電子政務(wù)監(jiān)控預(yù)警平臺(tái)建設(shè)方案

1、電子政務(wù)監(jiān)控預(yù)警平臺(tái)建設(shè)方案(1)一、方案概述某市電子政務(wù)監(jiān)控預(yù)警平臺(tái)建設(shè)方案東軟1.1方案建設(shè)目標(biāo)某市電子政務(wù)網(wǎng)絡(luò)由全市各個(gè)委辦局單位網(wǎng)絡(luò)接入組成，由于接入單位眾多且各自單位 信息安全建設(shè)水平參差不齊，經(jīng)常造成內(nèi)部網(wǎng)絡(luò)病毒和異常安全事件發(fā)生。考慮到電子政務(wù) 網(wǎng)絡(luò)實(shí)際組成和規(guī)模情況，東軟設(shè)計(jì)出全市電子政務(wù)監(jiān)控預(yù)警平臺(tái)(以下稱“監(jiān)控預(yù)警平臺(tái)”) 的主要目標(biāo)是基于電子政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)在安全保障以及監(jiān)管信息系統(tǒng)建設(shè)方面所面臨 的形式和問(wèn)題，研發(fā)一套綜合的風(fēng)險(xiǎn)預(yù)警平臺(tái)，進(jìn)一步加強(qiáng)電子政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)的監(jiān)管 力度，總體把握市政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，提高各政務(wù)單位在應(yīng)對(duì)突發(fā)網(wǎng)絡(luò)攻 擊事件的應(yīng)

2、急響應(yīng)能力和風(fēng)險(xiǎn)預(yù)警能力，從而有力地支撐市政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)的穩(wěn)定運(yùn) 行。1.2方案設(shè)計(jì)原則考慮到本平臺(tái)最終為全市的政務(wù)單位進(jìn)行統(tǒng)一服務(wù)，在本方案設(shè)計(jì)中，我們遵循了以下 的原則：先進(jìn)性原則提出最新的安全監(jiān)控預(yù)警平臺(tái)的概念，將安全監(jiān)控和安全技術(shù)有效銜接，并根據(jù)電子政 務(wù)業(yè)務(wù)需求，與業(yè)務(wù)網(wǎng)絡(luò)深入結(jié)合，從而保證系統(tǒng)的先進(jìn)性，以適應(yīng)未來(lái)數(shù)據(jù)發(fā)展的需要。整體安全和全網(wǎng)統(tǒng)一的原則該平臺(tái)的系統(tǒng)設(shè)計(jì)從完整安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個(gè)環(huán) 節(jié)，綜合使用不同層次的技術(shù)和理論，為信息網(wǎng)絡(luò)運(yùn)行和業(yè)務(wù)安全提供全方位的監(jiān)控和服務(wù)。標(biāo)準(zhǔn)化原則參考國(guó)內(nèi)外權(quán)威的安全技術(shù)與管理體系的相關(guān)標(biāo)準(zhǔn)進(jìn)行方案的設(shè)計(jì)和技

3、術(shù)的選擇。整個(gè) 系統(tǒng)安全地互聯(lián)互通。技術(shù)和管理相結(jié)合原則整個(gè)平臺(tái)結(jié)合了安全技術(shù)與監(jiān)控管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度等 內(nèi)容?？蓴U(kuò)展性原則為方便滿足網(wǎng)絡(luò)規(guī)模和安全功能的擴(kuò)展，本設(shè)計(jì)方案考慮了網(wǎng)絡(luò)新技術(shù)和業(yè)務(wù)發(fā)展的擴(kuò) 充要求，以及市電子政務(wù)網(wǎng)絡(luò)自身的特點(diǎn)，本方案所設(shè)計(jì)的平臺(tái)系統(tǒng)具有靈活的擴(kuò)展能力， 能夠隨著各個(gè)監(jiān)控節(jié)點(diǎn)，隨著平臺(tái)的功能擴(kuò)展進(jìn)行靈活的擴(kuò)展。并且平臺(tái)具備定期升級(jí)，不 中斷業(yè)務(wù)應(yīng)用服務(wù)的能力。開(kāi)放性原則該平臺(tái)的運(yùn)行需要與多種設(shè)備協(xié)調(diào)，如：主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等 等，該平臺(tái)提供了一定的開(kāi)放性以適應(yīng)與相關(guān)設(shè)備和系統(tǒng)的適應(yīng)。1.3方案設(shè)計(jì)思路電子政務(wù)網(wǎng)絡(luò)監(jiān)控預(yù)

4、警平臺(tái)，以分布式方式采集來(lái)自于電子政務(wù)網(wǎng)絡(luò)的各個(gè)相關(guān)設(shè)備的 日志信息和告警事件信息，經(jīng)過(guò)智能的關(guān)聯(lián)分析后，準(zhǔn)確判斷真實(shí)的安全事件，快速定位安 全事件的來(lái)源，分析安全事件的根本原因，集中展示市電子政務(wù)網(wǎng)絡(luò)的整體安全狀況。一旦 發(fā)現(xiàn)高風(fēng)險(xiǎn)安全事件，自動(dòng)觸發(fā)安全事件處理流程，督促相關(guān)責(zé)任人進(jìn)行快速解決問(wèn)題和故 障。1、監(jiān)控對(duì)象定位：電子政務(wù)外網(wǎng)、政務(wù)用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、政務(wù)網(wǎng)站等 等。2、日志信息的來(lái)源：電子政務(wù)外網(wǎng)匯聚節(jié)點(diǎn)或者接入節(jié)點(diǎn)的安全設(shè)備、政務(wù)用戶互聯(lián) 網(wǎng)接入節(jié)點(diǎn)的安全設(shè)備、重要信息系統(tǒng)邊界部署的安全設(shè)備、重要信息系統(tǒng)自身、政務(wù)網(wǎng)站 邊界部署的安全設(shè)備等等。3、由專用的數(shù)據(jù)采集引擎

