中國(guó)電信SOC基礎(chǔ)平臺(tái)

會(huì)計(jì)學(xué)1中國(guó)電信SOC基礎(chǔ)平臺(tái)2目錄第1章SOC平臺(tái)概述第2章基礎(chǔ)平臺(tái)功能第3章基礎(chǔ)平臺(tái)部署方案第1頁(yè)/共49頁(yè)1.1SOC平臺(tái)定位3SOC平臺(tái)在網(wǎng)絡(luò)安全體系中定位為——日常安全運(yùn)維及管理的上層支撐平臺(tái)提供對(duì)各種安全產(chǎn)品及系統(tǒng)的整合和協(xié)調(diào)，實(shí)現(xiàn)對(duì)各種安全對(duì)象、安全事件及數(shù)據(jù)的統(tǒng)一管理和集中分析SOC平臺(tái)在網(wǎng)絡(luò)安全體系中所處的地位將下面兩層產(chǎn)生的大量安全信息進(jìn)行統(tǒng)一分析和管理提高安全防護(hù)效率和整體安全水平對(duì)各類安全對(duì)象（如主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）采取的外圍防護(hù)措施（如防火墻、IDS等），主要應(yīng)對(duì)外部安全威脅各類安全對(duì)象自身的基礎(chǔ)防護(hù)措施降低系統(tǒng)自身的安全風(fēng)險(xiǎn)

SOC平臺(tái)安全產(chǎn)品防護(hù)系統(tǒng)自身安全第2頁(yè)/共49頁(yè)41.2基礎(chǔ)平臺(tái)與安全子系統(tǒng)關(guān)系第3頁(yè)/共49頁(yè)5IP承載網(wǎng)及互聯(lián)網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)：包括ChinaNet、CN2、DCN網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、城域網(wǎng)中的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、C網(wǎng)分組域、DNS、認(rèn)證系統(tǒng)等網(wǎng)運(yùn)業(yè)務(wù)網(wǎng)絡(luò)及系統(tǒng)：包括軟交換、網(wǎng)管系統(tǒng)、OSS系統(tǒng)、C網(wǎng)業(yè)務(wù)平臺(tái)及系統(tǒng)等電信內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)及系統(tǒng)：包括互聯(lián)星空、號(hào)百和商務(wù)領(lǐng)航等業(yè)務(wù)中的業(yè)務(wù)平臺(tái)及系統(tǒng)等

SOC平臺(tái)服務(wù)對(duì)象1.3服務(wù)對(duì)象第4頁(yè)/共49頁(yè)6工單、告警等信息集團(tuán)SOC平臺(tái)數(shù)據(jù)同步信息支撐系統(tǒng)安全對(duì)象專業(yè)安全系統(tǒng)和設(shè)備數(shù)據(jù)信息集團(tuán)工單、告警等信息省SOC平臺(tái)數(shù)據(jù)同步信息安全對(duì)象專業(yè)安全系統(tǒng)和設(shè)備數(shù)據(jù)信息省數(shù)據(jù)、通告信息安全對(duì)象數(shù)據(jù)信息本地網(wǎng)工單系統(tǒng)綜合告警系統(tǒng)網(wǎng)管系統(tǒng)……支撐系統(tǒng)工單系統(tǒng)綜合告警系統(tǒng)網(wǎng)管系統(tǒng)……集團(tuán)-省SOC平臺(tái)組網(wǎng)1.4目標(biāo)架構(gòu)第5頁(yè)/共49頁(yè)7實(shí)現(xiàn)安全告警信息由分散查看、分散處理到集中查看、集中分析、集中監(jiān)控響應(yīng)形成“兩級(jí)平臺(tái)，三級(jí)監(jiān)控”的集中化全網(wǎng)安全監(jiān)控管理能力為中國(guó)電信網(wǎng)絡(luò)及重要系統(tǒng)的安全事件管理、安全風(fēng)險(xiǎn)分析等提供全方位的技術(shù)支撐手段，并提供相應(yīng)的制度和知識(shí)支撐提高安全事件處理效率及質(zhì)量，實(shí)現(xiàn)中國(guó)電信日常安全運(yùn)維及管理工作流程化、制度化為IP網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的建設(shè)、運(yùn)營(yíng)和維護(hù)等提供更系統(tǒng)的安全技術(shù)支持1.5建設(shè)目標(biāo)第6頁(yè)/共49頁(yè)8目錄第1章SOC平臺(tái)概述第2章基礎(chǔ)平臺(tái)功能第3章基礎(chǔ)平臺(tái)部署方案第7頁(yè)/共49頁(yè)

9數(shù)據(jù)呈現(xiàn)層：對(duì)SOC平臺(tái)采集分析數(shù)據(jù)進(jìn)行統(tǒng)一呈現(xiàn)，提供相應(yīng)的Portal登錄查看界面數(shù)據(jù)管理層：以安全風(fēng)險(xiǎn)管理為核心，實(shí)現(xiàn)安全對(duì)象管理、安全事件管理、安全告警管理、安全預(yù)警管理、脆弱性管理、安全響應(yīng)管理、系統(tǒng)管理等數(shù)據(jù)采集層：采集數(shù)據(jù)主要包括各類安全資源、對(duì)象的安全事件、安全漏洞、安全配置等信息專業(yè)安全子系統(tǒng)：將監(jiān)控和告警信息提交給數(shù)據(jù)管理層進(jìn)行統(tǒng)一分析和呈現(xiàn)外部接口：提供與網(wǎng)管系統(tǒng)、工單系統(tǒng)等支撐系統(tǒng)接口基礎(chǔ)平臺(tái)以安全風(fēng)險(xiǎn)管理為核心，以安全事件管理為關(guān)鍵流程，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理2.1功能第8頁(yè)/共49頁(yè)2.2安全事件采集及處理101.過(guò)濾2.規(guī)范化3.歸并4.分類5.壓縮WindowsServer采集器FirewallIDS/IPSUnixServer

