【正文】 C平臺(tái)，初步構(gòu)建了二級(jí)SOC平臺(tái)架構(gòu)，初步具備了對(duì)于中國(guó)電信IP網(wǎng)的網(wǎng)絡(luò)異常流量監(jiān)控、安全事件的集中監(jiān)控、安全風(fēng)險(xiǎn)評(píng)估、垃圾郵件集中自動(dòng)化處理等能力, 提高了網(wǎng)絡(luò)安全工作的效率，增強(qiáng)了網(wǎng)絡(luò)安全性。...../Shop/《銷售經(jīng)理學(xué)院》56套講座+ 14350份資料...../Shop/《銷售人員培訓(xùn)學(xué)院》72套講座+ 4879份資料...../Shop/ 中國(guó)電信網(wǎng)絡(luò)安全管理平臺(tái)推廣和建設(shè)指導(dǎo)意見(jiàn)中國(guó)電信集團(tuán)XXXXXXXX2009121764 / 64目錄：1 概述 4 前言 4 適用范圍 4 術(shù)語(yǔ)解釋 4 參考文獻(xiàn) 52 SOC平臺(tái)定位及建設(shè)目標(biāo) 6 SOC平臺(tái)定義 6 SOC平臺(tái)在網(wǎng)絡(luò)安全體系中所處的地位 6 SOC平臺(tái)在網(wǎng)絡(luò)管理和支撐系統(tǒng)中所處的地位 7 SOC平臺(tái)的服務(wù)對(duì)象 8 SOC平臺(tái)的管理范圍 9 SOC平臺(tái)建設(shè)目標(biāo) 93 SOC平臺(tái)功能及技術(shù)要求 10 SOC平臺(tái)目標(biāo)功能架構(gòu) 10 SOC平臺(tái)功能具體說(shuō)明 12 脆弱性管理 12 安全事件管理 16 安全告警管理 23 安全響應(yīng)管理 25 安全對(duì)象管理 26 安全預(yù)警管理 29 知識(shí)庫(kù)管理 32 報(bào)表統(tǒng)計(jì)管理 33 安全作業(yè)管理 36 對(duì)外保障服務(wù)管理 38 安全策略管理 39 安全任務(wù)管理 40 信息發(fā)布及BBS 41 系統(tǒng)自身管理 41 其他技術(shù)要求 424 SOC平臺(tái)接口要求 42 接口定義 42 內(nèi)部接口 42 外部系統(tǒng)接口 45 接口協(xié)議要求 46 實(shí)現(xiàn)方式 47 數(shù)據(jù)采集接口 47 上下級(jí)接口 48 外部接口 48 各類接口實(shí)現(xiàn)方式建議 485 SOC平臺(tái)建設(shè)策略 50 建設(shè)策略 50 建設(shè)進(jìn)度要求 526 SOC運(yùn)維及管理 54 平臺(tái)服務(wù)模式和運(yùn)作流程 54 集團(tuán)SOC對(duì)各省安全管理工作的支撐 55 技術(shù)方面的支撐 55 管理及運(yùn)維支撐 56 集團(tuán)對(duì)各省SOC建設(shè)及使用維護(hù)的考核要求 57 各省SOC數(shù)據(jù)上報(bào)及處理要求 57 安全作業(yè)計(jì)劃執(zhí)行及落實(shí)要求 617 附錄 63 統(tǒng)計(jì)報(bào)表樣例（供參考） 63 …… 671 概述 前言中國(guó)電信通信網(wǎng)絡(luò)和支撐系統(tǒng)是國(guó)家基礎(chǔ)信息設(shè)施，從國(guó)家要求和企業(yè)自身業(yè)務(wù)的要求考慮，都迫切需要提高信息安全保障水平。更多資料請(qǐng)?jiān)L問(wèn).(.....)此資料來(lái)自：.（....）聯(lián)系電話：020.