《安全管理平台解决方案模板.docx》由会员分享,可在线阅读,更多相关《安全管理平台解决方案模板.docx(88页珍藏版)》请在课桌文档上搜索。
1、安全管理平台解决方案模板省级XX公安安全管理平台建设方案启明星后g*EMRtcci1.M*S北京启明星辰信息技术股份有限公司BeijingVenusTechnologyCo.1.td.2024年4月目录123456目lI错误!未定乂书签。设计依据错误!未定义书签。术语和定义错误!未定乂书签。建设原则错误!未定义书签。系统现状及需求分析错误!未定义书签。安全管理平台建设目标错误!未定义书签。6.1 中告错误!未定义书签。6.2 事件定位处理错误!未定义书签。6.3 安全关联分析错误!未定义书签。6.4 实时风险管理错误!未定义书签。6.5 安全运维流程错误!未定义书签。6.6 安全管理流程错误!
2、未定义书签。6.7 策略知识体系错误!未定义书签。安全管理平台方案设计错误!未定义书签。7.1 平台本既述错误!未定义书签。7.2 系统组成错误!未定义书签。7.3 系统架构错误!未定义书签。7.4 平台功能描述错误!未定义书签。7.4.1 集中展示模块错误!未定义书签。7.4.2 g彳丁IjS控木莫块错误!未定义书签。7.4.3 业务处理模块错误!未定义书签。7.4.4 业务统计模块7.4.5 关联分析7.4.6 安全态势分析7.4.7 关键安全管理指标分析.7.4.8 业务配置模块7.4.9 平台管理模块.41错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未
3、定义书签。错误!未定义书签。错误!未定义书签。接入交换管理模块7.5 系统接错误!未定义书签。7.6 部署方式错误!未定义书签。7.6.1 单级部署错误!未定义书签。7.7运行环境要求错误!未定义书签。7.6.2 级联部署错误!未定义书签。8启明星辰公安安全管理平台特性优势错误!未定义书签。8.1 多层次的安全事件管理错误!未定义书签。8.1.1 安全专项系统的信息采集错误!未定义书签。8.1.2 支持分布式日志采集错误!未定义书签。8.1.3 详尽的日志范式化与事件分类错误!未定义书签。8.1.4 智能化安全事件关联分析错误!未定义书签。8.1.5 可视化安全事件分析错误!未定义书签。8.2
4、 多维度的业务处理过程错误!未定义书签。8.2.1 丰富的业务流程分类错误!未定义书签。8.2.2 灵活的流程定制能力错误!未定义书签。8.3 全方位的IT系统性能与可用性监控错误!未定义书签。8.3.1 网络拓扑管理错误!未定义书签。8.3.2 支持多种监控对象错误!未定义书签。8.3.3 全方位名田粒度监控错误!未定义书签。8.4 基于风险矩阵的量化安全风险评估错误!未定义书签。8.5 指标化的宏观态势感知错误!未定义书签。8.5.1 地址熔态势分析错误!未定义书签。8.5.2 威胁态势分析错误!未定义书签。8.5.3 关键安全管理指标分析错误!未定义书签。8.6 丰富灵活的报表报告错误!
5、未定义书签。8.6.1 可扩展的报表内容错误!未定义书签。8.6.2 公安业务考核支持错误!未定义书签。8.7 可运维的多级管理架构错误!未定义书签。8.7.1 级联内容错误!未定义书签。8.7.2 虚拟下级错误!未定义书签。8.8 对用户网络和业务影响最小错误!未定义书签。8.9 完善的系统自身安全性保证错误!未定义书签。8.1()有好的用户交互体验错误!未定义书签。9二次开发模块及系统对接说明错误!未定义书签。9.1 二次模块开发说明错误!未定义书签。9.2 与XX公安现有系统对接说明错误!未定义书签。10成功案例错误!未定义书签。10.1 成功案例名单错误!未定义书签。10.2 典型案例
6、错误!未定义书签。11项目预算错误!未定义书签。1前言网络的快速发展为经济建设和社会发展带来了巨大的影响,随着信息化建设的飞速发展,信息安全系统已成为XX公安工作的重要资源和基础平台。当前XX公安的安全专项系统主要有/一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统。近年来公安网络安全问题呈现日益产重的趋势,从公安部的相关统计数据中能够看出,“一机两用“违规事件、病毒传播率、漏洞发生率等涉及网络安全的考核指标,都在不同程度的增加。因为信息泄密、信息遭受破坏等带来的损失越来越令人触目惊心。在这种大的形
