中國(guó)電信網(wǎng)絡(luò)安全管理平臺(tái)推廣與建設(shè)指導(dǎo)意見(jiàn)

.3.2。各類接口實(shí)現(xiàn)方式建議序號(hào)接口類型接口用途接口實(shí)現(xiàn)方式數(shù)據(jù)傳遞方向接口數(shù)據(jù)及格式約定1上下級(jí)管理接口消息通訊接口JMS（JAVA消息服務(wù)）。集團(tuán)及各省SOC通過(guò)JMSAPI來(lái)創(chuàng)建、發(fā)送、接收和閱讀消息系統(tǒng)中的消息。集團(tuán)SOC及各省SOC的雙向通信參考附錄……2安全知識(shí)庫(kù)共享同步接口文件方式。各省SOC平臺(tái)應(yīng)支持通過(guò)FTP方式定期到指定目錄獲取特定名稱的最新知識(shí)庫(kù)文件。集團(tuán)SOC向各省SOC提供數(shù)據(jù)參考附錄……3預(yù)警通告接口WebService方式。集團(tuán)及各省通過(guò)WebService方式到消息中間件發(fā)布及輪詢相關(guān)信息。集團(tuán)SOC向各省SOC提供數(shù)據(jù)4集團(tuán)安全策略信息發(fā)布接口WebService方式。集團(tuán)及各省通過(guò)WebService方式到消息中間件發(fā)布及輪詢相關(guān)信息。集團(tuán)SOC向各省SOC提供數(shù)據(jù)5各省安全管理工作的考核結(jié)果及統(tǒng)計(jì)數(shù)據(jù)發(fā)布接口文件方式。各省SOC平臺(tái)應(yīng)支持通過(guò)FTP方式定期到指定目錄獲取特定名稱的數(shù)據(jù)文件。集團(tuán)SOC向各省SOC提供數(shù)據(jù)6集團(tuán)下發(fā)各省的工單指令？？？集團(tuán)SOC向各省SOC提供數(shù)據(jù)7業(yè)務(wù)系統(tǒng)及資產(chǎn)信息數(shù)據(jù)庫(kù)方式。各省SOC應(yīng)提供ODBC或者JDBC等數(shù)據(jù)庫(kù)接口，供集團(tuán)通過(guò)上述接口查詢和同步相關(guān)信息各省SOC向集團(tuán)SOC提供數(shù)據(jù)8風(fēng)險(xiǎn)及告警信息syslog或SnmpTrap方式。各省SOC平臺(tái)應(yīng)支持通過(guò)標(biāo)準(zhǔn)syslog協(xié)議將相關(guān)事件及告警信息發(fā)送到集團(tuán)SOC平臺(tái)的syslog服務(wù)器。各省SOC向集團(tuán)SOC提供數(shù)據(jù)9文件數(shù)據(jù)（如集團(tuán)要求的各類數(shù)據(jù)或報(bào)表等）文件方式。各省SOC平臺(tái)應(yīng)支持通過(guò)FTP方式將相關(guān)文件以約定的名稱及格式上傳到集團(tuán)SOC的指定目錄。各省SOC向集團(tuán)SOC提供數(shù)據(jù)10數(shù)據(jù)采集接口安全事件采集接口syslog或SnmpTrap方式。各省SOC平臺(tái)應(yīng)支持標(biāo)準(zhǔn)SYSLOG及SNMP協(xié)議并提供相應(yīng)服務(wù)，在默認(rèn)或指定端口監(jiān)聽(tīng)從安全對(duì)象上發(fā)送過(guò)來(lái)的相關(guān)信息。安全對(duì)象向各省SOC平臺(tái)提供數(shù)據(jù)11系統(tǒng)漏洞采集接口文件方式。各省SOC平臺(tái)應(yīng)支持定期到網(wǎng)絡(luò)或本地的指定目錄提取漏洞掃描系統(tǒng)上傳上來(lái)的漏洞掃描報(bào)告。漏洞掃描系統(tǒng)向各省SOC平臺(tái)提供數(shù)據(jù)12設(shè)備安全配置采集接口腳本或agent方式。各省的SOC平臺(tái)應(yīng)支持通過(guò)telnet、ssh等腳本或者agent程序主動(dòng)到設(shè)備上獲取安全配置信息。SOC平臺(tái)主動(dòng)訪問(wèn)設(shè)備獲取，或者由agent程序向SOC平臺(tái)發(fā)送。13外部接口數(shù)據(jù)導(dǎo)入接口文件方式。各省SOC平臺(tái)應(yīng)支持定期到網(wǎng)絡(luò)或本地的指定目錄提取相關(guān)文件數(shù)據(jù)。SOC從外部數(shù)據(jù)源獲取特定數(shù)據(jù)。14電子工單系統(tǒng)接口根據(jù)實(shí)際情況選擇接口協(xié)議或進(jìn)行定制開(kāi)發(fā)實(shí)現(xiàn)。