市電子政務(wù)監(jiān)控預(yù)警平臺(tái)建設(shè)策劃方案

1、某市電子政務(wù)監(jiān)控預(yù)警平臺(tái)建設(shè)方案一、 方案概述1.1 方案建設(shè)目標(biāo)某市電子政務(wù)網(wǎng)絡(luò)由全市各個(gè)委辦局單位網(wǎng)絡(luò)接入組成，由于接入單位眾多且各自單位信息安全建設(shè)水平參差不齊，經(jīng)常造成內(nèi)部網(wǎng)絡(luò)病毒和異常安全事件發(fā)生。考慮到電子政務(wù)網(wǎng)絡(luò)實(shí)際組成和規(guī)模情況，東軟設(shè)計(jì)出全市電子政務(wù)監(jiān)控預(yù)警平臺(tái)（以下稱“監(jiān)控預(yù)警平臺(tái)”）的要緊目標(biāo)是基于電子政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)在安全保障以及監(jiān)管信息系統(tǒng)建設(shè)方面所面臨的形式和問題，研發(fā)一套綜合的風(fēng)險(xiǎn)預(yù)警平臺(tái)，進(jìn)一步加強(qiáng)電子政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)的監(jiān)管力度，總體把握市政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況，提高各政務(wù)單位在應(yīng)對突發(fā)網(wǎng)絡(luò)攻擊事件的應(yīng)急響應(yīng)能力和風(fēng)險(xiǎn)預(yù)警能力，從而有力地支撐市政務(wù)

2、網(wǎng)絡(luò)和信息系統(tǒng)的穩(wěn)定運(yùn)行。1.2 方案設(shè)計(jì)原則考慮到本平臺(tái)最終為全市的政務(wù)單位進(jìn)行統(tǒng)一服務(wù)，在本方案設(shè)計(jì)中，我們遵循了以下的原則：先進(jìn)性原則提出最新的安全監(jiān)控預(yù)警平臺(tái)的概念，將安全監(jiān)控和安全技術(shù)有效銜接，并依照電子政務(wù)業(yè)務(wù)需求，與業(yè)務(wù)網(wǎng)絡(luò)深入結(jié)合，從而保證系統(tǒng)的先進(jìn)性，以適應(yīng)以后數(shù)據(jù)進(jìn)展的需要。整體安全和全網(wǎng)統(tǒng)一的原則該平臺(tái)的系統(tǒng)設(shè)計(jì)從完整安全體系結(jié)構(gòu)動(dòng)身，綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個(gè)環(huán)節(jié)，綜合使用不同層次的技術(shù)和理論，為信息網(wǎng)絡(luò)運(yùn)行和業(yè)務(wù)安全提供全方位的監(jiān)控和服務(wù)。標(biāo)準(zhǔn)化原則參考國內(nèi)外權(quán)威的安全技術(shù)與治理體系的相關(guān)標(biāo)準(zhǔn)進(jìn)行方案的設(shè)計(jì)和技術(shù)的選擇。整個(gè)系統(tǒng)安全地互聯(lián)互通。技術(shù)和治理相結(jié)合原

3、則整個(gè)平臺(tái)結(jié)合了安全技術(shù)與監(jiān)控治理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度等內(nèi)容?？蓴U(kuò)展性原則為方便滿足網(wǎng)絡(luò)規(guī)模和安全功能的擴(kuò)展，本設(shè)計(jì)方案考慮了網(wǎng)絡(luò)新技術(shù)和業(yè)務(wù)進(jìn)展的擴(kuò)充要求，以及市電子政務(wù)網(wǎng)絡(luò)自身的特點(diǎn)，本方案所設(shè)計(jì)的平臺(tái)系統(tǒng)具有靈活的擴(kuò)展能力，能夠隨著各個(gè)監(jiān)控節(jié)點(diǎn)，隨著平臺(tái)的功能擴(kuò)展進(jìn)行靈活的擴(kuò)展。同時(shí)平臺(tái)具備定期升級，不中斷業(yè)務(wù)應(yīng)用服務(wù)的能力。開放性原則該平臺(tái)的運(yùn)行需要與多種設(shè)備協(xié)調(diào)，如：主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等等，該平臺(tái)提供了一定的開放性以適應(yīng)與相關(guān)設(shè)備和系統(tǒng)的適應(yīng)。1.3 方案設(shè)計(jì)思路電子政務(wù)網(wǎng)絡(luò)監(jiān)控預(yù)警平臺(tái)，以分布式方式采集來自于電子政務(wù)網(wǎng)絡(luò)的各個(gè)相關(guān)設(shè)備的日志

4、信息和告警事件信息，通過智能的關(guān)聯(lián)分析后，準(zhǔn)確推斷真實(shí)的安全事件，快速定位安全事件的來源，分析安全事件的全然緣故，集中展示市電子政務(wù)網(wǎng)絡(luò)的整體安全狀況。一旦發(fā)覺高風(fēng)險(xiǎn)安全事件，自動(dòng)觸發(fā)安全事件處理流程，督促相關(guān)責(zé)任人進(jìn)行快速解決問題和故障。1、監(jiān)控對象定位：電子政務(wù)外網(wǎng)、政務(wù)用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、政務(wù)網(wǎng)站等等。2、日志信息的來源：電子政務(wù)外網(wǎng)匯聚節(jié)點(diǎn)或者接入節(jié)點(diǎn)的安全設(shè)備、政務(wù)用戶互聯(lián)網(wǎng)接入節(jié)點(diǎn)的安全設(shè)備、重要信息系統(tǒng)邊界部署的安全設(shè)備、重要信息系統(tǒng)自身、政務(wù)網(wǎng)站邊界部署的安全設(shè)備等等。3、由專用的數(shù)據(jù)采集引擎負(fù)責(zé)數(shù)據(jù)采集，數(shù)據(jù)采集引擎采納分布式部署。4、展示平臺(tái)具有多元化、分層次等展

