【正文】 對(duì)告警的統(tǒng)計(jì)展示，包括數(shù)據(jù)分布圖、趨勢(shì)圖等。由于UNIX和多數(shù)網(wǎng)絡(luò)設(shè)備不支持對(duì)SSH、Telnet數(shù)據(jù)的采集，應(yīng)該提供解決方案，實(shí)現(xiàn)對(duì)該類數(shù)據(jù)采集、實(shí)時(shí)監(jiān)控、回放分析功能，保證審計(jì)完整性?？梢詫?duì)事件監(jiān)視器的監(jiān)控內(nèi)容和策略進(jìn)行集中化定制；可根據(jù)設(shè)備類型、操作系統(tǒng)版本、網(wǎng)絡(luò)服務(wù)等屬性定制監(jiān)控內(nèi)容；可根據(jù)目前常見(jiàn)的攻擊事件，定制監(jiān)控內(nèi)容；可提供用戶自定義和策略模板二種方式；支持根據(jù)不同的安全事件等級(jí)，定制不同的響應(yīng)方式。事件報(bào)警方式，支持以下方式?，F(xiàn)有各種審計(jì)規(guī)則，支持薩班斯審計(jì)。具體要求如下：具備常見(jiàn)網(wǎng)絡(luò)攻擊行為分析數(shù)據(jù)庫(kù)，包括DDOS攻擊、網(wǎng)絡(luò)信息嗅探、漏洞掃描、網(wǎng)絡(luò)蠕蟲(chóng)、木馬攻擊等常見(jiàn)網(wǎng)絡(luò)攻擊行為的縱向邏輯分析；具備自定義網(wǎng)絡(luò)攻擊行為功能，可以通過(guò)可視化的流程圖的定義某種網(wǎng)絡(luò)攻擊行為；給出事件關(guān)聯(lián)相關(guān)度的定量分析；可根據(jù)網(wǎng)絡(luò)安全的動(dòng)態(tài)情況，自適應(yīng)過(guò)濾相關(guān)度較低的事件；可根據(jù)用戶過(guò)濾策略過(guò)濾事件；支持對(duì)下列安全事件類型的分析DDOS攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)蠕蟲(chóng)郵件病毒垃圾郵件Spoofing非授權(quán)訪問(wèn)企圖入侵行為木馬非法掃描可疑URL用戶定義類型賣方需說(shuō)明系統(tǒng)實(shí)現(xiàn)基于事件、基于資產(chǎn)和基于知識(shí)的關(guān)聯(lián)分析的具體原理和規(guī)則定義方法；所有事件可以轉(zhuǎn)發(fā)給風(fēng)險(xiǎn)管理系統(tǒng)進(jìn)行進(jìn)一步的分析； 審計(jì)與響應(yīng)支持設(shè)備管理，可以按照設(shè)備查看事件和日志。包括但不限于現(xiàn)有設(shè)備要求支持對(duì)以下路由和交換設(shè)備的安全事件實(shí)時(shí)監(jiān)控和分析：CiscoJuniperRadware華為Extreme港灣要求支持對(duì)以下主機(jī)系統(tǒng)安全事件的實(shí)時(shí)監(jiān)控和分析：Windows 2000、Windows200Windows XP等Sun Solaris系列HP UNIX 系列IBM AIX系列LINUXSCO要求支持以下主流防火墻的實(shí)時(shí)監(jiān)控和分析：Cisco PIXNokia CheckPoint NGJiniper/NetScreenLinktrust要求支持以下主流IDS/IPS的實(shí)時(shí)監(jiān)控和分析：安氏（LinkTrust）啟明星辰Juniper綠盟（冰之眼ICEYE）Cisco SecuIDSISS RealSecure要求支持以下主流漏洞掃描的實(shí)時(shí)監(jiān)控和分析：安氏綠盟ISS啟明星辰要求支持以下主流防病毒產(chǎn)品的實(shí)時(shí)監(jiān)控和分析TrendMicroMcAfeeSymantecCA Kill要求能接收來(lái)自網(wǎng)管系統(tǒng)的實(shí)時(shí)事件信息HP OpenViewCisco CiscoWorksIBM Tivoli要求支持多種應(yīng)用系統(tǒng)TomcatAPACHEISS考慮網(wǎng)絡(luò)設(shè)備管理信息的通用性，要求代理通過(guò)通用協(xié)議或應(yīng)用服務(wù)收集設(shè)備信息，具體要求支持：SNMP vSNMP vSNMP v3SNMP TrapSysLogODBC網(wǎng)絡(luò)SOCKET接口File第三方agent或者應(yīng)用程序等安全事件收集方式應(yīng)對(duì)信息進(jìn)行標(biāo)準(zhǔn)化（正則化）處理，系統(tǒng)應(yīng)支持事件的標(biāo)準(zhǔn)化，可根據(jù)安全策略與不同屬性組合對(duì)安全事件重新定級(jí)。應(yīng)可以依據(jù)設(shè)定的審計(jì)策略對(duì)標(biāo)準(zhǔn)化的安全事件進(jìn)行審計(jì)分析。