路由器/交換機(jī)異常流量清洗設(shè)備流量監(jiān)測(cè)設(shè)備防病毒網(wǎng)關(guān)漏洞掃描設(shè)備安全操作審計(jì)設(shè)備其他第9頁(yè)/共49頁(yè)安全事件關(guān)聯(lián)分析功能SOC安全事件關(guān)聯(lián)分析功能就是采用基于規(guī)則、基于統(tǒng)計(jì)、基于資產(chǎn)、基于行為的關(guān)聯(lián)方法，綜合分析安全告警，來(lái)深度挖掘安全隱患、判斷安全事件的嚴(yán)重程度。從而重構(gòu)整個(gè)攻擊場(chǎng)景，降低誤報(bào)率，幫助安全監(jiān)控人員分析出網(wǎng)絡(luò)中潛在的安全隱患。規(guī)則庫(kù)管理具有預(yù)先定義關(guān)聯(lián)規(guī)則功能，同時(shí)也具有查詢、刪除、更新功能；關(guān)聯(lián)規(guī)則表達(dá)式支持規(guī)則的多級(jí)嵌套，前一規(guī)則輸出作為后一規(guī)則的輸入，以及規(guī)則之間的并集和交集處理；規(guī)則庫(kù)管理提供多種事件關(guān)聯(lián)規(guī)則定義的方式，既包括通過(guò)簡(jiǎn)單明了的向?qū)?chuàng)建關(guān)聯(lián)性規(guī)則，也可以允許用戶使用類似腳本語(yǔ)言的方式；可根據(jù)安全事件發(fā)生的因果關(guān)系，進(jìn)行邏輯上關(guān)聯(lián)分析；關(guān)聯(lián)分析引擎應(yīng)具備對(duì)已制訂的關(guān)聯(lián)規(guī)則的合法性校驗(yàn)功能2.2安全事件關(guān)聯(lián)分析安全事件關(guān)聯(lián)分析作用從大量的告警中過(guò)濾掉無(wú)用告警，并對(duì)真正有威脅的告警進(jìn)行優(yōu)先級(jí)的確定。通過(guò)關(guān)聯(lián)分析可以發(fā)現(xiàn)違反安全策略的違規(guī)行為或告警代替了人們過(guò)去手工查找風(fēng)險(xiǎn)事件的工作，大大簡(jiǎn)化并加快了對(duì)安全事件的監(jiān)控。第10頁(yè)/共49頁(yè)2.2事情關(guān)聯(lián)分析12三種關(guān)聯(lián)分析規(guī)則基于規(guī)則的事件關(guān)聯(lián)漏洞關(guān)聯(lián)分析基于統(tǒng)計(jì)的關(guān)聯(lián)分析第11頁(yè)/共49頁(yè)安全預(yù)警來(lái)源外部預(yù)警：它是由國(guó)家上級(jí)主管部門(mén)、安全服務(wù)提供商、防病毒軟件提供商和設(shè)備軟件廠商提供的。這種預(yù)警一般相關(guān)人員收集錄入后，需要由管理人員進(jìn)行審核后才能成為預(yù)警，所以模塊必須提供人工審核干預(yù)的功能；內(nèi)部預(yù)警：來(lái)源是SOC平臺(tái)內(nèi)部的預(yù)警信息，和事件、脆弱性相關(guān)聯(lián)。內(nèi)部預(yù)警根據(jù)預(yù)先定義的、對(duì)事件的響應(yīng)規(guī)則自動(dòng)或手動(dòng)生成的。2.3安全預(yù)警安全預(yù)警管理是根據(jù)來(lái)自內(nèi)部預(yù)警信息、外部預(yù)警信息分析獲得。是對(duì)可能發(fā)生的威脅的提前通告。安全預(yù)警是一種有效預(yù)防措施，和安全對(duì)象、風(fēng)險(xiǎn)管理等功能緊密聯(lián)系在一起。外部預(yù)警類型安全通告：由專業(yè)安全公司提供的安全通告，是預(yù)警信息的主要來(lái)源，其包含漏洞、病毒、攻擊警報(bào)等多種安全預(yù)警信息；攻擊預(yù)警：由外部安全預(yù)警組織，如國(guó)家應(yīng)急響應(yīng)中心或者其他組織發(fā)現(xiàn)的新類型網(wǎng)絡(luò)攻擊行為；漏洞預(yù)警：操作系統(tǒng)軟件提供商和設(shè)備提供商，通常會(huì)及時(shí)向用戶發(fā)布其軟件漏洞信息，同時(shí)提供解決方案；病毒預(yù)警：成熟的防病毒軟件廠商，通常會(huì)有病毒監(jiān)控體系，及時(shí)發(fā)現(xiàn)新類型的病毒，并提醒用戶對(duì)病毒特征庫(kù)進(jìn)行升級(jí)或者采取規(guī)避措施。內(nèi)部預(yù)警類型安全事件預(yù)警：來(lái)源安全事件關(guān)聯(lián)告警；風(fēng)險(xiǎn)預(yù)警：來(lái)源風(fēng)險(xiǎn)評(píng)估結(jié)果；漏洞預(yù)警：來(lái)源漏洞管理告警；配置脆弱性預(yù)警：來(lái)源配置脆弱性告警。完整性預(yù)警：來(lái)源完整性告警第12頁(yè)/共49頁(yè)2.4脆弱性管理14脆弱性管理漏洞管理通過(guò)內(nèi)置或者與第三方掃描器的聯(lián)動(dòng)，獲取漏洞信息以實(shí)時(shí)或者定時(shí)的方式對(duì)掃描對(duì)象進(jìn)行漏洞掃描配置脆弱性管理通過(guò)將收集到的系統(tǒng)信息與安全基線對(duì)比，對(duì)設(shè)備配置的安全合規(guī)性進(jìn)行評(píng)估

