【正文】 定時、批量上報的形式，目的在于匯報安全異常行為、請示上級協(xié)助分析。事件的多級管理存在兩個方向的需求：上級向下級傳遞安全事件，目的在于落實對事件的協(xié)查，伴隨事件處理工單的流轉(zhuǎn)，上級將事件傳遞到下級，確保事件層層分解到具體的責(zé)任人。 證書管理：包括平臺服務(wù)器證書管理、用戶身份證書管理、CA證書管理等。 接入注冊認證管理：包括平臺注冊認證申請、審核等。 上、下級平臺接口設(shè)置：包括IP、端口配置，級聯(lián)數(shù)據(jù)同步，安全認證配置等。 平臺基本參數(shù)配置：包括平臺唯一標(biāo)識編碼、活動偵測時間配置等。平臺數(shù)據(jù)包括用戶、事件、狀態(tài)、備份策略、配置數(shù)據(jù)等。 備份與恢復(fù)綜合安全管理平臺提供平臺完整數(shù)據(jù)備份與恢復(fù)、系統(tǒng)備份與恢復(fù)機制，保證避免物理故障、系統(tǒng)硬件維護等造成的數(shù)據(jù)損失或者系統(tǒng)損壞。 系統(tǒng)審計綜合安全管理平臺系統(tǒng)審計記錄每個操作員進入、退出平臺的時間以及在平臺中的所有操作的內(nèi)容，記錄與統(tǒng)計分析平臺軟硬件的異常以及執(zhí)行錯誤指令導(dǎo)致的異常等本身運行狀態(tài)，實現(xiàn)對平臺運行過程中的操作日志和運行日志的記錄、查詢、統(tǒng)計與分析功能。綜合安全管理平臺提供平臺級聯(lián)、安全專項系統(tǒng)、資源管理系統(tǒng)、運維\值班平臺等的交互對象接口配置和連接監(jiān)控方式配置，包括平臺IP與編碼、安全連接方式等。 組件運行狀態(tài)監(jiān)視配置；數(shù)據(jù)庫狀態(tài)信息監(jiān)視配置；216。 系統(tǒng)配置綜合安全管理平臺提供平臺自身的其他配置功能，對平臺自身的配置包括：216。l 支持策略審核與修訂。策略具有名稱、編號、級別、應(yīng)用范圍、發(fā)布人、有效時間、背景說明等基本屬性。 策略管理泰合安管平臺的策略支持平臺配置策略、業(yè)務(wù)管理策略、平臺安全策略等。一般情況下，公安省廳負責(zé)知識庫的整理與傳遞，地市接收并且納入自己的知識庫，以便于地市公安提高人員知識技能，強化事件處理的操作規(guī)范性與有效性。系統(tǒng)預(yù)先建立的知識包括：預(yù)案庫、模板庫、策略庫、案例庫、法律法規(guī)庫、漏洞庫、事件庫，等等，具體界面如下圖所示：平臺內(nèi)的各種知識庫，包括法律法規(guī)庫、事件庫、漏洞庫、案例庫、策略庫、預(yù)案庫等，均支持從上級向下級的分發(fā)同步。 知識庫管理系統(tǒng)提供開放的知識管理功能，內(nèi)置了大量的安全知識，同時也允許用戶在系統(tǒng)使用過程中不斷豐富和完善。 資產(chǎn)信息補全；216。 資產(chǎn)基本信息的導(dǎo)入、導(dǎo)出、新建、刪除、修改等；216。系統(tǒng)提供基于拓撲的資產(chǎn)視圖，可以按圖形化拓撲模式顯示資產(chǎn)，并可編輯資產(chǎn)之間的網(wǎng)絡(luò)連接關(guān)系，通過資產(chǎn)視圖可直接查看該資產(chǎn)的狀態(tài)、事件及告警信息。 資產(chǎn)管理系統(tǒng)提供資產(chǎn)管理功能，可以對網(wǎng)絡(luò)中的管理對象資產(chǎn)進行管理。 支持對各個人員的安全教育培訓(xùn)情況進行管理，并可基于教育培訓(xùn)情況進行人員統(tǒng)計；系統(tǒng)也提供部門管理功能，將人員劃分到各個部門進行統(tǒng)一分配管理。 支持從外部人員庫管理系統(tǒng)獲取數(shù)據(jù)；216。人員庫管理包括：216。本平臺提供的教育培訓(xùn)管理功能，能夠完整記錄人員的培訓(xùn)歷史，并且能夠基于培訓(xùn)歷史進行人員素質(zhì)的評定，從側(cè)面反映各級平臺的人員安全狀況。