某單位安全管理平臺(tái)建設(shè)方案

1、XX 公安安全管理平臺(tái)建設(shè)方案北京啟明星辰信息技術(shù)股份有限公司Beijing Venus Technology Co. Ltd.2019 年 1 月 b5E2RGbCAP目錄1前言p1 4 EanqFDPw2 設(shè)計(jì)依據(jù)D.4XDiTa9E3d3 術(shù)語和定義 6. RTCrpUDGiT4 建設(shè)原則5p7czvd7hxa5 系統(tǒng)現(xiàn)狀及需求分析 6 安全管理平臺(tái)建設(shè)目標(biāo) 6.1 集中監(jiān)控告警6.2 事件定位處理6.3 安全關(guān)聯(lián)分析 6.4 實(shí)時(shí)風(fēng)險(xiǎn)管理6.5 安全運(yùn)維流程6.6 安全管理流程6.7 策略知識(shí)體系 8.jLBHrnAILg1x010LDAYtRyKfE10Zzz6ZB2Ltk11 dv

2、zfvkwMI111 rqyn14ZNXI11 EmxvxOtOco11 SixE2yXPq5126ewMyirQFLHAQX74J0X7 安全管理平臺(tái)方案設(shè)計(jì)1.3 kavU42VRUs7.1 平臺(tái)概述 13y6v3ALoS897.2 系統(tǒng)組成 13 M2ub6vSTnP7.3 系統(tǒng)架構(gòu) 140YujCfmUCw7.4 平臺(tái)功能描述 16eUts8ZQVRd1.1.1 集中展示模塊1.1.2 運(yùn)行監(jiān)控模塊1.1.3 業(yè)務(wù)處理模塊1.1.4 業(yè)務(wù)統(tǒng)計(jì)模塊1.1.5 關(guān)聯(lián)分析 1.1.6 安全態(tài)勢(shì)分析 1.1.7 關(guān)鍵安全管理指標(biāo)分析 1.1.8 業(yè)務(wù)配置模塊1.1.9 平臺(tái)管理模塊1.1.10

3、 接入交換管理模塊7.5 系統(tǒng)接口 7.6 部署方式7.6.1 單級(jí)部署16sQsAEJkW5T18GMsIasNXkA23 TIrRGchYzg27 7EqZcWLZNX29lzq7IGf02E30zvpgeqJ1hk30NrpoJac3v1311nowfTG4KI34 fjnFLDa5Zo37tfnNhnE6e540 HbmVN777sL41 V7l4jRB8Hs41 83lcPA59W97.6.2 級(jí)聯(lián)部署42mZkklkzaaP7.7運(yùn)行環(huán)境要求43 AVktR43bpw8啟明星辰公安安全管理平臺(tái)特性優(yōu)勢(shì)440RjBn0wcEd8.1 多層次的安全事件管理 44 2MiJTy0dTT8

4、.1.1 安全專項(xiàng)系統(tǒng)的信息采集 44 gliSpiue7A8.1.2 支持分布式日志采集 46間0U1Yfmh8.1.3 詳盡的日志范式化與事件分類 461Ag9qLsgBX8.1.4 智能化安全事件關(guān)聯(lián)分析 47 WwghWvVhPE8.1.5 可視化安全事件分析 47 asfpsfpi4k8.2 多維度的業(yè)務(wù)處理過程 48ooeyYZTjj18.2.1 豐富的業(yè)務(wù)流程分類 48 BkeGuInkxI8.2.2 靈活的流程定制能力 49PgdO0sRlMo8.3 全方位的IT系統(tǒng)性能與可用性監(jiān)控 503cdXwckm158.3.1 網(wǎng)絡(luò)拓?fù)涔芾?50h8c52W0ngM8.3.2 支持多種

