市電子政務監(jiān)控預警平臺建設策劃方案

1、某市電子政務監(jiān)控預警平臺建設方案一、 方案概述1.1 方案建設目標某市電子政務網(wǎng)絡由全市各個委辦局單位網(wǎng)絡接入組成，由于接入單位眾多且各自單位信息安全建設水平參差不齊，經(jīng)常造成內(nèi)部網(wǎng)絡病毒和異常安全事件發(fā)生?？紤]到電子政務網(wǎng)絡實際組成和規(guī)模情況，東軟設計出全市電子政務監(jiān)控預警平臺（以下稱“監(jiān)控預警平臺”）的要緊目標是基于電子政務網(wǎng)絡和信息系統(tǒng)在安全保障以及監(jiān)管信息系統(tǒng)建設方面所面臨的形式和問題，研發(fā)一套綜合的風險預警平臺，進一步加強電子政務網(wǎng)絡和信息系統(tǒng)的監(jiān)管力度，總體把握市政務網(wǎng)絡和信息系統(tǒng)的安全運行狀況，提高各政務單位在應對突發(fā)網(wǎng)絡攻擊事件的應急響應能力和風險預警能力，從而有力地支撐市政務

2、網(wǎng)絡和信息系統(tǒng)的穩(wěn)定運行。1.2 方案設計原則考慮到本平臺最終為全市的政務單位進行統(tǒng)一服務，在本方案設計中，我們遵循了以下的原則：先進性原則提出最新的安全監(jiān)控預警平臺的概念，將安全監(jiān)控和安全技術有效銜接，并依照電子政務業(yè)務需求，與業(yè)務網(wǎng)絡深入結合，從而保證系統(tǒng)的先進性，以適應以后數(shù)據(jù)進展的需要。整體安全和全網(wǎng)統(tǒng)一的原則該平臺的系統(tǒng)設計從完整安全體系結構動身，綜合考慮信息網(wǎng)絡的各種實體和各個環(huán)節(jié)，綜合使用不同層次的技術和理論，為信息網(wǎng)絡運行和業(yè)務安全提供全方位的監(jiān)控和服務。標準化原則參考國內(nèi)外權威的安全技術與治理體系的相關標準進行方案的設計和技術的選擇。整個系統(tǒng)安全地互聯(lián)互通。技術和治理相結合原

3、則整個平臺結合了安全技術與監(jiān)控治理機制、人員思想教育與技術培訓、安全規(guī)章制度等內(nèi)容。可擴展性原則為方便滿足網(wǎng)絡規(guī)模和安全功能的擴展，本設計方案考慮了網(wǎng)絡新技術和業(yè)務進展的擴充要求，以及市電子政務網(wǎng)絡自身的特點，本方案所設計的平臺系統(tǒng)具有靈活的擴展能力，能夠隨著各個監(jiān)控節(jié)點，隨著平臺的功能擴展進行靈活的擴展。同時平臺具備定期升級，不中斷業(yè)務應用服務的能力。開放性原則該平臺的運行需要與多種設備協(xié)調(diào)，如：主機設備、網(wǎng)絡設備、安全設備、應用系統(tǒng)等等，該平臺提供了一定的開放性以適應與相關設備和系統(tǒng)的適應。1.3 方案設計思路電子政務網(wǎng)絡監(jiān)控預警平臺，以分布式方式采集來自于電子政務網(wǎng)絡的各個相關設備的日志

4、信息和告警事件信息，通過智能的關聯(lián)分析后，準確推斷真實的安全事件，快速定位安全事件的來源，分析安全事件的全然緣故，集中展示市電子政務網(wǎng)絡的整體安全狀況。一旦發(fā)覺高風險安全事件，自動觸發(fā)安全事件處理流程，督促相關責任人進行快速解決問題和故障。1、監(jiān)控對象定位：電子政務外網(wǎng)、政務用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、政務網(wǎng)站等等。2、日志信息的來源：電子政務外網(wǎng)匯聚節(jié)點或者接入節(jié)點的安全設備、政務用戶互聯(lián)網(wǎng)接入節(jié)點的安全設備、重要信息系統(tǒng)邊界部署的安全設備、重要信息系統(tǒng)自身、政務網(wǎng)站邊界部署的安全設備等等。3、由專用的數(shù)據(jù)采集引擎負責數(shù)據(jù)采集，數(shù)據(jù)采集引擎采納分布式部署。4、展示平臺具有多元化、分層次等展

