安全管理平台解决方案模板(省级)

XX公安安全管理平台建设方案北京启明星辰信息技术股份有限公司

BeijingVenusTechnologyCo.Ltd.

TIME\@"yyyy年M月"2013年7月目录1 前言 42 设计依据 53 术语和定义 74 建设原则 85 系统现状及需求分析 96 安全管理平台建设目标 116.1 集中监控告警 116.2 事件定位处理 116.3 安全关联分析 116.4 实时风险管理 126.5 安全运维流程 126.6 安全管理流程 126.7 策略知识体系 127 安全管理平台方案设计 147.1 平台概述 147.2 系统组成 147.3 系统架构 157.4 平台功能描述 177.4.1 集中展示模块 177.4.2 运行监控模块 197.4.3 业务处理模块 247.4.4 业务统计模块 287.4.5 关联分析 307.4.6 安全态势分析 317.4.7 关键安全管理指标分析 327.4.8 业务配置模块 327.4.9 平台管理模块 367.4.10 接入交换管理模块 407.5 系统接口 427.6 部署方式 437.6.1 单级部署 437.6.2 级联部署 447.7 运行环境要求 458 启明星辰公安安全管理平台特性优势 478.1 多层次的安全事件管理 478.1.1 安全专项系统的信息采集 478.1.2 支持分布式日志采集 488.1.3 详尽的日志范式化与事件分类 498.1.4 智能化安全事件关联分析 498.1.5 可视化安全事件分析 508.2 多维度的业务处理过程 508.2.1 丰富的业务流程分类 508.2.2 灵活的流程定制能力 518.3 全方位的IT系统性能与可用性监控 528.3.1 网络拓扑管理 528.3.2 支持多种监控对象 528.3.3 全方位细粒度监控 538.4 基于风险矩阵的量化安全风险评估 548.5 指标化的宏观态势感知 558.5.1 地址熵态势分析 558.5.2 威胁态势分析 558.5.1 关键安全管理指标分析 568.6 丰富灵活的报表报告 568.6.1 可扩展的报表内容 568.6.2 公安业务考核支持 568.7 可运维的多级管理架构 578.7.1 级联内容 578.7.2 虚拟下级 578.8 对用户网络和业务影响最小 578.9 完善的系统自身安全性保证 588.10 有好的用户交互体验 599 二次开发模块及系统对接说明 599.1 二次模块开发说明 599.2 与XX公安现有系统对接说明 6010 成功案例 6010.1 成功案例名单 6010.2 典型案例 6111 项目预算 64

前言网络的快速发展为经济建设和社会发展带来了巨大的影响，随着信息化建设的飞速发展，信息安全系统已成为XX公安工作的重要资源和基础平台。目前XX公安的安全专项系统主要有：“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统。近年来公安网络安全问题呈现日益严重的趋势，从公安部的相关统计数据中可以看出，“一机两用”违规事件、病毒传播率、漏洞发生率等涉及网络安全的考核指标，都在不同程度的增加。因为信息泄密、信息遭受破坏等带来的损失越来越令人触目惊心。在这种大的形势下，网络安全的重要性被提到了前所未有的高度。由于公安以往的信息系统都是针对具体的应用进行设计，未考虑系统的综合管理，所以在管控手段和管控水平上极需加强。另外，随着公安信息应用的进一步推进，对信息安全的日常运维和应急预案等方面提出了更高的要求，切实需要建立省市两级信息通信部门的快速反应机制，强化信息系统基础平台的安全管理，建设可信的信息系统环境，为公安各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。设计依据国际国内标准和规范：《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实施办法》《中共中央关于加强新形势下保密工作的决定》（中发[1997]16号）《计算机信息系统保密管理暂行规定》（国保发[1998]1号）《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》（中保办发[1998]6号）《关于加强政府上网信息保密管理的通知》（国保发[1999]4号）《计算机信息系统国际联网保密管理规定》（国保发[1999]10号）《关于加强计算机信息网络保密管理的通知》（中保委发[2002]4号）《国家信息化领导小组关于我国电子政务建设指导意见》（中办发[2002]17号）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于加强信息安全保障工作中保密管理的若干意见》（中保委发[2004]7号）《涉及国家秘密计算机信息系统集成资质管理办法》（国保发[2005]5号）《信息系统保密管理规定》中华人民共和国保密标准：BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》BMZ3-2001《涉及国家秘密的计算机信息系统安全保密测评指南》BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》BMB4-2000《电磁干扰器技术要求和测试方法》BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》BMB10-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》BMB11-2004《涉及国家秘密的计算机信息系统防火墙安全技术要求》BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品安全技术要求》BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》GB及参考文献：GB17859-1999计算机信息系统安全保护等级划分准则。GB/T18336.1-2001信息技术安全技术信息技术安全性评估准则第一部分：简介和一般模型（idtISO/IEC15408-1：1999。GB/T18336.2-2001信息技术安全技术信息技术安全性评估准则第二部分：安全功能要求（idtISO15408-2:1999）。GB/T18336.3-2001信息技术安全技术信息技术安全性评估准则第三部分：安全保证要求（idtISO15408-3:1999）。GB/T9387.2-1995信息系统开放系统互连基本参考模型第2部分：安全体系结构。ISO/IEC17799：2000信息技术信息安全管理实用规则。BMB17-2006涉及国家秘密的计算机信息系统分级保护技术要求。