某市電子政務(wù)監(jiān)控預(yù)警平臺建設(shè)方案

1、某市電子政務(wù)監(jiān)控預(yù)警平臺建設(shè)方案一、 方案概述1.1 方案建設(shè)目標(biāo)某市電子政務(wù)網(wǎng)絡(luò)由全市各個委辦局單位網(wǎng)絡(luò)接入組成，由于接入單位眾多且各自單位信息安全建設(shè)水平參差不齊，經(jīng)常造成內(nèi)部網(wǎng)絡(luò)病毒和異常安全事件發(fā)生?？紤]到電子政務(wù)網(wǎng)絡(luò)實際組成和規(guī)模情況，東軟設(shè)計出全市電子政務(wù)監(jiān)控預(yù)警平臺（以下稱“監(jiān)控預(yù)警平臺”）的主要目標(biāo)是基于電子政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)在安全保障以及監(jiān)管信息系統(tǒng)建設(shè)方面所面臨的形式和問題，研發(fā)一套綜合的風(fēng)險預(yù)警平臺，進(jìn)一步加強電子政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)的監(jiān)管力度，總體把握市政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，提高各政務(wù)單位在應(yīng)對突發(fā)網(wǎng)絡(luò)攻擊事件的應(yīng)急響應(yīng)能力和風(fēng)險預(yù)警能力，從而有力地支撐市政務(wù)

2、網(wǎng)絡(luò)和信息系統(tǒng)的穩(wěn)定運行。1.2 方案設(shè)計原則考慮到本平臺最終為全市的政務(wù)單位進(jìn)行統(tǒng)一服務(wù)，在本方案設(shè)計中，我們遵循了以下的原則：先進(jìn)性原則提出最新的安全監(jiān)控預(yù)警平臺的概念，將安全監(jiān)控和安全技術(shù)有效銜接，并根據(jù)電子政務(wù)業(yè)務(wù)需求，與業(yè)務(wù)網(wǎng)絡(luò)深入結(jié)合，從而保證系統(tǒng)的先進(jìn)性，以適應(yīng)未來數(shù)據(jù)發(fā)展的需要。整體安全和全網(wǎng)統(tǒng)一的原則該平臺的系統(tǒng)設(shè)計從完整安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實體和各個環(huán)節(jié)，綜合使用不同層次的技術(shù)和理論，為信息網(wǎng)絡(luò)運行和業(yè)務(wù)安全提供全方位的監(jiān)控和服務(wù)。標(biāo)準(zhǔn)化原則參考國內(nèi)外權(quán)威的安全技術(shù)與管理體系的相關(guān)標(biāo)準(zhǔn)進(jìn)行方案的設(shè)計和技術(shù)的選擇。整個系統(tǒng)安全地互聯(lián)互通。技術(shù)和管理相結(jié)合原

3、則整個平臺結(jié)合了安全技術(shù)與監(jiān)控管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度等內(nèi)容?？蓴U展性原則為方便滿足網(wǎng)絡(luò)規(guī)模和安全功能的擴展，本設(shè)計方案考慮了網(wǎng)絡(luò)新技術(shù)和業(yè)務(wù)發(fā)展的擴充要求，以及市電子政務(wù)網(wǎng)絡(luò)自身的特點，本方案所設(shè)計的平臺系統(tǒng)具有靈活的擴展能力，能夠隨著各個監(jiān)控節(jié)點，隨著平臺的功能擴展進(jìn)行靈活的擴展。并且平臺具備定期升級，不中斷業(yè)務(wù)應(yīng)用服務(wù)的能力。開放性原則該平臺的運行需要與多種設(shè)備協(xié)調(diào)，如：主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等等，該平臺提供了一定的開放性以適應(yīng)與相關(guān)設(shè)備和系統(tǒng)的適應(yīng)。1.3 方案設(shè)計思路電子政務(wù)網(wǎng)絡(luò)監(jiān)控預(yù)警平臺，以分布式方式采集來自于電子政務(wù)網(wǎng)絡(luò)的各個相關(guān)設(shè)備的日志

4、信息和告警事件信息，經(jīng)過智能的關(guān)聯(lián)分析后，準(zhǔn)確判斷真實的安全事件，快速定位安全事件的來源，分析安全事件的根本原因，集中展示市電子政務(wù)網(wǎng)絡(luò)的整體安全狀況。一旦發(fā)現(xiàn)高風(fēng)險安全事件，自動觸發(fā)安全事件處理流程，督促相關(guān)責(zé)任人進(jìn)行快速解決問題和故障。1、監(jiān)控對象定位：電子政務(wù)外網(wǎng)、政務(wù)用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、政務(wù)網(wǎng)站等等。2、日志信息的來源：電子政務(wù)外網(wǎng)匯聚節(jié)點或者接入節(jié)點的安全設(shè)備、政務(wù)用戶互聯(lián)網(wǎng)接入節(jié)點的安全設(shè)備、重要信息系統(tǒng)邊界部署的安全設(shè)備、重要信息系統(tǒng)自身、政務(wù)網(wǎng)站邊界部署的安全設(shè)備等等。3、由專用的數(shù)據(jù)采集引擎負(fù)責(zé)數(shù)據(jù)采集，數(shù)據(jù)采集引擎采用分布式部署。4、展示平臺具有多元化、分層次等展