5、示形態(tài)。二、 電子政務網(wǎng)絡監(jiān)控預警平臺體系架構為了充分滿足電子政務網(wǎng)絡的部署現(xiàn)狀，本方案所設計的監(jiān)控預警平臺從體系架構上可分為：IT基礎層、數(shù)據(jù)采集層、數(shù)據(jù)處理層、展示層四個層面，各個層面包括了多個功能模塊或子系統(tǒng)。該平臺的整體架構示意圖如下：1、IT基礎層為監(jiān)控預警平臺的數(shù)據(jù)獵取來源。 2、數(shù)據(jù)采集層：依照平臺指定的運維策略，數(shù)據(jù)采集層負責從網(wǎng)絡設備、安全設備、業(yè)務系統(tǒng)、服務器等采集各種安全信息、日志信息、流量信息，通過數(shù)據(jù)格式標準化、數(shù)據(jù)歸并、數(shù)據(jù)壓縮等處理后，提交給上層數(shù)據(jù)處理平臺。3、數(shù)據(jù)處理層：將采集到的原始數(shù)據(jù)按照業(yè)務系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)、安全數(shù)據(jù)進行分門不類，通過基于統(tǒng)計、基于資產(chǎn)

6、、基于規(guī)則的關聯(lián)分析后，科學合理的定義安全事件的性質(zhì)和處理級不，作為展示平臺的數(shù)據(jù)基礎。4、展示層：實現(xiàn)整個平臺的靈活展示和配置治理。一方面通過豐富的圖形化展示方式呈現(xiàn)電子政務網(wǎng)絡、政務用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、網(wǎng)站等安全狀況，提供有效的安全預警，減少安全破壞的發(fā)生，降低安全事件所造成的損失；另一方面對整個監(jiān)控預警平臺進行配置與維護。三、 IT基礎層IT基礎層為監(jiān)控預警平臺的數(shù)據(jù)獵取來源，至少包括如下范圍：1、網(wǎng)絡設備，包括：路由器、交換機等；2、安全設備，包括：入侵檢測系統(tǒng)、網(wǎng)絡審計系統(tǒng)、病毒檢測系統(tǒng)、漏洞掃描系統(tǒng)、防火墻、異常流量檢測系統(tǒng)、網(wǎng)站診斷系統(tǒng)等；3、應用系統(tǒng)，包括：主機操作系

7、統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等；4、服務器，包括：日志服務器、網(wǎng)管服務器等。四、 數(shù)據(jù)采集層數(shù)據(jù)采集層要緊通過數(shù)據(jù)采集引擎來實現(xiàn)原始數(shù)據(jù)的獵取，為統(tǒng)一的信息庫提供基礎數(shù)據(jù)。4.1 采集方式因為該平臺面臨政務網(wǎng)絡內(nèi)不同單位眾多類型廠商品牌設備構成的多種數(shù)據(jù)來源，每一種數(shù)據(jù)來源的信息都存在較大差異，為了保證平臺能夠獵取全面的數(shù)據(jù)，數(shù)據(jù)采集引擎在獵取原始數(shù)據(jù)時，需要支持如下幾種數(shù)據(jù)采集方式：1、 通過配置實現(xiàn)采集：通過配置采集源的Syslog、SNMP Trap、Socket、ODBC/JDBC、Flow等方式將事件日志、告警信息、性能參數(shù)以及其他相關數(shù)據(jù)發(fā)送到數(shù)據(jù)采集引擎。2、 通過遠程登錄方式采集

8、：通過Telnet/SSH等方式，由數(shù)據(jù)采集引擎模擬登錄到系統(tǒng)上獵取事件日志、告警信息、性能參數(shù)以及其他相關數(shù)據(jù)。3、 安裝代理實現(xiàn)采集：在服務器上安裝采集引擎代理程序，執(zhí)行后臺采集服務以及采集腳本，將目標系統(tǒng)上的事件日志、告警信息、性能參數(shù)以及各類事件數(shù)據(jù)收集后發(fā)送給數(shù)據(jù)采集引擎。4、定時輪詢采集：數(shù)據(jù)采集引擎通過ICMP、SNMP、ARP來獵取監(jiān)管對象的數(shù)據(jù)。4.2 采集策略數(shù)據(jù)采集引擎，支持靈活定義采集策略，包括如下：1、數(shù)據(jù)采集引擎采納分布式部署方式。因為市電子政務網(wǎng)絡具有城域網(wǎng)特點，應用電子政務網(wǎng)絡的各個政務單位分布較為分散，為了保證數(shù)據(jù)的獵取不受地理分布的限制，數(shù)據(jù)采集引擎采納分布

9、式部署方式。2、支持動態(tài)采集策略，因為每個數(shù)據(jù)采集引擎所面臨的監(jiān)控對象不同，因此數(shù)據(jù)的來源也會有所區(qū)不，平臺能夠為每個數(shù)據(jù)采集引擎配置不同的采集策略，使得每個數(shù)據(jù)采集引擎都能夠較為針對的采集相適合的數(shù)據(jù)。4.3 基礎數(shù)據(jù)處理監(jiān)控預警平臺是一個具有多數(shù)據(jù)源集成體系特點的平臺，平臺需要數(shù)據(jù)訪問的透明性以及實現(xiàn)數(shù)據(jù)源的及時可用性，因此平臺需要設計一個合理方案，以對來自不同數(shù)據(jù)源的各種數(shù)據(jù)進行表示，從而便于進行統(tǒng)一處理；其次則應考慮異構數(shù)據(jù)轉換問題，今后自不同數(shù)據(jù)源的各種數(shù)據(jù)轉換成集成系統(tǒng)能進一步處理的統(tǒng)一格式；另外還必須定義差不多運算，進行信息數(shù)據(jù)的歸并，從而能夠有效完成數(shù)據(jù)查詢、存取等具體功能。因

