市电子政务监控预警平台建设方案样本Word文件下载.docx

1、电子政务外网汇聚节点或接入节点安全设备、政务用户互联网接入节点安全设备、关键信息系统边界布署安全设备、关键信息系统本身、政务网站边界布署安全设备等等。3、由专用数据采集引擎负责数据采集，数据采集引擎采取分布式布署。4、展示平台含有多元化、分层次等展示形态。二、 电子政务网络监控预警平台体系架构为了充足满足电子政务网络布署现实状况，本方案所设计监控预警平台从体系架构上可分为：IT基础层、数据采集层、数据处理层、展示层四个层面，各个层面包含了多个功效模块或子系统。该平台整体架构示意图以下：1、IT基础层为监控预警平台数据获取起源。 2、数据采集层：依据平台指定运维策略，数据采集层负责从网络设备、安

2、全设备、业务系统、服务器等采集多种安全信息、日志信息、流量信息，经过数据格式标准化、数据归并、数据压缩等处理后，提交给上层数据处理平台。3、数据处理层：将采集到原始数据根据业务系统数据、网络数据、安全数据进行分门别类，经过基于统计、基于资产、基于规则关联分析后，科学合理定义安全事件性质和处理等级，作为展示平台数据基础。4、展示层：实现整个平台灵活展示和配置管理。首先经过丰富图形化展示方法展现电子政务网络、政务用户互联网接入、关键信息系统、网站等安全情况，提供有效安全预警，降低安全破坏发生，降低安全事件所造成损失；其次对整个监控预警平台进行配置和维护。三、 IT基础层IT基础层为监控预警平台数据

3、获取起源，最少包含以下范围：1、网络设备，包含：路由器、交换机等；2、安全设备，包含：入侵检测系统、网络审计系统、病毒检测系统、漏洞扫描系统、防火墙、异常流量检测系统、网站诊疗系统等；3、应用系统，包含：主机操作系统、数据库系统、中间件系统等；4、服务器，包含：日志服务器、网管服务器等。四、 数据采集层数据采集层关键经过数据采集引擎来实现原始数据获取，为统一信息库提供基础数据。4.1 采集方法因为该平台面临政务网络内不一样单位众多类型厂商品牌设备组成多个数据起源，每一个数据起源信息全部存在较大差异，为了确保平台能够获取全方面数据，数据采集引擎在获取原始数据时，需要支持以下多个数据采集方法：1、

4、 经过配置实现采集：经过配置采集源Syslog、SNMP Trap、Socket、ODBC/JDBC、Flow等方法将事件日志、告警信息、性能参数和其它相关数据发送到数据采集引擎。2、 经过远程登录方法采集：经过Telnet/SSH等方法，由数据采集引擎模拟登录到系统上获取事件日志、告警信息、性能参数和其它相关数据。3、 安装代理实现采集：在服务器上安装采集引擎代理程序，实施后台采集服务和采集脚本，将目标系统上事件日志、告警信息、性能参数和各类事件数据搜集后发送给数据采集引擎。4、定时轮询采集：数据采集引擎经过ICMP、SNMP、ARP来获取监管对象数据。4.2 采集策略数据采集引擎，支持灵活

5、定义采集策略，包含以下：1、数据采集引擎采取分布式布署方法。因为市电子政务网络含有城域网特点，应用电子政务网络各个政务单位分布较为分散，为了确保数据获取不受地理分布限制，数据采集引擎采取分布式布署方法。2、支持动态采集策略，因为每个数据采集引擎所面临监控对象不一样，所以数据起源也会有所区分，平台能够为每个数据采集引擎配置不一样采集策略，使得每个数据采集引擎全部能够较为针正确采集相适合数据。4.3 基础数据处理监控预警平台是一个含有多数据源集成体系特点平台，平台需要数据访问透明性和实现数据源立即可用性，所以平台需要设计一个合理方案，以对来自不一样数据源多种数据进行表示，从而便于进行统一处理；其次

