【正文】 e216。 Number of subkeys 216。 SACL 216。 Group SID 216。 Registry type: key or value216。 Number of NTFS data streams216。 Size of security descriptor for this object 216。 NTFS SACL 216。 NTFS Group SID 216。 NTFS Compressed flag 216。 File size216。 Last write time 216。 Directory flag 216。 Temporary flag 216。 Hidden flag 216。 Archive flag 216。 Modification timestamp216。 Number of blocks allocated216。 Device number of the disk on which the inode is stored 216。 File type 216。 User ID of owner 216。 Inode number 216。 可以支持不同的響應(yīng)方式，當文件完整性發(fā)生變化時，可以通過電子郵件、短信、SYSLOG等方式提醒相關(guān)的安全人員；l 對UNIX系統(tǒng)中的文件，檢查的屬性應(yīng)包括但不限于以下方面：216。 可以對文件的多種屬性進行監(jiān)控，保證對文件內(nèi)容以及對文件數(shù)據(jù)的未授權(quán)操作；216。l 系統(tǒng)通過比較當前文件屬性與基線數(shù)據(jù)庫的差別，提供廣泛及快速的變動檢查的能力，主要通過以下幾個方面實現(xiàn)：216。 完整性檢查n 完整性檢查：在業(yè)務(wù)系統(tǒng)處于穩(wěn)定狀態(tài)下，完整性檢查根據(jù)制定的安全策略對指定的文件或網(wǎng)絡(luò)配置進行讀取，并根據(jù)策略要求生成相應(yīng)的基線狀態(tài)值（文件屬性、文件內(nèi)容、哈希值等）。 DACL；216。 Owner SID；216。 suid, sgid文件；216。 主機補丁信息；216。l 對系統(tǒng)配置情況，應(yīng)支持通過遠程登錄采集或者是本地安裝AGENT進行采集，對于UNIX系統(tǒng)，應(yīng)主要監(jiān)控以下配置文件的變化：216。 支持DOS/DDOS、木馬、IP欺騙、PROXY等的掃描；216。 各種操作系統(tǒng)，如：A/UX, AIX, Digital UNIX, FreeBSD, HP/UX, IRIX, Linux(kernel ,), MacOS, NetBSD, Novell NetWare, OS/2, OpenBSD, OpenVMS, SCO Unix, Solaris, VxWorks, Windows, ULTRIX 等216。 漏洞的解決措施l 掃描器的必須能夠支持以下范圍的掃描：216。 漏洞名稱和編號216。 操作系統(tǒng)類型216。l 掃描結(jié)果必須包括以下信息：216。 漏洞管理n 漏洞管理：SOC平臺需要采用掃描器來收集漏洞信息，所以SOC應(yīng)該內(nèi)置或采用外置掃描器。 SOC平臺功能具體說明 脆弱性管理各種重要的主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備上存在的安全脆弱性是影響中國電信網(wǎng)絡(luò)安全的重要潛在風險，為了了解網(wǎng)絡(luò)中主機和網(wǎng)絡(luò)設(shè)備的安全脆弱性狀況，在SOC平臺中將建設(shè)脆弱性管理模塊，實現(xiàn)對重要主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全脆弱性信息的收集和管理。 應(yīng)用接口層：SOC平臺是一個綜合管理系統(tǒng)，在對相關(guān)安全信息進行處理時，需要通過應(yīng)用接口層與其他應(yīng)用管理系統(tǒng)之間進行數(shù)據(jù)交互。 安全對象層：SOC平臺所管理的資產(chǎn)，包括主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫管理系統(tǒng)、安全設(shè)備（如防火墻、IDS/IPS等）、應(yīng)用系統(tǒng)、數(shù)據(jù)和信息、多個安全對象構(gòu)成的安全對象組等。216。