【正文】 理安全預(yù)警的過程是“收集預(yù)警信息審核發(fā)布安全防護再收集”的一個循環(huán)過程，關(guān)鍵的是，這個過程是一個長期的日常工作，而且由于預(yù)警信息的關(guān)鍵性，過程中的每個步驟都需要不同權(quán)限的人來完成。這種預(yù)警是否要轉(zhuǎn)為正式預(yù)警，需要由管理員來確定，模塊必須能夠提供這種人工干預(yù)的地方；一旦確定轉(zhuǎn)為正式預(yù)警，則相關(guān)人員需要做出響應(yīng)；n 第三方預(yù)警：它是由國家計算機病毒安全響應(yīng)中心、安全服務(wù)提供商、防病毒軟件提供商和有義務(wù)向用戶提供軟件漏洞信息的設(shè)備和軟件廠商提供的。SOC能夠根據(jù)預(yù)先定義的、對事件的響應(yīng)規(guī)則自動生成的。n 設(shè)定預(yù)備預(yù)警產(chǎn)生的規(guī)則：按照預(yù)警的類別分別設(shè)置預(yù)警自動產(chǎn)生的條件（脆弱性更新時有新的脆弱性發(fā)布并達到某個級別；某類威脅的發(fā)生密度或增長幅度已經(jīng)達到某個閥值，流量監(jiān)控發(fā)現(xiàn)流量異常）和生成預(yù)警類（直接生成正式預(yù)警或生成預(yù)備預(yù)警），便于系統(tǒng)自動進行預(yù)警；n 預(yù)警信息除了在SOC平臺內(nèi)顯示以提醒相關(guān)人員外，還至少提供一種系統(tǒng)外的其他方式通知有關(guān)人員，例如可以選擇郵件或者短信等方式來通知；n 預(yù)警信息一旦輸入完畢，應(yīng)該能夠自動關(guān)聯(lián)到受其影響的安全對象范圍，然后以某種方式顯示給相關(guān)用戶；n 安全預(yù)警必須要在安全管理員審核后再進行發(fā)布； 安全預(yù)警來源要求該模塊可以接收以下來源的預(yù)警信息：n 預(yù)備預(yù)警（內(nèi)部預(yù)警）：來源是SOC平臺內(nèi)部。預(yù)警的主要功能應(yīng)包括但不限于以下功能：n 預(yù)警信息顯示：在SOC用戶的工作區(qū)內(nèi)逐條滾動，以著重方式顯示當(dāng)前的預(yù)警信息，預(yù)警要求用戶做出響應(yīng)，預(yù)警信息在響應(yīng)后則不再著重顯示；n 預(yù)警信息經(jīng)安全管理員甄別后，由系統(tǒng)自動地與安全對象庫關(guān)聯(lián)，列出相應(yīng)受影響的安全對象資產(chǎn)以及影響的嚴重程度，并自動通知相應(yīng)的系統(tǒng)管理員；n 預(yù)警影響支持按照單個或多個安全對象、按地域、按照業(yè)務(wù)系統(tǒng)進行發(fā)送；n 依據(jù)預(yù)備預(yù)警產(chǎn)生正式預(yù)警：在預(yù)警信息管理頁面中，可以查看到所有系統(tǒng)根據(jù)規(guī)則生成的預(yù)備預(yù)警信息，其中一些是必要的預(yù)警信息，通過選定某個信息后選擇發(fā)布，并補充填寫一些具體內(nèi)容后將其通過選定的方式發(fā)布。隨著以后中國電信業(yè)務(wù)發(fā)展新技術(shù)發(fā)展，安全對象類型及安全對象需要采集的安全屬性會不斷增加和完善，適應(yīng)新需求的發(fā)展。216。216。 事件：指路由器上已發(fā)生或正在發(fā)生的一些活動，需要關(guān)聯(lián)到具體的設(shè)備，用于安全對象的事件關(guān)聯(lián)；l 其他應(yīng)用系統(tǒng)對于其他應(yīng)用系統(tǒng)，根據(jù)不同業(yè)務(wù)系統(tǒng)的情況具體確定，只采集與安全相關(guān)的業(yè)務(wù)數(shù)據(jù)，主要包括：216。 配置變更配置：監(jiān)控路由器上重要的配置文件，主要路由器上的配置信息，用于檢查配置完整性；216。 接口狀態(tài)：路由器接口狀態(tài)信息，如UP或DOWN等，用于檢查接口使用狀態(tài)；216。 漏洞：路由器的漏洞信息，用于查看漏洞信息，需要掃描器支持；216。 配置變更配置：交換機上重要的配置文件，主要交換機上的配置信息，檢查交換機配置完整性；l 網(wǎng)絡(luò)設(shè)備路由器需要采集的安全屬性包括：216。 接口狀態(tài)：獲取交換機接口狀態(tài)信息，如UP或DOWN等，用于檢查端口使用狀態(tài)；216。 