5、監(jiān)控對(duì)象 50v4bdyGious8.3.3 全方位細(xì)粒度監(jiān)控 51J0bm4qMpJ951 XVauA9grYP8.4 基于風(fēng)險(xiǎn)矩陣的M化安全風(fēng)險(xiǎn)評(píng)估8.5 指標(biāo)化的宏觀態(tài)勢(shì)感知 8.5.1 地址嫡態(tài)勢(shì)分析 52bR9c6TJscw52pN9LBDdtrd8.5.2 威脅態(tài)勢(shì)分析 8.5.3 關(guān)鍵安全管理指標(biāo)分析 8.6 豐富靈活的報(bào)表報(bào)告 8.6.1 可擴(kuò)展的報(bào)表內(nèi)容 8.6.2 公安業(yè)務(wù)考核支持 53 DJ8T7nHuGT53<QF81D7bvUA53 4B7a9QFw9h53ix6iFA8xoX54 wt6qbkCyDE8.7 可運(yùn)維的多級(jí)管理架構(gòu) 54 Kp5zH46zRk8.

6、7.1 級(jí)聯(lián)內(nèi)容 54Yl4HdOAA618.7.2 虛擬下級(jí) 54ch4PJx4BlI8.8 對(duì)用尸網(wǎng)絡(luò)和業(yè)務(wù)影響最小 55 qd3YfhxCzo8.9 完善的系統(tǒng)自身安全性保證 55E836L11DO555701nNvZFis8.10 有好的用戶1交互體驗(yàn) 56S42ehLvE3M9二次開發(fā)模塊及系統(tǒng)對(duì)接說明9.1 二次模塊開發(fā)說明 9.2 與XX公安現(xiàn)有系統(tǒng)對(duì)接說明 57jW1viftGw957xS0DOYWHLP10成功案例5.7. LOZMkIqI0w10.1 成功案例名單 10.2 典型案例 11項(xiàng)目預(yù)算1刖百57ZKZUQsUJed58dGY2mcoKtT6.1.rCYbSWRL

7、IA信息安全系統(tǒng)已網(wǎng)絡(luò)的快速發(fā)展為經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展帶來了巨大的影響，隨著信息化建設(shè)的飛速發(fā)展,成為 XX 公安工作的重要資源和基礎(chǔ)平臺(tái)。 FyXjoFlMWh目前 XX 公安的安全專項(xiàng)系統(tǒng)主要有： “一機(jī)兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界 安全接入平臺(tái)、PKI/PMI 系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)、異常流量監(jiān)測(cè)系 統(tǒng)、應(yīng)急響應(yīng)系統(tǒng)。 TuWrUpPObX近年來公安網(wǎng)絡(luò)安全問題呈現(xiàn)日益嚴(yán)重的趨勢(shì)， 從公安部的相關(guān)統(tǒng)計(jì)數(shù)據(jù)中可以看出， “一 機(jī)兩用”違規(guī)事件、病毒傳播率、漏洞發(fā)生率等涉及網(wǎng)絡(luò)安全的考核指標(biāo)，都在不同程度的增 加。因?yàn)樾畔⑿姑堋⑿畔⒃馐芷茐牡葞淼膿p失越來越令人觸

8、目驚心。在這種大的形勢(shì)下，網(wǎng) 絡(luò)安全的重要性被提到了前所未有的高度。7qWAq9jPqE由于公安以往的信息系統(tǒng)都是針對(duì)具體的應(yīng)用進(jìn)行設(shè)計(jì)， 未考慮系統(tǒng)的綜合管理， 所以在 管控手段和管控水平上極需加強(qiáng)。另外，隨著公安信息應(yīng)用的進(jìn)一步推進(jìn)， 對(duì)信息安全的日常運(yùn)維和應(yīng)急預(yù)案等方面提出了更高的要求， 切實(shí)需要建立省市兩級(jí)信息通信部門的快速反應(yīng)機(jī)制，強(qiáng)化信息系統(tǒng)基礎(chǔ)平臺(tái)的安全管理， 建設(shè)可信的信息系統(tǒng)環(huán)境， 為公安各類信息系統(tǒng)的安 全、可靠、穩(wěn)定、高效的運(yùn)行提供良好的基礎(chǔ)和強(qiáng)有力的保障。llVIWTNQFk2 設(shè)計(jì)依據(jù)國際國內(nèi)標(biāo)準(zhǔn)和規(guī)范：中華人民共和國保守國家秘密法中華人民共和國保守國家秘密法實(shí)施辦法

