【正文】 、影響重大的安全事件通過Web的方式發(fā)布出去。公安行業(yè)專版完全遵照公安部《公安信息通信網(wǎng)綜合安全管理平臺技術(shù)規(guī)范（試行）》，充分結(jié)合了公安行業(yè)業(yè)務(wù)特性，并有效發(fā)揮了啟明星辰在安全管理平臺領(lǐng)域的技術(shù)專長，體現(xiàn)了公安信息安全管理工作中“集中監(jiān)控、統(tǒng)一管理、全面分析、快速響應(yīng)、規(guī)范運(yùn)行”的管理思想，能夠顯著提升公安信息安全管理工作的效率與質(zhì)量。 系統(tǒng)組成TSOC－GA包括管理中心、日志采集器、性能采集器和日志代理四個部件。管理中心也可以匯聚來自日志采集器、日志代理和性能采集器的日志信息。l 性能采集器 性能采集器可以安裝并獨(dú)立運(yùn)行在一臺服務(wù)器上，也可以與日志采集器集成安裝和運(yùn)行一臺服務(wù)器上，實現(xiàn)對異構(gòu)管理對象的性能信息采集，包括可用性信息、運(yùn)行狀態(tài)信息、性能信息等，功能同管理中心的性能采集模塊，用以輔助管理中心解決分布式性能數(shù)據(jù)采集的問題。目前，日志代理支持Windows操作系統(tǒng)，主要用于采集Windows 操作系統(tǒng)及其服務(wù)與應(yīng)用的日志。核心處理層是實現(xiàn)安全管理業(yè)務(wù)的核心層，各類安全工作人員完成所授權(quán)的工作，完成對事件與狀態(tài)的處理，完成平臺自身的管理，實現(xiàn)公安信息網(wǎng)安全管理制度的全面落實。 平臺功能描述 集中展示模塊 安全主頁用戶登錄即可進(jìn)入安全首頁。l 基于圖表的信息顯示系統(tǒng)整體安全狀態(tài)、專項系統(tǒng)事件的發(fā)展趨勢，均以直觀的圖形化方式顯示，安全首頁中采用雷達(dá)圖、趨勢圖、柱狀圖、儀表圖等多種圖表樣式，滿足美觀、直觀的監(jiān)控要求。 個人工作臺工作臺為用戶提供了一個從用戶自身業(yè)務(wù)需要出發(fā)使用本系統(tǒng)的快速入口，通過預(yù)先配置，工作臺集成了當(dāng)前登錄用戶有關(guān)的日常工作活動，為其提供一站式管理功能。 安全門戶系統(tǒng)提供免登錄的服務(wù)入口，能夠為廣大公安干警提供安全信息與服務(wù)支持。此外，TSOC－GA還提供可獨(dú)立部署的日志采集器，每個采集器都能對日志進(jìn)行采集、范式化、過濾和歸并，實現(xiàn)分布式日志采集。u 可以提供對重大安全事件和違規(guī)事件提供報警和業(yè)務(wù)處理入口。u 可以支持對事件源的定位功能。告警信息可查詢，可追蹤和統(tǒng)計分析。系統(tǒng)提供快捷的告警響應(yīng)處理流程，可記錄告警信息的處理過程和處理結(jié)果，并能夠與工單管理模塊聯(lián)動。具體界面如下圖所示：安全預(yù)警功能包括：1. 安全預(yù)警監(jiān)控對本平臺產(chǎn)生的最新預(yù)警信息內(nèi)容進(jìn)行監(jiān)控展示。系統(tǒng)支持通過SNMP、TELNET、SSH、SSHODBC、JMX、協(xié)議仿真等方式對IT資產(chǎn)進(jìn)行性能與可用性信息的采集。 設(shè)備性能狀態(tài)監(jiān)控系統(tǒng)能夠?qū)Ω鞣N不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)的性能與狀態(tài)進(jìn)行實時監(jiān)控，具有豐富的監(jiān)控指標(biāo)。 平臺運(yùn)行監(jiān)控綜合安全管理平臺提供平臺狀態(tài)監(jiān)控功能，完成對平臺自身狀態(tài)信息、與部運(yùn)維平臺等連通情況、平臺目前操作人員信息的監(jiān)控展示，如下圖所示：平臺自身狀態(tài)信息包括系統(tǒng)當(dāng)前CPU、內(nèi)存、磁盤空間、網(wǎng)卡流量等、數(shù)據(jù)庫使用狀態(tài)，上/下級平臺在線狀態(tài)、平臺模塊運(yùn)行狀態(tài)、當(dāng)前登錄用戶信息、當(dāng)前上線人數(shù)、當(dāng)前的時間等進(jìn)行監(jiān)控。