完整性檢查定時(shí)獲取受監(jiān)控?cái)?shù)據(jù)的當(dāng)前狀態(tài)值，與基線狀態(tài)值進(jìn)行比較，檢查數(shù)據(jù)是否偏離完整性檢查項(xiàng)包括：目錄二進(jìn)制文件配置文件進(jìn)程端口啟動(dòng)項(xiàng)注冊(cè)表第13頁(yè)/共49頁(yè)2.5漏洞管理漏洞管理：由系統(tǒng)自身的問(wèn)題引起的安全風(fēng)險(xiǎn)，如軟件BUG、協(xié)議缺陷等，SOC平臺(tái)具備對(duì)此類安全風(fēng)險(xiǎn)的發(fā)現(xiàn)及管理功能；漏洞信息內(nèi)容SOC平臺(tái)提供的漏洞信息包含以下內(nèi)容：系統(tǒng)類型系統(tǒng)脆弱性范圍漏洞名稱和編號(hào)漏洞的描述漏洞的解決措施漏洞信息來(lái)源SOC平臺(tái)漏洞信息獲取方式需要支持內(nèi)置掃描器掃描、第三方漏洞掃描產(chǎn)品結(jié)果導(dǎo)入、或者其它組織或機(jī)構(gòu)披露的漏洞信息導(dǎo)入三種方式。SOC平臺(tái)應(yīng)支持對(duì)目前主流漏洞掃描產(chǎn)品掃描結(jié)果的導(dǎo)入、分析及處理，掃描結(jié)果能夠自動(dòng)導(dǎo)入到SOC平臺(tái)，無(wú)需人工干預(yù)，可支持對(duì)常見(jiàn)TXT、HTML、XML等掃描結(jié)果的導(dǎo)入。第14頁(yè)/共49頁(yè)配置脆弱性：

SOC平臺(tái)收集安全對(duì)象與安全相關(guān)的系統(tǒng)信息，通過(guò)與相關(guān)安全基線的比較，將不符合基線的配置作為弱點(diǎn)匯集到脆弱性管理模塊，顯示安全對(duì)象的安全脆弱性信息。安全基線：主機(jī)或網(wǎng)絡(luò)設(shè)備操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，指導(dǎo)設(shè)備管理人員或安全管理人員進(jìn)行設(shè)備安全配置。2.6配置脆弱性針對(duì)操作系統(tǒng)，配置檢查的內(nèi)容包括：主機(jī)信息（包括主機(jī)系統(tǒng)版本、主機(jī)名、物理端口、IP等）主機(jī)補(bǔ)丁信息系統(tǒng)賬號(hào)及口令配置信息關(guān)鍵配置文件及目錄系統(tǒng)服務(wù)及進(jìn)程Windows操作系統(tǒng)的關(guān)鍵注冊(cè)表項(xiàng)目系統(tǒng)的自啟動(dòng)項(xiàng)及定時(shí)任務(wù)系統(tǒng)的訪問(wèn)控制策略及日志審計(jì)策略等針對(duì)網(wǎng)絡(luò)及安全設(shè)備，配置檢查的內(nèi)容包括：設(shè)備信息（產(chǎn)品廠商、型號(hào)、軟件版本、端口、IP等）設(shè)備賬號(hào)及口令配置信息系統(tǒng)配置文件設(shè)備端口運(yùn)行及啟用情況設(shè)備訪問(wèn)控制策略及路由情況設(shè)備日志審計(jì)策略等配置脆弱性管理功能模塊應(yīng)支持主流網(wǎng)絡(luò)設(shè)備、安全設(shè)備及操作系統(tǒng)：操作系統(tǒng)：包括Windows、AIX、HPUnix、Solaris、Linux等系統(tǒng)網(wǎng)絡(luò)設(shè)備：包括華為、Cisco、juniper等廠商的路由及交換機(jī)設(shè)備安全設(shè)備：PIX等設(shè)備第15頁(yè)/共49頁(yè)完整性檢查：根據(jù)制定的安全策略對(duì)指定的文件或網(wǎng)絡(luò)配置進(jìn)行讀取，并根據(jù)策略要求生成相應(yīng)的基線狀態(tài)值（文件屬性、文件內(nèi)容、哈希值等）。通過(guò)定制完整性檢測(cè)任務(wù)，定時(shí)獲取受監(jiān)控?cái)?shù)據(jù)的當(dāng)前狀態(tài)值，與基線狀態(tài)值進(jìn)行比較，發(fā)現(xiàn)數(shù)據(jù)偏離，通過(guò)各種方式通知安全管理人員進(jìn)行進(jìn)一步處理。2.7完整性檢查完整性檢查的內(nèi)容主要包括：目錄二進(jìn)制文件配置文件進(jìn)程端口啟動(dòng)項(xiàng)注冊(cè)表

完整性檢查通過(guò)比較當(dāng)前文件屬性與基線數(shù)據(jù)庫(kù)的差別，提供廣泛及快速的變動(dòng)檢查的能力。支持MD5、HAVAL、SHA多種算法，通過(guò)對(duì)不同簽名算法的支持，來(lái)保證文件修改的檢查；對(duì)文件的多種屬性進(jìn)行監(jiān)控，保證對(duì)文件內(nèi)容以及對(duì)文件數(shù)據(jù)的未授權(quán)操作；根據(jù)文件的不同賦予不同的嚴(yán)重級(jí)別，當(dāng)檢測(cè)到文件完整性遭到破壞時(shí)，安全管理員可以根據(jù)嚴(yán)重級(jí)別安排處理工作；支持多種響應(yīng)方式，當(dāng)文件完整性發(fā)生變化時(shí)，可以通過(guò)電子郵件、SYSLOG等方式提醒相關(guān)的安全人員；第16頁(yè)/共49頁(yè)2.8安全告警管理18來(lái)源：事件漏洞配置變更脆弱性