5、示形態(tài)。二、 電子政務(wù)網(wǎng)絡(luò)監(jiān)控預(yù)警平臺體系架構(gòu)為了充分滿足電子政務(wù)網(wǎng)絡(luò)的部署現(xiàn)狀，本方案所設(shè)計的監(jiān)控預(yù)警平臺從體系架構(gòu)上可分為：IT基礎(chǔ)層、數(shù)據(jù)采集層、數(shù)據(jù)處理層、展示層四個層面，各個層面包括了多個功能模塊或子系統(tǒng)。該平臺的整體架構(gòu)示意圖如下：1、IT基礎(chǔ)層為監(jiān)控預(yù)警平臺的數(shù)據(jù)獲取來源。 2、數(shù)據(jù)采集層：根據(jù)平臺指定的運維策略，數(shù)據(jù)采集層負(fù)責(zé)從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器等采集各種安全信息、日志信息、流量信息，經(jīng)過數(shù)據(jù)格式標(biāo)準(zhǔn)化、數(shù)據(jù)歸并、數(shù)據(jù)壓縮等處理后，提交給上層數(shù)據(jù)處理平臺。3、數(shù)據(jù)處理層：將采集到的原始數(shù)據(jù)按照業(yè)務(wù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、安全數(shù)據(jù)進(jìn)行分門別類，經(jīng)過基于統(tǒng)計、基于資產(chǎn)

6、、基于規(guī)則的關(guān)聯(lián)分析后，科學(xué)合理的定義安全事件的性質(zhì)和處理級別，作為展示平臺的數(shù)據(jù)基礎(chǔ)。4、展示層：實現(xiàn)整個平臺的靈活展示和配置管理。一方面通過豐富的圖形化展示方式呈現(xiàn)電子政務(wù)網(wǎng)絡(luò)、政務(wù)用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、網(wǎng)站等安全狀況，提供有效的安全預(yù)警，減少安全破壞的發(fā)生，降低安全事件所造成的損失；另一方面對整個監(jiān)控預(yù)警平臺進(jìn)行配置與維護(hù)。三、 IT基礎(chǔ)層IT基礎(chǔ)層為監(jiān)控預(yù)警平臺的數(shù)據(jù)獲取來源，至少包括如下范圍：1、網(wǎng)絡(luò)設(shè)備，包括：路由器、交換機等；2、安全設(shè)備，包括：入侵檢測系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)、病毒檢測系統(tǒng)、漏洞掃描系統(tǒng)、防火墻、異常流量檢測系統(tǒng)、網(wǎng)站診斷系統(tǒng)等；3、應(yīng)用系統(tǒng)，包括：主機操作系

7、統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等；4、服務(wù)器，包括：日志服務(wù)器、網(wǎng)管服務(wù)器等。四、 數(shù)據(jù)采集層數(shù)據(jù)采集層主要通過數(shù)據(jù)采集引擎來實現(xiàn)原始數(shù)據(jù)的獲取，為統(tǒng)一的信息庫提供基礎(chǔ)數(shù)據(jù)。4.1 采集方式因為該平臺面臨政務(wù)網(wǎng)絡(luò)內(nèi)不同單位眾多類型廠商品牌設(shè)備構(gòu)成的多種數(shù)據(jù)來源，每一種數(shù)據(jù)來源的信息都存在較大差異，為了保證平臺能夠獲取全面的數(shù)據(jù)，數(shù)據(jù)采集引擎在獲取原始數(shù)據(jù)時，需要支持如下幾種數(shù)據(jù)采集方式：1、 通過配置實現(xiàn)采集：通過配置采集源的Syslog、SNMP Trap、Socket、ODBC/JDBC、Flow等方式將事件日志、告警信息、性能參數(shù)以及其他相關(guān)數(shù)據(jù)發(fā)送到數(shù)據(jù)采集引擎。2、 通過遠(yuǎn)程登錄方式采集

8、：通過Telnet/SSH等方式，由數(shù)據(jù)采集引擎模擬登錄到系統(tǒng)上獲取事件日志、告警信息、性能參數(shù)以及其他相關(guān)數(shù)據(jù)。3、 安裝代理實現(xiàn)采集：在服務(wù)器上安裝采集引擎代理程序，執(zhí)行后臺采集服務(wù)以及采集腳本，將目標(biāo)系統(tǒng)上的事件日志、告警信息、性能參數(shù)以及各類事件數(shù)據(jù)收集后發(fā)送給數(shù)據(jù)采集引擎。4、定時輪詢采集：數(shù)據(jù)采集引擎通過ICMP、SNMP、ARP來獲取監(jiān)管對象的數(shù)據(jù)。4.2 采集策略數(shù)據(jù)采集引擎，支持靈活定義采集策略，包括如下：1、數(shù)據(jù)采集引擎采用分布式部署方式。因為市電子政務(wù)網(wǎng)絡(luò)具有城域網(wǎng)特點，應(yīng)用電子政務(wù)網(wǎng)絡(luò)的各個政務(wù)單位分布較為分散，為了保證數(shù)據(jù)的獲取不受地理分布的限制，數(shù)據(jù)采集引擎采用分布

9、式部署方式。2、支持動態(tài)采集策略，因為每個數(shù)據(jù)采集引擎所面臨的監(jiān)控對象不同，因此數(shù)據(jù)的來源也會有所區(qū)別，平臺可以為每個數(shù)據(jù)采集引擎配置不同的采集策略，使得每個數(shù)據(jù)采集引擎都可以較為針對的采集相適合的數(shù)據(jù)。4.3 基礎(chǔ)數(shù)據(jù)處理監(jiān)控預(yù)警平臺是一個具有多數(shù)據(jù)源集成體系特點的平臺，平臺需要數(shù)據(jù)訪問的透明性以及實現(xiàn)數(shù)據(jù)源的及時可用性，因此平臺需要設(shè)計一個合理方案，以對來自不同數(shù)據(jù)源的各種數(shù)據(jù)進(jìn)行表示，從而便于進(jìn)行統(tǒng)一處理；其次則應(yīng)考慮異構(gòu)數(shù)據(jù)轉(zhuǎn)換問題，將來自不同數(shù)據(jù)源的各種數(shù)據(jù)轉(zhuǎn)換成集成系統(tǒng)能進(jìn)一步處理的統(tǒng)一格式；另外還必須定義基本運算，進(jìn)行信息數(shù)據(jù)的歸并，從而能夠有效完成數(shù)據(jù)查詢、存取等具體功能。因此