5、負(fù)責(zé)數(shù)據(jù)采集，數(shù)據(jù)采集引擎采用分布式部署。4、展示平臺(tái)具有多元化、分層次等展示形態(tài)。二、電子政務(wù)網(wǎng)絡(luò)監(jiān)控預(yù)警平臺(tái)體系架構(gòu)為了充分滿足電子政務(wù)網(wǎng)絡(luò)的部署現(xiàn)狀，本方案所設(shè)計(jì)的監(jiān)控預(yù)警平臺(tái)從體系架構(gòu)上可 分為：IT基礎(chǔ)層、數(shù)據(jù)采集層、數(shù)據(jù)處理層、展示層四個(gè)層面，各個(gè)層面包括了多個(gè)功能 模塊或子系統(tǒng)。該平臺(tái)的整體架構(gòu)示意圖如下：1、IT基礎(chǔ)層為監(jiān)控預(yù)警平臺(tái)的數(shù)據(jù)獲取來(lái)源。2、數(shù)據(jù)采集層：根據(jù)平臺(tái)指定的運(yùn)維策略，數(shù)據(jù)采集層負(fù)責(zé)從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 業(yè)務(wù)系統(tǒng)、服務(wù)器等采集各種安全信息、日志信息、流量信息，經(jīng)過(guò)數(shù)據(jù)格式標(biāo)準(zhǔn)化、數(shù)據(jù) 歸并、數(shù)據(jù)壓縮等處理后，提交給上層數(shù)據(jù)處理平臺(tái)。3、數(shù)據(jù)處理層：將采集到的

6、原始數(shù)據(jù)按照業(yè)務(wù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、安全數(shù)據(jù)進(jìn)行分 門(mén)別類，經(jīng)過(guò)基于統(tǒng)計(jì)、基于資產(chǎn)、基于規(guī)則的關(guān)聯(lián)分析后，科學(xué)合理的定義安全事件的性 質(zhì)和處理級(jí)別，作為展示平臺(tái)的數(shù)據(jù)基礎(chǔ)。4、展示層：實(shí)現(xiàn)整個(gè)平臺(tái)的靈活展示和配置管理。一方面通過(guò)豐富的圖形化展示方式 呈現(xiàn)電子政務(wù)網(wǎng)絡(luò)、政務(wù)用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、網(wǎng)站等安全狀況，提供有效的安 全預(yù)警，減少安全破壞的發(fā)生，降低安全事件所造成的損失；另一方面對(duì)整個(gè)監(jiān)控預(yù)警平臺(tái) 進(jìn)行配置與維護(hù)。三、IT基礎(chǔ)層IT基礎(chǔ)層為監(jiān)控預(yù)警平臺(tái)的數(shù)據(jù)獲取來(lái)源，至少包括如下范圍：1、網(wǎng)絡(luò)設(shè)備，包括：路由器、交換機(jī)等；2、安全設(shè)備，包括：入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、病毒檢測(cè)系統(tǒng)

7、、漏洞掃描系統(tǒng)、 防火墻、異常流量檢測(cè)系統(tǒng)、網(wǎng)站診斷系統(tǒng)等；3、應(yīng)用系統(tǒng)，包括：主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)等；4、服務(wù)器，包括：日志服務(wù)器、網(wǎng)管服務(wù)器等。四、數(shù)據(jù)采集層數(shù)據(jù)采集層主要通過(guò)數(shù)據(jù)采集引擎來(lái)實(shí)現(xiàn)原始數(shù)據(jù)的獲取，為統(tǒng)一的信息庫(kù)提供基礎(chǔ)數(shù) 據(jù)。4.1采集方式因?yàn)樵撈脚_(tái)面臨政務(wù)網(wǎng)絡(luò)內(nèi)不同單位眾多類型廠商品牌設(shè)備構(gòu)成的多種數(shù)據(jù)來(lái)源，每一 種數(shù)據(jù)來(lái)源的信息都存在較大差異，為了保證平臺(tái)能夠獲取全面的數(shù)據(jù)，數(shù)據(jù)采集引擎在獲 取原始數(shù)據(jù)時(shí)，需要支持如下幾種數(shù)據(jù)采集方式：1、通過(guò)配置實(shí)現(xiàn)采集：通過(guò)配置采集源的Syslog、SNMP Trap、Socket、ODBC/JDBC、 Flow等方式

8、將事件日志、告警信息、性能參數(shù)以及其他相關(guān)數(shù)據(jù)發(fā)送到數(shù)據(jù)采集引擎。2、通過(guò)遠(yuǎn)程登錄方式采集：通過(guò)Telnet/SSH等方式，由數(shù)據(jù)采集引擎模擬登錄到系 統(tǒng)上獲取事件日志、告警信息、性能參數(shù)以及其他相關(guān)數(shù)據(jù)。3、安裝代理實(shí)現(xiàn)采集：在服務(wù)器上安裝采集引擎代理程序，執(zhí)行后臺(tái)采集服務(wù)以及采 集腳本，將目標(biāo)系統(tǒng)上的事件日志、告警信息、性能參數(shù)以及各類事件數(shù)據(jù)收集后發(fā)送給數(shù) 據(jù)采集引擎。4、定時(shí)輪詢采集：數(shù)據(jù)采集引擎通過(guò)ICMP、SNMP、ARP來(lái)獲取監(jiān)管對(duì)象的數(shù)據(jù)。4.2采集策略數(shù)據(jù)采集引擎，支持靈活定義采集策略，包括如下：1、數(shù)據(jù)采集引擎采用分布式部署方式。因?yàn)槭须娮诱?wù)網(wǎng)絡(luò)具有城域網(wǎng)特點(diǎn)，應(yīng)用電 子