7、势下,网络安全的重要性被提到了前所未有的高度。由于公安以往的信息系统都是针对具体的应用进行设计,未考虑系统的综合管理,因此在管控手段和管控水平上极需加强。另外,随着公安信息应用的进一步推进,对信息安全的日常运维和应急预案等方面提出了更高的要求,切实需要建立省市两级信息通信部门的快速反应机制,强化信息系统基础平台的安全管理,建设可信的信息系统环境,为公安各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。2设计依据国际国内标准和规范: 中华人民共和国保守国家秘密法 中华人民共和国保守国家秘密法实施办法 中共中央关于加强新形势下保密工作的决定(中发199716号) 计算机信息系
8、统保密管理暂行规定(国保发9981号) 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法(中保办发19986号) 关于加强政府上网信息保密管理的通知(国保发19994号) 计算机信息系统国际联网保密管理规定(国保发19991()号) V关于加强计算机信息网络保密管理的通知(中保委发4号) 国家信息化领导小组关于中国电子政务建设指导意见(中办发17号) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发口27号) 关于加强信息安全保障工作中保密管理的若干意见(中保委发7号) 涉及国家秘密计算机信息系统集成资质管理办法(国保发口5号) 信息系统保密管理规定中华人民共和国保密标准:
9、BMZlY涉及国家秘密的计算机信息系统保密技术要求 BMZ2-涉及国家秘密的计算机信息系统安全保密方案设计指南 BMZ3-V涉及国家秘密的计算机信息系统安全保密测评指南 BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和测试方法 BMB4电磁干扰器技术要求和测试方法 BMB5-涉密信息设备使用现场的电磁泄漏发射防护要求 BMBlO-V涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法 BMBll-V涉及国家秘密的计算机信息系统防火墙安全技术要求 BMBI2.涉及国家秘密的计算机信息系统漏洞扫描产品安全技术要求 BMBl3.涉及国家秘密的计算机信息系统入侵检测产品技术要求 BMBI5-
10、涉及国家秘密的信息系统安全审计产品技术要求 BMBI6.涉及国家秘密的信息系统安全隔离与信息交换产品技术要求GB及参考文献: GB17859-1999计算机信息系统安全保护等级划分准则。 GB18336.1-信息技术安全技术信息技术安全性评估准则第一部分:简介和一般模型(idtISOIEC15408-1:1999o GB18336.2-信息技术安全技术信息技术安全性评估准则第二部分:安全功能要求(idtISO15408-2:1999)o GB18336.3-信息技术安全技术信息技术安全性评估准则第三部分:安全保证要求(idtISO15408-3:1999)0 GB/T9387.2-1995信息
11、系统开放系统互连基本参考模型第2部分:安全体系结构。 ISO/IEel7799:信息技术信息安全管理实用规则。 BMB17-涉及国家秘密的计算机信息系统分级保护技术要求。 GB50174-1993电子计算机机房设计规范。 GB2()269-信息安全技术信息系统安全管理要求。 ISO/IECTR18044:信息技术安全技术一信息安全事件管理。 GB/T20270-信息安全技术网络基础安全技术要求。 GB/T20282-信息安全技术信息系统安全工程管理要求。 GB/T20271-信息安全技术信息系统通用安全技术要求。3术语和定义N列术语和定义适用于本方案。术语解释安管平台本规范中的“安管平台”特指
12、公安集中安全管理平台。它是实现公安信息网信息安全管理的技术支撑平台。它以流程和标准化的方法为手段,实现安全业务监控和安全事件的处理,为安全运营和管理提供支撑。安全专项系统为特定安全目标建立的安全系统,包括但不限于现有的几大系统:“一机两用”监控系统、补丁分发系统、病毒监控预警系统、边界安全接入平台、入侵监测系统、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统。工单指为了完成某个具体业务请求所使用的协同工作载体,承载内容包括业务状态、业务数据和业务要求等,按业务处理流程进行流转。活动活动组成了业务流程中的步骤和任务,是按照规范流程要求而采取的动作,在安管平台中,活动包