5、示形態(tài)。二、 電子政務(wù)網(wǎng)絡(luò)監(jiān)控預(yù)警平臺(tái)體系架構(gòu)為了充分滿足電子政務(wù)網(wǎng)絡(luò)的部署現(xiàn)狀，本方案所設(shè)計(jì)的監(jiān)控預(yù)警平臺(tái)從體系架構(gòu)上可分為：IT基礎(chǔ)層、數(shù)據(jù)采集層、數(shù)據(jù)處理層、展示層四個(gè)層面，各個(gè)層面包括了多個(gè)功能模塊或子系統(tǒng)。該平臺(tái)的整體架構(gòu)示意圖如下：1、IT基礎(chǔ)層為監(jiān)控預(yù)警平臺(tái)的數(shù)據(jù)獵取來源。 2、數(shù)據(jù)采集層：依照平臺(tái)指定的運(yùn)維策略，數(shù)據(jù)采集層負(fù)責(zé)從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器等采集各種安全信息、日志信息、流量信息，通過數(shù)據(jù)格式標(biāo)準(zhǔn)化、數(shù)據(jù)歸并、數(shù)據(jù)壓縮等處理后，提交給上層數(shù)據(jù)處理平臺(tái)。3、數(shù)據(jù)處理層：將采集到的原始數(shù)據(jù)按照業(yè)務(wù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、安全數(shù)據(jù)進(jìn)行分門不類，通過基于統(tǒng)計(jì)、基于資產(chǎn)

6、、基于規(guī)則的關(guān)聯(lián)分析后，科學(xué)合理的定義安全事件的性質(zhì)和處理級不，作為展示平臺(tái)的數(shù)據(jù)基礎(chǔ)。4、展示層：實(shí)現(xiàn)整個(gè)平臺(tái)的靈活展示和配置治理。一方面通過豐富的圖形化展示方式呈現(xiàn)電子政務(wù)網(wǎng)絡(luò)、政務(wù)用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)、網(wǎng)站等安全狀況，提供有效的安全預(yù)警，減少安全破壞的發(fā)生，降低安全事件所造成的損失；另一方面對整個(gè)監(jiān)控預(yù)警平臺(tái)進(jìn)行配置與維護(hù)。三、 IT基礎(chǔ)層IT基礎(chǔ)層為監(jiān)控預(yù)警平臺(tái)的數(shù)據(jù)獵取來源，至少包括如下范圍：1、網(wǎng)絡(luò)設(shè)備，包括：路由器、交換機(jī)等；2、安全設(shè)備，包括：入侵檢測系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、病毒檢測系統(tǒng)、漏洞掃描系統(tǒng)、防火墻、異常流量檢測系統(tǒng)、網(wǎng)站診斷系統(tǒng)等；3、應(yīng)用系統(tǒng)，包括：主機(jī)操作系

7、統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等；4、服務(wù)器，包括：日志服務(wù)器、網(wǎng)管服務(wù)器等。四、 數(shù)據(jù)采集層數(shù)據(jù)采集層要緊通過數(shù)據(jù)采集引擎來實(shí)現(xiàn)原始數(shù)據(jù)的獵取，為統(tǒng)一的信息庫提供基礎(chǔ)數(shù)據(jù)。4.1 采集方式因?yàn)樵撈脚_(tái)面臨政務(wù)網(wǎng)絡(luò)內(nèi)不同單位眾多類型廠商品牌設(shè)備構(gòu)成的多種數(shù)據(jù)來源，每一種數(shù)據(jù)來源的信息都存在較大差異，為了保證平臺(tái)能夠獵取全面的數(shù)據(jù)，數(shù)據(jù)采集引擎在獵取原始數(shù)據(jù)時(shí)，需要支持如下幾種數(shù)據(jù)采集方式：1、 通過配置實(shí)現(xiàn)采集：通過配置采集源的Syslog、SNMP Trap、Socket、ODBC/JDBC、Flow等方式將事件日志、告警信息、性能參數(shù)以及其他相關(guān)數(shù)據(jù)發(fā)送到數(shù)據(jù)采集引擎。2、 通過遠(yuǎn)程登錄方式采集

8、：通過Telnet/SSH等方式，由數(shù)據(jù)采集引擎模擬登錄到系統(tǒng)上獵取事件日志、告警信息、性能參數(shù)以及其他相關(guān)數(shù)據(jù)。3、 安裝代理實(shí)現(xiàn)采集：在服務(wù)器上安裝采集引擎代理程序，執(zhí)行后臺(tái)采集服務(wù)以及采集腳本，將目標(biāo)系統(tǒng)上的事件日志、告警信息、性能參數(shù)以及各類事件數(shù)據(jù)收集后發(fā)送給數(shù)據(jù)采集引擎。4、定時(shí)輪詢采集：數(shù)據(jù)采集引擎通過ICMP、SNMP、ARP來獵取監(jiān)管對象的數(shù)據(jù)。4.2 采集策略數(shù)據(jù)采集引擎，支持靈活定義采集策略，包括如下：1、數(shù)據(jù)采集引擎采納分布式部署方式。因?yàn)槭须娮诱?wù)網(wǎng)絡(luò)具有城域網(wǎng)特點(diǎn)，應(yīng)用電子政務(wù)網(wǎng)絡(luò)的各個(gè)政務(wù)單位分布較為分散，為了保證數(shù)據(jù)的獵取不受地理分布的限制，數(shù)據(jù)采集引擎采納分布

9、式部署方式。2、支持動(dòng)態(tài)采集策略，因?yàn)槊總€(gè)數(shù)據(jù)采集引擎所面臨的監(jiān)控對象不同，因此數(shù)據(jù)的來源也會(huì)有所區(qū)不，平臺(tái)能夠?yàn)槊總€(gè)數(shù)據(jù)采集引擎配置不同的采集策略，使得每個(gè)數(shù)據(jù)采集引擎都能夠較為針對的采集相適合的數(shù)據(jù)。4.3 基礎(chǔ)數(shù)據(jù)處理監(jiān)控預(yù)警平臺(tái)是一個(gè)具有多數(shù)據(jù)源集成體系特點(diǎn)的平臺(tái)，平臺(tái)需要數(shù)據(jù)訪問的透明性以及實(shí)現(xiàn)數(shù)據(jù)源的及時(shí)可用性，因此平臺(tái)需要設(shè)計(jì)一個(gè)合理方案，以對來自不同數(shù)據(jù)源的各種數(shù)據(jù)進(jìn)行表示，從而便于進(jìn)行統(tǒng)一處理；其次則應(yīng)考慮異構(gòu)數(shù)據(jù)轉(zhuǎn)換問題，今后自不同數(shù)據(jù)源的各種數(shù)據(jù)轉(zhuǎn)換成集成系統(tǒng)能進(jìn)一步處理的統(tǒng)一格式；另外還必須定義差不多運(yùn)算，進(jìn)行信息數(shù)據(jù)的歸并，從而能夠有效完成數(shù)據(jù)查詢、存取等具體功能。因

