某單位安全管理平臺建設方案

1、XX公安 安全管理平臺建設方案 北京啟明星辰信息技術股份有限公司 Beijing Venus Technology Co. Ltd. 2019年1月 b5E2RGbCAP 目錄 1前言 p14EanqFDPw 2設計依據(jù) D.4XDiTa9E3d 3術語和定義 6.RTCrpUDGiT 4建設原則 5P7CzVD7HxA 5系統(tǒng)現(xiàn)狀及需求分析 8.jLBHrnAILg 6安全管理平臺建設目標 1x0HAQX74J0X 6.1集中監(jiān)控告警 10LDAYtRyKfE 6.2 事件定位處理 10Zzz6ZB2Ltk 6.3 安全關聯(lián)分析 11 dvzfvkwMI1 6.4 實時風險管理 11rqyn

2、14ZNXI 6.5安全運維流程 11EmxvxOtOco 6.6 安全管理流程 11SixE2yXPq5 6.7 策略知識體系 126ewMyirQFL 7 安全管理平臺方案設計 1.3kavU42VRUs 7.1平臺概述 13y6v3ALoS89 7.2 系統(tǒng)組成 13 M2ub6vSTnP 7.3 系統(tǒng)架構 140YujCfmUCw 7.4平臺功能描述 16eUts8ZQVRd 7.4.1 集中展示模塊 16sQsAEJkW5T 7.4.2運行監(jiān)控模塊 18GMsIasNXkA 7.4.3業(yè)務處理模塊 23 TIrRGchYzg 7.4.4 業(yè)務統(tǒng)計模塊 27 7EqZcWLZNX 7.

3、4.5關聯(lián)分析 29lzq7IGf02E 7.4.6安全態(tài)勢分析 30zvpgeqJ1hk 7.4.7關鍵安全管理指標分析 30NrpoJac3v1 7.4.8業(yè)務配置模塊 311nowfTG4KI 7.4.9平臺管理模塊 34 fjnFLDa5Zo 7.4.10接入交換管理模塊 37tfnNhnE6e5 7.5系統(tǒng)接口 40HbmVN777sL 7.6部署方式 41 V7l4jRB8Hs 7.6.1 單級部署 41 83lcPA59W9 7.6.2 級聯(lián)部署 42 mZkklkzaaP 11 / 63 7.7 運行環(huán)境要求 43 AVktR43bpw 8 啟明星辰公安安全管理平臺特性優(yōu)勢 4

4、4ORjBnOwcEd 8.1 多層次的安全事件管理 44 2MiJTy0dTT 8.1.1 安全專項系統(tǒng)的信息采集 44 gIiSpiue7A 8.1.2 支持分布式日志采集 46uEh0U1Yfmh 8.1.3 詳盡的日志范式化與事件分類 46IAg9qLsgBX 8.1.4 智能化安全事件關聯(lián)分析 47 WwghWvVhPE 8.1.5 可視化安全事件分析 47 asfpsfpi4k 8.2多維度的業(yè)務處理過程 48ooeyYZTjj1 8.2.1 豐富的業(yè)務流程分類 48 BkeGuInkxI 8.2.2 靈活的流程定制能力 49PgdO0sRlMo 8.3 全方位的 IT 系統(tǒng)性能與

5、可用性監(jiān)控 503cdXwckm15 8.3.1 網絡拓撲管理 50 h8c52WOngM 8.3.2 支持多種監(jiān)控對象 50v4bdyGious 8.3.3 全方位細粒度監(jiān)控 51J0bm4qMpJ9 8.4 基于風險矩陣的量化安全風險評估 51 XVauA9grYP 8.5指標化的宏觀態(tài)勢感知 52bR9C6TJscw 8.5.1 地址熵態(tài)勢分析 52 pN9LBDdtrd 8.5.2 威脅態(tài)勢分析 53 DJ8T7nHuGT 8.5.1 關鍵安全管理指標分析 53QF81D7bvUA 8.6 豐富靈活的報表報告 53 4B7a9QFw9h 8.6.1可擴展的報表內容 53ix6iFA8x