值班手機(jī)：提供50萬(wàn)份管理資料下載3萬(wàn)集企業(yè)管理資料下載1300GB高清管理講座硬盤拷貝更多企業(yè)學(xué)院：...../Shop/《中小企業(yè)管理全能版》183套講座+89700份資料...../Shop/《總經(jīng)理、高層管理》49套講座+16388份資料...../Shop/《中層管理學(xué)院》46套講座+6020份資料...../Shop/《國(guó)學(xué)智慧、易經(jīng)》46套講座...../Shop/《人力資源學(xué)院》56套講座+27123份資料...../Shop/《各階段員工培訓(xùn)學(xué)院》77套講座+ 324份資料...../Shop/《員工管理企業(yè)學(xué)院》67套講座+ 8720份資料...../Shop/《工廠生產(chǎn)管理學(xué)院》52套講座+ 13920份資料...../Shop/《財(cái)務(wù)管理學(xué)院》53套講座+ 17945份資料為了保證中國(guó)電信的網(wǎng)絡(luò)安全，提高中國(guó)電信的網(wǎng)絡(luò)安全保護(hù)水平，促進(jìn)中國(guó)電信的網(wǎng)絡(luò)安全管理工作流程化，需要建設(shè)網(wǎng)絡(luò)安全管理（SOC，Security Operation Center）平臺(tái)為安全管理工作提供一個(gè)支撐平臺(tái)。隨著網(wǎng)絡(luò)安全工作的不斷深化，中國(guó)電信各省電信公司也紛紛提出了SOC平臺(tái)的建設(shè)需求。 適用范圍本文檔適用于指導(dǎo)中國(guó)電信集團(tuán)及各省SOC平臺(tái)的規(guī)劃及建設(shè)工作。它以風(fēng)險(xiǎn)管理為核心，為安全運(yùn)營(yíng)和管理提供支撐。安全事件Security Events由計(jì)算機(jī)信息系統(tǒng)或者網(wǎng)絡(luò)中的各種計(jì)算機(jī)設(shè)備，例如主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等發(fā)現(xiàn)并記錄下的各種可疑活動(dòng)被稱為安全事件。從用戶的角度看，安全策略定義了一個(gè)合法的用戶可以作什么，它會(huì)說(shuō)明哪些信息被保護(hù)。脆弱性Vulnerability存在于被威脅的客體上，可被威脅所利用而導(dǎo)致安全性問(wèn)題，在實(shí)際使用中，漏洞和脆弱性經(jīng)常被認(rèn)為等同而不加區(qū)分地使用。安全風(fēng)險(xiǎn)Risk安全風(fēng)險(xiǎn)是一種特定的威脅利用脆弱性而引起信息丟失或者損害一種或一組資產(chǎn)的可能性。針對(duì)這個(gè)問(wèn)題，安全管理平臺(tái)SOC（Security Operation Center）平臺(tái)成為目前很多大型行業(yè)尤其是電信行業(yè)用戶關(guān)注的一個(gè)建設(shè)方向。SOC平臺(tái)將與安全有關(guān)的產(chǎn)品、方案等進(jìn)行整合，提供一個(gè)統(tǒng)一的安全管理界面。 SOC平臺(tái)在網(wǎng)絡(luò)安全體系中所處的地位網(wǎng)絡(luò)安全體系通常體現(xiàn)在三個(gè)層面：第一層，各系統(tǒng)自身安全防護(hù)，是各應(yīng)用系統(tǒng)和安全對(duì)象自身的基礎(chǔ)防護(hù)措施，降低自身的安全風(fēng)險(xiǎn)；第二層，安全產(chǎn)品防護(hù)，是在各系統(tǒng)自身基礎(chǔ)防護(hù)措施之上，對(duì)應(yīng)用系統(tǒng)和安全對(duì)象采取的外圍防護(hù)措施，主要應(yīng)對(duì)外部的安全威脅；第三層，統(tǒng)一安全管理，是通過(guò)安全集中管理將系統(tǒng)自身安全防護(hù)以及外圍安全防護(hù)產(chǎn)品所產(chǎn)生的大量安全信息進(jìn)行統(tǒng)一分析和管理，以提高安全防護(hù)效率和整體安全水平。（待修改） SOC平臺(tái)在網(wǎng)絡(luò)管理和支撐系統(tǒng)中所處的地位SOC平臺(tái)在網(wǎng)絡(luò)管理和支撐系統(tǒng)中的地位如下圖所示：SOC安全管理平臺(tái)是一個(gè)為安全管理及運(yùn)維提供安全技術(shù)支撐的平臺(tái)，在IT管理系統(tǒng)中與網(wǎng)管系統(tǒng)NOC的地位類似。