【正文】 單次IP地址ARBOR防病毒2009年6月1日6月30日每周一次IP地址B流量清洗帶寬2009年6月15日單次1G2009年6月20日單次2G漏洞掃描主機(jī)對(duì)象2009年6月1日6月30日每周一次IP地址C攻擊追溯2009年6月20日單次IP地址ARBOR防病毒2009年6月1日6月30日每周一次IP地址 安全策略管理與“對(duì)外保障服務(wù)管理”模塊配合使用。服務(wù)管理模塊側(cè)重點(diǎn)為記錄保障服務(wù)流程。策略管理模塊側(cè)重點(diǎn)為具體實(shí)施保障過(guò)程。模塊主要功能：n 保障要求的文件，提供導(dǎo)入功能要求：提供上傳文件，n 用戶信息及保障信息的資料錄入及導(dǎo)出功能要求：手工錄入時(shí)遵循如下流程：l “用戶編號(hào)”（分為電信內(nèi)部客戶1XXXX、黨2XXXX、政3XXXX、軍4XXXX、一般客戶5XXXX共5類,已不同首字母開(kāi)始）：首先選擇客戶類型，然后系統(tǒng)該規(guī)則固定第一位字母，并自動(dòng)按序分配后四位數(shù)字l “用戶名稱”（提供判重功能）l “用戶聯(lián)系人電話郵件”“電信保障專人電話郵件”l 應(yīng)用類型（、DNS、視頻、其他共四類，前三種系統(tǒng)下拉菜單可選，“其他”需手工填寫(xiě)說(shuō)明）l IP地址/掩碼長(zhǎng)度 和 IP地址段輸入（起始IP，終止IP）在填寫(xiě)完該模板后，可以導(dǎo)出xls表格，格式可參考附件。n 提供具體系統(tǒng)的保障策略配置（DNS域名監(jiān)控、攻擊檢測(cè)、流量清洗）目前暫定“域名監(jiān)控”、“攻擊檢測(cè)”、“流量清洗” 三種策略。響應(yīng)的策略配置格式需要進(jìn)入相應(yīng)的專用系統(tǒng)頁(yè)面中完成，本期建議可以在選擇三種策略中的某種后進(jìn)入相關(guān)專用系統(tǒng)的配置頁(yè)面進(jìn)行配置即可：l 對(duì)“域名監(jiān)控”策略，進(jìn)入DNS網(wǎng)管進(jìn)行配置，目前該子系統(tǒng)相關(guān)功能和三期一起還在開(kāi)發(fā)當(dāng)中；（預(yù)留接口即可）l 對(duì)“攻擊檢測(cè)”策略，進(jìn)入arbor系統(tǒng)AdministrationMonitoringManaged ObjectsCustomers進(jìn)行配置l 對(duì)“流量清洗”策略，進(jìn)入中盈的DDoS防護(hù)業(yè)務(wù)管理及開(kāi)通平臺(tái)進(jìn)行業(yè)務(wù)配置。（預(yù)留接口即可）l 另外，對(duì)于“流量清洗”策略，目前還不合適通過(guò)系統(tǒng)自動(dòng)判別，只是希望通過(guò)設(shè)定一個(gè)環(huán)節(jié)，提醒配置人員注意，“用戶必須雙掛才能進(jìn)行清洗”。研發(fā)在開(kāi)發(fā)中，只需要在頁(yè)面中實(shí)現(xiàn)明顯字體的提醒功能即可。 安全任務(wù)管理安全任務(wù)管理的目的是為了將具有突發(fā)性的安全工作統(tǒng)一起來(lái)進(jìn)行管理，從而體現(xiàn)每天的工作量。任務(wù)可以由填寫(xiě)人生成后直接完成該任務(wù)，也可以在本人填寫(xiě)后指定流轉(zhuǎn)到下一個(gè)簽收人繼續(xù)進(jìn)行操作，簽收人在填寫(xiě)反饋意見(jiàn)后關(guān)閉任務(wù)，完成任務(wù)的閉環(huán)。