10、此數(shù)據(jù)采集引擎在通過一定的協(xié)議或者文件方式采集到大量的原始數(shù)據(jù)后，會對數(shù)據(jù)進行如下的處理：1、數(shù)據(jù)格式統(tǒng)一標準化，因為數(shù)據(jù)來源來自多種不同類型的設備和系統(tǒng)，數(shù)據(jù)采集方式也存在著較大的差異化，導致獵取到的原始數(shù)據(jù)格式是多種多樣的，因此數(shù)據(jù)采集層首先將原始數(shù)據(jù)按照平臺規(guī)定的數(shù)據(jù)格式，進行統(tǒng)一標準化處理。2、數(shù)據(jù)歸并，針對海量的原始數(shù)據(jù)，數(shù)據(jù)采集層會按照安全事件的類型、安全事件發(fā)生的時刻、安全事件的次數(shù)等條件對原始數(shù)據(jù)進行必須的歸并。3、數(shù)據(jù)壓縮，當大量的數(shù)據(jù)在網(wǎng)絡中傳輸時，勢必會造成網(wǎng)絡擁擠，阻礙正常的業(yè)務應用。為了保證網(wǎng)絡傳輸?shù)臅惩?，?shù)據(jù)采集層對原始數(shù)據(jù)一定的壓縮處理，再提交到數(shù)據(jù)傳輸接口。4、

11、數(shù)據(jù)傳輸，此為數(shù)據(jù)采集層向數(shù)據(jù)處理層提交數(shù)據(jù)的傳輸接口。五、 數(shù)據(jù)處理層數(shù)據(jù)采集引擎將標準化和歸并后的安全告警數(shù)據(jù)、性能數(shù)據(jù)、配置數(shù)據(jù)、故障數(shù)據(jù)等信息提交給平臺的核心數(shù)據(jù)處理系統(tǒng)后，核心數(shù)據(jù)處理系統(tǒng)能夠有效識不各類數(shù)據(jù)，并將不同的數(shù)據(jù)分發(fā)給不同的數(shù)據(jù)處理子系統(tǒng)進行處理，防止同一數(shù)據(jù)被不同的數(shù)據(jù)處理子系統(tǒng)分不處理。我們將原始數(shù)據(jù)分為三類：業(yè)務系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)和安全數(shù)據(jù)，因此數(shù)據(jù)處理平臺設計了如下三個數(shù)據(jù)處理子系統(tǒng)：1、業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)；2、網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)；3、安全數(shù)據(jù)處理子系統(tǒng)。5.1 業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)業(yè)務系統(tǒng)數(shù)據(jù)的來源，要緊是：業(yè)務系統(tǒng)、日志服務器等。數(shù)據(jù)采集平臺通過程序接口

12、訪問業(yè)務系統(tǒng)獵取要緊監(jiān)測數(shù)據(jù)，提交給數(shù)據(jù)處理平臺后，數(shù)據(jù)處理平臺進行初步推斷，檢測為業(yè)務系統(tǒng)數(shù)據(jù)，會自動提交給業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)。在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)中，我們又將數(shù)據(jù)進行了一定的分門不類，具體類不如下：1、操作系統(tǒng)數(shù)據(jù)；2、數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)；3、中間件系統(tǒng)數(shù)據(jù)。業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)定期自動向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)。業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在進行數(shù)據(jù)處理時，一旦檢測到各種異常，就會生成特定安全事件，并隨時輸出到安全數(shù)據(jù)處理子系統(tǒng)，作為安全數(shù)據(jù)處理子系統(tǒng)的數(shù)據(jù)來源之一。5.1.1 操作系統(tǒng)數(shù)據(jù)處理 業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獵取到操作系統(tǒng)數(shù)據(jù)后，會依照不同操作系統(tǒng)的特性，對數(shù)據(jù)進行一定的處

13、理。平臺所支持的操作系統(tǒng)類型，至少包括：Windows2000/2003服務器系統(tǒng)、Linux服務器系統(tǒng)、IBM AIX服務器系統(tǒng)、SUN Solaris服務器系統(tǒng)、HP UNIX服務器系統(tǒng)、Tru64服務器系統(tǒng)等。操作系統(tǒng)數(shù)據(jù)處理的內(nèi)容，如下表所示：序號類不描述1差不多信息整理操作系統(tǒng)所屬主機名稱、網(wǎng)絡接口數(shù)量，每個接口的IP地址/MAC地址、子網(wǎng)掩碼等；最近24小時內(nèi)主機操作系統(tǒng)連接狀態(tài)的統(tǒng)計分析2CPU靜態(tài)信息整理CPU編號、核心數(shù)、CPU品牌3CPU動態(tài)信息整理記錄時刻、CPU使用率4內(nèi)存動態(tài)信息總物理內(nèi)存、可用物理內(nèi)存、總虛擬內(nèi)存、可用虛擬內(nèi)存、總頁面文件大小、可用頁面文件大小、記錄

