安全生产_神州数码安全管理平台技术白皮书

神州数码安全管理平台技术白皮书神州数码安全管理平台技术白皮书神州数码（合肥）有限公司2009年5月 第一章 前言3第二章 系统结构4第三章 神州数码安全管理平台（SOC）功能概述43.1 基础安全管理53.1.1资产管理模块53.1.2策略管理模块73.1.3安全知识库管理123.1.4安全公告模块133.2 安全风险管理133.2.1 事件管理中心133.2.2 风险管理中心143.2.3 安全扫描管理193.3 安全评价管理193.3.1安全工作评价193.3.2安全现状评价213.3.3生产性评价223.3.4综合评价243.4 安全工单系统273.4.1派发工单273.4.2移交工单273.4.3审核工单283.4.4 接受工单283.4.5 转派工单293.4.6 催办工单293.4.7 解决工单293.4.8 结束工单293.4.9 归档工单293.4.10 查询工单29第一章 前言互联网的开放性，给网络运营带来了越来越多的安全隐患，互联网网络安全管理工作目前急需加强，相应的安全管理系统及检测手段的建设也势在必行。大型企业的网络规模庞大、系统复杂，其中包含各种网络设备、服务器、工作站、业务系统等。同时安全领域也逐步发展成复杂和多样的子领域，例如访问控制、入侵检测、身份认证等等。这些安全子领域通常在各个业务系统中独立建立，随着大规模安全设施的部署，安全管理成本不断飞速上升，同时对这些安全基础设施产品和它们产生的信息的管理成为日益突出的问题。具体体现在:l 海量事件企业中存在的各种IT设备提供大量的安全信息，特别是安全系统，例如安全事件管理系统和漏洞扫描系统等。这些数量庞大的信息使得管理员疲于应付，容易忽略一些重要但是数量较少的告警。海量事件是现代企业安全管理和审计面临的主要挑战之一。l 孤立的安全信息相对独立的IT设备产生了相对孤立的安全信息。企业缺乏智能的关联分析方法，分析多个安全信息之间的联系，揭示安全信息的本质。例如什么样的安全事件是真正的安全事件，它是否真正影响到业务系统的运行等。l 响应缺乏保障安全问题和隐患被发掘出来，但是缺少一个良好的机制去保证相应的安全措施得到良好的执行。至今困扰许多企业的安全问题之一弱口令就是响应缺乏保障的结果。l 知识孤岛许多前沿的安全技术往往只由企业内部少数人员了解，他们缺少一个途径将这些知识共享出来以提高企业整体的安全水平。目前安全领域越来越庞大，分支也越来越细微，各方面的专家缺少一个沟通的平台保证这些知识的不断积累和发布。l 安全策略缺乏管理随着安全知识水平的提高，企业在自身发展过程中往往制定了大量的安全制度和规定，但是数量的庞大并不能代表安全策略的完善，反而安全策略版本的混乱、内容的重复和片面、关键制度的缺失等等问题在企业中不同程度的存在。l 习惯冲突以往的运维工作都是基于资产的运维，但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护，比如出现病毒问题。这使得安全的运维工作不同于以往的运维工作习惯，造成运维工作效率低下，并且难以规划。总的来看，随着IP技术的飞速发展，网络安全逐渐成为影响网络进一步发展的关键问题。为提升用户业务平台系统的安全性及网络安全管理水平，增强竞争力，神州数码推荐采用神州数码安全管理平台（SOC）整体解决方案来实现安全管理中心的建设。第二章 系统结构 神州数码安全管理平台（SOC）产品功能从逻辑上分为四大部分内容，包括基础安全管理、安全风险管理、安全评价管理和安全工单系统。第三章 神州数码安全管理平台（SOC）功能概述神州数码安全管理平台（SOC）产品功能中基础安全管理分为：资产管理模块、策略管理模块、安全知识库管理、安全公告模块。安全风险管理是安全管理平台的核心模块，主要包括事件管理中心、风险管理中心和安全扫描管理三大部分。安全评价管理实现对企业安全现状的评价，包括企业的资产状况、事件状况、风险状况等。实现对企业安全工作的评价，包括公司级安全工作评价、部门级安全工作评价和个人安全工作评价。评价的主要内容是安全工作量和工作效率。综合分析，包括生成符合运行维护规范的综合数据；通过对数据的深层次挖掘，帮助企业发现问题根源。安全工单系统派发指导操作的作业工单，解决目前网络中存在的安全事项，消除安全隐患。工单系统对工单的流转做全流程的监控，提供工单的查询、统计等功能，同时提供和外部工单系统的接口。