【正文】 規(guī)則支持統(tǒng)計計數(shù)功能，并可以指定在統(tǒng)計時的固定和變動的事件屬性，可以關(guān)聯(lián)出達到一定統(tǒng)計規(guī)則的事件。l 單事件關(guān)聯(lián)通過單事件關(guān)聯(lián)，系統(tǒng)可以對符合單一規(guī)則的事件流進行規(guī)則匹配。l 多事件關(guān)聯(lián)通過多事件關(guān)聯(lián)，系統(tǒng)可以對符合多個規(guī)則（稱作組合規(guī)則）的事件流進行復(fù)雜事件規(guī)則匹配。 可視化安全事件分析系統(tǒng)為用戶提供了豐富的可視化安全事件分析視圖，充分提升分析效率。系統(tǒng)可以為用戶展示一幅管理對象的拓撲圖，反映管理對象的網(wǎng)絡(luò)拓撲關(guān)系，并且在拓撲節(jié)點上標注出每個管理對象的日志量和告警事件量。用戶點擊拓撲節(jié)點可以查詢事件和告警信息詳情。針對安全事件，用戶可以對其源目的IP地址進行追蹤，并在世界地圖上標注出來。安全管理人員也可以對一段時間內(nèi)的安全事件進行行為分析，通過生成一幅行為分析圖形象化地展示海量安全事件之間的關(guān)聯(lián)關(guān)系，從宏觀的角度來協(xié)助定位安全問題。 多維度的業(yè)務(wù)處理過程 豐富的業(yè)務(wù)流程分類TSOC－GA不但是集中監(jiān)控的平臺，同時也是集中處理的平臺。公安行業(yè)日常工作中的各項業(yè)務(wù)過程，在TSOC－GA中都能夠以集中的、高效的、規(guī)范的、流轉(zhuǎn)式的方式來運行。公安的業(yè)務(wù)處理過程是全方位、多維度的，TSOC－GA能夠覆蓋公安信息安全工作中的以下幾類工作流程：178。 管理維度－進行流程調(diào)度、業(yè)務(wù)審核、安全員管理等管理性工作178。 處理維度－進行簽收、響應(yīng)處理、通知、通報等事務(wù)性工作178。 運行維度－進行工作排班、簽到、巡檢、工作日志等個人日常工作服務(wù)維度－面向全體公安干警提供信息發(fā)布與業(yè)務(wù)服務(wù)受理 靈活的流程定制能力TSOC－GA通過客戶化的工作流系統(tǒng)來滿足公安用戶的需要。其靈活性體現(xiàn)在：l 業(yè)務(wù)過程模板化：對于公安最常用的簽到、簽收、巡檢、審核、通知、通報、歸檔、響應(yīng)處理過程，系統(tǒng)均配置為相應(yīng)的流程節(jié)點與流程模板，并提供方便易用的操作界面。因此，這些常用的工作過程，全都可以在平臺內(nèi)進行流轉(zhuǎn)。工作過程中的任務(wù)流轉(zhuǎn)，均通過相應(yīng)的工單進行信息傳遞，工單具備豐富的屬性，并且可以方便進行查詢。l 過程跟蹤工作流程化以后，在任何時候均能夠查看當前任務(wù)的歸屬人、任務(wù)的處理時間、任務(wù)的處理過程歷史、工單狀態(tài)，等等。通過對流程任務(wù)的監(jiān)控，管理人員能夠非常清楚地掌握當前各項工作的處理狀態(tài)，及時發(fā)現(xiàn)工作中的疏漏l 過程的客戶化由于每個省廳的安管人員配置不同、崗位設(shè)置有異，具體的處理過程有可能有非常大的區(qū)別。此外，某種具體的業(yè)務(wù)流程，也需要在實踐過程中進行不斷地優(yōu)化與完善。因此，平臺的工作流必須是可修改的，這就是客戶化的工作。本平臺內(nèi)嵌了一個強大的工作流引擎，能夠完美地支持這種客戶化修改。所有的修改工作都是在界面上配置而成，靈活方便。l 角色化工作流模塊與用戶管理、權(quán)限管理模塊有緊密聯(lián)系。所有的任務(wù)節(jié)點，均可以配置為某一個或多個角色，也可以配置為一個或多個具體用戶，還可以基于權(quán)限進行設(shè)置處理人。