10、此數(shù)據(jù)采集引擎在通過一定的協(xié)議或者文件方式采集到大量的原始數(shù)據(jù)后，會(huì)對數(shù)據(jù)進(jìn)行如下的處理：1、數(shù)據(jù)格式統(tǒng)一標(biāo)準(zhǔn)化，因?yàn)閿?shù)據(jù)來源來自多種不同類型的設(shè)備和系統(tǒng)，數(shù)據(jù)采集方式也存在著較大的差異化，導(dǎo)致獵取到的原始數(shù)據(jù)格式是多種多樣的，因此數(shù)據(jù)采集層首先將原始數(shù)據(jù)按照平臺(tái)規(guī)定的數(shù)據(jù)格式，進(jìn)行統(tǒng)一標(biāo)準(zhǔn)化處理。2、數(shù)據(jù)歸并，針對海量的原始數(shù)據(jù)，數(shù)據(jù)采集層會(huì)按照安全事件的類型、安全事件發(fā)生的時(shí)刻、安全事件的次數(shù)等條件對原始數(shù)據(jù)進(jìn)行必須的歸并。3、數(shù)據(jù)壓縮，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)，勢必會(huì)造成網(wǎng)絡(luò)擁擠，阻礙正常的業(yè)務(wù)應(yīng)用。為了保證網(wǎng)絡(luò)傳輸?shù)臅惩?，?shù)據(jù)采集層對原始數(shù)據(jù)一定的壓縮處理，再提交到數(shù)據(jù)傳輸接口。4、

11、數(shù)據(jù)傳輸，此為數(shù)據(jù)采集層向數(shù)據(jù)處理層提交數(shù)據(jù)的傳輸接口。五、 數(shù)據(jù)處理層數(shù)據(jù)采集引擎將標(biāo)準(zhǔn)化和歸并后的安全告警數(shù)據(jù)、性能數(shù)據(jù)、配置數(shù)據(jù)、故障數(shù)據(jù)等信息提交給平臺(tái)的核心數(shù)據(jù)處理系統(tǒng)后，核心數(shù)據(jù)處理系統(tǒng)能夠有效識(shí)不各類數(shù)據(jù)，并將不同的數(shù)據(jù)分發(fā)給不同的數(shù)據(jù)處理子系統(tǒng)進(jìn)行處理，防止同一數(shù)據(jù)被不同的數(shù)據(jù)處理子系統(tǒng)分不處理。我們將原始數(shù)據(jù)分為三類：業(yè)務(wù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)和安全數(shù)據(jù)，因此數(shù)據(jù)處理平臺(tái)設(shè)計(jì)了如下三個(gè)數(shù)據(jù)處理子系統(tǒng)：1、業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)；2、網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)；3、安全數(shù)據(jù)處理子系統(tǒng)。5.1 業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的來源，要緊是：業(yè)務(wù)系統(tǒng)、日志服務(wù)器等。數(shù)據(jù)采集平臺(tái)通過程序接口

12、訪問業(yè)務(wù)系統(tǒng)獵取要緊監(jiān)測數(shù)據(jù)，提交給數(shù)據(jù)處理平臺(tái)后，數(shù)據(jù)處理平臺(tái)進(jìn)行初步推斷，檢測為業(yè)務(wù)系統(tǒng)數(shù)據(jù)，會(huì)自動(dòng)提交給業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)。在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)中，我們又將數(shù)據(jù)進(jìn)行了一定的分門不類，具體類不如下：1、操作系統(tǒng)數(shù)據(jù)；2、數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)；3、中間件系統(tǒng)數(shù)據(jù)。業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)定期自動(dòng)向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)。業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在進(jìn)行數(shù)據(jù)處理時(shí)，一旦檢測到各種異常，就會(huì)生成特定安全事件，并隨時(shí)輸出到安全數(shù)據(jù)處理子系統(tǒng)，作為安全數(shù)據(jù)處理子系統(tǒng)的數(shù)據(jù)來源之一。5.1.1 操作系統(tǒng)數(shù)據(jù)處理 業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獵取到操作系統(tǒng)數(shù)據(jù)后，會(huì)依照不同操作系統(tǒng)的特性，對數(shù)據(jù)進(jìn)行一定的處

13、理。平臺(tái)所支持的操作系統(tǒng)類型，至少包括：Windows2000/2003服務(wù)器系統(tǒng)、Linux服務(wù)器系統(tǒng)、IBM AIX服務(wù)器系統(tǒng)、SUN Solaris服務(wù)器系統(tǒng)、HP UNIX服務(wù)器系統(tǒng)、Tru64服務(wù)器系統(tǒng)等。操作系統(tǒng)數(shù)據(jù)處理的內(nèi)容，如下表所示：序號(hào)類不描述1差不多信息整理操作系統(tǒng)所屬主機(jī)名稱、網(wǎng)絡(luò)接口數(shù)量，每個(gè)接口的IP地址/MAC地址、子網(wǎng)掩碼等；最近24小時(shí)內(nèi)主機(jī)操作系統(tǒng)連接狀態(tài)的統(tǒng)計(jì)分析2CPU靜態(tài)信息整理CPU編號(hào)、核心數(shù)、CPU品牌3CPU動(dòng)態(tài)信息整理記錄時(shí)刻、CPU使用率4內(nèi)存動(dòng)態(tài)信息總物理內(nèi)存、可用物理內(nèi)存、總虛擬內(nèi)存、可用虛擬內(nèi)存、總頁面文件大小、可用頁面文件大小、記錄

14、時(shí)刻、內(nèi)存使用率5系統(tǒng)進(jìn)程動(dòng)態(tài)信息進(jìn)程ID、使用用戶、映像名稱、CPU使用率、內(nèi)存、記錄時(shí)刻6硬盤動(dòng)態(tài)信息掛載點(diǎn)、類型、總大小、可用大小、文件系統(tǒng)類不、硬盤IO、記錄時(shí)刻7性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個(gè)操作系統(tǒng)的CPU使用率、內(nèi)存使用率、硬盤空間使用率等性能指標(biāo)超過特定閥值時(shí)，會(huì)自動(dòng)生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。8故障事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個(gè)主機(jī)設(shè)備由UP狀態(tài)轉(zhuǎn)換為DOWN狀態(tài)等，會(huì)自動(dòng)生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。5.1.2 數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)處理業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獵取到數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)后，會(huì)依照不同的數(shù)據(jù)庫系統(tǒng)特性，對數(shù)據(jù)進(jìn)行一定的處理

