【正文】 單的附帶的相關(guān)屬性信息保持不變。 安全專項系統(tǒng)管理綜合安全管理平臺提供與各安全專項系統(tǒng)的接口管理。如下圖所示，顯示了系統(tǒng)的一個單級分布式部署場景。此外，產(chǎn)品的功能模塊都是可以選擇和組合的。 詳盡的日志范式化與事件分類系統(tǒng)對收集的各種日志進行范式化處理，將各種不同表達方式的日志轉(zhuǎn)換成的統(tǒng)一的描述形式。系統(tǒng)具備多種關(guān)聯(lián)分析方法和能力：l 基于規(guī)則的事件關(guān)聯(lián)系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達式和統(tǒng)計條件的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。針對安全事件，用戶可以對其源目的IP地址進行追蹤，并在世界地圖上標(biāo)注出來。其靈活性體現(xiàn)在：l 業(yè)務(wù)過程模板化：對于公安最常用的簽到、簽收、巡檢、審核、通知、通報、歸檔、響應(yīng)處理過程，系統(tǒng)均配置為相應(yīng)的流程節(jié)點與流程模板，并提供方便易用的操作界面。所有的修改工作都是在界面上配置而成，靈活方便。系統(tǒng)還提供了機房機架視圖，將客戶資產(chǎn)設(shè)備根據(jù)實際機架擺放可視化地展示出設(shè)備的物理擺放。系統(tǒng)具有脆弱性管理功能，能夠?qū)胭Y產(chǎn)的弱點信息，并計算資產(chǎn)/安全域/業(yè)務(wù)系統(tǒng)的脆弱性值。系統(tǒng)為用戶提供了兩個維度的態(tài)勢感知能力。系統(tǒng)通過對一組表征某個安全域或者業(yè)務(wù)系統(tǒng)安全管理建設(shè)水平的層次化指標(biāo)的計算，得到該安全域或者業(yè)務(wù)系統(tǒng)的安全管理建設(shè)水平評級，以此來表明該安全域或業(yè)務(wù)系統(tǒng)的信息安全管理體系的建設(shè)成熟度。支持公安部頒布的各類安全管理、運行維護考核指標(biāo)，支持量化計算，支持圖形化的排名分析，支持多級平臺下的匯總考核分析報告，極大地降低了公安日常管理考核的工作量。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個方面，如下表所示：信息采集– 日志采集器及性能采集器與管理中心之間支持加密通訊– 日志采集器支持存儲轉(zhuǎn)發(fā)、斷點續(xù)傳信息存儲– 存儲原始安全事件– 安全事件加密混淆存儲，防止非法訪問和篡改– 單條安全事件不能修改、刪除– 支持安全事件定期備份系統(tǒng)訪。系統(tǒng)還內(nèi)置了一套報表編輯器，用戶可以自行設(shè)計報表，包括報表的頁面版式、統(tǒng)計內(nèi)容、顯示風(fēng)格等。系統(tǒng)建立了一套動態(tài)的多維威脅指標(biāo)體系，通過帕累托分析法，協(xié)助管理員對當(dāng)前的威脅成因進行辨別，實現(xiàn)對關(guān)鍵威脅因素從宏觀到中觀，再到微觀的層層下鉆，直至定位到導(dǎo)致威脅態(tài)勢異常的關(guān)鍵安全事件。系統(tǒng)能夠形象地展示出安全域的風(fēng)險矩陣，從可能性和影響性兩個角度標(biāo)注安全域中風(fēng)險的分布情況，通過風(fēng)險矩陣法，指導(dǎo)管理員進行風(fēng)險分析，采取相應(yīng)的風(fēng)險處置對策。系統(tǒng)在資產(chǎn)管理功能中，除了記錄資產(chǎn)的基本屬性，還維護著資產(chǎn)的安全屬性，包括CIA（Confidentiality/Integrality/Avaliablity，私密性、完整性、可用性）三種屬性。