漏洞：交換機的當(dāng)前漏洞信息，用于查看漏洞情況，；216。 事件：指網(wǎng)絡(luò)上已發(fā)生或正在發(fā)生的一些活動，需要關(guān)聯(lián)到具體的設(shè)備，用于安全對象的事件關(guān)聯(lián)；l 網(wǎng)絡(luò)設(shè)備交換機需要采集的安全屬性包括：216。 端口：防火墻端口信息，用于檢查端口使用狀態(tài)；l 安全設(shè)備IDS/IPS需要采集的安全屬性包括：216。 流量：防火墻流量信息，用于發(fā)現(xiàn)網(wǎng)絡(luò)上的異常信息；216。 日志：防火墻本身的安全日志信息，用于檢查防火墻的安全運行信息；216。 主機進程屬性：主機中運行進程的相關(guān)情況，用于查看進程狀態(tài)；216。 主機啟動項配置變更屬性：主機自動啟動項的相關(guān)配置情況，用于檢查主機啟動項的完整性；216。 賬號口令策略屬性：主機的賬號口令策略；216。 漏洞屬性：主機的漏洞情況，用于查看漏洞情況，需要掃描器支持；216。 補丁屬性：設(shè)備已安裝及未安裝的補丁情況，用于查看補丁情況，需要終端管理系統(tǒng)支持；216。l 安全對象編號：設(shè)備或系統(tǒng)在ISMP中的編號，如果企業(yè)制定了統(tǒng)一的編號規(guī)范，則參考此規(guī)范，否則建議同安全對象名稱；l 標準系統(tǒng)：標準系統(tǒng)是運行在安全對象上的操作系統(tǒng)，例如windows2000 server、IBM AIX等；l 安全對象類別：安全對象類別包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端等；l IP地址：設(shè)備的IP地址；l 風(fēng)險相對改善度：說明安全對象風(fēng)險持續(xù)改善的程度，初始值為0，后面計算為風(fēng)險改善的百分比；l 響應(yīng)人：對安全對象進行維護的相關(guān)人員；l 責(zé)任人：負責(zé)管理安全對象的人員；l 所屬業(yè)務(wù)系統(tǒng)：安全對象所在業(yè)務(wù)系統(tǒng)，；l 地理位置：安全對象所在的物理地理位置，例如北京、南京、上海等l 自動確認閥值：安全對象風(fēng)險自動確認閥值，處于閥值以下的安全事件系統(tǒng)可以自動確認，處于閥值以上的安全事件必要要人工進行手工確認處理；l 安全對象價值：安全對象在風(fēng)險計算中的價值體現(xiàn)值，具體安全對象取值范圍和安全對象價值的計算見《中國移動安全運行管理系統(tǒng)（ISMP）安全對象管理規(guī)范》；l 完整性：具體賦值標準見《中國移動安全運行管理系統(tǒng)（ISMP）安全對象管理規(guī)范》；l 機密性：具體賦值標準見《中國移動安全運行管理系統(tǒng)（ISMP）安全對象管理規(guī)范》；l 可用性：具體賦值標準見《中國移動安全運行管理系統(tǒng)（ISMP）安全對象管理規(guī)范》；n 安全對象，除了具備以上通用屬性外，對不同類型的安全對象，還應(yīng)該具有以下特有安全屬性：l 主機或終端設(shè)備需要采集的安全屬性包括： 216。安全運行管理系統(tǒng)是以安全對象為基礎(chǔ)建立的，所有安全信息（例如事件、漏洞等）的存放、查看都是以安全對象為視角的。安全對象是用于網(wǎng)絡(luò)安全保護工作和網(wǎng)絡(luò)安全工作保護的企業(yè)網(wǎng)絡(luò)、設(shè)備、應(yīng)用、數(shù)據(jù)，安全對象的價值不僅僅包括其采購價值，還包括其受侵害后導(dǎo)致的企業(yè)損失。例如。SOC通過設(shè)定的安全告警響應(yīng)方式形成工作單，發(fā)送到安全響應(yīng)管理模塊，安全響應(yīng)模塊按照安全運維的設(shè)定流程進行流轉(zhuǎn)并最終到達該告警的負責(zé)人，該負責(zé)人進行告警事件的處理，在處理過程中，各狀態(tài)可查看、可追蹤。實現(xiàn)安全風(fēng)險與運維管理的緊密聯(lián)系。 是否要做告警追加，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則。 選擇要分析的脆弱性，這可通過過濾器設(shè)定，過濾條件為脆弱性名稱和脆弱性級別216。 設(shè)置最終產(chǎn)生的告警名稱和級別216。 