《某市电子政务监控预警平台建设方案36306.docx》由会员分享,可在线阅读,更多相关《某市电子政务监控预警平台建设方案36306.docx(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、某市电子政务监控预警平台建设方案一、 方案概述1.1 方方案建设目标标某市电子政政务网络由全全市各个委办办局单位网络络接入组成,由由于接入单位位众多且各自自单位信息安安全建设水平平参差不齐,经经常造成内部部网络病毒和和异常安全事事件发生。考考虑到电子政政务网络实际际组成和规模模情况,东软软设计出全市市电子政务监监控预警平台台(以下称“监监控预警平台台”)的主要要目标是基于于电子政务网网络和信息系系统在安全保保障以及监管管信息系统建建设方面所面面临的形式和和问题,研发发一套综合的的风险预警平平台,进一步步加强电子政政务网络和信信息系统的监监管力度,总总体把握市政政务网络和信信息系统的安安全运行状
2、况况,提高各政政务单位在应应对突发网络络攻击事件的的应急响应能能力和风险预预警能力,从从而有力地支支撑市政务网网络和信息系系统的稳定运运行。1.2 方方案设计原则则考虑到本平平台最终为全全市的政务单单位进行统一一服务,在本本方案设计中中,我们遵循循了以下的原原则:先进性原则则提出最新的的安全监控预预警平台的概概念,将安全全监控和安全全技术有效衔衔接,并根据据电子政务业业务需求,与与业务网络深深入结合,从从而保证系统统的先进性,以以适应未来数数据发展的需需要。整体安全和和全网统一的的原则该平台的系系统设计从完完整安全体系系结构出发,综综合考虑信息息网络的各种种实体和各个个环节,综合合使用不同层层
3、次的技术和和理论,为信信息网络运行行和业务安全全提供全方位位的监控和服服务。标准化原则则参考国内外外权威的安全全技术与管理理体系的相关关标准进行方方案的设计和和技术的选择择。整个系统统安全地互联联互通。技术和管理理相结合原则则整个平台结结合了安全技技术与监控管管理机制、人人员思想教育育与技术培训训、安全规章章制度等内容容。可扩展性原原则为方便满足足网络规模和和安全功能的的扩展,本设设计方案考虑虑了网络新技技术和业务发发展的扩充要要求,以及市市电子政务网网络自身的特特点,本方案案所设计的平平台系统具有有灵活的扩展展能力,能够够随着各个监监控节点,随随着平台的功功能扩展进行行灵活的扩展展。并且平台
4、台具备定期升升级,不中断断业务应用服服务的能力。开放性原则则该平台的运运行需要与多多种设备协调调,如:主机机设备、网络络设备、安全全设备、应用用系统等等,该该平台提供了了一定的开放放性以适应与与相关设备和和系统的适应应。1.3 方方案设计思路路电子政务网网络监控预警警平台,以分分布式方式采采集来自于电电子政务网络络的各个相关关设备的日志志信息和告警警事件信息,经经过智能的关关联分析后,准准确判断真实实的安全事件件,快速定位位安全事件的的来源,分析析安全事件的的根本原因,集集中展示市电电子政务网络络的整体安全全状况。一旦旦发现高风险险安全事件,自自动触发安全全事件处理流流程,督促相相关责任人进进
5、行快速解决决问题和故障障。1、监控对对象定位:电电子政务外网网、政务用户户互联网接入入、重要信息息系统、政务务网站等等。2、日志信信息的来源:电子政务外外网汇聚节点点或者接入节节点的安全设设备、政务用用户互联网接接入节点的安安全设备、重重要信息系统统边界部署的的安全设备、重重要信息系统统自身、政务务网站边界部部署的安全设设备等等。3、由专用用的数据采集集引擎负责数数据采集,数数据采集引擎擎采用分布式式部署。4、展示平平台具有多元元化、分层次次等展示形态态。二、 电子子政务网络监监控预警平台台体系架构为了充分满满足电子政务务网络的部署署现状,本方方案所设计的的监控预警平平台从体系架架构上可分为为
