中國電信SOC基礎(chǔ)平臺

會計學(xué)1中國電信SOC基礎(chǔ)平臺2目錄第1章SOC平臺概述第2章基礎(chǔ)平臺功能第3章基礎(chǔ)平臺部署方案第1頁/共49頁1.1SOC平臺定位3SOC平臺在網(wǎng)絡(luò)安全體系中定位為——日常安全運維及管理的上層支撐平臺提供對各種安全產(chǎn)品及系統(tǒng)的整合和協(xié)調(diào)，實現(xiàn)對各種安全對象、安全事件及數(shù)據(jù)的統(tǒng)一管理和集中分析SOC平臺在網(wǎng)絡(luò)安全體系中所處的地位將下面兩層產(chǎn)生的大量安全信息進行統(tǒng)一分析和管理提高安全防護效率和整體安全水平對各類安全對象（如主機、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）采取的外圍防護措施（如防火墻、IDS等），主要應(yīng)對外部安全威脅各類安全對象自身的基礎(chǔ)防護措施降低系統(tǒng)自身的安全風(fēng)險

SOC平臺安全產(chǎn)品防護系統(tǒng)自身安全第2頁/共49頁41.2基礎(chǔ)平臺與安全子系統(tǒng)關(guān)系第3頁/共49頁5IP承載網(wǎng)及互聯(lián)網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)：包括ChinaNet、CN2、DCN網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、城域網(wǎng)中的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、C網(wǎng)分組域、DNS、認(rèn)證系統(tǒng)等網(wǎng)運業(yè)務(wù)網(wǎng)絡(luò)及系統(tǒng)：包括軟交換、網(wǎng)管系統(tǒng)、OSS系統(tǒng)、C網(wǎng)業(yè)務(wù)平臺及系統(tǒng)等電信內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)及系統(tǒng)：包括互聯(lián)星空、號百和商務(wù)領(lǐng)航等業(yè)務(wù)中的業(yè)務(wù)平臺及系統(tǒng)等

SOC平臺服務(wù)對象1.3服務(wù)對象第4頁/共49頁6工單、告警等信息集團SOC平臺數(shù)據(jù)同步信息支撐系統(tǒng)安全對象專業(yè)安全系統(tǒng)和設(shè)備數(shù)據(jù)信息集團工單、告警等信息省SOC平臺數(shù)據(jù)同步信息安全對象專業(yè)安全系統(tǒng)和設(shè)備數(shù)據(jù)信息省數(shù)據(jù)、通告信息安全對象數(shù)據(jù)信息本地網(wǎng)工單系統(tǒng)綜合告警系統(tǒng)網(wǎng)管系統(tǒng)……支撐系統(tǒng)工單系統(tǒng)綜合告警系統(tǒng)網(wǎng)管系統(tǒng)……集團-省SOC平臺組網(wǎng)1.4目標(biāo)架構(gòu)第5頁/共49頁7實現(xiàn)安全告警信息由分散查看、分散處理到集中查看、集中分析、集中監(jiān)控響應(yīng)形成“兩級平臺，三級監(jiān)控”的集中化全網(wǎng)安全監(jiān)控管理能力為中國電信網(wǎng)絡(luò)及重要系統(tǒng)的安全事件管理、安全風(fēng)險分析等提供全方位的技術(shù)支撐手段，并提供相應(yīng)的制度和知識支撐提高安全事件處理效率及質(zhì)量，實現(xiàn)中國電信日常安全運維及管理工作流程化、制度化為IP網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的建設(shè)、運營和維護等提供更系統(tǒng)的安全技術(shù)支持1.5建設(shè)目標(biāo)第6頁/共49頁8目錄第1章SOC平臺概述第2章基礎(chǔ)平臺功能第3章基礎(chǔ)平臺部署方案第7頁/共49頁

9數(shù)據(jù)呈現(xiàn)層：對SOC平臺采集分析數(shù)據(jù)進行統(tǒng)一呈現(xiàn)，提供相應(yīng)的Portal登錄查看界面數(shù)據(jù)管理層：以安全風(fēng)險管理為核心，實現(xiàn)安全對象管理、安全事件管理、安全告警管理、安全預(yù)警管理、脆弱性管理、安全響應(yīng)管理、系統(tǒng)管理等數(shù)據(jù)采集層：采集數(shù)據(jù)主要包括各類安全資源、對象的安全事件、安全漏洞、安全配置等信息專業(yè)安全子系統(tǒng)：將監(jiān)控和告警信息提交給數(shù)據(jù)管理層進行統(tǒng)一分析和呈現(xiàn)外部接口：提供與網(wǎng)管系統(tǒng)、工單系統(tǒng)等支撐系統(tǒng)接口基礎(chǔ)平臺以安全風(fēng)險管理為核心，以安全事件管理為關(guān)鍵流程，建立一套實時的資產(chǎn)風(fēng)險模型，協(xié)助管理員進行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理2.1功能第8頁/共49頁2.2安全事件采集及處理101.過濾2.規(guī)范化3.歸并4.分類5.壓縮WindowsServer采集器FirewallIDS/IPSUnixServer