是否要做告警追加，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則l 配置變更類告警，告警定義方法：216。 選擇是否關(guān)聯(lián)，即是否啟用定損關(guān)聯(lián)216。 是否要做告警追加，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則、嚴重級別、事件分類、事件子類、事件名稱l 漏洞類告警生成規(guī)則，告警定義方法：216。 是否要啟用告警觸發(fā)條件，如按名稱、級別一分鐘達到60條，才產(chǎn)生告警216。 定義分析的事件范圍，可以通過過濾器設(shè)定216。l 事件類告警生成規(guī)則，告警定義方法：216。l SOC應(yīng)支持對當(dāng)前告警、歷史告警的檢索和查詢，可以根據(jù)當(dāng)前告警事件反向追溯派生相關(guān)告警的事件和安全對象。 安全告警內(nèi)容描述l SOC應(yīng)支持對告警的統(tǒng)計展示，包括數(shù)據(jù)分布圖、趨勢圖等。 安全告警報送次數(shù)216。 安全告警清除操作人員216。 安全告警確認操作人員216。 安全告警級別216。 安全告警名稱216。 安全告警管理 安全告警集中呈現(xiàn)l SOC應(yīng)支持對安全告警的集中呈現(xiàn)，可以在工作臺界面進行告警信息的詳細描述，告警內(nèi)容主要應(yīng)包括但不限于以下內(nèi)容：216。l 支持用戶權(quán)限管理，可以按照功能授權(quán)。l 由于UNIX和多數(shù)網(wǎng)絡(luò)設(shè)備不支持對SSH、Telnet數(shù)據(jù)的采集，應(yīng)該提供解決方案，實現(xiàn)對該類數(shù)據(jù)采集、實時監(jiān)控、回放分析功能，保證審計完整性。l 系統(tǒng)提供多種報表和審計功能。l 可以對事件監(jiān)視器的監(jiān)控內(nèi)容和策略進行集中化定制；l 可根據(jù)設(shè)備類型、操作系統(tǒng)版本、網(wǎng)絡(luò)服務(wù)等屬性定制監(jiān)控內(nèi)容；l 可根據(jù)目前常見的攻擊事件，定制監(jiān)控內(nèi)容；l 可提供用戶自定義和策略模板二種方式；l 支持根據(jù)不同的安全事件等級，定制不同的響應(yīng)方式。l 事件報警級別的定制，安全事件的分級集中展示。 郵件，郵件正文需嵌入工單鏈接；216。 可視化圖形顯示；216。l 事件報警方式，支持以下方式。l 支持將事件和日志備份和導(dǎo)入。l 現(xiàn)有各種審計規(guī)則，支持薩班斯審計。l 支持日志分析，可以按照指定條件動態(tài)分析各種日志排名、分布和關(guān)聯(lián)。 用戶定義類型l 賣方需說明系統(tǒng)實現(xiàn)基于事件、基于資產(chǎn)和基于知識的關(guān)聯(lián)分析的具體原理和規(guī)則定義方法；l 所有事件可以轉(zhuǎn)發(fā)給風(fēng)險管理系統(tǒng)進行進一步的分析； 審計與響應(yīng)l 支持設(shè)備管理，可以按照設(shè)備查看事件和日志。 非法掃描216。 企圖入侵行為216。 Spoofing216。 郵件病毒216。 緩沖區(qū)溢出攻擊216。 可根據(jù)用戶過濾策略過濾事件；l 支持對下列安全事件類型的分析216。 給出事件關(guān)聯(lián)相關(guān)度的定量分析；216。 具備常見網(wǎng)絡(luò)攻擊行為分析數(shù)據(jù)庫，包括DDOS攻擊、網(wǎng)絡(luò)信息嗅探、漏洞掃描、網(wǎng)絡(luò)蠕蟲、木馬攻擊等常見網(wǎng)絡(luò)攻擊行為的縱向邏輯分析；216。l 支持安全事件的縱向關(guān)聯(lián)分析，即可以根據(jù)安全事件發(fā)生的因果關(guān)系，進行邏輯上關(guān)聯(lián)分析。 根據(jù)用戶的策略定制；216。 根據(jù)受攻擊的操作系統(tǒng)類型及版本信息進行聚合分析；216。 根據(jù)攻擊目標進行信息聚合分析；216。具體要求如下：216。 事件刷新的時間間隔216。 攻擊事件的目標地址216。 發(fā)生時間216。 事件類型216。