【正文】 規(guī)則支持統(tǒng)計計數(shù)功能，并可以指定在統(tǒng)計時的固定和變動的事件屬性，可以關聯(lián)出達到一定統(tǒng)計規(guī)則的事件。l 單事件關聯(lián)通過單事件關聯(lián)，系統(tǒng)可以對符合單一規(guī)則的事件流進行規(guī)則匹配。l 多事件關聯(lián)通過多事件關聯(lián)，系統(tǒng)可以對符合多個規(guī)則（稱作組合規(guī)則）的事件流進行復雜事件規(guī)則匹配。 可視化安全事件分析系統(tǒng)為用戶提供了豐富的可視化安全事件分析視圖，充分提升分析效率。系統(tǒng)可以為用戶展示一幅管理對象的拓撲圖，反映管理對象的網(wǎng)絡拓撲關系，并且在拓撲節(jié)點上標注出每個管理對象的日志量和告警事件量。用戶點擊拓撲節(jié)點可以查詢事件和告警信息詳情。針對安全事件，用戶可以對其源目的IP地址進行追蹤，并在世界地圖上標注出來。安全管理人員也可以對一段時間內的安全事件進行行為分析，通過生成一幅行為分析圖形象化地展示海量安全事件之間的關聯(lián)關系，從宏觀的角度來協(xié)助定位安全問題。 多維度的業(yè)務處理過程 豐富的業(yè)務流程分類TSOC－GA不但是集中監(jiān)控的平臺，同時也是集中處理的平臺。公安行業(yè)日常工作中的各項業(yè)務過程，在TSOC－GA中都能夠以集中的、高效的、規(guī)范的、流轉式的方式來運行。公安的業(yè)務處理過程是全方位、多維度的，TSOC－GA能夠覆蓋公安信息安全工作中的以下幾類工作流程：178。 管理維度－進行流程調度、業(yè)務審核、安全員管理等管理性工作178。 處理維度－進行簽收、響應處理、通知、通報等事務性工作178。 運行維度－進行工作排班、簽到、巡檢、工作日志等個人日常工作服務維度－面向全體公安干警提供信息發(fā)布與業(yè)務服務受理 靈活的流程定制能力TSOC－GA通過客戶化的工作流系統(tǒng)來滿足公安用戶的需要。其靈活性體現(xiàn)在：l 業(yè)務過程模板化：對于公安最常用的簽到、簽收、巡檢、審核、通知、通報、歸檔、響應處理過程，系統(tǒng)均配置為相應的流程節(jié)點與流程模板，并提供方便易用的操作界面。因此，這些常用的工作過程，全都可以在平臺內進行流轉。工作過程中的任務流轉，均通過相應的工單進行信息傳遞，工單具備豐富的屬性，并且可以方便進行查詢。l 過程跟蹤工作流程化以后，在任何時候均能夠查看當前任務的歸屬人、任務的處理時間、任務的處理過程歷史、工單狀態(tài)，等等。通過對流程任務的監(jiān)控，管理人員能夠非常清楚地掌握當前各項工作的處理狀態(tài)，及時發(fā)現(xiàn)工作中的疏漏l 過程的客戶化由于每個省廳的安管人員配置不同、崗位設置有異，具體的處理過程有可能有非常大的區(qū)別。此外，某種具體的業(yè)務流程，也需要在實踐過程中進行不斷地優(yōu)化與完善。因此，平臺的工作流必須是可修改的，這就是客戶化的工作。本平臺內嵌了一個強大的工作流引擎，能夠完美地支持這種客戶化修改。所有的修改工作都是在界面上配置而成，靈活方便。l 角色化工作流模塊與用戶管理、權限管理模塊有緊密聯(lián)系。所有的任務節(jié)點，均可以配置為某一個或多個角色，也可以配置為一個或多個具體用戶，還可以基于權限進行設置處理人。當出現(xiàn)多個可執(zhí)行人時，系統(tǒng)也提供接替功能，可以設置判斷條件來決定流程的下一步流向。l 流程的可視性工單的當前流轉狀態(tài)、歷史過程，均是以圖形化的方式進行展現(xiàn)，方便管理員掌握工作的過程l 流程的擴展能力工作流系統(tǒng)具備良好的擴展性，可通過多種接口與外部系統(tǒng)進行交互，實現(xiàn)工單觸發(fā)響應動作、與其它流程性系統(tǒng)進行互操作等。 全方位的IT系統(tǒng)性能與可用性監(jiān)控 網(wǎng)絡拓撲管理系統(tǒng)能夠描繪出網(wǎng)絡拓撲圖，展示IT資產之間的邏輯拓撲連接關系，并能夠自動進行多種拓撲布局。通過網(wǎng)絡及服務拓撲圖，管理員可以對全網(wǎng)的資產進行可視化的監(jiān)控。