【文章內(nèi)容簡介】 ：根據(jù)攻擊源進(jìn)行信息聚合分析；根據(jù)攻擊目標(biāo)進(jìn)行信息聚合分析；根據(jù)受攻擊的設(shè)備類型進(jìn)行信息聚合分析；根據(jù)受攻擊的操作系統(tǒng)類型及版本信息進(jìn)行聚合分析；根據(jù)安全事件類型進(jìn)行聚合分析；根據(jù)用戶的策略定制；根據(jù)特定時間要求和用戶策略進(jìn)行橫向事后關(guān)聯(lián)分析。支持安全事件的縱向關(guān)聯(lián)分析，即可以根據(jù)安全事件發(fā)生的因果關(guān)系，進(jìn)行邏輯上關(guān)聯(lián)分析。具體要求如下：具備常見網(wǎng)絡(luò)攻擊行為分析數(shù)據(jù)庫，包括DDOS攻擊、網(wǎng)絡(luò)信息嗅探、漏洞掃描、網(wǎng)絡(luò)蠕蟲、木馬攻擊等常見網(wǎng)絡(luò)攻擊行為的縱向邏輯分析；具備自定義網(wǎng)絡(luò)攻擊行為功能，可以通過可視化的流程圖的定義某種網(wǎng)絡(luò)攻擊行為；給出事件關(guān)聯(lián)相關(guān)度的定量分析；可根據(jù)網(wǎng)絡(luò)安全的動態(tài)情況，自適應(yīng)過濾相關(guān)度較低的事件；可根據(jù)用戶過濾策略過濾事件；支持對下列安全事件類型的分析DDOS攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)蠕蟲郵件病毒垃圾郵件Spoofing非授權(quán)訪問企圖入侵行為木馬非法掃描可疑URL用戶定義類型賣方需說明系統(tǒng)實現(xiàn)基于事件、基于資產(chǎn)和基于知識的關(guān)聯(lián)分析的具體原理和規(guī)則定義方法；所有事件可以轉(zhuǎn)發(fā)給風(fēng)險管理系統(tǒng)進(jìn)行進(jìn)一步的分析； 審計與響應(yīng)支持設(shè)備管理，可以按照設(shè)備查看事件和日志。支持日志檢索，可是在一定范圍內(nèi)對指定條件檢索日志。支持日志分析，可以按照指定條件動態(tài)分析各種日志排名、分布和關(guān)聯(lián)。支持日志審計規(guī)則制定和應(yīng)用，可以將一般事件和審計日志區(qū)分開來，審計日志和一般事件支持單獨存放?，F(xiàn)有各種審計規(guī)則，支持薩班斯審計。支持日志分類，分類可以自定義。支持將事件和日志備份和導(dǎo)入。支持NTP服務(wù)。事件報警方式，支持以下方式?？梢暬瘓D形顯示；SNMP Trap；郵件，郵件正文需嵌入工單鏈接；短信；賣方詳細(xì)列舉支持的事件報警方式。事件報警級別的定制，安全事件的分級集中展示。支持IP設(shè)備事件監(jiān)控的內(nèi)容和策略定制功能?？梢詫κ录O(jiān)視器的監(jiān)控內(nèi)容和策略進(jìn)行集中化定制；可根據(jù)設(shè)備類型、操作系統(tǒng)版本、網(wǎng)絡(luò)服務(wù)等屬性定制監(jiān)控內(nèi)容；可根據(jù)目前常見的攻擊事件，定制監(jiān)控內(nèi)容；可提供用戶自定義和策略模板二種方式；支持根據(jù)不同的安全事件等級，定制不同的響應(yīng)方式。 其他要求與風(fēng)險管理的無縫集成，能夠與風(fēng)險管理無縫集成，將安全事件實時傳遞到風(fēng)險管理系統(tǒng)中，以進(jìn)行風(fēng)險管理。系統(tǒng)提供多種報表和審計功能。系統(tǒng)自帶統(tǒng)計引擎，報表數(shù)據(jù)通過統(tǒng)計引擎數(shù)據(jù)生成，而非重原始數(shù)據(jù)中生成。由于UNIX和多數(shù)網(wǎng)絡(luò)設(shè)備不支持對SSH、Telnet數(shù)據(jù)的采集，應(yīng)該提供解決方案，實現(xiàn)對該類數(shù)據(jù)采集、實時監(jiān)控、回放分析功能，保證審計完整性?？