在人員管理中，另一個非常重要的功能是對人員的安全教育培訓(xùn)情況進行管理。支持對資源、菜單、功能等級別的權(quán)限管理，各功能與菜單間相互獨立。支持根據(jù)需要劃分不同用戶組（域），如按照部門、地域等劃分不同用戶組（域），用戶只具備用戶所屬域內(nèi)的相關(guān)權(quán)限。用戶與資源權(quán)限之間通過角色授權(quán)進行聯(lián)系，身份認證支持包括公安PKI數(shù)字證書在內(nèi)的雙因子認證。系統(tǒng)提供三權(quán)分立的設(shè)計，內(nèi)置系統(tǒng)管理員、用戶管理員和審計管理員。 平臺管理模塊 用戶與授權(quán)提供用戶集中管理的功能，對用戶可以訪問的資源權(quán)限進行細致的劃分，具備安全可靠的分級及分類用戶管理功能。具體界面如下圖所示：排班可以基于日期進行排定，還能夠細化了最多5個時間區(qū)段進行排班。 排班管理在公安的日常運行工作與事件處理過程中，排班管理是一種高效的任務(wù)分配機制，它是與所有安全工作緊密相關(guān)的。l 統(tǒng)計分析模板內(nèi)容：統(tǒng)計內(nèi)容、分析要素、展示方式等。模板管理包括：l 基本管理：預(yù)案和模板的新建、刪除、修改、導(dǎo)入、導(dǎo)出。可根據(jù)實際需求，針對不同安全專項系統(tǒng)特點，自定義不同處理流程，靈活制定工作機制與管理策略。216。216。216。216。216。216。216。 流程管理綜合安全管理平臺采用工作流組件來完成流程管理工作，具體界面如下圖所示：其管理功能包括：216。綜合安全管理平臺提供工作和事件分配配置，通過設(shè)置判斷條件和啟動流程。對于有可能出現(xiàn)的大流量數(shù)據(jù)，綜合安全管理平臺也提供數(shù)據(jù)歸并壓縮的配置功能。綜合安全管理平臺提供信息補全配置功能，提供補全條件和補全內(nèi)容等。綜合安全管理平臺監(jiān)控與報警內(nèi)容包括事件名稱、IP、安全專項系統(tǒng)名稱、事件等級、詳細程度等。綜合安全管理平臺報警條件可以通過告警規(guī)則靈活配置，配置條件包括級別、類別、區(qū)域等。 業(yè)務(wù)配置模塊 監(jiān)控和報警管理綜合安全管理平臺對安全事件、安全預(yù)警、安全專項系統(tǒng)運行狀態(tài)、平臺狀態(tài)的監(jiān)控與報警設(shè)置。系統(tǒng)能夠可視化的展示出每個安全域或業(yè)務(wù)系統(tǒng)隨時間變化的安全管理評估曲線，并能夠進行環(huán)比分析，以及跨安全域或業(yè)務(wù)系統(tǒng)的同比分析。 關(guān)鍵安全管理指標(biāo)分析系統(tǒng)通過對一組表征某個安全域或者業(yè)務(wù)系統(tǒng)安全管理建設(shè)水平的層次化指標(biāo)的計算，得到該安全域或者業(yè)務(wù)系統(tǒng)的安全管理建設(shè)水平評級，以此來表明該安全域或業(yè)務(wù)系統(tǒng)的信息安全管理體系的建設(shè)成熟度。威脅態(tài)勢（威脅KPI）分析：系統(tǒng)通過對一組關(guān)鍵威脅指標(biāo)（KPI）計算得到一個威脅指數(shù)，并以此隨時間描述出一條威脅指數(shù)曲線，從而表征一段時間內(nèi)、某個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)安全威脅狀態(tài)及其發(fā)展趨勢。地址熵態(tài)勢分析：系統(tǒng)通過對收集到的一段時間內(nèi)的海量安全事件的報送IP地址進行熵值計算，得到這些安全事件報送IP聚合度的變化幅度，以此來刻畫這段時間內(nèi)這些安全事件所屬網(wǎng)絡(luò)的安全狀態(tài)，并預(yù)測下一步的整體安全走勢。 