10、數(shù)據(jù)采集引擎在通過一定的協(xié)議或者文件方式采集到大量的原始數(shù)據(jù)后，會對數(shù)據(jù)進(jìn)行如下的處理：1、數(shù)據(jù)格式統(tǒng)一標(biāo)準(zhǔn)化，因為數(shù)據(jù)來源來自多種不同類型的設(shè)備和系統(tǒng)，數(shù)據(jù)采集方式也存在著較大的差異化，導(dǎo)致獲取到的原始數(shù)據(jù)格式是多種多樣的，因此數(shù)據(jù)采集層首先將原始數(shù)據(jù)按照平臺規(guī)定的數(shù)據(jù)格式，進(jìn)行統(tǒng)一標(biāo)準(zhǔn)化處理。2、數(shù)據(jù)歸并，針對海量的原始數(shù)據(jù)，數(shù)據(jù)采集層會按照安全事件的類型、安全事件發(fā)生的時間、安全事件的次數(shù)等條件對原始數(shù)據(jù)進(jìn)行必須的歸并。3、數(shù)據(jù)壓縮，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，勢必會造成網(wǎng)絡(luò)擁擠，影響正常的業(yè)務(wù)應(yīng)用。為了保證網(wǎng)絡(luò)傳輸?shù)臅惩ǎ瑪?shù)據(jù)采集層對原始數(shù)據(jù)一定的壓縮處理，再提交到數(shù)據(jù)傳輸接口。4、數(shù)

11、據(jù)傳輸，此為數(shù)據(jù)采集層向數(shù)據(jù)處理層提交數(shù)據(jù)的傳輸接口。五、 數(shù)據(jù)處理層數(shù)據(jù)采集引擎將標(biāo)準(zhǔn)化和歸并后的安全告警數(shù)據(jù)、性能數(shù)據(jù)、配置數(shù)據(jù)、故障數(shù)據(jù)等信息提交給平臺的核心數(shù)據(jù)處理系統(tǒng)后，核心數(shù)據(jù)處理系統(tǒng)能夠有效識別各類數(shù)據(jù)，并將不同的數(shù)據(jù)分發(fā)給不同的數(shù)據(jù)處理子系統(tǒng)進(jìn)行處理，防止同一數(shù)據(jù)被不同的數(shù)據(jù)處理子系統(tǒng)分別處理。我們將原始數(shù)據(jù)分為三類：業(yè)務(wù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)和安全數(shù)據(jù)，因此數(shù)據(jù)處理平臺設(shè)計了如下三個數(shù)據(jù)處理子系統(tǒng)：1、業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)；2、網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)；3、安全數(shù)據(jù)處理子系統(tǒng)。5.1 業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的來源，主要是：業(yè)務(wù)系統(tǒng)、日志服務(wù)器等。數(shù)據(jù)采集平臺通過程序接口訪

12、問業(yè)務(wù)系統(tǒng)獲取主要監(jiān)測數(shù)據(jù)，提交給數(shù)據(jù)處理平臺后，數(shù)據(jù)處理平臺進(jìn)行初步判斷，檢測為業(yè)務(wù)系統(tǒng)數(shù)據(jù)，會自動提交給業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)。在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)中，我們又將數(shù)據(jù)進(jìn)行了一定的分門別類，具體類別如下：1、操作系統(tǒng)數(shù)據(jù)；2、數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)；3、中間件系統(tǒng)數(shù)據(jù)。業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)定期自動向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)。業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在進(jìn)行數(shù)據(jù)處理時，一旦檢測到各種異常，就會生成特定安全事件，并隨時輸出到安全數(shù)據(jù)處理子系統(tǒng)，作為安全數(shù)據(jù)處理子系統(tǒng)的數(shù)據(jù)來源之一。5.1.1 操作系統(tǒng)數(shù)據(jù)處理 業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獲取到操作系統(tǒng)數(shù)據(jù)后，會根據(jù)不同操作系統(tǒng)的特性，對數(shù)據(jù)進(jìn)行一定的處理

13、。平臺所支持的操作系統(tǒng)類型，至少包括：Windows2000/2003服務(wù)器系統(tǒng)、Linux服務(wù)器系統(tǒng)、IBM AIX服務(wù)器系統(tǒng)、SUN Solaris服務(wù)器系統(tǒng)、HP UNIX服務(wù)器系統(tǒng)、Tru64服務(wù)器系統(tǒng)等。操作系統(tǒng)數(shù)據(jù)處理的內(nèi)容，如下表所示：序號類別描述1基本信息整理操作系統(tǒng)所屬主機名稱、網(wǎng)絡(luò)接口數(shù)量，每個接口的IP地址/MAC地址、子網(wǎng)掩碼等；最近24小時內(nèi)主機操作系統(tǒng)連接狀態(tài)的統(tǒng)計分析2CPU靜態(tài)信息整理CPU編號、核心數(shù)、CPU品牌3CPU動態(tài)信息整理記錄時間、CPU使用率4內(nèi)存動態(tài)信息總物理內(nèi)存、可用物理內(nèi)存、總虛擬內(nèi)存、可用虛擬內(nèi)存、總頁面文件大小、可用頁面文件大小、記錄時間