通過網(wǎng)絡(luò)及服務(wù)拓撲圖，管理員可以對全網(wǎng)的資產(chǎn)進行可視化的監(jiān)控。因此，平臺的工作流必須是可修改的，這就是客戶化的工作。 處理維度－進行簽收、響應(yīng)處理、通知、通報等事務(wù)性工作178。系統(tǒng)可以為用戶展示一幅管理對象的拓撲圖，反映管理對象的網(wǎng)絡(luò)拓撲關(guān)系，并且在拓撲節(jié)點上標(biāo)注出每個管理對象的日志量和告警事件量。在事件分類定義上，本系統(tǒng)全面支持公安行業(yè)的事件分類定級規(guī)范。只要獲得管理對象的日志樣本以及通訊協(xié)議方式，編寫一份XML格式日志解析文件，導(dǎo)入系統(tǒng)，即可獲得對該管理對象的日志采集能力，無需編碼。系統(tǒng)所需運行環(huán)境如下：平臺支持的操作系統(tǒng)系統(tǒng)需求Windows– Windows Server 2003– Windows 7– Windows 2008 Server– 最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU– 至少4GB內(nèi)存，推薦8GB以上內(nèi)存– 500GB以上磁盤空間Linux– Redhat Enterprise Linux4– Redhat Enterprise Linux5– CentOS– 最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU– 至少4GB內(nèi)存，推薦8GB以上內(nèi)存– 500GB以上磁盤空間本軟件需要運行在64位操作系統(tǒng)上。通過6類相關(guān)接口對5大類相關(guān)數(shù)據(jù)的采集和分析，為安管平臺功能實現(xiàn)提供基礎(chǔ)數(shù)據(jù)。虛擬縣級平臺的建立，簡化了地市公安局的安全管理與運維過程，有利于地市公安局快速構(gòu)建起基本的分級管理架構(gòu)。上級可對下級上報的事件進行指定范圍的查詢，并將分析結(jié)果以其它工單形式進行反饋。216。審計內(nèi)容包括時間、人員、IP地址、區(qū)域、部門、操作內(nèi)容、操作結(jié)果等。l 其他管理類策略的制訂、編輯、導(dǎo)入、導(dǎo)出、下發(fā)等。知識庫管理具備級聯(lián)功能。資產(chǎn)管理的相關(guān)功能也包括：216。 人員基本信息的導(dǎo)入、導(dǎo)出、新建、刪除、修改等；216。平臺支持角色的管理包括對角色的添加、修改和刪除等操作。在本平臺中，以下工作與排班相關(guān)：l 簽到l 巡檢l 事件處理在多級管理結(jié)構(gòu)下，下級還能夠?qū)ε虐嘈畔⑦M行上報，便于上級查看與安排工作。 模版管理綜合安全管理平臺模版管理提供應(yīng)急預(yù)案模板、統(tǒng)計分析模板、業(yè)務(wù)考核模板的管理。 條件管理：依據(jù)工單內(nèi)容設(shè)置判斷條件，包括時間、工單類型、關(guān)鍵字判斷。 基本管理：流程和活動的新建、修改、刪除、查詢，流程的導(dǎo)入、導(dǎo)出。 信息預(yù)處理管理綜合安全管理平臺提供信息預(yù)處理管理功能，對采集到的信息通過事件采集器配置信息預(yù)處理的參數(shù)、規(guī)則、條件等，具體界面如下圖所示：安全管理平臺可提供如下預(yù)處理配置：綜合安全管理平臺提供配置解析功能，通過XML解析文件將接收到的信息拆分為不同字段，并對應(yīng)到安全事件字段。系統(tǒng)將表征安全管理建設(shè)水平的這套層次化指標(biāo)稱作關(guān)鍵管理指標(biāo)，每個指標(biāo)項都建立了一個針對某類安全事件的度量標(biāo)準(zhǔn)。