安全任務(wù)管理在建立的時(shí)候要有任務(wù)標(biāo)題、任務(wù)來(lái)源、級(jí)別、任務(wù)要求、支持附件上傳、指定分派對(duì)象等字段。任務(wù)的創(chuàng)建時(shí)間和結(jié)束時(shí)間都以系統(tǒng)的當(dāng)前時(shí)間為準(zhǔn)，狀態(tài)有已完成和未完成兩種。 信息發(fā)布及BBS集團(tuán)目前已經(jīng)建立了安全論壇系統(tǒng)，各省可在SOC Portal頁(yè)面中嵌入集團(tuán)的安全論壇系統(tǒng)，點(diǎn)擊后可以直接跳轉(zhuǎn)至安全論壇進(jìn)行安全知識(shí)的討論。 系統(tǒng)自身管理 用戶管理SOC平臺(tái)應(yīng)支持用戶權(quán)限管理，支持分權(quán)分域的管理模式。角色權(quán)限管理：SOC平臺(tái)應(yīng)支持基于資產(chǎn)和系統(tǒng)功能及模塊對(duì)象的角色定義，如特定用戶只能訪問(wèn)或使用特定的功能及模塊；分域管理：SOC平臺(tái)應(yīng)支持用戶組管理，可以根據(jù)需要?jiǎng)澐植煌脩艚M（域），如按照部門(mén)、地域等劃分不同用戶組（域），用戶只具備用戶所屬域內(nèi)的相關(guān)權(quán)限。 系統(tǒng)配置管理SOC平臺(tái)應(yīng)支持對(duì)系統(tǒng)自身組件及配置的管理，主要包括：組件狀態(tài)管理：SOC支持完全分布式管理，組件狀態(tài)管理能夠?qū)崟r(shí)現(xiàn)實(shí)分布各個(gè)組件當(dāng)前運(yùn)行狀況、數(shù)據(jù)庫(kù)當(dāng)前狀態(tài)。響應(yīng)規(guī)則管理：制定根據(jù)各類安全風(fēng)險(xiǎn)、安全事件和安全漏洞采用的自動(dòng)響應(yīng)，可以采取自動(dòng)響應(yīng)類型包括：發(fā)送SNMP Traps、發(fā)送Email、發(fā)送短信、創(chuàng)建預(yù)備工單、創(chuàng)建預(yù)備預(yù)警、調(diào)用外部程序、防火墻互動(dòng)等；任務(wù)調(diào)度管理：發(fā)起和調(diào)度各種即時(shí)的、定期的任務(wù)； 日志管理日志管理主要實(shí)現(xiàn)對(duì)SOC系統(tǒng)運(yùn)行過(guò)程中的用戶操作日志和系統(tǒng)運(yùn)行日志的記錄、查詢、統(tǒng)計(jì)功能。主要功能包括：操作日志：安全管理平臺(tái)必須記錄每個(gè)操作員進(jìn)入、退出系統(tǒng)的時(shí)間以及在系統(tǒng)中的所有操作的內(nèi)容。系統(tǒng)日志：監(jiān)控安全管理平臺(tái)本身運(yùn)行狀態(tài)，記錄系統(tǒng)軟硬件的異常以及執(zhí)行錯(cuò)誤指令導(dǎo)致的異常。 其他技術(shù)要求SOC平臺(tái)應(yīng)具有良好的開(kāi)放性和可靠性；SOC平臺(tái)必須具備良好的開(kāi)放性、擴(kuò)展性和穩(wěn)定性，便于安全管理系統(tǒng)擴(kuò)容以及與其它系統(tǒng)集成。SOC平臺(tái)建設(shè)方案必須具有良好的系統(tǒng)安全性和可靠性，以保證系統(tǒng)的穩(wěn)定運(yùn)行，防止外界的惡意攻擊和數(shù)據(jù)丟失。4 SOC平臺(tái)接口要求SOC平臺(tái)接口主要包括內(nèi)部接口和外部接口，其中內(nèi)部接口主要包括上下級(jí)管理接口，系統(tǒng)與安全對(duì)象之間采集接口；外部接口主要指SOC平臺(tái)與其他系統(tǒng)的接口。 