路由器/交換機異常流量清洗設(shè)備流量監(jiān)測設(shè)備防病毒網(wǎng)關(guān)漏洞掃描設(shè)備安全操作審計設(shè)備其他第9頁/共49頁安全事件關(guān)聯(lián)分析功能SOC安全事件關(guān)聯(lián)分析功能就是采用基于規(guī)則、基于統(tǒng)計、基于資產(chǎn)、基于行為的關(guān)聯(lián)方法，綜合分析安全告警，來深度挖掘安全隱患、判斷安全事件的嚴(yán)重程度。從而重構(gòu)整個攻擊場景，降低誤報率，幫助安全監(jiān)控人員分析出網(wǎng)絡(luò)中潛在的安全隱患。規(guī)則庫管理具有預(yù)先定義關(guān)聯(lián)規(guī)則功能，同時也具有查詢、刪除、更新功能；關(guān)聯(lián)規(guī)則表達(dá)式支持規(guī)則的多級嵌套，前一規(guī)則輸出作為后一規(guī)則的輸入，以及規(guī)則之間的并集和交集處理；規(guī)則庫管理提供多種事件關(guān)聯(lián)規(guī)則定義的方式，既包括通過簡單明了的向?qū)?chuàng)建關(guān)聯(lián)性規(guī)則，也可以允許用戶使用類似腳本語言的方式；可根據(jù)安全事件發(fā)生的因果關(guān)系，進行邏輯上關(guān)聯(lián)分析；關(guān)聯(lián)分析引擎應(yīng)具備對已制訂的關(guān)聯(lián)規(guī)則的合法性校驗功能2.2安全事件關(guān)聯(lián)分析安全事件關(guān)聯(lián)分析作用從大量的告警中過濾掉無用告警，并對真正有威脅的告警進行優(yōu)先級的確定。通過關(guān)聯(lián)分析可以發(fā)現(xiàn)違反安全策略的違規(guī)行為或告警代替了人們過去手工查找風(fēng)險事件的工作，大大簡化并加快了對安全事件的監(jiān)控。第10頁/共49頁2.2事情關(guān)聯(lián)分析12三種關(guān)聯(lián)分析規(guī)則基于規(guī)則的事件關(guān)聯(lián)漏洞關(guān)聯(lián)分析基于統(tǒng)計的關(guān)聯(lián)分析第11頁/共49頁安全預(yù)警來源外部預(yù)警：它是由國家上級主管部門、安全服務(wù)提供商、防病毒軟件提供商和設(shè)備軟件廠商提供的。這種預(yù)警一般相關(guān)人員收集錄入后，需要由管理人員進行審核后才能成為預(yù)警，所以模塊必須提供人工審核干預(yù)的功能；內(nèi)部預(yù)警：來源是SOC平臺內(nèi)部的預(yù)警信息，和事件、脆弱性相關(guān)聯(lián)。內(nèi)部預(yù)警根據(jù)預(yù)先定義的、對事件的響應(yīng)規(guī)則自動或手動生成的。2.3安全預(yù)警安全預(yù)警管理是根據(jù)來自內(nèi)部預(yù)警信息、外部預(yù)警信息分析獲得。是對可能發(fā)生的威脅的提前通告。安全預(yù)警是一種有效預(yù)防措施，和安全對象、風(fēng)險管理等功能緊密聯(lián)系在一起。外部預(yù)警類型安全通告：由專業(yè)安全公司提供的安全通告，是預(yù)警信息的主要來源，其包含漏洞、病毒、攻擊警報等多種安全預(yù)警信息；攻擊預(yù)警：由外部安全預(yù)警組織，如國家應(yīng)急響應(yīng)中心或者其他組織發(fā)現(xiàn)的新類型網(wǎng)絡(luò)攻擊行為；漏洞預(yù)警：操作系統(tǒng)軟件提供商和設(shè)備提供商，通常會及時向用戶發(fā)布其軟件漏洞信息，同時提供解決方案；病毒預(yù)警：成熟的防病毒軟件廠商，通常會有病毒監(jiān)控體系，及時發(fā)現(xiàn)新類型的病毒，并提醒用戶對病毒特征庫進行升級或者采取規(guī)避措施。內(nèi)部預(yù)警類型安全事件預(yù)警：來源安全事件關(guān)聯(lián)告警；風(fēng)險預(yù)警：來源風(fēng)險評估結(jié)果；漏洞預(yù)警：來源漏洞管理告警；配置脆弱性預(yù)警：來源配置脆弱性告警。完整性預(yù)警：來源完整性告警第12頁/共49頁2.4脆弱性管理14脆弱性管理漏洞管理通過內(nèi)置或者與第三方掃描器的聯(lián)動，獲取漏洞信息以實時或者定時的方式對掃描對象進行漏洞掃描配置脆弱性管理通過將收集到的系統(tǒng)信息與安全基線對比，對設(shè)備配置的安全合規(guī)性進行評估