15、。平臺(tái)所支持的數(shù)據(jù)庫系統(tǒng)類型，至少包括： DB2、Oracle、SQL Server、MYSQL等。數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)處理內(nèi)容，如下表所示：序號(hào)類不描述1差不多信息整理數(shù)據(jù)庫名稱、數(shù)據(jù)路徑、差不多目錄、數(shù)據(jù)庫版本、字符集、配置的臨時(shí)表大小、臨時(shí)表目錄、更新時(shí)刻2數(shù)據(jù)表信息表的名稱、行的格式、行數(shù)、索引長度、表的類型、當(dāng)前大小、擴(kuò)展大小、表創(chuàng)建時(shí)刻、表更新時(shí)刻、更新時(shí)刻等信息3緩存信息創(chuàng)建的臨時(shí)文件數(shù)目、創(chuàng)建的臨時(shí)表數(shù)目、在查詢緩存中的空閑內(nèi)存塊數(shù)量、查詢緩存中空閑內(nèi)存數(shù)量、查詢緩沖的請求命中率、添加到插敘緩存中的查詢數(shù)量、由于低內(nèi)存而從查詢緩存中刪除的查詢數(shù)量、注冊在查詢緩存中的查詢請求數(shù)量、在插

16、敘緩存中塊的總數(shù)目、使用內(nèi)存大小、打開表的數(shù)量、打開過的表的數(shù)量、表緩存配置數(shù)、更新時(shí)刻等信息4線程信息緩存中的線程數(shù)、為處理遠(yuǎn)程連接請求創(chuàng)建的線程總數(shù)、當(dāng)前打開的連接數(shù)、處于非睡眠狀態(tài)的線程數(shù)、更新時(shí)刻等信息5鎖信息表的直接鎖定次數(shù)、鎖等待的次數(shù)、更新時(shí)刻等信息6頁和行鎖信息數(shù)據(jù)的頁數(shù)量、臟頁數(shù)目、緩沖池中頁刷新請求數(shù)目、空閑頁的數(shù)量、頁緩存池的大小、頁的大小、當(dāng)前被等待的行鎖的數(shù)量、共計(jì)消耗在獵取行鎖上的時(shí)刻、為獵取行鎖平均等待時(shí)刻、更新時(shí)刻等信息7性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個(gè)數(shù)據(jù)庫系統(tǒng)的表空間使用率、連接數(shù)使用率等性能指標(biāo)超過特定閥值時(shí)，會(huì)自動(dòng)生成性能事件，隨后提交給安全數(shù)

17、據(jù)處理子系統(tǒng)。8故障事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個(gè)數(shù)據(jù)庫系統(tǒng)的實(shí)例未啟動(dòng)、連接服務(wù)未啟動(dòng)、數(shù)據(jù)庫關(guān)閉、數(shù)據(jù)庫歸檔日志已滿、數(shù)據(jù)庫連接數(shù)已滿等異常時(shí)，自動(dòng)生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。5.1.3 應(yīng)用系統(tǒng)數(shù)據(jù)處理 業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)在獵取到應(yīng)用系統(tǒng)數(shù)據(jù)后，會(huì)依照不同的應(yīng)用系統(tǒng)特性，對數(shù)據(jù)進(jìn)行一定的處理。平臺(tái)能夠支持應(yīng)用系統(tǒng)類型，至少包括：IBM Websphere、Apache Tomcat、Microsoft IIS等。應(yīng)用系統(tǒng)數(shù)據(jù)處理的內(nèi)容，如下表所示：序號(hào)類不描述1差不多信息整理應(yīng)用系統(tǒng)類型、應(yīng)用系統(tǒng)版本信息、應(yīng)用系統(tǒng)健康度，即統(tǒng)計(jì)24小時(shí)內(nèi)應(yīng)用系統(tǒng)的啟用狀態(tài)2會(huì)

18、話動(dòng)態(tài)信息會(huì)話類型、會(huì)話名稱、創(chuàng)建的會(huì)話數(shù)、失效的會(huì)話數(shù)、平均會(huì)話生存期、請求當(dāng)前訪問的會(huì)話總數(shù)、當(dāng)前存活的會(huì)話總數(shù)、無法處理的新會(huì)話請求次數(shù)、被強(qiáng)制逐出高速緩存的會(huì)話對象數(shù)、從持久性存儲(chǔ)讀會(huì)話數(shù)據(jù)花費(fèi)的時(shí)刻、從持久性存儲(chǔ)讀取的會(huì)話數(shù)據(jù)大小、從持久性存儲(chǔ)寫會(huì)話數(shù)據(jù)花費(fèi)的時(shí)刻、寫到持久性存儲(chǔ)的會(huì)話數(shù)據(jù)大小、中斷的 HTTP 會(huì)話親緣關(guān)系數(shù)、前一個(gè)和當(dāng)前訪問時(shí)刻戳記的時(shí)刻之差、超時(shí)失效的會(huì)話數(shù)、不再存在的會(huì)話的請求數(shù)、會(huì)話級會(huì)話對象的平均大小、記錄時(shí)刻3進(jìn)程池動(dòng)態(tài)信息名稱、類型、高范圍、低范圍、當(dāng)前、高水位、低水位、并發(fā)活動(dòng)或池中線程狀態(tài)、記錄時(shí)刻4JDBC連接池動(dòng)態(tài)信息名稱、類型、創(chuàng)建連接的總數(shù)