6、:IT基础础层、数据采采集层、数据据处理层、展展示层四个层层面,各个层层面包括了多多个功能模块块或子系统。该该平台的整体体架构示意图图如下:1、IT基础础层为监控预预警平台的数数据获取来源源。 2、数据采采集层:根据据平台指定的的运维策略,数数据采集层负负责从网络设设备、安全设设备、业务系系统、服务器器等采集各种种安全信息、日日志信息、流流量信息,经经过数据格式式标准化、数数据归并、数数据压缩等处处理后,提交交给上层数据据处理平台。3、数据处处理层:将采采集到的原始始数据按照业业务系统数据据、网络数据据、安全数据据进行分门别别类,经过基基于统计、基基于资产、基基于规则的关关联分析后,科科学合理
7、的定定义安全事件件的性质和处处理级别,作作为展示平台台的数据基础础。4、展示层层:实现整个个平台的灵活活展示和配置置管理。一方方面通过丰富富的图形化展展示方式呈现现电子政务网网络、政务用用户互联网接接入、重要信信息系统、网网站等安全状状况,提供有有效的安全预预警,减少安安全破坏的发发生,降低安安全事件所造造成的损失;另一方面对对整个监控预预警平台进行行配置与维护护。三、 ITT基础层IT基础层层为监控预警警平台的数据据获取来源,至至少包括如下下范围:1、网络设设备,包括:路由器、交交换机等;2、安全设设备,包括:入侵检测系系统、网络审审计系统、病病毒检测系统统、漏洞扫描描系统、防火火墙、异常流
8、流量检测系统统、网站诊断断系统等;3、应用系系统,包括:主机操作系系统、数据库库系统、中间间件系统等;4、服务器器,包括:日日志服务器、网网管服务器等等。四、 数据据采集层数据采集层层主要通过数数据采集引擎擎来实现原始始数据的获取取,为统一的的信息库提供供基础数据。4.1 采采集方式因为该平台台面临政务网网络内不同单单位众多类型型厂商品牌设设备构成的多多种数据来源源,每一种数数据来源的信信息都存在较较大差异,为为了保证平台台能够获取全全面的数据,数数据采集引擎擎在获取原始始数据时,需需要支持如下下几种数据采采集方式:1、 通过过配置实现采采集:通过配配置采集源的的Sysloog、SNMMP T
9、raap、Soccket、OODBC/JJDBC、FFlow等方方式将事件日日志、告警信信息、性能参参数以及其他他相关数据发发送到数据采采集引擎。2、 通过过远程登录方方式采集:通通过Telnnet/SSSH等方式,由由数据采集引引擎模拟登录录到系统上获获取事件日志志、告警信息息、性能参数数以及其他相相关数据。3、 安装装代理实现采采集:在服务务器上安装采采集引擎代理理程序,执行行后台采集服服务以及采集集脚本,将目目标系统上的的事件日志、告告警信息、性性能参数以及及各类事件数数据收集后发发送给数据采采集引擎。4、定时轮轮询采集:数数据采集引擎擎通过ICMMP、SNMMP、ARPP来获取监管管对
10、象的数据据。4.2 采采集策略数据采集引引擎,支持灵灵活定义采集集策略,包括括如下:1、数据采采集引擎采用用分布式部署署方式。因为为市电子政务务网络具有城城域网特点,应应用电子政务务网络的各个个政务单位分分布较为分散散,为了保证证数据的获取取不受地理分分布的限制,数数据采集引擎擎采用分布式式部署方式。2、支持动动态采集策略略,因为每个个数据采集引引擎所面临的的监控对象不不同,因此数数据的来源也也会有所区别别,平台可以以为每个数据据采集引擎配配置不同的采采集策略,使使得每个数据据采集引擎都都可以较为针针对的采集相相适合的数据据。4.3 基基础数据处理理监控预警平平台是一个具具有多数据源源集成体系
11、特特点的平台,平平台需要数据据访问的透明明性以及实现现数据源的及及时可用性,因因此平台需要要设计一个合合理方案,以以对来自不同同数据源的各各种数据进行行表示,从而而便于进行统统一处理;其其次则应考虑虑异构数据转转换问题,将将来自不同数数据源的各种种数据转换成成集成系统能能进一步处理理的统一格式式;另外还必必须定义基本本运算,进行行信息数据的的归并,从而而能够有效完完成数据查询询、存取等具具体功能。因因此数据采集集引擎在通过过一定的协议议或者文件方方式采集到大大量的原始数数据后,会对对数据进行如如下的处理:1、数据格格式统一标准准化,因为数数据来源来自自多种不同类类型的设备和和系统,数据据采集方
