安全管理平台SOC推广和建设指导意见Word文档格式.doc
- 文档编号:13167214
- 上传时间:2022-10-07
- 格式:DOC
- 页数:67
- 大小:630KB
安全管理平台SOC推广和建设指导意见Word文档格式.doc
《安全管理平台SOC推广和建设指导意见Word文档格式.doc》由会员分享,可在线阅读,更多相关《安全管理平台SOC推广和建设指导意见Word文档格式.doc(67页珍藏版)》请在冰豆网上搜索。
3 SOC平台功能及技术要求 10
3.1 SOC平台目标功能架构 10
3.2 SOC平台功能具体说明 12
3.2.1 脆弱性管理 12
3.2.2 安全事件管理 16
3.2.3 安全告警管理 23
3.2.4 安全响应管理 25
3.2.5 安全对象管理 26
3.2.6 安全预警管理 29
3.2.7 知识库管理 32
3.2.8 报表统计管理 33
3.2.9 安全作业管理 36
3.2.10 对外保障服务管理 38
3.2.11 安全策略管理 39
3.2.12 安全任务管理 40
3.2.13 信息发布及BBS 41
3.2.14 系统自身管理 41
3.3 其他技术要求 42
4 SOC平台接口要求 42
4.1 接口定义 42
4.1.1 内部接口 42
4.1.2 外部系统接口 45
4.2 接口协议要求 46
4.3 实现方式 47
4.3.1 数据采集接口 47
4.3.2 上下级接口 48
4.3.3 外部接口 48
4.3.4 各类接口实现方式建议 48
5 SOC平台建设策略 50
5.1 建设策略 50
5.2 建设进度要求 52
6 SOC运维及管理 54
6.1 平台服务模式和运作流程 54
6.2 集团SOC对各省安全管理工作的支撑 55
6.2.1 技术方面的支撑 55
6.2.2 管理及运维支撑 56
6.3 集团对各省SOC建设及使用维护的考核要求 57
6.3.1 各省SOC数据上报及处理要求 57
6.3.2 安全作业计划执行及落实要求 61
7 附录 63
7.1 统计报表样例(供参考) 63
7.2 …… 67
1概述
1.1前言
中国电信通信网络和支撑系统是国家基础信息设施,从国家要求和企业自身业务的要求考虑,都迫切需要提高信息安全保障水平。
为了保证中国电信的网络安全,提高中国电信的网络安全保护水平,促进中国电信的网络安全管理工作流程化,需要建设网络安全管理(SOC,SecurityOperationCenter)平台为安全管理工作提供一个支撑平台。
目前中国电信已在集团、江苏二个节点建设了试点SOC平台,初步构建了二级SOC平台架构,初步具备了对于中国电信IP网的网络异常流量监控、安全事件的集中监控、安全风险评估、垃圾邮件集中自动化处理等能力,提高了网络安全工作的效率,增强了网络安全性。
随着网络安全工作的不断深化,中国电信各省电信公司也纷纷提出了SOC平台的建设需求。
为进一步规范和指导中国电信各省公司SOC平台的推广建设工作,集团公司网络运行维护事业部组织相关单位研究制定了本指导意见,保证中国电信SOC平台建设工作的统一和有序开展。
1.2适用范围
本文档适用于指导中国电信集团及各省SOC平台的规划及建设工作。
1.3术语解释
网络安全管理平台
SOC平台
网络安全管理平台是实现信息安全管理的技术支撑平台。
它以风险管理为核心,为安全运营和管理提供支撑。
安全对象
SecurityObject
用于网络安全保护工作和网络安全工作保护的企业网络、设备、应用、数据称为安全对象,安全对象的价值不仅仅包括其采购价值,还包括其受侵害后导致的企业损失。
安全事件
SecurityEvents
由计算机信息系统或者网络中的各种计算机设备,例如主机、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。
安全策略
SecurityPolicy
安全策略是各种论述、规则和准则的集合,以供解释和说明网络资源使用以及网络和业务保护的方式和要求。
从用户的角度看,安全策略定义了一个合法的用户可以作什么,它会说明哪些信息被保护。
威胁
Threat
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。
脆弱性
Vulnerability
存在于被威胁的客体上,可被威胁所利用而导致安全性问题,在实际使用中,漏洞和脆弱性经常被认为等同而不加区分地使用。
但在本项目中,漏洞是脆弱性的一个子集,专指可通过扫描器发现的脆弱性,其中部分具有国际上标准的CVE编号;
而如企业没有安全管理负责人之类的脆弱性则不被认为是漏洞。
安全风险
Risk
安全风险是一种特定的威胁利用脆弱性而引起信息丢失或者损害一种或一组资产的可能性。
1.4参考文献
2SOC平台定位及建设目标
2.1SOC平台定义
随着安全问题越来越被各个企业所重视,企业都开始部署了大量的安全产品,但是大量的安全产品部署及其相关的安全事件信息也给企业带来了巨大的可管理性问题。
针对这个问题,安全管理平台SOC(SecurityOperationCenter)平台成为目前很多大型行业尤其是电信行业用户关注的一个建设方向。
安全运行管理中心是一种管理形式,是介于现有安全系统和管理者之间的一种管理形式。
SOC平台将与安全有关的产品、方案等进行整合,提供一个统一的安全管理界面。
对于现有安全系统而言,安全管理平台的地位是管理者,汇总所有的安全问题,实现集中管理和监控;
对于企业的安全管理组织及人员而言,安全管理平台是一个技术实现平台,管理者可以利用安全管理平台开展日常的安全工作,使得安全工作日常化、制度化。