接口定義 內(nèi)部接口 上下級(jí)管理接口 中國(guó)電信SOC平臺(tái)是一個(gè)包括集團(tuán)和省的兩級(jí)結(jié)構(gòu)，如下圖所示：集團(tuán)公司SOC平臺(tái)上海SOC平臺(tái)江蘇省SOC平臺(tái)廣東省SOC平臺(tái)…………省級(jí)公司SOC平臺(tái)與集團(tuán)公司SOC平臺(tái)之間為松耦合的結(jié)構(gòu)關(guān)系，以實(shí)現(xiàn)兩級(jí)結(jié)構(gòu)間信息的互通和共享，達(dá)到集團(tuán)對(duì)省級(jí)公司安全工作、安全狀況進(jìn)行監(jiān)控、評(píng)價(jià)的目的。因此兩級(jí)平臺(tái)之間應(yīng)具備相應(yīng)的數(shù)據(jù)接口，按照一定的數(shù)據(jù)格式和規(guī)范傳輸數(shù)據(jù)。數(shù)據(jù)傳輸應(yīng)是雙向的，既有各省公司向集團(tuán)上報(bào)的安全數(shù)據(jù)，也有集團(tuán)向各省公司下發(fā)的安全指令和數(shù)據(jù)。其中集團(tuán)向省公司發(fā)送的數(shù)據(jù)包括：訂閱信息指令、安全策略、工單指令、預(yù)警信息、考核結(jié)果、共享知識(shí)庫(kù)信息等；省公司向集團(tuán)發(fā)送的數(shù)據(jù)包括：業(yè)務(wù)系統(tǒng)信息、安全風(fēng)險(xiǎn)信息、集團(tuán)要求的各類數(shù)據(jù)報(bào)表等。除了這些信息的上傳下達(dá)以及在一些安全工作流程方面集團(tuán)對(duì)省公司進(jìn)行必要的控制和管理之外，集團(tuán)SOC平臺(tái)與省SOC平臺(tái)所開(kāi)展的工作是相互獨(dú)立、互不干擾的。 消息通訊接口實(shí)現(xiàn)上下級(jí)SOC相互通訊的接口，功能主要包括上下級(jí)之間SOC連接測(cè)試，任務(wù)消息和服務(wù)請(qǐng)求的發(fā)送，任務(wù)消息回饋。 數(shù)據(jù)下發(fā)接口該接口實(shí)現(xiàn)集團(tuán)SOC公共數(shù)據(jù)的下發(fā)服務(wù)，可以供下級(jí)SOC獲取集團(tuán)SOC平臺(tái)的公共數(shù)據(jù)，數(shù)據(jù)包括：252。 各類安全知識(shí)庫(kù)252。 集團(tuán)預(yù)警通告信息252。 集團(tuán)安全策略信息252。 各省安全管理工作的考核結(jié)果及統(tǒng)計(jì)數(shù)據(jù)252。 集團(tuán)下發(fā)各省的工單指令 數(shù)據(jù)上報(bào)接口該接口實(shí)現(xiàn)省級(jí)SOC數(shù)據(jù)的上報(bào)服務(wù)，可以由下級(jí)SOC向集團(tuán)SOC上傳數(shù)據(jù)，數(shù)據(jù)包括：252。 業(yè)務(wù)系統(tǒng)及資產(chǎn)信息252。 風(fēng)險(xiǎn)及告警信息252。 文件數(shù)據(jù)（如集團(tuán)要求的各類數(shù)據(jù)或報(bào)表等） 數(shù)據(jù)采集接口SOC平臺(tái)需要通過(guò)各種數(shù)據(jù)采集接口實(shí)現(xiàn)對(duì)各種不同安全對(duì)象相關(guān)安全信息及數(shù)據(jù)的采集，包括安全事件信息、漏洞信息、配置信息、狀態(tài)信息、資產(chǎn)信息、性能狀態(tài)信息等，如下圖所示：SOC平臺(tái)事件采集配置采集漏洞采集安全信息收集層網(wǎng)絡(luò)設(shè)備主機(jī)設(shè)備安全設(shè)備其它設(shè)備……資產(chǎn)發(fā)現(xiàn)性能采集數(shù)據(jù)采集接口應(yīng)支持文件方式、SNMPTrap、Syslog、ODBC、Sockets等多種接口方式。 