中国电信SOC网络安全平台推广和建设指导意见.doc

《中国电信SOC网络安全平台推广和建设指导意见.doc》由会员分享，可在线阅读，更多相关《中国电信SOC网络安全平台推广和建设指导意见.doc（67页珍藏版）》请在三一办公上搜索。

1、 中国电信网络安全管理平台推广和建设指导意见中国电信集团XXXXXXXX2009-12-17目录：1概述41.1前言41.2适用范围41.3术语解释41.4参考文献52SOC平台定位及建设目标62.1SOC平台定义62.2SOC平台在网络安全体系中所处的地位62.3SOC平台在网络管理和支撑系统中所处的地位72.4SOC平台的服务对象82.5SOC平台的管理范围92.6SOC平台建设目标93SOC平台功能及技术要求103.1SOC平台目标功能架构103.2SOC平台功能具体说明123.2.1脆弱性管理123.2.2安全事件管理163.2.3安全告警管理233.2.4安全响应管理253.2.5安

2、全对象管理263.2.6安全预警管理293.2.7知识库管理323.2.8报表统计管理333.2.9安全作业管理363.2.10对外保障服务管理383.2.11安全策略管理393.2.12安全任务管理403.2.13信息发布及BBS413.2.14系统自身管理413.3其他技术要求424SOC平台接口要求424.1接口定义424.1.1内部接口424.1.2外部系统接口454.2接口协议要求464.3实现方式474.3.1数据采集接口474.3.2上下级接口484.3.3外部接口484.3.4各类接口实现方式建议485SOC平台建设策略505.1建设策略505.2建设进度要求526SOC运维及

3、管理546.1平台服务模式和运作流程546.2集团SOC对各省安全管理工作的支撑556.2.1技术方面的支撑556.2.2管理及运维支撑566.3集团对各省SOC建设及使用维护的考核要求576.3.1各省SOC数据上报及处理要求576.3.2安全作业计划执行及落实要求617附录637.1统计报表样例（供参考）637.2671 概述1.1 前言中国电信通信网络和支撑系统是国家基础信息设施，从国家要求和企业自身业务的要求考虑，都迫切需要提高信息安全保障水平。为了保证中国电信的网络安全，提高中国电信的网络安全保护水平，促进中国电信的网络安全管理工作流程化，需要建设网络安全管理（SOC，Securit

4、y Operation Center）平台为安全管理工作提供一个支撑平台。目前中国电信已在集团、江苏二个节点建设了试点SOC平台，初步构建了二级SOC平台架构，初步具备了对于中国电信IP网的网络异常流量监控、安全事件的集中监控、安全风险评估、垃圾邮件集中自动化处理等能力, 提高了网络安全工作的效率，增强了网络安全性。随着网络安全工作的不断深化，中国电信各省电信公司也纷纷提出了SOC平台的建设需求。为进一步规范和指导中国电信各省公司SOC平台的推广建设工作，集团公司网络运行维护事业部组织相关单位研究制定了本指导意见，保证中国电信SOC平台建设工作的统一和有序开展。1.2 适用范围本文档适用于指导

5、中国电信集团及各省SOC平台的规划及建设工作。1.3 术语解释网络安全管理平台SOC平台网络安全管理平台是实现信息安全管理的技术支撑平台。它以风险管理为核心，为安全运营和管理提供支撑。安全对象Security Object用于网络安全保护工作和网络安全工作保护的企业网络、设备、应用、数据称为安全对象，安全对象的价值不仅仅包括其采购价值，还包括其受侵害后导致的企业损失。安全事件Security Events由计算机信息系统或者网络中的各种计算机设备，例如主机、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。安全策略Security Policy安全策略是各种论述、规则和准则的集合，

