市電子政務監(jiān)控預警平臺建設方案樣本

某市電子政務監(jiān)控預警平臺建設方案一、方案概述1.1方案建設目的某市電子政務網(wǎng)絡由全市各個委辦局單位網(wǎng)絡接入構(gòu)成，由于接入單位眾多且各自單位信息安全建設水平參差不齊，經(jīng)常導致內(nèi)部網(wǎng)絡病毒和異常安全事件發(fā)生。考慮到電子政務網(wǎng)絡實際構(gòu)成和規(guī)模狀況，東軟設計出全市電子政務監(jiān)控預警平臺（如下稱“監(jiān)控預警平臺”）重要目的是基于電子政務網(wǎng)絡和信息系統(tǒng)在安全保障以及監(jiān)管信息系統(tǒng)建設方面所面臨形式和問題，研發(fā)一套綜合風險預警平臺，進一步加強電子政務網(wǎng)絡和信息系統(tǒng)監(jiān)管力度，總體把握市政務網(wǎng)絡和信息系統(tǒng)安全運營狀況，提高各政務單位在應對突發(fā)網(wǎng)絡襲擊事件應急響應能力和風險預警能力，從而有力地支撐市政務網(wǎng)絡和信息系統(tǒng)穩(wěn)定運營。1.2方案設計原則考慮到本平臺最后為全市政務單位進行統(tǒng)一服務，在本方案設計中，咱們遵循了如下原則：先進性原則提出最新安全監(jiān)控預警平臺概念，將安全監(jiān)控和安全技術(shù)有效銜接，并依照電子政務業(yè)務需求，與業(yè)務網(wǎng)絡進一步結(jié)合，從而保證系統(tǒng)先進性，以適應將來數(shù)據(jù)發(fā)展需要。整體安全和全網(wǎng)統(tǒng)一原則該平臺系統(tǒng)設計從完整安全體系構(gòu)造出發(fā)，綜合考慮信息網(wǎng)絡各種實體和各個環(huán)節(jié)，綜合使用不同層次技術(shù)和理論，為信息網(wǎng)絡運營和業(yè)務安全提供全方位監(jiān)控和服務。原則化原則參照國內(nèi)外權(quán)威安全技術(shù)與管理體系有關(guān)原則進行方案設計和技術(shù)選取。整個系統(tǒng)安全地互聯(lián)互通。技術(shù)和管理相結(jié)合原則整個平臺結(jié)合了安全技術(shù)與監(jiān)控管理機制、人員思想教誨與技術(shù)培訓、安全規(guī)章制度等內(nèi)容?？蓴U展性原則為以便滿足網(wǎng)絡規(guī)模和安全功能擴展，本設計方案考慮了網(wǎng)絡新技術(shù)和業(yè)務發(fā)展擴充規(guī)定，以及市電子政務網(wǎng)絡自身特點，本方案所設計平臺系統(tǒng)具備靈活擴展能力，可以隨著各個監(jiān)控節(jié)點，隨著平臺功能擴展進行靈活擴展。并且平臺具備定期升級，不中斷業(yè)務應用服務能力。開放性原則該平臺運營需要與各種設備協(xié)調(diào)，如：主機設備、網(wǎng)絡設備、安全設備、應用系統(tǒng)等等，該平臺提供了一定開放性以適應與有關(guān)設備和系統(tǒng)適應。1.3方案設計思路電子政務網(wǎng)絡監(jiān)控預警平臺，以分布式方式采集來自于電子政務網(wǎng)絡各個有關(guān)設備日記信息和告警事件信息，通過智能關(guān)聯(lián)分析后，精確判斷真實安全事件，迅速定位安全事件來源，分析安全事件主線因素，集中展示市電子政務網(wǎng)絡整體安全狀況。一旦發(fā)現(xiàn)高風險安全事件，自動觸發(fā)安全事件解決流程，督促有關(guān)負責人進行迅速解決問題和故障。1、監(jiān)控對象定位：電子政務外網(wǎng)、政務顧客互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、政務網(wǎng)站等等。2、日記信息來源：電子政務外網(wǎng)匯聚節(jié)點或者接入節(jié)點安全設備、政務顧客互聯(lián)網(wǎng)接入節(jié)點安全設備、重要信息系統(tǒng)邊界布置安全設備、重要信息系統(tǒng)自身、政務網(wǎng)站邊界布置安全設備等等。3、由專用數(shù)據(jù)采集引擎負責數(shù)據(jù)采集，數(shù)據(jù)采集引擎采用分布式布置。4、展示平臺具備多元化、分層次等展示形態(tài)。二、電子政務網(wǎng)絡監(jiān)控預警平臺體系架構(gòu)為了充分滿足電子政務網(wǎng)絡布置現(xiàn)狀，本方案所設計監(jiān)控預警平臺從體系架構(gòu)上可分為：IT基本層、數(shù)據(jù)采集層、數(shù)據(jù)解決層、展示層四個層面，各個層面涉及了各種功能模塊或子系統(tǒng)。該平臺整體架構(gòu)示意圖如下：1、IT基本層為監(jiān)控預警平臺數(shù)據(jù)獲取來源。2、數(shù)據(jù)采集層：依照平臺指定運維方略，數(shù)據(jù)采集層負責從網(wǎng)絡設備、安全設備、業(yè)務系統(tǒng)、服務器等采集各種安全信息、日記信息、流量信息，通過數(shù)據(jù)格式原則化、數(shù)據(jù)歸并、數(shù)據(jù)壓縮等解決后，提交給上層數(shù)據(jù)解決平臺。