GB50174-1993电子计算机机房设计规范。GB/T20269-2006信息安全技术信息系统安全管理要求。ISO/IECTR18044:2004，信息技术安全技术—信息安全事件管理。GB/T20270-2006信息安全技术网络基础安全技术要求。GB/T20282-2006信息安全技术信息系统安全工程管理要求。GB/T20271-2006信息安全技术信息系统通用安全技术要求。术语和定义下列术语和定义适用于本方案。术语解释安管平台本规范中的“安管平台”特指公安集中安全管理平台。它是实现公安信息网信息安全管理的技术支撑平台。它以流程和标准化的方法为手段，实现安全业务监控和安全事件的处理，为安全运营和管理提供支撑。安全专项系统为特定安全目标建立的安全系统，包括但不限于现有的几大系统：“一机两用”监控系统、补丁分发系统、病毒监控预警系统、边界安全接入平台、入侵监测系统、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统。工单指为了完成某个具体业务请求所使用的协同工作载体，承载内容包括业务状态、业务数据和业务要求等，按业务处理流程进行流转。活动活动组成了业务流程中的步骤和任务，是按照规范流程要求而采取的动作，在安管平台中，活动包括判断、响应、流转、处置等。业务流程业务流程是为达到特定的价值目标而由不同的人协作完成的一系列活动。活动之间不仅有严格的先后顺序限定，而且活动的内容、方式、责任等也都必须有明确的安排和界定，以使不同活动在不同岗位角色之间进行转手交接成为可能。本文主要指信通网中与安全运行管理相关的签到、巡检、签收、通报告警、响应处理、审核等流程。安全事件由计算机信息系统或者网络中的各种设备与系统，例如安全子系统、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。安全策略安全策略是各种论述、规则和准则的集合，用以解释和说明公安信息网资源使用以及网络与业务保护的方式和要求。建设原则安全性。XX公安的SOC安全管理平台建设，必须具备在各个层次上的安全策略、体系和管理办法，并系统地解决安全问题的能力。有效性和实用性。网络的安全对所有用户是透明的，操作的人机界面必须达到安全、简捷、方便，同时不影响现有网络安全的功能和系统的正常运行。开放性。网络安全系统和设备，必须适应多种软、硬件平台和通讯的能力。自主性和可控性。根据国家相关的法规和政策，在安全建设的过程中，安全设备必须通过国家有关管理部门（主要是公安部门）的认可或认证，保证其配置及设备的合法性。适应性和可扩展性。所采取的措施必须能随着网络性能及安全需求的变化而变化，要具备可扩充性和可升级性，以适应将来网络规模的发展。业务符合性。平台所提供的事件监控、处理流程，必须符合公安行业的实际工作特性与工作过程。可管理性。网络安全系统必须具备良好的可管理性。系统现状及需求分析目前XX公安信息专网涉及地域广泛，包括省厅及直属单位、个地市，多个区县等接入单位；应用系统繁多，共有100多个应用系统。随着XX公安信息网的不断发展，网络范围越趋扩大，主机设备、网络设备、安全设备数量也随之不断地增长，并且种类繁多、部署分散，这些系统每天都要产生成千上万的各类安全事件和告警信息。XX公安非常重视公安信息安全建设，目前建成包括“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统等安全专项系统，这些系统在省厅及各地市得到应用，但各个系统提供独立的安全管理监控平台，形成多个“信息孤岛”，缺乏全网统一的安全状况实时监控了解工具，缺乏安全策略与安全技术相结合的沟通手段，没有一套完善的安全管理机制，没有专门负责安全监控的组织和人员，现有的安全管理、安全监控手段已经不能满足日益扩展的复杂的信息安全保障的需要，因此难以有效发挥其功能作用。目前XX省公安厅的安全管理系统存在以下问题：网络范围越趋扩大，主机设备、网络设备、安全设备数量也随之不断地增长，并且种类繁多、部署分散，这些系统每天都要产生成千上万的各类安全事件和告警信息，但是安全事件得不到有效处理。告警信息得不到有效分析。安全告警信息没有与具体的设备资产想关联，发现告警后无法定位和处理，比如病毒信息和IDS安全告警信息，因为没有和具体的设备相关联，无法及时定位和处理；网络中各安全设备基本采用各自分散的管理模式，而零散的安全信息很难形成集中性的、对决策、判断及处理有重要意义的数据没有明确的安全监控、处理、安全管理流程和上报工作流程，缺乏有效的事件处理机制，当产生安全事件时，相关人员按照自己的想法和理解进行处理，可能会造成更大的损失和影响；缺乏全网统一的安全状况实时监控了解工具，缺乏安全策略与安全技术相结合的沟通手段。缺乏明确的人员职责定位与考核标准，安全告警不能落实到具体责任人，安全事件处理不能落实到任务处理人，难以形成高效的绩效考核机制。缺乏与安全管理工作相适应的安全知识体系。安全告警发生之后无法及时寻找对应的知识库进行参照处理。针对上述问题，并根据网络与信息安全风险管理的本质，对风险进行有效的控制，围绕“重要资产、重要告警、重点监控”的工作目标，建议XX公安信息网建设安全管理平台系统，从而解决上述问题及满足省厅相关规范，最终逐步形成具有XX公安信息网特色的功能成熟、并能切实发挥作用的安全管理平台。安全管理平台建设目标XX公安的SOC安全管理平台的建设目标是搭建以事件管理为核心的集中安全监控平台，通过实现对网络/系统中采集到的安全事件、资产、漏洞、风险、预警的进行集中监测和分析，实现安全告警管理与安全事件的流程化处置，建立安全策略管理基本框架。初步建立安全知识体系和应急响应体系，从而提高科通处所管理系统的安全威胁实时检测率，降低被成功攻击的概率，提高安全事件的响应速度。其具体目标可表现为：集中监控告警统一监控管辖范围内的主机、网络设备、安全设备、数据库、中间件、服务和机房设备，为用户提供一个全方位监控的统一管理平台，使得管理员通过一个单一控制台就能够进行实时全网监控，保障全网IT计算环境基础设施的可用性，业务的持续性和安全性。事件定位处理在所的监控的设备发生故障或安全事件时，监控系统能帮助管理员快速、准确地找到问题的根源所在，有效排查。对于‘一机两用’这类公安的专项系统，必须能够在事件发生的第一时间定位到所属区域、责任人，并且能够以便捷的通知方式（例如短信、邮件、网上通知）快速下发信息，明确处理人，以工单流转的方式进行及时处理。安全关联分析安全系统产生的日志数量是非常庞大的，要在这些事件里找出有用的信息，没有安全管理平台的帮助，几乎是不可能实现的。安全管理平台需要提供的事件关联分析功能，帮助管理员对事件进行相关性分析，得出需要关注的少量的安全事故，大大降低事件处理的工作量，使重要的事件能够以较高的优先级被处理。对于所收集到的事件，安全管理平台需要将其标准化后赋予其唯一的ID，以实现事件关联效率高，分析更清楚，和事故处理知识库能紧密联系。