系統(tǒng)通過(guò)比較當(dāng)前文件屬性與基線數(shù)據(jù)庫(kù)的差別，提供廣泛及快速的變動(dòng)檢查的能力，主要通過(guò)以下幾個(gè)方面實(shí)現(xiàn)：可以支持多種算法，通過(guò)對(duì)不同簽名算法的支持，來(lái)保證文件修改的檢查；可以對(duì)文件的多種屬性進(jìn)行監(jiān)控，保證對(duì)文件內(nèi)容以及對(duì)文件數(shù)據(jù)的未授權(quán)操作；可以根據(jù)文件的不同賦予不同的嚴(yán)重級(jí)別，當(dāng)檢測(cè)到文件完整性遭到破壞時(shí)，安全管理員可以根據(jù)嚴(yán)重級(jí)別安排處理工作；可以支持不同的響應(yīng)方式，當(dāng)文件完整性發(fā)生變化時(shí)，可以通過(guò)電子郵件、短信、SYSLOG等方式提醒相關(guān)的安全人員；對(duì)UNIX系統(tǒng)中的文件，檢查的屬性應(yīng)包括但不限于以下方面：Permissions Inode number Number of links (. inode reference count)User ID of owner Group ID of owner File type File size Device number of the disk on which the inode is stored Device number of the device to which the inode points.Number of blocks allocatedAccess timestamp Modification timestampInode creation / modification timestamp對(duì)WINDOWS系統(tǒng)中的文件，檢查的屬性應(yīng)包括但不限于以下方面：Archive flag Read only flag Hidden flag Offline flag Temporary flag System flag Directory flag Last access time Last write time Create time File sizeMSDOS nameNTFS Compressed flag NTFS Owner SID NTFS Group SID NTFS DACL NTFS SACL Security descriptor controlSize of security descriptor for this object 0 to 4 hashes of the default data streamNumber of NTFS data streams0 to 4 hashes of nondefault data streams另外，在WINDOWS系統(tǒng)中，應(yīng)該支持對(duì)以下的注冊(cè)表選項(xiàng)的檢查：Registry type: key or valueOwner SID Group SID DACL SACL Name of class Number of subkeys Maximum length of subkey nameMaximum length of classnameNumber of values Maximum length of the value nameMaximum length of data for any value in the key Security descriptor controlSize of security descriptorLast write timeRegistry type: key or valueType of value data Length of value data對(duì)于完整性檢查算法，要求如下：文本逐行比對(duì)數(shù)據(jù)的CRC32 hash數(shù)據(jù)的MD5 hash數(shù)據(jù)的SHA hash數(shù)據(jù)的HAVAL hash對(duì)系統(tǒng)端口的管理主要從以下幾個(gè)方面：端口發(fā)現(xiàn)和變更管理ISMP系統(tǒng)可以自動(dòng)收集服務(wù)器上開(kāi)放的端口，并記錄每次的收集情況，收集完成后對(duì)比端口的變化，并對(duì)安全管理員作出提醒；端口登記將安全對(duì)象上正在使用和開(kāi)放的端口進(jìn)行登記，并記錄端口運(yùn)行服務(wù)和使用情況； 安全事件管理事件管理中呈現(xiàn)到系統(tǒng)中的是經(jīng)過(guò)收集、過(guò)濾、歸并、分析處理后的安全威脅數(shù)據(jù)，分別對(duì)應(yīng)安全事件收集、安全事件標(biāo)準(zhǔn)化、安全事件過(guò)濾、安全事件歸并和安全事件關(guān)聯(lián)的功能。