14、時刻、內(nèi)存使用率5系統(tǒng)進程動態(tài)信息進程ID、使用用戶、映像名稱、CPU使用率、內(nèi)存、記錄時刻6硬盤動態(tài)信息掛載點、類型、總大小、可用大小、文件系統(tǒng)類不、硬盤IO、記錄時刻7性能事件在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個操作系統(tǒng)的CPU使用率、內(nèi)存使用率、硬盤空間使用率等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。8故障事件在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個主機設備由UP狀態(tài)轉換為DOWN狀態(tài)等，會自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。5.1.2 數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)處理業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獵取到數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)后，會依照不同的數(shù)據(jù)庫系統(tǒng)特性，對數(shù)據(jù)進行一定的處理

15、。平臺所支持的數(shù)據(jù)庫系統(tǒng)類型，至少包括： DB2、Oracle、SQL Server、MYSQL等。數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)處理內(nèi)容，如下表所示：序號類不描述1差不多信息整理數(shù)據(jù)庫名稱、數(shù)據(jù)路徑、差不多目錄、數(shù)據(jù)庫版本、字符集、配置的臨時表大小、臨時表目錄、更新時刻2數(shù)據(jù)表信息表的名稱、行的格式、行數(shù)、索引長度、表的類型、當前大小、擴展大小、表創(chuàng)建時刻、表更新時刻、更新時刻等信息3緩存信息創(chuàng)建的臨時文件數(shù)目、創(chuàng)建的臨時表數(shù)目、在查詢緩存中的空閑內(nèi)存塊數(shù)量、查詢緩存中空閑內(nèi)存數(shù)量、查詢緩沖的請求命中率、添加到插敘緩存中的查詢數(shù)量、由于低內(nèi)存而從查詢緩存中刪除的查詢數(shù)量、注冊在查詢緩存中的查詢請求數(shù)量、在插

16、敘緩存中塊的總數(shù)目、使用內(nèi)存大小、打開表的數(shù)量、打開過的表的數(shù)量、表緩存配置數(shù)、更新時刻等信息4線程信息緩存中的線程數(shù)、為處理遠程連接請求創(chuàng)建的線程總數(shù)、當前打開的連接數(shù)、處于非睡眠狀態(tài)的線程數(shù)、更新時刻等信息5鎖信息表的直接鎖定次數(shù)、鎖等待的次數(shù)、更新時刻等信息6頁和行鎖信息數(shù)據(jù)的頁數(shù)量、臟頁數(shù)目、緩沖池中頁刷新請求數(shù)目、空閑頁的數(shù)量、頁緩存池的大小、頁的大小、當前被等待的行鎖的數(shù)量、共計消耗在獵取行鎖上的時刻、為獵取行鎖平均等待時刻、更新時刻等信息7性能事件在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個數(shù)據(jù)庫系統(tǒng)的表空間使用率、連接數(shù)使用率等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)

17、據(jù)處理子系統(tǒng)。8故障事件在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個數(shù)據(jù)庫系統(tǒng)的實例未啟動、連接服務未啟動、數(shù)據(jù)庫關閉、數(shù)據(jù)庫歸檔日志已滿、數(shù)據(jù)庫連接數(shù)已滿等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。5.1.3 應用系統(tǒng)數(shù)據(jù)處理 業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獵取到應用系統(tǒng)數(shù)據(jù)后，會依照不同的應用系統(tǒng)特性，對數(shù)據(jù)進行一定的處理。平臺能夠支持應用系統(tǒng)類型，至少包括：IBM Websphere、Apache Tomcat、Microsoft IIS等。應用系統(tǒng)數(shù)據(jù)處理的內(nèi)容，如下表所示：序號類不描述1差不多信息整理應用系統(tǒng)類型、應用系統(tǒng)版本信息、應用系統(tǒng)健康度，即統(tǒng)計24小時內(nèi)應用系統(tǒng)的啟用狀態(tài)2會

18、話動態(tài)信息會話類型、會話名稱、創(chuàng)建的會話數(shù)、失效的會話數(shù)、平均會話生存期、請求當前訪問的會話總數(shù)、當前存活的會話總數(shù)、無法處理的新會話請求次數(shù)、被強制逐出高速緩存的會話對象數(shù)、從持久性存儲讀會話數(shù)據(jù)花費的時刻、從持久性存儲讀取的會話數(shù)據(jù)大小、從持久性存儲寫會話數(shù)據(jù)花費的時刻、寫到持久性存儲的會話數(shù)據(jù)大小、中斷的 HTTP 會話親緣關系數(shù)、前一個和當前訪問時刻戳記的時刻之差、超時失效的會話數(shù)、不再存在的會話的請求數(shù)、會話級會話對象的平均大小、記錄時刻3進程池動態(tài)信息名稱、類型、高范圍、低范圍、當前、高水位、低水位、并發(fā)活動或池中線程狀態(tài)、記錄時刻4JDBC連接池動態(tài)信息名稱、類型、創(chuàng)建連接的總數(shù)

