(chǎn)、處理狀態(tài)、響應級別、報警等級等組合統(tǒng)計和分析。對各單位的各項安全管理工作進行統(tǒng)計分析并排名，并生成相應的統(tǒng)計排名報表。尤其對于省廳級平臺，還能夠依據(jù)公安部的考核要求對各個下級地市平臺進行考核打分，其結(jié)果還將反映到首頁中。l 用戶可自行設計報表，包括報表的頁面版式、統(tǒng)計內(nèi)容、顯示風格等。TSOC－GA關聯(lián)分析支持業(yè)務管理類和事件分析類的關聯(lián)分析。系統(tǒng)具備多種關聯(lián)分析方法和能力：l 基于規(guī)則的事件關聯(lián)系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達式和統(tǒng)計條件的關聯(lián)規(guī)則，所有日志字段都可參與關聯(lián)。l 多事件關聯(lián)通過多事件關聯(lián)，系統(tǒng)可以對符合多個規(guī)則（稱作組合規(guī)則）的事件流進行復雜事件規(guī)則匹配。系統(tǒng)能夠可視化的展示隨時間變化的安全態(tài)勢曲線，并能夠通過曲線下鉆到影響網(wǎng)絡安全整體狀態(tài)的關鍵安全事件，實現(xiàn)從宏觀到微觀的聚焦。系統(tǒng)將表征安全管理建設水平的這套層次化指標稱作關鍵管理指標，每個指標項都建立了一個針對某類安全事件的度量標準。綜合安全管理平臺監(jiān)控支持對信息的采集、信息顯示配置，同時支持顯示模板。 信息預處理管理綜合安全管理平臺提供信息預處理管理功能，對采集到的信息通過事件采集器配置信息預處理的參數(shù)、規(guī)則、條件等，具體界面如下圖所示：安全管理平臺可提供如下預處理配置：綜合安全管理平臺提供配置解析功能，通過XML解析文件將接收到的信息拆分為不同字段，并對應到安全事件字段。綜合安全管理平臺提供信息分類配置，在信息預處理時可以根據(jù)事件分類條件和對應類別進行歸類。 基本管理：流程和活動的新建、修改、刪除、查詢，流程的導入、導出。 對象管理：管理流程執(zhí)行者，包括部門（組織機構(gòu)）、角色、小組、人員。 條件管理：依據(jù)工單內(nèi)容設置判斷條件，包括時間、工單類型、關鍵字判斷。 通知提醒管理：提醒內(nèi)容、提醒方式、提醒對象。 模版管理綜合安全管理平臺模版管理提供應急預案模板、統(tǒng)計分析模板、業(yè)務考核模板的管理。l 考核模板內(nèi)容：考核內(nèi)容、考核要素、考核方法、展示方式、考核周期等。在本平臺中，以下工作與排班相關：l 簽到l 巡檢l 事件處理在多級管理結(jié)構(gòu)下，下級還能夠?qū)ε虐嘈畔⑦M行上報，便于上級查看與安排工作。平臺支持基于角色的用戶管理、授權(quán)管理、身份認證。平臺支持角色的管理包括對角色的添加、修改和刪除等操作。安全管理工作最終的執(zhí)行者是人員，而人員的安全素養(yǎng)是決定安全管理成效的重要環(huán)節(jié)，這也是國際國內(nèi)各個安全標準的基本要求。 人員基本信息的導入、導出、新建、刪除、修改等；216。系統(tǒng)也提供整體的部門組織結(jié)構(gòu)圖。資產(chǎn)管理的相關功能也包括：216。 資產(chǎn)信息核對（自動或人工方式）。知識庫管理具備級聯(lián)功能。平臺配置策略包括運行監(jiān)控類的配置要求或建議等，業(yè)務管理策略包括業(yè)務處理中的相關要求或建議，平臺安全策略包括平臺管理技術策略、平臺系統(tǒng)的邊界安全和自身安全要求等。l 其他管理類策略的制訂、編輯、導入、導出、下發(fā)等。 系統(tǒng)自動響應規(guī)則的配置/界面配置等。