12、式也也存在着较大大的差异化,导导致获取到的的原始数据格格式是多种多多样的,因此此数据采集层层首先将原始始数据按照平平台规定的数数据格式,进进行统一标准准化处理。2、数据归归并,针对海海量的原始数数据,数据采采集层会按照照安全事件的的类型、安全全事件发生的的时间、安全全事件的次数数等条件对原原始数据进行行必须的归并并。3、数据压压缩,当大量量的数据在网网络中传输时时,势必会造造成网络拥挤挤,影响正常常的业务应用用。为了保证证网络传输的的畅通,数据据采集层对原原始数据一定定的压缩处理理,再提交到到数据传输接接口。4、数据传传输,此为数数据采集层向向数据处理层层提交数据的的传输接口。五、 数据据处理
13、层数据采集引引擎将标准化化和归并后的的安全告警数数据、性能数数据、配置数数据、故障数数据等信息提提交给平台的的核心数据处处理系统后,核核心数据处理理系统能够有有效识别各类类数据,并将将不同的数据据分发给不同同的数据处理理子系统进行行处理,防止止同一数据被被不同的数据据处理子系统统分别处理。我们将原始始数据分为三三类:业务系系统数据、网网络数据和安安全数据,因因此数据处理理平台设计了了如下三个数数据处理子系系统:1、业务系系统数据处理理子系统;2、网络数数据处理子系系统;3、安全数数据处理子系系统。5.1 业业务系统数据据处理子系统统业务系统数数据的来源,主主要是:业务务系统、日志志服务器等。数
14、数据采集平台台通过程序接接口访问业务务系统获取主主要监测数据据,提交给数数据处理平台台后,数据处处理平台进行行初步判断,检检测为业务系系统数据,会会自动提交给给业务系统数数据处理子系系统。在业务务系统数据处处理子系统中中,我们又将将数据进行了了一定的分门门别类,具体体类别如下:1、操作系系统数据;2、数据库库系统数据;3、中间件件系统数据。业务系统数数据处理子系系统定期自动动向安全数据据处理子系统统输出数据。业业务系统数据据处理子系统统在进行数据据处理时,一一旦检测到各各种异常,就就会生成特定定安全事件,并并随时输出到到安全数据处处理子系统,作作为安全数据据处理子系统统的数据来源源之一。5.1
15、.11 操作系统统数据处理 业务系统数数据处理子系系统在获取到到操作系统数数据后,会根根据不同操作作系统的特性性,对数据进进行一定的处处理。平台所支持持的操作系统统类型,至少少包括:Wiindowss2000/2003服服务器系统、LLinux服服务器系统、IIBM AIIX服务器系系统、SUNN Solaaris服务务器系统、HHP UNIIX服务器系系统、Truu64服务器器系统等。操作系统数数据处理的内内容,如下表表所示:序号类别描述1基本信息整理操作系统所属主主机名称、网网络接口数量量,每个接口口的IP地址/MACC地址、子网网掩码等;最最近24小时内主主机操作系统统连接状态的的统计分
16、析2CPU静态信息息整理CPU编号、核核心数、CPPU品牌3CPU动态信息息整理记录时间、CPPU使用率4内存动态信息总物理内存、可可用物理内存存、总虚拟内内存、可用虚虚拟内存、总总页面文件大大小、可用页页面文件大小小、记录时间间、内存使用用率5系统进程动态信信息进程ID、使用用用户、映像像名称、CPPU使用率、内内存、记录时时间6硬盘动态信息挂载点、类型、总总大小、可用用大小、文件件系统类别、硬硬盘IO、记录时时间7性能事件在业务系统数据据处理子系统统检测到某个个操作系统的的CPU使用率率、内存使用用率、硬盘空空间使用率等等性能指标超超过特定阀值值时,会自动动生成性能事事件,随后提提交给安全
17、数数据处理子系系统。8故障事件在业务系统数据据处理子系统统检测到某个个主机设备由由UP状态转换换为DOWNN状态等,会会自动生成故故障事件,随随后提交给安安全数据处理理子系统。5.1.22 数据库系系统数据处理理业务系统数数据处理子系系统在获取到到数据库系统统数据后,会会根据不同的的数据库系统统特性,对数数据进行一定定的处理。平台所支持持的数据库系系统类型,至至少包括: DB2、OOraclee、SQL Serveer、MYSSQL等。数据库系统统数据处理内内容,如下表表所示:序号类别描述1基本信息整理数据库名称、数数据路径、基基本目录、数数据库版本、字字符集、配置置的临时表大大小、临时表表目