实时风险管理风险管理以业务系统为核心，以资产为基础，依据等级保护标准GB/T22239-2008和公安行业规则，提供两大规则库供安全管理员对重要业务系统进行等级评定和风险管理，以实时展现业务系统存在的威胁、脆弱性和风险，尽可能减少或避免业务系统面临的风险，确保业务系统在网络环境中能够持续、稳定和安全的运行。安全运维流程公安信息安全工作中的重点是日常的安全运维工作，包括签到、巡检、事件处置、通知通报、响应等工作环节，运维工作强调制度化、流程化与标准化，核心是事件的处理过程。平台需要内置事件处理流程工单系统，通过与可定制安全知识库的结合，可方便快捷的将安全事故处理建议分发给负责人员进行事故的及时处理并反馈。安全管理流程作为一个开放的网络，安全和维护的压力越来越高，需要实现从依靠人工维护IT系统的模式，转变成基于流程和工具的安全、可靠、高质量、高效的服务模式。建设完备的安全管理流程，实现自动化工单、案例、知识库的自动管理和维护实时自动化监控，并提供高品质的服务，降低安全风险以提高IT系统的可用性。具体工具公安业务进行定制：比如：案件处理流程、CA证书发放流程管理、应急服务处理流程、规章制度流程信息化、安全管理员管理、设备注册管理等功能。策略知识体系安全事件的特殊性、突发性决定了作为攻击的防御方——安全管理员和所有IT信息的使用者，需要具备一定的安全防护知识。安全知识管理解决用户环境中安全知识（包括漏洞信息、威胁信息、案例、安全策略）的积累、发布和管理问题，实现安全教育的全员化。安全管理平台厂商必需维护平台知识库，可快速升级安全管理平台中相关的产品特征库模块，另一方面将紧急的、影响重大的安全事件通过Web的方式发布出去。实现安全管理平台的知识管理与网络安全态势同步。安全管理平台方案设计平台概述启明星辰推出的泰合信息安全运营中心系统（以下简称TSOC）是立足于公司十多年信息安全积累的基础之上，基于客户最新需求推出的全新一代安全管理平台。TSOC－GA公安行业专版（以下简称TSOC－GA）是启明星辰基于TSOC产品成果、面向全国公安用户定向开发的行业化版本。公安行业专版完全遵照公安部《公安信息通信网综合安全管理平台技术规范（试行）》，充分结合了公安行业业务特性，并有效发挥了启明星辰在安全管理平台领域的技术专长，体现了公安信息安全管理工作中“集中监控、统一管理、全面分析、快速响应、规范运行”的管理思想，能够显著提升公安信息安全管理工作的效率与质量。TSOC－GA采用了新一代的基于超微内核的技术架构，融合多种信息安全技术和管理理念，充分实现组织、管理、技术三个体系的合理调配，帮助用户实现对业务信息系统的统一安全保障。TSOC－GA采用开放平台架构设计，遵循业界通行的应用接口和管理接口，功能部件都实现了模块化装配，客户可以自由选择，并能够与客户的应用和管理环境实现很好的对接与整合。TSOC具有国内最广泛的应用范围和客户群，已经连续4年位居国内市场销量第一，TSOC－GA已经在公安行业拥有多个大型成功案例。系统组成TSOC－GA包括管理中心、日志采集器、性能采集器和日志代理四个部件。管理中心管理中心是TSOC－GA的核心部件，实现了对IT系统集中化的性能及可用性监控、安全事件的集中管理、安全风险的评估、宏观安全态势感知，以及流程化的安全响应与处理。客户通过浏览器即可登陆管理中心，进行各种操作。管理中心内置日志采集和性能采集功能，客户无需另行安装其它任何部件即可直接收集管理对象的日志信息和性能信息。管理中心也可以汇聚来自日志采集器、日志代理和性能采集器的日志信息。日志采集器日志采集器可以安装并独立运行在一台服务器上，也可以与性能采集器集成安装和运行一台服务器上，实现对异构管理对象的日志采集，功能同管理中心的日志采集模块，用以辅助管理中心解决特定日志采集的问题，并可以实现分布式日志采集能力。日志采集器收集的日志可以转发给管理中心。管理中心可以对网络中分散的日志采集器进行集中管理。性能采集器性能采集器可以安装并独立运行在一台服务器上，也可以与日志采集器集成安装和运行一台服务器上，实现对异构管理对象的性能信息采集，包括可用性信息、运行状态信息、性能信息等，功能同管理中心的性能采集模块，用以辅助管理中心解决分布式性能数据采集的问题。性能采集器收集的数据可以转发给管理中心。管理中心可以对网络中分散的性能采集器进行集中管理。日志代理日志代理用于安装并运行在管理对象上，实现对管理对象的日志采集和转发。目前，日志代理支持Windows操作系统，主要用于采集Windows操作系统及其服务与应用的日志。日志代理收集的日志可以转发给日志采集器，或者直接转发给管理中心。管理中心可以对网络中分散的日志代理进行集中管理。系统架构TSOC－GA的技术架构图如下：集中展示层是安全预警和事件监控、安全运行监控、协同工作处理、安全知识培训、综合分析的统一展示，是安管平台与各类用户交互的窗口。核心处理层是实现安全管理业务的核心层，各类安全工作人员完成所授权的工作，完成对事件与状态的处理，完成平台自身的管理，实现公安信息网安全管理制度的全面落实。该层分为运行监控子系统、业务处理子系统、业务分析子系统、业务配置子系统和平台管理子系统，这五个子系统不仅可以完成独立的功能，同时也是相互结合的，实现完整的工作流和事件处理。接入交换层包括平台级联接口、安全专项系统接口、其他系统接口等，实现各级安管平台的接入认证、级联数据同步和安全传输；实现安全专项系统的统一接入管理和策略管理；提供安管平台反馈处理的信息通道；提供安管平台外部系统服务接口，规范安管平台提供服务的形式和内容。通过接入交换层，安管平台与公安网中安全专项系统、上下级安管平台、运维/值班平台等系统实现数据交换和共享。平台功能描述集中展示模块安全主页用户登录即可进入安全首页。通过该界面，能够快速的导航到各个功能。安全首页将各个界面的信息集中显示和发布，采用Web方式，对监控类信息、全网工作协同类信息、信息安全培训知识、综合分析类信息等进行统一呈现，提供相应权限的查阅与工作界面，如下图所示：在首页的展示样式上，我们综合采用了以下各种方式：基于列表的信息显示专项系统告警、事件、通知通报等内容，均提供列表方式的信息显示。列表信息支持实时更新，也支持监控窗口的扩展。基于图表的信息显示系统整体安全状态、专项系统事件的发展趋势，均以直观的图形化方式显示，安全首页中采用雷达图、趋势图、柱状图、仪表图等多种图表样式，满足美观、直观的监控要求。基于电子地图的信息显示在多级管理架构下，各个下级平台的安全运行状态、以及考核得分，能够在电子地图上直接查看。电子地图支持图形自定义，并能够自动根据相关系统的安全状态自动调整界面颜色，支持自动刷新。基于浮动窗口的信息显示安全主页中能够以浮动窗口的形式，直接提醒管理人员待办工作，避免出现工作遗漏。