中国电信SOC基础平台

基础平台 SOC
一次性口令认证系统 异常流量监控系统 攻击溯源分析系统
安全子系统
……
安全对象 网络设备、主机、数据库、应用等
4
1.3 服务对象
SOC平台服务对象
IP承载网及互联网业务网络：包括ChinaNet、CN2、DCN网络中的 网络设备、城域网中的网络设备、网络安全设备、C网分组域、 DNS 、认证系统等
数据管理层
报表管理 安全风险管理 安全事件管理 安全响应管理 知识库管理 异常流量管理 管理 脆弱性管理 安全预警管理 安全维护作业管理 安全告警管理 安全对象管理 系统管理
网管系统接口 工单系统接口 综合告警系 统接口 资源管理系 统接口 集团-省平台 接口 ……
蜜罐系统
攻击溯源分析系统 …………
2.6配置脆弱性
配置脆弱性： SOC平台收集安全对象与安全相关的系统信息，通过与相关安全基线的比较，将 不符合基线的配置作为弱点汇集到脆弱性管理模块，显示安全对象的安全脆弱性信息。
Leabharlann Baidu
安全基线：主机或网络设备操作系统安全性设置标准，指导设备管理人员或安全管理人员进行
设备安全配置。
配置脆弱性管理功能模块应支持主流网络设备、安全设备及操作系统： •操作系统：包括Windows、AIX、HP Unix、Solaris、Linux等系统 •网络设备：包括华为、Cisco、juniper等厂商的路由及交换机设备 •安全设备：PIX等设备
的统一管理和集中分析
将下面两层产生的大量安全信息进行统一分析和管理 提高安全防护效率和整体安全水平
对各类安全对象（如主机、网络设备、应用系统等）采取的 外围防护措施（如防火墙、IDS等），主要应对外部安全威胁
SOC
平台
安全产品防护
各类安全对象自身的基础防护措施
降低系统自身的安全风险
系统自身安全
3
1.2 基础平台与安全子系统关系
网运业务网络及系统：包括软交换、 网管系统、 OSS系统、C网
业务平台及系统等 电信内部业务网络及系统：包括互联星空、号百和商务领航等业 务中的业务平台及系统等
5
1.4 目标架构
支撑系统
工单、告警等信息
集团SOC平台 集团
专业安全系统和设备
数据信息 数据同步信息
网管系统 工单系统 综合告警系统 ……
配置脆弱性管理 通过将收集到的 系统信息与安全基 线对比，对设备配 置的安全合规性进 行评估
完整性检查
定时获取受监控数据的 当前状态值，与基线状 态值进行比较，检查数 据是否偏离 完整性检查项包括：
目录 二进制文件 配置文件 进程 端口 启动项 注册表
14
2.5漏洞管理
漏洞管理：由系统自身的问题引起的安全风险，如软件BUG、协议缺陷等，SOC平 台具备对此类安全风险的发现及管理功能； 漏洞信息内容 SOC平台提供的漏洞信息包含以下内容： •系统类型 •系统脆弱性范围 •漏洞名称和编号 •漏洞的描述 •漏洞的解决措施 漏洞信息来源 SOC平台漏洞信息获取方式需要支持内置扫描器扫描、第三方漏洞扫描产品结 果导入、或者其它组织或机构披露的漏洞信息导入三种方式。 SOC平台应支持对目前主流漏洞扫描产品扫描结果的导入、分析及处理，扫描 结果能够自动导入到SOC平台，无需人工干预，可支持对常见TXT、HTML、XML等 扫描结果的导入。
IDS/IPS
主机
网络设备
防病毒
……
2.2安全事件采集及处理
3.归并 4.分类 5.压缩 2.规范化
Windows Server Unix Server Firewall IDS/IPS
路由器/交换机
异常流量清洗设备 流量监测设备 防病毒网关 漏洞扫描设备 安全操作审计设备 其他
采集器
1.过滤
10
2.2事情关联分析
• 三种关联分析规则 –基于规则的事件关联 –漏洞关联分析 –基于统计的关联分析
12
2.3安全预警
安全预警管理是根据来自内部预警信息、外部预警信息分析获得。是对可能发生的威胁的 提前通告。安全预警是一种有效预防措施，和安全对象、风险管理等功能紧密联系在一起。 安全预警来源 •外部预警：它是由国家上级主管部门、安全服务提供商、防病毒软件提供商和设备软件厂商 提供的。这种预警一般相关人员收集录入后，需要由管理人员进行审核后才能成为预警，所 以模块必须提供人工审核干预的功能； •内部预警：来源是SOC平台内部的预警信息，和事件、脆弱性相关联。内部预警根据预先定义 的、对事件的响应规则自动或手动生成的。