安全事件采集接口安全事件數(shù)據(jù)采集主要采集各種常見(jiàn)的安全設(shè)備或其它IT信息設(shè)備產(chǎn)生的各種與信息安全有關(guān)的日志、事件告警等信息。例如：l 各種防火墻、入侵檢測(cè)系統(tǒng)、流量分析系統(tǒng)等安全設(shè)備的日志信息；l 操作系統(tǒng)記錄的重要安全相關(guān)的日志和事件信息；l 各種類型的數(shù)據(jù)庫(kù)日志；l 防病毒系統(tǒng)、訪問(wèn)控制系統(tǒng)、用戶集中管理和認(rèn)證系統(tǒng)的等應(yīng)用系統(tǒng)的日志；l 能夠基于SNMP trap和syslog的安全事件； 系統(tǒng)漏洞采集接口系統(tǒng)漏洞采集接口主要是脆弱性數(shù)據(jù)的采集，主要包括目標(biāo)系統(tǒng)的信息：如操作系統(tǒng)版本，安裝的補(bǔ)丁信息，系統(tǒng)服務(wù)及端口，用戶賬號(hào)及口令；以及特定代理程序或描器掃描出來(lái)的漏洞和弱點(diǎn)信息。 安全配置采集接口安全配置采集接口主要實(shí)現(xiàn)對(duì)安全對(duì)象的安全配置狀態(tài)的采集以及其狀態(tài)性息的采集，主要是對(duì)目標(biāo)對(duì)象的配置進(jìn)行讀取，定時(shí)獲取受監(jiān)控?cái)?shù)據(jù)的當(dāng)前狀態(tài)值。 外部系統(tǒng)接口 SOC平臺(tái)與外部系統(tǒng)的接口如下圖所示：SOC平臺(tái)是一個(gè)安全信息的管理系統(tǒng)，在對(duì)安全信息進(jìn)行集中管理的過(guò)程中，需要集成其他的安全管理的子系統(tǒng)，同時(shí)需要與其他業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)交互。 與電子工單接口電子工單系統(tǒng)與SOC平臺(tái)互聯(lián)接口必須支持由SOC告警派發(fā)故障工單的功能：即SOC通過(guò)該互聯(lián)接口，將告警信息傳送至電子工單系統(tǒng)，并由電子工單系統(tǒng)自動(dòng)生成故障工單。當(dāng)已派工單的告警被清除后，應(yīng)能夠通過(guò)SOC與電子工單互聯(lián)接口，將告警清除信息同步到電子工單系統(tǒng)中，同時(shí)電子工單系統(tǒng)中如果告警工單處理完畢，應(yīng)該將告警工單狀態(tài)反饋給SOC。 與NOC接口SOC將NOC關(guān)心的告警信息發(fā)送給NOC以及所有需要接收SOC告警的系統(tǒng)。同時(shí)網(wǎng)管系統(tǒng)中存在企業(yè)大量的安全信息，因此，信息安全管理系統(tǒng)需要與網(wǎng)管系統(tǒng)建立接口，把安全相關(guān)信息(事件，告警，配置，預(yù)警等)接入到SOC平臺(tái)中。 與其它安全系統(tǒng)接口SOC支持對(duì)其他安全系統(tǒng)如DDOS網(wǎng)管系統(tǒng)、垃圾郵件投訴處理系統(tǒng)、攻擊溯源系統(tǒng)、異常流量監(jiān)控系統(tǒng)等系統(tǒng)的集成接口，能夠?qū)崿F(xiàn)與上述安全系統(tǒng)相關(guān)安全事件日志、告警信息、資源信息等共享及傳遞，上述系統(tǒng)可以將相關(guān)安全事件、日志及告警發(fā)送到SOC進(jìn)行集中分析及層現(xiàn)，SOC可以到上述系統(tǒng)獲取一些安全基礎(chǔ)數(shù)據(jù)或信息。 