安全告警管理處理：過(guò)濾歸并確認(rèn)轉(zhuǎn)發(fā)清除

安全事件在經(jīng)過(guò)一系列的事件處理過(guò)程后，根據(jù)安全告警規(guī)則設(shè)置條件，將形成不同級(jí)別的安全告警信息

第17頁(yè)/共49頁(yè)2.8安全事件告警事件類告警生成規(guī)則，告警定義方法：支持定義事件匹配順序，分為如下四種先匹配源IP地址，然后匹配目標(biāo)IP地址，最后匹配設(shè)備IP地址；僅匹配目標(biāo)地址；僅匹配設(shè)備IP地址；對(duì)安全事件的屬性全部匹配。支持定義分析的事件范圍，可以通過(guò)過(guò)濾器設(shè)定支持關(guān)聯(lián)分析功能。支持告警觸發(fā)條件設(shè)置，如按名稱、級(jí)別一分鐘達(dá)到60條，才產(chǎn)生告警支持最終產(chǎn)生的告警名稱和級(jí)別的定義。支持告警追加功能，即如果已有此種告警，不產(chǎn)生新的告警，只計(jì)數(shù)量，告警追加條件包括告警名稱、告警規(guī)則、嚴(yán)重級(jí)別、事件分類、事件子類、事件名稱第18頁(yè)/共49頁(yè)2.8漏洞告警漏洞類告警生成規(guī)則，告警定義方法：可通過(guò)過(guò)濾器設(shè)定過(guò)濾條件為漏洞名稱和漏洞級(jí)別來(lái)選擇要分析漏洞

支持關(guān)聯(lián)分析功能可對(duì)告警名稱和級(jí)別進(jìn)行設(shè)置可支持告警追加功能，即如果已有此種告警，不產(chǎn)生新的告警，只計(jì)數(shù)量，告警追加條件包括告警名稱、告警規(guī)則第19頁(yè)/共49頁(yè)2.8配置變更及脆弱性告警配置變更類告警，告警定義方法：支持通過(guò)過(guò)濾器設(shè)定過(guò)濾條件為配置變更名稱和配置變更級(jí)別來(lái)選擇要分析的漏洞，

支持對(duì)告警名稱和級(jí)別進(jìn)行設(shè)置支持告警追加功能，即如果已有此種告警，不產(chǎn)生新的告警，只計(jì)數(shù)量，告警追加條件包括告警名稱、告警規(guī)則脆弱性類告警，定義方法如下：支持通過(guò)過(guò)濾器設(shè)定過(guò)濾條件為脆弱性名稱和脆弱性級(jí)別來(lái)選擇要分析的漏洞，

支持對(duì)告警名稱和級(jí)別進(jìn)行設(shè)置支持告警追加功能，即如果已有此種告警，不產(chǎn)生新的告警，只計(jì)數(shù)量，告警追加條件包括告警名稱、告警規(guī)則第20頁(yè)/共49頁(yè)什么是安全風(fēng)險(xiǎn)?安全風(fēng)險(xiǎn)是一種特定的威脅利用脆弱性而引起信息丟失或者損害一種或一組安全對(duì)象的可能性。

