【正文】 DBC連接數(shù)、事務數(shù)、事務的平均持續(xù)時間等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)10故障事件在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個應用系統(tǒng)的服務異常停止、業(yè)務系統(tǒng)不可用等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)　　 網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)　　網(wǎng)絡數(shù)據(jù)的主要來源是：網(wǎng)絡設備?！　∥覀儗⒃紨?shù)據(jù)分為三類：業(yè)務系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)和安全數(shù)據(jù)，因此數(shù)據(jù)處理平臺設計了如下三個數(shù)據(jù)處理子系統(tǒng)：　　業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)；　　網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)；　　安全數(shù)據(jù)處理子系統(tǒng)?！　∪?IT基礎層　　IT基礎層為監(jiān)控預警平臺的數(shù)據(jù)獲取來源，至少包括如下范圍：　　網(wǎng)絡設備，包括：路由器、交換機等；　　安全設備，包括：入侵檢測系統(tǒng)、網(wǎng)絡審計系統(tǒng)、病毒檢測系統(tǒng)、漏洞掃描系統(tǒng)、防火墻、異常流量檢測系統(tǒng)、網(wǎng)站診斷系統(tǒng)等；　　應用系統(tǒng)，包括：主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等；　　服務器，包括：日志服務器、網(wǎng)管服務器等?！　〖夹g(shù)和管理相結(jié)合原則　　整個平臺結(jié)合了安全技術(shù)與監(jiān)控管理機制、人員思想教育與技術(shù)培訓、安全規(guī)章制度等內(nèi)容?！　￠_放性原則　　該平臺的運行需要與多種設備協(xié)調(diào)，如：主機設備、網(wǎng)絡設備、安全設備、應用系統(tǒng)等等，該平臺提供了一定的開放性以適應與相關(guān)設備和系統(tǒng)的適應?！　?通過遠程登錄方式采集：通過Telnet/SSH等方式，由數(shù)據(jù)采集引擎模擬登錄到系統(tǒng)上獲取事件日志、告警信息、性能參數(shù)以及其他相關(guān)數(shù)據(jù)。在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)中，我們又將數(shù)據(jù)進行了一定的分門別類，具體類別如下：　　操作系統(tǒng)數(shù)據(jù)；　　數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)；　　中間件系統(tǒng)數(shù)據(jù)。網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)在進行數(shù)據(jù)處理時，一旦檢測到各種異常，就會生成特定安全事件，并隨時輸出到安全數(shù)據(jù)處理子系統(tǒng)，作為安全數(shù)據(jù)處理子系統(tǒng)的數(shù)據(jù)來源之一。此時也啟動安全事件進入其相應的處理流程?！　‘旤c擊任何一個安全事件，能夠看到安全事件的原始數(shù)據(jù)信息。　　 最近一段時間內(nèi)，此匯聚節(jié)點的安全風險狀況。比如機器A向機器B發(fā)出攻擊信息，“源IP”就指機器A的IP地址源端口安全事件的源端口目的IP安全事件的目的IP，如在上例中，指機器B的IP地址目的端口安全事件的目的端口協(xié)議網(wǎng)絡訪問行為所使用的協(xié)議安全信息描述是對設置的源IP通過設置的端口訪問指定的IP段時使用的安全信息描述安全信息類型產(chǎn)生的安全信息中的類型安全信息名稱指產(chǎn)生的安全信息中的名稱訪問時間段對設置的源IP通過設置的端口訪問指定的IP段時的起始時間限制Bugtraq編號國際上通用的標識Bugtraq的庫CVE編號國際上通用的標識CVE的庫安全信息來源數(shù)據(jù)采集引擎IP地址源MAC安全事件的源MAC地址目的MAC安全事件的目的MAC地址時間間隔指定了策略的時間范圍，單位為秒安全事件次數(shù)表示在設定的“時間間隔”內(nèi)，此條策略匹配多少次才產(chǎn)生一條安全事件，實現(xiàn)安全事件的歸并　　安全事件處理策略　　安全事件處理策略用于制定安全事件處理的流程策略?！　