墒菍崟r查看所有采集服務(wù)器和核心服務(wù)器的狀態(tài)。支持用戶權(quán)限管理，可以按照功能授權(quán)。系統(tǒng)自帶日志管理，可以管理自身日志。 安全告警管理 安全告警集中呈現(xiàn)SOC應(yīng)支持對安全告警的集中呈現(xiàn)，可以在工作臺界面進(jìn)行告警信息的詳細(xì)描述，告警內(nèi)容主要應(yīng)包括但不限于以下內(nèi)容：安全告警編號安全告警名稱安全告警發(fā)生的主機安全告警級別安全告警發(fā)生時間安全告警確認(rèn)操作人員安全告警確認(rèn)操作時間安全告警清除操作人員安全告警清除操作時間安全告警報送次數(shù)安全告警狀態(tài)（包括是否確認(rèn)、是否派單、是否清除）安全告警內(nèi)容描述SOC應(yīng)支持對告警的統(tǒng)計展示，包括數(shù)據(jù)分布圖、趨勢圖等。SOC應(yīng)支持對告警的圖形化顯示，在顯示界面上可以通過顏色標(biāo)識、聲音、等方式進(jìn)行安全告警的呈現(xiàn)，告警呈現(xiàn)的方式可以通過規(guī)則定義的方式進(jìn)行配置。SOC應(yīng)支持對當(dāng)前告警、歷史告警的檢索和查詢，可以根據(jù)當(dāng)前告警事件反向追溯派生相關(guān)告警的事件和安全對象。 安全告警規(guī)則設(shè)置根據(jù)告警的性質(zhì)，SOC把告警生成規(guī)則分為四類。事件類告警生成規(guī)則，告警定義方法：定義事件匹配方向，分為“先源，然后目標(biāo)，最后設(shè)備地址；僅目標(biāo)地址；僅設(shè)備；全部”四種定義分析的事件范圍，可以通過過濾器設(shè)定選擇是否關(guān)聯(lián)，即是否啟用定損關(guān)聯(lián)是否要啟用告警觸發(fā)條件，如按名稱、級別一分鐘達(dá)到60條，才產(chǎn)生告警設(shè)置最終產(chǎn)生的告警名稱和級別是否要做告警追加，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則、嚴(yán)重級別、事件分類、事件子類、事件名稱漏洞類告警生成規(guī)則，告警定義方法：選擇要分析漏洞，這可通過過濾器設(shè)定，過濾條件為漏洞名稱和漏洞級別選擇是否關(guān)聯(lián)，即是否啟用定損關(guān)聯(lián)設(shè)置最終產(chǎn)生的告警名稱和級別是否要做告警追加，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則配置變更類告警，告警定義方法：選擇要分析漏洞，這可通過過濾器設(shè)定，過濾條件為配置變更名稱和配置變更級別設(shè)置最終產(chǎn)生的告警名稱和級別是否要做告警追加，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則脆弱性類告警生成規(guī)則，定義方法如下選擇要分析的脆弱性，這可通過過濾器設(shè)定，過濾條件為脆弱性名稱和脆弱性級別設(shè)置最終產(chǎn)生的告警名稱和級別是否要做告警追加，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則。 安全響應(yīng)管理SOC的安全響應(yīng)管理實現(xiàn)了安全事件從采集、處理、告警到人工的運維處理的自動化和流程化管理，對由安全事件管理模塊生成的安全告警，在安全響應(yīng)模塊里進(jìn)行響應(yīng)處理。實現(xiàn)安全風(fēng)險與運維管理的緊密聯(lián)系。SOC內(nèi)置響應(yīng)中心，用戶可以定義各種響應(yīng)條件，支持對滿足用戶條件的事件觸發(fā)相應(yīng)的響應(yīng)，支持的相應(yīng)方式應(yīng)有：SNMP Trap、Syslog、短信、Email、圖形化顯示、工單、預(yù)警等。