14、、內(nèi)存使用率5系統(tǒng)進(jìn)程動態(tài)信息進(jìn)程ID、使用用戶、映像名稱、CPU使用率、內(nèi)存、記錄時間6硬盤動態(tài)信息掛載點、類型、總大小、可用大小、文件系統(tǒng)類別、硬盤IO、記錄時間7性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個操作系統(tǒng)的CPU使用率、內(nèi)存使用率、硬盤空間使用率等性能指標(biāo)超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。8故障事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個主機設(shè)備由UP狀態(tài)轉(zhuǎn)換為DOWN狀態(tài)等，會自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。5.1.2 數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)處理業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獲取到數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)后，會根據(jù)不同的數(shù)據(jù)庫系統(tǒng)特性，對數(shù)據(jù)進(jìn)行一定的處理。平

15、臺所支持的數(shù)據(jù)庫系統(tǒng)類型，至少包括： DB2、Oracle、SQL Server、MYSQL等。數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)處理內(nèi)容，如下表所示：序號類別描述1基本信息整理數(shù)據(jù)庫名稱、數(shù)據(jù)路徑、基本目錄、數(shù)據(jù)庫版本、字符集、配置的臨時表大小、臨時表目錄、更新時間2數(shù)據(jù)表信息表的名稱、行的格式、行數(shù)、索引長度、表的類型、當(dāng)前大小、擴展大小、表創(chuàng)建時間、表更新時間、更新時間等信息3緩存信息創(chuàng)建的臨時文件數(shù)目、創(chuàng)建的臨時表數(shù)目、在查詢緩存中的空閑內(nèi)存塊數(shù)量、查詢緩存中空閑內(nèi)存數(shù)量、查詢緩沖的請求命中率、添加到插敘緩存中的查詢數(shù)量、由于低內(nèi)存而從查詢緩存中刪除的查詢數(shù)量、注冊在查詢緩存中的查詢請求數(shù)量、在插敘緩存中

16、塊的總數(shù)目、使用內(nèi)存大小、打開表的數(shù)量、打開過的表的數(shù)量、表緩存配置數(shù)、更新時間等信息4線程信息緩存中的線程數(shù)、為處理遠(yuǎn)程連接請求創(chuàng)建的線程總數(shù)、當(dāng)前打開的連接數(shù)、處于非睡眠狀態(tài)的線程數(shù)、更新時間等信息5鎖信息表的直接鎖定次數(shù)、鎖等待的次數(shù)、更新時間等信息6頁和行鎖信息數(shù)據(jù)的頁數(shù)量、臟頁數(shù)目、緩沖池中頁刷新請求數(shù)目、空閑頁的數(shù)量、頁緩存池的大小、頁的大小、當(dāng)前被等待的行鎖的數(shù)量、共計消耗在獲取行鎖上的時間、為獲取行鎖平均等待時間、更新時間等信息7性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個數(shù)據(jù)庫系統(tǒng)的表空間使用率、連接數(shù)使用率等性能指標(biāo)超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)處理子

17、系統(tǒng)。8故障事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個數(shù)據(jù)庫系統(tǒng)的實例未啟動、連接服務(wù)未啟動、數(shù)據(jù)庫關(guān)閉、數(shù)據(jù)庫歸檔日志已滿、數(shù)據(jù)庫連接數(shù)已滿等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。5.1.3 應(yīng)用系統(tǒng)數(shù)據(jù)處理 業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獲取到應(yīng)用系統(tǒng)數(shù)據(jù)后，會根據(jù)不同的應(yīng)用系統(tǒng)特性，對數(shù)據(jù)進(jìn)行一定的處理。平臺能夠支持應(yīng)用系統(tǒng)類型，至少包括：IBM Websphere、Apache Tomcat、Microsoft IIS等。應(yīng)用系統(tǒng)數(shù)據(jù)處理的內(nèi)容，如下表所示：序號類別描述1基本信息整理應(yīng)用系統(tǒng)類型、應(yīng)用系統(tǒng)版本信息、應(yīng)用系統(tǒng)健康度，即統(tǒng)計24小時內(nèi)應(yīng)用系統(tǒng)的啟用狀態(tài)2會話動態(tài)信息

18、會話類型、會話名稱、創(chuàng)建的會話數(shù)、失效的會話數(shù)、平均會話生存期、請求當(dāng)前訪問的會話總數(shù)、當(dāng)前存活的會話總數(shù)、無法處理的新會話請求次數(shù)、被強制逐出高速緩存的會話對象數(shù)、從持久性存儲讀會話數(shù)據(jù)花費的時間、從持久性存儲讀取的會話數(shù)據(jù)大小、從持久性存儲寫會話數(shù)據(jù)花費的時間、寫到持久性存儲的會話數(shù)據(jù)大小、中斷的 HTTP 會話親緣關(guān)系數(shù)、前一個和當(dāng)前訪問時間戳記的時間之差、超時失效的會話數(shù)、不再存在的會話的請求數(shù)、會話級會話對象的平均大小、記錄時間3進(jìn)程池動態(tài)信息名稱、類型、高范圍、低范圍、當(dāng)前、高水位、低水位、并發(fā)活動或池中線程狀態(tài)、記錄時間4JDBC連接池動態(tài)信息名稱、類型、創(chuàng)建連接的總數(shù)、已關(guān)閉的