二者都通過(guò)采集網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備的Syslog獲得處理的數(shù)據(jù)源，但網(wǎng)管系統(tǒng)主要處理網(wǎng)絡(luò)和主機(jī)設(shè)備的硬件故障信息，如端口的up\down，內(nèi)存使用狀況等，SOC平臺(tái)主要處理安全方面的信息，如用戶在設(shè)備上的登入、登出信息、端口流量等；另外，SOC平臺(tái)的數(shù)據(jù)源除主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備外，還包括安全設(shè)備以及相關(guān)專業(yè)安全子系統(tǒng)。為實(shí)現(xiàn)與其他管理系統(tǒng)的整合，SOC平臺(tái)還需要與其他管理系統(tǒng)建立接口，如與運(yùn)維工單進(jìn)行接口，SOC平臺(tái)將SOC告警事件無(wú)縫流轉(zhuǎn)到運(yùn)維工單，運(yùn)維工單處理完成后，將處理完成信息返回給SOC平臺(tái)，實(shí)現(xiàn)安全信息的閉環(huán)處理。同時(shí)在中國(guó)電信全業(yè)務(wù)運(yùn)營(yíng)的新形勢(shì)下，各類安全業(yè)務(wù)也正在進(jìn)行積極的研發(fā)和推廣。因此，SOC平臺(tái)的服務(wù)對(duì)象主要包括中國(guó)電信IP網(wǎng)、中國(guó)電信內(nèi)部網(wǎng)絡(luò)以及互聯(lián)網(wǎng)接入用戶：中國(guó)電信IP網(wǎng)IP承載網(wǎng)： ChinaNet、CN2中的設(shè)備管理，包括：網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等；網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)：支撐ChinaNet、CN2運(yùn)行的支撐系統(tǒng)，包括：DNS、網(wǎng)管系統(tǒng)、認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)等；業(yè)務(wù)網(wǎng)絡(luò)：在IP承載網(wǎng)之上運(yùn)行的業(yè)務(wù)網(wǎng)絡(luò)，包括：軟交換、C網(wǎng)分組域等?；ヂ?lián)網(wǎng)接入用戶為有安全服務(wù)需求的客戶網(wǎng)絡(luò)提供安全代維、DDOS攻擊防御、安全網(wǎng)關(guān)等電信級(jí)安全業(yè)務(wù)的集中業(yè)務(wù)管理。 SOC平臺(tái)的管理范圍從集團(tuán)及各省SOC平臺(tái)的管理范圍及職能來(lái)看：集團(tuán)SOC平臺(tái)的管理范圍主要包括：IP承載網(wǎng)骨干網(wǎng)、集團(tuán)層面的相關(guān)業(yè)務(wù)系統(tǒng)以及內(nèi)部支撐系統(tǒng)的相關(guān)設(shè)備及其安全系統(tǒng)。各省的SOC平臺(tái)則主要負(fù)責(zé)各省管轄范圍內(nèi)的IP城域網(wǎng)、相關(guān)業(yè)務(wù)系統(tǒng)以及各省內(nèi)部支撐系統(tǒng)的相關(guān)設(shè)備及其安全系統(tǒng)。 SOC平臺(tái)建設(shè)目標(biāo)（加一段帽子）通過(guò)集團(tuán)及各省SOC平臺(tái)的建設(shè)，將使集團(tuán)及各省初步實(shí)現(xiàn)達(dá)到以下目標(biāo)：由各類業(yè)務(wù)系統(tǒng)中各安全系統(tǒng)告警信息的分散查看，到集中查看、集中分析、集中處理，形成“兩級(jí)平臺(tái)，三級(jí)監(jiān)控”的集中化全網(wǎng)安全監(jiān)控管理能力；為中國(guó)電信網(wǎng)絡(luò)及重要系統(tǒng)的安全事件管理、安全風(fēng)險(xiǎn)分析提供全方位的技術(shù)手段，形成信息化的、自動(dòng)的、動(dòng)態(tài)的安全風(fēng)險(xiǎn)評(píng)估及事件管理系統(tǒng)；為中國(guó)電信日常安全運(yùn)維及管理工作提供流程化、制度化的支撐平臺(tái)。