拓撲圖具備動態(tài)更新能力，能夠實時地顯示資產的運行狀態(tài)和安全狀態(tài)，能夠方便地鏈接到其他功能模塊。系統(tǒng)還提供了機房機架視圖，將客戶資產設備根據(jù)實際機架擺放可視化地展示出設備的物理擺放。管理員透過機架視圖可以清楚地知道每個資產的位置。機架視圖也具備動態(tài)更新能力，能夠實時地顯示資產的運行狀態(tài)和安全狀態(tài)。 支持多種監(jiān)控對象系統(tǒng)支持對大部分主流IT軟硬件資產的監(jiān)控，部分監(jiān)控對象如下表所示：設備類型 廠商或產品 交換機所有支持SNMP協(xié)議（包括V3）的交換機，例如Cisco、Extreme、Juniper、博科、華為、H3C、神州數(shù)碼、銳捷等路由器所有支持SNMP協(xié)議的路由器，例如Cisco、Extreme、Juniper、華為、H3C、神州數(shù)碼、銳捷等防火墻 /UTM/USG 啟明星辰、網(wǎng)御星云，以及支持SNMP協(xié)議的安全網(wǎng)關類設備，例如Cisco、Juniper Netscreen、飛塔、Checkpoint、Nokia、天融信、東軟、網(wǎng)御神州、H3C、迪普、山石等VPN 只要支持SNMP協(xié)議即可，例如啟明星辰、網(wǎng)御星云、天融信 網(wǎng)閘只要支持SNMP協(xié)議即可，例如網(wǎng)御星云 IDS/IPS/IDP 只要支持SNMP協(xié)議即可，例如啟明星辰、網(wǎng)御星云 AntiDDoS只要支持SNMP協(xié)議即可，例如啟明星辰、網(wǎng)御星云、綠盟 WAF 只要支持SNMP協(xié)議即可，例如啟明星辰、網(wǎng)御星云服務器 IBM AIX 、HPUX 、Microsoft Windows、SUN Solaris、Linux等 數(shù)據(jù)庫Oracle、SQL Server、DBMySQL、Informix、Sybase等中間件Weblogic、WebShpere、JBoss、Apache、Tomcat、Domino存儲系統(tǒng)HP、IBM、VERITA應用服務SMTP、POPHTTP、FTP、TELNET、SSH、SSHDNS、DHCP、WINS、LDAP、URL其它 只要支持SNMP協(xié)議（包括V3）即可 全方位細粒度監(jiān)控系統(tǒng)對于各種監(jiān)控對象都能進行全方位細粒度的監(jiān)控，具有豐富的監(jiān)控指標。管理員可以通過豐富的可視化圖表查看監(jiān)控指標信息；可以對監(jiān)控指標設置告警閥值；可以將監(jiān)控指標的數(shù)據(jù)保存起來，并進行歷史分析。如下表所示，顯示了主要監(jiān)控對象典型的監(jiān)控指標：設備對象監(jiān)控指標網(wǎng)絡設備設備名稱、IP信息、描述、節(jié)點狀態(tài)、運行時間、接口信息、路由信息、網(wǎng)絡狀態(tài)信息、網(wǎng)絡性能信息安全設備設備名稱、IP信息、描述、節(jié)點狀態(tài)、運行時間、接口信息、路由信息、網(wǎng)絡狀態(tài)信息、網(wǎng)絡性能信息服務器 名稱、IP、描述、節(jié)點狀態(tài)、運行時間、網(wǎng)絡接口信息、CPU利用率、內存利用率、磁盤利用率、磁盤IO、文件系統(tǒng)、安裝軟件、安裝服務、運行進程、 網(wǎng)絡連接，支持自定義指標數(shù)據(jù)庫名稱、版本、端口、主機名、內存信息、運行狀態(tài)、事務信息、緩存信息、連接信息、鎖信息、SQL統(tǒng)計、命中率信息、表空間信息、訪問方法明細、數(shù)據(jù)庫明細中間件名稱、版本、端口、連通性、運行狀態(tài)、CPU、內存、事務、JVM Runtime、隊列、Servlet會話、線程池、EJB、JDBC連接其它 只要支持SNMP、JMX、ODBC/JDBC協(xié)議即可 基于風險矩陣的量化安全風險評估系統(tǒng)參照GB/T 209842007信息安全風險評估規(guī)范、ISO 27005:2008信息安全風險管理，以及OWASP威脅建模項目中風險計算模型的要求，設計了一套實用化的風險計算模型，實現(xiàn)了量化的安全風險估算和評估。