系統(tǒng)的通知通報監(jiān)控具備實時更新功能，能夠?qū)π掳l(fā)布的信息進(jìn)行及時呈現(xiàn)。系統(tǒng)能夠形象地展示出安全域的風(fēng)險矩陣，從可能性和影響性兩個角度標(biāo)注安全域中風(fēng)險的分布情況，通過風(fēng)險矩陣法，指導(dǎo)管理員進(jìn)行風(fēng)險分析，采取相應(yīng)的風(fēng)險處置對策。拓?fù)鋱D具備動態(tài)更新能力，能夠?qū)崟r地顯示資產(chǎn)的運(yùn)行狀態(tài)和安全狀態(tài)，能夠方便地鏈接到其他功能模塊。 流程啟動：支持信息預(yù)處理自動啟動流程，支持人工啟動流程。 處理方式：手動、自動、轉(zhuǎn)辦、委托處理，支持附件上傳。 通知提醒：人工和自動提醒工作和事件，提醒內(nèi)容包括內(nèi)容、時間、重要程度，提醒方式包括手機(jī)短信、郵件、界面提示。工作流中間件能夠以圖形化的方式進(jìn)行流程節(jié)點的增刪、狀態(tài)的調(diào)整配置、人員權(quán)限的設(shè)置，通知方式的設(shè)置，可以靈活適應(yīng)公安實際工作的需要。簽到的記錄將統(tǒng)計計入人員考核結(jié)果。簽收功能還包括一些信息的反饋，以便于發(fā)送方確認(rèn)信息已被簽收。 管理工作公安的管理性工作包括安全員管理、工單修訂等工作的啟動、工作記錄、狀態(tài)修改、處理方式選擇。界面如下圖所示： 響應(yīng)處理在公安的響應(yīng)處理過程，最重要的是進(jìn)行應(yīng)急響應(yīng)。l 應(yīng)急響應(yīng)工具平臺提供響應(yīng)工具的管理，包括上傳、下載等。平臺的使用人員，包括全體警員，均可以在平臺上瀏覽相關(guān)的安全知識庫，進(jìn)行安全補(bǔ)丁、安全工具的下載，接收最新的安全公告，提高自身的安全防護(hù)能力。 業(yè)務(wù)統(tǒng)計模塊 業(yè)務(wù)統(tǒng)計分析公安綜合安全管理平臺對業(yè)務(wù)統(tǒng)計分析功能需要實現(xiàn)對安全事件、安全流程處理、管理考核、安全專項系統(tǒng)等業(yè)務(wù)進(jìn)行統(tǒng)計分析，如下圖所示：具體針對以下的數(shù)據(jù)進(jìn)行分析l 安全告警：依據(jù)告警時間、告警等級、處理狀態(tài)、告警類型、設(shè)備類型等屬性進(jìn)行組合統(tǒng)計與分析l 安全事件：依據(jù)事件時間、事件類別、事件級別、IP地址、區(qū)域、資產(chǎn)、處理狀態(tài)、響應(yīng)級別、報警等級等組合統(tǒng)計和分析。對各單位的各項安全管理工作進(jìn)行統(tǒng)計分析并排名，并生成相應(yīng)的統(tǒng)計排名報表。尤其對于省廳級平臺，還能夠依據(jù)公安部的考核要求對各個下級地市平臺進(jìn)行考核打分，其結(jié)果還將反映到首頁中。l 用戶可自行設(shè)計報表，包括報表的頁面版式、統(tǒng)計內(nèi)容、顯示風(fēng)格等。TSOC－GA關(guān)聯(lián)分析支持業(yè)務(wù)管理類和事件分析類的關(guān)聯(lián)分析。系統(tǒng)具備多種關(guān)聯(lián)分析方法和能力：l 基于規(guī)則的事件關(guān)聯(lián)系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式和統(tǒng)計條件的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。