9、 中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定（中發(fā)19986 號(hào)）199716 號(hào)） 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國保發(fā) 19981 號(hào)）涉及國家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法（中保辦發(fā)關(guān)于加強(qiáng)政府上網(wǎng)信息保密管理的通知（國保發(fā)19994 號(hào)）計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定（國保發(fā)199910 號(hào)） 關(guān)于加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)保密管理的通知（中保委發(fā) 20024 號(hào)） 國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見（中辦發(fā) 200217 號(hào)） 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā) 200327 號(hào)）關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見（中保委發(fā)

10、20047 號(hào)） 涉及國家秘密計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法（國保發(fā) 20055 號(hào)） 信息系統(tǒng)保密管理規(guī)定中華人民共和國保密標(biāo)準(zhǔn)：BMZ1-2000 涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求BMZ2-2001 涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南BMZ3-2001 涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南BMB3-1999 處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試方法BMB4-2000 電磁干擾器技術(shù)要求和測(cè)試方法BMB5-2000 涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求BMB10-2004涉及國家秘密的計(jì)算機(jī)網(wǎng)絡(luò)安全隔離設(shè)備的技術(shù)要求和測(cè)試方法BMB11-2004涉及國

11、家秘密的計(jì)算機(jī)信息系統(tǒng)防火墻安全技術(shù)要求BMB12-2004涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)漏洞掃描產(chǎn)品安全技術(shù)要求BMB13-2004涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)入侵檢測(cè)產(chǎn)品技術(shù)要求BMB15-2004涉及國家秘密的信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求BMB16-2004涉及國家秘密的信息系統(tǒng)安全隔離與信息交換產(chǎn)品技術(shù)要求GB 及參考文獻(xiàn)：GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。GB/T 18336.1-2001 信息技術(shù) 安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第一部分：簡介和一般模型（idt ISO/IEC 15408-1 : 1999。 yhUQsDgRTIGB/T 18336.2-

12、2001 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第二部分：安全功能要求 （ idt ISO 15408-2:1999 ） 。 MduzYnKS8IGB/T 18336.3-2001 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第三部分：安全保第 2 部分：安全體系結(jié)證要求 ( idt ISO 15408-3:1999 ) 。 09T7t6eTnoGB/T 9387.2-1995 信息系統(tǒng) 開放系統(tǒng)互連 基本參考模型 構(gòu)。 e5TfZQIUB5ISO/IEC 17799： 2000信息技術(shù) 信息安全管理實(shí)用規(guī)則。BMB17-2006涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求。GB 50174-199

13、3電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范。GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求。ISO/IEC TR 18044:2004，信息技術(shù)安全技術(shù)一信息安全事件管理。GB/T20270-2006信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求。GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求。GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求。3術(shù)語和定義F列術(shù)語和定義適用于本方案術(shù)語解釋安管平臺(tái)本規(guī)范中的“安管平臺(tái)”特指公安集中安全管理平臺(tái)。它是實(shí)現(xiàn)公安信息網(wǎng)信息安全管理的技術(shù)支撐平臺(tái)。它以流程和標(biāo)準(zhǔn)化的方法為手段，實(shí)現(xiàn)安全業(yè)務(wù)監(jiān)控和安全事件的處理，為安全運(yùn)營和管理提供支撐