6、oX 8.6.2 公安業(yè)務考核支持 54 wt6qbkCyDE 8.7 可運維的多級管理架構 54 Kp5zH46zRk 8.7.1 級聯(lián)內容 54Yl4HdOAA61 8.7.2虛擬下級 54ch4PJx4BlI 8.8 對用戶網絡和業(yè)務影響最小 55 qd3YfhxCzo 8.9 完善的系統(tǒng)自身安全性保證 55E836L11DO5 8.10有好的用戶交互體驗 56S42ehLvE3M 9 二次開發(fā)模塊及系統(tǒng)對接說明 55701nNvZFis 9.1二次模塊開發(fā)說明 57jW1viftGw9 9.2 與 XX 公安現(xiàn)有系統(tǒng)對接說明 57 xS0DOYWHLP 10 成功案例 5.7. LOZ

7、MkIqI0w 10.1成功案例名單 57ZKZUQsUJed 10.2 典型案例 58dGY2mcoKtT 11 項目預算 6.1. rCYbSWRLIA 丄、八 1 前言 網絡的快速發(fā)展為經濟建設和社會發(fā)展帶來了巨大的影響，隨著信息化建設的飛速發(fā)展， 信息安全系統(tǒng)已成為 XX 公安工作的重要資源和基礎平臺。 FyXjoFlMWh 目前 XX 公安的安全專項系統(tǒng)主要有： “一機兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預警系統(tǒng)、邊界 安全接入平臺、 PKI/PMI 系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網站及信息掃描系統(tǒng)、異常流量監(jiān)測系 統(tǒng)、應急響應系統(tǒng)。TuWrUpPObX 近年來公安網絡安全問題呈現(xiàn)日益嚴重的趨勢， 從

8、公安部的相關統(tǒng)計數(shù)據(jù)中可以看出， “一 機兩用”違規(guī)事件、病毒傳播率、漏洞發(fā)生率等涉及網絡安全的考核指標，都在不同程度的增 加。因為信息泄密、信息遭受破壞等帶來的損失越來越令人觸目驚心。在這種大的形勢下，網 絡安全的重要性被提到了前所未有的高度。 7qWAq9jPqE 由于公安以往的信息系統(tǒng)都是針對具體的應用進行設計， 未考慮系統(tǒng)的綜合管理， 所以在 管控手段和管控水平上極需加強。另外，隨著公安信息應用的進一步推進， 對信息安全的日常 運維和應急預案等方面提出了更高的要求， 切實需要建立省市兩級信息通信部門的快速反應機 制，強化信息系統(tǒng)基礎平臺的安全管理， 建設可信的信息系統(tǒng)環(huán)境， 為公安各類

9、信息系統(tǒng)的安 全、可靠、穩(wěn)定、高效的運行提供良好的基礎和強有力的保障。 llVIWTNQFk 2 設計依據(jù) 國際國內標準和規(guī)范： 中華人民共和國保守國家秘密法 中華人民共和國保守國家秘密法實施辦法 中共中央關于加強新形勢下保密工作的決定（中發(fā) 199716 號） 計算機信息系統(tǒng)保密管理暫行規(guī)定（國保發(fā) 19981 號） 涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法（中保辦發(fā) 19986 號） 關于加強政府上網信息保密管理的通知（國保發(fā) 19994 號） 計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定（國保發(fā) 199910 號） 關于加強計算機信息網絡保密管理的通知（中保委發(fā) 20024 號）

10、 國家信息化領導小組關于我國電子政務建設指導意見（中辦發(fā) 200217 號） 國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā) 200327 號） 關于加強信息安全保障工作中保密管理的若干意見（中保委發(fā) 20047 號） 涉及國家秘密計算機信息系統(tǒng)集成資質管理辦法（國保發(fā) 20055 號） 信息系統(tǒng)保密管理規(guī)定 中華人民共和國保密標準： BMZ1-2000涉及國家秘密的計算機信息系統(tǒng)保密技術要求 BMZ2-2001 涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南 BMZ3-2001 涉及國家秘密的計算機信息系統(tǒng)安全保密測評指南 BMB3-1999處理涉密信息的電磁屏蔽室的技術要求和測