3.1 基础安全管理3.1.1资产管理模块资产管理模块是SOC的基础模块，它实现对安全管理平台所管辖的设备和系统对象的管理。它将其所辖IP设备资产信息按其重要程度分类登记入库，并为其他安全管理模块提供信息接口。资产管理模块支持以下的资产管理功能：资产信息导入：支持Excel、txt和指定格式资产信息数据的导入功能；资产信息导出：支持Excel、txt和指定格式（包括神码、三星、ISS等扫描产品可以识别的IP列表格式）；资产信息编辑：支持资产信息人工的添加、修改以及删除功能；资产信息查询：支持资产各项属性关键字组合查询功能，能够帮助用户快速定位所需要查询的资产，查询的字段包括资产编号、资产名称、序列号、资产型号、操作系统、管理员、主机名称、所属管理部门、业务系统、资产类型、资产节点、资产位置、资产IP；资产统计分析：支持以资产各项属性为索引的统计分析能力，例如系统资产分布图表、资产类型分布图表、资产赋值分布图表等等；资产树：以树图形式列出所有资产，方便用户对资产进行浏览和操作，资产树图有多种浏览形式，包括：业务资产树图，按照业务分类浏览；物理资产树图，按照资产的物理位置分类浏览；资产类型树图，按照资产的类型分类浏览等等；资产属性管理：支持根据需求对属性进行定制，例如编辑资产业务系统信息、编辑节点信息、编辑管理部门和人员信息、编辑资产类型信息、编辑操作系统信息等；安全域管理：建立资产所属的安全域信息，建立资产与安全域的关联关系。资产变更管理：资产变更管理主要用来跟踪资产属性的变化情况，以列表的形式将所有的变更记录展示出来，提供制定资产管理决策的依据。资产的关键属性如下：项目描述要求资产编号该业务资产的唯一编号由GeneratorID类直接生成。此字段在编辑时不可修改资产名称该业务资产的助记名称可为中文，最大长度50个字符。此字段在编辑时不可修改固定资产编号该业务资产的固定编号，一般为用户自己定义字符串型数据，最大长度为20个字符所属业务系统该业务资产所属的上一级业务系统的ID号此字段在编辑时不可修改。同时显示平行显示所有业务系统（不包括“未分配”目录）。资产类型该业务资产的具体类型编号在编辑资产时，由用户选择网络节点该业务资产所属的网络节点编号在增加资产时，由用户选择管理部门该业务资产所属的部门在增加资产时，由用户选择管理员一该业务资产所属的管理员一在增加资产时，由用户选择管理员二该业务资产所属的管理员二在增加资产时，由用户选择主机名称该业务资产所属主机的Hostname字符型数据，最大长度为50字符设备型号该业务资产的设备型号字符型数据，最大长度为50字符序列号该业务资产的序列号字符型数据，最大长度为50字符操作系统该业务资产所属主机的操作系统名称在增加资产时，由用户选择安全域该资产所属于的安全域属性在增加资产时，由用户选择应用软件该业务资产上所安装的主要应用软件名称字符型数据，最大长度为50字符存放地点该业务资产具体的存放地点在增加资产时，由用户选择固定成本该业务资产的采购成本浮点型，保留2位小数保修期该业务资产的具体保修时间日期型数据状态该业务资产的运行状态在编辑时由用户选择。正常、维修、故障、迁移、注消用途该业务资产的具体用途字符型数据，最大长度为256字符IP地址该业务资产对应的IP地址在数据库中由另外一张表来维护，资产与IP地址是一对多的关系相关资产与该业务资产相关的一些资产在数据库中由另外一张表来维护保密性该业务资产的保密性赋值取值范围15，为整型保密性说明该业务资产保密性赋值的说明可为中文，最大长度256个字符完整性该业务资产的完整性赋值取值范围15，为整型完整性说明该业务资产完整性赋值的说明可为中文，最大长度256个字符可用性该业务资产的可用性赋值取值范围15，为整型可用性说明该业务资产可用性赋值的说明可为中文，最大长度256个字符相对价值该业务资产的安全价值，是保密性、完整性与可用性的函数值取值范围15，为浮点型，保留1位小数。用户不可修改，由CIA三值计算而来绝对价值该业务资产相对于整个企业的绝对价值浮点型，保留1位小数；用户不可编辑，由系统计算而来备注该业务资产的备注信息可为中文，最大长度256个字符资产管理有以下几个主要特性：l 属性设定符合ISO17799/BS7799和ISO13335风险评估要求；l 同时具备静态和动态的资产管理，静态资产管理管理当前资产现状，动态资产管理管理资产的变更状况；l 与安全域的结合，资产管理在结合安全域后能够更加精确的计算风险。