【正文】 管系統(tǒng)NOC的地位類似。二者都通過采集網(wǎng)絡(luò)設(shè)備、主機設(shè)備的Syslog獲得處理的數(shù)據(jù)源，但網(wǎng)管系統(tǒng)主要處理網(wǎng)絡(luò)和主機設(shè)備的硬件故障信息，如端口的up\down，內(nèi)存使用狀況等，SOC平臺主要處理安全方面的信息，如用戶在設(shè)備上的登入、登出信息、端口流量等；另外，SOC平臺的數(shù)據(jù)源除主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備外，還包括安全設(shè)備以及相關(guān)專業(yè)安全子系統(tǒng)。為實現(xiàn)與其他管理系統(tǒng)的整合，SOC平臺還需要與其他管理系統(tǒng)建立接口，如與運維工單進行接口，SOC平臺將SOC告警事件無縫流轉(zhuǎn)到運維工單，運維工單處理完成后，將處理完成信息返回給SOC平臺，實現(xiàn)安全信息的閉環(huán)處理。同時在中國電信全業(yè)務(wù)運營的新形勢下，各類安全業(yè)務(wù)也正在進行積極的研發(fā)和推廣。因此，SOC平臺的服務(wù)對象主要包括中國電信IP網(wǎng)、中國電信內(nèi)部網(wǎng)絡(luò)以及互聯(lián)網(wǎng)接入用戶：1. 中國電信IP網(wǎng)216。 網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)：支撐ChinaNet、CN2運行的支撐系統(tǒng)，包括：DNS、網(wǎng)管系統(tǒng)、認證系統(tǒng)、計費系統(tǒng)等；216。2. 中國電信內(nèi)部用戶216。 業(yè)務(wù)系統(tǒng)：提供中國電信互聯(lián)網(wǎng)應(yīng)用的業(yè)務(wù)系統(tǒng)，如C網(wǎng)業(yè)務(wù)系統(tǒng)、互聯(lián)星空、號百、商務(wù)領(lǐng)航等。從功能、性能和成本等方面綜合考慮，各省公司原則上應(yīng)建設(shè)一套統(tǒng)一的SOC平臺為三類對象提供服務(wù)，在實際建設(shè)中若由于網(wǎng)絡(luò)隔離等技術(shù)條件的限制，可根據(jù)具體情況進行考慮。同時，集團SOC平臺還應(yīng)承擔對各省安全管理工作的支撐職能，如安全策略的下發(fā)、安全預(yù)警發(fā)布，安全知識的共享、省際安全事件的協(xié)同分析及處理等。同時，各省SOC平臺應(yīng)根據(jù)電信集團的相關(guān)規(guī)范要求，為集團提供相應(yīng)信息及數(shù)據(jù)支撐，如安全事件的上報、安全數(shù)據(jù)的統(tǒng)計及匯報等。自動實現(xiàn)采集與分析，并將告警通過工單接口直接派發(fā)工單至相應(yīng)責任人，固化處理流程，并提供相應(yīng)的制度和知識支撐，提高安全事件處理效率及質(zhì)量，使安全運維管理日?；⒆詣踊?；l 為中國電信網(wǎng)絡(luò)安全業(yè)務(wù)的推出提供技術(shù)儲備；l 為業(yè)務(wù)系統(tǒng)的建設(shè)、市場運營和維護等提供安全技術(shù)支持；l 逐步實現(xiàn)從中國電信IP網(wǎng)、中國電信內(nèi)部網(wǎng)絡(luò)和系統(tǒng)到電信外部客戶的安全管理能力。 數(shù)據(jù)發(fā)布層：對SOC平臺采集分析的數(shù)據(jù)進行統(tǒng)一呈現(xiàn)，同時對專業(yè)安全子系統(tǒng)以B/S方式統(tǒng)一納入SOC平臺進行管理，并通過統(tǒng)一門戶和統(tǒng)一認證實現(xiàn)多個專業(yè)安全子系統(tǒng)的單點登錄和集中授權(quán)管理。 安全事件處理層：主要包括對安全對象的管理、安全風險的呈現(xiàn)和處理、安全事件和脆弱性的關(guān)聯(lián)以及對事件、脆弱性、完整性等安全信息的處理功能；同時提供策略庫統(tǒng)一規(guī)劃網(wǎng)絡(luò)相關(guān)策略，提供知識庫作為安全人員處理事件的參考。 數(shù)據(jù)采集層：主要負責對安全事件、安全脆弱性等安全信息的收集。 協(xié)議服務(wù)層：針對網(wǎng)絡(luò)中多種事件源，事件采集接口需要提供多種采集方式對安全事件進行采集216。216。應(yīng)用接口層包括與電子工單系統(tǒng)接口、網(wǎng)管系統(tǒng)接口、安全業(yè)務(wù)接口等。