13、括判断、响应、流转、处理等。业务流程业务流程是为达到特定的价值目标而由不同的人协作完成的一系列活动。活动之间不但有严格的先后顺序限定,而且活动的内容、方式、责任等也都必须有明确的安排和界定,以使不同活动在不同岗位角色之间进行转手交接成为可能。本文主要指信通网中与安全运行管理相关的签到、巡检、签收、通报告警、响应处理、审核等流程。安全事件由计算机信息系统或者网络中的各种设备与系统,例如安全子系统、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。安全策略安全策略是各种论述、规则和准则的集合,用以解释和说明公安信息网资源使用以及网络与业务保护的方式和要求。4建设原则D安全性。XX公安的
14、SOC安全管理平台建设,必须具备在各个层次上的安全策略、体系和管理办法,并系统地解决安全问题的能力。2)有效性和实用性。网络的安全对所有用户是透明的,操作的人机界面必须达到安全、简捷、方便,同时不影响现有网络安全的功能和系统的正常运行。3)开放性。网络安全系统和设备,必须适应多种软、硬件平台和通讯的能力。4)自主性和可控性。根据国家相关的法规和政策,在安全建设的过程中,安全设备必须经过国家有关管理部门(主要是公安部门)的认可或认证,保证其配置及设备的合法性。5)适应性和可扩展性。所采取的措施必须能随着网络性能及安全需求的变化而变化,要具备可扩充性和可升级性,以适应将来网络规模的发展。6)业务符
15、合性。平台所提供的事件监控、处理流程,必须符合公安行业的实际工作特性与工作过程。7)可管理性。网络安全系统必须具备良好的可管理性。5系统现状及需求分析当前XX公安信息专网涉及地域广泛,包括省厅及直属单位、个地市,多个区县等接入单位;应用系统繁多,共有100多个应用系统。随着XX公安信息网的不断发展,网络范围越趋扩大,主机设备、网络设备、安全设备数量也随之不断地增长,而且种类繁多、部署分散,这些系统每天都要产生成千上万的各类安全事件和告警息。XX公安非常重视公安信息安全建设,当前建成包括“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描
16、系统、异常流量监测系统、应急响应系统等安全专项系统,这些系统在省厅及各地市得到应用,但各个系统提供独立的安全管理监控平台,形成多个“信息孤岛”,缺乏全网统一的安全状况实时监控了解工具,缺乏安全策略与安全技术相结合的沟通手段,没有一套完善的安全管理机制,没有专门负责安全监控的组织和人员,现有的安全管理、安全监控手段已经不能满足日益扩展的复杂的信息安全保障的需要,因此难以有效发挥其功能作用。当前XX省公安厅的安全管理系统存在以下问题:网络范围越趋扩大,主机设备、网络设备、安全设备数量也随之不断地增长,而且种类繁多、部署分散,这些系统每天都要产生成千上万的各类安全事件和告警信息,可是安全事件得不到有
17、效处理。告警信息得不到有效分析。 安全告警信息没有与具体的设备资产想关联,发现告警后无法定位和处理,比如病毒信息和IDS安全告警信息,因为没有和具体的设备相关联,无法及时定位和处理; 网络中各安全设备基本采用各自分散的管理模式,而零散的安全信息很难形成集中性的、对决策、判断及处理有重要意义的数据 没有明确的安全监控、处理、安全管理流程和上报工作流程,缺乏有效的事件处理机制,当产生安全事件时,相关人员按照自己的想法和理解进行处理,可能会造成更大的损失和影响; 缺乏全网统一的安全状况实时监控了解工具,缺乏安全策略与安全技术相结合的沟通手段。 缺乏明确的人员职责定位与考核标准,安全告警不能落实到具体
18、责任人,安全事件处理不能落实到任务处理人,难以形成高效的绩效考核机制。 缺乏与安全管理工作相适应的安全知识体系。安全告警发生之后无法及时寻找对应的知识库进行参照处理。针对上述问题,并根据网络与信息安全风险管理的本质,对风险进行有效的控制,围绕“重要资产、重要告警、重点监控”的工作目标,建议XX公安信息网建设安全管理平台系统,从而解决上述问题及满足省厅相关规范,最终逐步形成具有XX公安信息网特色的功能成熟、并能切实发挥作用的安全管理平台。6安全管理平台建设目标XX公安的SOC安全管理平台的建设目标是搭建以事件管理为核心的集中安全监控平台,经过实现对网络/系统中采集到的安全事件、资产、漏洞、风险、