SOC通過設(shè)定的安全告警響應(yīng)方式形成工作單，發(fā)送到安全響應(yīng)管理模塊，安全響應(yīng)模塊按照安全運維的設(shè)定流程進(jìn)行流轉(zhuǎn)并最終到達(dá)該告警的負(fù)責(zé)人，該負(fù)責(zé)人進(jìn)行告警事件的處理，在處理過程中，各狀態(tài)可查看、可追蹤。SOC應(yīng)支持通過規(guī)則配置方式實現(xiàn)對工作單的自動化處理：自動創(chuàng)建 可以根據(jù)安全告警響應(yīng)規(guī)則自動創(chuàng)建安全響應(yīng)工作單；自動分派 能根據(jù)事件發(fā)生的時間段、地點、性質(zhì)、設(shè)備的關(guān)鍵程度等因素自動確定負(fù)責(zé)單位或人員，自動響應(yīng)。例如。上下班時間響應(yīng)方式不同，不同地區(qū)出現(xiàn)的事件響應(yīng)方式不同等；自動關(guān)單 告警處理完成一定時間后沒有關(guān)閉的，系統(tǒng)可以自動關(guān)閉，提高工作效率； 安全對象管理安全對象管理是安全對象信息存儲、安全對象的導(dǎo)入和導(dǎo)出、業(yè)務(wù)系統(tǒng)的定義和管理。安全對象是用于網(wǎng)絡(luò)安全保護(hù)工作和網(wǎng)絡(luò)安全工作保護(hù)的企業(yè)網(wǎng)絡(luò)、設(shè)備、應(yīng)用、數(shù)據(jù)，安全對象的價值不僅僅包括其采購價值，還包括其受侵害后導(dǎo)致的企業(yè)損失。安全對象類型應(yīng)包括：主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)和信息。安全運行管理系統(tǒng)是以安全對象為基礎(chǔ)建立的，所有安全信息（例如事件、漏洞等）的存放、查看都是以安全對象為視角的。在安全對象管理中，安全對象應(yīng)包含以下通用屬性：安全對象名稱：設(shè)備或系統(tǒng)在ISMP系統(tǒng)中的名稱。安全對象編號：設(shè)備或系統(tǒng)在ISMP中的編號，如果企業(yè)制定了統(tǒng)一的編號規(guī)范，則參考此規(guī)范，否則建議同安全對象名稱；標(biāo)準(zhǔn)系統(tǒng)：標(biāo)準(zhǔn)系統(tǒng)是運行在安全對象上的操作系統(tǒng)，例如windows2000 server、IBM AIX等；安全對象類別：安全對象類別包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端等；IP地址：設(shè)備的IP地址；風(fēng)險相對改善度：說明安全對象風(fēng)險持續(xù)改善的程度，初始值為0，后面計算為風(fēng)險改善的百分比；響應(yīng)人：對安全對象進(jìn)行維護(hù)的相關(guān)人員；責(zé)任人：負(fù)責(zé)管理安全對象的人員；所屬業(yè)務(wù)系統(tǒng)：安全對象所在業(yè)務(wù)系統(tǒng)，；地理位置：安全對象所在的物理地理位置，例如北京、南京、上海等自動確認(rèn)閥值：安全對象風(fēng)險自動確認(rèn)閥值，處于閥值以下的安全事件系統(tǒng)可以自動確認(rèn)，處于閥值以上的安全事件必要要人工進(jìn)行手工確認(rèn)處理；安全對象價值：安全對象在風(fēng)險計算中的價值體現(xiàn)值，具體安全對象取值范圍和安全對象價值的計算見《中國移動安全運行管理系統(tǒng)（ISMP）安全對象管理規(guī)范》；完整性：具體賦值標(biāo)準(zhǔn)見《中國移動安全運行管理系統(tǒng)（ISMP）安全對象管理規(guī)范》；機密性：具體賦值標(biāo)準(zhǔn)見《中國移動安全運行管理系統(tǒng)（ISMP）安全對象管理規(guī)范》；可用性：具體賦值標(biāo)準(zhǔn)見《中國移動安全運行管理系統(tǒng)（ISMP）安全對象管理規(guī)范》；安全對象，除了具備以上通用屬性外，對不同類型的安全對象，還應(yīng)該具有以下特有安全屬性：主機或終端設(shè)備需要采集的安全屬性包括： 