11、試方法 BMB4-2000電磁干擾器技術要求和測試方法 BMB5-2000涉密信息設備使用現(xiàn)場的電磁泄漏發(fā)射防護要求 BMB10-2004 涉及國家秘密的計算機網絡安全隔離設備的技術要求和測試方法 BMB11-2004 涉及國家秘密的計算機信息系統(tǒng)防火墻安全技術要求 BMB12-2004 涉及國家秘密的計算機信息系統(tǒng)漏洞掃描產品安全技術要求 BMB13-2004 涉及國家秘密的計算機信息系統(tǒng)入侵檢測產品技術要求 BMB15-2004涉及國家秘密的信息系統(tǒng)安全審計產品技術要求 BMB16-2004涉及國家秘密的信息系統(tǒng)安全隔離與信息交換產品技術要求 GB 及參考文獻： GB 17859-1999

12、 計算機信息系統(tǒng)安全保護等級劃分準則。 GB/T 18336.1-2001信息技術 安全技術信息技術安全性評估準則第一部分：簡 介和一般模型(idt ISO/IEC 15408-1 : 1999。yhUQsDgRTI GB/T 18336.2-2001信息技術 安全技術 信息技術安全性評估準則 第二部分：安全功 能要求(idt ISO 15408-2:1999)。MduzYnKS8I GB/T 18336.3-2001信息技術 安全技術 信息技術安全性評估準則 第三部分：安全保 證要求(idt ISO 15408-3:1999)。09T7t6eTno GB/T 9387.2-1995信息系統(tǒng)

13、開放系統(tǒng)互連 基本參考模型第2部分：安全體系結 構。e5TfZQIUB5 ISO/IEC 17799： 2000信息技術 信息安全管理實用規(guī)則。 BMB17-2006涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求。 GB 50174-1993 電子計算機機房設計規(guī)范。 GB/T20269-2006信息安全技術信息系統(tǒng)安全管理要求。 ISO/IEC TR 18044:2004,信息技術安全技術一信息安全事件管理。 GB/T20270-2006信息安全技術 網絡基礎安全技術要求。 GB/T20282-2006信息安全技術信息系統(tǒng)安全工程管理要求。 GB/T20271-2006信息安全技術信息系統(tǒng)通用

14、安全技術要求。 3術語和定義 F列術語和定義適用于本方案 術語 解釋 安管平臺 本規(guī)范中的“安管平臺”特指公安集中安全管理平臺。它是實現(xiàn)公安 信息網信息安全管理的技術支撐平臺。它以流程和標準化的方法為手 段，實現(xiàn)安全業(yè)務監(jiān)控和安全事件的處理，為安全運營和管理提供支 撐。 安全專項系統(tǒng) 為特定安全目標建立的安全系統(tǒng)，包括但不限于現(xiàn)有的幾大系統(tǒng)：“一 機兩用”監(jiān)控系統(tǒng)、補丁分發(fā)系統(tǒng)、病毒監(jiān)控預警系統(tǒng)、邊界安全接 入平臺、入侵監(jiān)測系統(tǒng)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網站及 信息掃扌田系統(tǒng)、異常流里監(jiān)測系統(tǒng)。 工單 指為了完成某個具體業(yè)務請求所使用的協(xié)同工作載體，承載內容包括 業(yè)務狀態(tài)、業(yè)務數(shù)

15、據(jù)和業(yè)務要求等，按業(yè)務處理流程進行流轉。 活動 活動組成了業(yè)務流程中的步驟和任務，是按照規(guī)范流程要求而米取的 動作，在安管平臺中，活動包括判斷、響應、流轉、處置等。 業(yè)務流程 業(yè)務流程是為達到特定的價值目標而由不同的人協(xié)作完成的一系列活 動?；顒又g不僅有嚴格的先后順序限定，而且活動的內容、方式、 責任等也都必須有明確的安排和界定，以使不同活動在不同崗位角色 之間進行轉手交接成為可能。本文主要指信通網中與安全運行管理相 關的簽到、巡檢、簽收、通報告警、響應處理、審核等流程。 安全事件 由計算機信息系統(tǒng)或者網絡中的各種設備與系統(tǒng)，例如安全子系統(tǒng)、 網絡設備、安全設備等發(fā)現(xiàn)并記錄下的各種可疑活動被