9、政務(wù)網(wǎng)絡(luò)的各個(gè)政務(wù)單位分布較為分散，為了保證數(shù)據(jù)的獲取不受地理分布的限制，數(shù)據(jù) 采集引擎采用分布式部署方式。2、支持動(dòng)態(tài)采集策略，因?yàn)槊總€(gè)數(shù)據(jù)采集引擎所面臨的監(jiān)控對(duì)象不同，因此數(shù)據(jù)的來(lái) 源也會(huì)有所區(qū)別，平臺(tái)可以為每個(gè)數(shù)據(jù)采集引擎配置不同的采集策略，使得每個(gè)數(shù)據(jù)采集引 擎都可以較為針對(duì)的采集相適合的數(shù)據(jù)。4.3基礎(chǔ)數(shù)據(jù)處理監(jiān)控預(yù)警平臺(tái)是一個(gè)具有多數(shù)據(jù)源集成體系特點(diǎn)的平臺(tái)，平臺(tái)需要數(shù)據(jù)訪問(wèn)的透明性以 及實(shí)現(xiàn)數(shù)據(jù)源的及時(shí)可用性，因此平臺(tái)需要設(shè)計(jì)一個(gè)合理方案，以對(duì)來(lái)自不同數(shù)據(jù)源的各種 數(shù)據(jù)進(jìn)行表示，從而便于進(jìn)行統(tǒng)一處理；其次則應(yīng)考慮異構(gòu)數(shù)據(jù)轉(zhuǎn)換問(wèn)題，將來(lái)自不同數(shù)據(jù) 源的各種數(shù)據(jù)轉(zhuǎn)換成集成系統(tǒng)能進(jìn)一步處

10、理的統(tǒng)一格式；另外還必須定義基本運(yùn)算，進(jìn)行信 息數(shù)據(jù)的歸并，從而能夠有效完成數(shù)據(jù)查詢、存取等具體功能。因此數(shù)據(jù)采集引擎在通過(guò)一 定的協(xié)議或者文件方式采集到大量的原始數(shù)據(jù)后，會(huì)對(duì)數(shù)據(jù)進(jìn)行如下的處理：1、數(shù)據(jù)格式統(tǒng)一標(biāo)準(zhǔn)化，因?yàn)閿?shù)據(jù)來(lái)源來(lái)自多種不同類型的設(shè)備和系統(tǒng)，數(shù)據(jù)采集方 式也存在著較大的差異化，導(dǎo)致獲取到的原始數(shù)據(jù)格式是多種多樣的，因此數(shù)據(jù)采集層首先 將原始數(shù)據(jù)按照平臺(tái)規(guī)定的數(shù)據(jù)格式，進(jìn)行統(tǒng)一標(biāo)準(zhǔn)化處理。2、數(shù)據(jù)歸并，針對(duì)海量的原始數(shù)據(jù)，數(shù)據(jù)采集層會(huì)按照安全事件的類型、安全事件發(fā) 生的時(shí)間、安全事件的次數(shù)等條件對(duì)原始數(shù)據(jù)進(jìn)行必須的歸并。3、數(shù)據(jù)壓縮，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)，勢(shì)必會(huì)造成網(wǎng)絡(luò)

11、擁擠，影響正常的業(yè)務(wù) 應(yīng)用。為了保證網(wǎng)絡(luò)傳輸?shù)臅惩ǎ瑪?shù)據(jù)采集層對(duì)原始數(shù)據(jù)一定的壓縮處理，再提交到數(shù)據(jù)傳 輸接口。4、數(shù)據(jù)傳輸，此為數(shù)據(jù)采集層向數(shù)據(jù)處理層提交數(shù)據(jù)的傳輸接口。五、數(shù)據(jù)處理層數(shù)據(jù)采集引擎將標(biāo)準(zhǔn)化和歸并后的安全告警數(shù)據(jù)、性能數(shù)據(jù)、配置數(shù)據(jù)、故障數(shù)據(jù)等信 息提交給平臺(tái)的核心數(shù)據(jù)處理系統(tǒng)后，核心數(shù)據(jù)處理系統(tǒng)能夠有效識(shí)別各類數(shù)據(jù)，并將不同 的數(shù)據(jù)分發(fā)給不同的數(shù)據(jù)處理子系統(tǒng)進(jìn)行處理，防止同一數(shù)據(jù)被不同的數(shù)據(jù)處理子系統(tǒng)分別 處理。我們將原始數(shù)據(jù)分為三類：業(yè)務(wù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)和安全數(shù)據(jù)，因此數(shù)據(jù)處理平臺(tái)設(shè) 計(jì)了如下三個(gè)數(shù)據(jù)處理子系統(tǒng)：1、業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)；2、網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)；3、安全

12、數(shù)據(jù)處理子系統(tǒng)。5.1業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的來(lái)源，主要是：業(yè)務(wù)系統(tǒng)、日志服務(wù)器等。數(shù)據(jù)采集平臺(tái)通過(guò)程序接口 訪問(wèn)業(yè)務(wù)系統(tǒng)獲取主要監(jiān)測(cè)數(shù)據(jù)，提交給數(shù)據(jù)處理平臺(tái)后，數(shù)據(jù)處理平臺(tái)進(jìn)行初步判斷，檢 測(cè)為業(yè)務(wù)系統(tǒng)數(shù)據(jù)，會(huì)自動(dòng)提交給業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)。在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)中， 我們又將數(shù)據(jù)進(jìn)行了一定的分門(mén)別類，具體類別如下：1、操作系統(tǒng)數(shù)據(jù)；2、數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)；3、中間件系統(tǒng)數(shù)據(jù)。業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)定期自動(dòng)向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)。業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理 子系統(tǒng)在進(jìn)行數(shù)據(jù)處理時(shí)，一旦檢測(cè)到各種異常，就會(huì)生成特定安全事件，并隨時(shí)輸出到安 全數(shù)據(jù)處理子系統(tǒng)，作為安全數(shù)據(jù)處理子系統(tǒng)的數(shù)據(jù)

