某单位安全管理平台建设方案.docx
《某单位安全管理平台建设方案.docx》由会员分享,可在线阅读,更多相关《某单位安全管理平台建设方案.docx(9页珍藏版)》请在冰豆网上搜索。
某单位安全管理平台建设方案
XX公安
安全管理平台建设方案
北京启明星辰信息技术股份有限公司
BeijingVenusTechnologyCo.Ltd.
2019年1月b5E2RGbCAP
1前言p14EanqFDPw
2设计依据D.4XDiTa9E3d
3术语和定义6..RTCrpUDGiT
4建设原则5P7CzVD7HxA
5系统现状及需求分析8..jLBHrnAILg
6安全管理平台建设目标1x0HAQX74J0X
6.1集中监控告警10LDAYtRyKfE
6.2事件定位处理10Zzz6ZB2Ltk
6.3安全关联分析11dvzfvkwMI1
6.4实时风险管理11rqyn14ZNXI
6.5安全运维流程11EmxvxOtOco
6.6安全管理流程11SixE2yXPq5
6.7策略知识体系126ewMyirQFL
7安全管理平台方案设计1..3kavU42VRUs
7.1平台概述13y6v3ALoS89
7.2系统组成13M2ub6vSTnP
7.3系统架构140YujCfmUCw
7.4平台功能描述16eUts8ZQVRd
7.4.1集中展示模块16sQsAEJkW5T
7.4.2运行监控模块18GMsIasNXkA
7.4.3业务处理模块23TIrRGchYzg
7.4.4业务统计模块277EqZcWLZNX
7.4.5关联分析29lzq7IGf02E
7.4.6安全态势分析30zvpgeqJ1hk
7.4.7关键安全管理指标分析30NrpoJac3v1
7.4.8业务配置模块311nowfTG4KI
7.4.9平台管理模块34fjnFLDa5Zo
7.4.10接入交换管理模块37tfnNhnE6e5
7.5系统接口40HbmVN777sL
7.6部署方式41V7l4jRB8Hs
7.6.1单级部署4183lcPA59W9
7.6.2级联部署42mZkklkzaaP
7.7运行环境要求43AVktR43bpw
8启明星辰公安安全管理平台特性优势44ORjBnOwcEd
8.1多层次的安全事件管理442MiJTy0dTT
8.1.1安全专项系统的信息采集44gIiSpiue7A
8.1.2支持分布式日志采集46uEh0U1Yfmh
8.1.3详尽的日志范式化与事件分类46IAg9qLsgBX
8.1.4智能化安全事件关联分析47WwghWvVhPE
8.1.5可视化安全事件分析47asfpsfpi4k
8.2多维度的业务处理过程48ooeyYZTjj1
8.2.1丰富的业务流程分类48BkeGuInkxI
8.2.2灵活的流程定制能力49PgdO0sRlMo
8.3全方位的IT系统性能与可用性监控503cdXwckm15
8.3.1网络拓扑管理50h8c52WOngM
8.3.2支持多种监控对象50v4bdyGious
8.3.3全方位细粒度监控51J0bm4qMpJ9
8.4基于风险矩阵的量化安全风险评估51XVauA9grYP
8.5指标化的宏观态势感知52bR9C6TJscw
8.5.1地址熵态势分析52pN9LBDdtrd
8.5.2威胁态势分析53DJ8T7nHuGT
8.5.1关键安全管理指标分析53QF81D7bvUA
8.6丰富灵活的报表报告534B7a9QFw9h
8.6.1可扩展的报表内容53ix6iFA8xoX
8.6.2公安业务考核支持54wt6qbkCyDE
8.7可运维的多级管理架构54Kp5zH46zRk
8.7.1级联内容54Yl4HdOAA61
8.7.2虚拟下级54ch4PJx4BlI
8.8对用户网络和业务影响最小55qd3YfhxCzo
8.9完善的系统自身安全性保证55E836L11DO5
8.10有好的用户交互体验56S42ehLvE3M
9二次开发模块及系统对接说明55701nNvZFis
9.1二次模块开发说明57jW1viftGw9
9.2与XX公安现有系统对接说明57xS0DOYWHLP
10成功案例5..7.LOZMkIqI0w
10.1成功案例名单57ZKZUQsUJed
10.2典型案例58dGY2mcoKtT
11项目预算6..1.rCYbSWRLIA
丄、八
1前言
网络的快速发展为经济建设和社会发展带来了巨大的影响,随着信息化建设的飞速发展,信息安全系统已成为XX公安工作的重要资源和基础平台。
FyXjoFlMWh
目前XX公安的安全专项系统主要有:
“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统。
TuWrUpPObX
近年来公安网络安全问题呈现日益严重的趋势,从公安部的相关统计数据中可以看出,“一机两用”违规事件、病毒传播率、漏洞发生率等涉及网络安全的考核指标,都在不同程度的增加。
因为信息泄密、信息遭受破坏等带来的损失越来越令人触目惊心。
在这种大的形势下,网络安全的重要性被提到了前所未有的高度。
7qWAq9jPqE
由于公安以往的信息系统都是针对具体的应用进行设计,未考虑系统的综合管理,所以在管控手段和管控水平上极需加强。