19、、已關閉的連接的總數(shù)、分配的連接的總數(shù)、返回到池的連接的總數(shù)、連接池的大小、池中的空閑連接數(shù)、等待連接的平均并發(fā)線程數(shù)、池中的連接超時數(shù)、正在使用的池的平均百分率、使用連接的平均時刻、在同意連接之前的平均等待時刻、因為高速緩存已滿而廢棄的語句數(shù)、記錄時刻5事務數(shù)動態(tài)信息在服務器上開始的全局事務數(shù)、在服務器上已開始的本地事務數(shù)、并發(fā)活動的全局事務數(shù)、已落實的全局事務的個數(shù)、回滾的全局事務數(shù)、超時的全局事務數(shù)、超時的本地事務數(shù)、記錄時刻6事務的平均持續(xù)時刻平均時刻、最小時刻、最大時刻、總大小、數(shù)量、總和、全局或本地狀態(tài)、記錄時刻7JVM動態(tài)信息高水位、低水位、當前、低范圍、高范圍、Java 虛擬機

20、運行時中的空閑內(nèi)存、Java 虛擬機運行時中使用的內(nèi)存容量、Java 虛擬機差不多運行的時刻數(shù)、Java 虛擬機的 CPU 使用情況、記錄時刻8EJB動態(tài)信息創(chuàng)建bean的次數(shù)、除去 bean 的次數(shù)、處于就緒狀態(tài)的bean實例的個數(shù)、并發(fā)存活的bean的平均數(shù)、調(diào)用 bean 遠程方法的次數(shù)、遠程方法的平均響應時刻、將對象返回到池的調(diào)用次數(shù)、由于池已滿而放棄正在返回的對象的次數(shù)、池中對象的平均數(shù)、傳遞到 bean 的 onMessage 方法的消息數(shù)、處于鈍化狀態(tài)的 bean 的個數(shù)、處于就緒狀態(tài)的 bean 實例的個數(shù)、記錄時刻9性能事件在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個應用系統(tǒng)的會話數(shù)、

21、JDBC連接數(shù)、事務數(shù)、事務的平均持續(xù)時刻等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)10故障事件在業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個應用系統(tǒng)的服務異常停止、業(yè)務系統(tǒng)不可用等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)5.2 網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)網(wǎng)絡數(shù)據(jù)的要緊來源是：網(wǎng)絡設備。數(shù)據(jù)采集層將原始數(shù)據(jù)提交給數(shù)據(jù)處理層后，數(shù)據(jù)處理層進行初步推斷，檢測為網(wǎng)絡相關數(shù)據(jù)，會自動提交給網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)。網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)定期自動向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)。網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)在進行數(shù)據(jù)處理時，一旦檢測到各種異常，就會生成特定安全事件，并隨時輸出到安全數(shù)據(jù)處理子系統(tǒng)，作為

22、安全數(shù)據(jù)處理子系統(tǒng)的數(shù)據(jù)來源之一。5.2.1 網(wǎng)絡拓撲自動發(fā)覺該子系統(tǒng)提供詳細的拓撲圖元數(shù)據(jù)結構，并開放拓撲數(shù)據(jù)，提交給統(tǒng)一信息庫，供展現(xiàn)層使用。網(wǎng)絡拓撲能夠最為直觀地反映整個網(wǎng)絡連接狀況。自動發(fā)覺是系統(tǒng)拓撲中特不重要的一個功能，它能夠自動識不設備類型，包括各種服務器類型、路由器、交換機、等等，以及它們之間的關系，同時自動將它們存儲到公用對象庫中對應的類中。網(wǎng)絡治理人員通過圖形治理界面能夠直觀的查詢網(wǎng)絡拓撲關系。網(wǎng)絡拓撲自動發(fā)覺，有三種實現(xiàn)協(xié)議：包括ICMP、SNMP、CDP、其中ICMP要緊用于發(fā)覺網(wǎng)絡的主機節(jié)點，其耗時較長，而SNMP和CDP要緊是用來搜索網(wǎng)絡內(nèi)的路由器、交換機等網(wǎng)絡設備。