6、以供解释和说明网络资源使用以及网络和业务保护的方式和要求。从用户的角度看，安全策略定义了一个合法的用户可以作什么，它会说明哪些信息被保护。威胁Threat安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。脆弱性Vulnerability存在于被威胁的客体上，可被威胁所利用而导致安全性问题，在实际使用中，漏洞和脆弱性经常被认为等同而不加区分地使用。但在本项目中，漏洞是脆弱性的一个子集，专指可通过扫描器发现的脆弱性，其中部分具有国际上标准的CVE编号；而如企业没有安全管理负责人之类的脆弱性则不被认为是漏洞。安全风险Risk安全风险是一种特定的威胁利用脆弱性而引起信息丢失或者损

7、害一种或一组资产的可能性。1.4 参考文献2 SOC平台定位及建设目标2.1 SOC平台定义随着安全问题越来越被各个企业所重视，企业都开始部署了大量的安全产品，但是大量的安全产品部署及其相关的安全事件信息也给企业带来了巨大的可管理性问题。针对这个问题，安全管理平台SOC（Security Operation Center）平台成为目前很多大型行业尤其是电信行业用户关注的一个建设方向。安全运行管理中心是一种管理形式，是介于现有安全系统和管理者之间的一种管理形式。SOC平台将与安全有关的产品、方案等进行整合，提供一个统一的安全管理界面。对于现有安全系统而言，安全管理平台的地位是管理者，汇总所有的安

8、全问题，实现集中管理和监控；对于企业的安全管理组织及人员而言，安全管理平台是一个技术实现平台，管理者可以利用安全管理平台开展日常的安全工作，使得安全工作日常化、制度化。2.2 SOC平台在网络安全体系中所处的地位网络安全体系通常体现在三个层面：第一层，各系统自身安全防护，是各应用系统和安全对象自身的基础防护措施，降低自身的安全风险；第二层，安全产品防护，是在各系统自身基础防护措施之上，对应用系统和安全对象采取的外围防护措施，主要应对外部的安全威胁；第三层，统一安全管理，是通过安全集中管理将系统自身安全防护以及外围安全防护产品所产生的大量安全信息进行统一分析和管理，以提高安全防护效率和整体安全水

9、平。SOC平台位于网络安全体系最上层，为中国电信网络和业务支撑系统提供安全保障。（待修改）2.3 SOC平台在网络管理和支撑系统中所处的地位SOC平台在网络管理和支撑系统中的地位如下图所示：SOC安全管理平台是一个为安全管理及运维提供安全技术支撑的平台，在IT管理系统中与网管系统NOC的地位类似。SOC平台与网管系统既有联系又有区别。二者都通过采集网络设备、主机设备的Syslog获得处理的数据源，但网管系统主要处理网络和主机设备的硬件故障信息，如端口的updown，内存使用状况等，SOC平台主要处理安全方面的信息，如用户在设备上的登入、登出信息、端口流量等；另外，SOC平台的数据源除主机系统和

10、网络设备外，还包括安全设备以及相关专业安全子系统。如果已部署网管系统，可由网管系统将原始Syslog信息转发给SOC平台，由SOC平台完成对Syslog中安全信息的处理，从网管系统接受Syslog后，SOC平台通过策略过滤与硬件相关的信息，只处理相关的安全信息。为实现与其他管理系统的整合，SOC平台还需要与其他管理系统建立接口，如与运维工单进行接口，SOC平台将SOC告警事件无缝流转到运维工单，运维工单处理完成后，将处理完成信息返回给SOC平台，实现安全信息的闭环处理。 2.4 SOC平台的服务对象目前中国电信维护和管理的各个网络和系统已经呈现出集中安全管理的迫切需求，C网的投入运营也对网络安

11、全工作提出了新的要求。同时在中国电信全业务运营的新形势下，各类安全业务也正在进行积极的研发和推广。中国电信SOC平台应能满足新时期的新需求，以向中国电信IP网提供网络安全管理服务为主，同时向电信内部网络和系统推广，逐步发展安全代维业务。因此，SOC平台的服务对象主要包括中国电信IP网、中国电信内部网络以及互联网接入用户：1. 中国电信IP网 IP承载网： ChinaNet、CN2中的设备管理，包括：网络链路、网络设备、网络安全设备等； 网络和业务支撑系统：支撑ChinaNet、CN2运行的支撑系统，包括：DNS、网管系统、认证系统、计费系统等； 业务网络：在IP承载网之上运行的业务网络，包括：