l 多事件關(guān)聯(lián)通過多事件關(guān)聯(lián)，系統(tǒng)可以對符合多個規(guī)則（稱作組合規(guī)則）的事件流進(jìn)行復(fù)雜事件規(guī)則匹配。系統(tǒng)能夠可視化的展示隨時間變化的安全態(tài)勢曲線，并能夠通過曲線下鉆到影響網(wǎng)絡(luò)安全整體狀態(tài)的關(guān)鍵安全事件，實現(xiàn)從宏觀到微觀的聚焦。系統(tǒng)將表征安全管理建設(shè)水平的這套層次化指標(biāo)稱作關(guān)鍵管理指標(biāo)，每個指標(biāo)項都建立了一個針對某類安全事件的度量標(biāo)準(zhǔn)。綜合安全管理平臺監(jiān)控支持對信息的采集、信息顯示配置，同時支持顯示模板。 信息預(yù)處理管理綜合安全管理平臺提供信息預(yù)處理管理功能，對采集到的信息通過事件采集器配置信息預(yù)處理的參數(shù)、規(guī)則、條件等，具體界面如下圖所示：安全管理平臺可提供如下預(yù)處理配置：綜合安全管理平臺提供配置解析功能，通過XML解析文件將接收到的信息拆分為不同字段，并對應(yīng)到安全事件字段。綜合安全管理平臺提供信息分類配置，在信息預(yù)處理時可以根據(jù)事件分類條件和對應(yīng)類別進(jìn)行歸類。 基本管理：流程和活動的新建、修改、刪除、查詢，流程的導(dǎo)入、導(dǎo)出。 對象管理：管理流程執(zhí)行者，包括部門（組織機(jī)構(gòu)）、角色、小組、人員。 條件管理：依據(jù)工單內(nèi)容設(shè)置判斷條件，包括時間、工單類型、關(guān)鍵字判斷。 通知提醒管理：提醒內(nèi)容、提醒方式、提醒對象。 模版管理綜合安全管理平臺模版管理提供應(yīng)急預(yù)案模板、統(tǒng)計分析模板、業(yè)務(wù)考核模板的管理。l 考核模板內(nèi)容：考核內(nèi)容、考核要素、考核方法、展示方式、考核周期等。在本平臺中，以下工作與排班相關(guān)：l 簽到l 巡檢l 事件處理在多級管理結(jié)構(gòu)下，下級還能夠?qū)ε虐嘈畔⑦M(jìn)行上報，便于上級查看與安排工作。平臺支持基于角色的用戶管理、授權(quán)管理、身份認(rèn)證。平臺支持角色的管理包括對角色的添加、修改和刪除等操作。安全管理工作最終的執(zhí)行者是人員，而人員的安全素養(yǎng)是決定安全管理成效的重要環(huán)節(jié)，這也是國際國內(nèi)各個安全標(biāo)準(zhǔn)的基本要求。 人員基本信息的導(dǎo)入、導(dǎo)出、新建、刪除、修改等；216。系統(tǒng)也提供整體的部門組織結(jié)構(gòu)圖。資產(chǎn)管理的相關(guān)功能也包括：216。 資產(chǎn)信息核對（自動或人工方式）。知識庫管理具備級聯(lián)功能。平臺配置策略包括運(yùn)行監(jiān)控類的配置要求或建議等，業(yè)務(wù)管理策略包括業(yè)務(wù)處理中的相關(guān)要求或建議，平臺安全策略包括平臺管理技術(shù)策略、平臺系統(tǒng)的邊界安全和自身安全要求等。l 其他管理類策略的制訂、編輯、導(dǎo)入、導(dǎo)出、下發(fā)等。 系統(tǒng)自動響應(yīng)規(guī)則的配置/界面配置等。審計內(nèi)容包括時間、人員、IP地址、區(qū)域、部門、操作內(nèi)容、操作結(jié)果等。 接入交換管理模塊 平臺級聯(lián)管理綜合安全管理平臺提供上級安管平臺的接口，具體界面如下圖所示：平臺級聯(lián)管理實現(xiàn)如下配置和管理：216。216。 事件級聯(lián)管理安全行為的復(fù)雜性、以及公安各級安管部門專業(yè)技術(shù)能力上的差異，決定了平臺之間會有大量的協(xié)同工作，尤其體現(xiàn)在事件的分析處理上。