3 SOC平臺(tái)功能及技術(shù)要求 SOC平臺(tái)目標(biāo)功能架構(gòu) SOC平臺(tái)的目標(biāo)功能架構(gòu)從邏輯上可分為以下幾個(gè)層次：數(shù)據(jù)發(fā)布層、安全事件處理層、數(shù)據(jù)采集層、協(xié)議服務(wù)層、安全對(duì)象層、外部接口層，如下圖所示：IP承載網(wǎng)、IP網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)、IP網(wǎng)所承載的業(yè)務(wù)網(wǎng)絡(luò)、電信內(nèi)部網(wǎng)絡(luò)以及電信內(nèi)部業(yè)務(wù)系統(tǒng)、安全業(yè)務(wù)系統(tǒng)安全對(duì)象層防火墻終端管理主機(jī)網(wǎng)絡(luò)設(shè)備應(yīng)用IDS/IPS防毒補(bǔ)丁管理……協(xié)議服務(wù)層SNMP/TrapNetflowSyslogTelnetXML……數(shù)據(jù)采集層事件采集漏洞采集配置采集資產(chǎn)發(fā)現(xiàn)性能采集安全事件處理層專業(yè)安全子系統(tǒng)垃圾郵件處理系統(tǒng)異常流量監(jiān)控系統(tǒng)域名安全分析系統(tǒng)防御平臺(tái)網(wǎng)管系統(tǒng)攻擊溯源分析系統(tǒng)僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)安全態(tài)勢(shì)分析系統(tǒng)蜜罐系統(tǒng)終端安全管理系統(tǒng)…………SOC主體功能脆弱性管理安全事件管理安全風(fēng)險(xiǎn)管理安全告警管理資源管理系統(tǒng)接口網(wǎng)管系統(tǒng)接口綜合告警系統(tǒng)接口電子工單系統(tǒng)接口安全業(yè)務(wù)系統(tǒng)接口計(jì)費(fèi)帳務(wù)系統(tǒng)接口3A系統(tǒng)接口上下級(jí)平臺(tái)接口其它系統(tǒng)接口外部接口安全服務(wù)管理風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)控制安全響應(yīng)管理安全對(duì)象管理安全預(yù)警管理安全運(yùn)維管理知識(shí)庫(kù)管理報(bào)表統(tǒng)計(jì)管理安全作業(yè)管理對(duì)外保障服務(wù)管理權(quán)限管理日志管理數(shù)據(jù)發(fā)布層統(tǒng)一門戶、統(tǒng)一認(rèn)證安全策略管理安全任務(wù)管理信息發(fā)布及BBS系統(tǒng)管理任務(wù)調(diào)度告警漏洞展現(xiàn)內(nèi)容風(fēng)險(xiǎn)事件性能配置預(yù)警考核報(bào)表……用戶身份管理用戶管理權(quán)限管理216。216。216。216。 安全對(duì)象層：SOC平臺(tái)所管理的資產(chǎn)，包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全設(shè)備（如防火墻、IDS/IPS等）、應(yīng)用系統(tǒng)、數(shù)據(jù)和信息、多個(gè)安全對(duì)象構(gòu)成的安全對(duì)象組等。 應(yīng)用接口層：SOC平臺(tái)是一個(gè)綜合管理系統(tǒng)，在對(duì)相關(guān)安全信息進(jìn)行處理時(shí)，需要通過(guò)應(yīng)用接口層與其他應(yīng)用管理系統(tǒng)之間進(jìn)行數(shù)據(jù)交互。 