23、本方案會綜合使用上述三種協(xié)議來自動發(fā)覺和生成電子政務網(wǎng)絡拓撲、監(jiān)控預警平臺自身的網(wǎng)絡拓撲。5.2.2 網(wǎng)絡設備監(jiān)控數(shù)據(jù)采集平臺通過SNMP數(shù)據(jù)采集方式，采集網(wǎng)絡設備的MIB數(shù)據(jù)，實時監(jiān)控網(wǎng)絡設備的運行情況。網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)在獵取到網(wǎng)絡數(shù)據(jù)后，會依照不同的網(wǎng)絡設備特性，對數(shù)據(jù)進行一定的處理。網(wǎng)絡設備類型至少能夠支持：CISCO、華為、Juniper、Foundry等。網(wǎng)絡數(shù)據(jù)處理內(nèi)容包括：1、差不多信息整理：網(wǎng)絡接口數(shù)量，每個接口的IP地址/MAC地址等；2、接口信息：接口索引、接口類型、接口描述、接口速率、工作狀態(tài)、治理狀態(tài)、接口總流量、入口流量、出口流量；在網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)檢測到某個網(wǎng)絡

24、設備的CPU使用率、內(nèi)存使用率、接口流量等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。在網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)檢測到某個網(wǎng)絡設備的設備停機、接口不通等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。 工單的來源 1、 安全數(shù)據(jù)處理子系統(tǒng)通過對安全數(shù)據(jù)的分析后，生成的安全事件；2、 業(yè)務系統(tǒng)數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件；3、 網(wǎng)絡數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件； 與知識庫系統(tǒng)關聯(lián)安全事件處理與知識庫關聯(lián)。1、安全監(jiān)控人員在預備處理工單之前，能夠依照內(nèi)容的關鍵字信息到知識庫系統(tǒng)中查詢符合該事件類型的相關內(nèi)容，包括：事件緣故分析、事件處理步驟、事件

25、總結等，獲得相應的處理經(jīng)驗。2、安全監(jiān)控人員在處理完畢工單后，能夠將與此工單相關的詳細內(nèi)容，如：事件緣故分析、事件處理步驟、事件總結等生成相關案例，保存到知識庫中，為其他人處理類似事件提供經(jīng)驗共享。 工單執(zhí)行和監(jiān)控流程當平臺發(fā)覺有真實安全事件時，依照預先制定的工單處理流程，平臺會自動生成安全事件處理工單，現(xiàn)在不需要人工干預，系統(tǒng)自動調(diào)用服務程序通過聲音、圖形、短信、郵件、代理程序等方式及時通知負責處理此安全事件工單的監(jiān)控人員?，F(xiàn)在也啟動安全事件進入其相應的處理流程。工單的執(zhí)行和監(jiān)控流程具有下列特征：1、工單具有一定的時限性，必須在規(guī)定的時限內(nèi)處理完畢，假如在規(guī)定的時刻內(nèi)未被及時處理，系統(tǒng)會自動

26、修改工單狀態(tài)，并自動向相關人員發(fā)送超時通知；2、當某個工單不能被此工單相關的監(jiān)控人員正確處理時（因為技術人員水平或者時刻的緣故），可提早終止對工單的處理，并講明終止工單的緣故。安全監(jiān)督人員負責核實終止緣故，同時將工單重新派發(fā)給其他監(jiān)控人員，以充分保證工單能夠被正常處理；3、安全監(jiān)督人員可隨時監(jiān)督工單生成進程和處理進程，如：系統(tǒng)目前有多少待處理的工單，有多少正在處理中，多少差不多處理完畢。4、系統(tǒng)自動記錄每個工單從生成，到同意處理，到處理完畢，以及處理確認的全部過程，此記錄過程成為考核監(jiān)控人員的依據(jù)。5.3.4 風險治理 風險計算風險治理以監(jiān)控對象為基礎，通過獵取統(tǒng)一信息庫中監(jiān)控對象的配置數(shù)據(jù)，

27、對監(jiān)控對象價值、安全威脅因素關聯(lián)后計算監(jiān)控對象的風險值，并對監(jiān)控對象的風險實現(xiàn)動態(tài)的監(jiān)控。假設風險計算公式（可根椐實際情況進行調(diào)整）為：風險值f（監(jiān)控對象價值，威脅可能性）；通過風險分析得到的風險狀況為一個數(shù)字，不同的取值范圍決定了不同的風險級不，風險級不劃分為五個等級：等級符號對應的典型安全狀況取值范圍5VH（專門高）風險專門高，導致系統(tǒng)受到特不嚴峻阻礙的可能性專門大1001254H（高）風險高，導致系統(tǒng)受到嚴峻阻礙的可能性較大75993M（中）風險中，導致系統(tǒng)受到阻礙的可能性較大50742L（低）風險低，導致系統(tǒng)受到阻礙的可能性較小25491VL（專門低）風險專門低，導致系統(tǒng)受到阻礙的可能