SOC將安全告警信息轉(zhuǎn)發(fā)到工單系統(tǒng)進(jìn)行處理。15NOC系統(tǒng)接口根據(jù)實(shí)際情況選擇接口協(xié)議或進(jìn)行定制開(kāi)發(fā)實(shí)現(xiàn)。SOC向NOC提供其關(guān)心的安全告警信息，NOC向SOC提供相關(guān)的安全信息（如事件，告警，配置，預(yù)警等）16其他外部系統(tǒng)接口系統(tǒng)根據(jù)實(shí)際情況選擇接口協(xié)議。部分系統(tǒng)通過(guò)定制開(kāi)發(fā)提供接口實(shí)現(xiàn)。SOC平臺(tái)建設(shè)策略建設(shè)策略根據(jù)集團(tuán)的相關(guān)要求，各省應(yīng)有主次、分步驟穩(wěn)步推進(jìn)省級(jí)SOC平臺(tái)的建設(shè)，從以下三個(gè)方面進(jìn)行考慮：分階段建設(shè)各省可按照以下三個(gè)階段分步開(kāi)展SOC平臺(tái)的建設(shè)：初期工作重點(diǎn)盡快開(kāi)展SOC平臺(tái)建設(shè)，主要實(shí)現(xiàn)為IP網(wǎng)提供基本安全信息管理服務(wù)的功能，包括安全事件管理、異常流量監(jiān)控管理、安全脆弱性管理、安全風(fēng)險(xiǎn)管理、安全策略管理、垃圾郵件投訴管理、安全預(yù)警、應(yīng)急響應(yīng)管理等基本功能；建立SOC平臺(tái)工作流程，實(shí)現(xiàn)SOC平臺(tái)與電子工單系統(tǒng)接口；使SOC平臺(tái)具備一定的業(yè)務(wù)管理能力，建立安全業(yè)務(wù)與SOC平臺(tái)接口。中期工作重點(diǎn)進(jìn)一步擴(kuò)大SOC平臺(tái)的管控范圍，根據(jù)本省實(shí)際需求將DCN、OA等內(nèi)部網(wǎng)絡(luò)和系統(tǒng)逐步納入SOC平臺(tái)管控；進(jìn)一步完善SOC平臺(tái)的功能，通過(guò)建立僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)、蜜罐系統(tǒng)等關(guān)鍵技術(shù)裝備，實(shí)現(xiàn)對(duì)大網(wǎng)異常流量、Botnet網(wǎng)絡(luò)等突出安全問(wèn)題的監(jiān)控、分析和處理，初步形成大網(wǎng)集中管控能力，同時(shí)進(jìn)一步完善網(wǎng)絡(luò)安全事件的防范、監(jiān)視分析、應(yīng)急響應(yīng)、控制處理等能力；進(jìn)一步完善SOC平臺(tái)的業(yè)務(wù)管理能力，將本省開(kāi)展的安全業(yè)務(wù)納入SOC平臺(tái)管理范圍；實(shí)現(xiàn)SOC平臺(tái)的業(yè)務(wù)提供能力，開(kāi)始向外部用戶開(kāi)展安全代維業(yè)務(wù)。遠(yuǎn)期工作重點(diǎn)實(shí)現(xiàn)對(duì)IP網(wǎng)、電信內(nèi)部網(wǎng)絡(luò)和系統(tǒng)、電信外部客戶網(wǎng)絡(luò)和系統(tǒng)的統(tǒng)一安全管理和服務(wù)能力，以發(fā)展安全代維服務(wù)為工作重點(diǎn)，逐步形成中國(guó)電信安全代維服務(wù)品牌。按服務(wù)對(duì)象區(qū)分建設(shè)對(duì)于中國(guó)電信IP網(wǎng)，目前網(wǎng)絡(luò)安全問(wèn)題主要包括垃圾郵件、異常流量（包括DDOS攻擊、虛假源地址、病毒等）、域名劫持和DNS安全威脅、僵尸網(wǎng)絡(luò)打擊、釣魚網(wǎng)站、路由劫持等，其中異常流量是影響IP網(wǎng)正常運(yùn)行的一個(gè)重要安全問(wèn)題，因此應(yīng)重點(diǎn)加強(qiáng)對(duì)異常流量的監(jiān)控和分析，同時(shí)通過(guò)反垃圾郵件、DNS和僵尸網(wǎng)絡(luò)的監(jiān)控、路由監(jiān)控等功能的建設(shè)來(lái)提高IP網(wǎng)的安全性。另外，由于IP網(wǎng)中的網(wǎng)絡(luò)設(shè)備相對(duì)較為穩(wěn)定，安全脆弱性問(wèn)題遠(yuǎn)不如主機(jī)系統(tǒng)突出，因此脆弱性管理功能可僅部署在關(guān)鍵業(yè)務(wù)支撐系統(tǒng)。對(duì)于電信內(nèi)部網(wǎng)絡(luò)，其主要安全問(wèn)題在于網(wǎng)絡(luò)內(nèi)部的流量攻擊以及網(wǎng)絡(luò)內(nèi)部各主機(jī)系統(tǒng)的安全漏洞和口令安全問(wèn)題，因此應(yīng)重點(diǎn)加強(qiáng)異常流量監(jiān)控和流量過(guò)濾功能以及脆弱性管理功能。