安全風(fēng)險(xiǎn)管理是安全管理中心的核心,它是以安全對(duì)象管理為基礎(chǔ)，通過(guò)對(duì)安全對(duì)象價(jià)值、安全脆弱性、安全威脅因素關(guān)聯(lián)后計(jì)算安全對(duì)象的風(fēng)險(xiǎn)值，并對(duì)安全對(duì)象的風(fēng)險(xiǎn)值實(shí)現(xiàn)動(dòng)態(tài)的管理，為實(shí)時(shí)監(jiān)控提供相應(yīng)的管理界面。2.9風(fēng)險(xiǎn)管理什么是威脅?安全威脅是一種對(duì)系統(tǒng)、組織及其安全對(duì)象構(gòu)成潛在破壞能力的可能性因素或者事件。SOC平臺(tái)要求能夠采用定量和定性結(jié)合的風(fēng)險(xiǎn)分析辦法實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估和計(jì)算，定量的風(fēng)險(xiǎn)分析方法就是把構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予某種數(shù)值，當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、脆弱性利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就都可以被量化了。簡(jiǎn)單說(shuō)，定量分析就是試圖通過(guò)各種數(shù)據(jù)，以及基于這些數(shù)據(jù)的計(jì)算公式來(lái)對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。第21頁(yè)/共49頁(yè)安全風(fēng)險(xiǎn)模型2.9風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)模型描述：1、外在威脅的存在增加了對(duì)象的風(fēng)險(xiǎn)2、安全對(duì)象存在漏洞，并被威脅所利用，增加了對(duì)象的安全風(fēng)險(xiǎn)3、漏洞的存在暴露的安全對(duì)象，同時(shí)安全對(duì)象擁有價(jià)值，這對(duì)安全事件的發(fā)生的造成的風(fēng)險(xiǎn)進(jìn)一步加大4、由于存在安全風(fēng)險(xiǎn)，因而引出安全防護(hù)需求5、防護(hù)需求被滿足，采取了相應(yīng)的防護(hù)措施，抗擊了威脅作用，從而減低的安全風(fēng)險(xiǎn)。第22頁(yè)/共49頁(yè)安全風(fēng)險(xiǎn)計(jì)算原理圖2.9風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)計(jì)算描述：1、風(fēng)險(xiǎn)計(jì)算的三個(gè)因素：威脅，脆弱性，資產(chǎn)2、安全風(fēng)險(xiǎn)的三個(gè)因素被識(shí)別，并賦予相應(yīng)等級(jí)3、威脅的出現(xiàn)，安全對(duì)象脆弱性的存在，增加了安全事件發(fā)生的可能性。4、安全對(duì)象本身的價(jià)值和本身的脆弱性嚴(yán)重程度增加了安全事件造成的損失。5、安全事件發(fā)生的可能性與安全事件造成的損失綜合分析出安全對(duì)象的風(fēng)險(xiǎn)值。第23頁(yè)/共49頁(yè)2.9風(fēng)險(xiǎn)管理將計(jì)算得出的風(fēng)險(xiǎn)值劃定區(qū)段，形成風(fēng)險(xiǎn)級(jí)別，一般劃分為5個(gè)級(jí)別。風(fēng)險(xiǎn)類別符號(hào)對(duì)應(yīng)的典型安全狀況告警顏色無(wú)風(fēng)險(xiǎn)N安全對(duì)象無(wú)脆弱性，且沒(méi)有受到威脅或受到少量非針對(duì)性的威脅綠色低風(fēng)險(xiǎn)L安全對(duì)象基本無(wú)脆弱性，受到了少量非針對(duì)性的威脅藍(lán)色中級(jí)風(fēng)險(xiǎn)M安全對(duì)象受到大量的威脅，但不存在對(duì)應(yīng)的脆弱性黃色高風(fēng)險(xiǎn)H安全對(duì)象存在不低于中級(jí)脆弱性，由脆弱性分析得出，尚不知是否受到了相關(guān)威脅的攻擊；或安全對(duì)象受到了一些和脆弱性匹配的威脅，但威脅和脆弱性都低于中級(jí)橙色極度風(fēng)險(xiǎn)E安全對(duì)象受到威脅，且存在該威脅對(duì)應(yīng)的脆弱性，該威脅和脆弱性不低于中級(jí)紅色第24頁(yè)/共49頁(yè)2.9風(fēng)險(xiǎn)管理26SOC平臺(tái)以安全對(duì)象為核心，結(jié)合不斷更新的安全對(duì)象脆弱性、不斷產(chǎn)生的威脅事件，進(jìn)行持續(xù)性風(fēng)險(xiǎn)計(jì)算，并將最后的量化的風(fēng)險(xiǎn)顯示到用戶管理頁(yè)面中。系統(tǒng)除了持續(xù)性計(jì)算每個(gè)安全對(duì)象的風(fēng)險(xiǎn)，持續(xù)性地按照業(yè)務(wù)系統(tǒng)和地域來(lái)綜合計(jì)算業(yè)務(wù)系統(tǒng)和地域風(fēng)險(xiǎn)級(jí)別。通過(guò)文字、圖表、報(bào)表等多種方式將在某一時(shí)間點(diǎn)上安全對(duì)象的風(fēng)險(xiǎn)分析結(jié)果進(jìn)行呈現(xiàn)；對(duì)各類安全對(duì)象的總體風(fēng)險(xiǎn)查看、當(dāng)天風(fēng)險(xiǎn)查看、按照地域查看、業(yè)務(wù)系統(tǒng)查看和安全域查看當(dāng)前安全風(fēng)險(xiǎn)；。在某一時(shí)間點(diǎn)上，各設(shè)備風(fēng)險(xiǎn)展示，展示=風(fēng)險(xiǎn)分布；在關(guān)聯(lián)查看定位和風(fēng)險(xiǎn)相關(guān)的脆弱性和高危安全事件。動(dòng)態(tài)的安全風(fēng)險(xiǎn)計(jì)算和展現(xiàn)功能，可以計(jì)算和生成安全對(duì)象在某個(gè)時(shí)間段內(nèi)的安全現(xiàn)狀變化情況；某兩個(gè)或多個(gè)時(shí)間點(diǎn)的同一安全對(duì)象的安全風(fēng)險(xiǎn)水平對(duì)比；第25頁(yè)/共49頁(yè)2.10安全知識(shí)庫(kù)27存放設(shè)備或系統(tǒng)產(chǎn)生的各類安全事件包含技術(shù)類漏洞和管理類漏洞等多種漏洞情況，并提供漏洞信息在線自動(dòng)更新的功能，從而在有新的漏洞被發(fā)現(xiàn)時(shí)，漏洞信息庫(kù)能得到及時(shí)更新存放已處理完成的安全事件方法和方案安全規(guī)章制度庫(kù)主要從安全等級(jí)管理合規(guī)層面完成對(duì)中國(guó)電信網(wǎng)絡(luò)安全等級(jí)管理的規(guī)范遵從性管理，包括安全等級(jí)保護(hù)要求管理和安全等級(jí)保護(hù)應(yīng)答管理提供規(guī)章制度的上傳、下載功能安全事情庫(kù)安全等級(jí)保護(hù)庫(kù)安全漏洞庫(kù)安全經(jīng)驗(yàn)庫(kù)安全規(guī)章制度庫(kù)安全知識(shí)庫(kù)第26頁(yè)/共49頁(yè)2.10安全事件庫(kù)安全事件庫(kù)：存放設(shè)備或系統(tǒng)產(chǎn)生的各類安全事件。，要求支持以目錄“樹(shù)”的方式進(jìn)行顯示，首先按照設(shè)備類型分類，具體如下：UNIX主機(jī)事件Windows主機(jī)事件路由器、交換機(jī)事件防火墻事件主機(jī)IDS事件網(wǎng)絡(luò)IDS事件掃描器事件防病毒系統(tǒng)事件認(rèn)證系統(tǒng)事件防御系統(tǒng)IPS事件數(shù)據(jù)庫(kù)事件對(duì)于以上目錄節(jié)點(diǎn)還支持進(jìn)一步的子目錄。例如對(duì)于“UNIX主機(jī)事件”這個(gè)一級(jí)節(jié)點(diǎn)，他下面的二級(jí)節(jié)點(diǎn)必須包括：SUN系統(tǒng)事件HP-UX系統(tǒng)事件IBMAIX系統(tǒng)事件SGIIRIX系統(tǒng)事件LIUNX系統(tǒng)事件第27頁(yè)/共49頁(yè)2.10漏洞庫(kù)