完整性檢查定時獲取受監(jiān)控數(shù)據(jù)的當(dāng)前狀態(tài)值，與基線狀態(tài)值進行比較，檢查數(shù)據(jù)是否偏離完整性檢查項包括：目錄二進制文件配置文件進程端口啟動項注冊表第13頁/共49頁2.5漏洞管理漏洞管理：由系統(tǒng)自身的問題引起的安全風(fēng)險，如軟件BUG、協(xié)議缺陷等，SOC平臺具備對此類安全風(fēng)險的發(fā)現(xiàn)及管理功能；漏洞信息內(nèi)容SOC平臺提供的漏洞信息包含以下內(nèi)容：系統(tǒng)類型系統(tǒng)脆弱性范圍漏洞名稱和編號漏洞的描述漏洞的解決措施漏洞信息來源SOC平臺漏洞信息獲取方式需要支持內(nèi)置掃描器掃描、第三方漏洞掃描產(chǎn)品結(jié)果導(dǎo)入、或者其它組織或機構(gòu)披露的漏洞信息導(dǎo)入三種方式。SOC平臺應(yīng)支持對目前主流漏洞掃描產(chǎn)品掃描結(jié)果的導(dǎo)入、分析及處理，掃描結(jié)果能夠自動導(dǎo)入到SOC平臺，無需人工干預(yù)，可支持對常見TXT、HTML、XML等掃描結(jié)果的導(dǎo)入。第14頁/共49頁配置脆弱性：

SOC平臺收集安全對象與安全相關(guān)的系統(tǒng)信息，通過與相關(guān)安全基線的比較，將不符合基線的配置作為弱點匯集到脆弱性管理模塊，顯示安全對象的安全脆弱性信息。安全基線：主機或網(wǎng)絡(luò)設(shè)備操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，指導(dǎo)設(shè)備管理人員或安全管理人員進行設(shè)備安全配置。2.6配置脆弱性針對操作系統(tǒng)，配置檢查的內(nèi)容包括：主機信息（包括主機系統(tǒng)版本、主機名、物理端口、IP等）主機補丁信息系統(tǒng)賬號及口令配置信息關(guān)鍵配置文件及目錄系統(tǒng)服務(wù)及進程Windows操作系統(tǒng)的關(guān)鍵注冊表項目系統(tǒng)的自啟動項及定時任務(wù)系統(tǒng)的訪問控制策略及日志審計策略等針對網(wǎng)絡(luò)及安全設(shè)備，配置檢查的內(nèi)容包括：設(shè)備信息（產(chǎn)品廠商、型號、軟件版本、端口、IP等）設(shè)備賬號及口令配置信息系統(tǒng)配置文件設(shè)備端口運行及啟用情況設(shè)備訪問控制策略及路由情況設(shè)備日志審計策略等配置脆弱性管理功能模塊應(yīng)支持主流網(wǎng)絡(luò)設(shè)備、安全設(shè)備及操作系統(tǒng)：操作系統(tǒng)：包括Windows、AIX、HPUnix、Solaris、Linux等系統(tǒng)網(wǎng)絡(luò)設(shè)備：包括華為、Cisco、juniper等廠商的路由及交換機設(shè)備安全設(shè)備：PIX等設(shè)備第15頁/共49頁完整性檢查：根據(jù)制定的安全策略對指定的文件或網(wǎng)絡(luò)配置進行讀取，并根據(jù)策略要求生成相應(yīng)的基線狀態(tài)值（文件屬性、文件內(nèi)容、哈希值等）。通過定制完整性檢測任務(wù)，定時獲取受監(jiān)控數(shù)據(jù)的當(dāng)前狀態(tài)值，與基線狀態(tài)值進行比較，發(fā)現(xiàn)數(shù)據(jù)偏離，通過各種方式通知安全管理人員進行進一步處理。2.7完整性檢查完整性檢查的內(nèi)容主要包括：目錄二進制文件配置文件進程端口啟動項注冊表