3.1.2策略管理模块制订全网统一的网络安全策略，并有效贯彻执行这些安全策略，不仅有助于提高全网的安全水平，而且将这些安全策略上网发布也有助于知识的共享，让各级安全管理人员合理运用安全策略，有效地管理网络，保障网络的安全运行。因此，安全策略管理模块将负责全网的基本网络安全策略模板的制订，并将安全策略转换为可执行的脚本，便于策略的有效执行和快速部署。在安全管理系统统一界面提供安全策略模板和脚本的录入、更新以及查询等管理功能。提供所有网络产品、安全产品、安全子系统、服务器等的安全管理策略。安全策略管理模块协助用户制定各种级别的安全策略，实现企业安全策略的快速导入以及安全策略的集中分级管理。支持安全策略的不同格式的数据导出、安全策略的数据统计、安全策略的定时发布、安全策略评估等功能，实现企业内所有安全策略的全流程管理。策略管理模块主要功能包括策略树、策略发布、策略讨论、策略更新、策略回顾、策略历史操作回顾等。3.1.2.1模板定制为添加、修改、发布、更新安全策略提供文档格式的模板定制功能，可以定制的内容包括：安全策略的标题信息，包括：策略名称、策略领域、生效时间、策略级别、适用范围、版本号等等；安全策略的引用信息，包括：上级策略、完整性说明、参考信息、相关策略脚本信息等等。模板详细内容参见如下：项目描述策略名称安全策略的名称策略文件显示为安全策略文件的名称，制定者可以将制定好的策略上传到SOC服务器，查阅者可以将策略文件下载到本地阅读策略领域指安全策略的所属的安全领域策略级别指安全策略的策略级别业务系统指安全策略所适用的业务系统制定者指该条安全策略的具体制定人制定时间指该条安全策略的制定时间生效时间指该条安全策略的生效时间审核人指该条安全策略的审核人版本号指该条安全策略的版本号状态该条安全策略目前所属的状态，包括：“草稿”、“讨论”、“正式”、“删除”保密性指该条安全策略对保密性方面的要求保密性说明该条安全策略对保密性方面要求的说明完整性指该条安全策略对保密性方面的要求完整性说明该条安全策略对保密性方面要求的说明可用性指该条安全策略对保密性方面的要求可用性说明该条安全策略对保密性方面要求的说明备注该条安全策略附加的描述信息父策略该条安全策略上一级的父策略名称策略脚本该条安全策略所能够提供的附加推行脚本3.1.2.2策略的制定和管理策略制定是安全策略管理的主要功能，可以协助用户对安全策略进行集中统一的管理，其处理流程为：l 从安全策略模板文件中读出安全策略文件格式信息；l 根据安全策略文件格式信息显示安全策略编辑页面；l 导入安全策略文件的正文内容；l 对策略文件的标题信息进行修正；l 指定策略文件的上级策略、下级策略、参考信息和策略脚本信息；l 讨论、更新、发布制定的策略文件。制定一项安全策略的制定和管理流程图如下：安全策略管理支持多种格式策略文件的导入功能，包括：Word文档、Excel文档、HTML文档和XML文档。系统对这些格式的文件进行自动的转换，统一以HTML的形式向用户呈现。参考信息和策略脚本信息的引入，可以快速地浏览安全策略文件的出处、引用的文档等信息。策略查询功能提供安全策略的组合条件查询功能，帮助用户快速定位所需要的策略信息。这些查询条件包括：策略编号；策略领域；生效时间；适用范围；版本号；参考信息；安全策略支持策略树方式呈现策略，包括：按策略级别；按策略领域；按业务系统；安全策略导出功能可以帮助用户将指定的安全策略文件，按照用户所需要的文件格式导出到指定的存储设备中，可以支持的导出文件格式包括：Word文件，Windows平台下常用的文件格式，一般用于备份存储；Excel文件，Windows平台下常用的文件格式，一般用于备份存储；HTML文件，任何操作平台，一般用于网络发布；XML文件，任何操作平台，一般用于异构平台的数据交互，如集团公司与省公司之间的安全策略上传下达。3.1.2.3安全策略的发布安全策略发布支持的形式有：E-Mail发布：以邮件的形式将指定的安全策略发布到相关管理人员；预警发布：当某个策略需要紧急发布时采用，将“策略需要被阅读”做为一条告警信息；工单发布：当某个策略需要紧急发布时采用，将“策略需要被阅读”做为一条工单信息，预警发布和工单发布可能面对的对象有所不同；论坛讨论：当某个策略需要更大范围讨论或者分发时，将策略发到论坛中；安全策略脚本管理对安全策略条款的具体执行脚本进行管理，帮助安全管理人员快速响应安全策略。安全策略脚本管理功能包括维护脚本名称、脚本责任人、联系电话、邮件地址、脚本说明等基本信息。安全策略脚本本身的编写可通过相关的安全服务实现。