對(duì)于外部接入用戶，流量監(jiān)控主要在用戶網(wǎng)絡(luò)出口處提供流量過(guò)濾功能，同時(shí)加強(qiáng)對(duì)網(wǎng)絡(luò)安全脆弱性的管理，可考慮為其提供DDOS攻擊防御業(yè)務(wù)、安全網(wǎng)關(guān)業(yè)務(wù)等電信級(jí)安全業(yè)務(wù)，并通過(guò)SOC平臺(tái)開(kāi)展安全代維業(yè)務(wù)。按各省實(shí)際情況建設(shè)對(duì)已完成SOC平臺(tái)建設(shè)的省公司，可根據(jù)本指導(dǎo)意見(jiàn)的要求，并結(jié)合本省網(wǎng)絡(luò)安全建設(shè)需求，繼續(xù)完善SOC平臺(tái)的安全運(yùn)維管理能力，并將部分安全業(yè)務(wù)與SOC平臺(tái)集成，由SOC平臺(tái)提供統(tǒng)一安全業(yè)務(wù)管理能力；同時(shí)按照“先IP網(wǎng)絡(luò)、再內(nèi)部系統(tǒng)、再接入用戶”的順序，逐步擴(kuò)大平臺(tái)監(jiān)控范圍；在此基礎(chǔ)上逐步完善SOC平臺(tái)的業(yè)務(wù)提供能力，通過(guò)業(yè)務(wù)試點(diǎn)等方式向外部客戶提供安全增值服務(wù)。對(duì)未進(jìn)行SOC平臺(tái)建設(shè)的省公司，如果條件成熟，則可根據(jù)本指導(dǎo)意見(jiàn)的要求，并結(jié)合本省網(wǎng)絡(luò)安全建設(shè)需求，開(kāi)展SOC平臺(tái)的建設(shè)；如果條件還未成熟，則可暫時(shí)使用集團(tuán)SOC平臺(tái)，暫緩SOC平臺(tái)的建設(shè)。建設(shè)進(jìn)度要求根據(jù)集團(tuán)要求，初步對(duì)各省SOC平臺(tái)的建設(shè)進(jìn)度要求如下：類別2010.62011.62012.6未建SOC平臺(tái)的省市根據(jù)集團(tuán)規(guī)范要求，建設(shè)本省的SOC平臺(tái)基礎(chǔ)框架；初期應(yīng)優(yōu)先覆蓋IP網(wǎng)，有條件的省市可涵蓋全網(wǎng)；初期主要通過(guò)SOC平臺(tái)實(shí)現(xiàn)安全事件管理、安全脆弱性管理、安全風(fēng)險(xiǎn)管理、安全策略管理、安全預(yù)警、安全響應(yīng)等功能；為日常安全運(yùn)維及管理提供基本的監(jiān)控手段及技術(shù)支撐；逐步將SOC平臺(tái)的管理范圍涵蓋到OA、DCN等內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)；根據(jù)工作需要進(jìn)一步完善及豐富SOC平臺(tái)的安全管理功能；逐步通過(guò)SOC平臺(tái)集成一些其他的專業(yè)安全系統(tǒng)；強(qiáng)化SOC平臺(tái)的運(yùn)維及管理職能，加強(qiáng)對(duì)各種安全數(shù)據(jù)、信息的分析、處理能力；持續(xù)完善及改進(jìn)SOC平臺(tái)的各項(xiàng)功能以發(fā)展安全代維服務(wù)為工作重點(diǎn)，逐步完善SOC平臺(tái)的業(yè)務(wù)提供能力，通過(guò)業(yè)務(wù)試點(diǎn)等方式向外部客戶提供安全增值服務(wù)。已建SOC平臺(tái)的省市根據(jù)集團(tuán)規(guī)范要求，對(duì)本省的SOC平臺(tái)進(jìn)行改造及優(yōu)化，重點(diǎn)解決與集團(tuán)SOC的各種接口問(wèn)題；在平臺(tái)改造及優(yōu)化的同時(shí)擴(kuò)大SOC平臺(tái)的管理范圍（以全網(wǎng)管理為目標(biāo)）；逐步通過(guò)SOC平臺(tái)集成一些其他的專業(yè)安全系統(tǒng)；強(qiáng)化SOC平臺(tái)的運(yùn)維及管理職能，加強(qiáng)對(duì)各種安全數(shù)據(jù)、信息的分析、處理能力持續(xù)完善及改進(jìn)SOC平臺(tái)的各項(xiàng)功能；以發(fā)展安全代維服務(wù)為工作重點(diǎn)，逐步完善SOC平臺(tái)的業(yè)務(wù)提供能力，通過(guò)業(yè)務(wù)試點(diǎn)等方式向外部客戶提供安全增值服務(wù)。