安全漏洞庫(kù)包含技術(shù)類漏洞和管理類漏洞等多種漏洞情況。每一個(gè)漏洞都應(yīng)包含名稱、描述、風(fēng)險(xiǎn)級(jí)別、演變過(guò)程、受影響系統(tǒng)、危害、詳細(xì)的解決辦法和操作步驟等內(nèi)容。該漏洞庫(kù)還提供漏洞信息在線自動(dòng)更新的功能，從而在有新的漏洞被發(fā)現(xiàn)時(shí)，漏洞信息庫(kù)能得到及時(shí)更新。

漏洞庫(kù)應(yīng)至少包括如下內(nèi)容，對(duì)一些具有國(guó)際標(biāo)準(zhǔn)的漏洞包含相應(yīng)的CVE編號(hào)。漏洞名稱漏洞編號(hào)漏洞時(shí)間漏洞內(nèi)容第28頁(yè)/共49頁(yè)2.10安全經(jīng)驗(yàn)庫(kù)安全經(jīng)驗(yàn)庫(kù)主要是保存安全事件及告警的處理方法和方案，經(jīng)驗(yàn)的來(lái)源取自系統(tǒng)的安全事件、安全告警與安全預(yù)警以及平時(shí)維護(hù)過(guò)程中遇到的系統(tǒng)安全解決方案。第29頁(yè)/共49頁(yè)2.10安全規(guī)章制度庫(kù)安全規(guī)章制度庫(kù)主要提供規(guī)章制度的上傳、下載功能，方便用戶管理企業(yè)規(guī)章制度第30頁(yè)/共49頁(yè)2.11安全等級(jí)保護(hù)庫(kù)

安全等級(jí)保護(hù)庫(kù)管理主要從安全等級(jí)管理合規(guī)層面完成對(duì)中國(guó)電信網(wǎng)絡(luò)安全等級(jí)管理的規(guī)范遵從性管理，通過(guò)對(duì)中國(guó)電信安全管理體系的等級(jí)評(píng)定、管理規(guī)定、實(shí)施細(xì)則等不同層面的規(guī)范進(jìn)行分類、梳理控制點(diǎn)、通過(guò)策略應(yīng)答、采樣輸入等方式實(shí)現(xiàn)對(duì)中國(guó)電信安全等級(jí)管理的遵從性的審計(jì)管理。

安全等級(jí)保護(hù)庫(kù)功能主要包括安全等級(jí)保護(hù)要求管理和安全等級(jí)保護(hù)應(yīng)答管理兩部分功能要求。安全等級(jí)保護(hù)要求管理是將國(guó)家工信部、中國(guó)電信集團(tuán)頒布的重要的各層面安全規(guī)范和管理要求進(jìn)行分類整理和錄入SOC平臺(tái)中，并針對(duì)輸入的安全標(biāo)準(zhǔn)和規(guī)范進(jìn)行管理控制點(diǎn)的整理和排列；安全等級(jí)保護(hù)應(yīng)答管理主要通過(guò)策略應(yīng)答或信息系統(tǒng)采樣的方式實(shí)現(xiàn)對(duì)各類控制點(diǎn)的安全要求的策略合規(guī)應(yīng)答。按照不同的安全等級(jí)要求進(jìn)行記錄和標(biāo)記，以幫助相關(guān)省公司進(jìn)行有針對(duì)性的改進(jìn)和完善安全管理工作。第31頁(yè)/共49頁(yè)2.11安全等級(jí)保護(hù)庫(kù)具備安全文檔管理功能，允許指定權(quán)限用戶提交、修改和查詢安全標(biāo)準(zhǔn)、規(guī)范文檔，安全文檔管理支持分類管理，能夠詳細(xì)記錄文檔的提交作者、修改時(shí)間、歷史版本和當(dāng)前版本。具備對(duì)各類安全標(biāo)準(zhǔn)和規(guī)范的相關(guān)安全要求的分類定義功能，安全要求是對(duì)輸入SOC平臺(tái)的各類安全管理文檔的關(guān)鍵點(diǎn)的概括定義和簡(jiǎn)述，通過(guò)瀏覽某安全文檔的安全要求可以快速的獲知相關(guān)的安全要求和概要內(nèi)容。拆解管理能夠?qū)⑨槍?duì)安全管理文檔定義的安全要求逐項(xiàng)拆解控制點(diǎn)。每個(gè)安全要求舉例的控制點(diǎn)，都能夠給出明確的適用安全對(duì)象、適用條件和控制實(shí)現(xiàn)要求。安全等級(jí)保護(hù)應(yīng)答管理就是對(duì)安全管理文檔中記錄的各類安全要求中的詳細(xì)控制點(diǎn)的檢查和審計(jì)。安全等級(jí)保護(hù)應(yīng)答管理實(shí)現(xiàn)要求對(duì)象關(guān)聯(lián)功能，需要實(shí)現(xiàn)具體的安全要求控制點(diǎn)與實(shí)際的信息系統(tǒng)的安全對(duì)象關(guān)聯(lián)功能，用戶通過(guò)安全要求對(duì)象關(guān)聯(lián)管理可以實(shí)現(xiàn)安全要求與實(shí)際業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)功能。安全要求對(duì)象關(guān)聯(lián)管理可以實(shí)現(xiàn)對(duì)一個(gè)或多個(gè)安全對(duì)象、一個(gè)或多個(gè)安全對(duì)象類的關(guān)聯(lián)功能。安全等級(jí)保護(hù)應(yīng)答管理實(shí)現(xiàn)要求基線關(guān)聯(lián)功能，可以實(shí)現(xiàn)具體的安全要求控制點(diǎn)和某個(gè)安全對(duì)象的安全配置檢查項(xiàng)CheckPoint的關(guān)聯(lián)功能，通過(guò)安全要求控制點(diǎn)和安全對(duì)象的安全配置檢查項(xiàng)的關(guān)聯(lián)，通過(guò)基線管理系統(tǒng)實(shí)現(xiàn)部分安全對(duì)象的審計(jì)管理功能。安全等級(jí)保護(hù)應(yīng)答管理中的安全要求審核模版管理功能可以根據(jù)中國(guó)電信對(duì)某個(gè)安全標(biāo)準(zhǔn)或規(guī)范的審核管理要求，設(shè)定不同的審核模版，審核模版可以通過(guò)用戶自定義方式組織安全要求的表述形式、安全要求控制點(diǎn)的表述形式、管理審核的要求、審核向?qū)Ш蛻?yīng)答方式等內(nèi)容，可以選擇匹配的審核流程實(shí)現(xiàn)流程化的審核管理過(guò)程。安全等級(jí)保護(hù)應(yīng)答管理可以通過(guò)向?qū)Х绞街痦?xiàng)對(duì)某個(gè)待審核的安全標(biāo)準(zhǔn)或規(guī)范進(jìn)行應(yīng)答管理，安全管理應(yīng)答是對(duì)每個(gè)安全標(biāo)準(zhǔn)或規(guī)范的安全要求和控制點(diǎn)的逐項(xiàng)應(yīng)答說(shuō)明，應(yīng)答方式可以支持審核證明材料的上傳和適用性說(shuō)明，應(yīng)答管理可以記錄每個(gè)控制點(diǎn)和應(yīng)答情況，并可通過(guò)自定義方式對(duì)每個(gè)控制點(diǎn)的應(yīng)答判定進(jìn)行說(shuō)明。第32頁(yè)/共49頁(yè)2.12安全維護(hù)作業(yè)管理34作業(yè)模板管理