28、性專門小024為確保安全風險治理符合監(jiān)控預警平臺的監(jiān)控深度以及相關要求，可依照實際現(xiàn)狀和監(jiān)控對象提出詳細的風險計算方式，并能夠在后續(xù)的實施過程中進行重新設計和二次改造。 風險的動態(tài)監(jiān)控1、 當安全事件更新后，對應的監(jiān)控對象的風險被更新。2、 當故障事件更新后，對應的監(jiān)控對象的風險被更新。3、 當故障事件更新后，對應的監(jiān)控對象的風險被更新。4、 當監(jiān)控對象發(fā)生某些可能對風險有阻礙的變化后，對應的監(jiān)控對象的風險被更新。六、 展示平臺6.1 安全監(jiān)控展示6.1.1 分級進行展示分級展示電子政務網(wǎng)絡的安全狀態(tài)。以曲線圖方式展示最近一段時刻電子政務網(wǎng)絡的安全風險。層次展示內(nèi)容第一層政務網(wǎng)絡整體安全風險第

29、二層每類監(jiān)控對象的安全風險第三層每個監(jiān)控節(jié)點的安全風險第四層每個安全事件的詳細內(nèi)容6.1.2 按地理位置展示從地理區(qū)域上看，本市目前包含近10個區(qū)縣，而本平臺所監(jiān)控的四類監(jiān)控對象則較為分散地分布在不同的區(qū)縣，因此本平臺提供按照實際地理位置展示安全風險的功能。本平臺以本市地圖作為地理位置展示的基礎圖，將每個監(jiān)控對象：政務外網(wǎng)每個匯聚節(jié)點、每個政務用戶互聯(lián)網(wǎng)接入節(jié)點、每個重要信息系統(tǒng)、每個網(wǎng)站的所在地理位置在基礎題上實際標識出來。不同類型的監(jiān)控對象用不同形狀標注，如下表所示：不同級不的安全風險用不同顏色標注，如下表所示：當鼠標放置到某個監(jiān)控對象上時，能夠顯示此監(jiān)控對象的相關屬性：監(jiān)控對象的類不、監(jiān)

30、控對象的風險值、監(jiān)控對象最近發(fā)生的事件總數(shù)等。當點擊某個監(jiān)控對象時，能夠顯示此監(jiān)控對象的所有詳細信息，包括此監(jiān)控對象的差不多屬性、安全事件列表、故障事件列表、性能事件列表等。當點擊任何一個安全事件，能夠看到安全事件的原始數(shù)據(jù)信息。當點擊地理位置上的某類監(jiān)控對象時，會進入到按監(jiān)控對象類不展示界面。當點擊地理位置行的某級不風險時，會進入到按風險級不展示界面。6.1.3 按網(wǎng)絡拓撲展示網(wǎng)絡拓撲對象包括：政務外網(wǎng)網(wǎng)絡拓撲、政務用戶互聯(lián)網(wǎng)接入網(wǎng)絡拓撲、重要信息系統(tǒng)網(wǎng)絡拓撲、政務網(wǎng)站網(wǎng)絡拓撲。選擇其中一個網(wǎng)絡拓撲對象，展示層會完整展示其相應的網(wǎng)絡拓撲結構。每個監(jiān)控對象在網(wǎng)絡拓撲上都有對應的位置，同時每個監(jiān)

31、控對象用不同的顏色（或者不同的圖標）來標注此監(jiān)控對象的安全風險。 當鼠標放置到某個監(jiān)控對象上時，能夠顯示此監(jiān)控對象的相關屬性：監(jiān)控對象的類不、監(jiān)控對象的風險值、監(jiān)控對象最近發(fā)生的事件總數(shù)等。當點擊某個監(jiān)控對象時，能夠顯示此監(jiān)控對象的所有詳細信息，包括此監(jiān)控對象的差不多屬性、安全事件列表、故障事件列表、性能事件列表等。當點擊某級不安全風險時，能夠按照級不來查看安全事件、故障事件、性能事件等。當點擊任何一個安全事件，能夠看到此事件的原始數(shù)據(jù)信息。6.1.4 按監(jiān)控對象類不展示監(jiān)控對象類不包括：政務外網(wǎng)、政務用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)網(wǎng)絡拓撲、政務網(wǎng)站四個類不。選擇其中一類監(jiān)控對象，如：政務外網(wǎng)，

32、平臺會展示政務外網(wǎng)33個匯聚節(jié)點的安全風險狀況：1、最近一段時刻內(nèi)，整體政務外網(wǎng)的安全風險狀況。2、整個政務外網(wǎng)最新的TOP N個安全事件。3、整個政務外網(wǎng)發(fā)生安全事件頻率最多的TOP N個匯聚節(jié)點。4、按照級不展示政務外網(wǎng)所有安全事件。點擊某個具體的監(jiān)控對象時，如：政務外網(wǎng)的其中一個匯聚節(jié)點，會展示此匯聚節(jié)點的安全風險狀況。1、 最近一段時刻內(nèi)，此匯聚節(jié)點的安全風險狀況。2、此匯聚節(jié)點所有的安全事件（分頁顯示）。6.1.5 按風險級不展示假設風險級不包括：專門高、高、中、低、專門低五個級不。 6.1.6 事件詳細展示展示每個安全事件、故障事件、性能事件的詳細內(nèi)容，如下表所示：6.2 綜合運維