系統(tǒng)在資產管理功能中，除了記錄資產的基本屬性，還維護著資產的安全屬性，包括CIA（Confidentiality/Integrality/Avaliablity，私密性、完整性、可用性）三種屬性。系統(tǒng)能夠根據(jù)資產的安全屬性遭受破壞后對所屬業(yè)務系統(tǒng)的影響性程度計算出資產的價值，并進而計算出安全域和業(yè)務系統(tǒng)的價值。系統(tǒng)具有脆弱性管理功能，能夠導入資產的弱點信息，并計算資產/安全域/業(yè)務系統(tǒng)的脆弱性值。系統(tǒng)能夠通過多種方式展示資產/安全域/業(yè)務系統(tǒng)的弱點信息，支持時間趨勢分析和橫向對比分析。系統(tǒng)具有威脅管理功能，能夠根據(jù)資產的安全事件信息自動計算出資產的威脅值。傳統(tǒng)的風險計算都是通過資產、弱點和威脅三者簡單相乘獲得資產風險值，雖然考慮到了風險要素信息，但是卻沒有體現(xiàn)出各風險要素是如何構成資產風險成因的。系統(tǒng)引入了當前國際最新的風險計算模型，從風險的可能性和風險的影響性兩個角度來估算資產的風險值。系統(tǒng)通過內置的風險計算模型，綜合考慮資產的價值、脆弱性和威脅，能夠定期自動地計算出資產的風險可能性和影響性，并通過二者建立了一個風險矩陣，進而計算出資產、安全域和業(yè)務系統(tǒng)的風險值，并刻畫出資產、安全域和業(yè)務系統(tǒng)隨時間變化的風險變化曲線。系統(tǒng)能夠形象地展示出安全域的風險矩陣，從可能性和影響性兩個角度標注安全域中風險的分布情況，通過風險矩陣法，指導管理員進行風險分析，采取相應的風險處置對策。 指標化的宏觀態(tài)勢感知系統(tǒng)能夠從宏觀的角度對客戶的整體網(wǎng)絡安全進行評估，對整體安全管理建設的水平進行評估，為客戶提升安全防護能力提供決策支持，同時也為客戶提升信息安全管理體系建設成熟度提供決策支持。系統(tǒng)為用戶提供了兩個維度的態(tài)勢感知能力。一方面，系統(tǒng)從安全本身的發(fā)展變化入手，通過對事件和威脅的分析來評估當前網(wǎng)絡的整體安全態(tài)勢，分為地址熵態(tài)勢分析和威脅態(tài)勢分析；另一方面，系統(tǒng)從客戶借助系統(tǒng)達成的安全管理水平入手，通過對一系列管理指標的度量，來評估當前某個網(wǎng)絡區(qū)域的安全管理水平，稱作關鍵安全管理指標分析。 地址熵態(tài)勢分析系統(tǒng)通過對收集到的一段時間內的海量安全事件的報送IP地址進行熵值計算，得到這些安全事件報送IP聚合度的變化幅度，以此來刻畫這段時間內這些安全事件所屬網(wǎng)絡的安全狀態(tài)，并預測下一步的整體安全走勢。系統(tǒng)能夠持續(xù)地描繪地址熵態(tài)勢曲線，并可以顯示每個時段的地址態(tài)勢成因圖。通過對三種典型態(tài)勢成因圖的模式分析，可以識別兩種典型的態(tài)勢異常，并支持對異常態(tài)勢信息的逐層下鉆，直至定位到導致態(tài)勢異常的關鍵安全事件。 威脅態(tài)勢分析威脅態(tài)勢分析，也稱作威脅KPI，系統(tǒng)通過對一組關鍵威脅指標（KPI）的計算得到一個威脅指數(shù)，并以此隨時間描述出一條威脅指數(shù)曲線，從而表征一段時間內、某個網(wǎng)絡區(qū)域的網(wǎng)絡安全威脅狀態(tài)及其發(fā)展趨勢。系統(tǒng)建立了一套動態(tài)的多維威脅指標體系，通過帕累托分析法，協(xié)助管理員對當前的威脅成因進行辨別，實現(xiàn)對關鍵威脅因素從宏觀到中觀，再到微觀的層層下鉆，直至定位到導致威脅態(tài)勢異常的關鍵安全事件。 關鍵安全管理指標分析 該功能需要根據(jù)客戶實際進行定制，默認不提供。系統(tǒng)通過對一組表征某個安全域或者業(yè)務系統(tǒng)安全管理建設水平的層次化指標的計算，得到該安全域或者業(yè)務系統(tǒng)的安全管理建設水平評級，以此來表明該安全域或業(yè)務系統(tǒng)的信息安全管理體系的建設成熟度。