完整性檢查通過比較當(dāng)前文件屬性與基線數(shù)據(jù)庫的差別，提供廣泛及快速的變動檢查的能力。支持MD5、HAVAL、SHA多種算法，通過對不同簽名算法的支持，來保證文件修改的檢查；對文件的多種屬性進行監(jiān)控，保證對文件內(nèi)容以及對文件數(shù)據(jù)的未授權(quán)操作；根據(jù)文件的不同賦予不同的嚴(yán)重級別，當(dāng)檢測到文件完整性遭到破壞時，安全管理員可以根據(jù)嚴(yán)重級別安排處理工作；支持多種響應(yīng)方式，當(dāng)文件完整性發(fā)生變化時，可以通過電子郵件、SYSLOG等方式提醒相關(guān)的安全人員；第16頁/共49頁2.8安全告警管理18來源：事件漏洞配置變更脆弱性

安全告警管理處理：過濾歸并確認(rèn)轉(zhuǎn)發(fā)清除

安全事件在經(jīng)過一系列的事件處理過程后，根據(jù)安全告警規(guī)則設(shè)置條件，將形成不同級別的安全告警信息

第17頁/共49頁2.8安全事件告警事件類告警生成規(guī)則，告警定義方法：支持定義事件匹配順序，分為如下四種先匹配源IP地址，然后匹配目標(biāo)IP地址，最后匹配設(shè)備IP地址；僅匹配目標(biāo)地址；僅匹配設(shè)備IP地址；對安全事件的屬性全部匹配。支持定義分析的事件范圍，可以通過過濾器設(shè)定支持關(guān)聯(lián)分析功能。支持告警觸發(fā)條件設(shè)置，如按名稱、級別一分鐘達(dá)到60條，才產(chǎn)生告警支持最終產(chǎn)生的告警名稱和級別的定義。支持告警追加功能，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則、嚴(yán)重級別、事件分類、事件子類、事件名稱第18頁/共49頁2.8漏洞告警漏洞類告警生成規(guī)則，告警定義方法：可通過過濾器設(shè)定過濾條件為漏洞名稱和漏洞級別來選擇要分析漏洞

支持關(guān)聯(lián)分析功能可對告警名稱和級別進行設(shè)置可支持告警追加功能，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則第19頁/共49頁2.8配置變更及脆弱性告警配置變更類告警，告警定義方法：支持通過過濾器設(shè)定過濾條件為配置變更名稱和配置變更級別來選擇要分析的漏洞，

支持對告警名稱和級別進行設(shè)置支持告警追加功能，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則脆弱性類告警，定義方法如下：支持通過過濾器設(shè)定過濾條件為脆弱性名稱和脆弱性級別來選擇要分析的漏洞，

支持對告警名稱和級別進行設(shè)置支持告警追加功能，即如果已有此種告警，不產(chǎn)生新的告警，只計數(shù)量，告警追加條件包括告警名稱、告警規(guī)則第20頁/共49頁什么是安全風(fēng)險?安全風(fēng)險是一種特定的威脅利用脆弱性而引起信息丟失或者損害一種或一組安全對象的可能性。

