【正文】 單次IP地址ARBOR防病毒2009年6月1日6月30日每周一次IP地址B流量清洗帶寬2009年6月15日單次1G2009年6月20日單次2G漏洞掃描主機(jī)對象2009年6月1日6月30日每周一次IP地址C攻擊追溯2009年6月20日單次IP地址ARBOR防病毒2009年6月1日6月30日每周一次IP地址 安全策略管理與“對外保障服務(wù)管理”模塊配合使用。服務(wù)管理模塊側(cè)重點(diǎn)為記錄保障服務(wù)流程。策略管理模塊側(cè)重點(diǎn)為具體實(shí)施保障過程。模塊主要功能：n 保障要求的文件，提供導(dǎo)入功能要求：提供上傳文件，n 用戶信息及保障信息的資料錄入及導(dǎo)出功能要求：手工錄入時遵循如下流程：l “用戶編號”（分為電信內(nèi)部客戶1XXXX、黨2XXXX、政3XXXX、軍4XXXX、一般客戶5XXXX共5類,已不同首字母開始）：首先選擇客戶類型，然后系統(tǒng)該規(guī)則固定第一位字母，并自動按序分配后四位數(shù)字l “用戶名稱”（提供判重功能）l “用戶聯(lián)系人電話郵件”“電信保障專人電話郵件”l 應(yīng)用類型（、DNS、視頻、其他共四類，前三種系統(tǒng)下拉菜單可選，“其他”需手工填寫說明）l IP地址/掩碼長度 和 IP地址段輸入（起始IP，終止IP）在填寫完該模板后，可以導(dǎo)出xls表格，格式可參考附件。n 提供具體系統(tǒng)的保障策略配置（DNS域名監(jiān)控、攻擊檢測、流量清洗）目前暫定“域名監(jiān)控”、“攻擊檢測”、“流量清洗” 三種策略。響應(yīng)的策略配置格式需要進(jìn)入相應(yīng)的專用系統(tǒng)頁面中完成，本期建議可以在選擇三種策略中的某種后進(jìn)入相關(guān)專用系統(tǒng)的配置頁面進(jìn)行配置即可：l 對“域名監(jiān)控”策略，進(jìn)入DNS網(wǎng)管進(jìn)行配置，目前該子系統(tǒng)相關(guān)功能和三期一起還在開發(fā)當(dāng)中；（預(yù)留接口即可）l 對“攻擊檢測”策略，進(jìn)入arbor系統(tǒng)AdministrationMonitoringManaged ObjectsCustomers進(jìn)行配置l 對“流量清洗”策略，進(jìn)入中盈的DDoS防護(hù)業(yè)務(wù)管理及開通平臺進(jìn)行業(yè)務(wù)配置。（預(yù)留接口即可）l 另外，對于“流量清洗”策略，目前還不合適通過系統(tǒng)自動判別，只是希望通過設(shè)定一個環(huán)節(jié)，提醒配置人員注意，“用戶必須雙掛才能進(jìn)行清洗”。研發(fā)在開發(fā)中，只需要在頁面中實(shí)現(xiàn)明顯字體的提醒功能即可。 安全任務(wù)管理安全任務(wù)管理的目的是為了將具有突發(fā)性的安全工作統(tǒng)一起來進(jìn)行管理，從而體現(xiàn)每天的工作量。任務(wù)可以由填寫人生成后直接完成該任務(wù)，也可以在本人填寫后指定流轉(zhuǎn)到下一個簽收人繼續(xù)進(jìn)行操作，簽收人在填寫反饋意見后關(guān)閉任務(wù)，完成任務(wù)的閉環(huán)。安全任務(wù)管理在建立的時候要有任務(wù)標(biāo)題、任務(wù)來源、級別、任務(wù)要求、支持附件上傳、指定分派對象等字段。任務(wù)的創(chuàng)建時間和結(jié)束時間都以系統(tǒng)的當(dāng)前時間為準(zhǔn)，狀態(tài)有已完成和未完成兩種。 信息發(fā)布及BBS集團(tuán)目前已經(jīng)建立了安全論壇系統(tǒng)，各省可在SOC Portal頁面中嵌入集團(tuán)的安全論壇系統(tǒng)，點(diǎn)擊后可以直接跳轉(zhuǎn)至安全論壇進(jìn)行安全知識的討論。 系統(tǒng)自身管理 用戶管理SOC平臺應(yīng)支持用戶權(quán)限管理，支持分權(quán)分域的管理模式。