216。216。3 SOC平臺功能及技術(shù)要求 SOC平臺目標功能架構(gòu) SOC平臺的目標功能架構(gòu)從邏輯上可分為以下幾個層次：數(shù)據(jù)發(fā)布層、安全事件處理層、數(shù)據(jù)采集層、協(xié)議服務(wù)層、安全對象層、外部接口層，如下圖所示：IP承載網(wǎng)、IP網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)、IP網(wǎng)所承載的業(yè)務(wù)網(wǎng)絡(luò)、電信內(nèi)部網(wǎng)絡(luò)以及電信內(nèi)部業(yè)務(wù)系統(tǒng)、安全業(yè)務(wù)系統(tǒng)安全對象層防火墻終端管理主機網(wǎng)絡(luò)設(shè)備應(yīng)用IDS/IPS防毒補丁管理……協(xié)議服務(wù)層SNMP/TrapNetflowSyslogTelnetXML……數(shù)據(jù)采集層事件采集漏洞采集配置采集資產(chǎn)發(fā)現(xiàn)性能采集安全事件處理層專業(yè)安全子系統(tǒng)垃圾郵件處理系統(tǒng)異常流量監(jiān)控系統(tǒng)域名安全分析系統(tǒng)防御平臺網(wǎng)管系統(tǒng)攻擊溯源分析系統(tǒng)僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)安全態(tài)勢分析系統(tǒng)蜜罐系統(tǒng)終端安全管理系統(tǒng)…………SOC主體功能脆弱性管理安全事件管理安全風險管理安全告警管理資源管理系統(tǒng)接口網(wǎng)管系統(tǒng)接口綜合告警系統(tǒng)接口電子工單系統(tǒng)接口安全業(yè)務(wù)系統(tǒng)接口計費帳務(wù)系統(tǒng)接口3A系統(tǒng)接口上下級平臺接口其它系統(tǒng)接口外部接口安全服務(wù)管理風險分析風險控制安全響應(yīng)管理安全對象管理安全預(yù)警管理安全運維管理知識庫管理報表統(tǒng)計管理安全作業(yè)管理對外保障服務(wù)管理權(quán)限管理日志管理數(shù)據(jù)發(fā)布層統(tǒng)一門戶、統(tǒng)一認證安全策略管理安全任務(wù)管理信息發(fā)布及BBS系統(tǒng)管理任務(wù)調(diào)度告警漏洞展現(xiàn)內(nèi)容風險事件性能配置預(yù)警考核報表……用戶身份管理用戶管理權(quán)限管理216。 SOC平臺建設(shè)目標（加一段帽子）通過集團及各省SOC平臺的建設(shè)，將使集團及各省初步實現(xiàn)達到以下目標：l 由各類業(yè)務(wù)系統(tǒng)中各安全系統(tǒng)告警信息的分散查看，到集中查看、集中分析、集中處理，形成“兩級平臺，三級監(jiān)控”的集中化全網(wǎng)安全監(jiān)控管理能力；l 為中國電信網(wǎng)絡(luò)及重要系統(tǒng)的安全事件管理、安全風險分析提供全方位的技術(shù)手段，形成信息化的、自動的、動態(tài)的安全風險評估及事件管理系統(tǒng)；l 為中國電信日常安全運維及管理工作提供流程化、制度化的支撐平臺。各省的SOC平臺則主要負責各省管轄范圍內(nèi)的IP城域網(wǎng)、相關(guān)業(yè)務(wù)系統(tǒng)以及各省內(nèi)部支撐系統(tǒng)的相關(guān)設(shè)備及其安全系統(tǒng)。 SOC平臺的管理范圍從集團及各省SOC平臺的管理范圍及職能來看：集團SOC平臺的管理范圍主要包括：IP承載網(wǎng)骨干網(wǎng)、集團層面的相關(guān)業(yè)務(wù)系統(tǒng)以及內(nèi)部支撐系統(tǒng)的相關(guān)設(shè)備及其安全系統(tǒng)。3. 互聯(lián)網(wǎng)接入用戶為有安全服務(wù)需求的客戶網(wǎng)絡(luò)提供安全代維、DDOS攻擊防御、安全網(wǎng)關(guān)等電信級安全業(yè)務(wù)的集中業(yè)務(wù)管理。 內(nèi)部網(wǎng)絡(luò)：對外封閉的電信內(nèi)部網(wǎng)絡(luò)，包括：辦公網(wǎng)、DCN等；216。 業(yè)務(wù)網(wǎng)絡(luò)：在IP承載網(wǎng)之上運行的業(yè)務(wù)網(wǎng)絡(luò)，包括：軟交換、C網(wǎng)分組域等。 