外部预警类型 •安全通告：由专业安全公司提供的安全通告，是 预警信息的主要来源，其包含漏洞、病毒、攻击 警报等多种安全预警信息； •攻击预警：由外部安全预警组织，如国家应急响 应中心或者其他组织发现的新类型网络攻击行为 ； •漏洞预警：操作系统软件提供商和设备提供商， 通常会及时向用户发布其软件漏洞信息，同时提 供解决方案； •病毒预警：成熟的防病毒软件厂商，通常会有病 毒监控体系，及时发现新类型的病毒，并提醒用 户对病毒特征库进行升级或者采取规避措施。
2.8漏洞告警
漏洞类告警生成规则，告警定义方法： •可通过过滤器设定过滤条件为漏洞名称和漏洞级别来选择要分析漏洞 •支持关联分析功能 •可对告警名称和级别进行设置 •可支持告警追加功能，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包 括告警名称、告警规则
2.8配置变更及脆弱性告警
配置变更类告警，告警定义方法： •支持通过过滤器设定过滤条件为配置变更名称和配置变更级别来选择要分析的漏 洞， •支持对告警名称和级别进行设置 •支持告警追加功能，即如果已有此种告警，不产生新的告警，只计数量，告警追 加条件包括告警名称、告警规则 脆弱性类告警，定义方法如下： •支持通过过滤器设定过滤条件为脆弱性名称和脆弱性级别来选择要分析的漏洞， •支持对告警名称和级别进行设置 •支持告警追加功能，即如果已有此种告警，不产生新的告警，只计数量，告警追
中国电信维护岗位认证教材（互联网安全维护专业）
中国电信SOC基础管理平台
中国电信维护岗位认证教材编写小组编制
目录 • 第1章 SOC平台概述 • 第2章 基础平台功能 • 第3章 基础平台部署方案
2
1.1 SOC平台定位
SOC平台在网络安全体系中所处的地位
SOC平台在网络安全体系中定位为——日常安全运维及管理的上层支撑平台 提供对各种安全产品及系统的整合和协调，实现对各种安全对象、安全事件及数据
为IP网络
及业务系 统的建设、
集中分析、集中监
控响应 形成“两级平台， 三级监控”的集中 化全网安全监控管 理能力
撑手段，并提供相应的制度
和知识支撑 提高安全事件处理效率及质
运营和维
护等提供 更系统的
量，实现中国电信日常安全
运维及管理工作流程化、制 度化
安全技术
支持
7
目录 • 第1章 SOC平台概述 • 第2章 基础平台功能 • 第3章 基础平台部署方案
内部预警类型 •安全事件预警：来源安全事件关联 告警； •风险预警：来源风险评估结果； •漏洞预警：来源漏洞管理告警； •配置脆弱性预警：来源配置脆弱性 告警。 •完整性预警：来源完整性告警
2.4脆弱性管理
脆弱性管理
漏洞管理
通过内置或 者与第三方扫 描器的联动， 获取漏洞信息 以实时或者 定时的方式对 扫描对象进行 漏洞扫描
数据呈现层
统一门户、统一认证 外部接口
数据呈现层：对SOC平台采集 分析数据进行统一呈现，提 供相应的Portal登录查看界 面 数据管理层：以安全风险管 理为核心，实现安全对象管 理、安全事件管理、安全告 警管理、安全预警管理、脆 弱性管理、安全响应管理、 系统管理等 数据采集层：采集数据主要 包括各类安全资源、对象的 安全事件、安全漏洞、安全 配置等信息
2.2安全事件关联分析
安全事件关联分析作用 • • 从大量的告警中过滤掉无用告警，并对真正有威胁的告警进行优先级的确定。 通过关联分析可以发现违反安全策略的违规行为或告警
•
代替了人们过去手工查找风险事件的工作，大大简化并加快了对安全事件的监控。
安全事件关联分析功能 SOC安全事件关联分析功能就是采用基于规则、基于统计、基于资产、基于行为的关联方 法，综合分析安全告警，来深度挖掘安全隐患、判断安全事件的严重程度。从而重构整个攻击
2.7完整性检查
完整性检查：根据制定的安全策略对指定的文件或网络配置进行读取，并根据策略要求生成相