系統(tǒng)將表征安全管理建設水平的這套層次化指標稱作關鍵管理指標，每個指標項都建立了一個針對某類安全事件的度量標準。系統(tǒng)能夠可視化的展示出每個安全域或業(yè)務系統(tǒng)隨時間變化的安全管理評估曲線，并能夠進行環(huán)比分析，以及跨安全域或業(yè)務系統(tǒng)的同比分析。對于每個關鍵管理指標都支持指標項的下鉆，實現(xiàn)從宏觀到微觀的聚焦。 豐富靈活的報表報告 可擴展的報表內容出具報表報告是安全管理平臺的重要用途，系統(tǒng)內置了豐富的報表模板，包括統(tǒng)計報表、明細報表、綜合報告、公安專用考核報表等，管理人員可以根據(jù)需要生成不同的報表。系統(tǒng)內置報表生成調度器，可以定時自動生成日報、周報、月報、季報、年報，并支持以郵件等方式自動投遞，支持以PDF、Excel、Word等格式導出，支持打印。系統(tǒng)還內置了一套報表編輯器，用戶可以自行設計報表，包括報表的頁面版式、統(tǒng)計內容、顯示風格等。 公安業(yè)務考核支持TSOC－GA能夠基于平臺的各類監(jiān)控數(shù)據(jù)、管理數(shù)據(jù)生成考核報告，并且具備定期自動生成運行日通報、月通報的能力，并且支持將通報自動發(fā)布到公安信息安全相關的網(wǎng)站上。支持公安部頒布的各類安全管理、運行維護考核指標，支持量化計算，支持圖形化的排名分析，支持多級平臺下的匯總考核分析報告，極大地降低了公安日常管理考核的工作量。 可運維的多級管理架構 級聯(lián)內容平臺的多級管理架構是與公安的行政體系相適應的。TSOC－GA支持三級甚至四級系統(tǒng)互聯(lián)，并在多級架構下實現(xiàn)了以下重要的運維相關功能：l 多級系統(tǒng)間的認證注冊功能l 事件的相互傳遞機制l 整體安全狀態(tài)的上報l 上下級之間的工單流轉l 安全事件的協(xié)同處理l 知識庫(包括策略庫、模板庫等)的同步功能l 級聯(lián)系統(tǒng)的狀態(tài)監(jiān)控能力l 考核數(shù)據(jù)的上報、分析能力l 人員信息的上報與同步功能 虛擬下級TSOCGA支持在地市平臺中建立多個虛擬縣級平臺，使用縣級管理帳號登錄地市平臺后仍然能夠完成基本的安全管理工作，例如在所屬縣的范圍內進行工單處理、查閱通知通報、進行技術交流等。虛擬縣級平臺的建立，簡化了地市公安局的安全管理與運維過程，有利于地市公安局快速構建起基本的分級管理架構。 對用戶網(wǎng)絡和業(yè)務影響最小系統(tǒng)在實現(xiàn)對用戶網(wǎng)絡中的IT設施進行集中日志采集的同時，采取多種技術手段，力求對用戶網(wǎng)絡和業(yè)務的影響最小化。管理對象影響性分析– 日志信息和性能信息的采集以遠程為主，基本不必安裝在管理對象上采集代理– 性能數(shù)據(jù)的數(shù)據(jù)采樣時間可調、粒度可配置 – 主要采取被動采集技術收集日志，不會對管理對象發(fā)起主動連接，不影響管理對象的現(xiàn)有安全機制網(wǎng)絡影響性分析– 采用旁路接入模式，系統(tǒng)部署無需修改網(wǎng)絡拓撲– 支持多端口日志采集和分布式日志采集器部署，可以就近分別采集多個網(wǎng)段的日志，減少日志流量的匯聚– 日志采集器在上傳日志的時候支持數(shù)據(jù)壓縮，降低網(wǎng)絡帶寬占用；支持定時上傳，可以避開網(wǎng)絡流量繁忙期– 支持分布式性能信息采集，并且與管理中心采取壓縮加密的通訊方式 完善的系統(tǒng)自身安全性保證系統(tǒng)具備完善的自身安全性設計，保證系統(tǒng)自身的安全等級符合用戶的整體安全策略。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個方面，如下表所示：信息采集– 日志采集器及性能采集器與管理中心之間支持加密通訊– 日志采集器支持存儲轉發(fā)、斷點續(xù)傳信息存儲– 存儲原始安全事件– 安全事件加密混淆存儲，防止非法訪問和篡改– 單條安全事件不能修改、刪除– 支持安全事件定期備