脆弱性管理分為漏洞管理、配置管理、完整性檢查等三個子模塊。SOC與掃描器緊密耦合，從SOC可以直接驅(qū)動掃描器發(fā)動掃描任務(wù)；SOC必須能夠把掃描到的漏洞信息與潛在事件進行關(guān)聯(lián)；對于漏洞信息。 IP地址216。 操作系統(tǒng)脆弱性的端口和范圍216。 漏洞的描述216。 瀏覽器216。 各種網(wǎng)絡(luò)設(shè)備，如：支持眾多的網(wǎng)絡(luò)交換機、路由器、網(wǎng)絡(luò)打印機、WAP接入設(shè)備、VPN 設(shè)備、防護墻等設(shè)備216。 支持端口掃描； 配置管理n 配置管理：配置脆弱性信息收集腳本主要用于收集重要主機系統(tǒng)上與安全相關(guān)的系統(tǒng)信息，并通過與脆弱性管理系統(tǒng)中相關(guān)安全基線的比較，不符合基線的會被作為弱點匯集到脆弱性管理模塊，分析獲得系統(tǒng)的安全脆弱性信息。 主機信息（例如uname、hostid、物理端口、ip等）；216。 關(guān)鍵配置文檔，例如：/.profile /.cshrc /.login /etc/hosts /etc/passwd 等；216。 可以自行指定文件或者命令作為自定義配置收集；l 對于WINDOWS主要是檢查相應(yīng)的注冊表選項,包括：216。 Group SID；216。 SACL； 通過檢查以上的配置文件和注冊表選項，監(jiān)控系統(tǒng)配置的變化。通過定制完整性檢測任務(wù)，定時獲取受監(jiān)控數(shù)據(jù)的當前狀態(tài)值，與基線狀態(tài)值進行比較，發(fā)現(xiàn)數(shù)據(jù)偏離，同時將偏離狀態(tài)通過電子郵件、短信等方式告知安全管理員。 可以支持多種算法，通過對不同簽名算法的支持，來保證文件修改的檢查；216。 可以根據(jù)文件的不同賦予不同的嚴重級別，當檢測到文件完整性遭到破壞時，安全管理員可以根據(jù)嚴重級別安排處理工作；216。 Permissions 216。 Number of links (. inode reference count)216。 Group ID of owner 216。 File size 216。 Device number of the device to which the inode points.216。 Access timestamp 216。 Inode creation / modification timestampl 對WINDOWS系統(tǒng)中的文件，檢查的屬性應(yīng)包括但不限于以下方面：216。 Read only flag 216。 Offline flag 216。 System flag 216。 Last access time 216。 Create time 216。 MSDOS name216。 NTFS Owner SID 216。 NTFS DACL 216。 Security descriptor control216。 0 to 4 hashes of the default data stream216。 0 to 4 hashes of nondefault data streamsl 另外，在WINDOWS系統(tǒng)中，應(yīng)該支持對以下的注冊表選項的檢查：216。 Owner SID 216。 DACL 216。 Name of class 216。 Maximum length of subkey name216。 Number of values 216。 Maximum length of data for any value in the key 216。 Size of security descriptor216。 Registry type: key or value216。 Length of value datal 對于完整性檢查算法，要求如下：216。 數(shù)據(jù)的CRC32 hash216。 數(shù)據(jù)的SHA hash216。 端口發(fā)現(xiàn)和變更管理ISMP系統(tǒng)可以自動收集服務(wù)器上開放的端口，并記錄每次的收集情況，收集完成后對比端口的變化，并對安全管理員作出提醒；216。