另外,随着公安信息应用的进一步推进,对信息安全的日常运维和应急预案等方面提出了更高的要求,切实需要建立省市两级信息通信部门的快速反应机制,强化信息系统基础平台的安全管理,建设可信的信息系统环境,为公安各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。
llVIWTNQFk
2设计依据
国际国内标准和规范:
《中华人民共和国保守国家秘密法》
《中华人民共和国保守国家秘密法实施办法》《中共中央关于加强新形势下保密工作的决定》(中发[1997]16号)《计算机信息系统保密管理暂行规定》(国保发[1998]1号)
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号)
《关于加强政府上网信息保密管理的通知》(国保发[1999]4号)
《计算机信息系统国际联网保密管理规定》(国保发[1999]10号)《关于加强计算机信息网络保密管理的通知》(中保委发[2002]4号)《国家信息化领导小组关于我国电子政务建设指导意见》(中办发[2002]17号)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《关于加强信息安全保障工作中保密管理的若干意见》(中保委发[2004]7号)《涉及国家秘密计算机信息系统集成资质管理办法》(国保发[2005]5号)《信息系统保密管理规定》
中华人民共和国保密标准:
BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》
BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》
BMZ3-2001《涉及国家秘密的计算机信息系统安全保密测评指南》
BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》
BMB4-2000《电磁干扰器技术要求和测试方法》
BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》
BMB10-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》
BMB11-2004《涉及国家秘密的计算机信息系统防火墙安全技术要求》
BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品安全技术要求》
BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》
BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》
BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》
GB及参考文献:
GB17859-1999计算机信息系统安全保护等级划分准则。
GB/T18336.1-2001信息技术安全技术信息技术安全性评估准则第一部分:
简
介和一般模型(idtISO/IEC15408-1:
1999。
yhUQsDgRTI
GB/T18336.2-2001信息技术安全技术信息技术安全性评估准则第二部分:
安全功
能要求(idtISO15408-2:
1999)。
MduzYnKS8I
GB/T18336.3-2001信息技术安全技术信息技术安全性评估准则第三部分:
安全保
证要求(idtISO15408-3:
1999)。
09T7t6eTno
GB/T9387.2-1995信息系统开放系统互连基本参考模型第2部分:
安全体系结
构。
e5TfZQIUB5
ISO/IEC17799:
2000信息技术信息安全管理实用规则。
BMB17-2006涉及国家秘密的计算机信息系统分级保护技术要求。
GB50174-1993电子计算机机房设计规范。
GB/T20269-2006信息安全技术信息系统安全管理要求。
ISO/IECTR18044:
2004,信息技术安全技术一信息安全事件管理。
GB/T20270-2006信息安全技术网络基础安全技术要求。
GB/T20282-2006信息安全技术信息系统安全工程管理要求。
GB/T20271-2006信息安全技术信息系统通用安全技术要求。
3术语和定义
F列术语和定义适用于本方案
术语
解释
安管平台
本规范中的“安管平台”特指公安集中安全管理平台。
它是实现公安信息网信息安全管理的技术支撑平台。
它以流程和标准化的方法为手段,实现安全业务监控和安全事件的处理,为安全运营和管理提供支撑。
安全专项系统
为特定安全目标建立的安全系统,包括但不限于现有的几大系统:
“一机两用”监控系统、补丁分发系统、病毒监控预警系统、边界安全接入平台、入侵监测系统、PKI/PMI系统、漏洞扫描系统、违规网站及
信息扫扌田系统、异常流里监测系统。
工单
指为了完成某个具体业务请求所使用的协同工作载体,承载内容包括业务状态、业务数据和业务要求等,按业务处理流程进行流转。
活动
活动组成了业务流程中的步骤和任务,是按照规范流程要求而米取的动作,在安管平台中,活动包括判断、响应、流转、处置等。
业务流程
业务流程是为达到特定的价值目标而由不同的人协作完成的一系列活动。
活动之间不仅有严格的先后顺序限定,而且活动的内容、方式、责任等也都必须有明确的安排和界定,以使不同活动在不同岗位角色之间进行转手交接成为可能。