安全態(tài)勢分析系統(tǒng)具備安全態(tài)勢感知功能，包括安全整體狀態(tài)的計算和安全整體發(fā)展趨勢的預(yù)測。l 單事件關(guān)聯(lián)通過單事件關(guān)聯(lián)，系統(tǒng)可以對符合單一規(guī)則的事件流進行規(guī)則匹配。規(guī)則的邏輯表達式支持等于、不等于、大于、小于、不大于、不小于、位于……之間、屬于、包含、FollowBy等運算符和關(guān)鍵字。TSOC－GA關(guān)聯(lián)分析借助先進的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r不間斷地所有范式化后的日志流進行安全事件關(guān)聯(lián)分析。業(yè)務(wù)管理類包括本平臺使用人員異常行為分析、考核績效趨勢分析、業(yè)務(wù)系統(tǒng)運行狀態(tài)變化趨勢等。l 支持以郵件等方式自動投遞 關(guān)聯(lián)分析TSOC－GA關(guān)聯(lián)分析通過對告警信息、已經(jīng)處理的事件、業(yè)務(wù)記錄、基礎(chǔ)資源庫等各類信息資源進行綜合關(guān)聯(lián)分析、挖掘和歸并，發(fā)現(xiàn)隱藏在獨立事件與業(yè)務(wù)背后的規(guī)律與事實，實現(xiàn)業(yè)務(wù)考核分析、運行考核分析、平臺自身業(yè)務(wù)分析的綜合與提升。l 通過圖表查詢、展示、打印、存儲分析結(jié)果。應(yīng)支持word、excel、html、pdf報表格式，應(yīng)支持圖形化的報表呈現(xiàn)模式如柱形圖、餅形圖等。為了適應(yīng)可能的考核要求變化，本平臺的自定義報表通過報表中間件來完成，對于上級下發(fā)的報表模板，下級可相應(yīng)制訂報表模板。典型的工作包括匯總的工作周報、工作月報、月通報、年通報等，其中包含了涉及到考核要求的各種信息的匯總。 業(yè)務(wù)考核報表公安對各級平臺有業(yè)務(wù)考核的需求，這一般通過下發(fā)考核模板、并且由下級平臺進行定期報表上報來實現(xiàn)。l 運行分析：依據(jù)專項系統(tǒng)的名稱、服務(wù)名稱、時間、系統(tǒng)提供商、區(qū)域、性能指標(biāo)、連續(xù)工作周期等組合統(tǒng)計和分析。l 流程處理：依據(jù)人員、部門、區(qū)域、事件類別、流程名稱、完成率、超時率等組合統(tǒng)計和分析。公安網(wǎng)絡(luò)面向全體警員可提供的常見業(yè)務(wù)有：a) 設(shè)備出入網(wǎng)注冊服務(wù)；b) 邊界接入申請服務(wù)；c) 公安數(shù)字證書申請服務(wù)；d) 電子印章申請服務(wù)；本平臺也提供對本地化的安全業(yè)務(wù)受理的定制，例如與公安門戶網(wǎng)站的整合，以實現(xiàn)為全體警員服務(wù)的目標(biāo)。服務(wù)受理功能主要提供安全業(yè)務(wù)的受理和處理功能，對不同的安全業(yè)務(wù)提供不同的處理流程，并且該類流程是可配置、可視化、靈活的。 安全服務(wù)工作安管平臺服務(wù)于全體公安干警的功能體現(xiàn)在兩方面：一是安全知識庫功能，二是安全服務(wù)受理。有效的工具是執(zhí)行應(yīng)急響應(yīng)的基礎(chǔ)。l 響應(yīng)處理動作在響應(yīng)處理的具體操作中，平臺提供各種處理手段，包括查處通知、故障問題處理、運行維護調(diào)度單、服務(wù)反饋通知、報警通報等。對于系統(tǒng)自動產(chǎn)生的工單、或者人工發(fā)起的工單、或者協(xié)同工單，均存在應(yīng)急響應(yīng)處理的可能。