安全事件管理模塊功能包括但不限于以下功能：n 事件管理模塊應(yīng)該能夠查看所有的事件，包括高風險事件、低風險事件；可以查看歷史事件，可以查看實時事件；n 系統(tǒng)應(yīng)該把事件按照不同的安全對象來源進行分類，例如可以分為“UNIX主機、WINDOWS主機、路由器和交換機、防火墻、NIDS”等類；n 可以對歷史事件進行查詢；例如針對具體設(shè)備（某個IP地址）查詢它在一定時期內(nèi)的所有事件，或者根據(jù)事件的關(guān)鍵詞查詢所有的事件信息；n 可以查看所有的實時事件。過濾條件用戶可以自定義，定義好的過濾規(guī)則能夠保存在系統(tǒng)內(nèi)，下次登錄系統(tǒng)后還可以使用?；趯徲嫴呗詫邮盏降陌踩录M行實時審計，每條審計事件依次匹配審計策略，如果匹配到某設(shè)計策略，系統(tǒng)負責完成該策略的響應(yīng)動作。 事件收集安全事件監(jiān)控對象應(yīng)不僅涵蓋網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機系統(tǒng)，而且還應(yīng)涵蓋已經(jīng)部署的安全系統(tǒng)，包括防病毒系統(tǒng)、終端管理系統(tǒng)、認證系統(tǒng)等，對這些系統(tǒng)的日志和事件進行集中收集。 Cisco216。 Radware216。 Extreme216。 Windows 2000、Windows200Windows XP等216。 HP UNIX 系列216。 LINUX216。 Cisco PIX216。 Jiniper/NetScreen216。 安氏（LinkTrust）216。 Juniper216。 Cisco SecuIDS216。 安氏216。 ISS216。 TrendMicro216。 Symantec216。 HP OpenView216。 IBM Tivolil 要求支持多種應(yīng)用系統(tǒng)216。 APACHE216。 SNMP vSNMP vSNMP v3216。 SysLog216。 網(wǎng)絡(luò)SOCKET接口216。 第三方agent或者應(yīng)用程序等安全事件收集方式l 應(yīng)對信息進行標準化（正則化）處理，系統(tǒng)應(yīng)支持事件的標準化，可根據(jù)安全策略與不同屬性組合對安全事件重新定級。 監(jiān)控對象216。 緊急程度216。 攻擊事件的發(fā)生源地址216。 通信協(xié)議類型216。 用戶自定義l 賣方需說明：以往成功案例中處理過的最大事件量；l 支持多采集服務(wù)器進行采集分析；l 列舉事件監(jiān)視器能夠支持的產(chǎn)品列表，詳細說明對不支持的產(chǎn)品如何開發(fā)agent，以及開發(fā)進度； 事件分析l 支持事件合并，能夠按照指定條件將多條事件合并成一條，并記錄總條數(shù)，要求支持指定按照第一條歸并或者最后一條進行歸并，歸并可以按照一定時間內(nèi)或者條數(shù)達到某一數(shù)量來觸發(fā)；l 支持安全事件的橫向關(guān)聯(lián)分析，即可以根據(jù)同一時間里，發(fā)生的安全事件進行聚合，實現(xiàn)基于事件、基于資產(chǎn)和基于知識的關(guān)聯(lián)分析。 根據(jù)攻擊源進行信息聚合分析；216。 根據(jù)受攻擊的設(shè)備類型進行信息聚合分析；216。 根據(jù)安全事件類型進行聚合分析；216。 根據(jù)特定時間要求和用戶策略進行橫向事后關(guān)聯(lián)分析。具體要求如下：216。 具備自定義網(wǎng)絡(luò)攻擊行為功能，可以通過可視化的流程圖的定義某種網(wǎng)絡(luò)攻擊行為；216。 可根據(jù)網(wǎng)絡(luò)安全的動態(tài)情況，自適應(yīng)過濾相關(guān)度較低的事件；216。 DDOS攻擊216。 網(wǎng)絡(luò)蠕蟲216。 垃圾郵件216。 非授權(quán)訪問216。 木馬216。 可疑URL216。l 支持日志檢索，可是在一定范圍內(nèi)對指定條件檢索日志。l 支持日志審計規(guī)則制定和應(yīng)用，可以將一般事件和審計日志區(qū)分開來，審計日志和一般事件支持單獨存放。l 支持日志分類，分類可以自定義。l 支持NTP服務(wù)。216。 SNMP Trap；216。 短信；l 賣方詳細列舉支持的事件報警方式。l 支持IP設(shè)備事件監(jiān)控的內(nèi)容和策略定制功能。 其他要求l 與風險管理的無縫集成，能夠與風險管理無縫集成，將安全事件實時傳遞到風險管理系統(tǒng)中，以進行風險管理。l 系統(tǒng)自帶統(tǒng)計引擎，報表數(shù)據(jù)通過統(tǒng)計引擎數(shù)據(jù)生成，而非重原始數(shù)據(jù)中生成。