安全風(fēng)險管理是安全管理中心的核心,它是以安全對象管理為基礎(chǔ)，通過對安全對象價值、安全脆弱性、安全威脅因素關(guān)聯(lián)后計算安全對象的風(fēng)險值，并對安全對象的風(fēng)險值實現(xiàn)動態(tài)的管理，為實時監(jiān)控提供相應(yīng)的管理界面。2.9風(fēng)險管理什么是威脅?安全威脅是一種對系統(tǒng)、組織及其安全對象構(gòu)成潛在破壞能力的可能性因素或者事件。SOC平臺要求能夠采用定量和定性結(jié)合的風(fēng)險分析辦法實現(xiàn)對業(yè)務(wù)系統(tǒng)的安全風(fēng)險評估和計算，定量的風(fēng)險分析方法就是把構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦予某種數(shù)值，當(dāng)度量風(fēng)險的所有要素（資產(chǎn)價值、威脅頻率、脆弱性利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險評估的整個過程和結(jié)果就都可以被量化了。簡單說，定量分析就是試圖通過各種數(shù)據(jù)，以及基于這些數(shù)據(jù)的計算公式來對安全風(fēng)險進行分析評估的一種方法。第21頁/共49頁安全風(fēng)險模型2.9風(fēng)險管理安全風(fēng)險模型描述：1、外在威脅的存在增加了對象的風(fēng)險2、安全對象存在漏洞，并被威脅所利用，增加了對象的安全風(fēng)險3、漏洞的存在暴露的安全對象，同時安全對象擁有價值，這對安全事件的發(fā)生的造成的風(fēng)險進一步加大4、由于存在安全風(fēng)險，因而引出安全防護需求5、防護需求被滿足，采取了相應(yīng)的防護措施，抗擊了威脅作用，從而減低的安全風(fēng)險。第22頁/共49頁安全風(fēng)險計算原理圖2.9風(fēng)險管理安全風(fēng)險計算描述：1、風(fēng)險計算的三個因素：威脅，脆弱性，資產(chǎn)2、安全風(fēng)險的三個因素被識別，并賦予相應(yīng)等級3、威脅的出現(xiàn)，安全對象脆弱性的存在，增加了安全事件發(fā)生的可能性。4、安全對象本身的價值和本身的脆弱性嚴(yán)重程度增加了安全事件造成的損失。5、安全事件發(fā)生的可能性與安全事件造成的損失綜合分析出安全對象的風(fēng)險值。第23頁/共49頁2.9風(fēng)險管理將計算得出的風(fēng)險值劃定區(qū)段，形成風(fēng)險級別，一般劃分為5個級別。風(fēng)險類別符號對應(yīng)的典型安全狀況告警顏色無風(fēng)險N安全對象無脆弱性，且沒有受到威脅或受到少量非針對性的威脅綠色低風(fēng)險L安全對象基本無脆弱性，受到了少量非針對性的威脅藍(lán)色中級風(fēng)險M安全對象受到大量的威脅，但不存在對應(yīng)的脆弱性黃色高風(fēng)險H安全對象存在不低于中級脆弱性，由脆弱性分析得出，尚不知是否受到了相關(guān)威脅的攻擊；或安全對象受到了一些和脆弱性匹配的威脅，但威脅和脆弱性都低于中級橙色極度風(fēng)險E安全對象受到威脅，且存在該威脅對應(yīng)的脆弱性，該威脅和脆弱性不低于中級紅色第24頁/共49頁2.9風(fēng)險管理26SOC平臺以安全對象為核心，結(jié)合不斷更新的安全對象脆弱性、不斷產(chǎn)生的威脅事件，進行持續(xù)性風(fēng)險計算，并將最后的量化的風(fēng)險顯示到用戶管理頁面中。系統(tǒng)除了持續(xù)性計算每個安全對象的風(fēng)險，持續(xù)性地按照業(yè)務(wù)系統(tǒng)和地域來綜合計算業(yè)務(wù)系統(tǒng)和地域風(fēng)險級別。通過文字、圖表、報表等多種方式將在某一時間點上安全對象的風(fēng)險分析結(jié)果進行呈現(xiàn)；對各類安全對象的總體風(fēng)險查看、當(dāng)天風(fēng)險查看、按照地域查看、業(yè)務(wù)系統(tǒng)查看和安全域查看當(dāng)前安全風(fēng)險；。在某一時間點上，各設(shè)備風(fēng)險展示，展示=風(fēng)險分布；在關(guān)聯(lián)查看定位和風(fēng)險相關(guān)的脆弱性和高危安全事件。動態(tài)的安全風(fēng)險計算和展現(xiàn)功能，可以計算和生成安全對象在某個時間段內(nèi)的安全現(xiàn)狀變化情況；某兩個或多個時間點的同一安全對象的安全風(fēng)險水平對比；第25頁/共49頁2.10安全知識庫27存放設(shè)備或系統(tǒng)產(chǎn)生的各類安全事件包含技術(shù)類漏洞和管理類漏洞等多種漏洞情況，并提供漏洞信息在線自動更新的功能，從而在有新的漏洞被發(fā)現(xiàn)時，漏洞信息庫能得到及時更新存放已處理完成的安全事件方法和方案安全規(guī)章制度庫主要從安全等級管理合規(guī)層面完成對中國電信網(wǎng)絡(luò)安全等級管理的規(guī)范遵從性管理，包括安全等級保護要求管理和安全等級保護應(yīng)答管理提供規(guī)章制度的上傳、下載功能安全事情庫安全等級保護庫安全漏洞庫安全經(jīng)驗庫安全規(guī)章制度庫安全知識庫第26頁/共49頁2.10安全事件庫安全事件庫：存放設(shè)備或系統(tǒng)產(chǎn)生的各類安全事件。，要求支持以目錄“樹”的方式進行顯示，首先按照設(shè)備類型分類，具體如下：UNIX主機事件Windows主機事件路由器、交換機事件防火墻事件主機IDS事件網(wǎng)絡(luò)IDS事件掃描器事件防病毒系統(tǒng)事件認(rèn)證系統(tǒng)事件防御系統(tǒng)IPS事件數(shù)據(jù)庫事件對于以上目錄節(jié)點還支持進一步的子目錄。例如對于“UNIX主機事件”這個一級節(jié)點，他下面的二級節(jié)點必須包括：SUN系統(tǒng)事件HP-UX系統(tǒng)事件IBMAIX系統(tǒng)事件SGIIRIX系統(tǒng)事件LIUNX系統(tǒng)事件第27頁/共49頁2.10漏洞庫