14、。安全專項(xiàng)系統(tǒng)為特定安全目標(biāo)建立的安全系統(tǒng)，包括但不限于現(xiàn)有的幾大系統(tǒng)：“機(jī)兩用”監(jiān)控系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接 入平臺(tái)、入侵監(jiān)測(cè)系統(tǒng)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃才田系統(tǒng)、異常流里監(jiān)測(cè)系統(tǒng)。工單指為了完成某個(gè)具體業(yè)務(wù)請(qǐng)求所使用的協(xié)同工作載體，承載內(nèi)容包括業(yè)務(wù)狀態(tài)、業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)要求等，按業(yè)務(wù)處理流程進(jìn)行流轉(zhuǎn)?；顒?dòng)活動(dòng)組成了業(yè)務(wù)流程中的步驟和任務(wù)，是按照規(guī)范流程要求而米取的動(dòng)作，在安管平臺(tái)中，活動(dòng)包括判斷、響應(yīng)、流轉(zhuǎn)、處置等。業(yè)務(wù)流程業(yè)務(wù)流程是為達(dá)到特定的價(jià)值目標(biāo)而由不同的人協(xié)作完成的一系列活動(dòng)?；顒?dòng)之間不僅有嚴(yán)格的先后順序限定，而且活動(dòng)的內(nèi)容、方式

15、、責(zé)任等也都必須有明確的安排和界定，以使不同活動(dòng)在不同崗位角色之間進(jìn)行轉(zhuǎn)手交接成為可能。本文主要指信通網(wǎng)中與安全運(yùn)行管理相關(guān)的簽到、巡檢、簽收、通報(bào)告警、響應(yīng)處理、審核等流程。安全事件由計(jì)算機(jī)信息系統(tǒng)或者網(wǎng)絡(luò)中的各種設(shè)備與系統(tǒng)，例如安全子系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等發(fā)現(xiàn)并記錄下的各種可疑活動(dòng)被稱為安全事件。安全策略安全策略是各種論述、規(guī)則和準(zhǔn)則的集合，用以解釋和說明公安信息網(wǎng)資源使用以及網(wǎng)絡(luò)與業(yè)務(wù)保護(hù)的方式和要求。4建設(shè)原則1） 安全性。XX公安的SOC安全管理平臺(tái)建設(shè)，必須具備在各個(gè)層次上的安全策略、體系和管理辦法，并系統(tǒng)地解決安全問題的能力。sISovAcVQM2） 有效性和實(shí)用性。網(wǎng)絡(luò)的安

16、全對(duì)所有用戶是透明的，操作的人機(jī)界面必須達(dá)到安全、簡捷、方便，同時(shí)不影響現(xiàn)有網(wǎng)絡(luò)安全的功能和系統(tǒng)的正常運(yùn)行。GXRwIkFW5s3） 開放性。網(wǎng)絡(luò)安全系統(tǒng)和設(shè)備，必須適應(yīng)多種軟、硬件平臺(tái)和通訊的能力。4） 自主性和可控性。根據(jù)國家相關(guān)的法規(guī)和政策，在安全建設(shè)的過程中，安全設(shè)備必須通過國家有關(guān)管理部門（主要是公安部門）的認(rèn)可或認(rèn)證，保證其配置及設(shè)備的合法性O(shè) UTREx49Xj95） 適應(yīng)性和可擴(kuò)展性。所采取的措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要具備可擴(kuò)充性和可升級(jí)性，以適應(yīng)將來網(wǎng)絡(luò)規(guī)模的發(fā)展。8PQN3NDYyP6）業(yè)務(wù)符合性。平臺(tái)所提供的事件監(jiān)控、處理流程，必須符合公安行業(yè)的實(shí)際