13、來(lái)源之一。5.1.1操作系統(tǒng)數(shù)據(jù)處理業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獲取到操作系統(tǒng)數(shù)據(jù)后，會(huì)根據(jù)不同操作系統(tǒng)的特性，對(duì)數(shù) 據(jù)進(jìn)行一定的處理。平臺(tái)所支持的操作系統(tǒng)類型，至少包括：Windows2000/2003服務(wù)器系統(tǒng)、Linux服務(wù)器 系統(tǒng)、IBM AIX服務(wù)器系統(tǒng)、SUN Solaris服務(wù)器系統(tǒng)、HP UNIX服務(wù)器系統(tǒng)、Tru64服務(wù) 器系統(tǒng)等。操作系統(tǒng)數(shù)據(jù)處理的內(nèi)容，如下表所示：序號(hào)類別描述1基本信息整理操作系統(tǒng)所屬主機(jī)名稱、網(wǎng)絡(luò)接口數(shù)量，每個(gè)接口的IP地址/MAC地址、子網(wǎng)掩碼等；最 近24小時(shí)內(nèi)主機(jī)操作系統(tǒng)連接狀態(tài)的統(tǒng)計(jì)分析2CPU靜態(tài)信息整理CPU編號(hào)、核心數(shù)、CPU品牌3CPU動(dòng)態(tài)信

14、息整理記錄時(shí)間、CPU使用率4內(nèi)存動(dòng)態(tài)信息 總物理內(nèi)存、可用物理內(nèi)存、總虛擬內(nèi)存、可用虛擬內(nèi)存、總頁(yè)面文件大小、可用頁(yè)面文件 大小、記錄時(shí)間、內(nèi)存使用率系統(tǒng)進(jìn)程動(dòng)態(tài)信息進(jìn)程ID、使用用戶、映像名稱、CPU使用率、內(nèi)存、記錄時(shí)間6硬盤(pán)動(dòng)態(tài)信息掛載點(diǎn)、類型、總大小、可用大小、文件系統(tǒng)類別、硬盤(pán)IO、記錄時(shí)間7性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測(cè)到某個(gè)操作系統(tǒng)的CPU使用率、內(nèi)存使用率、硬盤(pán)空間使 用率等性能指標(biāo)超過(guò)特定閥值時(shí)，會(huì)自動(dòng)生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。8故障事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測(cè)到某個(gè)主機(jī)設(shè)備由UP狀態(tài)轉(zhuǎn)換為DOWN狀態(tài)等，會(huì)自動(dòng) 生成故障事件，隨后提交給安全數(shù)據(jù)

15、處理子系統(tǒng)。5.1.2數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)處理業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獲取到數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)后，會(huì)根據(jù)不同的數(shù)據(jù)庫(kù)系統(tǒng)特性， 對(duì)數(shù)據(jù)進(jìn)行一定的處理。平臺(tái)所支持的數(shù)據(jù)庫(kù)系統(tǒng)類型，至少包括：DB2、Oracle、SQL Server、MYSQL等。數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)處理內(nèi)容，如下表所示：序號(hào)類別描述基本信息整理數(shù)據(jù)庫(kù)名稱、數(shù)據(jù)路徑、基本目錄、數(shù)據(jù)庫(kù)版本、字符集、配置的臨時(shí)表大小、臨時(shí)表目錄、 更新時(shí)間2數(shù)據(jù)表信息表的名稱、行的格式、行數(shù)、索引長(zhǎng)度、表的類型、當(dāng)前大小、擴(kuò)展大小、表創(chuàng)建時(shí)間、表 更新時(shí)間、更新時(shí)間等信息3緩存信息創(chuàng)建的臨時(shí)文件數(shù)目、創(chuàng)建的臨時(shí)表數(shù)目、在查詢緩存中的空閑內(nèi)存塊數(shù)量、查詢緩存中空 閑

16、內(nèi)存數(shù)量、查詢緩沖的請(qǐng)求命中率、添加到插敘緩存中的查詢數(shù)量、由于低內(nèi)存而從查詢 緩存中刪除的查詢數(shù)量、注冊(cè)在查詢緩存中的查詢請(qǐng)求數(shù)量、在插敘緩存中塊的總數(shù)目、使 用內(nèi)存大小、打開(kāi)表的數(shù)量、打開(kāi)過(guò)的表的數(shù)量、表緩存配置數(shù)、更新時(shí)間等信息4線程信息緩存中的線程數(shù)、為處理遠(yuǎn)程連接請(qǐng)求創(chuàng)建的線程總數(shù)、當(dāng)前打開(kāi)的連接數(shù)、處于非睡眠狀 態(tài)的線程數(shù)、更新時(shí)間等信息5鎖信息表的直接鎖定次數(shù)、鎖等待的次數(shù)、更新時(shí)間等信息頁(yè)和行鎖信息數(shù)據(jù)的頁(yè)數(shù)量、臟頁(yè)數(shù)目、緩沖池中頁(yè)刷新請(qǐng)求數(shù)目、空閑頁(yè)的數(shù)量、頁(yè)緩存池的大小、頁(yè) 的大小、當(dāng)前被等待的行鎖的數(shù)量、共計(jì)消耗在獲取行鎖上的時(shí)間、為獲取行鎖平均等待時(shí) 間、更新時(shí)間等信息