19、预警的进行集中监测和分析,实现安全告警管理与安全事件的流程化处理,建立安全策略管理基本框架。初步建立安全知识体系和应急响应体系,从而提高科通处所管理系统的安全威胁实时检测率,降低被成功攻击的概率,提高安全事件的响应速度。其具体目标可表现为:6.1 集中监控告警统一监控管辖范围内的主机、网络设备、安全设备、数据库、中间件、服务和机房设备,为用户提供一个全方位监控的统一管理平台,使得管理员经过一个单一控制台就能够进行实时全网监控,保障全网IT计算环境基础设施的可用性,业务的持续性和安全性。6.2 事件定位处理在所的监控的设备发生故障或安全事件时,监控系统能帮助管理员快速、准确地找到问题的根源所在,
20、有效排查。对于一机两用这类公安的专项系统,必须能够在事件发生的第一时间定位到所属区域、责任人,而且能够以便捷的通知方式(例如短信、邮件、网上通知)快速下发信息,明确处理人,以工单流转的方式进行及时处理。6.3 安全关联分析安全系统产生的日志数量是非常庞大的,要在这些事件里找出有用的信息,没有安全管理平台的帮助,几乎是不可能实现的。安全管理平台需要提供的事件关联分析功能,帮助管理员对事件进行相关性分析,得出需要关注的少量的安全事故,大大降低事件处理的工作量,使重要的事件能够以较高的优先级被处理。对于所收集到的事件,安全管理平台需要将其标准化后赋予其唯一的ID,以实现事件关联效率高,分析更清楚,和
21、事故处理知识库能紧密联系。6.4 实时风险管理风险管理以业务系统为核心,以资产为基础,依据等级保护标准GB22239-和公安行业规则,提供两大规则库供安全管理员对重要业务系统进行等级评定和风险管理,以实时展现业务系统存在的威胁、脆弱性和风险,尽可能减少或避免业务系统面临的风险,确保业务系统在网络环境中能够持续、稳定和安全的运行。6.5 安全运维流程公安信息安全工作中的重点是日常的安全运维工作,包括签到、巡检、事件处理、通知通报、响应等工作环节,运维工作强调制度化、流程化与标准化,核心是事件的处理过程。平台需要内置事件处理流程工单系统,经过与可定制安全知识库的结合,可方便快捷的将安全事故处理建议
22、分发给负责人员进行事故的及时处理并反馈。6.6 安全管理流程作为一个开放的网络,安全和维护的压力越来越高,需要实现从依靠人工维护IT系统的模式,转变成基于流程和工具的安全、可靠、高质量、高效的服务模式。建设完备的安全管理流程,实现自动化工单、案例、知识库的自动管理和维护实时自动化监控,并提供高品质的服务,降低安全风险以提高IT系统的可用性。具体工具公安业务进行定制:比如:案件处理流程、CA证书发放流程管理、应急服务处理流程、规章制度流程信息化、安全管理员管理、设备注册管理等功能。6.7 策略知识体系安全事件的特殊性、突发性决定了作为攻击的防御方一一安全管理员和所有IT信息的使用者,需要具备一定
23、的安全防护知识。安全知识管理解决用户环境中安全知识(包括漏洞信息、威胁信息、案例、安全策略)的积累、发布和管理问题,实现安全教育的全员化。安全管理平台厂商必须维护平台知识库,可快速升级安全管理平台中相关的产品特征库模块,另一方面将紧急的、影响重大的安全事件经过Web的方式发布出去。实现安全管理平台的知识管理与网络安全态势同步。7安全管理平台方案设计7.1 平台概述启明星辰推出的泰合信息安全运营中心系统(以下简称TSOO是立足于公司十多年信息安全积累的基础之上,基于客户最新需求推出的全新一代安全管理平台。TSOC-GA公安行业专版(以下简称TSe)C-GA)是启明星辰基于TSOC产品成果、面向全
24、国公安用户定向开发的行业化版本。公安行业专版完全遵照公安部公安信息通信网综合安全管理平台技术规范(试行),充分结合了公安行业业务特性,并有效发挥了启明星辰在安全管理平台领域的技术专长,体现了公安信息安全管理工作中”集中监控、统一管理、全面分析、快速响应、规范运行”的管理思想,能够显著提升公安信息安全管理工作的效率与质量。TSOC-GA采用了新一代的基于超微内核的技术架构,融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户实现对业务信息系统的统一安全保障。TSOC-GA采用开放平台架构设计,遵循业界通行的应用接口和管理接口,功能部件都实现了模块化装配,客户能够自
25、由选择,并能够与客户的应用和管理环境实现很好的对接与整合。TSOC具有国内最广泛的应用范围和客户群,已经连续4年位居国内市场销量第一,TSOC-GA已经在公安行业拥有多个大型成功案例。7.2 系统组成TSOC-GA包括管理中心、日志采集器、性能采集器和日志代理四个部件。 管理中心管理中心是TSOC-GA的核心部件,实现了对IT系统集中化的性能及可用性监控、安全事件的集中管理、安全风险的评估、宏观安全态势感知,以及流程化的安全响应与处理。客户经过浏览器即可登陆管理中心,进行各种操作。管理中心内置日志采集和性能采集功能,客户无需另行安装其它任何部件即可直接收集管理对象的日志信息和性能信息。管理中心