SOC運(yùn)維及管理平臺(tái)服務(wù)模式和運(yùn)作流程對(duì)于歸口運(yùn)維部門管理的中國(guó)電信IP網(wǎng)，SOC平臺(tái)服務(wù)模式為：由各類專業(yè)設(shè)備提供商為中國(guó)電信提供專業(yè)咨詢，由中國(guó)電信各級(jí)SOC組織對(duì)中國(guó)電信IP網(wǎng)進(jìn)行管理。運(yùn)營(yíng)流程如下圖所示：其中省級(jí)安全操作人員和集團(tuán)安全操作人員分別對(duì)省SOC平臺(tái)和集團(tuán)SOC平臺(tái)進(jìn)行監(jiān)控并負(fù)責(zé)處理簡(jiǎn)單的安全事故，一旦發(fā)現(xiàn)較重大的安全事故及時(shí)向省級(jí)或集團(tuán)安全管理人員上報(bào)；省級(jí)安全管理人員負(fù)責(zé)組織協(xié)調(diào)本省安全操作人員對(duì)本省范圍的安全事故進(jìn)行處理，對(duì)于無(wú)法處理的重大安全事故及時(shí)向集團(tuán)上報(bào)，由集團(tuán)安全管理人員組織安全技術(shù)支撐中心對(duì)各省進(jìn)行技術(shù)指導(dǎo)并協(xié)同省級(jí)安全操作人員處理事件；集團(tuán)安全管理人員除了組織協(xié)調(diào)集團(tuán)安全操作人員處理較重大的安全事件，還負(fù)責(zé)協(xié)調(diào)跨省事件的處理，合理調(diào)度和利用各省的資源和信息，在安全技術(shù)支撐中心的配合下指導(dǎo)相關(guān)安全操作人員及時(shí)有效的完成跨省安全事故的處理。中國(guó)電信的內(nèi)部網(wǎng)絡(luò)按其主管部門可分為兩類：歸口運(yùn)維部門管理的網(wǎng)絡(luò)和系統(tǒng)：如DCN等，SOC服務(wù)模式和運(yùn)營(yíng)流程與中國(guó)電信IP網(wǎng)相同；非運(yùn)維部門管理的網(wǎng)絡(luò)和系統(tǒng)：如OA、互聯(lián)星空等，可采用以下三種方式：由相應(yīng)的網(wǎng)絡(luò)或業(yè)務(wù)主管部門根據(jù)SOC平臺(tái)提供的信息按照本部門原管理流程對(duì)網(wǎng)絡(luò)進(jìn)行管理；由運(yùn)維部門相關(guān)人員對(duì)SOC平臺(tái)進(jìn)行監(jiān)控，在發(fā)現(xiàn)問(wèn)題時(shí)將時(shí)間通知相關(guān)網(wǎng)絡(luò)或業(yè)務(wù)主管部門，由相關(guān)網(wǎng)絡(luò)或業(yè)務(wù)主管部門按照本部門原事件處理流程進(jìn)行安全事件處理；由運(yùn)維部門對(duì)這些網(wǎng)絡(luò)和系統(tǒng)提供安全代維服務(wù)，代維服務(wù)流程與中國(guó)電信IP網(wǎng)相同。在依托SOC平臺(tái)向外部客戶開(kāi)展代維服務(wù)時(shí)，可采取的商業(yè)模式為：與專業(yè)設(shè)備提供商和專業(yè)IT系統(tǒng)商合作形成安全代維服務(wù)產(chǎn)業(yè)鏈條，依托SOC平臺(tái)，通過(guò)中國(guó)電信客戶渠道以中國(guó)電信統(tǒng)一品牌提供系列安全代維產(chǎn)品。在現(xiàn)階段可采取的合作模式為：由各類專業(yè)設(shè)備提供商為中國(guó)電信提供專業(yè)咨詢，代維服務(wù)由中國(guó)電信統(tǒng)一提供，對(duì)于目前在中國(guó)電信技術(shù)力量?jī)?chǔ)備不足的情況下無(wú)法提供的應(yīng)急響應(yīng)等其他服務(wù)可由安全廠商以中國(guó)電信的名義提供。SOC代維服務(wù)的運(yùn)營(yíng)流程包括運(yùn)維流程和業(yè)務(wù)流程，其中運(yùn)維流程與中國(guó)電信IP網(wǎng)相同，而業(yè)務(wù)流程將在后續(xù)文檔中予以描述。集團(tuán)SOC對(duì)各省安全管理工作的支撐集團(tuán)SOC平臺(tái)能夠?qū)Ω魇∠嚓P(guān)安全管理工作從技術(shù)、管理、運(yùn)維等各個(gè)層面提供支撐及管理作用，具體包括：技術(shù)方面的支撐預(yù)警信息的統(tǒng)一發(fā)布可以通過(guò)集團(tuán)SOC將緊急或重要的第三方廠商及組織的安全預(yù)警信息下發(fā)或同步到各省SOC，或者是通過(guò)郵件、短信等方式通知給各省相關(guān)人員。