3.1.2.4安全策略统计与评估安全策略统计功能可以帮助用户对安全策略的分级策略、版本信息、区域信息进行综合的分析，其中包括的功能有：数量统计：对安全策略文件的数量进行统计，包括策略总数目、分级策略数目；版本信息：对用户不同版本的安全策略进行统计分析，查看不同版本安全策略的变更情况；区域信息：对安全策略的区域信息进行统计分析，查看不同区域安全策略的制定情况。安全策略评估功能支持用户对安全策略自身进行评估，发现策略自身存在的问题，形成风险信息，统一进入安全风险管理模块进行管理。将安全策略统计和评估功能结合起来，能有效的帮助用户对现有管理体系进行审计，可以发现管理体系存在的缺失，例如企业在运行维护管理上很有经验，但是在安全组织建设上缺乏相应制度；同时可以发现具体安全策略的问题，例如某个安全策略可能由于某种原因很难实施等等。3.1.2.5安全策略数据结构安全策略的基本数据结构如下：项目数据库字段名描述策略名称 Name安全策略的名称策略文件Path安全策略文件的链接地址策略领域Domain按照BS17799规范，此安全策略所属的领域策略级别Plevel安全策略的级别业务系统Range安全策略适用于的业务系统名称制定者Creator安全策略的制定者制定时间Createtime安全策略的制定时间生效时间Validtime安全策略的生效时间审批人Auditor安全策略的审批单位/人版本号Version此安全策略的版本号状态Status安全策略目前的状态，包括：草稿、讨论、正式、撤消等等状态评估Assessid此安全策略的评估名称保密性Cvalue安全策略保密性属性赋值保密性说明Cremark安全策略保密性属性赋值说明完整性Ivalue安全策略完整性属性赋值完整性说明Iremark安全策略完整性属性赋值说明可用性Avalue安全策略可用性属性赋值可用性说明Aremark安全策略可用性属性赋值说明备注Description父策略Prepolicy此安全策略的上一级策略名称策略脚本Script该安全策略可执行的策略脚本3.1.3安全知识库管理安全知识库主要提供漏洞库类型统计、事件库类型统计、工单经验库类型统计、病毒库类型统计和补丁库类型统计。漏洞库类型统计是根据SOC的标准分类标准统计各漏洞信息分布情况，帮助安全运维人员熟悉漏洞库的状况，便于日常运维和知识提高。事件库类型统计是根据SOC的标准分类标准统计各安全事件信息分布情况，帮助安全运维人员熟悉事件库的状况，便于日常运维和知识提高。工单经验库类型统计是根据SOC的标准分类标准统计各工单经验信息分布情况，帮助安全运维人员熟悉工单库的状况，便于日常运维和知识提高。病毒库类型统计是根据SOC的标准分类标准统计各病毒信息分布情况，帮助安全运维人员熟悉病毒的状况，便于日常运维和知识提高。补丁库类型统计是根据SOC的标准分类标准统计各补丁信息分布情况，帮助安全运维人员熟悉补丁的状况，便于日常运维和知识提高。3.1.4安全公告模块此模块的主要功能是提供与安全相关的公告信息，公告的来源包括来自于神码定期发布的安全公告包，甚至安全专员手工发送的安全公告信息。安全公告是一种正式的安全信息发布平台，用于提升整个企业或部门的安全水平。安全公告类型有紧急通知、漏洞信息、安全公告等。安全公告系统通过新建公告、审核公告和发布公告等操作来实现安全公告的推行，使公司了解最新安全公告，及时应对最新的安全风险。安全公告功能是SOC安全管理平台的重要功能之一，也是安全专员需要定期访问的功能，操作系统、第三方设备厂商定期发布的漏洞升级包可以在安全公告中发布，重要的安全公告需要通过安全工单系统在全网内运维，保证所有操作系统、第三方设备的漏洞都得到修正，打上相应的补丁，保障全网的安全。安全公告的数据结构如下：项目描述主题该安全公告的主题。发布人该安全公告的发布人姓名、单位等信息。发布时间指该公告的发布时间。公告类型安全公告类型有：紧急通知、漏洞信息、安全公告等。重要性指该公告的重要性程度：高、普通、低三种程度。接收部门安全公告的具体接受部门。综述该公告的详细信息。受影响的软件指受公告影响的软件。不受影响的软件指不受公告影响的软件。解决方案针对该公告具体的解决方案。3.2 安全风险管理3.2.1 事件管理中心事件管理中心主要关注于SOC安全管理平台实时发现的安全事件信息，并通过SOC安全管理平台所具备的事件关联分析技术将真实对业务系统构成威胁的安全事件呈现给用户，进行安全运维。