防病毒屬性：設(shè)備安裝防病毒軟件情況，用于查看主機或終端設(shè)備的病毒版本和病毒處理情況，需要防病毒系統(tǒng)支持；補丁屬性：設(shè)備已安裝及未安裝的補丁情況，用于查看補丁情況，需要終端管理系統(tǒng)支持；承載業(yè)務(wù)：該主機上運行的應(yīng)用軟件，如應(yīng)用系統(tǒng)、數(shù)據(jù)庫等，用于核對服務(wù)應(yīng)用情況；漏洞屬性：主機的漏洞情況，用于查看漏洞情況，需要掃描器支持；日志屬性：主機運行日志記錄，用于掌握主機安全運行狀態(tài)；賬號口令策略屬性：主機的賬號口令策略；主機端口配置屬性；主機端口使用信息，包括開放的端口和服務(wù)；主機啟動項配置變更屬性：主機自動啟動項的相關(guān)配置情況，用于檢查主機啟動項的完整性；主機文件配置變更屬性：主機中重要文件的相關(guān)屬性，用于檢查重要文件的完整性；主機進(jìn)程屬性：主機中運行進(jìn)程的相關(guān)情況，用于查看進(jìn)程狀態(tài)；操作系統(tǒng)配置屬性：主機中操作系統(tǒng)配置情況，用于檢查主機操作系統(tǒng)完整性；安全設(shè)備防火墻需要采集的安全屬性包括：日志：防火墻本身的安全日志信息，用于檢查防火墻的安全運行信息；事件：指防火墻上已發(fā)生或正在發(fā)生的一些活動，需要關(guān)聯(lián)到具體的設(shè)備，用于安全對象的事件關(guān)聯(lián)；流量：防火墻流量信息，用于發(fā)現(xiàn)網(wǎng)絡(luò)上的異常信息；接口狀態(tài)：防火墻接口狀態(tài)信息，如UP或DOWN等，用于檢查接口使用狀態(tài)；端口：防火墻端口信息，用于檢查端口使用狀態(tài)；安全設(shè)備IDS/IPS需要采集的安全屬性包括：日志：設(shè)備本身的安全日志信息，用于檢查IDS/IPS的安全運行信息；事件：指網(wǎng)絡(luò)上已發(fā)生或正在發(fā)生的一些活動，需要關(guān)聯(lián)到具體的設(shè)備，用于安全對象的事件關(guān)聯(lián)；網(wǎng)絡(luò)設(shè)備交換機需要采集的安全屬性包括：補?。涸O(shè)備已安裝及未安裝的補丁情況，用于查看補丁情況，需要終端管理系統(tǒng)支持；漏洞：交換機的當(dāng)前漏洞信息，用于查看漏洞情況，；日志：交換機本身的安全日志信息，用于檢查交換機是否正常運行；接口狀態(tài)：獲取交換機接口狀態(tài)信息，如UP或DOWN等，用于檢查端口使用狀態(tài)；帳號口令策略：交換機對帳號口令的強制要求；配置變更配置：交換機上重要的配置文件，主要交換機上的配置信息，檢查交換機配置完整性；網(wǎng)絡(luò)設(shè)備路由器需要采集的安全屬性包括：補丁：路由器已安裝及未安裝的補丁情況，用于查看補丁安裝情況，需要終端管理系統(tǒng)支持；漏洞：路由器的漏洞信息，用于查看漏洞信息，需要掃描器支持；日志：路由器本身的安全日志信息，用于查看路由器本身的安全運行狀態(tài)；接口狀態(tài)：路由器接口狀態(tài)信息，如UP或DOWN等，用于檢查接口使用狀態(tài)；帳號口令策略：路由器對帳號口令的強制要求；配置變更配置：監(jiān)控路由器上重要的配置文件，主要路由器上的配置信息，用于檢查配置完整性；端口配置：路由器上開放的端口和服務(wù)，用于記錄端口和服務(wù)的使用狀態(tài)；事件：指路由器上已發(fā)生或正在發(fā)生的一些活動，需要關(guān)聯(lián)到具體的設(shè)備，用于安全對象的事件關(guān)聯(lián)；其他應(yīng)用系統(tǒng)對于其他應(yīng)用系統(tǒng)，根據(jù)不同業(yè)務(wù)系統(tǒng)的情況具體確定，只采集與安全相關(guān)的業(yè)務(wù)數(shù)據(jù)，主要包括：日志：業(yè)務(wù)系統(tǒng)本身運行日志，用于檢查業(yè)務(wù)系統(tǒng)本身的運行狀態(tài)。