l 可是實時查看所有采集服務(wù)器和核心服務(wù)器的狀態(tài)。l 系統(tǒng)自帶日志管理，可以管理自身日志。 安全告警編號216。 安全告警發(fā)生的主機216。 安全告警發(fā)生時間216。 安全告警確認操作時間216。 安全告警清除操作時間216。 安全告警狀態(tài)（包括是否確認、是否派單、是否清除）216。l SOC應(yīng)支持對告警的圖形化顯示，在顯示界面上可以通過顏色標識、聲音、等方式進行安全告警的呈現(xiàn)，告警呈現(xiàn)的方式可以通過規(guī)則定義的方式進行配置。 安全告警規(guī)則設(shè)置根據(jù)告警的性質(zhì)，SOC把告警生成規(guī)則分為四類。 定義事件匹配方向，分為“先源，然后目標，最后設(shè)備地址；僅目標地址；僅設(shè)備；全部”四種216。 選擇是否關(guān)聯(lián)，即是否啟用定損關(guān)聯(lián)216。 設(shè)置最終產(chǎn)生的告警名稱和級別216。 選擇要分析漏洞，這可通過過濾器設(shè)定，過濾條件為漏洞名稱和漏洞級別216。 設(shè)置最終產(chǎn)生的告警名稱和級別216。 選擇要分析漏洞，這可通過過濾器設(shè)定，過濾條件為配置變更名稱和配置變更級別216。 是否要做告警追加，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則l 脆弱性類告警生成規(guī)則，定義方法如下216。 設(shè)置最終產(chǎn)生的告警名稱和級別216。 安全響應(yīng)管理SOC的安全響應(yīng)管理實現(xiàn)了安全事件從采集、處理、告警到人工的運維處理的自動化和流程化管理，對由安全事件管理模塊生成的安全告警，在安全響應(yīng)模塊里進行響應(yīng)處理。SOC內(nèi)置響應(yīng)中心，用戶可以定義各種響應(yīng)條件，支持對滿足用戶條件的事件觸發(fā)相應(yīng)的響應(yīng)，支持的相應(yīng)方式應(yīng)有：SNMP Trap、Syslog、短信、Email、圖形化顯示、工單、預(yù)警等。SOC應(yīng)支持通過規(guī)則配置方式實現(xiàn)對工作單的自動化處理：n 自動創(chuàng)建 可以根據(jù)安全告警響應(yīng)規(guī)則自動創(chuàng)建安全響應(yīng)工作單；n 自動分派 能根據(jù)事件發(fā)生的時間段、地點、性質(zhì)、設(shè)備的關(guān)鍵程度等因素自動確定負責單位或人員，自動響應(yīng)。上下班時間響應(yīng)方式不同，不同地區(qū)出現(xiàn)的事件響應(yīng)方式不同等；n 自動關(guān)單 告警處理完成一定時間后沒有關(guān)閉的，系統(tǒng)可以自動關(guān)閉，提高工作效率； 安全對象管理安全對象管理是安全對象信息存儲、安全對象的導(dǎo)入和導(dǎo)出、業(yè)務(wù)系統(tǒng)的定義和管理。安全對象類型應(yīng)包括：主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)和信息。n 在安全對象管理中，安全對象應(yīng)包含以下通用屬性：l 安全對象名稱：設(shè)備或系統(tǒng)在ISMP系統(tǒng)中的名稱。 防病毒屬性：設(shè)備安裝防病毒軟件情況，用于查看主機或終端設(shè)備的病毒版本和病毒處理情況，需要防病毒系統(tǒng)支持；216。 承載業(yè)務(wù)：該主機上運行的應(yīng)用軟件，如應(yīng)用系統(tǒng)、數(shù)據(jù)庫等，用于核對服務(wù)應(yīng)用情況；216。 日志屬性：主機運行日志記錄，用于掌握主機安全運行狀態(tài)；216。 主機端口配置屬性；主機端口使用信息，包括開放的端口和服務(wù)；216。 主機文件配置變更屬性：主機中重要文件的相關(guān)屬性，用于檢查重要文件的完整性；216。 操作系統(tǒng)配置屬性：主機中操作系統(tǒng)配置情況，用于檢查主機操作系統(tǒng)完整性；l 安全設(shè)備防火墻需要采集的安全屬性包括：216。 事件：指防火墻上已發(fā)生或正在發(fā)生的一些活動，需要關(guān)聯(lián)到具體的設(shè)備，用于安全對象的事件關(guān)聯(lián)；216。 接口狀態(tài)：防火墻接口狀態(tài)信息，如UP或DOWN等，用于檢查接口使用狀態(tài)；216。 日志：設(shè)備本身的安全日志信息，用于檢查IDS/IPS