17、7性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測(cè)到某個(gè)數(shù)據(jù)庫(kù)系統(tǒng)的表空間使用率、連接數(shù)使用率等性能指 標(biāo)超過(guò)特定閥值時(shí)，會(huì)自動(dòng)生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。8故障事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測(cè)到某個(gè)數(shù)據(jù)庫(kù)系統(tǒng)的實(shí)例未啟動(dòng)、連接服務(wù)未啟動(dòng)、數(shù)據(jù)庫(kù) 關(guān)閉、數(shù)據(jù)庫(kù)歸檔日志已滿、數(shù)據(jù)庫(kù)連接數(shù)已滿等異常時(shí)，自動(dòng)生成故障事件，隨后提交給 安全數(shù)據(jù)處理子系統(tǒng)。5.1.3應(yīng)用系統(tǒng)數(shù)據(jù)處理業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獲取到應(yīng)用系統(tǒng)數(shù)據(jù)后，會(huì)根據(jù)不同的應(yīng)用系統(tǒng)特性，對(duì)數(shù) 據(jù)進(jìn)行一定的處理。平臺(tái)能夠支持應(yīng)用系統(tǒng)類型，至少包括：IBM Websphere、Apache Tomcat、Microsoft IIS 等。

18、應(yīng)用系統(tǒng)數(shù)據(jù)處理的內(nèi)容，如下表所示：序號(hào)類別描述基本信息整理 應(yīng)用系統(tǒng)類型、應(yīng)用系統(tǒng)版本信息、應(yīng)用系統(tǒng)健康度，即統(tǒng)計(jì)24小時(shí)內(nèi)應(yīng)用系統(tǒng)的啟用狀 態(tài)2會(huì)話動(dòng)態(tài)信息會(huì)話類型、會(huì)話名稱、創(chuàng)建的會(huì)話數(shù)、失效的會(huì)話數(shù)、平均會(huì)話生存期、請(qǐng)求當(dāng)前訪問(wèn)的會(huì) 話總數(shù)、當(dāng)前存活的會(huì)話總數(shù)、無(wú)法處理的新會(huì)話請(qǐng)求次數(shù)、被強(qiáng)制逐出高速緩存的會(huì)話對(duì) 象數(shù)、從持久性存儲(chǔ)讀會(huì)話數(shù)據(jù)花費(fèi)的時(shí)間、從持久性存儲(chǔ)讀取的會(huì)話數(shù)據(jù)大小、從持久性 存儲(chǔ)寫(xiě)會(huì)話數(shù)據(jù)花費(fèi)的時(shí)間、寫(xiě)到持久性存儲(chǔ)的會(huì)話數(shù)據(jù)大小、中斷的HTTP會(huì)話親緣關(guān) 系數(shù)、前一個(gè)和當(dāng)前訪問(wèn)時(shí)間戳記的時(shí)間之差、超時(shí)失效的會(huì)話數(shù)、不再存在的會(huì)話的請(qǐng)求 數(shù)、會(huì)話級(jí)會(huì)話對(duì)象的平均大小、

19、記錄時(shí)間3進(jìn)程池動(dòng)態(tài)信息名稱、類型、高范圍、低范圍、當(dāng)前、高水位、低水位、并發(fā)活動(dòng)或池中線程狀態(tài)、記錄時(shí) 間4JDBC連接池動(dòng)態(tài)信息名稱、類型、創(chuàng)建連接的總數(shù)、已關(guān)閉的連接的總數(shù)、分配的連接的總數(shù)、返回到池的連接 的總數(shù)、連接池的大小、池中的空閑連接數(shù)、等待連接的平均并發(fā)線程數(shù)、池中的連接超時(shí) 數(shù)、正在使用的池的平均百分率、使用連接的平均時(shí)間、在允許連接之前的平均等待時(shí)間、 因?yàn)楦咚倬彺嬉褲M而廢棄的語(yǔ)句數(shù)、記錄時(shí)間5事務(wù)數(shù)動(dòng)態(tài)信息 在服務(wù)器上開(kāi)始的全局事務(wù)數(shù)、在服務(wù)器上已開(kāi)始的本地事務(wù)數(shù)、并發(fā)活動(dòng)的全局事務(wù)數(shù)、 已落實(shí)的全局事務(wù)的個(gè)數(shù)、回滾的全局事務(wù)數(shù)、超時(shí)的全局事務(wù)數(shù)、超時(shí)的本地事務(wù)數(shù)、記

20、錄時(shí)間事務(wù)的平均持續(xù)時(shí)間平均時(shí)間、最小時(shí)間、最大時(shí)間、總大小、數(shù)量、總和、全局或本地狀態(tài)、記錄時(shí)間7JVM動(dòng)態(tài)信息高水位、低水位、當(dāng)前、低范圍、高范圍、Java虛擬機(jī)運(yùn)行時(shí)中的空閑內(nèi)存、Java虛擬機(jī) 運(yùn)行時(shí)中使用的內(nèi)存容量、Java虛擬機(jī)已經(jīng)運(yùn)行的時(shí)間數(shù)、Java虛擬機(jī)的CPU使用情況、 記錄時(shí)間8EJB動(dòng)態(tài)信息創(chuàng)建bean的次數(shù)、除去bean的次數(shù)、處于就緒狀態(tài)的bean實(shí)例的個(gè)數(shù)、并發(fā)存活的bean 的平均數(shù)、調(diào)用bean遠(yuǎn)程方法的次數(shù)、遠(yuǎn)程方法的平均響應(yīng)時(shí)間、將對(duì)象返回到池的調(diào)用 次數(shù)、由于池已滿而放棄正在返回的對(duì)象的次數(shù)、池中對(duì)象的平均數(shù)、傳遞到 bean的 onMessage方法的