6、则应考虑异构数据转换问题，未来自不一样数据源多种数据转换成集成系统能深入处理统一格式；另外还必需定义基础运算，进行信息数据归并，从而能够有效完成数据查询、存取等具体功效。所以数据采集引擎在经过一定协议或文件方法采集到大量原始数据后，会对数据进行以下处理：1、数据格式统一标准化，因为数据起源来自多个不一样类型设备和系统，数据采集方法也存在着较大差异化，造成获取到原始数据格式是多个多样，所以数据采集层首先将原始数据根据平台要求数据格式，进行统一标准化处理。2、数据归并，针对海量原始数据，数据采集层会根据安全事件类型、安全事件发生时间、安全事件次数等条件对原始数据进行必需归并。3、数据压缩，当大量数

7、据在网络中传输时，势必会造成网络拥挤，影响正常业务应用。为了确保网络传输通畅，数据采集层对原始数据一定压缩处理，再提交到数据传输接口。4、数据传输，此为数据采集层向数据处理层提交数据传输接口。五、 数据处理层数据采集引擎将标准化和归并后安全告警数据、性能数据、配置数据、故障数据等信息提交给平台关键数据处理系统后，关键数据处理系统能够有效识别各类数据，并将不一样数据分发给不一样数据处理子系统进行处理，预防同一数据被不一样数据处理子系统分别处理。我们将原始数据分为三类：业务系统数据、网络数据和安全数据，所以数据处理平台设计了以下三个数据处理子系统：1、业务系统数据处理子系统；2、网络数据处理子系统

8、；3、安全数据处理子系统。5.1 业务系统数据处理子系统业务系统数据起源，关键是：业务系统、日志服务器等。数据采集平台经过程序接口访问业务系统获取关键监测数据，提交给数据处理平台后，数据处理平台进行初步判定，检测为业务系统数据，会自动提交给业务系统数据处理子系统。在业务系统数据处理子系统中，我们又将数据进行了一定分门别类，具体类别以下：1、操作系统数据；2、数据库系统数据；3、中间件系统数据。业务系统数据处理子系统定时自动向安全数据处理子系统输出数据。业务系统数据处理子系统在进行数据处理时，一旦检测到多种异常，就会生成特定安全事件，并随时输出到安全数据处理子系统，作为安全数据处理子系统数据起源

9、之一。5.1.1 操作系统数据处理 业务系统数据处理子系统在获取到操作系统数据后，会依据不一样操作系统特征，对数据进行一定处理。平台所支持操作系统类型，最少包含：Windows/服务器系统、Linux服务器系统、IBM AIX服务器系统、SUN Solaris服务器系统、HP UNIX服务器系统、Tru64服务器系统等。操作系统数据处理内容，以下表所表示：序号类别描述1基础信息整理操作系统所属主机名称、网络接口数量，每个接口IP地址/MAC地址、子网掩码等；最近二十四小时内主机操作系统连接状态统计分析2CPU静态信息整理CPU编号、关键数、CPU品牌3CPU动态信息整理统计时间、CPU使用率4

10、内存动态信息总物理内存、可用物理内存、总虚拟内存、可用虚拟内存、总页面文件大小、可用页面文件大小、统计时间、内存使用率5系统进程动态信息进程ID、使用用户、映像名称、CPU使用率、内存、统计时间6硬盘动态信息挂载点、类型、总大小、可用大小、文件系统类别、硬盘IO、统计时间7性能事件在业务系统数据处理子系统检测到某个操作系统CPU使用率、内存使用率、硬盘空间使用率等性能指标超出特定阀值时，会自动生成性能事件，随即提交给安全数据处理子系统。8故障事件在业务系统数据处理子系统检测到某个主机设备由UP状态转换为DOWN状态等，会自动生成故障事件，随即提交给安全数据处理子系统。5.1.2 数据库系统数据