l 多事件關(guān)聯(lián)通過多事件關(guān)聯(lián)，系統(tǒng)可以對符合多個規(guī)則（稱作組合規(guī)則）的事件流進行復(fù)雜事件規(guī)則匹配。TSOC－GA關(guān)聯(lián)分析支持業(yè)務(wù)管理類和事件分析類的關(guān)聯(lián)分析。尤其對于省廳級平臺，還能夠依據(jù)公安部的考核要求對各個下級地市平臺進行考核打分，其結(jié)果還將反映到首頁中。 業(yè)務(wù)統(tǒng)計模塊 業(yè)務(wù)統(tǒng)計分析公安綜合安全管理平臺對業(yè)務(wù)統(tǒng)計分析功能需要實現(xiàn)對安全事件、安全流程處理、管理考核、安全專項系統(tǒng)等業(yè)務(wù)進行統(tǒng)計分析，如下圖所示：具體針對以下的數(shù)據(jù)進行分析l 安全告警：依據(jù)告警時間、告警等級、處理狀態(tài)、告警類型、設(shè)備類型等屬性進行組合統(tǒng)計與分析l 安全事件：依據(jù)事件時間、事件類別、事件級別、IP地址、區(qū)域、資產(chǎn)、處理狀態(tài)、響應(yīng)級別、報警等級等組合統(tǒng)計和分析。l 應(yīng)急響應(yīng)工具平臺提供響應(yīng)工具的管理，包括上傳、下載等。 管理工作公安的管理性工作包括安全員管理、工單修訂等工作的啟動、工作記錄、狀態(tài)修改、處理方式選擇。簽到的記錄將統(tǒng)計計入人員考核結(jié)果。 通知提醒：人工和自動提醒工作和事件，提醒內(nèi)容包括內(nèi)容、時間、重要程度，提醒方式包括手機短信、郵件、界面提示。 流程啟動：支持信息預(yù)處理自動啟動流程，支持人工啟動流程。系統(tǒng)能夠形象地展示出安全域的風(fēng)險矩陣，從可能性和影響性兩個角度標(biāo)注安全域中風(fēng)險的分布情況，通過風(fēng)險矩陣法，指導(dǎo)管理員進行風(fēng)險分析，采取相應(yīng)的風(fēng)險處置對策。 平臺運行監(jiān)控綜合安全管理平臺提供平臺狀態(tài)監(jiān)控功能，完成對平臺自身狀態(tài)信息、與部運維平臺等連通情況、平臺目前操作人員信息的監(jiān)控展示，如下圖所示：平臺自身狀態(tài)信息包括系統(tǒng)當(dāng)前CPU、內(nèi)存、磁盤空間、網(wǎng)卡流量等、數(shù)據(jù)庫使用狀態(tài)，上/下級平臺在線狀態(tài)、平臺模塊運行狀態(tài)、當(dāng)前登錄用戶信息、當(dāng)前上線人數(shù)、當(dāng)前的時間等進行監(jiān)控。系統(tǒng)支持通過SNMP、TELNET、SSH、SSHODBC、JMX、協(xié)議仿真等方式對IT資產(chǎn)進行性能與可用性信息的采集。系統(tǒng)提供快捷的告警響應(yīng)處理流程，可記錄告警信息的處理過程和處理結(jié)果，并能夠與工單管理模塊聯(lián)動。u 可以支持對事件源的定位功能。此外，TSOC－GA還提供可獨立部署的日志采集器，每個采集器都能對日志進行采集、范式化、過濾和歸并，實現(xiàn)分布式日志采集。 個人工作臺工作臺為用戶提供了一個從用戶自身業(yè)務(wù)需要出發(fā)使用本系統(tǒng)的快速入口，通過預(yù)先配置，工作臺集成了當(dāng)前登錄用戶有關(guān)的日常工作活動，為其提供一站式管理功能。 平臺功能描述 集中展示模塊 安全主頁用戶登錄即可進入安全首頁。目前，日志代理支持Windows操作系統(tǒng)，主要用于采集Windows 操作系統(tǒng)及其服務(wù)與應(yīng)用的日志。管理中心也可以匯聚來自日志采集器、日志代理和性能采集器的日志信息。