當出現(xiàn)多個可執(zhí)行人時，系統(tǒng)也提供接替功能，可以設(shè)置判斷條件來決定流程的下一步流向。l 流程的可視性工單的當前流轉(zhuǎn)狀態(tài)、歷史過程，均是以圖形化的方式進行展現(xiàn)，方便管理員掌握工作的過程l 流程的擴展能力工作流系統(tǒng)具備良好的擴展性，可通過多種接口與外部系統(tǒng)進行交互，實現(xiàn)工單觸發(fā)響應(yīng)動作、與其它流程性系統(tǒng)進行互操作等。 全方位的IT系統(tǒng)性能與可用性監(jiān)控 網(wǎng)絡(luò)拓撲管理系統(tǒng)能夠描繪出網(wǎng)絡(luò)拓撲圖，展示IT資產(chǎn)之間的邏輯拓撲連接關(guān)系，并能夠自動進行多種拓撲布局。通過網(wǎng)絡(luò)及服務(wù)拓撲圖，管理員可以對全網(wǎng)的資產(chǎn)進行可視化的監(jiān)控。拓撲圖具備動態(tài)更新能力，能夠?qū)崟r地顯示資產(chǎn)的運行狀態(tài)和安全狀態(tài)，能夠方便地鏈接到其他功能模塊。系統(tǒng)還提供了機房機架視圖，將客戶資產(chǎn)設(shè)備根據(jù)實際機架擺放可視化地展示出設(shè)備的物理擺放。管理員透過機架視圖可以清楚地知道每個資產(chǎn)的位置。機架視圖也具備動態(tài)更新能力，能夠?qū)崟r地顯示資產(chǎn)的運行狀態(tài)和安全狀態(tài)。 支持多種監(jiān)控對象系統(tǒng)支持對大部分主流IT軟硬件資產(chǎn)的監(jiān)控，部分監(jiān)控對象如下表所示：設(shè)備類型 廠商或產(chǎn)品 交換機所有支持SNMP協(xié)議（包括V3）的交換機，例如Cisco、Extreme、Juniper、博科、華為、H3C、神州數(shù)碼、銳捷等路由器所有支持SNMP協(xié)議的路由器，例如Cisco、Extreme、Juniper、華為、H3C、神州數(shù)碼、銳捷等防火墻 /UTM/USG 啟明星辰、網(wǎng)御星云，以及支持SNMP協(xié)議的安全網(wǎng)關(guān)類設(shè)備，例如Cisco、Juniper Netscreen、飛塔、Checkpoint、Nokia、天融信、東軟、網(wǎng)御神州、H3C、迪普、山石等VPN 只要支持SNMP協(xié)議即可，例如啟明星辰、網(wǎng)御星云、天融信 網(wǎng)閘只要支持SNMP協(xié)議即可，例如網(wǎng)御星云 IDS/IPS/IDP 只要支持SNMP協(xié)議即可，例如啟明星辰、網(wǎng)御星云 AntiDDoS只要支持SNMP協(xié)議即可，例如啟明星辰、網(wǎng)御星云、綠盟 WAF 只要支持SNMP協(xié)議即可，例如啟明星辰、網(wǎng)御星云服務(wù)器 IBM AIX 、HPUX 、Microsoft Windows、SUN Solaris、Linux等 數(shù)據(jù)庫Oracle、SQL Server、DBMySQL、Informix、Sybase等中間件Weblogic、WebShpere、JBoss、Apache、Tomcat、Domino存儲系統(tǒng)HP、IBM、VERITA應(yīng)用服務(wù)SMTP、POPHTTP、FTP、TELNET、SSH、SSHDNS、DHCP、WINS、LDAP、URL其它 只要支持SNMP協(xié)議（包括V3）即可 全方位細粒度監(jiān)控系統(tǒng)對于各種監(jiān)控對象都能進行全方位細粒度的監(jiān)控，具有豐富的監(jiān)控指標。管理員可以通過豐富的可視化圖表查看監(jiān)控指標信息；可以對監(jiān)控指標設(shè)置告警閥值；可以將監(jiān)控指標的數(shù)據(jù)保存起來，并進行歷史分析。