本文主要指信通网中与安全运行管理相关的签到、巡检、签收、通报告警、响应处理、审核等流程。
安全事件
由计算机信息系统或者网络中的各种设备与系统,例如安全子系统、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。
安全策略
安全策略是各种论述、规则和准则的集合,用以解释和说明公安信息网资源使用以及网络与业务保护的方式和要求。
4建设原则
1)安全性。
XX公安的SOC安全管理平台建设,必须具备在各个层次上的安全策略、体
系和管理办法,并系统地解决安全问题的能力。
sISovAcVQM
2)有效性和实用性。
网络的安全对所有用户是透明的,操作的人机界面必须达到安全、
简捷、方便,同时不影响现有网络安全的功能和系统的正常运行。
GXRw1kFW5s
3)开放性。
网络安全系统和设备,必须适应多种软、硬件平台和通讯的能力。
4)自主性和可控性。
根据国家相关的法规和政策,在安全建设的过程中,安全设备必须通过国家有关管理部门(主要是公安部门)的认可或认证,保证其配置及设备的合法性OUTREx49Xj9
5)适应性和可扩展性。
所采取的措施必须能随着网络性能及安全需求的变化而变化,要
具备可扩充性和可升级性,以适应将来网络规模的发展。
8PQN3NDYyP
6)业务符合性。
平台所提供的事件监控、处理流程,必须符合公安行业的实际工作特性与工作过程。
7)可管理性。
网络安全系统必须具备良好的可管理性。
5系统现状及需求分析
目前XX公安信息专网涉及地域广泛,包括省厅及直属单位、个地市,多个区县等接入单位;应用系统繁多,共有100多个应用系统。
随着XX公安信息网的不断发展,网络范围越趋扩大,主机设备、网络设备、安全设备数量也随之不断地增长,并且种类繁多、部署分散,这些系统每天都要产生成千上万的各类安全事件和告警信息。
mLPVzx7ZNw
XX公安非常重视公安信息安全建设,目前建成包括“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统等安全专项系统,这些系统在省厅及各地市得到应用,但各个系统提供独立的安全管理监控平台,形成多个“信息孤岛”,缺乏全网统一的安全状况实时监控了解工具,缺乏安全策略与安全技术相结合的沟通手段,没有一套完善的安全管理机制,没有专门负责安全监控的组织和人员,现有的安全管理、安全监控手段已经不能满足日益扩展的复杂的信息安全保障的需要,因此难以有效发挥其功能作用。
AHP35hB02d
目前XX省公安厅的安全管理系统存在以下问题:
网络范围越趋扩大,主机设备、网络设备、安全设备数量也随之不断地增长,并且种类繁多、部署分散,这些系统每天都要产生成千上万的各类安全事件和告警信息,但是安全事件得不到有效处理。
告警信息得不到有效分析。
NDOcB141gT安全告警信息没有与具体的设备资产想关联,发现告警后无法定位和处理,比如病毒信息和IDS安全告警信息,因为没有和具体的设备相关联,无法及时定位和处理;1zOk7Ly2vA网络中各安全设备基本采用各自分散的管理模式,而零散的安全信息很难形成集中性的、对决策、判断及处理有重要意义的数据fuNsDv23Kh没有明确的安全监控、处理、安全管理流程和上报工作流程,缺乏有效的事件处理机制,当产生安全事件时,相关人员按照自己的想法和理解进行处理,可能会造成更大的损失和影响;tqMB9ew4YX缺乏全网统一的安全状况实时监控了解工具,缺乏安全策略与安全技术相结合的沟通手段。
缺乏明确的人员职责定位与考核标准,安全告警不能落实到具体责任人,安全事件处理不能落实到任务处理人,难以形成高效的绩效考核机制。
HmMJFY05dE缺乏与安全管理工作相适应的安全知识体系。
安全告警发生之后无法及时寻找对应的知识库进行参照处理。
针对上述问题,并根据网络与信息安全风险管理的本质,对风险进行有效的控制,围绕“重要资产、重要告警、重点监控”的工作目标,建议XX公安信息网建设安全管理平台系统,从
而解决上述问题及满足省厅相关规范,最终逐步形成具有XX公安信息网特色的功能成熟、并
能切实发挥作用的安全管理平台。
ViLRaIt6sk
6安全管理平台建设目标
XX公安的SOC安全管理平台的建设目标是搭建以事件管理为核心的集中安全监控平台,通过实现对网络/系统中采集到的安全事件、资产、漏洞、风险、预警的进行集中监测和分析,实现安全告警管理与安全事件的流程化处置,建立安全策略管理基本框架。
初步建立安全知识体系和应急响应体系,从而提高科通处所管理系统的安全威胁实时检测率,降低被成功攻击的概率,提高安全事件的响应速度。
其具体目标可表现为:
9eK0GsX7H1
6.1集中监控告警
统一监控管辖范围内的主机、网络设备、安全设备、数据库、中间件、服务和机房设备,为用户提供一个全方位监控的统一管理平台,使得管理员通过一个单一控制台就能够进行实时全网监控,保障全网IT计算环境基础设施的可用性,业务的持续性和安全性。
naK8ccr8VI
6.2事件定位处理
在所的监控的设备发生故障或安全事件时,监控系统能帮助管理员快速、准确地找到问题的根源所在,有效排查。
对于‘一机两用'这类公安的专项系统,必须能够在事件发生的第一时间定位到所属区域、责任人,并且能够以便捷的通知方式(例如短信、邮件、网上通知)快速下发信息,明确处理人,以工单流转的方式进行及时处理。
B6JgIVV9ao
升级会员 