3.2.2 风险管理中心通过风险管理模块可以全面掌握全网各个系统资产的脆弱性以及威胁情况，并综合分析风险信息以及现有的安全措施的情况，计算全网(包含资产、系统和域)的安全风险状态。在掌握全网风险状态的基础上，可以有效地开展风险控制工作：发布预警信息，指导各级安全管理机构及时调整相应设备，开展有针对性的安全工作。3.2.2.1漏洞威胁管理该模块实现对IP网络中主机系统和网络设备安全漏洞信息的收集和管理。可以选择配备远程漏洞评估工具，及时掌握网络中各个系统的最新安全风险动态。漏洞威胁管理模块所包含的功能如下：威胁管理：系统定义威胁类型、威胁程度以及发生的概率，用户还可以对系统定制的威胁进行编缉，同时也可以增加新的威胁；漏洞信息编辑：支持漏洞信息的添加、修改以及删除功能；漏洞信息导入：支持第三方漏洞评估产品扫描结果的导入，包括神码、三星、ISS等漏洞扫描器。导入过程将依据扫描作业的工具和时间对漏洞进行标识；漏洞/威胁信息查询：支持漏洞/威胁各项属性关键字查询；漏洞/威胁信息导出：对存在的漏洞/威胁信息支持Word、Excel、文本、HTML等格式的结果输出以及打印输出；漏洞/威胁统计分析：支持以漏洞/威胁各项属性为索引的统计分析，例如系统漏洞/威胁分布图表、漏洞/威胁等级分布图表、资产漏洞/威胁分布图表、TOP N、漏洞/威胁变化表（每个月新发现的漏洞/威胁数、消除的漏洞/威胁数、残留的漏洞/威胁数）、漏洞/威胁趋势分析图等；资产树：以树图形式列出所有资产，方便用户对该资产存在的漏洞信息进行浏览和操作，树图根依次为所属业务系统、所属节点和资产类型；漏洞自动发现：针对神码网警漏洞扫描器，可以在统一界面中设定扫描的时间、频率和策略，支持扫描结果自动导入漏洞库；漏洞属性管理：支持根据需求对属性进行定制，例如编辑厂商信息、漏洞类别信息，其中系统将内置部分漏洞厂商信息和漏洞类别信息；3.2.2.2整体管理风险管理中心从使用上被分为风险管理和全网风险管理，两者的结合使用能够从整体和局部一起对风险进行分析。风险管理中用户可以看到与本业务部门相关的安全风险信息，这些安全风险信息默认以风险绝对值进行排序。此风险值代表本业务部门的风险状况，和其他部门没有关系，安全专员或安全运维人员可以通过此页面发现本部门相关资产存在的安全风险。风险管理适用于部门级的维护。全网风险管理与风险管理的本质区别在于更关注企业整体所面临的安全风险，它默认为以安全风险的严重程度从高向低排序，紧盯企业最需要解决的安全风险。例如：A部门可能发生的都是级别为中的安全风险，但因为A部门是核心部门，关系到企业的经济命脉，所以综合评定的风险影响值很高，在企业整体风险中排名靠前；与此同时B部门可能发生的是级别为高的安全风险，但因为B部门是二线部门，所以综合评定的风险影响值较低，在企业排名靠后。针对所有风险，风险识别模块均建立相关模型，实现如下功能：风险呈现：支持不同风险模型关联后的风险呈现。风险检索：检索某一条安全风险信息的详细信息，包括该风险所涉及的资产、该资产上的漏洞情况、利用此漏洞已经发生的安全事件详细列表等信息。风险跟踪：跟踪指定目标（资产）、指定时间范围内所发生的所有安全事件，以及该目标资产中安全事件可能利用到“漏洞类”中的所有“漏洞”。风险白名单：所有列在风险白名单中的风险信息在预警时进行豁免处理，白名单功能具有时效性，在超过指定的豁免时间后，进行正常的预警操作。风险黑名单：所有列在风险黑名单的风险均以最高级别进行预警，用户可以优先看到这些预警信息。风险信息查询：支持各种风险模型下，风险各项属性关键字条件组合查询；风险统计分析：支持各种风险模型下，以资产各项属性为索引的统计分析，例如系统风险分布图表、风险等级分布图表、资产风险分布图表、TOP N、风险变化表（每个月新发现的风险数、消除的风险数、残留的风险数）、风险趋势分析图等；资产树：以树图形式列出所有资产，方便用户对资产存在的风险进行浏览和操作，树图根依次为所属业务系统、所属节点和资产类型；风险响应设置：系统定义响应策略包括：预警、生成工单、EMAIL、SNMP TRAP、短信、其他定制方式等。安全风险模型充分考虑了资产环境（安全域）、资产、漏洞和事件之间的关系，建立了风险模糊匹配模型，不再割裂地看待漏洞与事件。同时对于企业用户最关心的病毒、DDOS和主体倾向事件也做了专门地呈现。安全风险模型示意如下：其中：事件是指用户网络中出现的具体的安全事件，例如IDS发现的入侵事件、FW的日志、审计产品的日志等等。威胁的标准定义为威胁将利用漏洞对系统造成损害。