如下表所示，顯示了主要監(jiān)控對象典型的監(jiān)控指標：設(shè)備對象監(jiān)控指標網(wǎng)絡(luò)設(shè)備設(shè)備名稱、IP信息、描述、節(jié)點狀態(tài)、運行時間、接口信息、路由信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)性能信息安全設(shè)備設(shè)備名稱、IP信息、描述、節(jié)點狀態(tài)、運行時間、接口信息、路由信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)性能信息服務(wù)器 名稱、IP、描述、節(jié)點狀態(tài)、運行時間、網(wǎng)絡(luò)接口信息、CPU利用率、內(nèi)存利用率、磁盤利用率、磁盤IO、文件系統(tǒng)、安裝軟件、安裝服務(wù)、運行進程、 網(wǎng)絡(luò)連接，支持自定義指標數(shù)據(jù)庫名稱、版本、端口、主機名、內(nèi)存信息、運行狀態(tài)、事務(wù)信息、緩存信息、連接信息、鎖信息、SQL統(tǒng)計、命中率信息、表空間信息、訪問方法明細、數(shù)據(jù)庫明細中間件名稱、版本、端口、連通性、運行狀態(tài)、CPU、內(nèi)存、事務(wù)、JVM Runtime、隊列、Servlet會話、線程池、EJB、JDBC連接其它 只要支持SNMP、JMX、ODBC/JDBC協(xié)議即可 基于風(fēng)險矩陣的量化安全風(fēng)險評估系統(tǒng)參照GB/T 209842007信息安全風(fēng)險評估規(guī)范、ISO 27005:2008信息安全風(fēng)險管理，以及OWASP威脅建模項目中風(fēng)險計算模型的要求，設(shè)計了一套實用化的風(fēng)險計算模型，實現(xiàn)了量化的安全風(fēng)險估算和評估。系統(tǒng)在資產(chǎn)管理功能中，除了記錄資產(chǎn)的基本屬性，還維護著資產(chǎn)的安全屬性，包括CIA（Confidentiality/Integrality/Avaliablity，私密性、完整性、可用性）三種屬性。系統(tǒng)能夠根據(jù)資產(chǎn)的安全屬性遭受破壞后對所屬業(yè)務(wù)系統(tǒng)的影響性程度計算出資產(chǎn)的價值，并進而計算出安全域和業(yè)務(wù)系統(tǒng)的價值。系統(tǒng)具有脆弱性管理功能，能夠?qū)胭Y產(chǎn)的弱點信息，并計算資產(chǎn)/安全域/業(yè)務(wù)系統(tǒng)的脆弱性值。系統(tǒng)能夠通過多種方式展示資產(chǎn)/安全域/業(yè)務(wù)系統(tǒng)的弱點信息，支持時間趨勢分析和橫向?qū)Ρ确治?。系統(tǒng)具有威脅管理功能，能夠根據(jù)資產(chǎn)的安全事件信息自動計算出資產(chǎn)的威脅值。傳統(tǒng)的風(fēng)險計算都是通過資產(chǎn)、弱點和威脅三者簡單相乘獲得資產(chǎn)風(fēng)險值，雖然考慮到了風(fēng)險要素信息，但是卻沒有體現(xiàn)出各風(fēng)險要素是如何構(gòu)成資產(chǎn)風(fēng)險成因的。系統(tǒng)引入了當前國際最新的風(fēng)險計算模型，從風(fēng)險的可能性和風(fēng)險的影響性兩個角度來估算資產(chǎn)的風(fēng)險值。系統(tǒng)通過內(nèi)置的風(fēng)險計算模型，綜合考慮資產(chǎn)的價值、脆弱性和威脅，能夠定期自動地計算出資產(chǎn)的風(fēng)險可能性和影響性，并通過二者建立了一個風(fēng)險矩陣，進而計算出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)的風(fēng)險值，并刻畫出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)隨時間變化的風(fēng)險變化曲線。