3、數(shù)據(jù)解決層：將采集到原始數(shù)據(jù)按照業(yè)務系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)、安全數(shù)據(jù)進行分門別類，通過基于記錄、基于資產(chǎn)、基于規(guī)則關(guān)聯(lián)分析后，科學合理定義安全事件性質(zhì)和解決級別，作為展示平臺數(shù)據(jù)基本。4、展示層：實現(xiàn)整個平臺靈活展示和配備管理。一方面通過豐富圖形化展示方式呈現(xiàn)電子政務網(wǎng)絡、政務顧客互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、網(wǎng)站等安全狀況，提供有效安全預警，減少安全破壞發(fā)生，減少安全事件所導致?lián)p失；另一方面對整個監(jiān)控預警平臺進行配備與維護。三、IT基本層IT基本層為監(jiān)控預警平臺數(shù)據(jù)獲取來源，至少涉及如下范疇：1、網(wǎng)絡設備，涉及：路由器、互換機等；2、安全設備，涉及：入侵檢測系統(tǒng)、網(wǎng)絡審計系統(tǒng)、病毒檢測系統(tǒng)、漏洞掃描系統(tǒng)、防火墻、異常流量檢測系統(tǒng)、網(wǎng)站診斷系統(tǒng)等；3、應用系統(tǒng)，涉及：主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等；4、服務器，涉及：日記服務器、網(wǎng)管服務器等。四、數(shù)據(jù)采集層數(shù)據(jù)采集層重要通過數(shù)據(jù)采集引擎來實現(xiàn)原始數(shù)據(jù)獲取，為統(tǒng)一信息庫提供基本數(shù)據(jù)。4.1采集方式由于該平臺面臨政務網(wǎng)絡內(nèi)不同單位眾多類型廠商品牌設備構(gòu)成各種數(shù)據(jù)來源，每一種數(shù)據(jù)來源信息都存在較大差別，為了保證平臺可以獲取全面數(shù)據(jù)，數(shù)據(jù)采集引擎在獲取原始數(shù)據(jù)時，需要支持如下幾種數(shù)據(jù)采集方式：1、通過配備實現(xiàn)采集：通過配備采集源Syslog、SNMPTrap、Socket、ODBC/JDBC、Flow等方式將事件日記、告警信息、性能參數(shù)以及其她有關(guān)數(shù)據(jù)發(fā)送到數(shù)據(jù)采集引擎。2、通過遠程登錄方式采集：通過Telnet/SSH等方式，由數(shù)據(jù)采集引擎模仿登錄到系統(tǒng)上獲取事件日記、告警信息、性能參數(shù)以及其她有關(guān)數(shù)據(jù)。3、安裝代理實現(xiàn)采集：在服務器上安裝采集引擎代理程序，執(zhí)行后臺采集服務以及采集腳本，將目的系統(tǒng)上事件日記、告警信息、性能參數(shù)以及各類事件數(shù)據(jù)收集后發(fā)送給數(shù)據(jù)采集引擎。4、定期輪詢采集：數(shù)據(jù)采集引擎通過ICMP、SNMP、ARP來獲取監(jiān)管對象數(shù)據(jù)。4.2采集方略數(shù)據(jù)采集引擎，支持靈活定義采集方略，涉及如下：1、數(shù)據(jù)采集引擎采用分布式布置方式。由于市電子政務網(wǎng)絡具備城域網(wǎng)特點，應用電子政務網(wǎng)絡各個政務單位分布較為分散，為了保證數(shù)據(jù)獲取不受地理分布限制，數(shù)據(jù)采集引擎采用分布式布置方式。2、支持動態(tài)采集方略，由于每個數(shù)據(jù)采集引擎所面臨監(jiān)控對象不同，因而數(shù)據(jù)來源也會有所區(qū)別，平臺可覺得每個數(shù)據(jù)采集引擎配備不同采集方略，使得每個數(shù)據(jù)采集引擎都可以較為針對采集相適合數(shù)據(jù)。4.3基本數(shù)據(jù)解決監(jiān)控預警平臺是一種具備多數(shù)據(jù)源集成體系特點平臺，平臺需要數(shù)據(jù)訪問透明性以及實現(xiàn)數(shù)據(jù)源及時可用性，因而平臺需要設計一種合理方案，以對來自不同數(shù)據(jù)源各種數(shù)據(jù)進行表達，從而便于進行統(tǒng)一解決；另一方面則應考慮異構(gòu)數(shù)據(jù)轉(zhuǎn)換問題，將來自不同數(shù)據(jù)源各種數(shù)據(jù)轉(zhuǎn)換成集成系統(tǒng)能進一步解決統(tǒng)一格式；此外還必要定義基本運算，進行信息數(shù)據(jù)歸并，從而可以有效完畢數(shù)據(jù)查詢、存取等詳細功能。