掃描結(jié)果必須包括以下信息：IP地址操作系統(tǒng)類型操作系統(tǒng)脆弱性的端口和范圍漏洞名稱和編號(hào)漏洞的描述漏洞的解決措施掃描器的必須能夠支持以下范圍的掃描：瀏覽器各種操作系統(tǒng)，如：A/UX, AIX, Digital UNIX, FreeBSD, HP/UX, IRIX, Linux(kernel ,), MacOS, NetBSD, Novell NetWare, OS/2, OpenBSD, OpenVMS, SCO Unix, Solaris, VxWorks, Windows, ULTRIX 等各種網(wǎng)絡(luò)設(shè)備，如：支持眾多的網(wǎng)絡(luò)交換機(jī)、路由器、網(wǎng)絡(luò)打印機(jī)、WAP接入設(shè)備、VPN 設(shè)備、防護(hù)墻等設(shè)備支持DOS/DDOS、木馬、IP欺騙、PROXY等的掃描；支持端口掃描； 配置管理配置管理：配置脆弱性信息收集腳本主要用于收集重要主機(jī)系統(tǒng)上與安全相關(guān)的系統(tǒng)信息，并通過(guò)與脆弱性管理系統(tǒng)中相關(guān)安全基線的比較，不符合基線的會(huì)被作為弱點(diǎn)匯集到脆弱性管理模塊，分析獲得系統(tǒng)的安全脆弱性信息。 SOC平臺(tái)功能具體說(shuō)明 脆弱性管理各種重要的主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備上存在的安全脆弱性是影響中國(guó)電信網(wǎng)絡(luò)安全的重要潛在風(fēng)險(xiǎn)，為了了解網(wǎng)絡(luò)中主機(jī)和網(wǎng)絡(luò)設(shè)備的安全脆弱性狀況，在SOC平臺(tái)中將建設(shè)脆弱性管理模塊，實(shí)現(xiàn)對(duì)重要主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全脆弱性信息的收集和管理。 安全對(duì)象層：SOC平臺(tái)所管理的資產(chǎn)，包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全設(shè)備（如防火墻、IDS/IPS等）、應(yīng)用系統(tǒng)、數(shù)據(jù)和信息、多個(gè)安全對(duì)象構(gòu)成的安全對(duì)象組等。216。3 SOC平臺(tái)功能及技術(shù)要求 SOC平臺(tái)目標(biāo)功能架構(gòu) SOC平臺(tái)的目標(biāo)功能架構(gòu)從邏輯上可分為以下幾個(gè)層次：數(shù)據(jù)發(fā)布層、安全事件處理層、數(shù)據(jù)采集層、協(xié)議服務(wù)層、安全對(duì)象層、外部接口層，如下圖所示：IP承載網(wǎng)、IP網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)、IP網(wǎng)所承載的業(yè)務(wù)網(wǎng)絡(luò)、電信內(nèi)部網(wǎng)絡(luò)以及電信內(nèi)部業(yè)務(wù)系統(tǒng)、安全業(yè)務(wù)系統(tǒng)安全對(duì)象層防火墻終端管理主機(jī)網(wǎng)絡(luò)設(shè)備應(yīng)用IDS/IPS防毒補(bǔ)丁管理……協(xié)議服務(wù)層SNMP/TrapNetflowSyslogTelnetXML……數(shù)據(jù)采集層事件采集漏洞采集配置采集資產(chǎn)發(fā)現(xiàn)性能采集安全事件處理層專業(yè)安全子系統(tǒng)垃圾郵件處理系統(tǒng)異常流量監(jiān)控系統(tǒng)域名安全分析系統(tǒng)防御平臺(tái)網(wǎng)管系統(tǒng)攻擊溯源分析系統(tǒng)僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)安全態(tài)勢(shì)分析系統(tǒng)蜜罐系統(tǒng)終端安全管理系統(tǒng)…………SOC主體功能脆弱性管理安全事件管理安全風(fēng)險(xiǎn)管理安全告警管理資源管理系統(tǒng)接口網(wǎng)管系統(tǒng)接口綜合告警系統(tǒng)接口電子工單系統(tǒng)接口安全業(yè)務(wù)系統(tǒng)接口計(jì)費(fèi)帳務(wù)系統(tǒng)接口3A系統(tǒng)接口上下級(jí)平臺(tái)接口其它系統(tǒng)接口外部接口安全服務(wù)管理風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)控制安全響應(yīng)管理安全對(duì)象管理安全預(yù)警管理安全運(yùn)維管理知識(shí)庫(kù)管理報(bào)表統(tǒng)計(jì)管理安全作業(yè)管理對(duì)外保障服務(wù)管理權(quán)限管理日志管理數(shù)據(jù)發(fā)布層統(tǒng)一門(mén)戶、統(tǒng)一認(rèn)證安全策略管理安全任務(wù)管理信息發(fā)布及BBS系統(tǒng)管理任務(wù)調(diào)度告警漏洞展現(xiàn)內(nèi)容風(fēng)險(xiǎn)事件性能配置預(yù)警考核報(bào)表……用戶身份管理用戶管理權(quán)限管理216。