个人工作台工作台为用户提供了一个从用户自身业务需要出发使用本系统的快速入口，通过预先配置，工作台集成了当前登录用户有关的日常工作活动，为其提供一站式管理功能。工作台是与用户相关的，它把系统各功能模块进行有序的联系，形成面向用户的、条理清晰的工作桌面。用户可以在工作台中自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板。工作台能够支持展示的信息包括：公安网各类安全预警、事件、通报摘要信息；公安网各安全专项系统运行摘要信息；待办工作信息；个人工作信息；运行及服务状态指标数据；安全运行管理考核指标数据；统计分析数据；平台自身运行监控信息；组织机构信息，包括上级及本级安全管理组织机构、人员等；安全技术、法规（包括上级及本级的安全管理相关的制度、文件、规章）、案例等展示和培训；安全服务信息指南，提供补丁下载、病毒库更新、安全专项工具和相关表格等相关资源帮助信息；应急响应信息，包括公安信息网安全应急预案等信息。安全门户系统提供免登录的服务入口，能够为广大公安干警提供安全信息与服务支持。安全门户可以被嵌入到公安的其它信息网站中。安全门户支持安全公告浏览、服务工具、补丁下载，并提供安全服务功能的受理、跟踪。运行监控模块专项系统日志采集和监控系统支持公安系统内一机两用、异常流量、防火墙、入侵攻击与防御等多种安全专项系统的日志收集，能够以Syslog、SNMPTrap、FTP、EventLog、NETBIOS、ODBC、WMI、Shell脚本、VIP、WebService等协议进行日志采集，并支持对日志进行范式化、过滤、归并。此外，TSOC－GA还提供可独立部署的日志采集器，每个采集器都能对日志进行采集、范式化、过滤和归并，实现分布式日志采集。日志采集器统一接入管理中心，实现集中化安全事件管理。管理中心具备对多个日志采集器的集中管理功能。具体界面如下图所示：安全事件监控安全事件监控能够对平台采集到的安全事件进行实时性的展示和报警，系统提供了实时监控视图，可以根据内置或者自定义的实时监视策略，从各个维度实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位，具体包括：监控展示，内容包括编号、名称、级别、发生时间、状态、内容描述等，并可支持自定义属性信息的展示。可以提供对重大安全事件和违规事件提供报警和业务处理入口。可以提供基于安全事件等级、安全事件分类、安全域的监控。可以基于单个或多个安全专项系统的日志分析、安全告警、事件的监控。可以提供基于单个或多个下级平台或管理域的安全事件监控。可以支持对事件源的定位功能。告警监控相对于来源于原始日志的事件而言，告警是更需要引起关注的重要信息。系统中的事件，可以基于预定义规则生成为告警。系统支持各种告警响应动作，包括弹出提示框、发送邮件、发送SNMPTrap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog等告警方式。告警信息可查询，可追踪和统计分析。告警的另一来源于设备的性能状态。用户可以设置性能状态的监控阀值，当超过阀值时可以生成为告警。告警管理则包括对告警信息的查看、处理和统计分析。系统提供快捷的告警响应处理流程，可记录告警信息的处理过程和处理结果，并能够与工单管理模块联动。安全预警监控平台提供安全预警的管理。安全预警是一种有效预防措施和制度措施，涉及收集预警、审核发布、响应与安全防护等过程，包括安全预警监控展示和报警。系统提供了及时的预警管理机制，能够发布经审核的预警信息，系统支持丰富的预警类别，支持预警定级，支持预警的发布范围定义。具体界面如下图所示：安全预警功能包括：安全预警监控对本平台产生的最新预警信息内容进行监控展示。根据预警来源、预警类别范围、预警的级别、影响的范围等进行监视。支持对接受预警的存储、报警等方式进行设置。设备性能信息采集系统能够主动地、周期性地采集各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的性能与可用性信息，采样周期、采集参数都可以独立配置。系统支持通过SNMP、TELNET、SSH、SSH2、ODBC、JMX、协议仿真等方式对IT资产进行性能与可用性信息的采集。管理中心内置性能信息采集，也提供独立安装的性能信息采集器。系统提供可独立部署的性能信息采集器，每个采集器都能对性能信息进行采集，并统一接入管理中心，实现集中化的性能与可用性监控。管理中心具备对多个性能信息采集器的集中管理功能。设备性能状态监控系统能够对各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的性能与状态进行实时监控，具有丰富的监控指标。管理员可以通过丰富的可视化图表查看监控指标信息；可以对监控指标设置告警阀值；可以将监控指标的数据保存起来，并进行历史分析。系统可以监控公安安全专项系统的关键服务运行状态指标。如专项系统名称、IP地址、运行状态描述、详细状态信息，通过对上述信息的监控，可对关键服务运行故障实现基本定位和跟踪。平台运行监控综合安全管理平台提供平台状态监控功能，完成对平台自身状态信息、与部运维平台等连通情况、平台目前操作人员信息的监控展示，如下图所示：平台自身状态信息包括系统当前CPU、内存、磁盘空间、网卡流量等、数据库使用状态，上/下级平台在线状态、平台模块运行状态、当前登录用户信息、当前上线人数、当前的时间等进行监控。支持自身如CPU、内存、磁盘空间等、数据库内存等系统状态的报警方式设置。通知通报监控公安行业的重要安全管理工作以通知通报形式发布，平台提供通知通报的录入、修改、删除等功能，同时安全管理的相关通知通报也需要相应管理员进行签收，如下图所示:本平台能够预告加载标准的通知通报模板，自动补充相关内容，并支持人工的再修改，经审核后才发布。系统既可以展示来源于本级的通知通报，也可展示来自于相关的级联平台发布的信息。系统的通知通报监控具备实时更新功能，能够对新发布的信息进行及时呈现。脆弱性监控系统具有脆弱性管理功能，能够导入资产的弱点信息，并计算资产/安全域/业务系统的脆弱性值。系统能够通过多种方式展示资产/安全域/业务系统的弱点信息，支持时间趋势分析和横向对比分析。安全风险监控系统通过内置的风险计算模型，综合考虑资产的价值、脆弱性和威胁，能够定期自动地计算出资产的风险可能性和影响性，并通过二者建立了一个风险矩阵，进而计算出资产、安全域和业务系统的风险值，并刻画出资产、安全域和业务系统随时间变化的风险变化曲线。系统能够形象地展示出安全域的风险矩阵，从可能性和影响性两个角度标注安全域中风险的分布情况，通过风险矩阵法，指导管理员进行风险分析，采取相应的风险处置对策。系统还能以图表的形式可视化地显示每个资产、安全域或业务系统风险的关键因素，便于管理人员理解风险的具体含义。