因而數(shù)據(jù)采集引擎在通過一定合同或者文獻方式采集到大量原始數(shù)據(jù)后，會對數(shù)據(jù)進行如下解決：1、數(shù)據(jù)格式統(tǒng)一原則化，由于數(shù)據(jù)來源來自各種不同類型設備和系統(tǒng)，數(shù)據(jù)采集方式也存在著較大差別化，導致獲取到原始數(shù)據(jù)格式是各種各樣，因而數(shù)據(jù)采集層一方面將原始數(shù)據(jù)按照平臺規(guī)定數(shù)據(jù)格式，進行統(tǒng)一原則化解決。2、數(shù)據(jù)歸并，針對海量原始數(shù)據(jù)，數(shù)據(jù)采集層會按照安全事件類型、安全事件發(fā)生時間、安全事件次數(shù)等條件對原始數(shù)據(jù)進行必要歸并。3、數(shù)據(jù)壓縮，當大量數(shù)據(jù)在網(wǎng)絡中傳播時，勢必會導致網(wǎng)絡擁擠，影響正常業(yè)務應用。為了保證網(wǎng)絡傳播暢通，數(shù)據(jù)采集層對原始數(shù)據(jù)一定壓縮解決，再提交到數(shù)據(jù)傳播接口。4、數(shù)據(jù)傳播，此為數(shù)據(jù)采集層向數(shù)據(jù)解決層提交數(shù)據(jù)傳播接口。五、數(shù)據(jù)解決層數(shù)據(jù)采集引擎將原則化和歸并后安全告警數(shù)據(jù)、性能數(shù)據(jù)、配備數(shù)據(jù)、故障數(shù)據(jù)等信息提交給平臺核心數(shù)據(jù)解決系統(tǒng)后，核心數(shù)據(jù)解決系統(tǒng)可以有效辨認各類數(shù)據(jù)，并將不同數(shù)據(jù)分發(fā)給不同數(shù)據(jù)解決子系統(tǒng)進行解決，防止同一數(shù)據(jù)被不同數(shù)據(jù)解決子系統(tǒng)分別解決。咱們將原始數(shù)據(jù)分為三類：業(yè)務系統(tǒng)數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)和安全數(shù)據(jù)，因而數(shù)據(jù)解決平臺設計了如下三個數(shù)據(jù)解決子系統(tǒng)：1、業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)；2、網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)；3、安全數(shù)據(jù)解決子系統(tǒng)。5.1業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)業(yè)務系統(tǒng)數(shù)據(jù)來源，重要是：業(yè)務系統(tǒng)、日記服務器等。數(shù)據(jù)采集平臺通過程序接口訪問業(yè)務系統(tǒng)獲取重要監(jiān)測數(shù)據(jù)，提交給數(shù)據(jù)解決平臺后，數(shù)據(jù)解決平臺進行初步判斷，檢測為業(yè)務系統(tǒng)數(shù)據(jù)，會自動提交給業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)。在業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)中，咱們又將數(shù)據(jù)進行了一定分門別類，詳細類別如下：1、操作系統(tǒng)數(shù)據(jù)；2、數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)；3、中間件系統(tǒng)數(shù)據(jù)。業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)定期自動向安全數(shù)據(jù)解決子系統(tǒng)輸出數(shù)據(jù)。業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)在進行數(shù)據(jù)解決時，一旦檢測到各種異常，就會生成特定安全事件，并隨時輸出到安全數(shù)據(jù)解決子系統(tǒng)，作為安全數(shù)據(jù)解決子系統(tǒng)數(shù)據(jù)來源之一。5.1.1操作系統(tǒng)數(shù)據(jù)解決業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)在獲取到操作系統(tǒng)數(shù)據(jù)后，會依照不同操作系統(tǒng)特性，對數(shù)據(jù)進行一定解決。平臺所支持操作系統(tǒng)類型，至少涉及：Windows/服務器系統(tǒng)、Linux服務器系統(tǒng)、IBMAIX服務器系統(tǒng)、SUNSolaris服務器系統(tǒng)、HPUNIX服務器系統(tǒng)、Tru64服務器系統(tǒng)等。