?系統(tǒng)管理　　 權(quán)限控制與管理　　該平臺支持基于角色的訪問控制機制，針對不用角色的用戶分配不同的權(quán)限，方便不同權(quán)限的用戶進行不同的操作。　　 日志信息庫　　日志信息庫保存了數(shù)據(jù)采集引擎獲取的原始數(shù)據(jù)。　　日志采集策略　　針對不同的數(shù)據(jù)采集引擎可以配置不同的采集策略。　　整個政務外網(wǎng)最新的TOP N個安全事件。層次展示內(nèi)容第一層政務網(wǎng)絡整體安全風險第二層每類監(jiān)控對象的安全風險第三層每個監(jiān)控節(jié)點的安全風險第四層每個安全事件的詳細內(nèi)容　　 按地理位置展示　　從地理區(qū)域上看，本市目前包含近10個區(qū)縣，而本平臺所監(jiān)控的四類監(jiān)控對象則較為分散地分布在不同的區(qū)縣，因此本平臺提供按照實際地理位置展示安全風險的功能?！　?工單的來源 　　 安全數(shù)據(jù)處理子系統(tǒng)經(jīng)過對安全數(shù)據(jù)的分析后，生成的安全事件；　　 業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件；　　 網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件；　　 與知識庫系統(tǒng)關(guān)聯(lián)　　安全事件處理與知識庫關(guān)聯(lián)?！　∑脚_能夠支持應用系統(tǒng)類型，至少包括：IBM Websphere、Apache Tomcat、Microsoft IIS等?！　∥?、 數(shù)據(jù)處理層　　數(shù)據(jù)采集引擎將標準化和歸并后的安全告警數(shù)據(jù)、性能數(shù)據(jù)、配置數(shù)據(jù)、故障數(shù)據(jù)等信息提交給平臺的核心數(shù)據(jù)處理系統(tǒng)后，核心數(shù)據(jù)處理系統(tǒng)能夠有效識別各類數(shù)據(jù)，并將不同的數(shù)據(jù)分發(fā)給不同的數(shù)據(jù)處理子系統(tǒng)進行處理，防止同一數(shù)據(jù)被不同的數(shù)據(jù)處理子系統(tǒng)分別處理。一方面通過豐富的圖形化展示方式呈現(xiàn)電子政務網(wǎng)絡、政務用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、網(wǎng)站等安全狀況，提供有效的安全預警，減少安全破壞的發(fā)生，降低安全事件所造成的損失；另一方面對整個監(jiān)控預警平臺進行配置與維護。整個系統(tǒng)安全地互聯(lián)互通?！　?方案設計思路　　電子政務網(wǎng)絡監(jiān)控預警平臺，以分布式方式采集來自于電子政務網(wǎng)絡的各個相關(guān)設備的日志信息和告警事件信息，經(jīng)過智能的關(guān)聯(lián)分析后，準確判斷真實的安全事件，快速定位安全事件的來源，分析安全事件的根本原因，集中展示市電子政務網(wǎng)絡的整體安全狀況。　　 安裝代理實現(xiàn)采集：在服務器上安裝采集引擎代理程序，執(zhí)行后臺采集服務以及采集腳本，將目標系統(tǒng)上的事件日志、告警信息、性能參數(shù)以及各類事件數(shù)據(jù)收集后發(fā)送給數(shù)據(jù)采集引擎?！　I(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)定期自動向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)?！　?網(wǎng)絡拓撲自動發(fā)現(xiàn)　　該子系統(tǒng)提供詳細的拓撲圖元數(shù)據(jù)結(jié)構(gòu)，并開放拓撲數(shù)據(jù)，提交給統(tǒng)一信息庫，供展現(xiàn)層使用?！　」蔚膱?zhí)行和監(jiān)控流程具有下列特征：　　工單具有一定的時限性，必須在規(guī)定的時限內(nèi)處理完畢，如果在規(guī)定的時間內(nèi)未被及時處理，系統(tǒng)會自動修改工單狀態(tài)，并自動向相關(guān)人員發(fā)送超時通知；　　當某個工單不能被此工單相關(guān)的監(jiān)控人員正確處理時（因為技術(shù)人員水平或者時間的原因），可提前終止對工單的處理，并說明終止工單的原因。　　當點擊地理位置上的某類監(jiān)控對象時，會進入到按監(jiān)控對象類別展示界面。　　此匯聚節(jié)點所有的安全事件（分頁顯示）。安全事