拓扑监控系统能够自动发现和识别IT硬件资产（例如网络设备、安全设备、主机），能自动发现和识别软件资产（例如数据库、中间件），并识别这些软硬件资产之间的连接关系或包含关系，还能自动描绘出网络及服务拓扑图以及机架视图。通过网络拓扑图，管理员可以对全网的资产进行可视化的监控。拓扑图具备动态更新能力，能够实时地显示资产的运行状态和安全状态，能够方便地链接到其他功能模块。系统能够实时地显示资产的运行状态和安全状态，并能够方便地实现与网络拓扑视图的双向切换。业务处理模块公安行业对业务的规范化处理有很高要求，规定要依据业务流程人工或自动完成安全管理中的日常工作、管理工作和响应处理。具体包括：流程启动：支持信息预处理自动启动流程，支持人工启动流程。业务状态：包括待阅、待办、在办、办结、打回等。处理方式：手动、自动、转办、委托处理，支持附件上传。工作记录：对工作和事件的信息查看、状态修改、信息补充、结果记录。通知提醒：人工和自动提醒工作和事件，提醒内容包括内容、时间、重要程度，提醒方式包括手机短信、邮件、界面提示。TSOC－GA充分考虑到了多级平台架构下流程状态的反馈能力。在上级平台中能够及时查看到下级的处理状态，完成事件处理的跟踪处理。所有的这些配置操作，本平台都是在工作流中间件里进行的。工作流中间件能够以图形化的方式进行流程节点的增删、状态的调整配置、人员权限的设置，通知方式的设置，可以灵活适应公安实际工作的需要。日常工作公安的日常工作包括：签到、签收、巡检、个人工作日志等工作的排班、启动、工作记录等。这些工作都是在日常的流程中进行处理。如下图所示：管理签到按照公安要求，管理签到主要是提供考勤签到，实现本级单位安全管理人员和运维人员的签到功能。签到的记录将统计计入人员考核结果。本平台的签到支持人工签到与自动签到两种。并提供对签到情况的提醒与查询功能。信息签收对于接收到的各类信息、包括各种工单、通知通报，接收方均应提供签收功能。签收功能还包括一些信息的反馈，以便于发送方确认信息已被签收。安全巡检安全巡检主要是指安全运维人员根据预先设定的安全基线指标，对安全专项系统、重要网络设备及安全应用系统的各项硬件参数、软件参数及业务参数进行巡检和记录，并对巡检中发现的异常情况进行汇报和处理。运维人员进行巡检之后，需要进行日志填写。日志可由领导进行审查，并作为考核依据。管理工作公安的管理性工作包括安全员管理、工单修订等工作的启动、工作记录、状态修改、处理方式选择。对于安全员的变动，系统提供安全员管理的审核流程。支持的安全员管理类型包括增、删、改、调整权限等。对于运行过程中的各类工单，管理性工作提供经审核后的工单修订功能，能够对工单运行流程进行特殊干预，例如强制退回、重新打开、跳过节点等等。界面如下图所示：响应处理在公安的响应处理过程，最重要的是进行应急响应。对于系统自动产生的工单、或者人工发起的工单、或者协同工单，均存在应急响应处理的可能。应急响应处理是工单处理环节中重要的内容，界面如下图所示：应急响应包括三方面内容：应急响应流程该功能主要提供应急响应的通知通报、信息发布、签收，响应处理、结果填报，是事件处理环节的内嵌流程。响应处理动作在响应处理的具体操作中，平台提供各种处理手段，包括查处通知、故障问题处理、运行维护调度单、服务反馈通知、报警通报等。应急响应工具平台提供响应工具的管理，包括上传、下载等。有效的工具是执行应急响应的基础。应急响应预案预案是安全管理中的重要知识内容，在响应处理环节可以根据需要人工启动某一级预案，启动后的预案将发布在显著位置，所有登录用户均能够查看到。安全服务工作安管平台服务于全体公安干警的功能体现在两方面：一是安全知识库功能，二是安全服务受理。平台的使用人员，包括全体警员，均可以在平台上浏览相关的安全知识库，进行安全补丁、安全工具的下载，接收最新的安全公告，提高自身的安全防护能力。服务受理功能主要提供安全业务的受理和处理功能，对不同的安全业务提供不同的处理流程，并且该类流程是可配置、可视化、灵活的。同时也能对安全业务受理、处理的状态和结果进行审核和发布。公安网络面向全体警员可提供的常见业务有：设备出入网注册服务；边界接入申请服务；公安数字证书申请服务；电子印章申请服务；本平台也提供对本地化的安全业务受理的定制，例如与公安门户网站的整合，以实现为全体警员服务的目标。业务统计模块业务统计分析公安综合安全管理平台对业务统计分析功能需要实现对安全事件、安全流程处理、管理考核、安全专项系统等业务进行统计分析，如下图所示：具体针对以下的数据进行分析安全告警：依据告警时间、告警等级、处理状态、告警类型、设备类型等属性进行组合统计与分析安全事件：依据事件时间、事件类别、事件级别、IP地址、区域、资产、处理状态、响应级别、报警等级等组合统计和分析。流程处理：依据人员、部门、区域、事件类别、流程名称、完成率、超时率等组合统计和分析。人员绩效及运行管理考核分析：依据人员、部门与区域、安全专项系统名称等组合进行工作量、指标参数的统计和分析。运行分析：依据专项系统的名称、服务名称、时间、系统提供商、区域、性能指标、连续工作周期等组合统计和分析。对各单位的各项安全管理工作进行统计分析并排名，并生成相应的统计排名报表。业务考核报表公安对各级平台有业务考核的需求，这一般通过下发考核模板、并且由下级平台进行定期报表上报来实现。系统内置了丰富的报表模板，包括统计报表、明细报表、对比报表，管理人员可以根据需要生成不同的报表。典型的工作包括汇总的工作周报、工作月报、月通报、年通报等，其中包含了涉及到考核要求的各种信息的汇总。尤其对于省厅级平台，还能够依据公安部的考核要求对各个下级地市平台进行考核打分，其结果还将反映到首页中。为了适应可能的考核要求变化，本平台的自定义报表通过报表中间件来完成，对于上级下发的报表模板，下级可相应制订报表模板。并完成以下功能：定期自动（如周、月、季度、年）自动和人工方式统计与分析。应支持word、excel、html、pdf报表格式，应支持图形化的报表呈现模式如柱形图、饼形图等。用户可自行设计报表，包括报表的页面版式、统计内容、显示风格等。通过图表查询、展示、打印、存储分析结果。分析图表应包括：变化趋势图表、TOPN数量图表、详细信息图表等。支持以邮件等方式自动投递关联分析TSOC－GA关联分析通过对告警信息、已经处理的事件、业务记录、基础资源库等各类信息资源进行综合关联分析、挖掘和归并，发现隐藏在独立事件与业务背后的规律与事实，实现业务考核分析、运行考核分析、平台自身业务分析的综合与提升。TSOC－GA关联分析支持业务管理类和事件分析类的关联分析。业务管理类包括本平台使用人员异常行为分析、考核绩效趋势分析、业务系统运行状态变化趋势等。事件分析类关联分析包括违规类、攻击类、访问异常类、启发追踪类、桌面操作异常类等。TSOC－GA关联分析借助先进的智能事件关联分析引擎，系统能够实时不间断地所有范式化后的日志流进行安全事件关联分析。