IP承載網(wǎng)： ChinaNet、CN2中的設(shè)備管理，包括：網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等；216。中國電信SOC平臺應(yīng)能滿足新時期的新需求，以向中國電信IP網(wǎng)提供網(wǎng)絡(luò)安全管理服務(wù)為主，同時向電信內(nèi)部網(wǎng)絡(luò)和系統(tǒng)推廣，逐步發(fā)展安全代維業(yè)務(wù)。 SOC平臺的服務(wù)對象目前中國電信維護和管理的各個網(wǎng)絡(luò)和系統(tǒng)已經(jīng)呈現(xiàn)出集中安全管理的迫切需求，C網(wǎng)的投入運營也對網(wǎng)絡(luò)安全工作提出了新的要求。如果已部署網(wǎng)管系統(tǒng)，可由網(wǎng)管系統(tǒng)將原始Syslog信息轉(zhuǎn)發(fā)給SOC平臺，由SOC平臺完成對Syslog中安全信息的處理，從網(wǎng)管系統(tǒng)接受Syslog后，SOC平臺通過策略過濾與硬件相關(guān)的信息，只處理相關(guān)的安全信息。SOC平臺與網(wǎng)管系統(tǒng)既有聯(lián)系又有區(qū)別。SOC平臺位于網(wǎng)絡(luò)安全體系最上層，為中國電信網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)提供安全保障。對于現(xiàn)有安全系統(tǒng)而言，安全管理平臺的地位是管理者，匯總所有的安全問題，實現(xiàn)集中管理和監(jiān)控；對于企業(yè)的安全管理組織及人員而言，安全管理平臺是一個技術(shù)實現(xiàn)平臺，管理者可以利用安全管理平臺開展日常的安全工作，使得安全工作日?；⒅贫然?。安全運行管理中心是一種管理形式，是介于現(xiàn)有安全系統(tǒng)和管理者之間的一種管理形式。 參考文獻2 SOC平臺定位及建設(shè)目標 SOC平臺定義隨著安全問題越來越被各個企業(yè)所重視，企業(yè)都開始部署了大量的安全產(chǎn)品，但是大量的安全產(chǎn)品部署及其相關(guān)的安全事件信息也給企業(yè)帶來了巨大的可管理性問題。但在本項目中，漏洞是脆弱性的一個子集，專指可通過掃描器發(fā)現(xiàn)的脆弱性，其中部分具有國際上標準的CVE編號；而如企業(yè)沒有安全管理負責人之類的脆弱性則不被認為是漏洞。威脅Threat安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。安全策略Security Policy安全策略是各種論述、規(guī)則和準則的集合，以供解釋和說明網(wǎng)絡(luò)資源使用以及網(wǎng)絡(luò)和業(yè)務(wù)保護的方式和要求。安全對象Security Object用于網(wǎng)絡(luò)安全保護工作和網(wǎng)絡(luò)安全工作保護的企業(yè)網(wǎng)絡(luò)、設(shè)備、應(yīng)用、數(shù)據(jù)稱為安全對象，安全對象的價值不僅僅包括其采購價值，還包括其受侵害后導致的企業(yè)損失。 術(shù)語解釋網(wǎng)絡(luò)安全管理平臺SOC平臺網(wǎng)絡(luò)安全管理平臺是實現(xiàn)信息安全管理的技術(shù)支撐平臺。為進一步規(guī)范和指導中國電信各省公司SOC平臺的推廣建設(shè)工作，集團公司網(wǎng)絡(luò)運行維護事業(yè)部組織相關(guān)單位研究制定了本指導意見，保證中國電信SOC平臺建設(shè)工作的統(tǒng)一和有序開展。目前中國電信已在集團、江蘇二個節(jié)點建設(shè)了試點SOC平臺，初步構(gòu)建了二級SOC平臺架構(gòu)，初步具備了對于中國電信IP網(wǎng)的網(wǎng)絡(luò)異常流量監(jiān)控、安全事件的集中監(jiān)控、安全風險評估、垃圾郵件集中自動化處理等能力, 提高了網(wǎng)絡(luò)安全工作的效率，增強了網(wǎng)絡(luò)安全性。 