安全漏洞庫包含技術(shù)類漏洞和管理類漏洞等多種漏洞情況。每一個漏洞都應(yīng)包含名稱、描述、風(fēng)險級別、演變過程、受影響系統(tǒng)、危害、詳細(xì)的解決辦法和操作步驟等內(nèi)容。該漏洞庫還提供漏洞信息在線自動更新的功能，從而在有新的漏洞被發(fā)現(xiàn)時，漏洞信息庫能得到及時更新。

漏洞庫應(yīng)至少包括如下內(nèi)容，對一些具有國際標(biāo)準(zhǔn)的漏洞包含相應(yīng)的CVE編號。漏洞名稱漏洞編號漏洞時間漏洞內(nèi)容第28頁/共49頁2.10安全經(jīng)驗庫安全經(jīng)驗庫主要是保存安全事件及告警的處理方法和方案，經(jīng)驗的來源取自系統(tǒng)的安全事件、安全告警與安全預(yù)警以及平時維護過程中遇到的系統(tǒng)安全解決方案。第29頁/共49頁2.10安全規(guī)章制度庫安全規(guī)章制度庫主要提供規(guī)章制度的上傳、下載功能，方便用戶管理企業(yè)規(guī)章制度第30頁/共49頁2.11安全等級保護庫

安全等級保護庫管理主要從安全等級管理合規(guī)層面完成對中國電信網(wǎng)絡(luò)安全等級管理的規(guī)范遵從性管理，通過對中國電信安全管理體系的等級評定、管理規(guī)定、實施細(xì)則等不同層面的規(guī)范進行分類、梳理控制點、通過策略應(yīng)答、采樣輸入等方式實現(xiàn)對中國電信安全等級管理的遵從性的審計管理。

安全等級保護庫功能主要包括安全等級保護要求管理和安全等級保護應(yīng)答管理兩部分功能要求。安全等級保護要求管理是將國家工信部、中國電信集團頒布的重要的各層面安全規(guī)范和管理要求進行分類整理和錄入SOC平臺中，并針對輸入的安全標(biāo)準(zhǔn)和規(guī)范進行管理控制點的整理和排列；安全等級保護應(yīng)答管理主要通過策略應(yīng)答或信息系統(tǒng)采樣的方式實現(xiàn)對各類控制點的安全要求的策略合規(guī)應(yīng)答。按照不同的安全等級要求進行記錄和標(biāo)記，以幫助相關(guān)省公司進行有針對性的改進和完善安全管理工作。第31頁/共49頁2.11安全等級保護庫具備安全文檔管理功能，允許指定權(quán)限用戶提交、修改和查詢安全標(biāo)準(zhǔn)、規(guī)范文檔，安全文檔管理支持分類管理，能夠詳細(xì)記錄文檔的提交作者、修改時間、歷史版本和當(dāng)前版本。具備對各類安全標(biāo)準(zhǔn)和規(guī)范的相關(guān)安全要求的分類定義功能，安全要求是對輸入SOC平臺的各類安全管理文檔的關(guān)鍵點的概括定義和簡述，通過瀏覽某安全文檔的安全要求可以快速的獲知相關(guān)的安全要求和概要內(nèi)容。拆解管理能夠?qū)⑨槍Π踩芾砦臋n定義的安全要求逐項拆解控制點。每個安全要求舉例的控制點，都能夠給出明確的適用安全對象、適用條件和控制實現(xiàn)要求。安全等級保護應(yīng)答管理就是對安全管理文檔中記錄的各類安全要求中的詳細(xì)控制點的檢查和審計。安全等級保護應(yīng)答管理實現(xiàn)要求對象關(guān)聯(lián)功能，需要實現(xiàn)具體的安全要求控制點與實際的信息系統(tǒng)的安全對象關(guān)聯(lián)功能，用戶通過安全要求對象關(guān)聯(lián)管理可以實現(xiàn)安全要求與實際業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)功能。安全要求對象關(guān)聯(lián)管理可以實現(xiàn)對一個或多個安全對象、一個或多個安全對象類的關(guān)聯(lián)功能。安全等級保護應(yīng)答管理實現(xiàn)要求基線關(guān)聯(lián)功能，可以實現(xiàn)具體的安全要求控制點和某個安全對象的安全配置檢查項CheckPoint的關(guān)聯(lián)功能，通過安全要求控制點和安全對象的安全配置檢查項的關(guān)聯(lián)，通過基線管理系統(tǒng)實現(xiàn)部分安全對象的審計管理功能。安全等級保護應(yīng)答管理中的安全要求審核模版管理功能可以根據(jù)中國電信對某個安全標(biāo)準(zhǔn)或規(guī)范的審核管理要求，設(shè)定不同的審核模版，審核模版可以通過用戶自定義方式組織安全要求的表述形式、安全要求控制點的表述形式、管理審核的要求、審核向?qū)Ш蛻?yīng)答方式等內(nèi)容，可以選擇匹配的審核流程實現(xiàn)流程化的審核管理過程。安全等級保護應(yīng)答管理可以通過向?qū)Х绞街痦棇δ硞€待審核的安全標(biāo)準(zhǔn)或規(guī)范進行應(yīng)答管理，安全管理應(yīng)答是對每個安全標(biāo)準(zhǔn)或規(guī)范的安全要求和控制點的逐項應(yīng)答說明，應(yīng)答方式可以支持審核證明材料的上傳和適用性說明，應(yīng)答管理可以記錄每個控制點和應(yīng)答情況，并可通過自定義方式對每個控制點的應(yīng)答判定進行說明。第32頁/共49頁2.12安全維護作業(yè)管理34作業(yè)模板管理