操作系統(tǒng)數(shù)據(jù)解決內(nèi)容，如下表所示：序號類別描述1基本信息整頓操作系統(tǒng)所屬主機名稱、網(wǎng)絡接口數(shù)量，每個接口IP地址/MAC地址、子網(wǎng)掩碼等；近來24小時內(nèi)主機操作系統(tǒng)連接狀態(tài)記錄分析2CPU靜態(tài)信息整頓CPU編號、核心數(shù)、CPU品牌3CPU動態(tài)信息整頓記錄時間、CPU使用率4內(nèi)存動態(tài)信息總物理內(nèi)存、可用物理內(nèi)存、總虛擬內(nèi)存、可用虛擬內(nèi)存、總頁面文獻大小、可用頁面文獻大小、記錄時間、內(nèi)存使用率5系統(tǒng)進程動態(tài)信息進程ID、使用顧客、映像名稱、CPU使用率、內(nèi)存、記錄時間6硬盤動態(tài)信息掛載點、類型、總大小、可用大小、文獻系統(tǒng)類別、硬盤IO、記錄時間7性能事件在業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)檢測到某個操作系統(tǒng)CPU使用率、內(nèi)存使用率、硬盤空間使用率等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)解決子系統(tǒng)。8故障事件在業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)檢測到某個主機設備由UP狀態(tài)轉(zhuǎn)換為DOWN狀態(tài)等，會自動生成故障事件，隨后提交給安全數(shù)據(jù)解決子系統(tǒng)。5.1.2業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)在獲取到數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)后，會依照不同數(shù)據(jù)庫系統(tǒng)特性，對數(shù)據(jù)進行一定解決。平臺所支持數(shù)據(jù)庫系統(tǒng)類型，至少涉及：DB2、Oracle、SQLServer、MYSQL等。數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)解決內(nèi)容，如下表所示：序號類別描述1基本信息整頓數(shù)據(jù)庫名稱、數(shù)據(jù)途徑、基本目錄、數(shù)據(jù)庫版本、字符集、配備暫時表大小、暫時表目錄、更新時間2數(shù)據(jù)表信息表名稱、行格式、行數(shù)、索引長度、表類型、當前大小、擴展大小、表創(chuàng)立時間、表更新時間、更新時間等信息3緩存信息創(chuàng)立暫時文獻數(shù)目、創(chuàng)立暫時表數(shù)目、在查詢緩存中空閑內(nèi)存塊數(shù)量、查詢緩存中空閑內(nèi)存數(shù)量、查詢緩沖祈求命中率、添加到插敘緩存中查詢數(shù)量、由于低內(nèi)存而從查詢緩存中刪除查詢數(shù)量、注冊在查詢緩存中查詢祈求數(shù)量、在插敘緩存中塊總數(shù)目、使用內(nèi)存大小、打開表數(shù)量、打開過表數(shù)量、表緩存配備數(shù)、更新時間等信息4線程信息緩存中線程數(shù)、為解決遠程連接祈求創(chuàng)立線程總數(shù)、當前打開連接數(shù)、處在非睡眠狀態(tài)線程數(shù)、更新時間等信息5鎖信息表直接鎖定次數(shù)、鎖等待次數(shù)、更新時間等信息6頁和行鎖信息數(shù)據(jù)頁數(shù)量、臟頁數(shù)目、緩沖池中頁刷新祈求數(shù)目、空閑頁數(shù)量、頁緩存池大小、頁大小、當前被等待行鎖數(shù)量、共計消耗在獲取行鎖上時間、為獲取行鎖平均等待時間、更新時間等信息7性能事件在業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)檢測到某個數(shù)據(jù)庫系統(tǒng)表空間使用率、連接數(shù)使用率等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)解決子系統(tǒng)。8故障事件在業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)檢測到某個數(shù)據(jù)庫系統(tǒng)實例未啟動、連接服務未啟動、數(shù)據(jù)庫關(guān)閉、數(shù)據(jù)庫歸檔日記已滿、數(shù)據(jù)庫連接數(shù)已滿等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)解決子系統(tǒng)。5.1.3應用系統(tǒng)數(shù)據(jù)解決業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)在獲取到應用系統(tǒng)數(shù)據(jù)后，會依照不同應用系統(tǒng)特性，對數(shù)據(jù)進行一定解決。平臺可以支持應用系統(tǒng)類型，至少涉及：IBMWebsphere、ApacheTomcat、MicrosoftIIS等。