中國電信網(wǎng)絡(luò)安全管理平臺推廣和建設(shè)指導意見中國電信集團XXXXXXXX2009121767 / 67目錄：1 概述 4 前言 4 適用范圍 4 術(shù)語解釋 4 參考文獻 52 SOC平臺定位及建設(shè)目標 6 SOC平臺定義 6 SOC平臺在網(wǎng)絡(luò)安全體系中所處的地位 6 SOC平臺在網(wǎng)絡(luò)管理和支撐系統(tǒng)中所處的地位 7 SOC平臺的服務(wù)對象 8 SOC平臺的管理范圍 9 SOC平臺建設(shè)目標 93 SOC平臺功能及技術(shù)要求 10 SOC平臺目標功能架構(gòu) 10 SOC平臺功能具體說明 12 脆弱性管理 12 安全事件管理 16 安全告警管理 23 安全響應(yīng)管理 25 安全對象管理 26 安全預(yù)警管理 29 知識庫管理 32 報表統(tǒng)計管理 33 安全作業(yè)管理 36 對外保障服務(wù)管理 38 安全策略管理 39 安全任務(wù)管理 40 信息發(fā)布及BBS 41 系統(tǒng)自身管理 41 其他技術(shù)要求 424 SOC平臺接口要求 42 接口定義 42 內(nèi)部接口 42 外部系統(tǒng)接口 45 接口協(xié)議要求 46 實現(xiàn)方式 47 數(shù)據(jù)采集接口 47 上下級接口 48 外部接口 48 各類接口實現(xiàn)方式建議 485 SOC平臺建設(shè)策略 50 建設(shè)策略 50 建設(shè)進度要求 526 SOC運維及管理 54 平臺服務(wù)模式和運作流程 54 集團SOC對各省安全管理工作的支撐 55 技術(shù)方面的支撐 55 管理及運維支撐 56 集團對各省SOC建設(shè)及使用維護的考核要求 57 各省SOC數(shù)據(jù)上報及處理要求 57 安全作業(yè)計劃執(zhí)行及落實要求 617 附錄 63 統(tǒng)計報表樣例（供參考） 63 …… 671 概述 前言中國電信通信網(wǎng)絡(luò)和支撐系統(tǒng)是國家基礎(chǔ)信息設(shè)施，從國家要求和企業(yè)自身業(yè)務(wù)的要求考慮，都迫切需要提高信息安全保障水平。為了保證中國電信的網(wǎng)絡(luò)安全，提高中國電信的網(wǎng)絡(luò)安全保護水平，促進中國電信的網(wǎng)絡(luò)安全管理工作流程化，需要建設(shè)網(wǎng)絡(luò)安全管理（SOC，Security Operation Center）平臺為安全管理工作提供一個支撐平臺。隨著網(wǎng)絡(luò)安全工作的不斷深化，中國電信各省電信公司也紛紛提出了SOC平臺的建設(shè)需求。 適用范圍本文檔適用于指導中國電信集團及各省SOC平臺的規(guī)劃及建設(shè)工作。它以風險管理為核心，為安全運營和管理提供支撐。安全事件Security Events由計算機信息系統(tǒng)或者網(wǎng)絡(luò)中的各種計算機設(shè)備，例如主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等發(fā)現(xiàn)并記錄下的各種可疑活動被稱為安全事件。從用戶的角度看，安全策略定義了一個合法的用戶可以作什么，它會說明哪些信息被保護。脆弱性Vulnerability存在于被威脅的客體上，可被威脅所利用而導致安全性問題，在實際使用中，漏洞和脆弱性經(jīng)常被認為等同而不加區(qū)分地使用。安全風險Risk安全風險是一種特定的威脅利用脆弱性而引起信息丟失或者損害一種或一組資產(chǎn)的可能性。針對這個問題，安全管理平臺SOC（Security Operation Center）平臺成為目前很多大型行業(yè)尤其是電信行業(yè)用戶關(guān)注的一個建設(shè)方向。SOC平臺將與安全有關(guān)的產(chǎn)品、方案等進行整合，提供一個統(tǒng)一的安全管理界面。 SOC平臺在網(wǎng)絡(luò)安全體系中所處的地位網(wǎng)絡(luò)安全體系通常體現(xiàn)在三個層面：第一層，各系統(tǒng)自身安全防護，是各應(yīng)用系統(tǒng)和安全對象自身的基礎(chǔ)防護措施，降低自身的安全風險；第二層，安全產(chǎn)品防護，是在各系統(tǒng)自身基礎(chǔ)防護措施之上，對應(yīng)用系統(tǒng)和安全對象采取的外圍防護措施，主要應(yīng)對外部的安全威脅；第三層，統(tǒng)一安全管理，是通過安全集中管理將系統(tǒng)自身安全防護以及外圍安全防護產(chǎn)品所產(chǎn)生的大量安全信息進行統(tǒng)一分析和管理，以提高安全防護效率和整體安全水平。（待修改） SOC平臺在網(wǎng)絡(luò)管理和支撐系統(tǒng)中所處的地位SOC平臺在網(wǎng)絡(luò)管理和支撐系統(tǒng)中的地位如下圖所示：SOC安全管理平臺是一個為安全管理及運維提供安全技術(shù)支撐的平臺，在IT管理系統(tǒng)中與網(wǎng)