26、也能够汇聚来自日志采集器、日志代理和性能采集器的日志信息。 日志采集器日志采集器能够安装并独立运行在一台服务器上,也能够与性能采集器集成安装和运行一台服务器上,实现对异构管理对象的日志采集,功能同管理中心的日志采集模块,用以辅助管理中心解决特定日志采集的问题,并能够实现分布式日志采集能力。日志采集器收集的日志能够转发给管理中心。管理中心能够对网络中分散的日志采集器进行集中管理。 性能采集器性能采集器能够安装并独立运行在一台服务器上,也能够与日志采集器集成安装和运行一台服务器上,实现对异构管理对象的性能信息采集,包括可用性信息、运行状态信息、性能信息等,功能同管理中心的性能采集模块,用以辅助管理
27、中心解决分布式性能数据采集的问题。性能采集器收集的数据能够转发给管理中心。管理中心能够对网络中分散的性能采集器进行集中管理。 日志代理日志代理用于安装并运行在管理对象上,实现对管理对象的日志采集和转发。当前,日志代理支持WindOWS操作系统,主要用于采集Windows操作系统及其服务与应用的日志。日志代理收集的日志能够转发给日志采集器,或者直接转发给管理中心。管理中心能够对网络中分散的日志代理进行集中管理。7.3 系统架构TSOC-GA的技术架构图如下:集中展示层核心处理层接入交换层交互对象事件与状态监控运行监控子系统安全信息监控)(运行状态峰(专项系线监控 流程启动:支持信息预处理自动启动
28、流程,支持人工启动流程。 业务状态:包括待阅、待办、在办、办结、打回等。 处理方式:手动、自动、转办、委托处理,支持附件上传。 工作记录:对工作和事件的信息查看、状态修改、信息补充、结果记录。 通知提醒:人工和自动提醒工作和事件,提醒内容包括内容、时间、重要程度,提醒方式包括手机短信、邮件、界面提示。TSOC-GA充分考虑到了多级平台架构下流程状态的反馈能ZJo在上级平台中能够及时查看到下级的处理状态,完成事件处理的跟踪处理。所有的这些配置操作,本平台都是在工作流中间件里进行的。工作流中间件能够以图形化的方式进行流程节点的增删、状态的调整配置、人员权限的设置,通知方式的设置,能够灵活适应公安实
29、际工作的需要。7.4.3.1 日常工作公安的日常工作包括:签到、签收、巡检、个人工作日志等工作的排班、启动、工作记录等。这些工作都是在日常的流程中进行处理。如下图所示:出翼黑黑/回0要了零透守费11*三三三iI三U8食*B8三ZmH*lKlfjB三J92MWM*5iWAEMS11n2JI991n13l*斤虹不白1M113:99a三rjZBwfiWmJjJtWn三NSKWQ-*C一a.;J洱MIK)W日Mzx-d11fflp;-Mt三三三a三iit管理签到按照公安要求,管理签到主要是提供考勤签到,实现本级单位安全管理人员和运维人员的签到功能。签到的记录招统计计入人员考核结果。本平台的签到支持人工
30、签到与自动签到两种。并提供对签到情况的提醒与查询功能。信息签收对于接收到的各类信息、包括各种工单、通知通报,接收方均应提供签收功能。签收功能还包括一些信息的反馈,以便于发送方确认信息已被签收。安全巡检安全巡检主要是指安全运维人员根据预先设定的安全基线指标,对安全专项系统、重要网络设备及安全应用系统的各项硬件参数、软件参数及业务参数进行巡检和记录,并对巡检中发现的异常情况进行汇报和处理。运维人员进行巡检之后,需要进行日志填写。日志可由领导进行审查,并作为考核依据。7.4.3.2 管理工作公安的管理性工作包括安全员管理、工单修订等工作的启动、工作记录、状态修改、处理方式选择。对于安全员的变动,系统
31、提供安全员管理的审核流程。支持的安全员管理类型包括增、删、改、调整权限等。对于运行过程中的各类工单,管理性工作提供经审核后的工单修订功能,能够对工单运行流程进行特殊干预,例如强制退回、重新打开、跳过节点等等。界面如下图所示:RY器般K四0I*7号零Gf%O三3E三tZ0WTVx11SfSWtfeH*4r*KtwWffW11口mwva:.dtr1SXftMUMKTOOXNO角的惘JeS加WJImJMliMIt口人.WuIAjIgI2Q)M1-2IB电信三三三三M三2AMaxnn337.4.3.3 响应处理在公安的响应处理过程,最重要的是进行应急响应。对于系统自动产生的工单、或者人工发起的工单、或者协同工单,均存在应急响应处理的可能。应急响应处理是工单处理环节中重要的内容,界面如下图所示:应急响应包括三方面内容:应急响应流程该