安全信息：業(yè)務(wù)系統(tǒng)采集的與安全相關(guān)的信息，例如網(wǎng)管系統(tǒng)采集到的與安全相關(guān)的信息。其他信息：根據(jù)應(yīng)用系統(tǒng)的具體情況，具體確定。隨著以后中國電信業(yè)務(wù)發(fā)展新技術(shù)發(fā)展，安全對象類型及安全對象需要采集的安全屬性會不斷增加和完善，適應(yīng)新需求的發(fā)展。 安全預(yù)警管理安全預(yù)警是一種有效預(yù)防措施，和安全對象、風(fēng)險等功能緊密聯(lián)系在一起。預(yù)警的主要功能應(yīng)包括但不限于以下功能：預(yù)警信息顯示：在SOC用戶的工作區(qū)內(nèi)逐條滾動，以著重方式顯示當(dāng)前的預(yù)警信息，預(yù)警要求用戶做出響應(yīng)，預(yù)警信息在響應(yīng)后則不再著重顯示；預(yù)警信息經(jīng)安全管理員甄別后，由系統(tǒng)自動地與安全對象庫關(guān)聯(lián)，列出相應(yīng)受影響的安全對象資產(chǎn)以及影響的嚴(yán)重程度，并自動通知相應(yīng)的系統(tǒng)管理員；預(yù)警影響支持按照單個或多個安全對象、按地域、按照業(yè)務(wù)系統(tǒng)進(jìn)行發(fā)送；依據(jù)預(yù)備預(yù)警產(chǎn)生正式預(yù)警：在預(yù)警信息管理頁面中，可以查看到所有系統(tǒng)根據(jù)規(guī)則生成的預(yù)備預(yù)警信息，其中一些是必要的預(yù)警信息，通過選定某個信息后選擇發(fā)布，并補充填寫一些具體內(nèi)容后將其通過選定的方式發(fā)布。手工生成正式預(yù)警信息：在人工發(fā)布向?qū)У奶崾鞠?，通過選擇預(yù)警種類，填寫預(yù)警的信息，包括預(yù)警的級別，可能影響的機器，通知的人員，通知的方式（登錄顯示、SNMP Traps、、短信，其中登錄顯示為必選項），完成預(yù)警信息錄入過程。設(shè)定預(yù)備預(yù)警產(chǎn)生的規(guī)則：按照預(yù)警的類別分別設(shè)置預(yù)警自動產(chǎn)生的條件（脆弱性更新時有新的脆弱性發(fā)布并達(dá)到某個級別；某類威脅的發(fā)生密度或增長幅度已經(jīng)達(dá)到某個閥值，流量監(jiān)控發(fā)現(xiàn)流量異常）和生成預(yù)警類（直接生成正式預(yù)警或生成預(yù)備預(yù)警），便于系統(tǒng)自動進(jìn)行預(yù)警；預(yù)警信息除了在SOC平臺內(nèi)顯示以提醒相關(guān)人員外，還至少提供一種系統(tǒng)外的其他方式通知有關(guān)人員，例如可以選擇郵件或者短信等方式來通知；預(yù)警信息一旦輸入完畢，應(yīng)該能夠自動關(guān)聯(lián)到受其影響的安全對象范圍，然后以某種方式顯示給相關(guān)用戶；安全預(yù)警必須要在安全管理員審核后再進(jìn)行發(fā)布； 安全預(yù)警來源要求該模塊可以接收以下來源的預(yù)警信息：預(yù)備預(yù)警（內(nèi)部預(yù)警）：來源是SOC平臺內(nèi)部。它是和事件、脆弱性相關(guān)聯(lián)的。SOC能夠根據(jù)預(yù)先定義的、對事件的響應(yīng)規(guī)則自動生成的。SOC平臺必須預(yù)備預(yù)警要能夠顯示本預(yù)警信息的相關(guān)事件、脆弱性等信息。這種預(yù)警是否要轉(zhuǎn)為正式預(yù)警，需要由管理員來確定，模塊必須能夠提供這種人工干預(yù)的地方；一旦確定轉(zhuǎn)為正式預(yù)警，則相關(guān)人員需要做出響應(yīng)