11、处理业务系统数据处理子系统在获取到数据库系统数据后，会依据不一样数据库系统特征，对数据进行一定处理。平台所支持数据库系统类型，最少包含： DB2、Oracle、SQL Server、MYSQL等。数据库系统数据处理内容，以下表所表示：数据库名称、数据路径、基础目录、数据库版本、字符集、配置临时表大小、临时表目录、更新时间数据表信息表名称、行格式、行数、索引长度、表类型、目前大小、扩展大小、表创建时间、表更新时间、更新时间等信息缓存信息创建临时文件数目、创建临时表数目、在查询缓存中空闲内存块数量、查询缓存中空闲内存数量、查询缓冲请求命中率、添加到插叙缓存中查询数量、因为低内存而从查询缓存中删除查

12、询数量、注册在查询缓存中查询请求数量、在插叙缓存中块总数目、使用内存大小、打开表数量、打开过表数量、表缓存配置数、更新时间等信息线程信息缓存中线程数、为处理远程连接请求创建线程总数、目前打开连接数、处于非睡眠状态线程数、更新时间等信息锁信息表直接锁定次数、锁等候次数、更新时间等信息页和行锁信息数据页数量、脏页数目、缓冲池中页刷新请求数目、空闲页数量、页缓存池大小、页大小、目前被等候行锁数量、累计消耗在获取行锁上时间、为获取行锁平均等候时间、更新时间等信息在业务系统数据处理子系统检测到某个数据库系统表空间使用率、连接数使用率等性能指标超出特定阀值时，会自动生成性能事件，随即提交给安全数据处理子系

13、统。在业务系统数据处理子系统检测到某个数据库系统实例未开启、连接服务未开启、数据库关闭、数据库归档日志已满、数据库连接数已满等异常时，自动生成故障事件，随即提交给安全数据处理子系统。5.1.3 应用系统数据处理 业务系统数据处理子系统在获取到应用系统数据后，会依据不一样应用系统特征，对数据进行一定处理。平台能够支持应用系统类型，最少包含：IBM Websphere、Apache Tomcat、Microsoft IIS等。应用系统数据处理内容，以下表所表示：应用系统类型、应用系统版本信息、应用系统健康度，即统计二十四小时内应用系统启用状态会话动态信息会话类型、会话名称、创建会话数、失效会话数、

14、平均会话生存期、请求目前访问会话总数、目前存活会话总数、无法处理新会话请求次数、被强制逐出高速缓存会话对象数、从持久性存放读会话数据花费时间、从持久性存放读取会话数据大小、从持久性存放写会话数据花费时间、写到持久性存放会话数据大小、中止 HTTP 会话亲缘关系数、前一个和目前访问时间戳记时间之差、超时失效会话数、不再存在会话请求数、会话级会话对象平均大小、统计时间进程池动态信息名称、类型、高范围、低范围、目前、高水位、低水位、并发活动或池中线程状态、统计时间JDBC连接池动态信息名称、类型、创建连接总数、已关闭连接总数、分配连接总数、返回到池连接总数、连接池大小、池中空闲连接数、等候连接平均并

15、发线程数、池中连接超时数、正在使用池平均百分率、使用连接平均时间、在许可连接之前平均等候时间、因为高速缓存已满而废弃语句数、统计时间事务数动态信息在服务器上开始全局事务数、在服务器上已开始当地事务数、并发活动全局事务数、已落实全局事务个数、回滚全局事务数、超时全局事务数、超时当地事务数、统计时间事务平均连续时间平均时间、最小时间、最大时间、总大小、数量、总和、全局或当地状态、统计时间JVM动态信息高水位、低水位、目前、低范围、高范围、Java 虚拟机运行时中空闲内存、Java 虚拟机运行时中使用内存容量、Java 虚拟机已经运行时间数、Java 虚拟机 CPU 使用情况、统计时间EJB动态信息

16、创建bean次数、除去 bean 次数、处于就绪状态bean实例个数、并发存活bean平均数、调用 bean 远程方法次数、远程方法平均响应时间、将对象返回到池调用次数、因为池已满而放弃正在返回对象次数、池中对象平均数、传输到 bean onMessage 方法消息数、处于钝化状态 bean 个数、处于就绪状态 bean 实例个数、统计时间9在业务系统数据处理子系统检测到某个应用系统会话数、JDBC连接数、事务数、事务平均连续时间等性能指标超出特定阀值时，会自动生成性能事件，随即提交给安全数据处理子系统10在业务系统数据处理子系统检测到某个应用系统服务异常停止、业务系统不可用等异常时，自动生成