對于運行過程中的各類工單，管理性工作提供經(jīng)審核后的工單修訂功能，能夠?qū)芜\行流程進行特殊干預(yù)，例如強制退回、重新打開、跳過節(jié)點等等。對于安全員的變動，系統(tǒng)提供安全員管理的審核流程。日志可由領(lǐng)導(dǎo)進行審查，并作為考核依據(jù)。安全巡檢安全巡檢主要是指安全運維人員根據(jù)預(yù)先設(shè)定的安全基線指標(biāo)，對安全專項系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備及安全應(yīng)用系統(tǒng)的各項硬件參數(shù)、軟件參數(shù)及業(yè)務(wù)參數(shù)進行巡檢和記錄，并對巡檢中發(fā)現(xiàn)的異常情況進行匯報和處理。信息簽收對于接收到的各類信息、包括各種工單、通知通報，接收方均應(yīng)提供簽收功能。本平臺的簽到支持人工簽到與自動簽到兩種。如下圖所示：管理簽到按照公安要求，管理簽到主要是提供考勤簽到，實現(xiàn)本級單位安全管理人員和運維人員的簽到功能。 日常工作公安的日常工作包括：簽到、簽收、巡檢、個人工作日志等工作的排班、啟動、工作記錄等。所有的這些配置操作，本平臺都是在工作流中間件里進行的。TSOC－GA充分考慮到了多級平臺架構(gòu)下流程狀態(tài)的反饋能力。216。216。216。216。具體包括：216。系統(tǒng)能夠?qū)崟r地顯示資產(chǎn)的運行狀態(tài)和安全狀態(tài)，并能夠方便地實現(xiàn)與網(wǎng)絡(luò)拓撲視圖的雙向切換。通過網(wǎng)絡(luò)拓撲圖，管理員可以對全網(wǎng)的資產(chǎn)進行可視化的監(jiān)控。系統(tǒng)還能以圖表的形式可視化地顯示每個資產(chǎn)、安全域或業(yè)務(wù)系統(tǒng)風(fēng)險的關(guān)鍵因素，便于管理人員理解風(fēng)險的具體含義。 安全風(fēng)險監(jiān)控系統(tǒng)通過內(nèi)置的風(fēng)險計算模型，綜合考慮資產(chǎn)的價值、脆弱性和威脅，能夠定期自動地計算出資產(chǎn)的風(fēng)險可能性和影響性，并通過二者建立了一個風(fēng)險矩陣，進而計算出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)的風(fēng)險值，并刻畫出資產(chǎn)、安全域和業(yè)務(wù)系統(tǒng)隨時間變化的風(fēng)險變化曲線。 脆弱性監(jiān)控系統(tǒng)具有脆弱性管理功能，能夠?qū)胭Y產(chǎn)的弱點信息，并計算資產(chǎn)/安全域/業(yè)務(wù)系統(tǒng)的脆弱性值。系統(tǒng)既可以展示來源于本級的通知通報，也可展示來自于相關(guān)的級聯(lián)平臺發(fā)布的信息。支持自身如CPU、內(nèi)存、磁盤空間等、數(shù)據(jù)庫內(nèi)存等系統(tǒng)狀態(tài)的報警方式設(shè)置。如專項系統(tǒng)名稱、IP地址、運行狀態(tài)描述、詳細狀態(tài)信息，通過對上述信息的監(jiān)控，可對關(guān)鍵服務(wù)運行故障實現(xiàn)基本定位和跟蹤。管理員可以通過豐富的可視化圖表查看監(jiān)控指標(biāo)信息；可以對監(jiān)控指標(biāo)設(shè)置告警閥值；可以將監(jiān)控指標(biāo)的數(shù)據(jù)保存起來，并進行歷史分析。管理中心具備對多個性能信息采集器的集中管理功能。管理中心內(nèi)置性能信息采集，也提供獨立安裝的性能信息采集器。 設(shè)備性能信息采集系統(tǒng)能夠主動地、周期性地采集各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)的性能與可用性信息，采樣周期、采集參數(shù)都可以獨立配置。2. 