審計內(nèi)容包括時間、人員、IP地址、區(qū)域、部門、操作內(nèi)容、操作結(jié)果等。 接入交換管理模塊 平臺級聯(lián)管理綜合安全管理平臺提供上級安管平臺的接口，具體界面如下圖所示：平臺級聯(lián)管理實現(xiàn)如下配置和管理：216。216。 事件級聯(lián)管理安全行為的復雜性、以及公安各級安管部門專業(yè)技術能力上的差異，決定了平臺之間會有大量的協(xié)同工作，尤其體現(xiàn)在事件的分析處理上。上級可對下級上報的事件進行指定范圍的查詢，并將分析結(jié)果以其它工單形式進行反饋。在流轉(zhuǎn)過程中、過程后，在上下級平臺均可查詢工單流轉(zhuǎn)的歷史。虛擬縣級平臺的建立，簡化了地市公安局的安全管理與運維過程，有利于地市公安局快速構(gòu)建起基本的分級管理架構(gòu)。l 安全專項系統(tǒng)接口設置：包括IP、端口配置，安全認證配置等。通過6類相關接口對5大類相關數(shù)據(jù)的采集和分析，為安管平臺功能實現(xiàn)提供基礎數(shù)據(jù)。系統(tǒng)使用者通過瀏覽器登錄安全管理平臺的WEB站點即可進行各種管理操作。系統(tǒng)所需運行環(huán)境如下：平臺支持的操作系統(tǒng)系統(tǒng)需求Windows– Windows Server 2003– Windows 7– Windows 2008 Server– 最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU– 至少4GB內(nèi)存，推薦8GB以上內(nèi)存– 500GB以上磁盤空間Linux– Redhat Enterprise Linux4– Redhat Enterprise Linux5– CentOS– 最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU– 至少4GB內(nèi)存，推薦8GB以上內(nèi)存– 500GB以上磁盤空間本軟件需要運行在64位操作系統(tǒng)上。系統(tǒng)推薦使用微軟IE7/IE8，或者Mozilla Firefox10以上版本瀏覽器。只要獲得管理對象的日志樣本以及通訊協(xié)議方式，編寫一份XML格式日志解析文件，導入系統(tǒng)，即可獲得對該管理對象的日志采集能力，無需編碼。系統(tǒng)提供的范式化字段包括日志接收時間 、日志產(chǎn)生時間、日志持續(xù)時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級、原始等級、原始類型、網(wǎng)絡協(xié)議、網(wǎng)絡應用協(xié)議、設備地址、設備名稱、設備類型等，數(shù)量超過50個，使范式化后的日志詳盡而易讀，更能滿足復雜的多維度統(tǒng)計分析和審計要求。在事件分類定義上，本系統(tǒng)全面支持公安行業(yè)的事件分類定級規(guī)范。規(guī)則支持統(tǒng)計計數(shù)功能，并可以指定在統(tǒng)計時的固定和變動的事件屬性，可以關聯(lián)出達到一定統(tǒng)計規(guī)則的事件。系統(tǒng)可以為用戶展示一幅管理對象的拓撲圖，反映管理對象的網(wǎng)絡拓撲關系，并且在拓撲節(jié)點上標注出每個管理對象的日志量和告警事件量。 多維度的業(yè)務處理過程 豐富的業(yè)務流程分類TSOC－GA不但是集中監(jiān)控的平臺，同時也是集中處理的平臺。 處理維度－進行簽收、響應處理、通知、通報等事務性工作178。工作過程中的任務流轉(zhuǎn)，均通過相應的工單進行信息傳遞，工單具備豐富的屬性，并且可以方便進行查詢。因此，平臺的工作流必須是可修改的，這就是客戶化的工作。