集團(tuán)安全策略的統(tǒng)一下發(fā)及查閱可以通過(guò)集團(tuán)SOC將集團(tuán)各項(xiàng)安全策略、安全管理制度等下發(fā)同步到各省SOC，供相關(guān)人員查閱，對(duì)于沒(méi)建SOC的省市，可以在集團(tuán)開(kāi)放相應(yīng)的賬號(hào)及權(quán)限，供其相關(guān)人員登錄及查閱。知識(shí)庫(kù)的共享提供各類知識(shí)庫(kù)的匯總及共享，可以通過(guò)集團(tuán)SOC將相關(guān)知識(shí)庫(kù)同步到各省SOC，也可直接在集團(tuán)SOC開(kāi)放相應(yīng)賬號(hào)或權(quán)限，供相關(guān)人員查閱。各省安全風(fēng)險(xiǎn)狀態(tài)及安全考核結(jié)果的通報(bào)根據(jù)集團(tuán)SOC檢測(cè)分析到的安全事件及風(fēng)險(xiǎn)情況，各省上報(bào)上來(lái)的安全事件及風(fēng)險(xiǎn)情況，以及集團(tuán)的的相關(guān)安全管理及考核指標(biāo)要求，對(duì)各省的安全風(fēng)險(xiǎn)狀態(tài)進(jìn)行綜合分析及提示通報(bào)，對(duì)各省的考核結(jié)果進(jìn)行通報(bào)省際安全事件的協(xié)同分析根據(jù)集團(tuán)SOC檢測(cè)分析到的安全事件及風(fēng)險(xiǎn)情況和各省上報(bào)上來(lái)的安全事件及風(fēng)險(xiǎn)情況，對(duì)跨省的安全安全事件提供協(xié)同分析及處理機(jī)制。管理及運(yùn)維支撐管理考核指標(biāo)根據(jù)集團(tuán)的相關(guān)安全管理規(guī)定及策略，制定統(tǒng)一的安全管理考核指標(biāo)，通過(guò)SOC平臺(tái)進(jìn)行考核及評(píng)定。比如：安全事件的處理及時(shí)率及有效率；安全事件及數(shù)據(jù)上報(bào)的及時(shí)率及完整率；設(shè)備安全配置基線的合規(guī)率；系統(tǒng)防病毒軟件的安裝及更新率；特定安全風(fēng)險(xiǎn)或事件的發(fā)生率重要系統(tǒng)補(bǔ)丁的安裝率等等……運(yùn)維及管理流程針對(duì)SOC平臺(tái)，制定統(tǒng)一的運(yùn)維及管理制度、流程，集團(tuán)及各省統(tǒng)一參考及執(zhí)行。統(tǒng)一運(yùn)維支持針對(duì)SOC平臺(tái)，可以由集團(tuán)組織定期的系統(tǒng)運(yùn)維及管理培訓(xùn)，如果可能，可以考慮在集團(tuán)建設(shè)一支專門的SOC平臺(tái)技術(shù)支持隊(duì)伍及人員，為各省SOC平臺(tái)的運(yùn)維及管理提供技術(shù)支撐。集團(tuán)對(duì)各省SOC建設(shè)及使用維護(hù)的考核要求為了更好的監(jiān)督及促進(jìn)各省的日常安全運(yùn)維管理工作，集團(tuán)將以SOC平臺(tái)為支撐，定期對(duì)各省的SOC平臺(tái)建設(shè)、使用維護(hù)情況和各項(xiàng)日常安全工作進(jìn)行考核，考核內(nèi)容主要包括：安全事件及數(shù)據(jù)的上報(bào)情況安全事件的處理情況安全作業(yè)計(jì)執(zhí)行及落實(shí)情況相關(guān)要求如下：各省SOC數(shù)據(jù)上報(bào)及處理要求為了更好的實(shí)現(xiàn)集團(tuán)對(duì)各省安全風(fēng)險(xiǎn)的統(tǒng)一管理及支撐，各省應(yīng)通過(guò)SOC平臺(tái)向集團(tuán)上報(bào)一些相關(guān)的安全信息及數(shù)據(jù)，包括業(yè)務(wù)系統(tǒng)、資產(chǎn)、安全對(duì)象信息；風(fēng)險(xiǎn)及告警信息；文件數(shù)據(jù)（如集團(tuán)要求的各類數(shù)據(jù)或報(bào)表）等。特別是，為了實(shí)現(xiàn)對(duì)全網(wǎng)安全事件的綜合分析、協(xié)調(diào)處置，各省必須向集團(tuán)上報(bào)一些重要的安全事件、風(fēng)險(xiǎn)及告警數(shù)據(jù)，考慮到安全事件及告警的復(fù)雜性及多樣性，下文將對(duì)各省需要上報(bào)的安全事件、風(fēng)險(xiǎn)及告警內(nèi)容進(jìn)行說(shuō)明及統(tǒng)一要求。安全事件分類安全事件基本類型根據(jù)安全事件之間的共性和差異，把安全事件分類按兩個(gè)層次進(jìn)行組織：基本類型與子類型。