系统具备多种关联分析方法和能力：基于规则的事件关联系统提供了可视化的规则编辑器，用户可以定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联。规则的逻辑表达式支持等于、不等于、大于、小于、不大于、不小于、位于……之间、属于、包含、FollowBy等运算符和关键字。规则支持统计计数功能，并可以指定在统计时的固定和变动的事件属性，可以关联出达到一定统计规则的事件。单事件关联通过单事件关联，系统可以对符合单一规则的事件流进行规则匹配。多事件关联通过多事件关联，系统可以对符合多个规则（称作组合规则）的事件流进行复杂事件规则匹配。安全态势分析系统具备安全态势感知功能，包括安全整体状态的计算和安全整体发展趋势的预测。系统提供两种安全态势分析方法：地址熵态势分析和威胁态势（威胁KPI）分析。地址熵态势分析：系统通过对收集到的一段时间内的海量安全事件的报送IP地址进行熵值计算，得到这些安全事件报送IP聚合度的变化幅度，以此来刻画这段时间内这些安全事件所属网络的安全状态，并预测下一步的整体安全走势。系统能够可视化的展示随时间变化的安全态势曲线，并能够通过曲线下钻到影响网络安全整体状态的关键安全事件，实现从宏观到微观的聚焦。威胁态势（威胁KPI）分析：系统通过对一组关键威胁指标（KPI）计算得到一个威胁指数，并以此随时间描述出一条威胁指数曲线，从而表征一段时间内、某个网络区域的网络安全威胁状态及其发展趋势。系统建立了一套动态的多维威胁指标体系，通过帕累托分析法，协助管理员对当前的威胁成因进行辨别，实现对关键威胁因素从宏观到中观，再到微观的层层下钻，直至定位到导致威胁态势异常的关键安全事件。关键安全管理指标分析系统通过对一组表征某个安全域或者业务系统安全管理建设水平的层次化指标的计算，得到该安全域或者业务系统的安全管理建设水平评级，以此来表明该安全域或业务系统的信息安全管理体系的建设成熟度。系统将表征安全管理建设水平的这套层次化指标称作关键管理指标，每个指标项都建立了一个针对某类安全事件的度量标准。系统能够可视化的展示出每个安全域或业务系统随时间变化的安全管理评估曲线，并能够进行环比分析，以及跨安全域或业务系统的同比分析。对于每个关键管理指标都支持指标项的下钻，实现从宏观到微观的聚焦。业务配置模块监控和报警管理综合安全管理平台对安全事件、安全预警、安全专项系统运行状态、平台状态的监控与报警设置。综合安全管理平台监控支持对信息的采集、信息显示配置，同时支持显示模板。综合安全管理平台报警条件可以通过告警规则灵活配置，配置条件包括级别、类别、区域等。综合安全管理平台报警方式支持自动或人工的报警方式，可提供电子邮件、手机短信、syslog、snmptrap等多种方式。综合安全管理平台监控与报警内容包括事件名称、IP、安全专项系统名称、事件等级、详细程度等。信息预处理管理综合安全管理平台提供信息预处理管理功能，对采集到的信息通过事件采集器配置信息预处理的参数、规则、条件等，具体界面如下图所示：安全管理平台可提供如下预处理配置：综合安全管理平台提供配置解析功能，通过XML解析文件将接收到的信息拆分为不同字段，并对应到安全事件字段。综合安全管理平台提供信息补全配置功能，提供补全条件和补全内容等。综合安全管理平台提供信息过滤配置，用户可以自定义过滤条件。对于有可能出现的大流量数据，综合安全管理平台也提供数据归并压缩的配置功能。综合安全管理平台提供信息分类配置，在信息预处理时可以根据事件分类条件和对应类别进行归类。综合安全管理平台提供工作和事件分配配置，通过设置判断条件和启动流程。综合安全管理平台信息预处理的配置支持策略管理。流程管理综合安全管理平台采用工作流组件来完成流程管理工作，具体界面如下图所示：其管理功能包括：基本管理：流程和活动的新建、修改、删除、查询，流程的导入、导出。流程状态：状态管理，包括启用、停用。对象管理：管理流程执行者，包括部门（组织机构）、角色、小组、人员。关系管理：活动、流程的组合，包括引用、串行、并行、抢占。条件管理：依据工单内容设置判断条件，包括时间、工单类型、关键字判断。触发动作：人工或依据条件自动触发动作，包括打回、反馈、撤销、转阅、转办、通知提醒、转入下一活动、启动应急预案。通知提醒管理：提醒内容、提醒方式、提醒对象。流程配置策略管理。可根据实际需求，针对不同安全专项系统特点，自定义不同处理流程，灵活制定工作机制与管理策略。模版管理综合安全管理平台模版管理提供应急预案模板、统计分析模板、业务考核模板的管理。模板管理包括：基本管理：预案和模板的新建、删除、修改、导入、导出。应急预案模板内容：预案名称、预案编号、建立时间、修改时间、应急小组组长、应急小组成员、行动内容与计划、预案演练结果等。统计分析模板内容：统计内容、分析要素、展示方式等。考核模板内容：考核内容、考核要素、考核方法、展示方式、考核周期等。排班管理在公安的日常运行工作与事件处理过程中，排班管理是一种高效的任务分配机制，它是与所有安全工作紧密相关的。通过合理的排班管理，不但能够高效地安排资源，更能够为人员考核打下基础。具体界面如下图所示：排班可以基于日期进行排定，还能够细化了最多5个时间区段进行排班。在本平台中，以下工作与排班相关：签到巡检事件处理在多级管理结构下，下级还能够对排班信息进行上报，便于上级查看与安排工作。平台管理模块用户与授权提供用户集中管理的功能，对用户可以访问的资源权限进行细致的划分，具备安全可靠的分级及分类用户管理功能。实现综合安全管理负责人与管理员、专项安全系统管理员等角色分类管理。系统提供三权分立的设计，内置系统管理员、用户管理员和审计管理员。平台支持基于角色的用户管理、授权管理、身份认证。用户与资源权限之间通过角色授权进行联系，身份认证支持包括公安PKI数字证书在内的双因子认证。平台支持分域用户授权和用户组管理。支持根据需要划分不同用户组（域），如按照部门、地域等划分不同用户组（域），用户只具备用户所属域内的相关权限。平台支持角色的管理包括对角色的添加、修改和删除等操作。支持对资源、菜单、功能等级别的权限管理，各功能与菜单间相互独立。部门与人员管理公安系统的人员管理功能中，一方面需要遵照规范的要求建立标准的人员信息库，并能够与平台的使用帐户进行关联，另一方面也需要与外部的资源系统进行单向或双向的同步。在人员管理中，另一个非常重要的功能是对人员的安全教育培训情况进行管理。安全管理工作最终的执行者是人员，而人员的安全素养是决定安全管理成效的重要环节，这也是国际国内各个安全标准的基本要求。本平台提供的教育培训管理功能，能够完整记录人员的培训历史，并且能够基于培训历史进行人员素质的评定，从侧面反映各级平台的人员安全状况。综合安全管理平台人员库提供与公安网信息安全相关人员的基本信息。