12、软交换、C网分组域等。2. 中国电信内部用户 内部网络：对外封闭的电信内部网络，包括：办公网、DCN等； 业务系统：提供中国电信互联网应用的业务系统，如C网业务系统、互联星空、号百、商务领航等。3. 互联网接入用户为有安全服务需求的客户网络提供安全代维、DDOS攻击防御、安全网关等电信级安全业务的集中业务管理。从功能、性能和成本等方面综合考虑，各省公司原则上应建设一套统一的SOC平台为三类对象提供服务，在实际建设中若由于网络隔离等技术条件的限制，可根据具体情况进行考虑。2.5 SOC平台的管理范围从集团及各省SOC平台的管理范围及职能来看：集团SOC平台的管理范围主要包括：IP承载网骨干网、集

13、团层面的相关业务系统以及内部支撑系统的相关设备及其安全系统。同时，集团SOC平台还应承担对各省安全管理工作的支撑职能，如安全策略的下发、安全预警发布，安全知识的共享、省际安全事件的协同分析及处理等。各省的SOC平台则主要负责各省管辖范围内的IP城域网、相关业务系统以及各省内部支撑系统的相关设备及其安全系统。同时，各省SOC平台应根据电信集团的相关规范要求，为集团提供相应信息及数据支撑，如安全事件的上报、安全数据的统计及汇报等。2.6 SOC平台建设目标（加一段帽子）通过集团及各省SOC平台的建设，将使集团及各省初步实现达到以下目标：l 由各类业务系统中各安全系统告警信息的分散查看，到集中查看、

14、集中分析、集中处理，形成“两级平台，三级监控”的集中化全网安全监控管理能力；l 为中国电信网络及重要系统的安全事件管理、安全风险分析提供全方位的技术手段，形成信息化的、自动的、动态的安全风险评估及事件管理系统；l 为中国电信日常安全运维及管理工作提供流程化、制度化的支撑平台。自动实现采集与分析，并将告警通过工单接口直接派发工单至相应责任人，固化处理流程，并提供相应的制度和知识支撑，提高安全事件处理效率及质量，使安全运维管理日常化、自动化；l 为中国电信网络安全业务的推出提供技术储备；l 为业务系统的建设、市场运营和维护等提供安全技术支持；l 逐步实现从中国电信IP网、中国电信内部网络和系统到电

15、信外部客户的安全管理能力。3 SOC平台功能及技术要求3.1 SOC平台目标功能架构 SOC平台的目标功能架构从逻辑上可分为以下几个层次：数据发布层、安全事件处理层、数据采集层、协议服务层、安全对象层、外部接口层，如下图所示：IP承载网、IP网网络和业务支撑系统、IP网所承载的业务网络、电信内部网络以及电信内部业务系统、安全业务系统安全对象层防火墙终端管理主机网络设备应用IDS/IPS防毒补丁管理协议服务层SNMP/TrapNetflowSyslogTelnetXML数据采集层事件采集漏洞采集配置采集资产发现性能采集安全事件处理层专业安全子系统垃圾邮件处理系统异常流量监控系统域名安全分析系统防

16、御平台网管系统攻击溯源分析系统僵尸网络监控系统安全态势分析系统蜜罐系统终端安全管理系统SOC主体功能脆弱性管理安全事件管理安全风险管理安全告警管理资源管理系统接口网管系统接口综合告警系统接口电子工单系统接口安全业务系统接口计费帐务系统接口3A系统接口上下级平台接口其它系统接口外部接口安全服务管理风险分析风险控制安全响应管理安全对象管理安全预警管理安全运维管理知识库管理报表统计管理安全作业管理对外保障服务管理权限管理日志管理数据发布层统一门户、统一认证安全策略管理安全任务管理信息发布及BBS系统管理任务调度告警漏洞展现内容风险事件性能配置预警考核报表用户身份管理用户管理权限管理 数据发布层：对S