上級可對下級上報的事件進(jìn)行指定范圍的查詢，并將分析結(jié)果以其它工單形式進(jìn)行反饋。在流轉(zhuǎn)過程中、過程后，在上下級平臺均可查詢工單流轉(zhuǎn)的歷史。虛擬縣級平臺的建立，簡化了地市公安局的安全管理與運(yùn)維過程，有利于地市公安局快速構(gòu)建起基本的分級管理架構(gòu)。l 安全專項系統(tǒng)接口設(shè)置：包括IP、端口配置，安全認(rèn)證配置等。通過6類相關(guān)接口對5大類相關(guān)數(shù)據(jù)的采集和分析，為安管平臺功能實現(xiàn)提供基礎(chǔ)數(shù)據(jù)。系統(tǒng)使用者通過瀏覽器登錄安全管理平臺的WEB站點即可進(jìn)行各種管理操作。系統(tǒng)所需運(yùn)行環(huán)境如下：平臺支持的操作系統(tǒng)系統(tǒng)需求Windows– Windows Server 2003– Windows 7– Windows 2008 Server– 最低Intel酷睿雙核CPU，推薦使用Intel 至強(qiáng)4核以上CPU– 至少4GB內(nèi)存，推薦8GB以上內(nèi)存– 500GB以上磁盤空間Linux– Redhat Enterprise Linux4– Redhat Enterprise Linux5– CentOS– 最低Intel酷睿雙核CPU，推薦使用Intel 至強(qiáng)4核以上CPU– 至少4GB內(nèi)存，推薦8GB以上內(nèi)存– 500GB以上磁盤空間本軟件需要運(yùn)行在64位操作系統(tǒng)上。系統(tǒng)推薦使用微軟IE7/IE8，或者M(jìn)ozilla Firefox10以上版本瀏覽器。只要獲得管理對象的日志樣本以及通訊協(xié)議方式，編寫一份XML格式日志解析文件，導(dǎo)入系統(tǒng)，即可獲得對該管理對象的日志采集能力，無需編碼。系統(tǒng)提供的范式化字段包括日志接收時間 、日志產(chǎn)生時間、日志持續(xù)時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級、原始等級、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等，數(shù)量超過50個，使范式化后的日志詳盡而易讀，更能滿足復(fù)雜的多維度統(tǒng)計分析和審計要求。在事件分類定義上，本系統(tǒng)全面支持公安行業(yè)的事件分類定級規(guī)范。規(guī)則支持統(tǒng)計計數(shù)功能，并可以指定在統(tǒng)計時的固定和變動的事件屬性，可以關(guān)聯(lián)出達(dá)到一定統(tǒng)計規(guī)則的事件。系統(tǒng)可以為用戶展示一幅管理對象的拓?fù)鋱D，反映管理對象的網(wǎng)絡(luò)拓?fù)潢P(guān)系，并且在拓?fù)涔?jié)點上標(biāo)注出每個管理對象的日志量和告警事件量。 多維度的業(yè)務(wù)處理過程 豐富的業(yè)務(wù)流程分類TSOC－GA不但是集中監(jiān)控的平臺，同時也是集中處理的平臺。 處理維度－進(jìn)行簽收、響應(yīng)處理、通知、通報等事務(wù)性工作178。工作過程中的任務(wù)流轉(zhuǎn)，均通過相應(yīng)的工單進(jìn)行信息傳遞，工單具備豐富的屬性，并且可以方便進(jìn)行查詢。因此，平臺的工作流必須是可修改的，這就是客戶化的工作。所有的任務(wù)節(jié)點，均可以配置為某一個或多個角色，也可以配置為一個或多個具體用戶，還可以基于權(quán)限進(jìn)行設(shè)置處理人。通過網(wǎng)絡(luò)及服務(wù)拓?fù)鋱D，管理員可以對全網(wǎng)的資產(chǎn)進(jìn)行可視化的監(jiān)控。機(jī)架視圖也具備動態(tài)更新能力，能夠?qū)崟r地顯示資產(chǎn)的運(yùn)行狀態(tài)和安全狀態(tài)。