18、录、更新新时间2数据表信息表的名称、行的的格式、行数数、索引长度度、表的类型型、当前大小小、扩展大小小、表创建时时间、表更新新时间、更新新时间等信息息3缓存信息创建的临时文件件数目、创建建的临时表数数目、在查询询缓存中的空空闲内存块数数量、查询缓缓存中空闲内内存数量、查查询缓冲的请请求命中率、添添加到插叙缓缓存中的查询询数量、由于于低内存而从从查询缓存中中删除的查询询数量、注册册在查询缓存存中的查询请请求数量、在在插叙缓存中中块的总数目目、使用内存存大小、打开开表的数量、打打开过的表的的数量、表缓缓存配置数、更更新时间等信信息4线程信息缓存中的线程数数、为处理远远程连接请求求创建的线程程总数、
19、当前前打开的连接接数、处于非非睡眠状态的的线程数、更更新时间等信信息5锁信息表的直接锁定次次数、锁等待待的次数、更更新时间等信信息6页和行锁信息数据的页数量、脏脏页数目、缓缓冲池中页刷刷新请求数目目、空闲页的的数量、页缓缓存池的大小小、页的大小小、当前被等等待的行锁的的数量、共计计消耗在获取取行锁上的时时间、为获取取行锁平均等等待时间、更更新时间等信信息7性能事件在业务系统数据据处理子系统统检测到某个个数据库系统统的表空间使使用率、连接接数使用率等等性能指标超超过特定阀值值时,会自动动生成性能事事件,随后提提交给安全数数据处理子系系统。8故障事件在业务系统数据据处理子系统统检测到某个个数据库系
20、统统的实例未启启动、连接服服务未启动、数数据库关闭、数数据库归档日日志已满、数数据库连接数数已满等异常常时,自动生生成故障事件件,随后提交交给安全数据据处理子系统统。5.1.3 应用系统数数据处理 业务系统数数据处理子系系统在获取到到应用系统数数据后,会根根据不同的应应用系统特性性,对数据进进行一定的处处理。平台能够支支持应用系统统类型,至少少包括:IBBM Webbspherre、Apaache TTomcatt、Micrrosoftt IIS等等。应用系统数数据处理的内内容,如下表表所示:序号类别描述1基本信息整理应用系统类型、应应用系统版本本信息、应用用系统健康度度,即统计224小时内应
21、应用系统的启启用状态2会话动态信息会话类型、会话话名称、创建建的会话数、失失效的会话数数、平均会话话生存期、请请求当前访问问的会话总数数、当前存活活的会话总数数、无法处理理的新会话请请求次数、被被强制逐出高高速缓存的会会话对象数、从从持久性存储储读会话数据据花费的时间间、从持久性性存储读取的的会话数据大大小、从持久久性存储写会会话数据花费费的时间、写写到持久性存存储的会话数数据大小、中中断的 HTTTP 会话话亲缘关系数数、前一个和和当前访问时时间戳记的时时间之差、超超时失效的会会话数、不再再存在的会话话的请求数、会会话级会话对对象的平均大大小、记录时时间3进程池动态信息息名称、类型、高高范围
22、、低范范围、当前、高高水位、低水水位、并发活活动或池中线线程状态、记记录时间4JDBC连接池池动态信息名称、类型、创创建连接的总总数、已关闭闭的连接的总总数、分配的的连接的总数数、返回到池池的连接的总总数、连接池池的大小、池池中的空闲连连接数、等待待连接的平均均并发线程数数、池中的连连接超时数、正正在使用的池池的平均百分分率、使用连连接的平均时时间、在允许许连接之前的的平均等待时时间、因为高高速缓存已满满而废弃的语语句数、记录录时间5事务数动态信息息在服务器上开始始的全局事务务数、在服务务器上已开始始的本地事务务数、并发活活动的全局事事务数、已落落实的全局事事务的个数、回回滚的全局事事务数、超
23、时时的全局事务务数、超时的的本地事务数数、记录时间间6事务的平均持续续时间平均时间、最小小时间、最大大时间、总大大小、数量、总总和、全局或或本地状态、记记录时间7JVM动态信息息高水位、低水位位、当前、低低范围、高范范围、Javva 虚拟机机运行时中的的空闲内存、Java 虚拟机运行时中使用的内存容量、Java 虚拟机已经运行的时间数、Java 虚拟机的 CPU 使用情况、记录时间8EJB动态信息息创建bean的的次数、除去去 beann 的次数、处处于就绪状态态的beann实例的个数数、并发存活活的beann的平均数、调调用 beaan 远程方方法的次数、远远程方法的平平均响应时间间、将对象