应的基线状态值（文件属性、文件内容、哈希值等）。通过定制完整性检测任务，定时获取受
监控数据的当前状态值，与基线状态值进行比较，发现数据偏离，通过各种方式通知安全管理 人员进行进一步处理。 完整性检查的内容主要包括： •目录 •二进制文件 •配置文件 •进程 •端口 •启动项 •注册表 完整性检查通过比较当前文件属性与基线数据库的差别，提供广泛及快速的变动检查的能力。 •支持MD5、HAVAL、SHA多种算法，通过对不同签名算法的支持，来保证文件修改的检查； •对文件的多种属性进行监控，保证对文件内容以及对文件数据的未授权操作； •根据文件的不同赋予不同的严重级别，当检测到文件完整性遭到破坏时，安全管理员可以根 据严重级别安排处理工作； •支持多种响应方式，当文件完整性发生变化时，可以通过电子邮件、SYSLOG等方式提醒相关 的安全人员；
过滤处理 数据采集层 事件采集
标准化处理 漏洞采集
归并处理 配置采集
采集状态监 控 性能采集
SNMP/SYSLOG/FILE/SOCKET/ODBC/XML
专业安全子系统：将监控和 告警信息提交给数据管理层 进行统一分析和呈现
外部接口：提供与网管系统、 工单系统等支撑系统接口 9
安全对象
防火墙
2.8安全告警管理
安全事件在经过一系列的事件处理过程后，根据安全告警规 则设置条件，将形成不同级别的安全告警信息
安全告警管理
来源： 事件 漏洞 配置变更 脆弱性
处理： 过滤 归并 确认 转发 清除
18
2.8安全事件告警
事件类告警生成规则，告警定义方法： •支持定义事件匹配顺序，分为如下四种 先匹配源IP地址，然后匹配目标IP地址，最后匹配设备IP地址； 仅匹配目标地址； 仅匹配设备IP地址； 对安全事件的属性全部匹配。 •支持定义分析的事件范围，可以通过过滤器设定 •支持关联分析功能。 •支持告警触发条件设置，如按名称、级别一分钟达到60条，才产生告警 •支持最终产生的告警名称和级别的定义。 •支持告警追加功能，即如果已有此种告警，不产生新的告警，只计数量，告 警追加条件包括告警名称、告警规则、严重级别、事件分类、事件子类、事 件名称
针对操作系统，配置检查的内容包括： •主机信息（包括主机系统版本、主机名、 物理端口、IP等） •主机补丁信息 •系统账号及口令配置信息 •关键配置文件及目录 •系统服务及进程 •Windows操作系统的关键注册表项目 •系统的自启动项及定时任务 •系统的访问控制策略及日志审计策略等 针对网络及安全设备，配置检查的内容包括： •设备信息（产品厂商、型号、软件版本、端 口、IP等） •设备账号及口令配置信息 •系统配置文件 •设备端口运行及启用情况 •设备访问控制策略及路由情况 •设备日志审计策略等
场景，降低误报率，帮助安全监控人员分析出网络中潜在的安全隐患。
•规则库管理具有预先定义关联规则功能，同时也具有查询、删除、更新功能； •关联规则表达式支持规则的多级嵌套，前一规则输出作为后一规则的输入，以及规则之间的 并集和交集处理； •规则库管理提供多种事件关联规则定义的方式，既包括通过简单明了的向导创建关联性规则， 也可以允许用户使用类似脚本语言的方式； •可根据安全事件发生的因果关系，进行逻辑上关联分析； •关联分析引擎应具备对已制订的关联规则的合法性校验功能
安全对象
数据、通告信息
集团-省SOC平台组网
省SOC平台
工单、告警等信息 数据同步信息
支撑系统
网管系统 工单系统 综合告警系统 ……
省
专业安全系统和设备
数据信息
安全对象
数据信息
本地网
安全对象
6
1.5 建设目标
实现安全告警信息
由分散查看、分散 处理到集中查看、
为中国电信网络及重要系统
的安全事件管理、安全风险 分析等提供全方位的技术支
8
2.1功能
基础平台以安全风险管理为核心，以安全事件管理为关键流程，建立一套实时的资产风险 • 模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理
SOC 平台
专业安全子系统
DDoS 网管系统 异常流量监控系统 僵尸网络监控系统 DNS 数据安全分析系统 垃圾邮件处理系统 终端安全管理系统