應用系統(tǒng)數(shù)據(jù)解決內(nèi)容，如下表所示：序號類別描述1基本信息整頓應用系統(tǒng)類型、應用系統(tǒng)版本信息、應用系統(tǒng)健康度，即記錄24小時內(nèi)應用系統(tǒng)啟用狀態(tài)2會話動態(tài)信息會話類型、會話名稱、創(chuàng)立會話數(shù)、失效會話數(shù)、平均會話生存期、祈求當前訪問會話總數(shù)、當前存活會話總數(shù)、無法解決新會話祈求次數(shù)、被強制逐出高速緩存會話對象數(shù)、從持久性存儲讀會話數(shù)據(jù)耗費時間、從持久性存儲讀取會話數(shù)據(jù)大小、從持久性存儲寫會話數(shù)據(jù)耗費時間、寫到持久性存儲會話數(shù)據(jù)大小、中斷HTTP會話親緣關(guān)系數(shù)、前一種和當前訪問時間戳記時間之差、超時失效會話數(shù)、不再存在會話祈求數(shù)、會話級會話對象平均大小、記錄時間3進程池動態(tài)信息名稱、類型、高范疇、低范疇、當前、高水位、低水位、并發(fā)活動或池中線程狀態(tài)、記錄時間4JDBC連接池動態(tài)信息名稱、類型、創(chuàng)立連接總數(shù)、已關(guān)閉連接總數(shù)、分派連接總數(shù)、返回到池連接總數(shù)、連接池大小、池中空閑連接數(shù)、等待連接平均并發(fā)線程數(shù)、池中連接超時數(shù)、正在使用池平均百分率、使用連接平均時間、在容許連接之前平均等待時間、由于高速緩存已滿而廢棄語句數(shù)、記錄時間5事務數(shù)動態(tài)信息在服務器上開始全局事務數(shù)、在服務器上已開始本地事務數(shù)、并發(fā)活動全局事務數(shù)、已貫徹全局事務個數(shù)、回滾全局事務數(shù)、超時全局事務數(shù)、超時本地事務數(shù)、記錄時間6事務平均持續(xù)時間平均時間、最小時間、最大時間、總大小、數(shù)量、總和、全局或本地狀態(tài)、記錄時間7JVM動態(tài)信息高水位、低水位、當前、低范疇、高范疇、Java虛擬機運營時中空閑內(nèi)存、Java虛擬機運營時中使用內(nèi)存容量、Java虛擬機已經(jīng)運營時間數(shù)、Java虛擬機CPU使用狀況、記錄時間8EJB動態(tài)信息創(chuàng)立bean次數(shù)、除去bean次數(shù)、處在就緒狀態(tài)bean實例個數(shù)、并發(fā)存活bean平均數(shù)、調(diào)用bean遠程辦法次數(shù)、遠程辦法平均響應時間、將對象返回到池調(diào)用次數(shù)、由于池已滿而放棄正在返回對象次數(shù)、池中對象平均數(shù)、傳遞到beanonMessage辦法消息數(shù)、處在鈍化狀態(tài)bean個數(shù)、處在就緒狀態(tài)bean實例個數(shù)、記錄時間9性能事件在業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)檢測到某個應用系統(tǒng)會話數(shù)、JDBC連接數(shù)、事務數(shù)、事務平均持續(xù)時間等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)解決子系統(tǒng)10故障事件在業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)檢測到某個應用系統(tǒng)服務異常停止、業(yè)務系統(tǒng)不可用等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)解決子系統(tǒng)5.2網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)網(wǎng)絡數(shù)據(jù)重要來源是：網(wǎng)絡設備。數(shù)據(jù)采集層將原始數(shù)據(jù)提交給數(shù)據(jù)解決層后，數(shù)據(jù)解決層進行初步判斷，檢測為網(wǎng)絡有關(guān)數(shù)據(jù)，會自動提交給網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)。網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)定期自動向安全數(shù)據(jù)解決子系統(tǒng)輸出數(shù)據(jù)。網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)在進行數(shù)據(jù)解決時，一旦檢測到各種異常，就會生成特定安全事件，并隨時輸出到安全數(shù)據(jù)解決子系統(tǒng)，作為安全數(shù)據(jù)解決子系統(tǒng)數(shù)據(jù)來源之一。