16、稱為安全事件。 安全策略 安全策略是各種論述、規(guī)則和準則的集合，用以解釋和說明公安信息 網資源使用以及網絡與業(yè)務保護的方式和要求。 4建設原則 1）安全性。XX公安的SOC安全管理平臺建設，必須具備在各個層次上的安全策略、體 系和管理辦法，并系統(tǒng)地解決安全問題的能力。sISovAcVQM 2）有效性和實用性。網絡的安全對所有用戶是透明的，操作的人機界面必須達到安全、 簡捷、方便，同時不影響現(xiàn)有網絡安全的功能和系統(tǒng)的正常運行。GXRw1kFW5s 3）開放性。網絡安全系統(tǒng)和設備，必須適應多種軟、硬件平臺和通訊的能力。 4）自主性和可控性。根據(jù)國家相關的法規(guī)和政策，在安全建設的過程中，安全設備必須

17、 通過國家有關管理部門（主要是公安部門）的認可或認證，保證其配置及設備的合法 性O UTREx49Xj9 5）適應性和可擴展性。所采取的措施必須能隨著網絡性能及安全需求的變化而變化，要 具備可擴充性和可升級性，以適應將來網絡規(guī)模的發(fā)展。8PQN3NDYyP 6）業(yè)務符合性。平臺所提供的事件監(jiān)控、處理流程，必須符合公安行業(yè)的實際工作特性 與工作過程。 7) 可管理性。網絡安全系統(tǒng)必須具備良好的可管理性。 5 系統(tǒng)現(xiàn)狀及需求分析 目前 XX 公安信息專網涉及地域廣泛，包括省廳及直屬單位、 個地市， 多個區(qū)縣等接 入單位；應用系統(tǒng)繁多，共有100多個應用系統(tǒng)。隨著XX公安信息網的不斷發(fā)展，網絡范圍

18、越趨擴大， 主機設備、網絡設備、安全設備數(shù)量也隨之不斷地增長， 并且種類繁多、 部署分散， 這些系統(tǒng)每天都要產生成千上萬的各類安全事件和告警信息。 mLPVzx7ZNw XX 公安非常重視公安信息安全建設，目前建成包括“一機兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預 警系統(tǒng)、邊界安全接入平臺、 PKI/PMI 系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網站及信息掃描系統(tǒng)、異常 流量監(jiān)測系統(tǒng)、應急響應系統(tǒng)等安全專項系統(tǒng)，這些系統(tǒng)在省廳及各地市得到應用，但各個系 統(tǒng)提供獨立的安全管理監(jiān)控平臺，形成多個“信息孤島” ，缺乏全網統(tǒng)一的安全狀況實時監(jiān)控 了解工具，缺乏安全策略與安全技術相結合的溝通手段，沒有一套完善的安全管理機制， 沒有

19、 專門負責安全監(jiān)控的組織和人員， 現(xiàn)有的安全管理、 安全監(jiān)控手段已經不能滿足日益擴展的復 雜的信息安全保障的需要，因此難以有效發(fā)揮其功能作用。 AHP35hB02d 目前XX省公安廳的安全管理系統(tǒng)存在以下問題： 網絡范圍越趨擴大，主機設備、網絡設備、安全設備數(shù)量也隨之不斷地增長，并且種 類繁多、部署分散，這些系統(tǒng)每天都要產生成千上萬的各類安全事件和告警信息，但 是安全事件得不到有效處理。告警信息得不到有效分析。 NDOcB141gT 安全告警信息沒有與具體的設備資產想關聯(lián)，發(fā)現(xiàn)告警后無法定位和處理，比如病毒 信息和 IDS 安全告警信息，因為沒有和具體的設備相關聯(lián)，無法及時定位和處理； 1zO

20、k7Ly2vA 網絡中各安全設備基本采用各自分散的管理模式，而零散的安全信息很難形成集中性 的、對決策、判斷及處理有重要意義的數(shù)據(jù) fuNsDv23Kh 沒有明確的安全監(jiān)控、處理、安全管理流程和上報工作流程，缺乏有效的事件處理機 制，當產生安全事件時，相關人員按照自己的想法和理解進行處理，可能會造成更大 的損失和影響； tqMB9ew4YX 缺乏全網統(tǒng)一的安全狀況實時監(jiān)控了解工具，缺乏安全策略與安全技術相結合的溝通 手段。 缺乏明確的人員職責定位與考核標準，安全告警不能落實到具體責任人，安全事件處 理不能落實到任務處理人，難以形成高效的績效考核機制。 HmMJFY05dE 缺乏與安全管理工作相適應的安全知識體系。安全告警發(fā)生之后無法及時尋找對應的 知識庫進行參照處理。 針對上述問題， 并根據(jù)網絡與信息安全風險管理的本