角色權(quán)限管理：SOC平臺應(yīng)支持基于資產(chǎn)和系統(tǒng)功能及模塊對象的角色定義，如特定用戶只能訪問或使用特定的功能及模塊；分域管理：SOC平臺應(yīng)支持用戶組管理，可以根據(jù)需要劃分不同用戶組（域），如按照部門、地域等劃分不同用戶組（域），用戶只具備用戶所屬域內(nèi)的相關(guān)權(quán)限。 系統(tǒng)配置管理SOC平臺應(yīng)支持對系統(tǒng)自身組件及配置的管理，主要包括：組件狀態(tài)管理：SOC支持完全分布式管理，組件狀態(tài)管理能夠?qū)崟r現(xiàn)實(shí)分布各個組件當(dāng)前運(yùn)行狀況、數(shù)據(jù)庫當(dāng)前狀態(tài)。響應(yīng)規(guī)則管理：制定根據(jù)各類安全風(fēng)險、安全事件和安全漏洞采用的自動響應(yīng)，可以采取自動響應(yīng)類型包括：發(fā)送SNMP Traps、發(fā)送Email、發(fā)送短信、創(chuàng)建預(yù)備工單、創(chuàng)建預(yù)備預(yù)警、調(diào)用外部程序、防火墻互動等；任務(wù)調(diào)度管理：發(fā)起和調(diào)度各種即時的、定期的任務(wù)； 日志管理日志管理主要實(shí)現(xiàn)對SOC系統(tǒng)運(yùn)行過程中的用戶操作日志和系統(tǒng)運(yùn)行日志的記錄、查詢、統(tǒng)計(jì)功能。主要功能包括：操作日志：安全管理平臺必須記錄每個操作員進(jìn)入、退出系統(tǒng)的時間以及在系統(tǒng)中的所有操作的內(nèi)容。系統(tǒng)日志：監(jiān)控安全管理平臺本身運(yùn)行狀態(tài)，記錄系統(tǒng)軟硬件的異常以及執(zhí)行錯誤指令導(dǎo)致的異常。 其他技術(shù)要求SOC平臺應(yīng)具有良好的開放性和可靠性；SOC平臺必須具備良好的開放性、擴(kuò)展性和穩(wěn)定性，便于安全管理系統(tǒng)擴(kuò)容以及與其它系統(tǒng)集成。SOC平臺建設(shè)方案必須具有良好的系統(tǒng)安全性和可靠性，以保證系統(tǒng)的穩(wěn)定運(yùn)行，防止外界的惡意攻擊和數(shù)據(jù)丟失。4 SOC平臺接口要求SOC平臺接口主要包括內(nèi)部接口和外部接口，其中內(nèi)部接口主要包括上下級管理接口，系統(tǒng)與安全對象之間采集接口；外部接口主要指SOC平臺與其他系統(tǒng)的接口。 接口定義 內(nèi)部接口 上下級管理接口 中國電信SOC平臺是一個包括集團(tuán)和省的兩級結(jié)構(gòu)，如下圖所示：集團(tuán)公司SOC平臺上海SOC平臺江蘇省SOC平臺廣東省SOC平臺…………省級公司SOC平臺與集團(tuán)公司SOC平臺之間為松耦合的結(jié)構(gòu)關(guān)系，以實(shí)現(xiàn)兩級結(jié)構(gòu)間信息的互通和共享，達(dá)到集團(tuán)對省級公司安全工作、安全狀況進(jìn)行監(jiān)控、評價的目的。因此兩級平臺之間應(yīng)具備相應(yīng)的數(shù)據(jù)接口，按照一定的數(shù)據(jù)格式和規(guī)范傳輸數(shù)據(jù)。數(shù)據(jù)傳輸應(yīng)是雙向的，既有各省公司向集團(tuán)上報(bào)的安全數(shù)據(jù)，也有集團(tuán)向各省公司下發(fā)的安全指令和數(shù)據(jù)。其中集團(tuán)向省公司發(fā)送的數(shù)據(jù)包括：訂閱信息指令、安全策略、工單指令、預(yù)警信息、考核結(jié)果、共享知識庫信息等；省公司向集團(tuán)發(fā)送的數(shù)據(jù)包括：業(yè)務(wù)系統(tǒng)信息、安全風(fēng)險信息、集團(tuán)要求的各類數(shù)據(jù)報(bào)表等。