33、治理6.2.1 監(jiān)控對象治理平臺具備建立監(jiān)控對象的信息庫，能統(tǒng)一治理監(jiān)控對象的各種屬性識不、賦值、建檔等活動。要求：1、定義規(guī)范的監(jiān)控分類、賦值等信息。2、提供通過信息輸入界面手工輸入、維護監(jiān)控對象的手段。3、提供符合標準格式的文件（如Excel、XML等）導入監(jiān)控對象的手段。4、實現(xiàn)監(jiān)控對象編碼。 監(jiān)控對象分類監(jiān)控對象的類不，如下表所示： 序號類不講明1政務外網(wǎng)2政務用戶互聯(lián)網(wǎng)接入3重要信息系統(tǒng)4政務網(wǎng)站 監(jiān)控對象建檔屬性名講明編號唯一標識監(jiān)控對象的編號監(jiān)控對象名監(jiān)控對象名稱類型監(jiān)控對象類型治理部門監(jiān)控對象由哪個部門負責治理治理員對該監(jiān)控對象具有治理責任的治理員姓名以及聯(lián)系方式（包括電話和郵

34、箱地址）等物理地址監(jiān)控對象的物理安置地點IP地址監(jiān)控對象要緊IP地址操作系統(tǒng)操作系統(tǒng)的名稱及版本價值監(jiān)控對象價值，針對本平臺，所有監(jiān)控對象的價值都較高接口數(shù)量監(jiān)控對象的接口數(shù)量負責人監(jiān)控對象負責人監(jiān)控對象關注人監(jiān)控對象上存在的漏洞端口監(jiān)控對象的端口開放情況（假如有）6.2.2 安全策略治理安全策略治理負責指導平臺的運轉。安全策略治理分為：日志采集策略、安全信息分析策略、安全事件處理策略等。該策略模塊中的所有策略均支持多維度的查詢。日志采集策略針對不同的數(shù)據(jù)采集引擎能夠配置不同的采集策略。數(shù)據(jù)采集策略可定制的內(nèi)容包含：日志信息來源、日志信息等級。安全信息分析策略安全信息分析策略是關聯(lián)分析的展示接

35、口，當關聯(lián)分析的所有條件匹配成功，則生成一條安全事件。安全信息分析策略中，可定制的內(nèi)容如下表所示：屬性名講明發(fā)生源IP發(fā)送安全信息的設備IP地址，比如：假如是入侵檢測系統(tǒng)發(fā)出了一條SYSLOG信息，則“發(fā)生源IP”就指該入侵檢測系統(tǒng)的IP地址源IP安全事件的源IP。比如機器A向機器B發(fā)出攻擊信息，“源IP”就指機器A的IP地址源端口安全事件的源端口目的IP安全事件的目的IP，如在上例中，指機器B的IP地址目的端口安全事件的目的端口協(xié)議網(wǎng)絡訪問行為所使用的協(xié)議安全信息描述是對設置的源IP通過設置的端口訪問指定的IP段時使用的安全信息描述安全信息類型產(chǎn)生的安全信息中的類型安全信息名稱指產(chǎn)生的安全信

36、息中的名稱訪問時刻段對設置的源IP通過設置的端口訪問指定的IP段時的起始時刻限制Bugtraq編號國際上通用的標識Bugtraq的庫CVE編號國際上通用的標識CVE的庫安全信息來源數(shù)據(jù)采集引擎IP地址源MAC安全事件的源MAC地址目的MAC安全事件的目的MAC地址時刻間隔指定了策略的時刻范圍，單位為秒安全事件次數(shù)表示在設定的“時刻間隔”內(nèi)，此條策略匹配多少次才產(chǎn)生一條安全事件，實現(xiàn)安全事件的歸并安全事件處理策略安全事件處理策略用于制定安全事件處理的流程策略。安全事件處理策略中，可定制的內(nèi)容如下表所示：屬性名講明工作流模板系統(tǒng)內(nèi)置了多種工作流模板以對應不同的安全事件，可隨意選擇內(nèi)置的模板處理時限安全事件必須處理的時刻限制通知方式Email和即時通知當選擇“E-mail”時，則按照所選工作流模板中指定的治理員E-mail地址，將處理安全事件通知發(fā)給相應的治理員；當選擇“即時通知”時，則按照工作流模板中指定的治理員，將處理安全事件通知發(fā)給相應的治理員優(yōu)先級安全事件的級不危害安全事件的危害備注其他補充信息6.2.3 綜合報表治理 監(jiān)控對象報表監(jiān)控對象報表類型包括：1、監(jiān)控對象安全事件TOP N（年報表、半年報表、季報表、月報表、周報表）；2、監(jiān)控對象安全風險趨勢（月報表、周報表、日報表）。 安全事件報表監(jiān)控對象報表類型包括：1、安全事件類型TOP N（年報表、半年報表、季報表、月報表