24、返返回到池的调调用次数、由由于池已满而而放弃正在返返回的对象的的次数、池中中对象的平均均数、传递到到 beann 的 onMeessagee 方法的消消息数、处于于钝化状态的的 beann 的个数、处处于就绪状态态的 beaan 实例的的个数、记录录时间9性能事件在业务系统数据据处理子系统统检测到某个个应用系统的的会话数、JJDBC连接接数、事务数数、事务的平平均持续时间间等性能指标标超过特定阀阀值时,会自自动生成性能能事件,随后后提交给安全全数据处理子子系统10故障事件在业务系统数据据处理子系统统检测到某个个应用系统的的服务异常停停止、业务系系统不可用等等异常时,自自动生成故障障事件,随后后
25、提交给安全全数据处理子子系统5.2 网网络数据处理理子系统网络数据的的主要来源是是:网络设备备。数据采集集层将原始数数据提交给数数据处理层后后,数据处理理层进行初步步判断,检测测为网络相关关数据,会自自动提交给网网络数据处理理子系统。网络数据处处理子系统定定期自动向安安全数据处理理子系统输出出数据。网络络数据处理子子系统在进行行数据处理时时,一旦检测测到各种异常常,就会生成成特定安全事事件,并随时时输出到安全全数据处理子子系统,作为为安全数据处处理子系统的的数据来源之之一。5.2.11 网络拓扑扑自动发现该子系统提提供详细的拓拓扑图元数据据结构,并开开放拓扑数据据,提交给统统一信息库,供供展现
26、层使用用。网络拓扑能能够最为直观观地反映整个个网络连接状状况。自动发发现是系统拓拓扑中非常重重要的一个功功能,它能够够自动识别设设备类型,包包括各种服务务器类型、路路由器、交换换机、等等,以以及它们之间间的关系,并并且自动将它它们存储到公公用对象库中中对应的类中中。网络管理理人员通过图图形管理界面面能够直观的的查询网络拓拓扑关系。网络拓扑自自动发现,有有三种实现协协议:包括IICMP、SSNMP、CCDP、其中中ICMP主主要用于发现现网络的主机机节点,其耗耗时较长,而而SNMP和和CDP主要要是用来搜索索网络内的路路由器、交换换机等网络设设备。本方案案会综合使用用上述三种协协议来自动发发现和
27、生成电电子政务网络络拓扑、监控控预警平台自自身的网络拓拓扑。5.2.22 网络设备备监控数据采集平平台通过SNNMP数据采采集方式,采采集网络设备备的MIB数数据,实时监监控网络设备备的运行情况况。网络数据处处理子系统在在获取到网络络数据后,会会根据不同的的网络设备特特性,对数据据进行一定的的处理。网络络设备类型至至少能够支持持:CISCCO、华为、JJunipeer、Fouundry等等。网络数据处处理内容包括括:1、基本信信息整理:网网络接口数量量,每个接口口的IP地址址/MAC地地址等;2、接口信信息:接口索索引、接口类类型、接口描描述、接口速速率、工作状状态、管理状状态、接口总总流量、
28、入口口流量、出口口流量;在网络数据据处理子系统统检测到某个个网络设备的的CPU使用用率、内存使使用率、接口口流量等性能能指标超过特特定阀值时,会会自动生成性性能事件,随随后提交给安安全数据处理理子系统。在网络数据据处理子系统统检测到某个个网络设备的的设备停机、接接口不通等异异常时,自动动生成故障事事件,随后提提交给安全数数据处理子系系统。5.3.33.2 工单单的来源 1、 安全全数据处理子子系统经过对对安全数据的的分析后,生生成的安全事事件;2、 业务务系统数据处处理子系统生生成的性能事事件和故障事事件;3、 网络络数据处理子子系统生成的的性能事件和和故障事件;5.3.33.3 与知知识库系