威胁是事件和漏洞的联系纽带，因此威胁的设定应当综合各种情况，包括安全事件产品的事件类情况和漏洞情况来建立。漏洞包括扫描器的漏洞和人工评估的具体漏洞。安全域：依据不同的保护等级、资产特性、环境、威胁等因素，资产将被赋予安全域属性。安全域属性能够向用户表明该资产需要特定的保护等级，同时，通过本属性，能够了解到何种威胁对该资产起作用，可能性多大，该值可以认为是构成威胁可能性的一部分。风险模型的数学表达或为：风险=F（资产价值，漏洞值，威胁影响值，威胁可能性）威胁影响值=F（资产价值，安全域赋值）威胁可能性=F（威胁基础值，威胁条件可能性，威胁实际频率）其中威胁基础值是指某一类威胁发生可能性的基础值，由安全服务人员提供；威胁条件可能性针对资产所在安全域的建设情况，该资产发生某一类威胁的可能性，一般由安全服务人员采用问卷的方式，从用户收集相关信息，经过计算而来；威胁实际频率是指该资产发生某一类威胁对应事件的频率，由安全事件管理产品提供，系统同时也会对相同环境，相同配置下的资产进行同样的威胁实际频率进行调整，因为其他相同环境的资产不管有没有发生相关的安全事件，它们存在的威胁可能性频率应该是一致的。在某一段时间用户可能会对某一种安全事件类型非常关注，如病毒。风险识别模块可以定制用户所关心的事件类型进行实时地跟踪和预警，这种用户最关心的事件，风险识别模块采用最细的颗粒度进行呈现，保证安全管理人员不漏掉任何一条可疑事件。另外对于一些主体倾向事件，比如预探测攻击，用户不太关心探测谁，反而关心谁在探测，对于这一类事件将不纳入到风险计算模块中去，系统采用了一种实时跟踪的技术，帮助安全管理人员在最短的时间内发现攻击源，减少攻击对业务系统造成的损失。3.2.2.3风险历史和风险变迁风险历史功能帮助安全专员或安全运维人员查看进行安全风险历史库的安全风险信息。以下安全风险信息将进行风险历史库：已经解决的安全风险；被白名单过滤的安全风险被安全专员或安全运维人员认为不处理的的安全风险；在风险历史功能中用户还可以做如下操作：查看安全风险的状态变迁记录；历史安全风险的条件查询功能。风险状态变迁通过记录风险状态的变化帮助用户回顾整个风险的处理过程，在风险管理列表和风险历史列表中均可以看到这项操作。3.2.2.4风险前转风险前转功能主要用来设置自动发送到安全工单系统的阀值，同时也可以定制不同的发送方式。风险前转功能针对安全风险可以分别设置不同的阀值。对于不同的业务系统，风险前转的阀值也可以不同，这样企业可以针对不同业务系统对安全要求的不同，分别制定有针对性的处理流程。风险前转可以对以下阀值进行设置：项目描述邮件通知定义是否需要通过邮件发送工单信息短信通知定义是否需要通过短信发送工单信息资产相对阀值对应资产的相对价值，大于阀值资产上的所有风险都会自动进入安全工单系统中资产绝对阀值对应资产的绝对价值，大于阀值的资产上所有风险都会自动进入安全工单系统中风险绝对值大于阀值的所有安全风险都会自动进入安全工单系统中3.2.3 安全扫描管理安全扫描管理做为一项审计功能定期对企业网络进行扫描，及时更新企业漏洞现状，为风险计算和事件处理提供基础。3.3 安全评价管理安全评价考核功能能够根据人员、地区、应用系统、网段等内容进行考核，提供多种排序方式，提供图文并茂的考核报告。安全评价管理是安全管理平台的一个重要模块，主要的作用包括以下：实现对企业安全现状的评价，包括企业的资产状况、事件状况、风险状况等。 实现对企业安全工作的评价，包括公司级安全工作评价、部门级安全工作评价和个人安全工作评价。评价的主要内容是安全工作量和工作效率。综合分析，包括生成符合运行维护规范的综合数据；通过对数据的深层次挖掘，帮助企业发现问题根源。如下图所示：安全评价管理可根据用户实际情况定义其他评价内容，例如日报和季度报等。3.3.1安全工作评价安全工作评价主要的作用是通过图表或者报表的形式展现SOC安全管理平台管理域内工单处理方面的统计分析信息，帮助企业了解安全运维的现状。安全工作评价以周报、月报和年报的形式提供。9.1.1 周报SOC安全管理平台每周为每个安全运行维护人员出安全工作周报，每周一0：00生成。周报的内容包括：本周安全工单完成数量和比率：本周完成的事件、风险、公告、人工工单数量；本周工单的处理情况（完成率）。本周安全工单处理效率：本周按时响应的事件、风险、公告、人工工单数量；本周工单的按时响应情况（按时响应率）；本周按时完成的事件、风险、公告、人工工单数量；本周工单的按时处理情况（按时完成率）。