【文章內(nèi)容簡介】 策。系統(tǒng)還能以圖表的形式可視化地顯示每個資產(chǎn)、安全域或業(yè)務(wù)系統(tǒng)風(fēng)險的關(guān)鍵因素，便于管理人員理解風(fēng)險的具體含義。 拓?fù)浔O(jiān)控系統(tǒng)能夠自動發(fā)現(xiàn)和識別IT硬件資產(chǎn)（例如網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)），能自動發(fā)現(xiàn)和識別軟件資產(chǎn)（例如數(shù)據(jù)庫、中間件），并識別這些軟硬件資產(chǎn)之間的連接關(guān)系或包含關(guān)系，還能自動描繪出網(wǎng)絡(luò)及服務(wù)拓?fù)鋱D以及機(jī)架視圖。通過網(wǎng)絡(luò)拓?fù)鋱D，管理員可以對全網(wǎng)的資產(chǎn)進(jìn)行可視化的監(jiān)控。拓?fù)鋱D具備動態(tài)更新能力，能夠?qū)崟r地顯示資產(chǎn)的運(yùn)行狀態(tài)和安全狀態(tài)，能夠方便地鏈接到其他功能模塊。系統(tǒng)能夠?qū)崟r地顯示資產(chǎn)的運(yùn)行狀態(tài)和安全狀態(tài)，并能夠方便地實(shí)現(xiàn)與網(wǎng)絡(luò)拓?fù)湟晥D的雙向切換。 業(yè)務(wù)處理模塊公安行業(yè)對業(yè)務(wù)的規(guī)范化處理有很高要求，規(guī)定要依據(jù)業(yè)務(wù)流程人工或自動完成安全管理中的日常工作、管理工作和響應(yīng)處理。具體包括：216。 流程啟動：支持信息預(yù)處理自動啟動流程，支持人工啟動流程。216。 業(yè)務(wù)狀態(tài)：包括待閱、待辦、在辦、辦結(jié)、打回等。216。 處理方式：手動、自動、轉(zhuǎn)辦、委托處理，支持附件上傳。216。 工作記錄：對工作和事件的信息查看、狀態(tài)修改、信息補(bǔ)充、結(jié)果記錄。216。 通知提醒：人工和自動提醒工作和事件，提醒內(nèi)容包括內(nèi)容、時間、重要程度，提醒方式包括手機(jī)短信、郵件、界面提示。TSOC－GA充分考慮到了多級平臺架構(gòu)下流程狀態(tài)的反饋能力。在上級平臺中能夠及時查看到下級的處理狀態(tài)，完成事件處理的跟蹤處理。所有的這些配置操作，本平臺都是在工作流中間件里進(jìn)行的。工作流中間件能夠以圖形化的方式進(jìn)行流程節(jié)點(diǎn)的增刪、狀態(tài)的調(diào)整配置、人員權(quán)限的設(shè)置，通知方式的設(shè)置，可以靈活適應(yīng)公安實(shí)際工作的需要。 日常工作公安的日常工作包括：簽到、簽收、巡檢、個人工作日志等工作的排班、啟動、工作記錄等。這些工作都是在日常的流程中進(jìn)行處理。如下圖所示：管理簽到按照公安要求，管理簽到主要是提供考勤簽到，實(shí)現(xiàn)本級單位安全管理人員和運(yùn)維人員的簽到功能。簽到的記錄將統(tǒng)計(jì)計(jì)入人員考核結(jié)果。本平臺的簽到支持人工簽到與自動簽到兩種。并提供對簽到情況的提醒與查詢功能。信息簽收對于接收到的各類信息、包括各種工單、通知通報，接收方均應(yīng)提供簽收功能。簽收功能還包括一些信息的反饋，以便于發(fā)送方確認(rèn)信息已被簽收。安全巡檢安全巡檢主要是指安全運(yùn)維人員根據(jù)預(yù)先設(shè)定的安全基線指標(biāo)，對安全專項(xiàng)系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備及安全應(yīng)用系統(tǒng)的各項(xiàng)硬件參數(shù)、軟件參數(shù)及業(yè)務(wù)參數(shù)進(jìn)行巡檢和記錄，并對巡檢中發(fā)現(xiàn)的異常情況進(jìn)行匯報和處理。運(yùn)維人員進(jìn)行巡檢之后，需要進(jìn)行日志填寫。日志可由領(lǐng)導(dǎo)進(jìn)行審查，并作為考核依據(jù)。 管理工作公安的管理性工作包括安全員管理、工單修訂等工作的啟動、工作記錄、狀態(tài)修改、處理方式選擇。對于安全員的變動，系統(tǒng)提供安全員管理的審核流程。