19、、已關(guān)閉的連接的總數(shù)、分配的連接的總數(shù)、返回到池的連接的總數(shù)、連接池的大小、池中的空閑連接數(shù)、等待連接的平均并發(fā)線程數(shù)、池中的連接超時(shí)數(shù)、正在使用的池的平均百分率、使用連接的平均時(shí)刻、在同意連接之前的平均等待時(shí)刻、因?yàn)楦咚倬彺嬉褲M而廢棄的語句數(shù)、記錄時(shí)刻5事務(wù)數(shù)動(dòng)態(tài)信息在服務(wù)器上開始的全局事務(wù)數(shù)、在服務(wù)器上已開始的本地事務(wù)數(shù)、并發(fā)活動(dòng)的全局事務(wù)數(shù)、已落實(shí)的全局事務(wù)的個(gè)數(shù)、回滾的全局事務(wù)數(shù)、超時(shí)的全局事務(wù)數(shù)、超時(shí)的本地事務(wù)數(shù)、記錄時(shí)刻6事務(wù)的平均持續(xù)時(shí)刻平均時(shí)刻、最小時(shí)刻、最大時(shí)刻、總大小、數(shù)量、總和、全局或本地狀態(tài)、記錄時(shí)刻7JVM動(dòng)態(tài)信息高水位、低水位、當(dāng)前、低范圍、高范圍、Java 虛擬機(jī)

20、運(yùn)行時(shí)中的空閑內(nèi)存、Java 虛擬機(jī)運(yùn)行時(shí)中使用的內(nèi)存容量、Java 虛擬機(jī)差不多運(yùn)行的時(shí)刻數(shù)、Java 虛擬機(jī)的 CPU 使用情況、記錄時(shí)刻8EJB動(dòng)態(tài)信息創(chuàng)建bean的次數(shù)、除去 bean 的次數(shù)、處于就緒狀態(tài)的bean實(shí)例的個(gè)數(shù)、并發(fā)存活的bean的平均數(shù)、調(diào)用 bean 遠(yuǎn)程方法的次數(shù)、遠(yuǎn)程方法的平均響應(yīng)時(shí)刻、將對象返回到池的調(diào)用次數(shù)、由于池已滿而放棄正在返回的對象的次數(shù)、池中對象的平均數(shù)、傳遞到 bean 的 onMessage 方法的消息數(shù)、處于鈍化狀態(tài)的 bean 的個(gè)數(shù)、處于就緒狀態(tài)的 bean 實(shí)例的個(gè)數(shù)、記錄時(shí)刻9性能事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個(gè)應(yīng)用系統(tǒng)的會(huì)話數(shù)、

21、JDBC連接數(shù)、事務(wù)數(shù)、事務(wù)的平均持續(xù)時(shí)刻等性能指標(biāo)超過特定閥值時(shí)，會(huì)自動(dòng)生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)10故障事件在業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)檢測到某個(gè)應(yīng)用系統(tǒng)的服務(wù)異常停止、業(yè)務(wù)系統(tǒng)不可用等異常時(shí)，自動(dòng)生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)5.2 網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)的要緊來源是：網(wǎng)絡(luò)設(shè)備。數(shù)據(jù)采集層將原始數(shù)據(jù)提交給數(shù)據(jù)處理層后，數(shù)據(jù)處理層進(jìn)行初步推斷，檢測為網(wǎng)絡(luò)相關(guān)數(shù)據(jù)，會(huì)自動(dòng)提交給網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)定期自動(dòng)向安全數(shù)據(jù)處理子系統(tǒng)輸出數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)在進(jìn)行數(shù)據(jù)處理時(shí)，一旦檢測到各種異常，就會(huì)生成特定安全事件，并隨時(shí)輸出到安全數(shù)據(jù)處理子系統(tǒng)，作為

22、安全數(shù)據(jù)處理子系統(tǒng)的數(shù)據(jù)來源之一。5.2.1 網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)覺該子系統(tǒng)提供詳細(xì)的拓?fù)鋱D元數(shù)據(jù)結(jié)構(gòu)，并開放拓?fù)鋽?shù)據(jù)，提交給統(tǒng)一信息庫，供展現(xiàn)層使用。網(wǎng)絡(luò)拓?fù)淠軌蜃顬橹庇^地反映整個(gè)網(wǎng)絡(luò)連接狀況。自動(dòng)發(fā)覺是系統(tǒng)拓?fù)渲刑夭恢匾囊粋€(gè)功能，它能夠自動(dòng)識(shí)不設(shè)備類型，包括各種服務(wù)器類型、路由器、交換機(jī)、等等，以及它們之間的關(guān)系，同時(shí)自動(dòng)將它們存儲(chǔ)到公用對象庫中對應(yīng)的類中。網(wǎng)絡(luò)治理人員通過圖形治理界面能夠直觀的查詢網(wǎng)絡(luò)拓?fù)潢P(guān)系。網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)覺，有三種實(shí)現(xiàn)協(xié)議：包括ICMP、SNMP、CDP、其中ICMP要緊用于發(fā)覺網(wǎng)絡(luò)的主機(jī)節(jié)點(diǎn)，其耗時(shí)較長，而SNMP和CDP要緊是用來搜索網(wǎng)絡(luò)內(nèi)的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備。

23、本方案會(huì)綜合使用上述三種協(xié)議來自動(dòng)發(fā)覺和生成電子政務(wù)網(wǎng)絡(luò)拓?fù)?、監(jiān)控預(yù)警平臺(tái)自身的網(wǎng)絡(luò)拓?fù)洹?.2.2 網(wǎng)絡(luò)設(shè)備監(jiān)控?cái)?shù)據(jù)采集平臺(tái)通過SNMP數(shù)據(jù)采集方式，采集網(wǎng)絡(luò)設(shè)備的MIB數(shù)據(jù)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)在獵取到網(wǎng)絡(luò)數(shù)據(jù)后，會(huì)依照不同的網(wǎng)絡(luò)設(shè)備特性，對數(shù)據(jù)進(jìn)行一定的處理。網(wǎng)絡(luò)設(shè)備類型至少能夠支持：CISCO、華為、Juniper、Foundry等。網(wǎng)絡(luò)數(shù)據(jù)處理內(nèi)容包括：1、差不多信息整理：網(wǎng)絡(luò)接口數(shù)量，每個(gè)接口的IP地址/MAC地址等；2、接口信息：接口索引、接口類型、接口描述、接口速率、工作狀態(tài)、治理狀態(tài)、接口總流量、入口流量、出口流量；在網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)檢測到某個(gè)網(wǎng)絡(luò)