公安行業(yè)專版完全遵照公安部《公安信息通信網(wǎng)綜合安全管理平臺技術(shù)規(guī)范（試行）》，充分結(jié)合了公安行業(yè)業(yè)務(wù)特性，并有效發(fā)揮了啟明星辰在安全管理平臺領(lǐng)域的技術(shù)專長，體現(xiàn)了公安信息安全管理工作中“集中監(jiān)控、統(tǒng)一管理、全面分析、快速響應(yīng)、規(guī)范運行”的管理思想，能夠顯著提升公安信息安全管理工作的效率與質(zhì)量。建設(shè)完備的安全管理流程，實現(xiàn)自動化工單、案例、知識庫的自動管理和維護實時自動化監(jiān)控，并提供高品質(zhì)的服務(wù)，降低安全風(fēng)險以提高IT 系統(tǒng)的可用性。對于‘一機兩用’這類公安的專項系統(tǒng)，必須能夠在事件發(fā)生的第一時間定位到所屬區(qū)域、責(zé)任人，并且能夠以便捷的通知方式（例如短信、郵件、網(wǎng)上通知）快速下發(fā)信息，明確處理人，以工單流轉(zhuǎn)的方式進行及時處理。l 缺乏明確的人員職責(zé)定位與考核標(biāo)準(zhǔn)，安全告警不能落實到具體責(zé)任人，安全事件處理不能落實到任務(wù)處理人，難以形成高效的績效考核機制。7) 可管理性。3) 開放性。活動之間不僅有嚴(yán)格的先后順序限定，而且活動的內(nèi)容、方式、責(zé)任等也都必須有明確的安排和界定，以使不同活動在不同崗位角色之間進行轉(zhuǎn)手交接成為可能。3 術(shù)語和定義下列術(shù)語和定義適用于本方案。l ISO/IEC 17799：2000信息技術(shù) 信息安全管理實用規(guī)則。在這種大的形勢下，網(wǎng)絡(luò)安全的重要性被提到了前所未有的高度。因為信息泄密、信息遭受破壞等帶來的損失越來越令人觸目驚心。l GB/T 信息系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第2部分：安全體系結(jié)構(gòu)。l GB/T202712006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求。業(yè)務(wù)流程業(yè)務(wù)流程是為達到特定的價值目標(biāo)而由不同的人協(xié)作完成的一系列活動。網(wǎng)絡(luò)的安全對所有用戶是透明的，操作的人機界面必須達到安全、簡捷、方便，同時不影響現(xiàn)有網(wǎng)絡(luò)安全的功能和系統(tǒng)的正常運行。平臺所提供的事件監(jiān)控、處理流程，必須符合公安行業(yè)的實際工作特性與工作過程。l 安全告警信息沒有與具體的設(shè)備資產(chǎn)想關(guān)聯(lián)，發(fā)現(xiàn)告警后無法定位和處理，比如病毒信息和IDS安全告警信息，因為沒有和具體的設(shè)備相關(guān)聯(lián)，無法及時定位和處理；l 網(wǎng)絡(luò)中各安全設(shè)備基本采用各自分散的管理模式，而零散的安全信息很難形成集中性的、對決策、判斷及處理有重要意義的數(shù)據(jù)l 沒有明確的安全監(jiān)控、處理、安全管理流程和上報工作流程，缺乏有效的事件處理機制，當(dāng)產(chǎn)生安全事件時，相關(guān)人員按照自己的想法和理解進行處理，可能會造成更大的損失和影響；l 缺乏全網(wǎng)統(tǒng)一的安全狀況實時監(jiān)控了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段。 事件定位處理在所的監(jiān)控的設(shè)備發(fā)生故障或安全事件時，監(jiān)控系統(tǒng)能幫助管理員快速、準(zhǔn)確地找到問題的根源所在，有效排查。 安全管理流程作為一個開放的網(wǎng)絡(luò)，安全和維護的壓力越來越高，需要實現(xiàn)從依靠人工維護IT 系統(tǒng)的模式，轉(zhuǎn)變成基于流程和工具的安全、可靠、高質(zhì)量、高效的服務(wù)模式。