作業(yè)制定模板領(lǐng)取作業(yè)計劃執(zhí)行檢查執(zhí)行情況維護人員領(lǐng)取自己作業(yè)模板創(chuàng)建安全檢查項目，說明檢查具體內(nèi)容對生成的維護模板進行模板分派填寫安全維護執(zhí)行報告檢查安全維護作業(yè)執(zhí)行情況對日常安全維護作業(yè)計劃進行統(tǒng)一的維護和管理第33頁/共49頁2.12安全維護作業(yè)模板管理安全維護模板可以創(chuàng)建安全檢查的項目。項目內(nèi)容可以參考集團下發(fā)的相關(guān)安全檢查文件。如災(zāi)難備份措施、遠(yuǎn)程維護管控、攻擊防護措施等。對應(yīng)不用的項目，應(yīng)該有不同的安全維護列表，即檢查的具體內(nèi)容。第34頁/共49頁2.12安全維護作業(yè)制定與模板領(lǐng)取安全維護作業(yè)制定要求可以針對傳輸、數(shù)據(jù)、交換等不同專業(yè)系統(tǒng)，并對生成的維護模板進行模板分派。模板分派中，可以選擇安全檢查的大類后，再對需要的安全檢查項進行選取操作。不同的安全檢查大類可以有相同或不同的安全檢查項。不同專業(yè)的維護人員，可通過安全維護模板領(lǐng)取頁面領(lǐng)取自己的檢查項。檢查項領(lǐng)取完成后，要標(biāo)志出由誰領(lǐng)取了該檢查項，目的是使分工明確，責(zé)任到人。領(lǐng)取頁面的字段設(shè)計可以參考如下內(nèi)容安全維護作業(yè)制定安全維護作業(yè)模板領(lǐng)取第35頁/共49頁2.12安全維護作業(yè)執(zhí)行與檢查情況37維護人員可以登陸該頁面填寫安全維護執(zhí)行報告，或查看操作說明。填寫報告將以下字段：檢查結(jié)果：符合、不符合、部分符合。說明情況：備份介質(zhì)、備份頻率、保存期限、有效性檢查。可以手工填寫。處理情況：支持手工填寫。安全維護執(zhí)行可以體現(xiàn)出作業(yè)的開始時間和結(jié)束時間，以方便統(tǒng)計和管理。展現(xiàn)出對安全維護作業(yè)的執(zhí)行結(jié)果。點擊每個檢查項后可以看到檢查項的名稱、所屬專業(yè)、填報人、填寫結(jié)果時間、計劃開始時間、計劃結(jié)束時間、級別、檢查頻率、檢查結(jié)果和情況說明等內(nèi)容。支持報表輸出，包含：領(lǐng)取量、按類別排出執(zhí)行次數(shù)、完成及時率等信息。安全維護作業(yè)執(zhí)行安全維護作業(yè)執(zhí)行檢查情況第36頁/共49頁2.13工單運維管理SOC平臺安全響應(yīng)管理：1、實現(xiàn)安全事件從采集、處理、告警到人工的運維處理的自動化和流程化管理。2、對由安全事件管理模塊生成的安全告警，在安全響應(yīng)模塊里進行集中的展現(xiàn)、運維處理和經(jīng)驗積累。3、實現(xiàn)安全事件與運維管理的緊密聯(lián)系。通過安全告警形成工作單，發(fā)送到安全響應(yīng)管理模塊，安全響應(yīng)模塊按照安全運維的設(shè)定流程進行工單流轉(zhuǎn)并最終到達(dá)該告警的負(fù)責(zé)人，該負(fù)責(zé)人進行告警事件的處理，在處理過程中，該工作單的處理過程的各個狀態(tài)可查看、可追蹤。為符合中國電信網(wǎng)絡(luò)安全運維管理的需要，SOC平臺在具備系統(tǒng)內(nèi)部進行安全運維管理的功能要求基礎(chǔ)上，提供和中國電信電子運維系統(tǒng)的接口，實現(xiàn)SOC平臺與中國電信整體運維管理的結(jié)合。