本周系统日常使用率等：本周每日登陆系统的次数和本周总次数；本周每日在线的时间长度和本周总时间长度。9.1.2月报SOC安全管理平台每月为每个部门及企业整体出安全工作月报，同时为每个安全运行维护人员出一份安全工作月报，每月1日0：00生成。月报的内容包括：本月安全工单完成数量和比率：本月完成的事件、风险、公告、人工工单数量；本月工单的处理情况（完成率）。本月安全工单处理效率：本月按时响应的事件、风险、公告、人工工单数量；本月工单的按时响应情况（按时响应率）；本月按时完成的事件、风险、公告、人工工单数量；本月工单的按时处理情况（按时完成率）。本月系统日常使用率等：本月每日登陆系统的次数和本月总次数；本月每日在线的时间长度和本月总时间长度。9.1.3年报SOC安全管理平台每年会为每个部门及企业整体出安全年报，每年1月1日0：00生成。年报的内容包括：本年派单最多的前十类安全风险类型统计；本年处理最多的前十类安全风险类型统计；本年处理的最严重的前十个安全风险统计；本年派单最多的前十类安全事件类型统计；本年处理最多的前十类安全事件类型统计；本年处理的最严重的前十个安全事件统计；本年派出的最严重的前十个公告、人工工单统计；本年安全工单完成数量和比率：本年完成的事件、风险、公告、人工工单数量；本年工单的处理情况（完成率）。本年安全工单处理效率：本年按时响应的事件、风险、公告、人工工单数量；本年工单的按时响应情况（按时响应率）；本年按时完成的事件、风险、公告、人工工单数量；本年工单的按时处理情况（按时完成率）。本年系统日常使用率等：本年每月登陆系统的次数和本年总次数；本年每月在线的时间长度和本年总时间长度。3.3.2安全现状评价安全现状评价提供两种不同类型的数据：管理型和生产型。管理型的数据主要用于帮助安全管理人员了解企业的安全状况，以周报、月报和年报的形式提供。9.2.1周报SOC安全管理平台每周为每个业务系统出安全现状周报，每周一0：00生成。周报的内容包括：本周安全事件统计信息：本周发现的紧急、报警、预警、告知的事件数量；本周安全事件的处理情况（完成率）。本周安全风险统计信息：本周发现的极度、高、中、低风险的数量；本周安全风险的处理情况（完成率）。本周安全公告统计信息：本周按公告类型统计的安全公告数量；本周安全公告的处理情况（完成率）。9.2.2月报SOC安全管理平台每月会为每个业务系统及企业整体出安全月报，每月1日0：00生成。月报的内容与周报的内容相似，包括：本月安全事件统计信息：本月发现的紧急、报警、预警、告知的事件数量；本月安全事件的处理情况（完成率）。本月安全风险统计信息：本月发现的极度、高、中、低风险的数量；本月安全风险的处理情况（完成率）。本月安全公告统计信息：本月按公告类型统计的安全公告数量；本月安全公告的处理情况（完成率）。9.2.3年报SOC安全管理平台每年会为每个业务系统及企业整体出安全年报，每年1月1日0：00生成。年报的内容包括：本年频率发生最高的前十个安全事件统计；本年最严重的前十个安全事件统计；本年频率发生最高的前十个安全风险统计；本年最严重的前十个安全风险统计；本年安全事件统计信息：本年发现的紧急、报警、预警、告警的事件数量；本年安全事件的处理情况（完成率）。本年安全风险统计信息：本年发现的极度、高、中、低风险的数量；本年安全风险的处理情况（完成率）。本年安全公告统计信息：本年按公告类型统计的安全公告数量；本年安全公告的处理情况（完成率）。3.3.3生产性评价生产型的数据主要关注在SOC安全管理平台提供的各种安全数据上面，帮助企业安全运维人员快速分析问题，协助解决问题。生产型数据为日常维护辅助数据，因此不考虑定期出报表，根据运行维护情况可随时进行统计分析。3.3.3.1资产管理资产管理主要提供业务资产的分布统计、资产类型的分布统计。业务资产分布统计主要统计业务资产在和各个业务系统中的分布情况，即不同业务系统中资产的数目。目的是帮助各业务系统的管理人员和运维人员了解本系统中资产数量的分布情况。此功能效果图如下：资产类型分布统计主要统计不同类型业务资产的数目。目的是帮助安全管理人员或安全运维人员了解本部门不同类型设备的分布情况。功能效果图如下：3.3.3.2事件管理事件管理主要提供事件级别统计、事件类别统计、事件趋势统计。事件级别统计主要按照事件的影响级别进行统计。目的是帮助安全管理人员或安全运维人员了解本部门不同级别事件的分布情况。事件类别统计主要统计已经发生安全事件中不同事件类型的数目。目的是帮助安全管理人员或安全运维人员了解本部门不同类型事件的分布情况。