數(shù)據(jù)導(dǎo)入接口可以通過(guò)數(shù)據(jù)導(dǎo)入接口，將安全通告、安全評(píng)估報(bào)告、安全基線等數(shù)據(jù)導(dǎo)入SOC平臺(tái)進(jìn)行集中管理及分析。 接口協(xié)議要求在接口協(xié)議方面，安全數(shù)據(jù)的采集接口要求支持但不限于:SNMP、Syslog，文件，數(shù)據(jù)庫(kù)，OPSEC和代理方式；而上下級(jí)接口和外部接口屬于異構(gòu)系統(tǒng)之間的通信和數(shù)據(jù)交互， 要至少支持JMS，Web Service 和文件方式中的一種或幾種。以下是對(duì)接口規(guī)范涉及一些協(xié)議的說(shuō)明：n SNMP一個(gè)SNMP代理可以回答來(lái)自管理系統(tǒng)關(guān)于MIB中定義信息的各種查詢。n SyslogSyslog用于記錄系統(tǒng)活動(dòng)的詳細(xì)情況，所產(chǎn)生的日志用于評(píng)估、審查系統(tǒng)的運(yùn)行環(huán)境和各種操作等。Syslog接口協(xié)議及報(bào)文格式應(yīng)符合RFC3164：The BSD syslog Protocol。詳見(jiàn) 附錄A。n FTP文件傳輸協(xié)議，通過(guò)支持SSL的FTP協(xié)議，保證進(jìn)行大批量數(shù)據(jù)傳送時(shí)的安全性。n Web ServiceWeb Service完全基于XML（可擴(kuò)展標(biāo)記語(yǔ)言）、 XSD（XMLSchema）等獨(dú)立于平臺(tái)、獨(dú)立于軟件供應(yīng)商的標(biāo)準(zhǔn)，是創(chuàng)建可互操作的、分布式應(yīng)用程序的新平臺(tái)。Web Service可以通過(guò)綁定HTTPS來(lái)保證Web Service方式的數(shù)據(jù)安全性。適用于異構(gòu)系統(tǒng)間的通信和數(shù)據(jù)傳輸。n JMS（JAVA 消息服務(wù)）Java Message Service，是供Java應(yīng)用程序使用的、用于訪問(wèn)企業(yè)消息系統(tǒng)的一套公共接口及其相關(guān)語(yǔ)義。Java程序可以借助JMS API來(lái)創(chuàng)建、發(fā)送、接收和閱讀企業(yè)消息系統(tǒng)中的消息，由此簡(jiǎn)化企業(yè)應(yīng)用的開(kāi)發(fā)，適用于消息數(shù)據(jù)的傳輸。n 文件通過(guò)網(wǎng)絡(luò)文件、本地文件的定期或觸發(fā)提取，發(fā)現(xiàn)存儲(chǔ)其中的日志信息；文件方式也是適用于不同系統(tǒng)間的松耦合的數(shù)據(jù)交互。 實(shí)現(xiàn)方式 數(shù)據(jù)采集接口數(shù)據(jù)采集接口主要是SOC采集安全事件、安全對(duì)象的脆弱性以及安全對(duì)象配置及其狀態(tài)的接口，目的是將原始事件，安全對(duì)象的脆弱性以及安全對(duì)象配置及其狀態(tài)等接入到SOC。l SNMPSOC應(yīng)啟動(dòng)SNMP Service服務(wù)，使用統(tǒng)一的團(tuán)體串在默認(rèn)或自定義端口上監(jiān)聽(tīng)，以獲取安全設(shè)備發(fā)來(lái)的SNMP Trap信息。