支持在工作單生成規(guī)則界面中設(shè)定安全告警生成工單策略（按照高級級別、告警事件分類、告警來源等），將所需要的告警通過安全運行維護系統(tǒng)傳遞到告警負(fù)責(zé)人進行處理；支持對安全工作單的建－派－退－轉(zhuǎn)－追－閉等處理過程和操作功能。支持隨時跟蹤已發(fā)生工作單的執(zhí)行狀態(tài)，對工作單的狀態(tài)顯示可包括：已受理、處理中、已分派、已關(guān)閉、已退回、已完成、已作廢等。工單運維管理第37頁/共49頁39SOC平臺在安全響應(yīng)管理中應(yīng)提供對安全運維人員的有力技術(shù)支持，通過快速提供對安全告警信息的數(shù)據(jù)支持，幫助安全運維工作的開展。支持對工單記載的安全告警信息的快速定位，可以方便地關(guān)聯(lián)查詢工單中相關(guān)安全對象的屬性信息、事件相關(guān)漏洞列表、歷史事件。支持對工單記載的安全告警信息相關(guān)的知識信息、維護歷史信息、相關(guān)的專家信息的定位和檢索，為運維人員提供幫助和指導(dǎo)信息。支持已完成工單歷史數(shù)據(jù)的紀(jì)錄，可以將相關(guān)工單處理信息作為安全事件處理的歷史資料進行積累、保存。系統(tǒng)按照一定的格式將工單的相關(guān)信息組織成“安全事件處理記錄”，連同工單所附的事件處理報告，存入安全知識庫。以便于相似事件發(fā)生時的信息查詢和檢索。2.13安全響應(yīng)支持第38頁/共49頁2.14統(tǒng)計分析報表40通過各種形式化的報表、報告，實現(xiàn)對各類安全運行數(shù)據(jù)統(tǒng)計、挖掘、分析的呈現(xiàn)內(nèi)置如下報表：安全對象統(tǒng)計類報表漏洞類統(tǒng)計報表配置脆弱性統(tǒng)計報表風(fēng)險類統(tǒng)計報表威脅事件類統(tǒng)計報表工單類報表提供用戶自定義報表功能第39頁/共49頁41消息通訊接口數(shù)據(jù)上報接口數(shù)據(jù)下發(fā)接口實現(xiàn)上下級SOC相互通訊的接口，功能主要包括上下級之間SOC連接測試，任務(wù)消息和服務(wù)請求的發(fā)送，任務(wù)消息回饋上下級管理接口按照一定的數(shù)據(jù)格式和規(guī)范傳輸數(shù)據(jù)，實現(xiàn)兩級結(jié)構(gòu)間信息的互通和共享，達(dá)到集團對省級公司安全工作、安全狀況進行監(jiān)控、評價的目的。實現(xiàn)集團SOC公共數(shù)據(jù)的下發(fā)服務(wù)，供下級SOC獲取集團SOC數(shù)據(jù)，包括：各類安全知識庫集團預(yù)警通告信息集團安全策略信息各省安全管理工作的考核結(jié)果及統(tǒng)計數(shù)據(jù)集團下發(fā)各省的工單指令實現(xiàn)省級SOC數(shù)據(jù)的上報服務(wù)，可由下級SOC向集團SOC上傳數(shù)據(jù)，包括：業(yè)務(wù)系統(tǒng)及安全對象信息風(fēng)險及告警信息文件數(shù)據(jù)（如集團要求的各類數(shù)據(jù)或報表等）2.15接口-上下級管理接口第40頁/共49頁42數(shù)據(jù)采集接口應(yīng)支持文件方式、SNMPTrap、Syslog、ODBC、Sockets等多種接口方式數(shù)據(jù)采集接口：SOC平臺通過各種數(shù)據(jù)采集接口實現(xiàn)對