安全管理平台解决方案模板(省级).doc

1、 XX公安安全管理平台建设方案XX公安安全管理平台建设方案北京启明星辰信息技术股份有限公司Beijing Venus Technology Co. Ltd.2022年10月目 录1前言42设计依据53术语和定义74建设原则85系统现状及需求分析96安全管理平台建设目标116.1集中监控告警116.2事件定位处理116.3安全关联分析116.4实时风险管理126.5安全运维流程126.6安全管理流程126.7策略知识体系127安全管理平台方案设计147.1平台概述147.2系统组成147.3系统架构157.4平台功能描述177.4.1集中展示模块177.4.2运行监控模块197.4.3业务处理模

2、块247.4.4业务统计模块287.4.5关联分析307.4.6安全态势分析317.4.7关键安全管理指标分析327.4.8业务配置模块327.4.9平台管理模块367.4.10接入交换管理模块407.5系统接口427.6部署方式437.6.1单级部署437.6.2级联部署447.7运行环境要求458启明星辰公安安全管理平台特性优势478.1多层次的安全事件管理478.1.1安全专项系统的信息采集478.1.2支持分布式日志采集488.1.3详尽的日志范式化与事件分类498.1.4智能化安全事件关联分析498.1.5可视化安全事件分析508.2多维度的业务处理过程508.2.1丰富的业务流程分

3、类508.2.2灵活的流程定制能力518.3全方位的IT系统性能与可用性监控528.3.1网络拓扑管理528.3.2支持多种监控对象528.3.3全方位细粒度监控538.4基于风险矩阵的量化安全风险评估548.5指标化的宏观态势感知558.5.1地址熵态势分析558.5.2威胁态势分析558.5.1关键安全管理指标分析568.6丰富灵活的报表报告568.6.1可扩展的报表内容568.6.2公安业务考核支持568.7可运维的多级管理架构578.7.1级联内容578.7.2虚拟下级578.8对用户网络和业务影响最小578.9完善的系统自身安全性保证588.10有好的用户交互体验599二次开发模块及

4、系统对接说明599.1二次模块开发说明599.2与XX公安现有系统对接说明6010成功案例6010.1成功案例名单6010.2典型案例6111项目预算641 前言网络的快速发展为经济建设和社会发展带来了巨大的影响，随着信息化建设的飞速发展，信息安全系统已成为XX公安工作的重要资源和基础平台。目前XX公安的安全专项系统主要有：“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统。近年来公安网络安全问题呈现日益严重的趋势，从公安部的相关统计数据中可以看出，“一机两用”违规事件、病毒传播率、漏洞发生率等涉及

5、网络安全的考核指标，都在不同程度的增加。因为信息泄密、信息遭受破坏等带来的损失越来越令人触目惊心。在这种大的形势下，网络安全的重要性被提到了前所未有的高度。由于公安以往的信息系统都是针对具体的应用进行设计，未考虑系统的综合管理，所以在管控手段和管控水平上极需加强。另外，随着公安信息应用的进一步推进，对信息安全的日常运维和应急预案等方面提出了更高的要求，切实需要建立省市两级信息通信部门的快速反应机制，强化信息系统基础平台的安全管理，建设可信的信息系统环境，为公安各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。2 设计依据国际国内标准和规范：l 中华人民共和国保守国家秘密法

6、l 中华人民共和国保守国家秘密法实施办法l 中共中央关于加强新形势下保密工作的决定（中发199716号）l 计算机信息系统保密管理暂行规定（国保发19981号）l 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法（中保办发19986号）l 关于加强政府上网信息保密管理的通知（国保发19994号）l 计算机信息系统国际联网保密管理规定（国保发199910号）l 关于加强计算机信息网络保密管理的通知（中保委发20024号）l 国家信息化领导小组关于我国电子政务建设指导意见（中办发200217号）l 国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）l 关于加强信息安

7、全保障工作中保密管理的若干意见（中保委发20047号）l 涉及国家秘密计算机信息系统集成资质管理办法（国保发20055号）l 信息系统保密管理规定中华人民共和国保密标准：l BMZ1-2000涉及国家秘密的计算机信息系统保密技术要求l BMZ2-2001涉及国家秘密的计算机信息系统安全保密方案设计指南l BMZ3-2001涉及国家秘密的计算机信息系统安全保密测评指南l BMB3-1999处理涉密信息的电磁屏蔽室的技术要求和测试方法l BMB4-2000电磁干扰器技术要求和测试方法l BMB5-2000涉密信息设备使用现场的电磁泄漏发射防护要求l BMB10-2004涉及国家秘密的计算机网络安全