所有的任務節(jié)點，均可以配置為某一個或多個角色，也可以配置為一個或多個具體用戶，還可以基于權(quán)限進行設置處理人。通過網(wǎng)絡及服務拓撲圖，管理員可以對全網(wǎng)的資產(chǎn)進行可視化的監(jiān)控。機架視圖也具備動態(tài)更新能力，能夠?qū)崟r地顯示資產(chǎn)的運行狀態(tài)和安全狀態(tài)。系統(tǒng)在資產(chǎn)管理功能中，除了記錄資產(chǎn)的基本屬性，還維護著資產(chǎn)的安全屬性，包括CIA（Confidentiality/Integrality/Avaliablity，私密性、完整性、可用性）三種屬性。系統(tǒng)具有威脅管理功能，能夠根據(jù)資產(chǎn)的安全事件信息自動計算出資產(chǎn)的威脅值。系統(tǒng)能夠形象地展示出安全域的風險矩陣，從可能性和影響性兩個角度標注安全域中風險的分布情況，通過風險矩陣法，指導管理員進行風險分析，采取相應的風險處置對策。 地址熵態(tài)勢分析系統(tǒng)通過對收集到的一段時間內(nèi)的海量安全事件的報送IP地址進行熵值計算，得到這些安全事件報送IP聚合度的變化幅度，以此來刻畫這段時間內(nèi)這些安全事件所屬網(wǎng)絡的安全狀態(tài)，并預測下一步的整體安全走勢。系統(tǒng)建立了一套動態(tài)的多維威脅指標體系，通過帕累托分析法，協(xié)助管理員對當前的威脅成因進行辨別，實現(xiàn)對關鍵威脅因素從宏觀到中觀，再到微觀的層層下鉆，直至定位到導致威脅態(tài)勢異常的關鍵安全事件。系統(tǒng)能夠可視化的展示出每個安全域或業(yè)務系統(tǒng)隨時間變化的安全管理評估曲線，并能夠進行環(huán)比分析，以及跨安全域或業(yè)務系統(tǒng)的同比分析。系統(tǒng)還內(nèi)置了一套報表編輯器，用戶可以自行設計報表，包括報表的頁面版式、統(tǒng)計內(nèi)容、顯示風格等。TSOC－GA支持三級甚至四級系統(tǒng)互聯(lián)，并在多級架構(gòu)下實現(xiàn)了以下重要的運維相關功能：l 多級系統(tǒng)間的認證注冊功能l 事件的相互傳遞機制l 整體安全狀態(tài)的上報l 上下級之間的工單流轉(zhuǎn)l 安全事件的協(xié)同處理l 知識庫(包括策略庫、模板庫等)的同步功能l 級聯(lián)系統(tǒng)的狀態(tài)監(jiān)控能力l 考核數(shù)據(jù)的上報、分析能力l 人員信息的上報與同步功能 虛擬下級TSOCGA支持在地市平臺中建立多個虛擬縣級平臺，使用縣級管理帳號登錄地市平臺后仍然能夠完成基本的安全管理工作，例如在所屬縣的范圍內(nèi)進行工單處理、查閱通知通報、進行技術交流等。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個方面，如下表所示：信息采集– 日志采集器及性能采集器與管理中心之間支持加密通訊– 日志采集器支持存儲轉(zhuǎn)發(fā)、斷點續(xù)傳信息存儲– 存儲原始安全事件– 安全事件加密混淆存儲，防止非法訪問和篡改– 單條安全事件不能修改、刪除– 支持安全事件定期備份系統(tǒng)訪。 對用戶網(wǎng)絡和業(yè)務影響最小系統(tǒng)在實現(xiàn)對用戶網(wǎng)絡中的IT設施進行集中日志采集的同時，采取多種技術手段，力求對用戶網(wǎng)絡和業(yè)務的影響最小化。支持公安部頒布的各類安全管理、運行維護考核指標，支持量化計算，支持圖形化的排名分析，支持多級平臺下的匯總考核分析報告，極大地降低了公安日常管理考核的工作量。 豐富靈活的報表報告 可擴展的報表內(nèi)容出具報表報告是安全管理平臺的重要用途，系