24、設(shè)備的CPU使用率、內(nèi)存使用率、接口流量等性能指標(biāo)超過特定閥值時(shí)，會(huì)自動(dòng)生成性能事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。在網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)檢測到某個(gè)網(wǎng)絡(luò)設(shè)備的設(shè)備停機(jī)、接口不通等異常時(shí)，自動(dòng)生成故障事件，隨后提交給安全數(shù)據(jù)處理子系統(tǒng)。 工單的來源 1、 安全數(shù)據(jù)處理子系統(tǒng)通過對安全數(shù)據(jù)的分析后，生成的安全事件；2、 業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件；3、 網(wǎng)絡(luò)數(shù)據(jù)處理子系統(tǒng)生成的性能事件和故障事件； 與知識(shí)庫系統(tǒng)關(guān)聯(lián)安全事件處理與知識(shí)庫關(guān)聯(lián)。1、安全監(jiān)控人員在預(yù)備處理工單之前，能夠依照內(nèi)容的關(guān)鍵字信息到知識(shí)庫系統(tǒng)中查詢符合該事件類型的相關(guān)內(nèi)容，包括：事件緣故分析、事件處理步驟、事件

25、總結(jié)等，獲得相應(yīng)的處理經(jīng)驗(yàn)。2、安全監(jiān)控人員在處理完畢工單后，能夠?qū)⑴c此工單相關(guān)的詳細(xì)內(nèi)容，如：事件緣故分析、事件處理步驟、事件總結(jié)等生成相關(guān)案例，保存到知識(shí)庫中，為其他人處理類似事件提供經(jīng)驗(yàn)共享。 工單執(zhí)行和監(jiān)控流程當(dāng)平臺(tái)發(fā)覺有真實(shí)安全事件時(shí)，依照預(yù)先制定的工單處理流程，平臺(tái)會(huì)自動(dòng)生成安全事件處理工單，現(xiàn)在不需要人工干預(yù)，系統(tǒng)自動(dòng)調(diào)用服務(wù)程序通過聲音、圖形、短信、郵件、代理程序等方式及時(shí)通知負(fù)責(zé)處理此安全事件工單的監(jiān)控人員?，F(xiàn)在也啟動(dòng)安全事件進(jìn)入其相應(yīng)的處理流程。工單的執(zhí)行和監(jiān)控流程具有下列特征：1、工單具有一定的時(shí)限性，必須在規(guī)定的時(shí)限內(nèi)處理完畢，假如在規(guī)定的時(shí)刻內(nèi)未被及時(shí)處理，系統(tǒng)會(huì)自動(dòng)

26、修改工單狀態(tài)，并自動(dòng)向相關(guān)人員發(fā)送超時(shí)通知；2、當(dāng)某個(gè)工單不能被此工單相關(guān)的監(jiān)控人員正確處理時(shí)（因?yàn)榧夹g(shù)人員水平或者時(shí)刻的緣故），可提早終止對工單的處理，并講明終止工單的緣故。安全監(jiān)督人員負(fù)責(zé)核實(shí)終止緣故，同時(shí)將工單重新派發(fā)給其他監(jiān)控人員，以充分保證工單能夠被正常處理；3、安全監(jiān)督人員可隨時(shí)監(jiān)督工單生成進(jìn)程和處理進(jìn)程，如：系統(tǒng)目前有多少待處理的工單，有多少正在處理中，多少差不多處理完畢。4、系統(tǒng)自動(dòng)記錄每個(gè)工單從生成，到同意處理，到處理完畢，以及處理確認(rèn)的全部過程，此記錄過程成為考核監(jiān)控人員的依據(jù)。5.3.4 風(fēng)險(xiǎn)治理 風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)治理以監(jiān)控對象為基礎(chǔ)，通過獵取統(tǒng)一信息庫中監(jiān)控對象的配置數(shù)據(jù)，

27、對監(jiān)控對象價(jià)值、安全威脅因素關(guān)聯(lián)后計(jì)算監(jiān)控對象的風(fēng)險(xiǎn)值，并對監(jiān)控對象的風(fēng)險(xiǎn)實(shí)現(xiàn)動(dòng)態(tài)的監(jiān)控。假設(shè)風(fēng)險(xiǎn)計(jì)算公式（可根椐實(shí)際情況進(jìn)行調(diào)整）為：風(fēng)險(xiǎn)值f（監(jiān)控對象價(jià)值，威脅可能性）；通過風(fēng)險(xiǎn)分析得到的風(fēng)險(xiǎn)狀況為一個(gè)數(shù)字，不同的取值范圍決定了不同的風(fēng)險(xiǎn)級不，風(fēng)險(xiǎn)級不劃分為五個(gè)等級：等級符號(hào)對應(yīng)的典型安全狀況取值范圍5VH（專門高）風(fēng)險(xiǎn)專門高，導(dǎo)致系統(tǒng)受到特不嚴(yán)峻阻礙的可能性專門大1001254H（高）風(fēng)險(xiǎn)高，導(dǎo)致系統(tǒng)受到嚴(yán)峻阻礙的可能性較大75993M（中）風(fēng)險(xiǎn)中，導(dǎo)致系統(tǒng)受到阻礙的可能性較大50742L（低）風(fēng)險(xiǎn)低，導(dǎo)致系統(tǒng)受到阻礙的可能性較小25491VL（專門低）風(fēng)險(xiǎn)專門低，導(dǎo)致系統(tǒng)受到阻礙的可能

28、性專門小024為確保安全風(fēng)險(xiǎn)治理符合監(jiān)控預(yù)警平臺(tái)的監(jiān)控深度以及相關(guān)要求，可依照實(shí)際現(xiàn)狀和監(jiān)控對象提出詳細(xì)的風(fēng)險(xiǎn)計(jì)算方式，并能夠在后續(xù)的實(shí)施過程中進(jìn)行重新設(shè)計(jì)和二次改造。 風(fēng)險(xiǎn)的動(dòng)態(tài)監(jiān)控1、 當(dāng)安全事件更新后，對應(yīng)的監(jiān)控對象的風(fēng)險(xiǎn)被更新。2、 當(dāng)故障事件更新后，對應(yīng)的監(jiān)控對象的風(fēng)險(xiǎn)被更新。3、 當(dāng)故障事件更新后，對應(yīng)的監(jiān)控對象的風(fēng)險(xiǎn)被更新。4、 當(dāng)監(jiān)控對象發(fā)生某些可能對風(fēng)險(xiǎn)有阻礙的變化后，對應(yīng)的監(jiān)控對象的風(fēng)險(xiǎn)被更新。六、 展示平臺(tái)6.1 安全監(jiān)控展示6.1.1 分級進(jìn)行展示分級展示電子政務(wù)網(wǎng)絡(luò)的安全狀態(tài)。以曲線圖方式展示最近一段時(shí)刻電子政務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。層次展示內(nèi)容第一層政務(wù)網(wǎng)絡(luò)整體安全風(fēng)險(xiǎn)第