除了這些信息的上傳下達(dá)以及在一些安全工作流程方面集團(tuán)對省公司進(jìn)行必要的控制和管理之外，集團(tuán)SOC平臺與省SOC平臺所開展的工作是相互獨(dú)立、互不干擾的。 消息通訊接口實(shí)現(xiàn)上下級SOC相互通訊的接口，功能主要包括上下級之間SOC連接測試，任務(wù)消息和服務(wù)請求的發(fā)送，任務(wù)消息回饋。 數(shù)據(jù)下發(fā)接口該接口實(shí)現(xiàn)集團(tuán)SOC公共數(shù)據(jù)的下發(fā)服務(wù)，可以供下級SOC獲取集團(tuán)SOC平臺的公共數(shù)據(jù)，數(shù)據(jù)包括：252。 各類安全知識庫252。 集團(tuán)預(yù)警通告信息252。 集團(tuán)安全策略信息252。 各省安全管理工作的考核結(jié)果及統(tǒng)計(jì)數(shù)據(jù)252。 集團(tuán)下發(fā)各省的工單指令 數(shù)據(jù)上報(bào)接口該接口實(shí)現(xiàn)省級SOC數(shù)據(jù)的上報(bào)服務(wù)，可以由下級SOC向集團(tuán)SOC上傳數(shù)據(jù)，數(shù)據(jù)包括：252。 業(yè)務(wù)系統(tǒng)及資產(chǎn)信息252。 風(fēng)險及告警信息252。 文件數(shù)據(jù)（如集團(tuán)要求的各類數(shù)據(jù)或報(bào)表等） 數(shù)據(jù)采集接口SOC平臺需要通過各種數(shù)據(jù)采集接口實(shí)現(xiàn)對各種不同安全對象相關(guān)安全信息及數(shù)據(jù)的采集，包括安全事件信息、漏洞信息、配置信息、狀態(tài)信息、資產(chǎn)信息、性能狀態(tài)信息等，如下圖所示：SOC平臺事件采集配置采集漏洞采集安全信息收集層網(wǎng)絡(luò)設(shè)備主機(jī)設(shè)備安全設(shè)備其它設(shè)備……資產(chǎn)發(fā)現(xiàn)性能采集數(shù)據(jù)采集接口應(yīng)支持文件方式、SNMPTrap、Syslog、ODBC、Sockets等多種接口方式。 安全事件采集接口安全事件數(shù)據(jù)采集主要采集各種常見的安全設(shè)備或其它IT信息設(shè)備產(chǎn)生的各種與信息安全有關(guān)的日志、事件告警等信息。例如：l 各種防火墻、入侵檢測系統(tǒng)、流量分析系統(tǒng)等安全設(shè)備的日志信息；l 操作系統(tǒng)記錄的重要安全相關(guān)的日志和事件信息；l 各種類型的數(shù)據(jù)庫日志；l 防病毒系統(tǒng)、訪問控制系統(tǒng)、用戶集中管理和認(rèn)證系統(tǒng)的等應(yīng)用系統(tǒng)的日志；l 能夠基于SNMP trap和syslog的安全事件； 系統(tǒng)漏洞采集接口系統(tǒng)漏洞采集接口主要是脆弱性數(shù)據(jù)的采集，主要包括目標(biāo)系統(tǒng)的信息：如操作系統(tǒng)版本，安裝的補(bǔ)丁信息，系統(tǒng)服務(wù)及端口，用戶賬號及口令；以及特定代理程序或描器掃描出來的漏洞和弱點(diǎn)信息。 安全配置采集接口安全配置采集接口主要實(shí)現(xiàn)對安全對象的安全配置狀態(tài)的采集以及其狀態(tài)性息的采集，主要是對目標(biāo)對象的配置進(jìn)行讀取，定時獲取受監(jiān)控?cái)?shù)據(jù)的當(dāng)前狀態(tài)值。 外部系統(tǒng)接口 SOC平臺與外部系統(tǒng)的接口如下圖所示：SOC平臺是一個安全信息的管理系統(tǒng)，在對安全信息進(jìn)行集中管理的過程中，需要集成其他的安全管理的子系統(tǒng)，同時需要與其他業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)交互。 