支持的安全員管理類型包括增、刪、改、調(diào)整權(quán)限等。對于運(yùn)行過程中的各類工單，管理性工作提供經(jīng)審核后的工單修訂功能，能夠?qū)芜\(yùn)行流程進(jìn)行特殊干預(yù)，例如強(qiáng)制退回、重新打開、跳過節(jié)點(diǎn)等等。界面如下圖所示： 響應(yīng)處理在公安的響應(yīng)處理過程，最重要的是進(jìn)行應(yīng)急響應(yīng)。對于系統(tǒng)自動產(chǎn)生的工單、或者人工發(fā)起的工單、或者協(xié)同工單，均存在應(yīng)急響應(yīng)處理的可能。應(yīng)急響應(yīng)處理是工單處理環(huán)節(jié)中重要的內(nèi)容，界面如下圖所示：應(yīng)急響應(yīng)包括三方面內(nèi)容：l 應(yīng)急響應(yīng)流程該功能主要提供應(yīng)急響應(yīng)的通知通報、信息發(fā)布、簽收，響應(yīng)處理、結(jié)果填報，是事件處理環(huán)節(jié)的內(nèi)嵌流程。l 響應(yīng)處理動作在響應(yīng)處理的具體操作中，平臺提供各種處理手段，包括查處通知、故障問題處理、運(yùn)行維護(hù)調(diào)度單、服務(wù)反饋通知、報警通報等。l 應(yīng)急響應(yīng)工具平臺提供響應(yīng)工具的管理，包括上傳、下載等。有效的工具是執(zhí)行應(yīng)急響應(yīng)的基礎(chǔ)。l 應(yīng)急響應(yīng)預(yù)案預(yù)案是安全管理中的重要知識內(nèi)容，在響應(yīng)處理環(huán)節(jié)可以根據(jù)需要人工啟動某一級預(yù)案，啟動后的預(yù)案將發(fā)布在顯著位置，所有登錄用戶均能夠查看到。 安全服務(wù)工作安管平臺服務(wù)于全體公安干警的功能體現(xiàn)在兩方面：一是安全知識庫功能，二是安全服務(wù)受理。平臺的使用人員，包括全體警員，均可以在平臺上瀏覽相關(guān)的安全知識庫，進(jìn)行安全補(bǔ)丁、安全工具的下載，接收最新的安全公告，提高自身的安全防護(hù)能力。服務(wù)受理功能主要提供安全業(yè)務(wù)的受理和處理功能，對不同的安全業(yè)務(wù)提供不同的處理流程，并且該類流程是可配置、可視化、靈活的。同時也能對安全業(yè)務(wù)受理、處理的狀態(tài)和結(jié)果進(jìn)行審核和發(fā)布。公安網(wǎng)絡(luò)面向全體警員可提供的常見業(yè)務(wù)有：a) 設(shè)備出入網(wǎng)注冊服務(wù)；b) 邊界接入申請服務(wù)；c) 公安數(shù)字證書申請服務(wù)；d) 電子印章申請服務(wù)；本平臺也提供對本地化的安全業(yè)務(wù)受理的定制，例如與公安門戶網(wǎng)站的整合，以實(shí)現(xiàn)為全體警員服務(wù)的目標(biāo)。 業(yè)務(wù)統(tǒng)計(jì)模塊 業(yè)務(wù)統(tǒng)計(jì)分析公安綜合安全管理平臺對業(yè)務(wù)統(tǒng)計(jì)分析功能需要實(shí)現(xiàn)對安全事件、安全流程處理、管理考核、安全專項(xiàng)系統(tǒng)等業(yè)務(wù)進(jìn)行統(tǒng)計(jì)分析，如下圖所示：具體針對以下的數(shù)據(jù)進(jìn)行分析l 安全告警：依據(jù)告警時間、告警等級、處理狀態(tài)、告警類型、設(shè)備類型等屬性進(jìn)行組合統(tǒng)計(jì)與分析l 安全事件：依據(jù)事件時間、事件類別、事件級別、IP地址、區(qū)域、資產(chǎn)、處理狀態(tài)、響應(yīng)級別、報警等級等組合統(tǒng)計(jì)和分析。l 流程處理：依據(jù)人員、部門、區(qū)域、事件類別、流程名稱、完成率、超時率等組合統(tǒng)計(jì)和分析。l 人員績效及運(yùn)行管理考核分析：依據(jù)人員、部門與區(qū)域、安全專項(xiàng)系統(tǒng)名稱等組合進(jìn)行工作量、指標(biāo)參數(shù)的統(tǒng)計(jì)和分析。