標準化后的事件必須含有以下屬性：序號屬 性描 述1事件編號該事件的唯一編號，由系統(tǒng)自動產(chǎn)生2事件名稱事件名3事件內(nèi)容事件原始信息4事件類型事件類別5設(shè)備地址產(chǎn)生該事件的設(shè)備地址6設(shè)備名稱設(shè)備名稱7設(shè)備類型該設(shè)備的設(shè)備類型8嚴重級別事件在重新定義后的嚴重級別9原始級別事件的原始嚴重級別10事件時間事件進入安全管理系統(tǒng)的時間11原始時間事件產(chǎn)生時的時間12協(xié)議事件相關(guān)的協(xié)議名13源地址事件的源地址14源子網(wǎng)掩碼事件源地址的子網(wǎng)掩碼15目的地址事件的目的地址16目的子網(wǎng)掩碼事件目的地址的子網(wǎng)掩碼17源主機名事件源主機名稱18目的主機名事件目的主機名稱19源端口事件的源端口20目的端口事件的目的端口21源進程事件源相關(guān)的進程名22目的進程事件目的相關(guān)的進程名23源用戶事件源相關(guān)的用戶名24目的用戶事件目的相關(guān)的用戶名25其它地址事件相關(guān)的其他地址26其它端口事件相關(guān)的其他端口27安全類別安全行為類別，如病毒/木馬、認證/訪問/授權(quán)、拒絕服務(wù)等28安全子類對安全大類進行細分29行為目標描述安全事件所針對的目標系統(tǒng)的名稱30行為影響描述安全事件的行為對目標系統(tǒng)所造成的影響31Agent名稱系統(tǒng)收集該事件的Agent名稱l 應(yīng)支持代理方式將使用私有IP設(shè)備采集的事件信息穿越防火墻傳送指定的事件分析器上；l 應(yīng)可定制過濾策略，可根據(jù)以下條件定制組合過濾策略；216。 File216。 ODBC216。 SNMP Trap216。 ISSl 考慮網(wǎng)絡(luò)設(shè)備管理信息的通用性，要求代理通過通用協(xié)議或應(yīng)用服務(wù)收集設(shè)備信息，具體要求支持：216。 Tomcat216。 Cisco CiscoWorks216。 CA Killl 要求能接收來自網(wǎng)管系統(tǒng)的實時事件信息216。 McAfee216。 啟明星辰l 要求支持以下主流防病毒產(chǎn)品的實時監(jiān)控和分析216。 綠盟216。 ISS RealSecurel 要求支持以下主流漏洞掃描的實時監(jiān)控和分析：216。 綠盟（冰之眼ICEYE）216。 啟明星辰216。 Linktrustl 要求支持以下主流IDS/IPS的實時監(jiān)控和分析：216。 Nokia CheckPoint NG216。 SCOl 要求支持以下主流防火墻的實時監(jiān)控和分析：216。 IBM AIX系列216。 Sun Solaris系列216。 港灣l 要求支持對以下主機系統(tǒng)安全事件的實時監(jiān)控和分析：216。 華為216。 Juniper216。包括但不限于現(xiàn)有設(shè)備l 要求支持對以下路由和交換設(shè)備的安全事件實時監(jiān)控和分析：216。安全事件通過采集組件采集完成后，首先進行安全事件的標準化，然后匹配相應(yīng)的過濾條件完成安全事件的過濾，過濾完成后對滿足條件的安全事件進行歸并，提取主要有用安全信息，對歸并后的安全進行再與安全對象關(guān)聯(lián)、安全事件關(guān)聯(lián)等，進行關(guān)聯(lián)分析，從而完成整個安全事件的處理過程。n 應(yīng)可以依據(jù)設(shè)定的審計策略對標準化的安全事件進行審計分析?？紤]到實時事件的數(shù)量巨大，模塊應(yīng)該提供過濾功能，在屏幕上只顯示符合過濾條件的事件。 端口登記將安全對象上正在使用和開放的端口進行登記，并記錄端口運行服務(wù)和使用情況； 安全事件管理事件管理中呈現(xiàn)到系統(tǒng)中的是經(jīng)過收集、過濾、歸并、分析處理后的安全威脅數(shù)據(jù)，分別對應(yīng)安全事件收集、安全事件標準化、安全事件過濾、安全事件歸并和安全事件關(guān)聯(lián)的功能。 數(shù)據(jù)的HAVAL hashl 對系統(tǒng)端口的管理主要從以下幾個方面：216。 數(shù)據(jù)的MD5 hash216。 文本逐行比對216。 Type of value data 216。 Last write time216。 Security descriptor control216。 Maximum length of the value name216。 Maximum length of classnam