5.2.1該子系統(tǒng)提供詳細拓撲圖元數(shù)據(jù)構(gòu)造，并開放拓撲數(shù)據(jù)，提交給統(tǒng)一信息庫，供呈現(xiàn)層使用。網(wǎng)絡拓撲可以最為直觀地反映整個網(wǎng)絡連接狀況。自動發(fā)現(xiàn)是系統(tǒng)拓撲中非常重要一種功能，它可以自動辨認設備類型，涉及各種服務器類型、路由器、互換機、等等，以及它們之間關(guān)系，并且自動將它們存儲到公用對象庫中相應類中。網(wǎng)絡管理人員通過圖形管理界面可以直觀查詢網(wǎng)絡拓撲關(guān)系。網(wǎng)絡拓撲自動發(fā)現(xiàn)，有三種實現(xiàn)合同：涉及ICMP、SNMP、CDP、其中ICMP重要用于發(fā)現(xiàn)網(wǎng)絡主機節(jié)點，其耗時較長，而SNMP和CDP重要是用來搜索網(wǎng)絡內(nèi)路由器、互換機等網(wǎng)絡設備。本方案會綜合使用上述三種合同來自動發(fā)現(xiàn)和生成電子政務網(wǎng)絡拓撲、監(jiān)控預警平臺自身網(wǎng)絡拓撲。5.2.2數(shù)據(jù)采集平臺通過SNMP數(shù)據(jù)采集方式，采集網(wǎng)絡設備MIB數(shù)據(jù)，實時監(jiān)控網(wǎng)絡設備運營狀況。網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)在獲取到網(wǎng)絡數(shù)據(jù)后，會依照不同網(wǎng)絡設備特性，對數(shù)據(jù)進行一定解決。網(wǎng)絡設備類型至少可以支持：CISCO、華為、Juniper、Foundry等。網(wǎng)絡數(shù)據(jù)解決內(nèi)容涉及：1、基本信息整頓：網(wǎng)絡接口數(shù)量，每個接口IP地址/MAC地址等；2、接口信息：接口索引、接口類型、接口描述、接口速率、工作狀態(tài)、管理狀態(tài)、接口總流量、入口流量、出口流量；在網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)檢測到某個網(wǎng)絡設備CPU使用率、內(nèi)存使用率、接口流量等性能指標超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)解決子系統(tǒng)。在網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)檢測到某個網(wǎng)絡設備設備停機、接口不通等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)解決子系統(tǒng)。工單來源1、安全數(shù)據(jù)解決子系統(tǒng)通過對安全數(shù)據(jù)分析后，生成安全事件；2、業(yè)務系統(tǒng)數(shù)據(jù)解決子系統(tǒng)生成性能事件和故障事件；3、網(wǎng)絡數(shù)據(jù)解決子系統(tǒng)生成性能事件和故障事件；5.3.3安全事件解決與知識庫關(guān)聯(lián)。1、安全監(jiān)控人員在準備解決工單之前，可以依照內(nèi)容核心字信息到知識庫系統(tǒng)中查詢符合該事件類型有關(guān)內(nèi)容，涉及：事件因素分析、事件解決環(huán)節(jié)、事件總結(jié)等，獲得相應解決經(jīng)驗。2、安全監(jiān)控人員在解決完畢工單后，可以將與此工單有關(guān)詳細內(nèi)容，如：事件因素分析、事件解決環(huán)節(jié)、事件總結(jié)等生成有關(guān)案例，保存到知識庫中，為其她人解決類似事件提供經(jīng)驗共享。5.3.3當平臺發(fā)既有真實安全事件時，依照預先制定工單解決流程，平臺會自動生成安全事件解決工單，此時不需要人工干預，系統(tǒng)自動調(diào)用服務程序通過聲音、圖形、短信、郵件、代理程序等方式及時告知負責解決此安全事件工單監(jiān)控人員。此時也啟動安全事件進入其相應解決流程。工單執(zhí)行和監(jiān)控流程具備下列特性：1、工單具備一定期限性，必要在規(guī)定期限內(nèi)解決完畢，如果在規(guī)定期間內(nèi)未被及時解決，系統(tǒng)會自動修改工單狀態(tài)，并自動向有關(guān)人員發(fā)送超時告知；2、當某個工單不能被此工單有關(guān)監(jiān)控人員對的解決時（由于技術(shù)人員水平或者時間因素），可提前終結(jié)對工單解決，并闡明終結(jié)工單因素。安全監(jiān)督人員負責核算終結(jié)因素，同步將工單重新派發(fā)給其她監(jiān)控人員，以充分保證工單可以被正常解決；3、安全監(jiān)督人員可隨時監(jiān)督工單生成進程和解決進程，如：系統(tǒng)當前有多少待解決工單，有多少正在解決中，多少已經(jīng)解決完畢。4、系統(tǒng)自動記錄每個工單從生成，到接受解決，到解決完畢，以及解決確認所有過程，此記錄過程成為考核監(jiān)控人員根據(jù)。