l 運(yùn)行分析：依據(jù)專項(xiàng)系統(tǒng)的名稱、服務(wù)名稱、時間、系統(tǒng)提供商、區(qū)域、性能指標(biāo)、連續(xù)工作周期等組合統(tǒng)計(jì)和分析。對各單位的各項(xiàng)安全管理工作進(jìn)行統(tǒng)計(jì)分析并排名，并生成相應(yīng)的統(tǒng)計(jì)排名報表。 業(yè)務(wù)考核報表公安對各級平臺有業(yè)務(wù)考核的需求，這一般通過下發(fā)考核模板、并且由下級平臺進(jìn)行定期報表上報來實(shí)現(xiàn)。系統(tǒng)內(nèi)置了豐富的報表模板，包括統(tǒng)計(jì)報表、明細(xì)報表、對比報表，管理人員可以根據(jù)需要生成不同的報表。典型的工作包括匯總的工作周報、工作月報、月通報、年通報等，其中包含了涉及到考核要求的各種信息的匯總。尤其對于省廳級平臺，還能夠依據(jù)公安部的考核要求對各個下級地市平臺進(jìn)行考核打分，其結(jié)果還將反映到首頁中。為了適應(yīng)可能的考核要求變化，本平臺的自定義報表通過報表中間件來完成，對于上級下發(fā)的報表模板，下級可相應(yīng)制訂報表模板。并完成以下功能：l 定期自動（如周、月、季度、年）自動和人工方式統(tǒng)計(jì)與分析。應(yīng)支持word、excel、html、pdf報表格式，應(yīng)支持圖形化的報表呈現(xiàn)模式如柱形圖、餅形圖等。l 用戶可自行設(shè)計(jì)報表，包括報表的頁面版式、統(tǒng)計(jì)內(nèi)容、顯示風(fēng)格等。l 通過圖表查詢、展示、打印、存儲分析結(jié)果。l 分析圖表應(yīng)包括：變化趨勢圖表、TOP N數(shù)量圖表、詳細(xì)信息圖表等。l 支持以郵件等方式自動投遞 關(guān)聯(lián)分析TSOC－GA關(guān)聯(lián)分析通過對告警信息、已經(jīng)處理的事件、業(yè)務(wù)記錄、基礎(chǔ)資源庫等各類信息資源進(jìn)行綜合關(guān)聯(lián)分析、挖掘和歸并，發(fā)現(xiàn)隱藏在獨(dú)立事件與業(yè)務(wù)背后的規(guī)律與事實(shí)，實(shí)現(xiàn)業(yè)務(wù)考核分析、運(yùn)行考核分析、平臺自身業(yè)務(wù)分析的綜合與提升。TSOC－GA關(guān)聯(lián)分析支持業(yè)務(wù)管理類和事件分析類的關(guān)聯(lián)分析。業(yè)務(wù)管理類包括本平臺使用人員異常行為分析、考核績效趨勢分析、業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)變化趨勢等。事件分析類關(guān)聯(lián)分析包括違規(guī)類、攻擊類、訪問異常類、啟發(fā)追蹤類、桌面操作異常類等。TSOC－GA關(guān)聯(lián)分析借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r不間斷地所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。系統(tǒng)具備多種關(guān)聯(lián)分析方法和能力：l 基于規(guī)則的事件關(guān)聯(lián)系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式和統(tǒng)計(jì)條件的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。規(guī)則的邏輯表達(dá)式支持等于、不等于、大于、小于、不大于、不小于、位于……之間、屬于、包含、FollowBy等運(yùn)算符和關(guān)鍵字。規(guī)則支持統(tǒng)計(jì)計(jì)數(shù)功能，并可以指定在統(tǒng)計(jì)時的固定和變動的事件屬性，可以關(guān)聯(lián)出達(dá)到一定統(tǒng)計(jì)規(guī)則的事件。l 單事件關(guān)聯(lián)通過單事件關(guān)聯(lián)，系統(tǒng)可以對符合單一規(guī)則的事件流進(jìn)行規(guī)則匹配。