19、連接的總數(shù)、分配的連接的總數(shù)、返回到池的連接的總數(shù)、連接池的大小、池中的空閑連接數(shù)、等待連接的平均并發(fā)線程數(shù)、池中的連接超時數(shù)、正在使用的池的平均百分率、使用連接的平均時間、在允許連接之前的平均等待時間、因為高速緩存已滿而廢棄的語句數(shù)、記錄時間5事務(wù)數(shù)動態(tài)信息在服務(wù)器上開始的全局事務(wù)數(shù)、在服務(wù)器上已開始的本地事務(wù)數(shù)、并發(fā)活動的全局事務(wù)數(shù)、已落實的全局事務(wù)的個數(shù)、回滾的全局事務(wù)數(shù)、超時的全局事務(wù)數(shù)、超時的本地事務(wù)數(shù)、記錄時間6事務(wù)的平均持續(xù)時間平均時間、最小時間、最大時間、總大小、數(shù)量、總和、全局或本地狀態(tài)、記錄時間7JVM動態(tài)信息高水位、低水位、當(dāng)前、低范圍、高范圍、Java 虛擬機運行時中的

20、空閑內(nèi)存、Java 虛擬機運行時中使用的內(nèi)存容量、Java 虛擬機已經(jīng)運行的時間數(shù)、Java 虛擬機的 CPU 使用情況、記錄時間8EJB動態(tài)信息創(chuàng)建bean的次數(shù)、除去 bean 的次數(shù)、處于就緒狀態(tài)的bean實例的個數(shù)、并發(fā)存活的bean的平均數(shù)、調(diào)用 bean 遠(yuǎn)程方法的次數(shù)、遠(yuǎn)程方法的平均響應(yīng)時間、將對象返回到池的調(diào)用次數(shù)、由于池已滿而放棄正在返回的對象的次數(shù)、池中對象的平均數(shù)、傳遞到 bean 的 onMessage 方法的消息數(shù)、處于鈍化狀態(tài)的 bean 的個數(shù)、處于就緒狀態(tài)的 bean 實例的個數(shù)、記錄時間9性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個應(yīng)用系統(tǒng)的會話數(shù)、JDBC連接

21、數(shù)、事務(wù)數(shù)、事務(wù)的平均持續(xù)時間等性能指標(biāo)超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)10故障事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個應(yīng)用系統(tǒng)的服務(wù)異常停止、業(yè)務(wù)系統(tǒng)不可用等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)5.2 網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)的主要來源是：網(wǎng)絡(luò)設(shè)備。數(shù)據(jù)采集層將原始數(shù)據(jù)提交給數(shù)據(jù)處理層后，數(shù)據(jù)處理層進(jìn)行初步判斷，檢測為網(wǎng)絡(luò)相關(guān)數(shù)據(jù)，會自動提交給網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)定期自動向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)在進(jìn)行數(shù)據(jù)處理時，一旦檢測到各種異常，就會生成特定安全事件，并隨時輸出到安全數(shù)據(jù)處理子系統(tǒng)，作為安全數(shù)據(jù)處理

22、子系統(tǒng)的數(shù)據(jù)來源之一。5.2.1 網(wǎng)絡(luò)拓?fù)渥詣影l(fā)現(xiàn)該子系統(tǒng)提供詳細(xì)的拓?fù)鋱D元數(shù)據(jù)結(jié)構(gòu)，并開放拓?fù)鋽?shù)據(jù)，提交給統(tǒng)一信息庫，供展現(xiàn)層使用。網(wǎng)絡(luò)拓?fù)淠軌蜃顬橹庇^地反映整個網(wǎng)絡(luò)連接狀況。自動發(fā)現(xiàn)是系統(tǒng)拓?fù)渲蟹浅Ｖ匾囊粋€功能，它能夠自動識別設(shè)備類型，包括各種服務(wù)器類型、路由器、交換機、等等，以及它們之間的關(guān)系，并且自動將它們存儲到公用對象庫中對應(yīng)的類中。網(wǎng)絡(luò)管理人員通過圖形管理界面能夠直觀的查詢網(wǎng)絡(luò)拓?fù)潢P(guān)系。網(wǎng)絡(luò)拓?fù)渥詣影l(fā)現(xiàn)，有三種實現(xiàn)協(xié)議：包括ICMP、SNMP、CDP、其中ICMP主要用于發(fā)現(xiàn)網(wǎng)絡(luò)的主機節(jié)點，其耗時較長，而SNMP和CDP主要是用來搜索網(wǎng)絡(luò)內(nèi)的路由器、交換機等網(wǎng)絡(luò)設(shè)備。本方案會綜合

23、使用上述三種協(xié)議來自動發(fā)現(xiàn)和生成電子政務(wù)網(wǎng)絡(luò)拓?fù)?、監(jiān)控預(yù)警平臺自身的網(wǎng)絡(luò)拓?fù)洹?.2.2 網(wǎng)絡(luò)設(shè)備監(jiān)控數(shù)據(jù)采集平臺通過SNMP數(shù)據(jù)采集方式，采集網(wǎng)絡(luò)設(shè)備的MIB數(shù)據(jù)，實時監(jiān)控網(wǎng)絡(luò)設(shè)備的運行情況。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)在獲取到網(wǎng)絡(luò)數(shù)據(jù)后，會根據(jù)不同的網(wǎng)絡(luò)設(shè)備特性，對數(shù)據(jù)進(jìn)行一定的處理。網(wǎng)絡(luò)設(shè)備類型至少能夠支持：CISCO、華為、Juniper、Foundry等。網(wǎng)絡(luò)數(shù)據(jù)處理內(nèi)容包括：1、基本信息整理：網(wǎng)絡(luò)接口數(shù)量，每個接口的IP地址/MAC地址等；2、接口信息：接口索引、接口類型、接口描述、接口速率、工作狀態(tài)、管理狀態(tài)、接口總流量、入口流量、出口流量；在網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)檢測到某個網(wǎng)絡(luò)設(shè)備的CPU使