其中包括為8個(gè)基本類型，每個(gè)基本類型又包括若干子類型，安全事件基本類型如下表：名稱分類編號(hào)事件描述子類編號(hào)事件名稱操作記錄類1記錄各種操作事件，包括訪問(wèn)、配置變更、軟件安裝、申請(qǐng)、設(shè)備操作命令等。N/AN/A狀態(tài)信息類2系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)等日常運(yùn)行、自身維護(hù)、管理資源產(chǎn)生的事件。如進(jìn)程變化、服務(wù)啟停、普通流量、CPU內(nèi)存等。201漏洞告警信息202其它信息信息刺探類3通過(guò)掃描、嗅探、業(yè)務(wù)模擬等方式獲得系統(tǒng)及網(wǎng)絡(luò)信息的各類事件，也包括可能伴隨的掩護(hù)和躲避行為所產(chǎn)生的事件。N/AN/A惡意代碼類4惡意代碼類安全事件是指蓄意制造、傳播惡意代碼，或是因受到惡意代碼的影響而導(dǎo)致的告警事件。惡意代碼是指插入到信息系統(tǒng)中的一段程序，危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。401計(jì)算機(jī)病毒402網(wǎng)絡(luò)蠕蟲403僵尸軟件404木馬405網(wǎng)頁(yè)掛馬406間諜軟件409其他攻擊入侵類5攻擊入侵類安全事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的安全事件。501拒絕服務(wù)攻擊502漏洞攻擊503蠕蟲攻擊504后門攻擊505猜測(cè)口令506非法訪問(wèn)507域名劫持509其它信息危害類6信息危害類安全事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的安全事件。601網(wǎng)頁(yè)纂改602網(wǎng)絡(luò)仿冒（網(wǎng)絡(luò)釣魚）603垃圾信息（如垃圾郵件）604信息泄露與竊取609其他設(shè)備設(shè)施故障類7設(shè)備設(shè)施故障類安全事件是指設(shè)備、系統(tǒng)、應(yīng)用及網(wǎng)絡(luò)的故障報(bào)告、異常報(bào)告等相關(guān)事件，如：路由器癱瘓、互聯(lián)網(wǎng)鏈路故障等。701設(shè)備故障702運(yùn)行環(huán)境故障703通信故障704服務(wù)質(zhì)量故障705手工錄入故障706處理錯(cuò)誤707性能門限告警708系統(tǒng)功能失效709其他其它類0不屬于以上幾類的其它事件。N/AN/A操作記錄類、信息刺探類安全事件主要針對(duì)系統(tǒng)或網(wǎng)絡(luò)內(nèi)部的維護(hù)，一般不會(huì)對(duì)重要系統(tǒng)或網(wǎng)絡(luò)造成嚴(yán)重的安全影響。因此集團(tuán)主要需要收集與網(wǎng)絡(luò)安全攻擊相關(guān)的惡意代碼類、攻擊入侵類、信息危害類事件和設(shè)備設(shè)施故障類事件及風(fēng)險(xiǎn)告警信息。安全事件分級(jí)安全告警的級(jí)別可參考下列三個(gè)要素：系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。安全告警主分級(jí)參考《GB/Z20986-2007信息安全事件分類分級(jí)指南》，結(jié)合實(shí)際情況制定。告警級(jí)別標(biāo)示如下：重要級(jí)別中等級(jí)別一般級(jí)別 告警級(jí)別定義如下（如下表）：對(duì)于重要系統(tǒng)的原始重要及中等告警、中等系統(tǒng)的原始重要告警，級(jí)別為重要；對(duì)于重要系統(tǒng)的原始一般告警、中等系統(tǒng)的原始中等告警、一般系統(tǒng)的原始重要告警，級(jí)別為中等；對(duì)于中等系統(tǒng)的原始一般告警、一般系統(tǒng)的原始中等及原始一般告警，級(jí)別為一般。重要系統(tǒng)重要程度中等一般一般中等重要原始告警級(jí)別各省需上報(bào)的事件、告警類型及級(jí)別集團(tuán)重點(diǎn)針對(duì)DDoS攻擊、僵尸網(wǎng)絡(luò)和蠕蟲等事件進(jìn)行綜合分析和協(xié)調(diào)處置，關(guān)注危害級(jí)別較高的安全事件，因此各省SOC平臺(tái)應(yīng)向集團(tuán)SOC發(fā)送下表所示類型的安全事件，發(fā)送事件的安全級(jí)別為中等以上告警。