l 多事件關(guān)聯(lián)通過多事件關(guān)聯(lián)，系統(tǒng)可以對符合多個規(guī)則（稱作組合規(guī)則）的事件流進(jìn)行復(fù)雜事件規(guī)則匹配。 安全態(tài)勢分析系統(tǒng)具備安全態(tài)勢感知功能，包括安全整體狀態(tài)的計(jì)算和安全整體發(fā)展趨勢的預(yù)測。系統(tǒng)提供兩種安全態(tài)勢分析方法：地址熵態(tài)勢分析和威脅態(tài)勢（威脅KPI）分析。地址熵態(tài)勢分析：系統(tǒng)通過對收集到的一段時間內(nèi)的海量安全事件的報送IP地址進(jìn)行熵值計(jì)算，得到這些安全事件報送IP聚合度的變化幅度，以此來刻畫這段時間內(nèi)這些安全事件所屬網(wǎng)絡(luò)的安全狀態(tài)，并預(yù)測下一步的整體安全走勢。系統(tǒng)能夠可視化的展示隨時間變化的安全態(tài)勢曲線，并能夠通過曲線下鉆到影響網(wǎng)絡(luò)安全整體狀態(tài)的關(guān)鍵安全事件，實(shí)現(xiàn)從宏觀到微觀的聚焦。威脅態(tài)勢（威脅KPI）分析：系統(tǒng)通過對一組關(guān)鍵威脅指標(biāo)（KPI）計(jì)算得到一個威脅指數(shù)，并以此隨時間描述出一條威脅指數(shù)曲線，從而表征一段時間內(nèi)、某個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)安全威脅狀態(tài)及其發(fā)展趨勢。系統(tǒng)建立了一套動態(tài)的多維威脅指標(biāo)體系，通過帕累托分析法，協(xié)助管理員對當(dāng)前的威脅成因進(jìn)行辨別，實(shí)現(xiàn)對關(guān)鍵威脅因素從宏觀到中觀，再到微觀的層層下鉆，直至定位到導(dǎo)致威脅態(tài)勢異常的關(guān)鍵安全事件。 關(guān)鍵安全管理指標(biāo)分析系統(tǒng)通過對一組表征某個安全域或者業(yè)務(wù)系統(tǒng)安全管理建設(shè)水平的層次化指標(biāo)的計(jì)算，得到該安全域或者業(yè)務(wù)系統(tǒng)的安全管理建設(shè)水平評級，以此來表明該安全域或業(yè)務(wù)系統(tǒng)的信息安全管理體系的建設(shè)成熟度。系統(tǒng)將表征安全管理建設(shè)水平的這套層次化指標(biāo)稱作關(guān)鍵管理指標(biāo)，每個指標(biāo)項(xiàng)都建立了一個針對某類安全事件的度量標(biāo)準(zhǔn)。系統(tǒng)能夠可視化的展示出每個安全域或業(yè)務(wù)系統(tǒng)隨時間變化的安全管理評估曲線，并能夠進(jìn)行環(huán)比分析，以及跨安全域或業(yè)務(wù)系統(tǒng)的同比分析。對于每個關(guān)鍵管理指標(biāo)都支持指標(biāo)項(xiàng)的下鉆，實(shí)現(xiàn)從宏觀到微觀的聚焦。 業(yè)務(wù)配置模塊 監(jiān)控和報警管理綜合安全管理平臺對安全事件、安全預(yù)警、安全專項(xiàng)系統(tǒng)運(yùn)行狀態(tài)、平臺狀態(tài)的監(jiān)控與報警設(shè)置。綜合安全管理平臺監(jiān)控支持對信息的采集、信息顯示配置，同時支持顯示模板。綜合安全管理平臺報警條件可以通過告警規(guī)則靈活配置，配置條件包括級別、類別、區(qū)域等。綜合安全管理平臺報警方式支持自動或人工的報警方式，可提供電子郵件、手機(jī)短信、syslog、snmptrap等多種方式。綜合安全管理平臺監(jiān)控與報警內(nèi)容包括事件名稱、IP、安全專項(xiàng)系統(tǒng)名稱、事件等級、詳細(xì)程度等。 信息預(yù)處理管理綜合安全管理平臺提供信息預(yù)處理管理功能，對采集到的信息通過事件采集器配置信息預(yù)處理的參數(shù)、規(guī)則、條件等，具體界面如下圖所示：安全管理平臺可提供如下預(yù)處理配置：綜合安全管理平臺提供配置解析功能，通過XML解析文件將接收到的信息拆分為不同字段，并對應(yīng)到安全事件字段。綜合安全管理平臺提供信息補(bǔ)全配置功能，提供補(bǔ)全條件和補(bǔ)全內(nèi)容等。綜合安全管理平臺提供信息過濾配置，用戶可以自定義過濾條件。