24、用率、內(nèi)存使用率、接口流量等性能指標(biāo)超過特定閥值時，會自動生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。在網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)檢測到某個網(wǎng)絡(luò)設(shè)備的設(shè)備停機、接口不通等異常時，自動生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。 工單的來源 1、 安全數(shù)據(jù)處理子系統(tǒng)經(jīng)過對安全數(shù)據(jù)的分析后，生成的安全事件；2、 業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件；3、 網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件； 與知識庫系統(tǒng)關(guān)聯(lián)安全事件處理與知識庫關(guān)聯(lián)。1、安全監(jiān)控人員在準(zhǔn)備處理工單之前，可以根據(jù)內(nèi)容的關(guān)鍵字信息到知識庫系統(tǒng)中查詢符合該事件類型的相關(guān)內(nèi)容，包括：事件原因分析、事件處理步驟、事件總結(jié)等，獲得相

25、應(yīng)的處理經(jīng)驗。2、安全監(jiān)控人員在處理完畢工單后，可以將與此工單相關(guān)的詳細(xì)內(nèi)容，如：事件原因分析、事件處理步驟、事件總結(jié)等生成相關(guān)案例，保存到知識庫中，為其他人處理類似事件提供經(jīng)驗共享。 工單執(zhí)行和監(jiān)控流程當(dāng)平臺發(fā)現(xiàn)有真實安全事件時，根據(jù)預(yù)先制定的工單處理流程，平臺會自動生成安全事件處理工單，此時不需要人工干預(yù)，系統(tǒng)自動調(diào)用服務(wù)程序通過聲音、圖形、短信、郵件、代理程序等方式及時通知負(fù)責(zé)處理此安全事件工單的監(jiān)控人員。此時也啟動安全事件進(jìn)入其相應(yīng)的處理流程。工單的執(zhí)行和監(jiān)控流程具有下列特征：1、工單具有一定的時限性，必須在規(guī)定的時限內(nèi)處理完畢，如果在規(guī)定的時間內(nèi)未被及時處理，系統(tǒng)會自動修改工單狀態(tài)，

26、并自動向相關(guān)人員發(fā)送超時通知；2、當(dāng)某個工單不能被此工單相關(guān)的監(jiān)控人員正確處理時（因為技術(shù)人員水平或者時間的原因），可提前終止對工單的處理，并說明終止工單的原因。安全監(jiān)督人員負(fù)責(zé)核實終止原因，同時將工單重新派發(fā)給其他監(jiān)控人員，以充分保證工單能夠被正常處理；3、安全監(jiān)督人員可隨時監(jiān)督工單生成進(jìn)程和處理進(jìn)程，如：系統(tǒng)目前有多少待處理的工單，有多少正在處理中，多少已經(jīng)處理完畢。4、系統(tǒng)自動記錄每個工單從生成，到接受處理，到處理完畢，以及處理確認(rèn)的全部過程，此記錄過程成為考核監(jiān)控人員的依據(jù)。5.3.4 風(fēng)險管理 風(fēng)險計算風(fēng)險管理以監(jiān)控對象為基礎(chǔ)，通過獲取統(tǒng)一信息庫中監(jiān)控對象的配置數(shù)據(jù)，對監(jiān)控對象價值、

27、安全威脅因素關(guān)聯(lián)后計算監(jiān)控對象的風(fēng)險值，并對監(jiān)控對象的風(fēng)險實現(xiàn)動態(tài)的監(jiān)控。假設(shè)風(fēng)險計算公式（可根椐實際情況進(jìn)行調(diào)整）為：風(fēng)險值f（監(jiān)控對象價值，威脅可能性）；通過風(fēng)險分析得到的風(fēng)險狀況為一個數(shù)字，不同的取值范圍決定了不同的風(fēng)險級別，風(fēng)險級別劃分為五個等級：等級符號對應(yīng)的典型安全狀況取值范圍5VH（很高）風(fēng)險很高，導(dǎo)致系統(tǒng)受到非常嚴(yán)重影響的可能性很大1001254H（高）風(fēng)險高，導(dǎo)致系統(tǒng)受到嚴(yán)重影響的可能性較大75993M（中）風(fēng)險中，導(dǎo)致系統(tǒng)受到影響的可能性較大50742L（低）風(fēng)險低，導(dǎo)致系統(tǒng)受到影響的可能性較小25491VL（很低）風(fēng)險很低，導(dǎo)致系統(tǒng)受到影響的可能性很小024為確保安全風(fēng)險