事件類型編號(hào)名稱事件類型編號(hào)名稱201漏洞報(bào)警507域名劫持401計(jì)算機(jī)病毒報(bào)警601網(wǎng)頁(yè)纂改報(bào)警402蠕蟲報(bào)警602網(wǎng)絡(luò)仿冒報(bào)警403僵尸軟件報(bào)警603垃圾郵件報(bào)警404木馬報(bào)警604信息泄露與竊取405網(wǎng)頁(yè)掛馬報(bào)警701設(shè)備故障406跨站腳本XSS702環(huán)境故障501拒絕服務(wù)攻擊703通信故障502漏洞攻擊704服務(wù)質(zhì)量故障503蠕蟲攻擊705手工錄入故障504后門攻擊706處理錯(cuò)誤505猜測(cè)口令707性能門限告警506非法訪問(wèn)708系統(tǒng)功能失效上報(bào)方式及時(shí)間周期要求各省SOC平臺(tái)分析監(jiān)控到重要級(jí)別的安全事件及告警信息，應(yīng)通過(guò)SOC平臺(tái)的風(fēng)險(xiǎn)及告警數(shù)據(jù)上報(bào)接口自動(dòng)實(shí)時(shí)發(fā)送到集團(tuán)的SOC平臺(tái)；中等安全事件或一般安全事件不要求進(jìn)行實(shí)時(shí)上報(bào)，但各省應(yīng)根據(jù)集團(tuán)要求定期對(duì)相關(guān)事件進(jìn)行匯總統(tǒng)計(jì)并上報(bào)；中等安全事件以周為周期，每周進(jìn)行匯總統(tǒng)計(jì)，并通過(guò)SOC平臺(tái)的數(shù)據(jù)報(bào)表接口提交給集團(tuán)SOC；一般安全事件以月為周期，每月進(jìn)行匯總統(tǒng)計(jì)，在下個(gè)月的5個(gè)工作日內(nèi)通過(guò)SOC平臺(tái)的數(shù)據(jù)報(bào)表接口上報(bào)給集團(tuán)SOC；本處上報(bào)方式及時(shí)限的說(shuō)明用于通用情況SOC自身安全事件的應(yīng)急處理，對(duì)于敏感時(shí)期不拘泥于本手冊(cè)。處理要求對(duì)于重要級(jí)別的安全事件，應(yīng)在發(fā)現(xiàn)后10分鐘內(nèi)進(jìn)行工單派發(fā)；相關(guān)人員接到任務(wù)工單后在2小時(shí)提出初步解決應(yīng)對(duì)方案；對(duì)于中等的安全事件，應(yīng)在發(fā)現(xiàn)后30分鐘內(nèi)進(jìn)行工單派發(fā)；相關(guān)人員接到任務(wù)工單后在8小時(shí)提出初步解決應(yīng)對(duì)方案；對(duì)于一般的安全事件，由集團(tuán)及各省相關(guān)安全管理人員根據(jù)具體情況（如事件的影響面、普遍性、發(fā)生頻率等）派發(fā)安全作業(yè)工單，維護(hù)人員在接到工單后的一周內(nèi)完成對(duì)此類事件的處理；處理時(shí)限說(shuō)明用于通用時(shí)間的安全事件應(yīng)急處理，對(duì)于敏感時(shí)期(如奧運(yùn)會(huì))不拘泥于本規(guī)范要求。安全作業(yè)計(jì)劃執(zhí)行及落實(shí)要求考核內(nèi)容為了提升各省安全運(yùn)維及管理工作的水平，各省應(yīng)根據(jù)實(shí)際情況制定相應(yīng)的安全作業(yè)計(jì)劃，其中集團(tuán)將通過(guò)SOC平臺(tái)定期對(duì)各省的下述日常安全工作進(jìn)行檢查及考核：設(shè)備安全配置基線檢查（定期）各省應(yīng)根據(jù)集團(tuán)要求通過(guò)SOC平臺(tái)定期對(duì)相關(guān)設(shè)備的安全配置基線進(jìn)行檢查，并根據(jù)檢查結(jié)果進(jìn)行相關(guān)配置項(xiàng)目的優(yōu)化及加固。同時(shí)，各省應(yīng)按照集團(tuán)要求定期將安全配置基線檢查結(jié)果及處理情況通過(guò)數(shù)據(jù)和報(bào)表接口上報(bào)到集團(tuán)SOC。安全合規(guī)檢查（任務(wù)型）各省應(yīng)根據(jù)集團(tuán)的各項(xiàng)安全管理規(guī)章、制度、策略要求，對(duì)部分安全工作作業(yè)進(jìn)行合規(guī)性檢查，如：防病毒軟件的安裝及更新；重要系統(tǒng)補(bǔ)丁的安裝及更新；電信集團(tuán)的各種專項(xiàng)安全工作；其他臨時(shí)安全工作任務(wù)（如上級(jí)檢查、重大活動(dòng)保障等）……數(shù)據(jù)統(tǒng)計(jì)及報(bào)表要求各省SOC平臺(tái)管理維護(hù)人員應(yīng)根據(jù)集團(tuán)要求，定期向集團(tuán)SOC提供相應(yīng)的數(shù)據(jù)匯總及統(tǒng)計(jì)分析報(bào)表。