事件趋势统计主要查看业务系统安全事件数目趋势统计情况。目的是帮助安全管理人员或安全运维人员了解本部门事件发生数目的趋势情况。功能效果图如下：3.3.3.3风险管理风险管理主要提供风险级别统计、风险类别统计、风险趋势统计。风险级别统计主要按照风险的影响级别进行统计。目的是帮助安全管理人员了解本部门或者全网不同级别安全风险严重程度的分布情况。风险类别统计主要按照风险的类型进行统计。目的是帮助安全管理人员或安全运维人员了解本部门不同类型安全风险的分布情况。风险趋势统计主要查看业务系统安全风险数目趋势统计情况。目的是帮助安全管理人员或安全运维人员了解本部门事件发生数目的趋势情况。3.3.4综合评价安全综合评价通过对数据的深层次挖掘，帮助企业发现问题根源，包括风险现状分析、风险趋势分析和人力资源分析三个方面。3.3.4.1风险现状分析风险现状分析首先组合如下数据资源：企业整体资产价值总量及平均到每个设备的资产价值平均量；业务系统资产价值总量及横向对比其他业务系统的排名；业务系统平均到每个设备的资产价值平均量及横向对比其他业务系统的排名；企业整体风险值总量及平均到每个设备的风险值平均量；业务系统风险值总量及横向对比其他业务系统的排名；业务系统平均到每个设备的风险值平均量及横向对比其他业务系统的排名；企业整体事件影响值总量及平均到每个设备的事件影响值平均量；业务系统事件影响值总量及横向对比其他业务系统的排名；业务系统平均到每个设备的事件影响值平均量及横向对比其他业务系统的排名；目标是分析各业务系统间的风险分布情况，发现安全运作可能存在的薄弱环节。例如资产价值平均量越高的业务系统风险值平均量越低，则证明该业务系统的长效安全机制运行越良好；资产价值平均量越高的业务系统事件影响值平均量越低，则证明该业务系统的技术保证机制运行越良好。其次组合如下数据资源：企业总体风险值最高的TOP5类风险类别；5类风险类别中TOP10个风险；每个业务系统风险值最高的TOP5类风险类别；5类风险类别中TOP10个风险；企业总体事件影响值最高的TOP5类风险类别；5类事件类别中TOP10个事件；每个业务系统事件影响值最高的TOP5类事件类别；5类事件类别中TOP10个事件；目标是发现和分析当前对企业造成最大危害的安全问题。3.3.4.2风险趋势分析风险趋势分析首先组合如下数据资源：企业整体风险值总量及平均到每个设备的风险值平均量变化趋势；业务系统风险值总量及平均到每个设备的风险值平均量变化趋势；企业整体事件个数及平均到每个设备的事件个数平均量变化趋势；业务系统事件个数及平均到每个设备的事件个数平均量变化趋势；目标是分析企业及业务系统的风险变化情况，发现安全运作可能存在的薄弱环节。例如业务系统风险值平均量趋势为降低，则证明该业务系统的长效安全机制运行越良好；业务系统事件个数平均量趋势为升高，则证明该业务系统所处的外部环境变差，或者该业务系统技术保证机制需要加强。其次组合如下数据资源：企业总体风险值最高的TOP5类风险类别变化情况；每个业务系统风险值最高的TOP5类风险类别变化情况；企业总体事件个数最多的TOP5类事件类别变化情况；每个业务系统事件个树最多的TOP5类事件类别变化情况；目标是发现和分析当前对企业造成最大危害安全问题的变化趋势，帮助企业调整技术手段以应对环境变化。3.3.4.3人力资源分析人力资源分析组合如下数据资源：事件、风险、公告、人工工单派单率变化趋势：派出工单的数量与总数比率的变化趋势，包括企业整体及各业务系统的总比率和各级别比率；企业整体及各业务系统派发事件、风险、公告、人工工单数量变化趋势；事件、风险、公告、人工工单按时响应率变化趋势：按时响应工单的数量与总工单数比率的变化趋势，包括企业整体及各业务系统的总比率和各级别比率；企业整体及各业务系统按时响应事件、风险、公告、人工工单数量变化趋势；事件、风险、公告、人工工单完成率变化趋势：完成工单的数量与总工单数比率的变化趋势，包括企业整体及各业务系统的总比率和各级别比率；企业整体及各业务系统完成事件、风险、公告、人工工单数量变化趋势；事件、风险、公告、人工工单按时完成率变化趋势：按时完成工单的数量与总工单数比率的变化趋势，包括企业整体及各业务系统的总比率和各级别比率；企业整体及各业务系统按时完成事件、风险、公告、人工工单数量变化趋势；企业整体及各业务系统处理完成的风险和总风险量比率的变化趋势企业整体及各业务系统处理完成的事件和总事件量比率的变化趋势目标是分析企业风险状况与实