17、故障事件，随即提交给安全数据处理子系统5.2 网络数据处理子系统网络数据关键起源是：网络设备。数据采集层将原始数据提交给数据处理层后，数据处理层进行初步判定，检测为网络相关数据，会自动提交给网络数据处理子系统。网络数据处理子系统定时自动向安全数据处理子系统输出数据。网络数据处理子系统在进行数据处理时，一旦检测到多种异常，就会生成特定安全事件，并随时输出到安全数据处理子系统，作为安全数据处理子系统数据起源之一。5.2.1 网络拓扑自动发觉该子系统提供具体拓扑图元数据结构，并开放拓扑数据，提交给统一信息库，供展现层使用。网络拓扑能够最为直观地反应整个网络连接情况。自动发觉是系统拓扑中很关键一个功效

18、，它能够自动识别设备类型，包含多种服务器类型、路由器、交换机、等等，和它们之间关系，而且自动将它们存放到公用对象库中对应类中。网络管理人员经过图形管理界面能够直观查询网络拓扑关系。网络拓扑自动发觉，有三种实现协议：包含ICMP、SNMP、CDP、其中ICMP关键用于发觉网络主机节点，其耗时较长，而SNMP和CDP关键是用来搜索网络内路由器、交换机等网络设备。本方案会综合使用上述三种协议来自动发觉和生成电子政务网络拓扑、监控预警平台本身网络拓扑。5.2.2 网络设备监控数据采集平台经过SNMP数据采集方法，采集网络设备MIB数据，实时监控网络设备运行情况。网络数据处理子系统在获取到网络数据后，会

19、依据不一样网络设备特征，对数据进行一定处理。网络设备类型最少能够支持：CISCO、华为、Juniper、Foundry等。网络数据处理内容包含：1、基础信息整理：网络接口数量，每个接口IP地址/MAC地址等；2、接口信息：接口索引、接口类型、接口描述、接口速率、工作状态、管理状态、接口总流量、入口流量、出口流量；在网络数据处理子系统检测到某个网络设备CPU使用率、内存使用率、接口流量等性能指标超出特定阀值时，会自动生成性能事件，随即提交给安全数据处理子系统。在网络数据处理子系统检测到某个网络设备设备停机、接口不通等异常时，自动生成故障事件，随即提交给安全数据处理子系统。5.3.3.2 工单起源

20、 1、 安全数据处理子系统经过对安全数据分析后，生成安全事件；2、 业务系统数据处理子系统生成性能事件和故障事件；3、 网络数据处理子系统生成性能事件和故障事件；5.3.3.3 和知识库系统关联安全事件处理和知识库关联。1、安全监控人员在准备处理工单之前，能够依据内容关键字信息到知识库系统中查询符合该事件类型相关内容，包含：事件原因分析、事件处理步骤、事件总结等，取得对应处理经验。2、安全监控人员在处理完成工单后，能够将和此工单相关具体内容，如：事件原因分析、事件处理步骤、事件总结等生成相关案例，保留到知识库中，为其它人处理类似事件提供经验共享。5.3.3.4 工单实施和监控步骤当平台发觉有真

21、实安全事件时，依据预先制订工单处理步骤，平台会自动生成安全事件处理工单，此时不需要人工干预，系统自动调用服务程序经过声音、图形、短信、邮件、代理程序等方法立即通知负责处理此安全事件工单监控人员。此时也开启安全事件进入其对应处理步骤。工单实施和监控步骤含有下列特征：1、工单含有一定时限性，必需在要求时限内处理完成，假如在要求时间内未被立即处理，系统会自动修改工单状态，并自动向相关人员发送超时通知；2、当某个工单不能被此工单相关监控人员正确处理时（因为技术人员水平或时间原因），可提前终止对工单处理，并说明终止工单原因。安全监督人员负责核实终止原因，同时将工单重新派发给其它监控人员，以充足确保工单能