2.2SOC平台在网络安全体系中所处的地位
网络安全体系通常体现在三个层面:
第一层,各系统自身安全防护,是各应用系统和安全对象自身的基础防护措施,降低自身的安全风险;
第二层,安全产品防护,是在各系统自身基础防护措施之上,对应用系统和安全对象采取的外围防护措施,主要应对外部的安全威胁;
第三层,统一安全管理,是通过安全集中管理将系统自身安全防护以及外围安全防护产品所产生的大量安全信息进行统一分析和管理,以提高安全防护效率和整体安全水平。
SOC平台位于网络安全体系最上层,为中国电信网络和业务支撑系统提供安全保障。
(待修改)
2.3SOC平台在网络管理和支撑系统中所处的地位
SOC平台在网络管理和支撑系统中的地位如下图所示:
SOC安全管理平台是一个为安全管理及运维提供安全技术支撑的平台,在IT管理系统中与网管系统NOC的地位类似。
SOC平台与网管系统既有联系又有区别。
二者都通过采集网络设备、主机设备的Syslog获得处理的数据源,但网管系统主要处理网络和主机设备的硬件故障信息,如端口的up\down,内存使用状况等,SOC平台主要处理安全方面的信息,如用户在设备上的登入、登出信息、端口流量等;
另外,SOC平台的数据源除主机系统和网络设备外,还包括安全设备以及相关专业安全子系统。
如果已部署网管系统,可由网管系统将原始Syslog信息转发给SOC平台,由SOC平台完成对Syslog中安全信息的处理,从网管系统接受Syslog后,SOC平台通过策略过滤与硬件相关的信息,只处理相关的安全信息。
为实现与其他管理系统的整合,SOC平台还需要与其他管理系统建立接口,如与运维工单进行接口,SOC平台将SOC告警事件无缝流转到运维工单,运维工单处理完成后,将处理完成信息返回给SOC平台,实现安全信息的闭环处理。
2.4SOC平台的服务对象
目前中国电信维护和管理的各个网络和系统已经呈现出集中安全管理的迫切需求,C网的投入运营也对网络安全工作提出了新的要求。
同时在中国电信全业务运营的新形势下,各类安全业务也正在进行积极的研发和推广。
中国电信SOC平台应能满足新时期的新需求,以向中国电信IP网提供网络安全管理服务为主,同时向电信内部网络和系统推广,逐步发展安全代维业务。
因此,SOC平台的服务对象主要包括中国电信IP网、中国电信内部网络以及互联网接入用户:
1.中国电信IP网
Ø
IP承载网:
ChinaNet、CN2中的设备管理,包括:
网络链路、网络设备、网络安全设备等;
网络和业务支撑系统:
支撑ChinaNet、CN2运行的支撑系统,包括:
DNS、网管系统、认证系统、计费系统等;
业务网络:
在IP承载网之上运行的业务网络,包括:
软交换、C网分组域等。
2.中国电信内部用户
内部网络:
对外封闭的电信内部网络,包括:
办公网、DCN等;
业务系统:
提供中国电信互联网应用的业务系统,如C网业务系统、互联星空、号百、商务领航等。
3.互联网接入用户
为有安全服务需求的客户网络提供安全代维、DDOS攻击防御、安全网关等电信级安全业务的集中业务管理。
从功能、性能和成本等方面综合考虑,各省公司原则上应建设一套统一的SOC平台为三类对象提供服务,在实际建设中若由于网络隔离等技术条件的限制,可根据具体情况进行考虑。
2.5SOC平台的管理范围
从集团及各省SOC平台的管理范围及职能来看:
集团SOC平台的管理范围主要包括:
IP承载网骨干网、集团层面的相关业务系统以及内部支撑系统的相关设备及其安全系统。
同时,集团SOC平台还应承担对各省安全管理工作的支撑职能,如安全策略的下发、安全预警发布,安全知识的共享、省际安全事件的协同分析及处理等。
各省的SOC平台则主要负责各省管辖范围内的IP城域网、相关业务系统以及各省内部支撑系统的相关设备及其安全系统。
同时,各省SOC平台应根据电信集团的相关规范要求,为集团提供相应信息及数据支撑,如安全事件的上报、安全数据的统计及汇报等。
2.6SOC平台建设目标
(加一段帽子)
通过集团及各省SOC平台的建设,将使集团及各省初步实现达到以下目标:
l由各类业务系统中各安全系统告警信息的分散查看,到集中查看、集中分析、集中处理,形成“两级平台,三级监控”的集中化全网安全监控管理能力;
l为中国电信网络及重要系统的安全事件管理、安全风险分析提供全方位的技术手段,形成信息化的、自动的、动态的安全风险评估及事件管理系统;
l为中国电信日常安全运维及管理工作提供流程化、制度化的支撑平台。
自动实现采集与分析,并将告警通过工单接口直接派发工单至相应责任人,固化处理流程,并提供相应的制度和知识支撑,提高安全事件处理效率及质量,使安全运维管理日常化、自动化;
l为中国电信网络安全业务的推出提供技术储备;
l为业务系统的建设、市场运营和维护等提供安全技术支持;
l逐步实现从中国电信IP网、中国电信内部网络和系统到电信外部客户的安全管理能力。
3SOC平台功能及技术要求
3.1SOC平台目标功能架构
SOC平台的目标功能架构从逻辑上可分为以下几个层次:
数据发布层、安全事件处理层、数据采集层、协议服务层、安全对象层、外部接口层,如下图所示:
IP承载网、IP网网络和业务支撑系统、IP网所承载的业务网络、电信内部网络以及电信内部业务系统、安全业务系统
安全对象层
防火墙
终端管理
主机
网络设备
应用
IDS/IPS
防毒
补丁管理
……
协议服务层
SNMP/Trap
Netflow
Syslog
Telnet
XML
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全管理 平台 SOC 推广 建设 指导 意见