8、隔离设备的技术要求和测试方法l BMB11-2004涉及国家秘密的计算机信息系统防火墙安全技术要求l BMB12-2004涉及国家秘密的计算机信息系统漏洞扫描产品安全技术要求l BMB13-2004涉及国家秘密的计算机信息系统入侵检测产品技术要求l BMB15-2004涉及国家秘密的信息系统安全审计产品技术要求l BMB16-2004涉及国家秘密的信息系统安全隔离与信息交换产品技术要求GB及参考文献：l GB 17859-1999 计算机信息系统安全保护等级划分准则。l GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第一部分：简介和一般模型（idt ISO/I

9、EC 15408-1：1999。l GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第二部分：安全功能要求（idt ISO 15408-2:1999）。l GB/T 18336.3-2001 信息技术 安全技术 信息技术安全性评估准则 第三部分：安全保证要求（idt ISO 15408-3:1999）。l GB/T 9387.2-1995 信息系统 开放系统互连 基本参考模型 第2部分：安全体系结构。l ISO/IEC 17799：2000信息技术 信息安全管理实用规则。l BMB17-2006 涉及国家秘密的计算机信息系统分级保护技术要求。l GB 50174

10、-1993 电子计算机机房设计规范。l GB/T20269-2006 信息安全技术 信息系统安全管理要求。l ISO/IEC TR 18044:2004，信息技术 安全技术信息安全事件管理。l GB/T20270-2006 信息安全技术 网络基础安全技术要求。l GB/T20282-2006 信息安全技术 信息系统安全工程管理要求。l GB/T20271-2006 信息安全技术 信息系统通用安全技术要求。3 术语和定义下列术语和定义适用于本方案。术语解释安管平台本规范中的“安管平台”特指公安集中安全管理平台。它是实现公安信息网信息安全管理的技术支撑平台。它以流程和标准化的方法为手段，实现安全业

11、务监控和安全事件的处理，为安全运营和管理提供支撑。安全专项系统为特定安全目标建立的安全系统，包括但不限于现有的几大系统：“一机两用”监控系统、补丁分发系统、病毒监控预警系统、边界安全接入平台、入侵监测系统、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统。工单指为了完成某个具体业务请求所使用的协同工作载体，承载内容包括业务状态、业务数据和业务要求等，按业务处理流程进行流转。活动活动组成了业务流程中的步骤和任务，是按照规范流程要求而采取的动作，在安管平台中，活动包括判断、响应、流转、处置等。业务流程业务流程是为达到特定的价值目标而由不同的人协作完成的一系列活动。活动之间

12、不仅有严格的先后顺序限定，而且活动的内容、方式、责任等也都必须有明确的安排和界定，以使不同活动在不同岗位角色之间进行转手交接成为可能。本文主要指信通网中与安全运行管理相关的签到、巡检、签收、通报告警、响应处理、审核等流程。安全事件由计算机信息系统或者网络中的各种设备与系统，例如安全子系统、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。安全策略安全策略是各种论述、规则和准则的集合，用以解释和说明公安信息网资源使用以及网络与业务保护的方式和要求。4 建设原则1) 安全性。XX公安的SOC安全管理平台建设，必须具备在各个层次上的安全策略、体系和管理办法，并系统地解决安全问题的能力。2

13、) 有效性和实用性。网络的安全对所有用户是透明的，操作的人机界面必须达到安全、简捷、方便，同时不影响现有网络安全的功能和系统的正常运行。3) 开放性。网络安全系统和设备，必须适应多种软、硬件平台和通讯的能力。4) 自主性和可控性。根据国家相关的法规和政策，在安全建设的过程中，安全设备必须通过国家有关管理部门（主要是公安部门）的认可或认证，保证其配置及设备的合法性。5) 适应性和可扩展性。所采取的措施必须能随着网络性能及安全需求的变化而变化，要具备可扩充性和可升级性，以适应将来网络规模的发展。6) 业务符合性。平台所提供的事件监控、处理流程，必须符合公安行业的实际工作特性与工作过程。7) 可管理

14、性。网络安全系统必须具备良好的可管理性。5 系统现状及需求分析目前XX公安信息专网涉及地域广泛，包括省厅及直属单位、个地市，多个区县等接入单位；应用系统繁多，共有100多个应用系统。随着XX公安信息网的不断发展，网络范围越趋扩大，主机设备、网络设备、安全设备数量也随之不断地增长，并且种类繁多、部署分散，这些系统每天都要产生成千上万的各类安全事件和告警信息。XX公安非常重视公安信息安全建设，目前建成包括“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、PKI/PMI系统、漏洞扫描系统、违规网站及信息扫描系统、异常流量监测系统、应急响应系统等安全专项系统，这些系统在省厅及各地市得到应用，但各个系统提供独立的安全管理监控平台，形成多个“信息孤岛”，缺乏全网统一的安全状况实时监控了解工具，缺乏安全策略与安全技术相结合的沟通手段，没有一套完善的安全管理机制，没有专门负责安全监控的组织和人员，现有的安全管理、安全监控手段已经不能满足日益扩展的复杂的信息安全保障的需要，因此难以有效发挥其功能作用。目前XX省公安厅的安全管