29、统关关联安全事件处处理与知识库库关联。1、安全监监控人员在准准备处理工单单之前,可以以根据内容的的关键字信息息到知识库系系统中查询符符合该事件类类型的相关内内容,包括:事件原因分分析、事件处处理步骤、事事件总结等,获获得相应的处处理经验。2、安全监监控人员在处处理完毕工单单后,可以将将与此工单相相关的详细内内容,如:事事件原因分析析、事件处理理步骤、事件件总结等生成成相关案例,保保存到知识库库中,为其他他人处理类似似事件提供经经验共享。5.3.33.4 工单单执行和监控控流程当平台发现现有真实安全全事件时,根根据预先制定定的工单处理理流程,平台台会自动生成成安全事件处处理工单,此此时不需要人人
30、工干预,系系统自动调用用服务程序通通过声音、图图形、短信、邮邮件、代理程程序等方式及及时通知负责责处理此安全全事件工单的的监控人员。此此时也启动安安全事件进入入其相应的处处理流程。工单的执行行和监控流程程具有下列特特征:1、工单具具有一定的时时限性,必须须在规定的时时限内处理完完毕,如果在在规定的时间间内未被及时时处理,系统统会自动修改改工单状态,并并自动向相关关人员发送超超时通知;2、当某个个工单不能被被此工单相关关的监控人员员正确处理时时(因为技术术人员水平或或者时间的原原因),可提提前终止对工工单的处理,并并说明终止工工单的原因。安安全监督人员员负责核实终终止原因,同同时将工单重重新派发
31、给其其他监控人员员,以充分保保证工单能够够被正常处理理;3、安全监监督人员可随随时监督工单单生成进程和和处理进程,如如:系统目前前有多少待处处理的工单,有有多少正在处处理中,多少少已经处理完完毕。4、系统自自动记录每个个工单从生成成,到接受处处理,到处理理完毕,以及及处理确认的的全部过程,此此记录过程成成为考核监控控人员的依据据。5.3.44 风险管理理5.3.44.1 风险险计算风险管理以以监控对象为为基础,通过过获取统一信信息库中监控控对象的配置置数据,对监监控对象价值值、安全威胁胁因素关联后后计算监控对对象的风险值值,并对监控控对象的风险险实现动态的的监控。假设风险计计算公式(可可根椐实
32、际情情况进行调整整)为:风险值ff(监控对象象价值,威胁胁可能性);通过风险分分析得到的风风险状况为一一个数字,不不同的取值范范围决定了不不同的风险级级别,风险级级别划分为五五个等级:等级符号对应的典型安全全状况取值范围5VH(很高)风险很高,导致致系统受到非非常严重影响响的可能性很很大10012554H(高)风险高,导致系系统受到严重重影响的可能能性较大75993M(中)风险中,导致系系统受到影响响的可能性较较大50742L(低)风险低,导致系系统受到影响响的可能性较较小25491VL(很低)风险很低,导致致系统受到影影响的可能性性很小024为确保安全全风险管理符符合监控预警警平台的监控控深
33、度以及相相关要求,可可根据实际现现状和监控对对象提出详细细的风险计算算方式,并能能够在后续的的实施过程中中进行重新设设计和二次改改造。5.3.44.2 风险险的动态监控控1、 当安安全事件更新新后,对应的的监控对象的的风险被更新新。2、 当故故障事件更新新后,对应的的监控对象的的风险被更新新。3、 当故故障事件更新新后,对应的的监控对象的的风险被更新新。4、 当监监控对象发生生某些可能对对风险有影响响的变化后,对对应的监控对对象的风险被被更新。六、 展示示平台6.1 安安全监控展示示6.1.11 分级进行行展示分级展示电电子政务网络络的安全状态态。以曲线图图方式展示最最近一段时间间电子政务网网
34、络的安全风风险。层次展示内容第一层政务网络整体安安全风险第二层每类监控对象的的安全风险第三层每个监控节点的的安全风险第四层每个安全事件的的详细内容6.1.22 按地理位位置展示从地理区域域上看,本市市目前包含近近10个区县县,而本平台台所监控的四四类监控对象象则较为分散散地分布在不不同的区县,因因此本平台提提供按照实际际地理位置展展示安全风险险的功能。本平台以本本市地图作为为地理位置展展示的基础图图,将每个监监控对象:政政务外网每个个汇聚节点、每每个政务用户户互联网接入入节点、每个个重要信息系系统、每个网网站的所在地地理位置在基基础题上实际际标识出来。不同类型的的监控对象用用不同形状标标注,如