5.3.45.3.4風險管理以監(jiān)控對象為基本，通過獲取統(tǒng)一信息庫中監(jiān)控對象配備數(shù)據(jù)，對監(jiān)控對象價值、安全威脅因素關(guān)聯(lián)后計算監(jiān)控對象風險值，并對監(jiān)控對象風險實現(xiàn)動態(tài)監(jiān)控。假設風險計算公式（可根椐實際狀況進行調(diào)節(jié)）為：風險值＝f（監(jiān)控對象價值，威脅也許性）；通過風險分析得到風險狀況為一種數(shù)字，不同取值范疇決定了不同風險級別，風險級別劃分為五個級別：級別符號相應典型安全狀況取值范疇5VH（很高）風險很高，導致系統(tǒng)受到非常嚴重影響也許性很大100～1254H（高）風險高，導致系統(tǒng)受到嚴重影響也許性較大75～993M（中）風險中，導致系統(tǒng)受到影響也許性較大50～742L（低）風險低，導致系統(tǒng)受到影響也許性較小25～491VL（很低）風險很低，導致系統(tǒng)受到影響也許性很小0～24為保證安全風險管理符合監(jiān)控預警平臺監(jiān)控深度以及有關(guān)規(guī)定，可依照實際現(xiàn)狀和監(jiān)控對象提出詳細風險計算方式，并可以在后續(xù)實行過程中進行重新設計和二次改造。5.3.41、當安全事件更新后，相應監(jiān)控對象風險被更新。2、當故障事件更新后，相應監(jiān)控對象風險被更新。3、當故障事件更新后，相應監(jiān)控對象風險被更新。4、當監(jiān)控對象發(fā)生某些也許對風險有影響變化后，相應監(jiān)控對象風險被更新。六、展示平臺6.1安全監(jiān)控展示6.1.1分級進行展示分級展示電子政務網(wǎng)絡安全狀態(tài)。以曲線圖方式展示近來一段時間電子政務網(wǎng)絡安全風險。層次展示內(nèi)容第一層政務網(wǎng)絡整體安全風險第二層每類監(jiān)控對象安全風險第三層每個監(jiān)控節(jié)點安全風險第四層每個安全事件詳細內(nèi)容6.1.2從地理區(qū)域上看，我市當前包括近10個區(qū)縣，而本平臺所監(jiān)控四類監(jiān)控對象則較為分散地分布在不同區(qū)縣，因而本平臺提供按照實際地理位置展示安全風險功能。本平臺以我市地圖作為地理位置展示基本圖，將每個監(jiān)控對象：政務外網(wǎng)每個匯聚節(jié)點、每個政務顧客互聯(lián)網(wǎng)接入節(jié)點、每個重要信息系統(tǒng)、每個網(wǎng)站所在地理位置在基本題上實際標記出來。不同類型監(jiān)控對象用不同形狀標注，如下表所示：不同級別安全風險用不同顏色標注，如下表所示：當鼠標放置到某個監(jiān)控對象上時，可以顯示此監(jiān)控對象有關(guān)屬性：監(jiān)控對象類別、監(jiān)控對象風險值、監(jiān)控對象近來發(fā)生事件總數(shù)等。當點擊某個監(jiān)控對象時，可以顯示此監(jiān)控對象所有詳細信息，涉及此監(jiān)控對象基本屬性、安全事件列表、故障事件列表、性能事件列表等。當點擊任何一種安全事件，可以看到安全事件原始數(shù)據(jù)信息。當點擊地理位置上某類監(jiān)控對象時，會進入到按監(jiān)控對象類別展示界面。當點擊地理位置行某級別風險時，會進入到按風險級別展示界面。6.1.3按網(wǎng)絡拓撲展示網(wǎng)絡拓撲對象涉及：政務外網(wǎng)網(wǎng)絡拓撲、政務顧客互聯(lián)網(wǎng)接入網(wǎng)絡拓撲、重要信息系統(tǒng)網(wǎng)絡拓撲、政務網(wǎng)站網(wǎng)絡拓撲。選取其中一種網(wǎng)絡拓撲對象，展示層會完整展示其相應網(wǎng)絡拓撲構(gòu)造。每個監(jiān)控對象在網(wǎng)絡拓撲上均有相應位置，并且每個監(jiān)控對象用不同顏色（或者不同圖標）來標注此監(jiān)控對象安全風險。當鼠標放置到某個監(jiān)控對象上時，可以顯示此監(jiān)控對象有關(guān)屬性：監(jiān)控對象類別、監(jiān)控對象風險值、監(jiān)控對象近來發(fā)生事件總數(shù)等。當點擊某個監(jiān)控對象時，可以顯示此監(jiān)控對象所有詳細信息，涉及此監(jiān)控對象基本屬性、安全事件列表、故障事件列表、性能事件列表等。當點擊某級別安全風險時，可以按照級別來查看安全事件、故障事件、性能事件等。當點擊任何一種安全事件，可以看到此事件原始數(shù)據(jù)信息。6.1.4監(jiān)控對象類別涉及：政務外網(wǎng)、政務顧客互聯(lián)網(wǎng)接入、重要信息系統(tǒng)網(wǎng)絡拓撲、政務網(wǎng)站四個類別。選取其中一類監(jiān)控對象，如：政務外網(wǎng)，平臺會展示政務外網(wǎng)33個匯聚節(jié)點安全風險狀況：1、近來一段時間內(nèi)，整體政務外網(wǎng)安全風險狀況。2、整個政務外網(wǎng)最新TOPN個安全事件。