系統(tǒng)在資產(chǎn)管理功能中，除了記錄資產(chǎn)的基本屬性，還維護(hù)著資產(chǎn)的安全屬性，包括CIA（Confidentiality/Integrality/Avaliablity，私密性、完整性、可用性）三種屬性。系統(tǒng)具有威脅管理功能，能夠根據(jù)資產(chǎn)的安全事件信息自動計算出資產(chǎn)的威脅值。系統(tǒng)能夠形象地展示出安全域的風(fēng)險矩陣，從可能性和影響性兩個角度標(biāo)注安全域中風(fēng)險的分布情況，通過風(fēng)險矩陣法，指導(dǎo)管理員進(jìn)行風(fēng)險分析，采取相應(yīng)的風(fēng)險處置對策。 地址熵態(tài)勢分析系統(tǒng)通過對收集到的一段時間內(nèi)的海量安全事件的報送IP地址進(jìn)行熵值計算，得到這些安全事件報送IP聚合度的變化幅度，以此來刻畫這段時間內(nèi)這些安全事件所屬網(wǎng)絡(luò)的安全狀態(tài)，并預(yù)測下一步的整體安全走勢。系統(tǒng)建立了一套動態(tài)的多維威脅指標(biāo)體系，通過帕累托分析法，協(xié)助管理員對當(dāng)前的威脅成因進(jìn)行辨別，實現(xiàn)對關(guān)鍵威脅因素從宏觀到中觀，再到微觀的層層下鉆，直至定位到導(dǎo)致威脅態(tài)勢異常的關(guān)鍵安全事件。系統(tǒng)能夠可視化的展示出每個安全域或業(yè)務(wù)系統(tǒng)隨時間變化的安全管理評估曲線，并能夠進(jìn)行環(huán)比分析，以及跨安全域或業(yè)務(wù)系統(tǒng)的同比分析。系統(tǒng)還內(nèi)置了一套報表編輯器，用戶可以自行設(shè)計報表，包括報表的頁面版式、統(tǒng)計內(nèi)容、顯示風(fēng)格等。TSOC－GA支持三級甚至四級系統(tǒng)互聯(lián)，并在多級架構(gòu)下實現(xiàn)了以下重要的運(yùn)維相關(guān)功能：l 多級系統(tǒng)間的認(rèn)證注冊功能l 事件的相互傳遞機(jī)制l 整體安全狀態(tài)的上報l 上下級之間的工單流轉(zhuǎn)l 安全事件的協(xié)同處理l 知識庫(包括策略庫、模板庫等)的同步功能l 級聯(lián)系統(tǒng)的狀態(tài)監(jiān)控能力l 考核數(shù)據(jù)的上報、分析能力l 人員信息的上報與同步功能 虛擬下級TSOCGA支持在地市平臺中建立多個虛擬縣級平臺，使用縣級管理帳號登錄地市平臺后仍然能夠完成基本的安全管理工作，例如在所屬縣的范圍內(nèi)進(jìn)行工單處理、查閱通知通報、進(jìn)行技術(shù)交流等。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個方面，如下表所示：信息采集– 日志采集器及性能采集器與管理中心之間支持加密通訊– 日志采集器支持存儲轉(zhuǎn)發(fā)、斷點續(xù)傳信息存儲– 存儲原始安全事件– 安全事件加密混淆存儲，防止非法訪問和篡改– 單條安全事件不能修改、刪除– 支持安全事件定期備份系統(tǒng)訪。 對用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小系統(tǒng)在實現(xiàn)對用戶網(wǎng)絡(luò)中的IT設(shè)施進(jìn)行集中日志采集的同時，采取多種技術(shù)手段，力求對用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。支持公安部頒布的各類安全管理、運(yùn)行維護(hù)考核指標(biāo)，支持量化計算，支持圖形化的排名分析，支持多級平臺下的匯總考核分析報告，極大地降低了公安日常管理考核的工作量。 豐富靈活的報表報告 可擴(kuò)展的報表內(nèi)容出具報表報告是安全管理平臺的重要用途，系