各省的SOC平臺(tái)則主要負(fù)責(zé)各省管轄范圍內(nèi)的IP城域網(wǎng)、相關(guān)業(yè)務(wù)系統(tǒng)以及各省內(nèi)部支撐系統(tǒng)的相關(guān)設(shè)備及其安全系統(tǒng)?；ヂ?lián)網(wǎng)接入用戶為有安全服務(wù)需求的客戶網(wǎng)絡(luò)提供安全代維、DDOS攻擊防御、安全網(wǎng)關(guān)等電信級(jí)安全業(yè)務(wù)的集中業(yè)務(wù)管理。同時(shí)在中國(guó)電信全業(yè)務(wù)運(yùn)營(yíng)的新形勢(shì)下，各類安全業(yè)務(wù)也正在進(jìn)行積極的研發(fā)和推廣。二者都通過(guò)采集網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備的Syslog獲得處理的數(shù)據(jù)源，但網(wǎng)管系統(tǒng)主要處理網(wǎng)絡(luò)和主機(jī)設(shè)備的硬件故障信息，如端口的up\down，內(nèi)存使用狀況等，SOC平臺(tái)主要處理安全方面的信息，如用戶在設(shè)備上的登入、登出信息、端口流量等；另外，SOC平臺(tái)的數(shù)據(jù)源除主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備外，還包括安全設(shè)備以及相關(guān)專業(yè)安全子系統(tǒng)。 SOC平臺(tái)在網(wǎng)絡(luò)安全體系中所處的地位網(wǎng)絡(luò)安全體系通常體現(xiàn)在三個(gè)層面：第一層，各系統(tǒng)自身安全防護(hù)，是各應(yīng)用系統(tǒng)和安全對(duì)象自身的基礎(chǔ)防護(hù)措施，降低自身的安全風(fēng)險(xiǎn)；第二層，安全產(chǎn)品防護(hù)，是在各系統(tǒng)自身基礎(chǔ)防護(hù)措施之上，對(duì)應(yīng)用系統(tǒng)和安全對(duì)象采取的外圍防護(hù)措施，主要應(yīng)對(duì)外部的安全威脅；第三層，統(tǒng)一安全管理，是通過(guò)安全集中管理將系統(tǒng)自身安全防護(hù)以及外圍安全防護(hù)產(chǎn)品所產(chǎn)生的大量安全信息進(jìn)行統(tǒng)一分析和管理，以提高安全防護(hù)效率和整體安全水平。針對(duì)這個(gè)問(wèn)題，安全管理平臺(tái)SOC（Security Operation Center）平臺(tái)成為目前很多大型行業(yè)尤其是電信行業(yè)用戶關(guān)注的一個(gè)建設(shè)方向。脆弱性Vulnerability存在于被威脅的客體上，可被威脅所利用而導(dǎo)致安全性問(wèn)題，在實(shí)際使用中，漏洞和脆弱性經(jīng)常被認(rèn)為等同而不加區(qū)分地使用。安全事件Security Events由計(jì)算機(jī)信息系統(tǒng)或者網(wǎng)絡(luò)中的各種計(jì)算機(jī)設(shè)備，例如主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等發(fā)現(xiàn)并記錄下的各種可疑活動(dòng)被稱為安全事件。 適用范圍本文檔適用于指導(dǎo)中國(guó)電信集團(tuán)及各省SOC平臺(tái)的規(guī)劃及建設(shè)工作。為了保證中國(guó)電信的網(wǎng)絡(luò)安全，提高中國(guó)電信的網(wǎng)絡(luò)安全保護(hù)水平，促進(jìn)中國(guó)電信的網(wǎng)絡(luò)安全管理工作流程化，需要建設(shè)網(wǎng)絡(luò)安全管理（SOC，Security Operation Center）平臺(tái)為安全管理工作提供一個(gè)支撐平臺(tái)。更多資料請(qǐng)?jiān)L問(wèn).(.....)此資料來(lái)自：.（....）聯(lián)系電話：020.值班手機(jī)：提供50萬(wàn)份管理資料下載3萬(wàn)集企業(yè)管理資料下載1300GB高清管理講座硬盤(pán)拷貝更多企業(yè)學(xué)院：...../Shop/《中小企業(yè)管理全能版》183套講座+89700份資料...../Shop/《總經(jīng)理、高層管理》