17、工作特性與工作過程。7）可管理性。網(wǎng)絡(luò)安全系統(tǒng)必須具備良好的可管理性。5 系統(tǒng)現(xiàn)狀及需求分析目前 XX 公安信息專網(wǎng)涉及地域廣泛，包括省廳及直屬單位、 個(gè)地市， 多個(gè)區(qū)縣等接入單位；應(yīng)用系統(tǒng)繁多，共有100 多個(gè)應(yīng)用系統(tǒng)。隨著XX 公安信息網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)范圍 越趨擴(kuò)大， 主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)量也隨之不斷地增長， 并且種類繁多、 部署分散， 這些系統(tǒng)每天都要產(chǎn)生成千上萬的各類安全事件和告警信息。 mLPVzx7ZNwXX 公安非常重視公安信息安全建設(shè)，目前建成包括“一機(jī)兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預(yù) 警系統(tǒng)、邊界安全接入平臺(tái)、 PKI/PMI 系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站及信息掃描系統(tǒng)

18、、異常流量監(jiān)測(cè)系統(tǒng)、應(yīng)急響應(yīng)系統(tǒng)等安全專項(xiàng)系統(tǒng)，這些系統(tǒng)在省廳及各地市得到應(yīng)用，但各個(gè)系 統(tǒng)提供獨(dú)立的安全管理監(jiān)控平臺(tái)，形成多個(gè)“信息孤島” ，缺乏全網(wǎng)統(tǒng)一的安全狀況實(shí)時(shí)監(jiān)控 了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段，沒有一套完善的安全管理機(jī)制， 沒有 專門負(fù)責(zé)安全監(jiān)控的組織和人員， 現(xiàn)有的安全管理、 安全監(jiān)控手段已經(jīng)不能滿足日益擴(kuò)展的復(fù) 雜的信息安全保障的需要，因此難以有效發(fā)揮其功能作用。 AHP35hB02d目前 XX 省公安廳的安全管理系統(tǒng)存在以下問題：網(wǎng)絡(luò)范圍越趨擴(kuò)大，主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備數(shù)量也隨之不斷地增長，并且種 類繁多、部署分散，這些系統(tǒng)每天都要產(chǎn)生成千上萬的各類

19、安全事件和告警信息，但是安全事件得不到有效處理。告警信息得不到有效分析。 NDOcB141gT 安全告警信息沒有與具體的設(shè)備資產(chǎn)想關(guān)聯(lián)，發(fā)現(xiàn)告警后無法定位和處理，比如病毒信息和 IDS 安全告警信息，因?yàn)闆]有和具體的設(shè)備相關(guān)聯(lián)，無法及時(shí)定位和處理；1zOk7Ly2vA 網(wǎng)絡(luò)中各安全設(shè)備基本采用各自分散的管理模式，而零散的安全信息很難形成集中性 的、對(duì)決策、判斷及處理有重要意義的數(shù)據(jù) fuNsDv23Kh 沒有明確的安全監(jiān)控、處理、安全管理流程和上報(bào)工作流程，缺乏有效的事件處理機(jī) 制，當(dāng)產(chǎn)生安全事件時(shí)，相關(guān)人員按照自己的想法和理解進(jìn)行處理，可能會(huì)造成更大 的損失和影響； tqMB9ew4YX 缺乏全網(wǎng)統(tǒng)一的安全狀況實(shí)時(shí)監(jiān)控了解工具，缺乏安全策略與安全技術(shù)相結(jié)合的溝通手段。缺乏明確的人員職責(zé)定位與考核標(biāo)準(zhǔn)，安全告警不能落實(shí)到具體責(zé)任人，安全事件處 理不能落實(shí)到任務(wù)處理人，難以形成高效的績效考核機(jī)制。 HmMJFY05dE 缺乏與安全管理工作相適應(yīng)的安全知識(shí)體系。安全告警發(fā)生之后無法及時(shí)尋找對(duì)應(yīng)的 知識(shí)庫進(jìn)行參照處理。針對(duì)上述問題， 并根據(jù)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理的本質(zhì)， 對(duì)風(fēng)險(xiǎn)進(jìn)行有效的控制， 圍繞