21、消息數(shù)、處于鈍化狀態(tài)的bean的個(gè)數(shù)、處于就緒狀態(tài)的bean實(shí)例的個(gè) 數(shù)、記錄時(shí)間9性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測(cè)到某個(gè)應(yīng)用系統(tǒng)的會(huì)話數(shù)、JDBC連接數(shù)、事務(wù)數(shù)、事務(wù)的 平均持續(xù)時(shí)間等性能指標(biāo)超過(guò)特定閥值時(shí)，會(huì)自動(dòng)生成性能事件，隨后提交給安全數(shù)據(jù)處理 子系統(tǒng)10故障事件 在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測(cè)到某個(gè)應(yīng)用系統(tǒng)的服務(wù)異常停止、業(yè)務(wù)系統(tǒng)不可用等異常 時(shí)，自動(dòng)生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)5.2網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)的主要來(lái)源是：網(wǎng)絡(luò)設(shè)備。數(shù)據(jù)采集層將原始數(shù)據(jù)提交給數(shù)據(jù)處理層后，數(shù)據(jù) 處理層進(jìn)行初步判斷，檢測(cè)為網(wǎng)絡(luò)相關(guān)數(shù)據(jù)，會(huì)自動(dòng)提交給網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)

22、定期自動(dòng)向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)在 進(jìn)行數(shù)據(jù)處理時(shí)，一旦檢測(cè)到各種異常，就會(huì)生成特定安全事件，并隨時(shí)輸出到安全數(shù)據(jù)處 理子系統(tǒng)，作為安全數(shù)據(jù)處理子系統(tǒng)的數(shù)據(jù)來(lái)源之一。5.2.1網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)該子系統(tǒng)提供詳細(xì)的拓?fù)鋱D元數(shù)據(jù)結(jié)構(gòu)，并開(kāi)放拓?fù)鋽?shù)據(jù)，提交給統(tǒng)一信息庫(kù)，供展現(xiàn) 層使用。網(wǎng)絡(luò)拓?fù)淠軌蜃顬橹庇^地反映整個(gè)網(wǎng)絡(luò)連接狀況。自動(dòng)發(fā)現(xiàn)是系統(tǒng)拓?fù)渲蟹浅Ｖ匾囊?個(gè)功能，它能夠自動(dòng)識(shí)別設(shè)備類型，包括各種服務(wù)器類型、路由器、交換機(jī)、等等，以及它 們之間的關(guān)系，并且自動(dòng)將它們存儲(chǔ)到公用對(duì)象庫(kù)中對(duì)應(yīng)的類中。網(wǎng)絡(luò)管理人員通過(guò)圖形管 理界面能夠直觀的查詢網(wǎng)絡(luò)拓?fù)潢P(guān)系。網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)，有三

23、種實(shí)現(xiàn)協(xié)議：包括ICMP、SNMP、CDP、其中ICMP主要用 于發(fā)現(xiàn)網(wǎng)絡(luò)的主機(jī)節(jié)點(diǎn)，其耗時(shí)較長(zhǎng)，而SNMP和CDP主要是用來(lái)搜索網(wǎng)絡(luò)內(nèi)的路由器、 交換機(jī)等網(wǎng)絡(luò)設(shè)備。本方案會(huì)綜合使用上述三種協(xié)議來(lái)自動(dòng)發(fā)現(xiàn)和生成電子政務(wù)網(wǎng)絡(luò)拓?fù)洹?監(jiān)控預(yù)警平臺(tái)自身的網(wǎng)絡(luò)拓?fù)洹?.2.2網(wǎng)絡(luò)設(shè)備監(jiān)控?cái)?shù)據(jù)采集平臺(tái)通過(guò)SNMP數(shù)據(jù)采集方式，采集網(wǎng)絡(luò)設(shè)備的MIB數(shù)據(jù)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè) 備的運(yùn)行情況。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)在獲取到網(wǎng)絡(luò)數(shù)據(jù)后，會(huì)根據(jù)不同的網(wǎng)絡(luò)設(shè)備特性，對(duì)數(shù)據(jù)進(jìn)行一 定的處理。網(wǎng)絡(luò)設(shè)備類型至少能夠支持：CISCO、華為、Juniper、Foundry等。網(wǎng)絡(luò)數(shù)據(jù)處理內(nèi)容包括：1、基本信息整理：網(wǎng)絡(luò)接口數(shù)量，每個(gè)接

24、口的IP地址/MAC地址等；2、接口信息：接口索引、接口類型、接口描述、接口速率、工作狀態(tài)、管理狀態(tài)、接 口總流量、入口流量、出口流量；在網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)檢測(cè)到某個(gè)網(wǎng)絡(luò)設(shè)備的CPU使用率、內(nèi)存使用率、接口流量等 性能指標(biāo)超過(guò)特定閥值時(shí)，會(huì)自動(dòng)生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。在網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)檢測(cè)到某個(gè)網(wǎng)絡(luò)設(shè)備的設(shè)備停機(jī)、接口不通等異常時(shí)，自動(dòng)生成 故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。5.2.3網(wǎng)絡(luò)拓?fù)涔芾砗捅O(jiān)控?zé)o論是自動(dòng)生成的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，還是手工繪制的網(wǎng)絡(luò)拓?fù)浣Y(jié)果，均可以進(jìn)行手工編輯。1、在拓?fù)鋱D上添加、刪除設(shè)備，添加、刪除連線，修改設(shè)備的屬性，移動(dòng)網(wǎng)元位置等;2、可對(duì)調(diào)

25、整好的拓?fù)鋱D進(jìn)行導(dǎo)入、導(dǎo)出等操作。3、可將多個(gè)網(wǎng)元和子網(wǎng)合并為一個(gè)圖云網(wǎng)，也可選定局部區(qū)域顯示成一個(gè)圖云網(wǎng)，供 展示層靈活展示使用。4、具備網(wǎng)絡(luò)導(dǎo)航功能，可以快速地定位到某個(gè)圖云網(wǎng)。5、網(wǎng)絡(luò)拓?fù)鋱D管理自動(dòng)和網(wǎng)元設(shè)備監(jiān)控關(guān)聯(lián)，供展示層靈活展示使用。虛擬網(wǎng)絡(luò)拓?fù)涔芾砗捅O(jiān)控該監(jiān)控預(yù)警平臺(tái)與重要信息系統(tǒng)的物理鏈路無(wú)法進(jìn)行互聯(lián)互通，因此重要信息系統(tǒng)的網(wǎng) 絡(luò)拓?fù)洳荒芡ㄟ^(guò)網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)來(lái)自動(dòng)生成，該平臺(tái)提供了一定虛擬網(wǎng)絡(luò)拓?fù)涔芾砉δ?。管理人員可以根據(jù)重要信息系統(tǒng)的實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)果，在平臺(tái)上進(jìn)行手工繪制。通過(guò)添 加重要信息系統(tǒng)設(shè)備及其相關(guān)連線，修改設(shè)備屬性，修改設(shè)備之間的連線，移動(dòng)網(wǎng)元位置等 操作，來(lái)完成重要信