人员库管理包括：人员基本信息的导入、导出、新建、删除、修改等；支持从外部人员库管理系统获取数据；人员信息补全；支持对各个人员的安全教育培训情况进行管理，并可基于教育培训情况进行人员统计；系统也提供部门管理功能，将人员划分到各个部门进行统一分配管理。系统也提供整体的部门组织结构图。资产管理系统提供资产管理功能，可以对网络中的管理对象资产进行管理。除基本资产信息外，用户还可以自定义资产标签，实现资产的动态属性扩展。系统提供基于拓扑的资产视图，可以按图形化拓扑模式显示资产，并可编辑资产之间的网络连接关系，通过资产视图可直接查看该资产的状态、事件及告警信息。资产管理的相关功能也包括：资产基本信息的导入、导出、新建、删除、修改等；支持从外部资产库管理系统获取数据；资产信息补全；资产信息核对（自动或人工方式）。知识库管理系统提供开放的知识管理功能，内置了大量的安全知识，同时也允许用户在系统使用过程中不断丰富和完善。用户可以对所有的知识点进行基于关键字的检索。系统预先建立的知识包括：预案库、模板库、策略库、案例库、法律法规库、漏洞库、事件库，等等，具体界面如下图所示：平台内的各种知识库，包括法律法规库、事件库、漏洞库、案例库、策略库、预案库等，均支持从上级向下级的分发同步。知识库管理具备级联功能。一般情况下，公安省厅负责知识库的整理与传递，地市接收并且纳入自己的知识库，以便于地市公安提高人员知识技能，强化事件处理的操作规范性与有效性。上级平台可以将基础数据、考核模板进行下发。策略管理泰合安管平台的策略支持平台配置策略、业务管理策略、平台安全策略等。平台配置策略包括运行监控类的配置要求或建议等，业务管理策略包括业务处理中的相关要求或建议，平台安全策略包括平台管理技术策略、平台系统的边界安全和自身安全要求等。策略具有名称、编号、级别、应用范围、发布人、有效时间、背景说明等基本属性。安管平台的安全策略管理包括：策略的存储、查询、导入导出等。支持策略审核与修订。其他管理类策略的制订、编辑、导入、导出、下发等。系统配置综合安全管理平台提供平台自身的其他配置功能，对平台自身的配置包括：支撑系统运行组件的启停；组件运行状态监视配置；数据库状态信息监视配置；系统自动响应规则的配置/界面配置等。综合安全管理平台提供平台级联、安全专项系统、资源管理系统、运维\值班平台等的交互对象接口配置和连接监控方式配置，包括平台IP与编码、安全连接方式等。系统配置功能包含对业务系统的定义和管理。系统审计综合安全管理平台系统审计记录每个操作员进入、退出平台的时间以及在平台中的所有操作的内容，记录与统计分析平台软硬件的异常以及执行错误指令导致的异常等本身运行状态，实现对平台运行过程中的操作日志和运行日志的记录、查询、统计与分析功能。审计内容包括时间、人员、IP地址、区域、部门、操作内容、操作结果等。备份与恢复综合安全管理平台提供平台完整数据备份与恢复、系统备份与恢复机制，保证避免物理故障、系统硬件维护等造成的数据损失或者系统损坏。备份策略可配置，支持备份任务的人工执行和自动执行。平台数据包括用户、事件、状态、备份策略、配置数据等。接入交换管理模块平台级联管理综合安全管理平台提供上级安管平台的接口，具体界面如下图所示：平台级联管理实现如下配置和管理：平台基本参数配置：包括平台唯一标识编码、活动侦测时间配置等。上、下级平台接口设置：包括IP、端口配置，级联数据同步，安全认证配置等。接入注册认证管理：包括平台注册认证申请、审核等。证书管理：包括平台服务器证书管理、用户身份证书管理、CA证书管理等。事件级联管理安全行为的复杂性、以及公安各级安管部门专业技术能力上的差异，决定了平台之间会有大量的协同工作，尤其体现在事件的分析处理上。事件的多级管理存在两个方向的需求：上级向下级传递安全事件，目的在于落实对事件的协查，伴随事件处理工单的流转，上级将事件传递到下级，确保事件层层分解到具体的责任人。下级接收事件并形成为本级的待处理事件，同时在界面进行监控。下级向上级传递安全事件，采用定时、批量上报的形式，目的在于汇报安全异常行为、请示上级协助分析。上级可对下级上报的事件进行指定范围的查询，并将分析结果以其它工单形式进行反馈。工单级联管理平台中的工单处理，除了能够在同一平台内用户间流转外，也支持多级平台之间的工单流转。在流转的过程中，工单的附带的相关属性信息保持不变。工单支持双向流转，支持各种签收、通知、审核等流程节点，支持事件工单、管理工单、其它承载工单的多级流转。在流转过程中、过程后，在上下级平台均可查询工单流转的历史。虚拟平台管理当平台部署到地市一级时，同样有接入区、县公安局信息系统的需要。然而对于某些特殊的区县公安局，由于设备数量少、信息系统相对简单、安全运维与管理工作内容单一，因此完全可以采用更加轻量级的接入方式。TSOC-GA支持在地市平台中建立多个虚拟县级平台，使用县级管理帐号登录地市平台后仍然能够完成基本的安全管理工作，例如在所属县的范围内进行工单处理、查阅通知通报、进行技术交流等。虚拟县级平台的建立，简化了地市公安局的安全管理与运维过程，有利于地市公安局快速构建起基本的分级管理架构。当然，由于无法象真实平台一样进行本地的信息采集与处理，虚拟平台仍然不能替代真实平台的所有工作。安全专项系统管理综合安全管理平台提供与各安全专项系统的接口管理。通过接口，安管平台能从安全专项系统获取数据进行规范化处理，并将之转换为安管平台所定义的规范化状态监控、安全事件、预警等数据，同时提供安全专项系统应急响应和联动的规范流程和信息通道，具体界面如下图所示：安全专项系统接口管理包括：安全专项系统基本参数配置：包括安全专项系统名称、编码、活动侦测时间配置等。安全专项系统接口设置：包括IP、端口配置，安全认证配置等。接入注册认证管理：包括安全专项系统注册认证申请、审核等。系统接口安管平台通过接口与其他系统进行数据交换与通讯。根据安管系统各功能模块实现的需求，本平台定义了5类相关数据和6类相关接口。通过6类相关接口对5大类相关数据的采集和分析，为安管平台功能实现提供基础数据。安管平台接口示意图如下：在数据采集层面，接口方式示意图如下：部署方式单级部署产品部署对于客户网络的要求比较简单，只要系统的管理中心与管理对象之间网络可达即可。如下图所示，显示了系统的一个单级分布式部署场景。在这个单级部署场景中，管理中心可以直接采集管理对象的日志和性能信息，也可以通过外挂的日志采集器和性能采集器采集管理对象的信息。系统使用者通过浏览器登录安全管理平台的WEB站点即可进行各种管理操作。级联部署对于公安系统常见的省-市-县三级网络，系统支持级联部署，以适应用户多级管理的体制。如下图所示，展示了一个系统多级级联部署的典型场景。运行环境要求TSOC－GA是一套软件包，建议安装在独立的服务器上运行。