作業(yè)制定模板領(lǐng)取作業(yè)計(jì)劃執(zhí)行檢查執(zhí)行情況維護(hù)人員領(lǐng)取自己作業(yè)模板創(chuàng)建安全檢查項(xiàng)目，說(shuō)明檢查具體內(nèi)容對(duì)生成的維護(hù)模板進(jìn)行模板分派填寫(xiě)安全維護(hù)執(zhí)行報(bào)告檢查安全維護(hù)作業(yè)執(zhí)行情況對(duì)日常安全維護(hù)作業(yè)計(jì)劃進(jìn)行統(tǒng)一的維護(hù)和管理第33頁(yè)/共49頁(yè)2.12安全維護(hù)作業(yè)模板管理安全維護(hù)模板可以創(chuàng)建安全檢查的項(xiàng)目。項(xiàng)目?jī)?nèi)容可以參考集團(tuán)下發(fā)的相關(guān)安全檢查文件。如災(zāi)難備份措施、遠(yuǎn)程維護(hù)管控、攻擊防護(hù)措施等。對(duì)應(yīng)不用的項(xiàng)目，應(yīng)該有不同的安全維護(hù)列表，即檢查的具體內(nèi)容。第34頁(yè)/共49頁(yè)2.12安全維護(hù)作業(yè)制定與模板領(lǐng)取安全維護(hù)作業(yè)制定要求可以針對(duì)傳輸、數(shù)據(jù)、交換等不同專業(yè)系統(tǒng)，并對(duì)生成的維護(hù)模板進(jìn)行模板分派。模板分派中，可以選擇安全檢查的大類后，再對(duì)需要的安全檢查項(xiàng)進(jìn)行選取操作。不同的安全檢查大類可以有相同或不同的安全檢查項(xiàng)。不同專業(yè)的維護(hù)人員，可通過(guò)安全維護(hù)模板領(lǐng)取頁(yè)面領(lǐng)取自己的檢查項(xiàng)。檢查項(xiàng)領(lǐng)取完成后，要標(biāo)志出由誰(shuí)領(lǐng)取了該檢查項(xiàng)，目的是使分工明確，責(zé)任到人。領(lǐng)取頁(yè)面的字段設(shè)計(jì)可以參考如下內(nèi)容安全維護(hù)作業(yè)制定安全維護(hù)作業(yè)模板領(lǐng)取第35頁(yè)/共49頁(yè)2.12安全維護(hù)作業(yè)執(zhí)行與檢查情況37維護(hù)人員可以登陸該頁(yè)面填寫(xiě)安全維護(hù)執(zhí)行報(bào)告，或查看操作說(shuō)明。填寫(xiě)報(bào)告將以下字段：檢查結(jié)果：符合、不符合、部分符合。說(shuō)明情況：備份介質(zhì)、備份頻率、保存期限、有效性檢查?？梢允止ぬ顚?xiě)。處理情況：支持手工填寫(xiě)。安全維護(hù)執(zhí)行可以體現(xiàn)出作業(yè)的開(kāi)始時(shí)間和結(jié)束時(shí)間，以方便統(tǒng)計(jì)和管理。展現(xiàn)出對(duì)安全維護(hù)作業(yè)的執(zhí)行結(jié)果。點(diǎn)擊每個(gè)檢查項(xiàng)后可以看到檢查項(xiàng)的名稱、所屬專業(yè)、填報(bào)人、填寫(xiě)結(jié)果時(shí)間、計(jì)劃開(kāi)始時(shí)間、計(jì)劃結(jié)束時(shí)間、級(jí)別、檢查頻率、檢查結(jié)果和情況說(shuō)明等內(nèi)容。支持報(bào)表輸出，包含：領(lǐng)取量、按類別排出執(zhí)行次數(shù)、完成及時(shí)率等信息。安全維護(hù)作業(yè)執(zhí)行安全維護(hù)作業(yè)執(zhí)行檢查情況第36頁(yè)/共49頁(yè)2.13工單運(yùn)維管理SOC平臺(tái)安全響應(yīng)管理：1、實(shí)現(xiàn)安全事件從采集、處理、告警到人工的運(yùn)維處理的自動(dòng)化和流程化管理。2、對(duì)由安全事件管理模塊生成的安全告警，在安全響應(yīng)模塊里進(jìn)行集中的展現(xiàn)、運(yùn)維處理和經(jīng)驗(yàn)積累。3、實(shí)現(xiàn)安全事件與運(yùn)維管理的緊密聯(lián)系。通過(guò)安全告警形成工作單，發(fā)送到安全響應(yīng)管理模塊，安全響應(yīng)模塊按照安全運(yùn)維的設(shè)定流程進(jìn)行工單流轉(zhuǎn)并最終到達(dá)該告警的負(fù)責(zé)人，該負(fù)責(zé)人進(jìn)行告警事件的處理，在處理過(guò)程中，該工作單的處理過(guò)程的各個(gè)狀態(tài)可查看、可追蹤。為符合中國(guó)電信網(wǎng)絡(luò)安全運(yùn)維管理的需要，SOC平臺(tái)在具備系統(tǒng)內(nèi)部進(jìn)行安全運(yùn)維管理的功能要求基礎(chǔ)上，提供和中國(guó)電信電子運(yùn)維系統(tǒng)的接口，實(shí)現(xiàn)SOC平臺(tái)與中國(guó)電信整體運(yùn)維管理的結(jié)合。