22、够被正常处理；3、安全监督人员可随时监督工单生成进程和处理进程，如：系统现在有多少待处理工单，有多少正在处理中，多少已经处理完成。4、系统自动统计每个工单从生成，到接收处理，四处理完成，和处理确定全部过程，此统计过程成为考评监控人员依据。5.3.4 风险管理5.3.4.1 风险计算风险管理以监控对象为基础，经过获取统一信息库中监控对象配置数据，对监控对象价值、安全威胁原因关联后计算监控对象风险值，并对监控对象风险实现动态监控。假设风险计算公式（可根椐实际情况进行调整）为：风险值f（监控对象价值，威胁可能性）；经过风险分析得到风险情况为一个数字，不一样取值范围决定了不一样风险等级，风险等级划分为

23、五个等级：等级符号对应经典安全情况取值范围VH（很高）风险很高，造成系统受到很严重影响可能性很大100125H（高）风险高，造成系统受到严重影响可能性较大7599M（中）风险中，造成系统受到影响可能性较大5074L（低）风险低，造成系统受到影响可能性较小2549VL（很低）风险很低，造成系统受到影响可能性很小024为确保安全风险管理符合监控预警平台监控深度和相关要求，可依据实际现实状况和监控对象提出具体风险计算方法，并能够在后续实施过程中进行重新设计和二次改造。5.3.4.2 风险动态监控1、 当安全事件更新后，对应监控对象风险被更新。2、 当故障事件更新后，对应监控对象风险被更新。3、 当故

24、障事件更新后，对应监控对象风险被更新。4、 当监控对象发生一些可能对风险有影响改变后，对应监控对象风险被更新。六、 展示平台6.1 安全监控展示6.1.1 分级进行展示分级展示电子政务网络安全状态。以曲线图方法展示最近一段时间电子政务网络安全风险。层次展示内容第一层政务网络整体安全风险第二层每类监控对象安全风险第三层每个监控节点安全风险第四层每个安全事件具体内容6.1.2 按地理位置展示从地理区域上看，本市现在包含近10个区县，而本平台所监控四类监控对象则较为分散地分布在不一样区县，所以本平台提供根据实际地理位置展示安全风险功效。本平台以本市地图作为地理位置展示基础图，将每个监控对象：政务外网

25、每个汇聚节点、每个政务用户互联网接入节点、每个关键信息系统、每个网站所在地理位置在基础题上实际标识出来。不一样类型监控对象用不一样形状标注，以下表所表示：不一样等级安全风险用不一样颜色标注，以下表所表示：当鼠标放置到某个监控对象上时，能够显示此监控对象相关属性：监控对象类别、监控对象风险值、监控对象最近发生事件总数等。当点击某个监控对象时，能够显示此监控对象全部具体信息，包含此监控对象基础属性、安全事件列表、故障事件列表、性能事件列表等。当点击任何一个安全事件，能够看到安全事件原始数据信息。当点击地理位置上某类监控对象时，会进入到按监控对象类别展示界面。当点击地理位置行某等级风险时，会进入到按

26、风险等级展示界面。6.1.3 按网络拓扑展示网络拓扑对象包含：政务外网网络拓扑、政务用户互联网接入网络拓扑、关键信息系统网络拓扑、政务网站网络拓扑。选择其中一个网络拓扑对象，展示层会完整展示其对应网络拓扑结构。每个监控对象在网络拓扑上全部有对应位置，而且每个监控对象用不一样颜色（或不一样图标）来标注此监控对象安全风险。 当点击某等级安全风险时，能够根据等级来查看安全事件、故障事件、性能事件等。当点击任何一个安全事件，能够看到此事件原始数据信息。6.1.4 按监控对象类别展示监控对象类别包含：政务外网、政务用户互联网接入、关键信息系统网络拓扑、政务网站四个类别。选择其中一类监控对象，如：政务外网，平台会展示政务外网33个汇聚节点安全风险情况：1、最近一段时间内，整体政务外网安全风险情况。2、整个政务外网最新TOP N个安全事件。3、整个政务外网发生安全事件频率最多TOP N个汇聚节点。4、根