系統(tǒng)能夠形象地展示出安全域的風(fēng)險矩陣，從可能性和影響性兩個角度標注安全域中風(fēng)險的分布情況，通過風(fēng)險矩陣法，指導(dǎo)管理員進行風(fēng)險分析，采取相應(yīng)的風(fēng)險處置對策。 指標化的宏觀態(tài)勢感知系統(tǒng)能夠從宏觀的角度對客戶的整體網(wǎng)絡(luò)安全進行評估，對整體安全管理建設(shè)的水平進行評估，為客戶提升安全防護能力提供決策支持，同時也為客戶提升信息安全管理體系建設(shè)成熟度提供決策支持。系統(tǒng)為用戶提供了兩個維度的態(tài)勢感知能力。一方面，系統(tǒng)從安全本身的發(fā)展變化入手，通過對事件和威脅的分析來評估當前網(wǎng)絡(luò)的整體安全態(tài)勢，分為地址熵態(tài)勢分析和威脅態(tài)勢分析；另一方面，系統(tǒng)從客戶借助系統(tǒng)達成的安全管理水平入手，通過對一系列管理指標的度量，來評估當前某個網(wǎng)絡(luò)區(qū)域的安全管理水平，稱作關(guān)鍵安全管理指標分析。 地址熵態(tài)勢分析系統(tǒng)通過對收集到的一段時間內(nèi)的海量安全事件的報送IP地址進行熵值計算，得到這些安全事件報送IP聚合度的變化幅度，以此來刻畫這段時間內(nèi)這些安全事件所屬網(wǎng)絡(luò)的安全狀態(tài)，并預(yù)測下一步的整體安全走勢。系統(tǒng)能夠持續(xù)地描繪地址熵態(tài)勢曲線，并可以顯示每個時段的地址態(tài)勢成因圖。通過對三種典型態(tài)勢成因圖的模式分析，可以識別兩種典型的態(tài)勢異常，并支持對異常態(tài)勢信息的逐層下鉆，直至定位到導(dǎo)致態(tài)勢異常的關(guān)鍵安全事件。 威脅態(tài)勢分析威脅態(tài)勢分析，也稱作威脅KPI，系統(tǒng)通過對一組關(guān)鍵威脅指標（KPI）的計算得到一個威脅指數(shù)，并以此隨時間描述出一條威脅指數(shù)曲線，從而表征一段時間內(nèi)、某個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)安全威脅狀態(tài)及其發(fā)展趨勢。系統(tǒng)建立了一套動態(tài)的多維威脅指標體系，通過帕累托分析法，協(xié)助管理員對當前的威脅成因進行辨別，實現(xiàn)對關(guān)鍵威脅因素從宏觀到中觀，再到微觀的層層下鉆，直至定位到導(dǎo)致威脅態(tài)勢異常的關(guān)鍵安全事件。 關(guān)鍵安全管理指標分析 該功能需要根據(jù)客戶實際進行定制，默認不提供。系統(tǒng)通過對一組表征某個安全域或者業(yè)務(wù)系統(tǒng)安全管理建設(shè)水平的層次化指標的計算，得到該安全域或者業(yè)務(wù)系統(tǒng)的安全管理建設(shè)水平評級，以此來表明該安全域或業(yè)務(wù)系統(tǒng)的信息安全管理體系的建設(shè)成熟度。系統(tǒng)將表征安全管理建設(shè)水平的這套層次化指標稱作關(guān)鍵管理指標，每個指標項都建立了一個針對某類安全事件的度量標準。系統(tǒng)能夠可視化的展示出每個安全域或業(yè)務(wù)系統(tǒng)隨時間變化的安全管理評估曲線，并能夠進行環(huán)比分析，以及跨安全域或業(yè)務(wù)系統(tǒng)的同比分析。對于每個關(guān)鍵管理指標都支持指標項的下鉆，實現(xiàn)從宏觀到微觀的聚焦。 豐富靈活的報表報告 可擴展的報表內(nèi)容出具報表報告是安全管理平臺的重要用途，系統(tǒng)內(nèi)置了豐富的報表模板，包括統(tǒng)計報表、明細報表、綜合報告、公安專用考核報表等，管理人員可以根據(jù)需要生成不同的報表。