TSOC－GA公安行業(yè)專版（以下簡稱TSOC－GA）是啟明星辰基于TSOC產(chǎn)品成果、面向全國公安用戶定向開發(fā)的行業(yè)化版本。管理中心內(nèi)置日志采集和性能采集功能，客戶無需另行安裝其它任何部件即可直接收集管理對象的日志信息和性能信息。l 日志代理日志代理用于安裝并運行在管理對象上，實現(xiàn)對管理對象的日志采集和轉(zhuǎn)發(fā)。通過接入交換層，安管平臺與公安網(wǎng)中安全專項系統(tǒng)、上下級安管平臺、運維/值班平臺等系統(tǒng)實現(xiàn)數(shù)據(jù)交換和共享。l 基于浮動窗口的信息顯示安全主頁中能夠以浮動窗口的形式，直接提醒管理人員待辦工作，避免出現(xiàn)工作遺漏。 運行監(jiān)控模塊 專項系統(tǒng)日志采集和監(jiān)控系統(tǒng)支持公安系統(tǒng)內(nèi)一機兩用、異常流量、防火墻、入侵攻擊與防御等多種安全專項系統(tǒng)的日志收集，能夠以Syslog、SNMP Trap、FTP、EventLog、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等協(xié)議進行日志采集，并支持對日志進行范式化、過濾、歸并。u 可以提供基于單個或多個下級平臺或管理域的安全事件監(jiān)控。告警管理則包括對告警信息的查看、處理和統(tǒng)計分析。 設(shè)備性能信息采集系統(tǒng)能夠主動地、周期性地采集各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)的性能與可用性信息，采樣周期、采集參數(shù)都可以獨立配置。如專項系統(tǒng)名稱、IP地址、運行狀態(tài)描述、詳細狀態(tài)信息，通過對上述信息的監(jiān)控，可對關(guān)鍵服務(wù)運行故障實現(xiàn)基本定位和跟蹤。 安全風(fēng)險監(jiān)控系統(tǒng)通過內(nèi)置的風(fēng)險計算模型，綜合考慮資產(chǎn)的價值、脆弱性和威脅，能夠定期自動地計算出資產(chǎn)的風(fēng)險可能性和影響性，并通過二者建立了一個風(fēng)險矩陣，進而計算出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)的風(fēng)險值，并刻畫出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)隨時間變化的風(fēng)險變化曲線。具體包括：216。216。如下圖所示：管理簽到按照公安要求，管理簽到主要是提供考勤簽到，實現(xiàn)本級單位安全管理人員和運維人員的簽到功能。日志可由領(lǐng)導(dǎo)進行審查，并作為考核依據(jù)。l 響應(yīng)處理動作在響應(yīng)處理的具體操作中，平臺提供各種處理手段，包括查處通知、故障問題處理、運行維護調(diào)度單、服務(wù)反饋通知、報警通報等。公安網(wǎng)絡(luò)面向全體警員可提供的常見業(yè)務(wù)有：a) 設(shè)備出入網(wǎng)注冊服務(wù)；b) 邊界接入申請服務(wù)；c) 公安數(shù)字證書申請服務(wù)；d) 電子印章申請服務(wù)；本平臺也提供對本地化的安全業(yè)務(wù)受理的定制，例如與公安門戶網(wǎng)站的整合，以實現(xiàn)為全體警員服務(wù)的目標(biāo)。典型的工作包括匯總的工作周報、工作月報、月通報、年通報等，其中包含了涉及到考核要求的各種信息的匯總。l 支持以郵件等方式自動投遞 關(guān)聯(lián)分析TSOC－GA關(guān)聯(lián)分析通過對告警信