與電子工單接口電子工單系統(tǒng)與SOC平臺互聯(lián)接口必須支持由SOC告警派發(fā)故障工單的功能：即SOC通過該互聯(lián)接口，將告警信息傳送至電子工單系統(tǒng)，并由電子工單系統(tǒng)自動生成故障工單。當(dāng)已派工單的告警被清除后，應(yīng)能夠通過SOC與電子工單互聯(lián)接口，將告警清除信息同步到電子工單系統(tǒng)中，同時電子工單系統(tǒng)中如果告警工單處理完畢，應(yīng)該將告警工單狀態(tài)反饋給SOC。 與NOC接口SOC將NOC關(guān)心的告警信息發(fā)送給NOC以及所有需要接收SOC告警的系統(tǒng)。同時網(wǎng)管系統(tǒng)中存在企業(yè)大量的安全信息，因此，信息安全管理系統(tǒng)需要與網(wǎng)管系統(tǒng)建立接口，把安全相關(guān)信息(事件，告警，配置，預(yù)警等)接入到SOC平臺中。 與其它安全系統(tǒng)接口SOC支持對其他安全系統(tǒng)如DDOS網(wǎng)管系統(tǒng)、垃圾郵件投訴處理系統(tǒng)、攻擊溯源系統(tǒng)、異常流量監(jiān)控系統(tǒng)等系統(tǒng)的集成接口，能夠?qū)崿F(xiàn)與上述安全系統(tǒng)相關(guān)安全事件日志、告警信息、資源信息等共享及傳遞，上述系統(tǒng)可以將相關(guān)安全事件、日志及告警發(fā)送到SOC進(jìn)行集中分析及層現(xiàn)，SOC可以到上述系統(tǒng)獲取一些安全基礎(chǔ)數(shù)據(jù)或信息。 數(shù)據(jù)導(dǎo)入接口可以通過數(shù)據(jù)導(dǎo)入接口，將安全通告、安全評估報(bào)告、安全基線等數(shù)據(jù)導(dǎo)入SOC平臺進(jìn)行集中管理及分析。 接口協(xié)議要求在接口協(xié)議方面，安全數(shù)據(jù)的采集接口要求支持但不限于:SNMP、Syslog，文件，數(shù)據(jù)庫，OPSEC和代理方式；而上下級接口和外部接口屬于異構(gòu)系統(tǒng)之間的通信和數(shù)據(jù)交互， 要至少支持JMS，Web Service 和文件方式中的一種或幾種。以下是對接口規(guī)范涉及一些協(xié)議的說明：n SNMP一個SNMP代理可以回答來自管理系統(tǒng)關(guān)于MIB中定義信息的各種查詢。n SyslogSyslog用于記錄系統(tǒng)活動的詳細(xì)情況，所產(chǎn)生的日志用于評估、審查系統(tǒng)的運(yùn)行環(huán)境和各種操作等。Syslog接口協(xié)議及報(bào)文格式應(yīng)符合RFC3164：The BSD syslog Protocol。詳見 附錄A。n FTP文件傳輸協(xié)議，通過支持SSL的FTP協(xié)議，保證進(jìn)行大批量數(shù)據(jù)傳送時的安全性。n Web ServiceWeb Service完全基于XML（可擴(kuò)展標(biāo)記語言）、 XSD（XMLSchema）等獨(dú)立于平臺、獨(dú)立于軟件供應(yīng)商的標(biāo)準(zhǔn)，是創(chuàng)建可互操作的、分布式應(yīng)用程序的新平臺。Web Service可以通過綁定HTTPS來保證Web Service方式的數(shù)據(jù)安全性。適用于異構(gòu)系統(tǒng)間的通信和數(shù)據(jù)傳輸。n JMS（JAVA 消息服務(wù)）Java Message Service，是供Java應(yīng)用程序使用的、用于訪問企業(yè)消息系統(tǒng)的一套公共接口及其相關(guān)語義。Java程序可以借助JMS API來創(chuàng)建、發(fā)送、接收和閱讀企業(yè)消息系統(tǒng)中的消息，由此簡化企業(yè)應(yīng)用的開發(fā)，適用于消息數(shù)據(jù)的傳輸。