35、下表表所示:不同级别的的安全风险用用不同颜色标标注,如下表表所示:当鼠标放置置到某个监控控对象上时,能能够显示此监监控对象的相相关属性:监监控对象的类类别、监控对对象的风险值值、监控对象象最近发生的的事件总数等等。当点击某个个监控对象时时,能够显示示此监控对象象的所有详细细信息,包括括此监控对象象的基本属性性、安全事件件列表、故障障事件列表、性性能事件列表表等。当点击任何何一个安全事事件,能够看看到安全事件件的原始数据据信息。当点击地理理位置上的某某类监控对象象时,会进入入到按监控对对象类别展示示界面。当点击地理理位置行的某某级别风险时时,会进入到到按风险级别别展示界面。6.1.3 按网络拓扑
36、扑展示网络拓扑对对象包括:政政务外网网络络拓扑、政务务用户互联网网接入网络拓拓扑、重要信信息系统网络络拓扑、政务务网站网络拓拓扑。选择其中一一个网络拓扑扑对象,展示示层会完整展展示其相应的的网络拓扑结结构。每个监监控对象在网网络拓扑上都都有对应的位位置,并且每每个监控对象象用不同的颜颜色(或者不不同的图标)来来标注此监控控对象的安全全风险。 当鼠标放置置到某个监控控对象上时,能能够显示此监监控对象的相相关属性:监监控对象的类类别、监控对对象的风险值值、监控对象象最近发生的的事件总数等等。当点击某个个监控对象时时,能够显示示此监控对象象的所有详细细信息,包括括此监控对象象的基本属性性、安全事件件
37、列表、故障障事件列表、性性能事件列表表等。当点击某级级别安全风险险时,能够按按照级别来查查看安全事件件、故障事件件、性能事件件等。当点击任何何一个安全事事件,能够看看到此事件的的原始数据信信息。6.1.4 按监控控对象类别展展示监控对象类类别包括:政政务外网、政政务用户互联联网接入、重重要信息系统统网络拓扑、政政务网站四个个类别。选择其中一一类监控对象象,如:政务务外网,平台台会展示政务务外网33个个汇聚节点的的安全风险状状况:1、最近一一段时间内,整整体政务外网网的安全风险险状况。2、整个政政务外网最新新的TOP N个安全事事件。3、整个政政务外网发生生安全事件频频率最多的TTOP N个个汇
38、聚节点。4、按照级级别展示政务务外网所有安安全事件。点击某个具具体的监控对对象时,如:政务外网的的其中一个汇汇聚节点,会会展示此汇聚聚节点的安全全风险状况。1、 最近近一段时间内内,此汇聚节节点的安全风风险状况。2、此汇聚聚节点所有的的安全事件(分分页显示)。6.11.5 按风风险级别展示示假设风险级级别包括:很很高、高、中中、低、很低低五个级别。 6.11.6 事件件详细展示展示每个安安全事件、故故障事件、性性能事件的详详细内容,如如下表所示:6.2 综综合运维管理理6.2.11 监控对象象管理平台具备建建立监控对象象的信息库,能能统一管理监监控对象的各各种属性识别别、赋值、建建档等活动。要
39、要求:1、定义规规范的监控分分类、赋值等等信息。2、提供通通过信息输入入界面手工输输入、维护监监控对象的手手段。3、提供符符合标准格式式的文件(如如Excell、XML等等)导入监控控对象的手段段。4、实现监监控对象编码码。6.2.11.1 监控控对象分类监控对象的的类别,如下下表所示: 序号类别说明1政务外网2政务用户互联网网接入3重要信息系统4政务网站6.2.11.2 监控控对象建档属性名说明编号唯一标识监控对对象的编号监控对象名监控对象名称类型监控对象类型管理部门监控对象由哪个个部门负责管管理管理员对该监控对象具具有管理责任任的管理员姓姓名以及联系系方式(包括括电话和邮箱箱地址)等物理地
40、址监控对象的物理理安置地点IP地址监控对象主要IIP地址操作系统操作系统的名称称及版本价值监控对象价值,针针对本平台,所所有监控对象象的价值都较较高接口数量监控对象的接口口数量负责人监控对象负责人人监控对象关注人人监控对象上存在在的漏洞端口监控对象的端口口开放情况(如如果有)6.2.22 安全策略略管理安全策略管管理负责指导导平台的运转转。安全策略略管理分为:日志采集策策略、安全信信息分析策略略、安全事件件处理策略等等。该策略模模块中的所有有策略均支持持多维度的查查询。日志采集策策略针对不同的的数据采集引引擎可以配置置不同的采集集策略。数据据采集策略可可定制的内容容包含:日志志信息来源、日日志