29、二層每類監(jiān)控對象的安全風(fēng)險(xiǎn)第三層每個(gè)監(jiān)控節(jié)點(diǎn)的安全風(fēng)險(xiǎn)第四層每個(gè)安全事件的詳細(xì)內(nèi)容6.1.2 按地理位置展示從地理區(qū)域上看，本市目前包含近10個(gè)區(qū)縣，而本平臺(tái)所監(jiān)控的四類監(jiān)控對象則較為分散地分布在不同的區(qū)縣，因此本平臺(tái)提供按照實(shí)際地理位置展示安全風(fēng)險(xiǎn)的功能。本平臺(tái)以本市地圖作為地理位置展示的基礎(chǔ)圖，將每個(gè)監(jiān)控對象：政務(wù)外網(wǎng)每個(gè)匯聚節(jié)點(diǎn)、每個(gè)政務(wù)用戶互聯(lián)網(wǎng)接入節(jié)點(diǎn)、每個(gè)重要信息系統(tǒng)、每個(gè)網(wǎng)站的所在地理位置在基礎(chǔ)題上實(shí)際標(biāo)識(shí)出來。不同類型的監(jiān)控對象用不同形狀標(biāo)注，如下表所示：不同級不的安全風(fēng)險(xiǎn)用不同顏色標(biāo)注，如下表所示：當(dāng)鼠標(biāo)放置到某個(gè)監(jiān)控對象上時(shí)，能夠顯示此監(jiān)控對象的相關(guān)屬性：監(jiān)控對象的類不、監(jiān)

30、控對象的風(fēng)險(xiǎn)值、監(jiān)控對象最近發(fā)生的事件總數(shù)等。當(dāng)點(diǎn)擊某個(gè)監(jiān)控對象時(shí)，能夠顯示此監(jiān)控對象的所有詳細(xì)信息，包括此監(jiān)控對象的差不多屬性、安全事件列表、故障事件列表、性能事件列表等。當(dāng)點(diǎn)擊任何一個(gè)安全事件，能夠看到安全事件的原始數(shù)據(jù)信息。當(dāng)點(diǎn)擊地理位置上的某類監(jiān)控對象時(shí)，會(huì)進(jìn)入到按監(jiān)控對象類不展示界面。當(dāng)點(diǎn)擊地理位置行的某級不風(fēng)險(xiǎn)時(shí)，會(huì)進(jìn)入到按風(fēng)險(xiǎn)級不展示界面。6.1.3 按網(wǎng)絡(luò)拓?fù)湔故揪W(wǎng)絡(luò)拓?fù)鋵ο蟀ǎ赫?wù)外網(wǎng)網(wǎng)絡(luò)拓?fù)?、政?wù)用戶互聯(lián)網(wǎng)接入網(wǎng)絡(luò)拓?fù)洹⒅匾畔⑾到y(tǒng)網(wǎng)絡(luò)拓?fù)?、政?wù)網(wǎng)站網(wǎng)絡(luò)拓?fù)?。選擇其中一個(gè)網(wǎng)絡(luò)拓?fù)鋵ο螅故緦訒?huì)完整展示其相應(yīng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。每個(gè)監(jiān)控對象在網(wǎng)絡(luò)拓?fù)渖隙加袑?yīng)的位置，同時(shí)每個(gè)監(jiān)

31、控對象用不同的顏色（或者不同的圖標(biāo)）來標(biāo)注此監(jiān)控對象的安全風(fēng)險(xiǎn)。 當(dāng)鼠標(biāo)放置到某個(gè)監(jiān)控對象上時(shí)，能夠顯示此監(jiān)控對象的相關(guān)屬性：監(jiān)控對象的類不、監(jiān)控對象的風(fēng)險(xiǎn)值、監(jiān)控對象最近發(fā)生的事件總數(shù)等。當(dāng)點(diǎn)擊某個(gè)監(jiān)控對象時(shí)，能夠顯示此監(jiān)控對象的所有詳細(xì)信息，包括此監(jiān)控對象的差不多屬性、安全事件列表、故障事件列表、性能事件列表等。當(dāng)點(diǎn)擊某級不安全風(fēng)險(xiǎn)時(shí)，能夠按照級不來查看安全事件、故障事件、性能事件等。當(dāng)點(diǎn)擊任何一個(gè)安全事件，能夠看到此事件的原始數(shù)據(jù)信息。6.1.4 按監(jiān)控對象類不展示監(jiān)控對象類不包括：政務(wù)外網(wǎng)、政務(wù)用戶互聯(lián)網(wǎng)接入、重要信息系統(tǒng)網(wǎng)絡(luò)拓?fù)?、政?wù)網(wǎng)站四個(gè)類不。選擇其中一類監(jiān)控對象，如：政務(wù)外網(wǎng)，

32、平臺(tái)會(huì)展示政務(wù)外網(wǎng)33個(gè)匯聚節(jié)點(diǎn)的安全風(fēng)險(xiǎn)狀況：1、最近一段時(shí)刻內(nèi)，整體政務(wù)外網(wǎng)的安全風(fēng)險(xiǎn)狀況。2、整個(gè)政務(wù)外網(wǎng)最新的TOP N個(gè)安全事件。3、整個(gè)政務(wù)外網(wǎng)發(fā)生安全事件頻率最多的TOP N個(gè)匯聚節(jié)點(diǎn)。4、按照級不展示政務(wù)外網(wǎng)所有安全事件。點(diǎn)擊某個(gè)具體的監(jiān)控對象時(shí)，如：政務(wù)外網(wǎng)的其中一個(gè)匯聚節(jié)點(diǎn)，會(huì)展示此匯聚節(jié)點(diǎn)的安全風(fēng)險(xiǎn)狀況。1、 最近一段時(shí)刻內(nèi)，此匯聚節(jié)點(diǎn)的安全風(fēng)險(xiǎn)狀況。2、此匯聚節(jié)點(diǎn)所有的安全事件（分頁顯示）。6.1.5 按風(fēng)險(xiǎn)級不展示假設(shè)風(fēng)險(xiǎn)級不包括：專門高、高、中、低、專門低五個(gè)級不。 6.1.6 事件詳細(xì)展示展示每個(gè)安全事件、故障事件、性能事件的詳細(xì)內(nèi)容，如下表所示：6.2 綜合運(yùn)維