SOC平臺(tái)功能具體說(shuō)明 脆弱性管理各種重要的主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備上存在的安全脆弱性是影響中國(guó)電信網(wǎng)絡(luò)安全的重要潛在風(fēng)險(xiǎn)，為了了解網(wǎng)絡(luò)中主機(jī)和網(wǎng)絡(luò)設(shè)備的安全脆弱性狀況，在SOC平臺(tái)中將建設(shè)脆弱性管理模塊，實(shí)現(xiàn)對(duì)重要主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全脆弱性信息的收集和管理。 漏洞管理漏洞管理：SOC平臺(tái)需要采用掃描器來(lái)收集漏洞信息，所以SOC應(yīng)該內(nèi)置或采用外置掃描器。掃描結(jié)果必須包括以下信息：IP地址操作系統(tǒng)類型操作系統(tǒng)脆弱性的端口和范圍漏洞名稱和編號(hào)漏洞的描述漏洞的解決措施掃描器的必須能夠支持以下范圍的掃描：瀏覽器各種操作系統(tǒng)，如：A/UX, AIX, Digital UNIX, FreeBSD, HP/UX, IRIX, Linux(kernel ,), MacOS, NetBSD, Novell NetWare, OS/2, OpenBSD, OpenVMS, SCO Unix, Solaris, VxWorks, Windows, ULTRIX 等各種網(wǎng)絡(luò)設(shè)備，如：支持眾多的網(wǎng)絡(luò)交換機(jī)、路由器、網(wǎng)絡(luò)打印機(jī)、WAP接入設(shè)備、VPN 設(shè)備、防護(hù)墻等設(shè)備支持DOS/DDOS、木馬、IP欺騙、PROXY等的掃描；支持端口掃描； 配置管理配置管理：配置脆弱性信息收集腳本主要用于收集重要主機(jī)系統(tǒng)上與安全相關(guān)的系統(tǒng)信息，并通過(guò)與脆弱性管理系統(tǒng)中相關(guān)安全基線的比較，不符合基線的會(huì)被作為弱點(diǎn)匯集到脆弱性管理模塊，分析獲得系統(tǒng)的安全脆弱性信息。 完整性檢查完整性檢查：在業(yè)務(wù)系統(tǒng)處于穩(wěn)定狀態(tài)下，完整性檢查根據(jù)制定的安全策略對(duì)指定的文件或網(wǎng)絡(luò)配置進(jìn)行讀取，并根據(jù)策略要求生成相應(yīng)的基線狀態(tài)值（文件屬性、文件內(nèi)容、哈希值等）。系統(tǒng)通過(guò)比較當(dāng)前文件屬性與基線數(shù)據(jù)庫(kù)的差別，提供廣泛及快速的變動(dòng)檢查的能力，主要通過(guò)以下幾個(gè)方面實(shí)現(xiàn)：可以支持多種算法，通過(guò)對(duì)不同簽名算法的支持，來(lái)保證文件修改的檢查；可以對(duì)文件的多種屬性進(jìn)行監(jiān)控，保證對(duì)文件內(nèi)容以及對(duì)文件數(shù)據(jù)的未授權(quán)操作；可以根據(jù)文件的不同賦予不同的嚴(yán)重級(jí)別，當(dāng)檢測(cè)到文件完整性遭到破壞時(shí)，安全管理員可以根據(jù)嚴(yán)重級(jí)別安排處理工作；可以支持不同的響應(yīng)方式，當(dāng)文件完整性發(fā)生變化時(shí)，可以通過(guò)電子郵件、短信、SYSLOG等方式提醒相關(guān)的安全人員；對(duì)UNIX系統(tǒng)中的文件，檢查的屬性應(yīng)包括但不限于以下方面：Permissions Inode number Number of links (. inode reference count)User ID of owner Group ID of owner File type File size Device number of the disk on which the inode is stored Device number of the device to which the inode points.Number of blocks allocatedAccess timestamp Modification timestampInode creation / modification timestamp對(duì)WINDOWS系統(tǒng)中的文件，檢查的屬性應(yīng)包括但不限于以下方面：Archive flag