系統(tǒng)內(nèi)置報表生成調(diào)度器，可以定時自動生成日報、周報、月報、季報、年報，并支持以郵件等方式自動投遞，支持以PDF、Excel、Word等格式導(dǎo)出，支持打印。系統(tǒng)還內(nèi)置了一套報表編輯器，用戶可以自行設(shè)計報表，包括報表的頁面版式、統(tǒng)計內(nèi)容、顯示風(fēng)格等。 公安業(yè)務(wù)考核支持TSOC－GA能夠基于平臺的各類監(jiān)控數(shù)據(jù)、管理數(shù)據(jù)生成考核報告，并且具備定期自動生成運行日通報、月通報的能力，并且支持將通報自動發(fā)布到公安信息安全相關(guān)的網(wǎng)站上。支持公安部頒布的各類安全管理、運行維護考核指標，支持量化計算，支持圖形化的排名分析，支持多級平臺下的匯總考核分析報告，極大地降低了公安日常管理考核的工作量。 可運維的多級管理架構(gòu) 級聯(lián)內(nèi)容平臺的多級管理架構(gòu)是與公安的行政體系相適應(yīng)的。TSOC－GA支持三級甚至四級系統(tǒng)互聯(lián)，并在多級架構(gòu)下實現(xiàn)了以下重要的運維相關(guān)功能：l 多級系統(tǒng)間的認證注冊功能l 事件的相互傳遞機制l 整體安全狀態(tài)的上報l 上下級之間的工單流轉(zhuǎn)l 安全事件的協(xié)同處理l 知識庫(包括策略庫、模板庫等)的同步功能l 級聯(lián)系統(tǒng)的狀態(tài)監(jiān)控能力l 考核數(shù)據(jù)的上報、分析能力l 人員信息的上報與同步功能 虛擬下級TSOCGA支持在地市平臺中建立多個虛擬縣級平臺，使用縣級管理帳號登錄地市平臺后仍然能夠完成基本的安全管理工作，例如在所屬縣的范圍內(nèi)進行工單處理、查閱通知通報、進行技術(shù)交流等。虛擬縣級平臺的建立，簡化了地市公安局的安全管理與運維過程，有利于地市公安局快速構(gòu)建起基本的分級管理架構(gòu)。 對用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小系統(tǒng)在實現(xiàn)對用戶網(wǎng)絡(luò)中的IT設(shè)施進行集中日志采集的同時，采取多種技術(shù)手段，力求對用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。管理對象影響性分析– 日志信息和性能信息的采集以遠程為主，基本不必安裝在管理對象上采集代理– 性能數(shù)據(jù)的數(shù)據(jù)采樣時間可調(diào)、粒度可配置 – 主要采取被動采集技術(shù)收集日志，不會對管理對象發(fā)起主動連接，不影響管理對象的現(xiàn)有安全機制網(wǎng)絡(luò)影響性分析– 采用旁路接入模式，系統(tǒng)部署無需修改網(wǎng)絡(luò)拓撲– 支持多端口日志采集和分布式日志采集器部署，可以就近分別采集多個網(wǎng)段的日志，減少日志流量的匯聚– 日志采集器在上傳日志的時候支持數(shù)據(jù)壓縮，降低網(wǎng)絡(luò)帶寬占用；支持定時上傳，可以避開網(wǎng)絡(luò)流量繁忙期– 支持分布式性能信息采集，并且與管理中心采取壓縮加密的通訊方式 完善的系統(tǒng)自身安全性保證系統(tǒng)具備完善的自身安全性設(shè)計，保證系統(tǒng)自身的安全等級符合用戶的整體安全策略。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個方面，如下表所示：信息采集– 日志采集器及性能采集器與管理中心之間支持加密通訊– 日志采集器支持存儲轉(zhuǎn)發(fā)、斷點續(xù)傳信息存儲– 存儲原始安全事件– 安全事件加密混淆存儲，防止非法訪問和篡改– 單條安全事件不能修改、刪除– 支持安全事件定期備