33、治理6.2.1 監(jiān)控對象治理平臺(tái)具備建立監(jiān)控對象的信息庫，能統(tǒng)一治理監(jiān)控對象的各種屬性識(shí)不、賦值、建檔等活動(dòng)。要求：1、定義規(guī)范的監(jiān)控分類、賦值等信息。2、提供通過信息輸入界面手工輸入、維護(hù)監(jiān)控對象的手段。3、提供符合標(biāo)準(zhǔn)格式的文件（如Excel、XML等）導(dǎo)入監(jiān)控對象的手段。4、實(shí)現(xiàn)監(jiān)控對象編碼。 監(jiān)控對象分類監(jiān)控對象的類不，如下表所示： 序號(hào)類不講明1政務(wù)外網(wǎng)2政務(wù)用戶互聯(lián)網(wǎng)接入3重要信息系統(tǒng)4政務(wù)網(wǎng)站 監(jiān)控對象建檔屬性名講明編號(hào)唯一標(biāo)識(shí)監(jiān)控對象的編號(hào)監(jiān)控對象名監(jiān)控對象名稱類型監(jiān)控對象類型治理部門監(jiān)控對象由哪個(gè)部門負(fù)責(zé)治理治理員對該監(jiān)控對象具有治理責(zé)任的治理員姓名以及聯(lián)系方式（包括電話和郵

34、箱地址）等物理地址監(jiān)控對象的物理安置地點(diǎn)IP地址監(jiān)控對象要緊IP地址操作系統(tǒng)操作系統(tǒng)的名稱及版本價(jià)值監(jiān)控對象價(jià)值，針對本平臺(tái)，所有監(jiān)控對象的價(jià)值都較高接口數(shù)量監(jiān)控對象的接口數(shù)量負(fù)責(zé)人監(jiān)控對象負(fù)責(zé)人監(jiān)控對象關(guān)注人監(jiān)控對象上存在的漏洞端口監(jiān)控對象的端口開放情況（假如有）6.2.2 安全策略治理安全策略治理負(fù)責(zé)指導(dǎo)平臺(tái)的運(yùn)轉(zhuǎn)。安全策略治理分為：日志采集策略、安全信息分析策略、安全事件處理策略等。該策略模塊中的所有策略均支持多維度的查詢。日志采集策略針對不同的數(shù)據(jù)采集引擎能夠配置不同的采集策略。數(shù)據(jù)采集策略可定制的內(nèi)容包含：日志信息來源、日志信息等級。安全信息分析策略安全信息分析策略是關(guān)聯(lián)分析的展示接

35、口，當(dāng)關(guān)聯(lián)分析的所有條件匹配成功，則生成一條安全事件。安全信息分析策略中，可定制的內(nèi)容如下表所示：屬性名講明發(fā)生源IP發(fā)送安全信息的設(shè)備IP地址，比如：假如是入侵檢測系統(tǒng)發(fā)出了一條SYSLOG信息，則“發(fā)生源IP”就指該入侵檢測系統(tǒng)的IP地址源IP安全事件的源IP。比如機(jī)器A向機(jī)器B發(fā)出攻擊信息，“源IP”就指機(jī)器A的IP地址源端口安全事件的源端口目的IP安全事件的目的IP，如在上例中，指機(jī)器B的IP地址目的端口安全事件的目的端口協(xié)議網(wǎng)絡(luò)訪問行為所使用的協(xié)議安全信息描述是對設(shè)置的源IP通過設(shè)置的端口訪問指定的IP段時(shí)使用的安全信息描述安全信息類型產(chǎn)生的安全信息中的類型安全信息名稱指產(chǎn)生的安全信

36、息中的名稱訪問時(shí)刻段對設(shè)置的源IP通過設(shè)置的端口訪問指定的IP段時(shí)的起始時(shí)刻限制Bugtraq編號(hào)國際上通用的標(biāo)識(shí)Bugtraq的庫CVE編號(hào)國際上通用的標(biāo)識(shí)CVE的庫安全信息來源數(shù)據(jù)采集引擎IP地址源MAC安全事件的源MAC地址目的MAC安全事件的目的MAC地址時(shí)刻間隔指定了策略的時(shí)刻范圍，單位為秒安全事件次數(shù)表示在設(shè)定的“時(shí)刻間隔”內(nèi)，此條策略匹配多少次才產(chǎn)生一條安全事件，實(shí)現(xiàn)安全事件的歸并安全事件處理策略安全事件處理策略用于制定安全事件處理的流程策略。安全事件處理策略中，可定制的內(nèi)容如下表所示：屬性名講明工作流模板系統(tǒng)內(nèi)置了多種工作流模板以對應(yīng)不同的安全事件，可隨意選擇內(nèi)置的模板處理時(shí)限安全事件必須處理的時(shí)刻限制通知方式Email和即時(shí)通知當(dāng)選擇“E-mail”時(shí)，則按照所選工作流模板中指定的治理員E-mail地址，將處理安全事件通知發(fā)給相應(yīng)的治理員；當(dāng)選擇“即時(shí)通知”時(shí)，則按照工作流模板中指定的治理員，將處理安全事件通知發(fā)給相應(yīng)的治理員優(yōu)先級安全事件的級不危害安全事件的危害備注其他補(bǔ)充信息6.2.3 綜合報(bào)表治理 監(jiān)控對象報(bào)表監(jiān)控對象報(bào)表類型包括：1、監(jiān)控對象安全事件TOP N（年報(bào)表、半年報(bào)表、季報(bào)表、月報(bào)表、周報(bào)表）；2、監(jiān)控對象安全風(fēng)險(xiǎn)趨勢（月報(bào)表、周報(bào)表、日報(bào)表）。 安全事件報(bào)表監(jiān)控對象報(bào)表類型包括：1、安全事件類型TOP N（年報(bào)表、半年報(bào)表、季報(bào)表、月報(bào)表