28、管理符合監(jiān)控預(yù)警平臺的監(jiān)控深度以及相關(guān)要求，可根據(jù)實際現(xiàn)狀和監(jiān)控對象提出詳細(xì)的風(fēng)險計算方式，并能夠在后續(xù)的實施過程中進(jìn)行重新設(shè)計和二次改造。 風(fēng)險的動態(tài)監(jiān)控1、 當(dāng)安全事件更新后，對應(yīng)的監(jiān)控對象的風(fēng)險被更新。2、 當(dāng)故障事件更新后，對應(yīng)的監(jiān)控對象的風(fēng)險被更新。3、 當(dāng)故障事件更新后，對應(yīng)的監(jiān)控對象的風(fēng)險被更新。4、 當(dāng)監(jiān)控對象發(fā)生某些可能對風(fēng)險有影響的變化后，對應(yīng)的監(jiān)控對象的風(fēng)險被更新。六、 展示平臺6.1 安全監(jiān)控展示6.1.1 分級進(jìn)行展示分級展示電子政務(wù)網(wǎng)絡(luò)的安全狀態(tài)。以曲線圖方式展示最近一段時間電子政務(wù)網(wǎng)絡(luò)的安全風(fēng)險。層次展示內(nèi)容第一層政務(wù)網(wǎng)絡(luò)整體安全風(fēng)險第二層每類監(jiān)控對象的安全風(fēng)險第

29、三層每個監(jiān)控節(jié)點的安全風(fēng)險第四層每個安全事件的詳細(xì)內(nèi)容6.1.2 按地理位置展示從地理區(qū)域上看，本市目前包含近10個區(qū)縣，而本平臺所監(jiān)控的四類監(jiān)控對象則較為分散地分布在不同的區(qū)縣，因此本平臺提供按照實際地理位置展示安全風(fēng)險的功能。本平臺以本市地圖作為地理位置展示的基礎(chǔ)圖，將每個監(jiān)控對象：政務(wù)外網(wǎng)每個匯聚節(jié)點、每個政務(wù)用戶互聯(lián)網(wǎng)接入節(jié)點、每個重要信息系統(tǒng)、每個網(wǎng)站的所在地理位置在基礎(chǔ)題上實際標(biāo)識出來。不同類型的監(jiān)控對象用不同形狀標(biāo)注，如下表所示：不同級別的安全風(fēng)險用不同顏色標(biāo)注，如下表所示：當(dāng)鼠標(biāo)放置到某個監(jiān)控對象上時，能夠顯示此監(jiān)控對象的相關(guān)屬性：監(jiān)控對象的類別、監(jiān)控對象的風(fēng)險值、監(jiān)控對象最近

30、發(fā)生的事件總數(shù)等。當(dāng)點擊某個監(jiān)控對象時，能夠顯示此監(jiān)控對象的所有詳細(xì)信息，包括此監(jiān)控對象的基本屬性、安全事件列表、故障事件列表、性能事件列表等。當(dāng)點擊任何一個安全事件，能夠看到安全事件的原始數(shù)據(jù)信息。當(dāng)點擊地理位置上的某類監(jiān)控對象時，會進(jìn)入到按監(jiān)控對象類別展示界面。當(dāng)點擊地理位置行的某級別風(fēng)險時，會進(jìn)入到按風(fēng)險級別展示界面。6.1.3 按網(wǎng)絡(luò)拓?fù)湔故揪W(wǎng)絡(luò)拓?fù)鋵ο蟀ǎ赫?wù)外網(wǎng)網(wǎng)絡(luò)拓?fù)?、政?wù)用戶互聯(lián)網(wǎng)接入網(wǎng)絡(luò)拓?fù)?、重要信息系統(tǒng)網(wǎng)絡(luò)拓?fù)?、政?wù)網(wǎng)站網(wǎng)絡(luò)拓?fù)?。選擇其中一個網(wǎng)絡(luò)拓?fù)鋵ο?，展示層會完整展示其相?yīng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。每個監(jiān)控對象在網(wǎng)絡(luò)拓?fù)渖隙加袑?yīng)的位置，并且每個監(jiān)控對象用不同的顏色（或者不同的

31、圖標(biāo)）來標(biāo)注此監(jiān)控對象的安全風(fēng)險。 當(dāng)鼠標(biāo)放置到某個監(jiān)控對象上時，能夠顯示此監(jiān)控對象的相關(guān)屬性：監(jiān)控對象的類別、監(jiān)控對象的風(fēng)險值、監(jiān)控對象最近發(fā)生的事件總數(shù)等。當(dāng)點擊某個監(jiān)控對象時，能夠顯示此監(jiān)控對象的所有詳細(xì)信息，包括此監(jiān)控對象的基本屬性、安全事件列表、故障事件列表、性能事件列表等。當(dāng)點擊某級別安全風(fēng)險時，能夠按照級別來查看安全事件、故障事件、性能事件等。當(dāng)點擊任何一個安全事件，能夠看到此事件的原始數(shù)據(jù)信息。6.1.4 按監(jiān)控對象類別展示監(jiān)控對象類別包括：政務(wù)外網(wǎng)、政務(wù)用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)網(wǎng)絡(luò)拓?fù)洹⒄?wù)網(wǎng)站四個類別。選擇其中一類監(jiān)控對象，如：政務(wù)外網(wǎng)，平臺會展示政務(wù)外網(wǎng)33個匯聚節(jié)點

32、的安全風(fēng)險狀況：1、最近一段時間內(nèi)，整體政務(wù)外網(wǎng)的安全風(fēng)險狀況。2、整個政務(wù)外網(wǎng)最新的TOP N個安全事件。3、整個政務(wù)外網(wǎng)發(fā)生安全事件頻率最多的TOP N個匯聚節(jié)點。4、按照級別展示政務(wù)外網(wǎng)所有安全事件。點擊某個具體的監(jiān)控對象時，如：政務(wù)外網(wǎng)的其中一個匯聚節(jié)點，會展示此匯聚節(jié)點的安全風(fēng)險狀況。1、 最近一段時間內(nèi)，此匯聚節(jié)點的安全風(fēng)險狀況。2、此匯聚節(jié)點所有的安全事件（分頁顯示）。6.1.5 按風(fēng)險級別展示假設(shè)風(fēng)險級別包括：很高、高、中、低、很低五個級別。 6.1.6 事件詳細(xì)展示展示每個安全事件、故障事件、性能事件的詳細(xì)內(nèi)容，如下表所示：6.2 綜合運維管理6.2.1 監(jiān)控對象管理平臺具備