3、整個政務外網(wǎng)發(fā)生安全事件頻率最多TOPN個匯聚節(jié)點。4、按照級別展示政務外網(wǎng)所有安全事件。點擊某個詳細監(jiān)控對象時，如：政務外網(wǎng)其中一種匯聚節(jié)點，會展示此匯聚節(jié)點安全風險狀況。1、近來一段時間內(nèi)，此匯聚節(jié)點安全風險狀況。2、此匯聚節(jié)點所有安全事件（分頁顯示）。6.1.5假設風險級別涉及：很高、高、中、低、很低五個級別。6.1.6事件詳細展示展示每個安全事件、故障事件、性能事件詳細內(nèi)容，如下表所示：6.2綜合運維管理6.2.1監(jiān)控對象管理平臺具備建立監(jiān)控對象信息庫，能統(tǒng)一管理監(jiān)控對象各種屬性辨認、賦值、建檔等活動。規(guī)定：1、定義規(guī)范監(jiān)控分類、賦值等信息。2、提供通過信息輸入界面手工輸入、維護監(jiān)控對象手段。3、提供符合原則格式文獻（如Excel、XML等）導入監(jiān)控對象手段。4、實現(xiàn)監(jiān)控對象編碼。監(jiān)控對象分類監(jiān)控對象類別，如下表所示：

序號類別闡明1政務外網(wǎng)2政務顧客互聯(lián)網(wǎng)接入3重要信息系統(tǒng)4政務網(wǎng)站監(jiān)控對象建檔屬性名闡明編號唯一標記監(jiān)控對象編號監(jiān)控對象名監(jiān)控對象名稱類型監(jiān)控對象類型管理部門監(jiān)控對象由哪個部門負責管理管理員對該監(jiān)控對象具備管理責任管理員姓名以及聯(lián)系方式（涉及電話和郵箱地址）等物理地址監(jiān)控對象物理安頓地點IP地址監(jiān)控對象重要IP地址操作系統(tǒng)操作系統(tǒng)名稱及版本價值監(jiān)控對象價值，針對本平臺，所有監(jiān)控對象價值都較高接口數(shù)量監(jiān)控對象接口數(shù)量負責人監(jiān)控對象負責人監(jiān)控對象關(guān)注人監(jiān)控對象上存在漏洞端口監(jiān)控對象端口開放狀況（如果有）6.2.2安全方略管理安全方略管理負責指引平臺運轉(zhuǎn)。安全方略管理分為：日記采集方略、安全信息分析方略、安全事件解決方略等。該方略模塊中所有方略均支持多維度查詢。日記采集方略針對不同數(shù)據(jù)采集引擎可以配備不同采集方略。數(shù)據(jù)采集方略可定制內(nèi)容包括：日記信息來源、日記信息級別。安全信息分析方略安全信息分析方略是關(guān)聯(lián)分析展示接口，當關(guān)聯(lián)分析所有條件匹配成功，則生成一條安全事件。安全信息分析方略中，可定制內(nèi)容如下表所示：屬性名闡明發(fā)生源IP發(fā)送安全信息設備IP地址，例如：如果是入侵檢測系統(tǒng)發(fā)出了一條SYSLOG信息，則“發(fā)生源IP”就指該入侵檢測系統(tǒng)IP地址源IP安全事件源IP。例如機器A向機器B發(fā)出襲擊信息，“源IP”就指機器AIP地址源端口安全事件源端口目IP安全事件目IP，如在上例中，指機器BIP地址目端口安全事件目端口合同網(wǎng)絡訪問行為所使用合同安全信息描述是對設立源IP通過設立端口訪問指定IP段時使用安全信息描述安全信息類型產(chǎn)生安全信息中類型安全信息名稱指產(chǎn)生安全信息中名稱訪問時間段對設立源IP通過設立端口訪問指定IP段時起始時間限制Bugtraq編號國際上通用標記Bugtraq庫CVE編號國際上通用標記CVE庫安全信息來源數(shù)據(jù)采集引擎IP地址源MAC安全事件源MAC地址目MAC安全事件目MAC地址時間間隔指定了方略時間范疇，單位為秒安全事件次數(shù)表達在設定“時間間隔”內(nèi)，此條方略匹配多少次才產(chǎn)生一條安全事件，實現(xiàn)安全事件歸并安全事件解決方略安全事件解決方略用于制定安全事件解決流程方略。安全事件解決方略中，可定制內(nèi)容如下表所示：

屬性名闡明工作流模板系統(tǒng)內(nèi)置了各種工作流模板以相應不同安全事件，可隨意選取內(nèi)置模板解決時限安全事件必要解決時間限制告知方式Email和即時告知當選取“E-mail”時，則按照所選工作流模板中指定管理員E-mail地址，將解決安全事件告知發(fā)給相應管理員；當選取“即時告知”時，則按照工作流模板中指定管理員，將解決安全事件告知發(fā)給相應管理員優(yōu)先級安全事件級別危害安全事件危害備注其她補充信息6.2.3綜合報表管理監(jiān)控對象報表監(jiān)控對象報表類型涉及：1、監(jiān)控對象安全事件TOPN（年報表、半年報表、季報表、月報表、周報表）；2、監(jiān)控對象安全風險趨勢（月報表、周報表、日報表）。安全事件報表監(jiān)控對象報表類型涉及：1、安全事件類型TOPN（年報表、半年報表、季報表、月報表、周報表）；2、安全事件報表TOPN（年報表、半年報表、季報表、月報表、周報表）；3、安全事