26、息系統(tǒng)在該平臺(tái)上以一種虛擬網(wǎng)絡(luò)拓?fù)湫问竭M(jìn)行管理。政務(wù)外網(wǎng)網(wǎng)絡(luò)拓?fù)涔芾砗捅O(jiān)控根據(jù)政務(wù)外網(wǎng)匯聚節(jié)點(diǎn)的IP地址劃分，自動(dòng)生成政務(wù)外網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并對(duì)政務(wù) 外網(wǎng)網(wǎng)絡(luò)拓?fù)溥M(jìn)行管理和監(jiān)控。監(jiān)控預(yù)警平臺(tái)網(wǎng)絡(luò)網(wǎng)絡(luò)拓?fù)涔芾砗捅O(jiān)控根據(jù)監(jiān)控預(yù)警平臺(tái)的IP地址劃分，自動(dòng)生成監(jiān)控預(yù)警平臺(tái)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并對(duì)監(jiān)控 預(yù)警平臺(tái)的網(wǎng)絡(luò)拓?fù)溥M(jìn)行管理和監(jiān)控。5.3安全數(shù)據(jù)處理子系統(tǒng)5.3.1異常流量分析異常流量分析模塊通過(guò)FLOW、SNMP等方式，對(duì)系統(tǒng)網(wǎng)絡(luò)流量信息或系統(tǒng)信息的進(jìn) 行提取、收集、整理、歸類、分析，實(shí)時(shí)監(jiān)控、檢測(cè)系統(tǒng)網(wǎng)絡(luò)中DOS/DDOS攻擊、蠕蟲(chóng)病 毒、僵尸網(wǎng)絡(luò)及其他網(wǎng)絡(luò)濫用事件，提取異常特征，并啟動(dòng)報(bào)警和響應(yīng)

27、系統(tǒng)進(jìn)行阻斷和防御。 異常流量分析模塊面向管理員提供流量分布、流量異常特征、攻擊響應(yīng)、應(yīng)用層服務(wù)等各類 網(wǎng)絡(luò)運(yùn)行狀況的統(tǒng)計(jì)分析數(shù)據(jù)，從而有效幫助管理員更好地監(jiān)控和掌握系統(tǒng)網(wǎng)絡(luò)的使用情 況。異常流量分析的數(shù)據(jù)基礎(chǔ)異常流量分析模塊依賴于Flow技術(shù)，并且廣泛支持所有可能被利用的基礎(chǔ)數(shù)據(jù)。除了 NetFlow V1/V5/V7/V9、SFlow V4/V5、Cflowd V5/V8、NetStream V5/V8/V9 之外，還支持 SNMP、BGP、SPAN、CLI、NAP等方式，對(duì)路由設(shè)備狀態(tài)、路由表項(xiàng)、動(dòng)態(tài)路由協(xié)議交互、 IP/MAC影射、MAC/Port影射、原始報(bào)文內(nèi)容等進(jìn)行實(shí)時(shí)采集，把鏈

28、路流量圖式和網(wǎng)元節(jié) 點(diǎn)狀態(tài)同時(shí)納入到系統(tǒng)分析基礎(chǔ)數(shù)據(jù)庫(kù)中并在二者之間進(jìn)行高度關(guān)聯(lián)分析，不僅大幅度提高 流量分析結(jié)果的準(zhǔn)確率（如通過(guò)流量分析得出的“流量異常”表象往往有可能是由于網(wǎng)元設(shè)備 錯(cuò)誤策略配置等內(nèi)在因素所誘發(fā)的），而且通過(guò)對(duì)網(wǎng)元設(shè)備的主動(dòng)分柝調(diào)節(jié)還可較精確的定 位異常流量來(lái)源并有效緩解其影響?；诨€的精確檢測(cè)異常流量分析模塊支持固定基線和動(dòng)態(tài)基線兩種類型，其中固定基線可由管理員根據(jù)以 往歷史流量數(shù)據(jù)或應(yīng)用業(yè)務(wù)已明確的流量特點(diǎn)進(jìn)行人工定義，而動(dòng)態(tài)基線則賦予此模塊有效 檢測(cè)未知異常流量特征的能力。異常流量分析模塊實(shí)現(xiàn)了多種網(wǎng)絡(luò)流量趨勢(shì)預(yù)測(cè)算法，能夠 通過(guò)對(duì)未知特征的網(wǎng)絡(luò)流量進(jìn)行一定周期的采