33、建立監(jiān)控對象的信息庫，能統(tǒng)一管理監(jiān)控對象的各種屬性識別、賦值、建檔等活動。要求：1、定義規(guī)范的監(jiān)控分類、賦值等信息。2、提供通過信息輸入界面手工輸入、維護(hù)監(jiān)控對象的手段。3、提供符合標(biāo)準(zhǔn)格式的文件（如Excel、XML等）導(dǎo)入監(jiān)控對象的手段。4、實現(xiàn)監(jiān)控對象編碼。 監(jiān)控對象分類監(jiān)控對象的類別，如下表所示： 序號類別說明1政務(wù)外網(wǎng)2政務(wù)用戶互聯(lián)網(wǎng)接入3重要信息系統(tǒng)4政務(wù)網(wǎng)站 監(jiān)控對象建檔屬性名說明編號唯一標(biāo)識監(jiān)控對象的編號監(jiān)控對象名監(jiān)控對象名稱類型監(jiān)控對象類型管理部門監(jiān)控對象由哪個部門負(fù)責(zé)管理管理員對該監(jiān)控對象具有管理責(zé)任的管理員姓名以及聯(lián)系方式（包括電話和郵箱地址）等物理地址監(jiān)控對象的物理安置

34、地點IP地址監(jiān)控對象主要IP地址操作系統(tǒng)操作系統(tǒng)的名稱及版本價值監(jiān)控對象價值，針對本平臺，所有監(jiān)控對象的價值都較高接口數(shù)量監(jiān)控對象的接口數(shù)量負(fù)責(zé)人監(jiān)控對象負(fù)責(zé)人監(jiān)控對象關(guān)注人監(jiān)控對象上存在的漏洞端口監(jiān)控對象的端口開放情況（如果有）6.2.2 安全策略管理安全策略管理負(fù)責(zé)指導(dǎo)平臺的運轉(zhuǎn)。安全策略管理分為：日志采集策略、安全信息分析策略、安全事件處理策略等。該策略模塊中的所有策略均支持多維度的查詢。日志采集策略針對不同的數(shù)據(jù)采集引擎可以配置不同的采集策略。數(shù)據(jù)采集策略可定制的內(nèi)容包含：日志信息來源、日志信息等級。安全信息分析策略安全信息分析策略是關(guān)聯(lián)分析的展示接口，當(dāng)關(guān)聯(lián)分析的所有條件匹配成功，則

35、生成一條安全事件。安全信息分析策略中，可定制的內(nèi)容如下表所示：屬性名說明發(fā)生源IP發(fā)送安全信息的設(shè)備IP地址，比如：如果是入侵檢測系統(tǒng)發(fā)出了一條SYSLOG信息，則“發(fā)生源IP”就指該入侵檢測系統(tǒng)的IP地址源IP安全事件的源IP。比如機器A向機器B發(fā)出攻擊信息，“源IP”就指機器A的IP地址源端口安全事件的源端口目的IP安全事件的目的IP，如在上例中，指機器B的IP地址目的端口安全事件的目的端口協(xié)議網(wǎng)絡(luò)訪問行為所使用的協(xié)議安全信息描述是對設(shè)置的源IP通過設(shè)置的端口訪問指定的IP段時使用的安全信息描述安全信息類型產(chǎn)生的安全信息中的類型安全信息名稱指產(chǎn)生的安全信息中的名稱訪問時間段對設(shè)置的源IP通

36、過設(shè)置的端口訪問指定的IP段時的起始時間限制Bugtraq編號國際上通用的標(biāo)識Bugtraq的庫CVE編號國際上通用的標(biāo)識CVE的庫安全信息來源數(shù)據(jù)采集引擎IP地址源MAC安全事件的源MAC地址目的MAC安全事件的目的MAC地址時間間隔指定了策略的時間范圍，單位為秒安全事件次數(shù)表示在設(shè)定的“時間間隔”內(nèi)，此條策略匹配多少次才產(chǎn)生一條安全事件，實現(xiàn)安全事件的歸并安全事件處理策略安全事件處理策略用于制定安全事件處理的流程策略。安全事件處理策略中，可定制的內(nèi)容如下表所示：屬性名說明工作流模板系統(tǒng)內(nèi)置了多種工作流模板以對應(yīng)不同的安全事件，可隨意選擇內(nèi)置的模板處理時限安全事件必須處理的時間限制通知方式Email和即時通知當(dāng)選擇“E-mail”時，則按照所選工作流模板中指定的管理員E-mail地址，將處理安全事件通知發(fā)給相應(yīng)的管理員；當(dāng)選擇“即時通知”時，則按照工作流模板中指定的管理員，將處理安全事件通知發(fā)給相應(yīng)的管理員優(yōu)先級安全事件的級別危害安全事件的危害備注其他補充信息6.2.3 綜合報表管理 監(jiān)控對象報表監(jiān)控對象報表類型包括：1、監(jiān)控對象安全事件TOP N（年報表、半年報表、季報表、月報表、周報表）；2、監(jiān)控對象安全風(fēng)險趨勢（月報表、周報表、日報表）。 安全事件報表監(jiān)控對象報表類型包括：1、安全事件類型TOP N（年報表、半年報表、季報表、月報表、