數(shù)據(jù)匯總及統(tǒng)計(jì)分析報(bào)表主要包括：安全事件/告警的統(tǒng)計(jì)報(bào)表;設(shè)備安全配置檢查的統(tǒng)計(jì)結(jié)果及報(bào)表;各類安全檢查、維護(hù)作業(yè)的匯總結(jié)果報(bào)表等……考核方式設(shè)備安全配置基線檢查集團(tuán)針對(duì)主流的安全對(duì)象如路由器、交換機(jī)、防火墻、UNIX操作系統(tǒng)、windows操作系統(tǒng)、oracle數(shù)據(jù)庫(kù)等制訂并下發(fā)統(tǒng)一的設(shè)備安全配置基線；各省根據(jù)規(guī)范要求，通過(guò)SOC平臺(tái)針對(duì)自己管轄范圍內(nèi)設(shè)備每月進(jìn)行一次集中的安全配置檢查，檢查結(jié)果應(yīng)在下月的5個(gè)工作日內(nèi)通過(guò)SOC的數(shù)據(jù)和報(bào)表接口上報(bào)到集團(tuán)SOC；集團(tuán)SOC匯總各省的相關(guān)設(shè)備安全配置檢查情況，進(jìn)行考核打分和排名，并將相關(guān)考核結(jié)果通過(guò)SOC的數(shù)據(jù)發(fā)布接口通報(bào)給各省公司。安全合規(guī)檢查集團(tuán)根據(jù)工作需要，不定期的下發(fā)各種安全合規(guī)檢查任務(wù)；各省根據(jù)集團(tuán)要求，進(jìn)行相應(yīng)的檢查及改進(jìn)各省將檢查及改進(jìn)的結(jié)果通過(guò)SOC的數(shù)據(jù)和報(bào)表接口上報(bào)到集團(tuán)SOC；集團(tuán)SOC匯總各省相關(guān)任務(wù)的執(zhí)行落實(shí)情況，進(jìn)行考核打分和排名并將相關(guān)考核結(jié)果通過(guò)SOC的數(shù)據(jù)發(fā)布接口通報(bào)給各省公司。數(shù)據(jù)統(tǒng)計(jì)及報(bào)表各省根據(jù)集團(tuán)的相關(guān)要求，定期提交相關(guān)數(shù)據(jù)統(tǒng)計(jì)及報(bào)表，其中常規(guī)性的報(bào)表提交任務(wù)如下：中等安全事件以周為周期，每周進(jìn)行匯總統(tǒng)計(jì)，并通過(guò)SOC平臺(tái)的數(shù)據(jù)報(bào)表接口提交給集團(tuán)SOC；一般安全事件以月為周期，每月進(jìn)行匯總統(tǒng)計(jì)，在下個(gè)月的5個(gè)工作日內(nèi)通過(guò)SOC平臺(tái)的數(shù)據(jù)報(bào)表接口上報(bào)給集團(tuán)SOC；設(shè)備安全配置基線檢查檢查結(jié)果報(bào)表每月匯總，在下個(gè)月的5個(gè)工作日內(nèi)通過(guò)SOC平臺(tái)的數(shù)據(jù)報(bào)表接口上報(bào)給集團(tuán)SOC；其它臨時(shí)性的工作任務(wù)根據(jù)要求提供相應(yīng)報(bào)表。集團(tuán)對(duì)各省的報(bào)表進(jìn)行匯總及處理，生成相應(yīng)的考核結(jié)果和安全狀況，并通過(guò)SOC的數(shù)據(jù)發(fā)布接口通報(bào)給各個(gè)省公司。一些典型的報(bào)表要求及格式可參考HYPERLINK附錄7.1“統(tǒng)計(jì)報(bào)表樣例”。附錄統(tǒng)計(jì)報(bào)表樣例（供參考）全網(wǎng)安全事件類視圖視圖名稱：安全事件類視圖內(nèi)容說(shuō)明：按月記錄全網(wǎng)（或單一業(yè)務(wù)系統(tǒng)）安全告警事件統(tǒng)計(jì)。用途：了解全網(wǎng)（或單一業(yè)務(wù)系統(tǒng)）事件數(shù)量變化趨勢(shì)。內(nèi)容：折線圖。橫軸為日期時(shí)間（月）；縱軸為事件數(shù)量。數(shù)據(jù)計(jì)算方式說(shuō)明按月統(tǒng)計(jì)安全告警數(shù)量，生成相對(duì)應(yīng)折線圖時(shí)間按照月為單位圖例：系統(tǒng)安全事件類視圖視圖名稱：系統(tǒng)安全事件類視圖內(nèi)容說(shuō)明：按月記錄各業(yè)務(wù)系統(tǒng)安全告警事件統(tǒng)計(jì)。用途：了解各業(yè)務(wù)系統(tǒng)）事件數(shù)量變化趨勢(shì)。內(nèi)容：折線圖。橫軸為日期時(shí)間（月）；縱軸為事件數(shù)量。數(shù)據(jù)計(jì)算方式說(shuō)明按月按系統(tǒng)統(tǒng)計(jì)