系统所需运行环境如下：平台支持的操作系统系统需求WindowsWindowsServer2003Windows7Windows2008Server最低Intel酷睿双核CPU，推荐使用Intel至强4核以上CPU至少4GB内存，推荐8GB以上内存500GB以上磁盘空间LinuxRedhatEnterpriseLinux4RedhatEnterpriseLinux5CentOS最低Intel酷睿双核CPU，推荐使用Intel至强4核以上CPU至少4GB内存，推荐8GB以上内存500GB以上磁盘空间本软件需要运行在64位操作系统上。在双Intel至强4核CPU，8GB内存，64位操作系统下，TSOC-GA的事件处理性能可达到平均15000EPS。此外，产品的功能模块都是可以选择和组合的。系统使用无需安装客户端软件，用户通过浏览器即可访问管理中心。系统推荐使用微软IE7/IE8，或者MozillaFirefox10以上版本浏览器。TSOC－GA支持的数据库环境为：类型版本OracleOracle10g/11g启明星辰公安安全管理平台特性优势多层次的安全事件管理安全专项系统的信息采集TSOC－GA全面支持公安系统的各类安全专项系统信息采集，包括：PKIPMI系统，一机两用系统，边界接入平台系统、违规行为系统、防病毒系统、漏洞扫描系统、异常流量监控系统、防入侵攻击系统、防火墙系统等。对于公安专项系统的信息采集，TSOC－GA采用了面向公安行业的特定采集策略，严格遵照公安行业的事件分类、事件定级等信息规范，使之能够方便地与其它第三方系统进行无缝对接。同时，TSOC－GA也支持其它主流的各类通用型安全设备，部分厂商设备类型如下表所示：设备类型厂商或产品交换机Cisco、Extreme、Juniper、博科、华为、H3C、神州数码、锐捷、博达、DellForce10路由器Cisco、Extreme、Juniper、华为、H3C、神州数码、锐捷防火墙/UTM/USG启明星辰、网御星云、Cisco、JuniperNetscreen、飞塔、Checkpoint、Nokia、Bluecoat、天融信、东软、方正科技、网神、亿阳信通、中科网威、中网、阿姆瑞特、卫士通、H3C、迪普、山石VPN启明星辰、网御星云、天融信、Array、Juniper网闸网御星云、国保金泰、鸿瑞、南瑞IDS/IPS/IDP启明星辰、网御星云、Cisco、McAfee、IBM、Snort、TippingPoint、绿盟、东软、H3C、迪普、天融信、安氏、三零盛安、网神、理工先河漏洞扫描启明星辰、绿盟、榕基防病毒Symantec、TrendMicro、McAfee、瑞星、金山、江民、冠群金辰、熊猫Anti-DDoS网御星云、启明星辰、绿盟WAF启明星辰、Imperva、绿盟、中创InfoGuard负载均衡设备F5、信安世纪安全审计系统启明星辰、复旦光华、汉邦、三零盛安运维审计启明星辰、奇智、谐润身份认证格尔、吉大正元服务器IBMAIX、HP-UX、MicrosoftWindows、SUNSolaris、Linux及其变种数据库Oracle、SQLServer、DB2、MySQL、Informix、Sybase、国产数据库中间件WebLogic、WebShpere、JBoss、Apache、Tomcat、Domino网管系统HPOpenViewNNM、IBMNetCool、CiscoWorks存储系统HP、IBM、EMC、VERITA业务系统各种用户自有的业务系统（需要定制）其它任意Syslog日志源、SNMPTrap日志源对于目前暂不支持的管理对象，TSOC－GA还提供了方便灵活的扩展机制。只要获得管理对象的日志样本以及通讯协议方式，编写一份XML格式日志解析文件，导入系统，即可获得对该管理对象的日志采集能力，无需编码。支持分布式日志采集TSOC－GA管理中心自带日志采集功能，同时也支持在用户网络中分布式部署多个日志采集器，就近采集管理对象的日志信息，并进行日志的范式化、过滤和归并，然后汇聚到管理中心，从而实现对分散管理对象的日志采集，并有效降低网络中日志流的带宽占用。详尽的日志范式化与事件分类系统对收集的各种日志进行范式化处理，将各种不同表达方式的日志转换成的统一的描述形式。安全管理人员不必再去熟悉不同厂商不同的日志信息，从而大大提升工作效率。系统提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等，数量超过50个，使范式化后的日志详尽而易读，更能满足复杂的多维度统计分析和审计要求。更重要地，启明星辰的安全技术人员还对每种日志进行了手工分类和分析工作，加入了日志类型字段，丰富了日志所蕴含的信息量，让枯燥的日志信息变的更可理解。与此同时，系统将原始日志都原封不动的保存了下来，以备调查取证之用。安全管理员员也可以直接对原始日志进行模糊查询。在事件分类定义上，本系统全面支持公安行业的事件分类定级规范。智能化安全事件关联分析借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统具备多种关联分析方法和能力：基于规则的事件关联系统提供了可视化的规则编辑器，用户可以定义基于逻辑表达式和统计条件的关联规则，所有日志字段都可参与关联。规则的逻辑表达式支持等于、不等于、大于、小于、不大于、不小于、位于……之间、属于、包含、FollowBy等运算符和关键字。规则支持统计计数功能，并可以指定在统计时的固定和变动的事件属性，可以关联出达到一定统计规则的事件。单事件关联通过单事件关联，系统可以对符合单一规则的事件流进行规则匹配。多事件关联通过多事件关联，系统可以对符合多个规则（称作组合规则）的事件流进行复杂事件规则匹配。可视化安全事件分析系统为用户提供了丰富的可视化安全事件分析视图，充分提升分析效率。系统可以为用户展示一幅管理对象的拓扑图，反映管理对象的网络拓扑关系，并且在拓扑节点上标注出每个管理对象的日志量和告警事件量。用户点击拓扑节点可以查询事件和告警信息详情。针对安全事件，用户可以对其源目的IP地址进行追踪，并在世界地图上标注出来。安全管理人员也可以对一段时间内的安全事件进行行为分析，通过生成一幅行为分析图形象化地展示海量安全事件之间的关联关系，从宏观的角度来协助定位安全问题。多维度的业务处理过程丰富的业务流程分类TSOC－GA不但是集中监控的平台，同时也是集中处理的平台。公安行业日常工作中的各项业务过程，在TSOC－GA中都能够以集中的、高效的、规范的、流转式的方式来运行。公安的业务处理过程是全方位、多维度的，TSOC－GA能够覆盖公安信息安全工作中的以下几类工作流程：管理维度－进行流程调度、业务审核、安全员管理等管理性工作处理维度－进行签收、响应处理、通知、通报等事务性工作运行维度－进行工作排班、签到、巡检、工作日志等个人日常工作服务维度－面向全体公安干警提供信息发布与业务服务受理灵活的流程定制能力TSOC－GA通过客户化的工作流系统来满足公安用户的需要。其灵活性体现在：业务过程模板化：对于公安最常用的签到、签收、巡检、审核、通知、通报、归档、响应处理过程，系统均配置为相