l SYSLOGSOC應(yīng)啟動(dòng)SYSLOGD服務(wù)，使用默認(rèn)或自定義端口監(jiān)聽(tīng)，以獲取安全設(shè)備發(fā)來(lái)的SYSLOG信息。l 文件SOC應(yīng)具有網(wǎng)絡(luò)文件、本地文件的定期或觸發(fā)提取功能，發(fā)現(xiàn)存儲(chǔ)其中的日志信息。l 數(shù)據(jù)庫(kù)SOC應(yīng)具有網(wǎng)絡(luò)數(shù)據(jù)庫(kù)、本地?cái)?shù)據(jù)庫(kù)的定期或觸發(fā)提取功能，發(fā)現(xiàn)存儲(chǔ)其中的日志信息。l OPSECOPSEC是checkpoint(NOKIA)主要使用的安全信息傳輸協(xié)議，具有一定的安全性。Checkpoint提供了以C為主的SDK，可以實(shí)現(xiàn)信息的傳輸。l 代理對(duì)于特殊的、缺乏共性的信息存儲(chǔ)方式，需要編寫(xiě)特制的程序提取，在這里統(tǒng)稱為代理——AGENT。代理程序可能與目標(biāo)數(shù)據(jù)部署在一起，也可能是遠(yuǎn)程部署采集的，對(duì)于比較常見(jiàn)的數(shù)據(jù)，SOC可以考慮在采集模塊中實(shí)現(xiàn)遠(yuǎn)程代理，比如針對(duì)Lotus Domino的日志采集。 上下級(jí)接口目前異構(gòu)系統(tǒng)間有的很多的數(shù)據(jù)交換方式，JMS，Web Service，數(shù)據(jù)庫(kù)，文件（XML，約定格式的其他類型文件）等，松耦合和安全性是重點(diǎn)。JMS和Web Service通常方式是基于分布式應(yīng)用的消息中間件，消息中間件為分布式環(huán)境中消息的傳遞提供可靠的方式，屏蔽底層異構(gòu)操作系統(tǒng)和網(wǎng)絡(luò)平臺(tái)，提供一致的通訊標(biāo)準(zhǔn)和應(yīng)用開(kāi)發(fā)，確保分布式計(jì)算網(wǎng)絡(luò)環(huán)境下可靠的、跨平臺(tái)的信息傳輸和數(shù)據(jù)交換。 SOC上下級(jí)接口的要求符合這些特點(diǎn)，可以在消息傳遞和微小數(shù)據(jù)量的傳輸中采用JMS或者Web Service方式，大數(shù)據(jù)量的數(shù)據(jù)交互使用支持SSL的FTP方式，傳輸約定格式的數(shù)據(jù)文件。 外部接口外部接口的特點(diǎn)與上下級(jí)接口相似。 各類接口實(shí)現(xiàn)方式建議序號(hào)接口類型接口用途接口實(shí)現(xiàn)方式數(shù)據(jù)傳遞方向接口數(shù)據(jù)及格式約定1上下級(jí)管理接口消息通訊接口JMS（JAVA 消息服務(wù)）。集團(tuán)及各省SOC通過(guò)JMS API來(lái)創(chuàng)建、發(fā)送、接收和閱讀消息系統(tǒng)中的消息。集團(tuán)SOC及各省SOC的雙向通信參考附錄……2安全知識(shí)庫(kù)共享同步接口文件方式。各省SOC平臺(tái)應(yīng)支持通過(guò)FTP方式定期到指定目錄獲取特定名稱的最新知識(shí)庫(kù)文件。 集團(tuán)SOC向各省SOC提供數(shù)據(jù)參考附錄……3預(yù)警通告接口Web Service方式。集團(tuán)及各省通過(guò)Web Service方式到消息中間件發(fā)布及輪詢相關(guān)信息。集團(tuán)SOC向各省SOC提供數(shù)據(jù)　4集團(tuán)安全策略信息發(fā)布