n 文件通過網(wǎng)絡(luò)文件、本地文件的定期或觸發(fā)提取，發(fā)現(xiàn)存儲其中的日志信息；文件方式也是適用于不同系統(tǒng)間的松耦合的數(shù)據(jù)交互。 實(shí)現(xiàn)方式 數(shù)據(jù)采集接口數(shù)據(jù)采集接口主要是SOC采集安全事件、安全對象的脆弱性以及安全對象配置及其狀態(tài)的接口，目的是將原始事件，安全對象的脆弱性以及安全對象配置及其狀態(tài)等接入到SOC。l SNMPSOC應(yīng)啟動SNMP Service服務(wù)，使用統(tǒng)一的團(tuán)體串在默認(rèn)或自定義端口上監(jiān)聽，以獲取安全設(shè)備發(fā)來的SNMP Trap信息。l SYSLOGSOC應(yīng)啟動SYSLOGD服務(wù)，使用默認(rèn)或自定義端口監(jiān)聽，以獲取安全設(shè)備發(fā)來的SYSLOG信息。l 文件SOC應(yīng)具有網(wǎng)絡(luò)文件、本地文件的定期或觸發(fā)提取功能，發(fā)現(xiàn)存儲其中的日志信息。l 數(shù)據(jù)庫SOC應(yīng)具有網(wǎng)絡(luò)數(shù)據(jù)庫、本地?cái)?shù)據(jù)庫的定期或觸發(fā)提取功能，發(fā)現(xiàn)存儲其中的日志信息。l OPSECOPSEC是checkpoint(NOKIA)主要使用的安全信息傳輸協(xié)議，具有一定的安全性。Checkpoint提供了以C為主的SDK，可以實(shí)現(xiàn)信息的傳輸。l 代理對于特殊的、缺乏共性的信息存儲方式，需要編寫特制的程序提取，在這里統(tǒng)稱為代理——AGENT。代理程序可能與目標(biāo)數(shù)據(jù)部署在一起，也可能是遠(yuǎn)程部署采集的，對于比較常見的數(shù)據(jù)，SOC可以考慮在采集模塊中實(shí)現(xiàn)遠(yuǎn)程代理，比如針對Lotus Domino的日志采集。 上下級接口目前異構(gòu)系統(tǒng)間有的很多的數(shù)據(jù)交換方式，JMS，Web Service，數(shù)據(jù)庫，文件（XML，約定格式的其他類型文件）等，松耦合和安全性是重點(diǎn)。JMS和Web Service通常方式是基于分布式應(yīng)用的消息中間件，消息中間件為分布式環(huán)境中消息的傳遞提供可靠的方式，屏蔽底層異構(gòu)操作系統(tǒng)和網(wǎng)絡(luò)平臺，提供一致的通訊標(biāo)準(zhǔn)和應(yīng)用開發(fā)，確保分布式計(jì)算網(wǎng)絡(luò)環(huán)境下可靠的、跨平臺的信息傳輸和數(shù)據(jù)交換。 SOC上下級接口的要求符合這些特點(diǎn)，可以在消息傳遞和微小數(shù)據(jù)量的傳輸中采用JMS或者Web Service方式，大數(shù)據(jù)量的數(shù)據(jù)交互使用支持SSL的FTP方式，傳輸約定格式的數(shù)據(jù)文件。 外部接口外部接口的特點(diǎn)與上下級接口相似。 各類接口實(shí)現(xiàn)方式建議序號接口類型接口用途接口實(shí)現(xiàn)方式數(shù)據(jù)傳遞方向接口數(shù)據(jù)及格式約定1上下級管理接口消息通訊接口JMS（JAVA 消息服務(wù)）。集團(tuán)及各省SOC通過JMS API來創(chuàng)建、發(fā)送、接收和閱讀消息系統(tǒng)中的消息。集團(tuán)SOC及各省SOC的雙向通信參考附錄……2安全知識庫共享同步接口文件方式。各省SOC平臺應(yīng)支持通過FTP方式定期到指定目錄獲取特定名稱的最新知識庫文件。 集團(tuán)SOC向各省SOC提供數(shù)據(jù)參考附錄……3預(yù)警通告接口Web Service方式。集團(tuán)及各省通過Web Service方式到消息中間件發(fā)布及輪詢相關(guān)信息。集團(tuán)SOC向各省SOC提供數(shù)據(jù)　4集團(tuán)安全策略信息發(fā)布