29、樣分析后，自動(dòng)完成對(duì)該部分流量的圖式建模 和基線描述，并持續(xù)跟蹤實(shí)際流量的變化曲率而對(duì)基線進(jìn)行動(dòng)態(tài)調(diào)整，從而保證了此模塊對(duì) 于網(wǎng)絡(luò)流量演變趨勢(shì)的自學(xué)習(xí)能力，能夠有效避免隨機(jī)雜波的偶發(fā)干擾、顯著提高系統(tǒng)檢測(cè) 命中率。細(xì)粒度的異常溯源定位借助復(fù)合技術(shù)所帶來(lái)的豐富的數(shù)據(jù)資源，異常流量分析模塊可在異常檢測(cè)命中之后，提 供細(xì)粒度的溯源定位功能，從而為管理員采取后續(xù)的處理措施提供準(zhǔn)確的位置信息。異常流量分析模塊可在兩個(gè)層面中提供異常溯源定位：網(wǎng)絡(luò)層：在其監(jiān)控的網(wǎng)絡(luò)范圍之內(nèi)，能夠?qū)惓Ａ髁縼?lái)源直接回溯至最接近攻擊源的路 由設(shè)備接口；鏈路層：在其監(jiān)控的網(wǎng)絡(luò)范圍之內(nèi)，能夠?qū)惓Ａ髁縼?lái)源直接定位于最接近攻擊源的交

30、 換設(shè)備端口。5.3.2安全事件關(guān)聯(lián)分析關(guān)聯(lián)分析，是指利用算法去判斷一系列告警信息是否源于同一個(gè)攻擊行為并完成攻擊場(chǎng) 景的重構(gòu)。這種攻擊行為具有單一的攻擊意圖，可以包括單個(gè)簡(jiǎn)單的攻擊行為和由一系列攻 擊步驟組成的復(fù)雜的攻擊行為，也被命名為攻擊場(chǎng)景。其中關(guān)聯(lián)分析是整個(gè)平臺(tái)處理的核心， 利用關(guān)聯(lián)分析技術(shù)處理安全設(shè)備所產(chǎn)生的告警事件現(xiàn)在是安全管理研究中的一個(gè)熱點(diǎn)問(wèn)題。 在實(shí)際網(wǎng)絡(luò)環(huán)境下，攻擊者在實(shí)施攻擊的過(guò)程中，其掃描行為、口令試探行為、訪問(wèn)文件行 為、會(huì)話、流量往往會(huì)在不同的安全工具上留下相應(yīng)的特征。關(guān)聯(lián)分析正是要依靠下轄的 IDS節(jié)點(diǎn)、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)行為審計(jì)、防火墻等安全設(shè)備提供的這些安全特征

31、信息來(lái)對(duì)網(wǎng) 絡(luò)安全全局狀況作出判斷。目前關(guān)聯(lián)分析的方法有很多，典型的包括基于統(tǒng)計(jì)的關(guān)聯(lián)分析、基于規(guī)則的關(guān)聯(lián)分析、 基于監(jiān)控對(duì)象的關(guān)聯(lián)分析等?；谝?guī)則的關(guān)聯(lián)分析基于規(guī)則的關(guān)聯(lián)分析(Rule-based Correlation，RC)，是將可疑的活動(dòng)場(chǎng)景(暗示某潛 在安全攻擊行為的一系列安全事件序列)加以預(yù)先定義，系統(tǒng)能夠根椐定義的關(guān)聯(lián)性規(guī)則表 達(dá)式，對(duì)收集到的事件進(jìn)行檢查，確定該事件是否和特定的規(guī)則匹配。1、針對(duì)典型的安全活動(dòng)場(chǎng)景預(yù)先定義關(guān)聯(lián)規(guī)則，如DDOS攻擊、緩沖區(qū)溢出攻擊、 網(wǎng)絡(luò)蠕蟲(chóng)、郵件病毒、垃圾郵件、電子欺騙、非授權(quán)訪問(wèn)、企圖入侵行為、木馬、非法掃描、 可疑URL等。2、可根據(jù)事件發(fā)生

32、的因果關(guān)系，進(jìn)行邏輯上關(guān)聯(lián)分析。3、根據(jù)安全事件發(fā)生前后，受攻擊系統(tǒng)各個(gè)性能監(jiān)控參數(shù)的變化幅度情況。4、可根據(jù)網(wǎng)絡(luò)的動(dòng)態(tài)情況自適應(yīng)過(guò)濾相關(guān)度較低的事件。5、提供向?qū)絼?chuàng)建關(guān)聯(lián)性規(guī)則功能。6、關(guān)聯(lián)性規(guī)則應(yīng)具有良好的移植性，可以按照特定的文件格式如XML進(jìn)行導(dǎo)入和導(dǎo) 出?；诮y(tǒng)計(jì)的關(guān)聯(lián)分析參照國(guó)家相關(guān)標(biāo)準(zhǔn)，定義安全事件類別，對(duì)每個(gè)類別的事件設(shè)定一個(gè)合理的閥值，將出 現(xiàn)的事件先歸類，然后進(jìn)行緩存和計(jì)數(shù)，當(dāng)在某一段時(shí)間內(nèi)，計(jì)數(shù)達(dá)到該閥值，可以產(chǎn)生一 個(gè)級(jí)別更高的安全事件。5.3.3安全事件處理流程安全事件處理模塊是整個(gè)監(jiān)控預(yù)警平臺(tái)的應(yīng)急響應(yīng)模塊。定義事件處理流程根據(jù)安全事件的不同性質(zhì)和級(jí)別、各監(jiān)控對(duì)象的不同特點(diǎn)，定義相應(yīng)的事件處理流程。工單的來(lái)源1、安全數(shù)據(jù)處理子系統(tǒng)經(jīng)過(guò)對(duì)安全數(shù)據(jù)的分析后，生成的安全事件；2、業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件；3、網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件；與知識(shí)庫(kù)系統(tǒng)關(guān)聯(lián)安全事件處理與知識(shí)庫(kù)關(guān)聯(lián)。1、安全監(jiān)控人員在準(zhǔn)備處理工單之前，可以根據(jù)內(nèi)容的關(guān)鍵字信息到知識(shí)庫(kù)系統(tǒng)中查 詢符合該事件類型的相關(guān)內(nèi)容，包括：事件原因分析、事件處理步驟、事件總結(jié)等，獲得相 應(yīng)的處理經(jīng)驗(yàn)。2、安全監(jiān)控人員在處