根據(jù)預(yù)警來源、預(yù)警類別范圍、預(yù)警的級別、影響的范圍等進行監(jiān)視。系統(tǒng)提供了及時的預(yù)警管理機制，能夠發(fā)布經(jīng)審核的預(yù)警信息，系統(tǒng)支持豐富的預(yù)警類別，支持預(yù)警定級，支持預(yù)警的發(fā)布范圍定義。 安全預(yù)警監(jiān)控平臺提供安全預(yù)警的管理。告警管理則包括對告警信息的查看、處理和統(tǒng)計分析。告警的另一來源于設(shè)備的性能狀態(tài)。系統(tǒng)支持各種告警響應(yīng)動作，包括彈出提示框、發(fā)送郵件、發(fā)送SNMP Trap、發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動、發(fā)送飛鴿傳書、發(fā)送Syslog等告警方式。 告警監(jiān)控相對于來源于原始日志的事件而言，告警是更需要引起關(guān)注的重要信息。u 可以提供基于單個或多個下級平臺或管理域的安全事件監(jiān)控。u 可以提供基于安全事件等級、安全事件分類、安全域的監(jiān)控。具體界面如下圖所示： 安全事件監(jiān)控安全事件監(jiān)控能夠?qū)ζ脚_采集到的安全事件進行實時性的展示和報警，系統(tǒng)提供了實時監(jiān)控視圖，可以根據(jù)內(nèi)置或者自定義的實時監(jiān)視策略，從各個維度實時觀測安全事件的走向，并可以進行事件調(diào)查、鉆取，并進行事件行為分析和來源定位，具體包括：u 監(jiān)控展示，內(nèi)容包括編號、名稱、級別、發(fā)生時間、狀態(tài)、內(nèi)容描述等，并可支持自定義屬性信息的展示。日志采集器統(tǒng)一接入管理中心，實現(xiàn)集中化安全事件管理。 運行監(jiān)控模塊 專項系統(tǒng)日志采集和監(jiān)控系統(tǒng)支持公安系統(tǒng)內(nèi)一機兩用、異常流量、防火墻、入侵攻擊與防御等多種安全專項系統(tǒng)的日志收集，能夠以Syslog、SNMP Trap、FTP、EventLog、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等協(xié)議進行日志采集，并支持對日志進行范式化、過濾、歸并。安全門戶可以被嵌入到公安的其它信息網(wǎng)站中。工作臺能夠支持展示的信息包括：l 公安網(wǎng)各類安全預(yù)警、事件、通報摘要信息；l 公安網(wǎng)各安全專項系統(tǒng)運行摘要信息；l 待辦工作信息；l 個人工作信息；l 運行及服務(wù)狀態(tài)指標(biāo)數(shù)據(jù)；l 安全運行管理考核指標(biāo)數(shù)據(jù)；l 統(tǒng)計分析數(shù)據(jù)；l 平臺自身運行監(jiān)控信息；l 組織機構(gòu)信息，包括上級及本級安全管理組織機構(gòu)、人員等；l 安全技術(shù)、法規(guī)（包括上級及本級的安全管理相關(guān)的制度、文件、規(guī)章）、案例等展示和培訓(xùn)；l 安全服務(wù)信息指南，提供補丁下載、病毒庫更新、安全專項工具和相關(guān)表格等相關(guān)資源幫助信息；應(yīng)急響應(yīng)信息，包括公安信息網(wǎng)安全應(yīng)急預(yù)案等信息。工作臺是與用戶相關(guān)的，它把系統(tǒng)各功能模塊進行有序的聯(lián)系，形成面向用戶的、條理清晰的工作桌面。l 基于浮動窗口的信息顯示安全主頁中能夠以浮動窗口的形式，直接提醒管理人員待辦工作，避免出現(xiàn)工作遺漏。l 基于電子地圖的信息顯示在多級管理架構(gòu)下，各個下級平臺的安全運行狀態(tài)、以及考核得分，能夠在電子地圖上直接查看。列表信息支持實時更新，也支持監(jiān)控窗口的擴展。通過該界面，能夠快速的導(dǎo)航到各個功能。通過