41、信息等级级。安全信息分分析策略安全信息分分析策略是关关联分析的展展示接口,当当关联分析的的所有条件匹匹配成功,则则生成一条安安全事件。安安全信息分析析策略中,可可定制的内容容如下表所示示:属性名说明发生源IP发送安全信息的的设备IP地地址,比如:如果是入侵侵检测系统发发出了一条SSYSLOGG信息,则“发生源IPP”就指该入侵侵检测系统的的IP地址源IP安全事件的源IIP。比如机机器A向机器B发出攻击信信息,“源IP”就指机器A的IP地址源端口安全事件的源端端口目的IP安全事件的目的的IP,如在上上例中,指机机器B的IP地址目的端口安全事件的目的的端口协议网络访问行为所所使用的协议议安全信息描
42、述是对设置的源IIP通过设置置的端口访问问指定的IPP段时使用的的安全信息描描述安全信息类型产生的安全信息息中的类型安全信息名称指产生的安全信信息中的名称称访问时间段对设置的源IPP通过设置的的端口访问指指定的IP段时的起起始时间限制制Bugtraqq编号国际上通用的标标识Bugttraq的库库CVE编号国际上通用的标标识CVE的库安全信息来源数据采集引擎IIP地址源MAC安全事件的源MMAC地址目的MAC安全事件的目的的MAC地址时间间隔指定了策略的时时间范围,单单位为秒安全事件次数表示在设定的“时间间隔”内,此条策策略匹配多少少次才产生一一条安全事件件,实现安全全事件的归并并安全事件处处理
43、策略安全事件处处理策略用于于制定安全事事件处理的流流程策略。安安全事件处理理策略中,可可定制的内容容如下表所示示:属性名说明工作流模板系统内置了多种种工作流模板板以对应不同同的安全事件件,可随意选选择内置的模模板处理时限安全事件必须处处理的时间限限制通知方式Email和即即时通知当选择“E-mmail”时时,则按照所所选工作流模模板中指定的的管理员E-mail地地址,将处理理安全事件通通知发给相应应的管理员;当选择“即时通知”时,则按照照工作流模板板中指定的管管理员,将处处理安全事件件通知发给相相应的管理员员优先级安全事件的级别别危害安全事件的危害害备注其他补充信息6.2.33 综合报表表管理
44、6.2.33.1 监控控对象报表监控对象报报表类型包括括:1、监控对对象安全事件件TOP NN(年报表、半半年报表、季季报表、月报报表、周报表表);2、监控对对象安全风险险趋势(月报报表、周报表表、日报表)。6.2.33.2 安全全事件报表监控对象报报表类型包括括:1、安全事事件类型TOOP N(年年报表、半年年报表、季报报表、月报表表、周报表);2、安全事事件报表TOOP N(年年报表、半年年报表、季报报表、月报表表、周报表);3、安全事事件等级报表表TOP NN(年报表、半半年报表、季季报表、月报报表、周报表表)。6.2.33.3 安全全事件处理报报表安全事件处处理报表包括括:1、 最新新
45、处理中工单单TOP NN;2、 数量量最多的处理理中工单TOOP N;3、 数量量最多的关闭闭工单TOPP N。6.2.33.4 服务务监控报表1、 主机机操作系统监监控报表;2、 数据据库监控报表表;3、 应用用系统监控报报表。6.2.44 知识库管管理知识库管理理实现安全知知识的收集和和共享。它将将安全漏洞、技技术知识、安安全标准以及及安全工具等等资源集中起起来,形成一一个知识共享享平台,该知知识库的数据据以数据库的的方式存储及及管理,并为为培养高素质质网络安全技技术人员提供供培训资源。6.2.44.1 漏洞洞库包含国际权权威的CVEE、BugTTraq漏洞洞库信息,支支持定期升级级,以随时了了解各个漏洞洞的详细信息息。6.2.44.2 技术术知识库平台内置丰丰富的安全监监控技术知识识体系,包括括系统监控、网网络监控、安安全监控等方方面的各种技技术知识与经经验技巧。平台支持手手工录入安全全知识和技术术文档。平台自动将将安全事件的的处理过程、维维护经验、应应用工具形成成安全案例,丰丰富到知识库库中。6.2.44.3 日志志信息库日志信息库库保存了数据据采集引擎获获取的原始数数据。6.2.44.4 工具具软件库