支持在工作單生成規(guī)則界面中設(shè)定安全告警生成工單策略（按照高級(jí)級(jí)別、告警事件分類、告警來(lái)源等），將所需要的告警通過(guò)安全運(yùn)行維護(hù)系統(tǒng)傳遞到告警負(fù)責(zé)人進(jìn)行處理；支持對(duì)安全工作單的建－派－退－轉(zhuǎn)－追－閉等處理過(guò)程和操作功能。支持隨時(shí)跟蹤已發(fā)生工作單的執(zhí)行狀態(tài)，對(duì)工作單的狀態(tài)顯示可包括：已受理、處理中、已分派、已關(guān)閉、已退回、已完成、已作廢等。工單運(yùn)維管理第37頁(yè)/共49頁(yè)39SOC平臺(tái)在安全響應(yīng)管理中應(yīng)提供對(duì)安全運(yùn)維人員的有力技術(shù)支持，通過(guò)快速提供對(duì)安全告警信息的數(shù)據(jù)支持，幫助安全運(yùn)維工作的開(kāi)展。支持對(duì)工單記載的安全告警信息的快速定位，可以方便地關(guān)聯(lián)查詢工單中相關(guān)安全對(duì)象的屬性信息、事件相關(guān)漏洞列表、歷史事件。支持對(duì)工單記載的安全告警信息相關(guān)的知識(shí)信息、維護(hù)歷史信息、相關(guān)的專家信息的定位和檢索，為運(yùn)維人員提供幫助和指導(dǎo)信息。支持已完成工單歷史數(shù)據(jù)的紀(jì)錄，可以將相關(guān)工單處理信息作為安全事件處理的歷史資料進(jìn)行積累、保存。系統(tǒng)按照一定的格式將工單的相關(guān)信息組織成“安全事件處理記錄”，連同工單所附的事件處理報(bào)告，存入安全知識(shí)庫(kù)。以便于相似事件發(fā)生時(shí)的信息查詢和檢索。2.13安全響應(yīng)支持第38頁(yè)/共49頁(yè)2.14統(tǒng)計(jì)分析報(bào)表40通過(guò)各種形式化的報(bào)表、報(bào)告，實(shí)現(xiàn)對(duì)各類安全運(yùn)行數(shù)據(jù)統(tǒng)計(jì)、挖掘、分析的呈現(xiàn)內(nèi)置如下報(bào)表：安全對(duì)象統(tǒng)計(jì)類報(bào)表漏洞類統(tǒng)計(jì)報(bào)表配置脆弱性統(tǒng)計(jì)報(bào)表風(fēng)險(xiǎn)類統(tǒng)計(jì)報(bào)表威脅事件類統(tǒng)計(jì)報(bào)表工單類報(bào)表提供用戶自定義報(bào)表功能第39頁(yè)/共49頁(yè)41消息通訊接口數(shù)據(jù)上報(bào)接口數(shù)據(jù)下發(fā)接口實(shí)現(xiàn)上下級(jí)SOC相互通訊的接口，功能主要包括上下級(jí)之間SOC連接測(cè)試，任務(wù)消息和服務(wù)請(qǐng)求的發(fā)送，任務(wù)消息回饋上下級(jí)管理接口按照一定的數(shù)據(jù)格式和規(guī)范傳輸數(shù)據(jù)，實(shí)現(xiàn)兩級(jí)結(jié)構(gòu)間信息的互通和共享，達(dá)到集團(tuán)對(duì)省級(jí)公司安全工作、安全狀況進(jìn)行監(jiān)控、評(píng)價(jià)的目的。實(shí)現(xiàn)集團(tuán)SOC公共數(shù)據(jù)的下發(fā)服務(wù)，供下級(jí)SOC獲取集團(tuán)SOC數(shù)據(jù)，包括：各類安全知識(shí)庫(kù)集團(tuán)預(yù)警通告信息集團(tuán)安全策略信息各省安全管理工作的考核結(jié)果及統(tǒng)計(jì)數(shù)據(jù)集團(tuán)下發(fā)各省的工單指令實(shí)現(xiàn)省級(jí)SOC數(shù)據(jù)的上報(bào)服務(wù)，可由下級(jí)SOC向集團(tuán)SOC上傳數(shù)據(jù)，包括：業(yè)務(wù)系統(tǒng)及安全對(duì)象信息風(fēng)險(xiǎn)及告警信息文件數(shù)據(jù)（如集團(tuán)要求的各類數(shù)據(jù)或報(bào)表等）2.15接口-上下級(jí)管理接口第40頁(yè)/共49頁(yè)42數(shù)據(jù)采集接口應(yīng)支持文件方式、SNMPTrap、Syslog、ODBC、Sockets等多種接口方式數(shù)據(jù)采集接口：SOC平臺(tái)通過(guò)各種數(shù)據(jù)采集接口實(shí)現(xiàn)對(duì)