對于有可能出現(xiàn)的大流量數(shù)據(jù)，綜合安全管理平臺也提供數(shù)據(jù)歸并壓縮的配置功能。綜合安全管理平臺提供信息分類配置，在信息預(yù)處理時可以根據(jù)事件分類條件和對應(yīng)類別進(jìn)行歸類。綜合安全管理平臺提供工作和事件分配配置，通過設(shè)置判斷條件和啟動流程。綜合安全管理平臺信息預(yù)處理的配置支持策略管理。 流程管理綜合安全管理平臺采用工作流組件來完成流程管理工作，具體界面如下圖所示：其管理功能包括：216。 基本管理：流程和活動的新建、修改、刪除、查詢，流程的導(dǎo)入、導(dǎo)出。216。 流程狀態(tài)：狀態(tài)管理，包括啟用、停用。216。 對象管理：管理流程執(zhí)行者，包括部門（組織機(jī)構(gòu)）、角色、小組、人員。216。 關(guān)系管理：活動、流程的組合，包括引用、串行、并行、搶占。216。 條件管理：依據(jù)工單內(nèi)容設(shè)置判斷條件，包括時間、工單類型、關(guān)鍵字判斷。216。 觸發(fā)動作：人工或依據(jù)條件自動觸發(fā)動作，包括打回、反饋、撤銷、轉(zhuǎn)閱、轉(zhuǎn)辦、通知提醒、轉(zhuǎn)入下一活動、啟動應(yīng)急預(yù)案。216。 通知提醒管理：提醒內(nèi)容、提醒方式、提醒對象。216。 流程配置策略管理?？筛鶕?jù)實(shí)際需求，針對不同安全專項(xiàng)系統(tǒng)特點(diǎn)，自定義不同處理流程，靈活制定工作機(jī)制與管理策略。 模版管理綜合安全管理平臺模版管理提供應(yīng)急預(yù)案模板、統(tǒng)計(jì)分析模板、業(yè)務(wù)考核模板的管理。模板管理包括：l 基本管理：預(yù)案和模板的新建、刪除、修改、導(dǎo)入、導(dǎo)出。l 應(yīng)急預(yù)案模板內(nèi)容：預(yù)案名稱、預(yù)案編號、建立時間、修改時間、應(yīng)急小組組長、應(yīng)急小組成員、行動內(nèi)容與計(jì)劃、預(yù)案演練結(jié)果等。l 統(tǒng)計(jì)分析模板內(nèi)容：統(tǒng)計(jì)內(nèi)容、分析要素、展示方式等。l 考核模板內(nèi)容：考核內(nèi)容、考核要素、考核方法、展示方式、考核周期等。 排班管理在公安的日常運(yùn)行工作與事件處理過程中，排班管理是一種高效的任務(wù)分配機(jī)制，它是與所有安全工作緊密相關(guān)的。通過合理的排班管理，不但能夠高效地安排資源，更能夠?yàn)槿藛T考核打下基礎(chǔ)。具體界面如下圖所示：排班可以基于日期進(jìn)行排定，還能夠細(xì)化了最多5個時間區(qū)段進(jìn)行排班。在本平臺中，以下工作與排班相關(guān)：l 簽到l 巡檢l 事件處理在多級管理結(jié)構(gòu)下，下級還能夠?qū)ε虐嘈畔⑦M(jìn)行上報，便于上級查看與安排工作。 平臺管理模塊 用戶與授權(quán)提供用戶集中管理的功能，對用戶可以訪問的資源權(quán)限進(jìn)行細(xì)致的劃分，具備安全可靠的分級及分類用戶管理功能。實(shí)現(xiàn)綜合安全管理負(fù)責(zé)人與管理員、專項(xiàng)安全系統(tǒng)管理員等角色分類管理。系統(tǒng)提供三權(quán)分立的設(shè)計(jì)，內(nèi)置系統(tǒng)管理員、用戶管理員和審計(jì)管理員。平臺支持基于角色的用戶管理、授權(quán)管理、身份認(rèn)證。用戶與資源權(quán)限之間通過角色授權(quán)進(jìn)行聯(lián)系，身份認(rèn)證支持包括公安PKI數(shù)字證書在內(nèi)的雙因子認(rèn)證。平臺支持分域用戶授權(quán)和用戶組管理。支持根據(jù)需要劃分不同用戶組（域），如按照部門、地域等劃分不同用戶組（域），用戶只具備用戶所屬域內(nèi)的相關(guān)權(quán)限。平臺支持角色的管理包括對角色的添加、修改和刪除等操作。支持對資源、菜單、功能等級別的權(quán)限管理，各功能與菜單間相互獨(dú)立。 部門與人員管理公安系統(tǒng)的人員管理功能中，一方面需要遵照規(guī)范的要求建立標(biāo)準(zhǔn)的人員信息