17、OC平台采集分析的数据进行统一呈现，同时对专业安全子系统以B/S方式统一纳入SOC平台进行管理，并通过统一门户和统一认证实现多个专业安全子系统的单点登录和集中授权管理。 安全事件处理层：主要包括对安全对象的管理、安全风险的呈现和处理、安全事件和脆弱性的关联以及对事件、脆弱性、完整性等安全信息的处理功能；同时提供策略库统一规划网络相关策略，提供知识库作为安全人员处理事件的参考。 数据采集层：主要负责对安全事件、安全脆弱性等安全信息的收集。 协议服务层：针对网络中多种事件源，事件采集接口需要提供多种采集方式对安全事件进行采集 安全对象层：SOC平台所管理的资产，包括主机、网络设备、数据库管理系统、

18、安全设备（如防火墙、IDS/IPS等）、应用系统、数据和信息、多个安全对象构成的安全对象组等。 应用接口层：SOC平台是一个综合管理系统，在对相关安全信息进行处理时，需要通过应用接口层与其他应用管理系统之间进行数据交互。应用接口层包括与电子工单系统接口、网管系统接口、安全业务接口等。3.2 SOC平台功能具体说明3.2.1 脆弱性管理各种重要的主机系统和网络设备上存在的安全脆弱性是影响中国电信网络安全的重要潜在风险，为了了解网络中主机和网络设备的安全脆弱性状况，在SOC平台中将建设脆弱性管理模块，实现对重要主机系统和网络设备安全脆弱性信息的收集和管理。脆弱性管理分为漏洞管理、配置管理、完整性检

19、查等三个子模块。3.2.1.1 漏洞管理n 漏洞管理：SOC平台需要采用扫描器来收集漏洞信息，所以SOC应该内置或采用外置扫描器。SOC与扫描器紧密耦合，从SOC可以直接驱动扫描器发动扫描任务；SOC必须能够把扫描到的漏洞信息与潜在事件进行关联；对于漏洞信息。l 扫描结果必须包括以下信息： IP地址 操作系统类型 操作系统脆弱性的端口和范围 漏洞名称和编号 漏洞的描述 漏洞的解决措施l 扫描器的必须能够支持以下范围的扫描： 浏览器 各种操作系统，如：A/UX, AIX, Digital UNIX, FreeBSD, HP/UX, IRIX, Linux(kernel 2.2,2.4,2.6),

20、 MacOS, NetBSD, Novell NetWare, OS/2, OpenBSD, OpenVMS, SCO Unix, Solaris, VxWorks, Windows, ULTRIX 等 各种网络设备，如：支持众多的网络交换机、路由器、网络打印机、WAP接入设备、VPN 设备、防护墙等设备 支持DOS/DDOS、木马、IP欺骗、PROXY等的扫描； 支持端口扫描；3.2.1.2 配置管理n 配置管理：配置脆弱性信息收集脚本主要用于收集重要主机系统上与安全相关的系统信息，并通过与脆弱性管理系统中相关安全基线的比较，不符合基线的会被作为弱点汇集到脆弱性管理模块，分析获得系统的安全脆

21、弱性信息。l 对系统配置情况，应支持通过远程登录采集或者是本地安装AGENT进行采集，对于UNIX系统，应主要监控以下配置文件的变化： 主机信息（例如uname、hostid、物理端口、ip等）； 主机补丁信息； 关键配置文档，例如：/.profile /.cshrc /.login /etc/hosts /etc/passwd 等； suid, sgid文件； 可以自行指定文件或者命令作为自定义配置收集；l 对于WINDOWS主要是检查相应的注册表选项,包括： Owner SID； Group SID； DACL； SACL； 通过检查以上的配置文件和注册表选项，监控系统配置的变化。3.2.

22、1.3 完整性检查n 完整性检查：在业务系统处于稳定状态下，完整性检查根据制定的安全策略对指定的文件或网络配置进行读取，并根据策略要求生成相应的基线状态值（文件属性、文件内容、哈希值等）。通过定制完整性检测任务，定时获取受监控数据的当前状态值，与基线状态值进行比较，发现数据偏离，同时将偏离状态通过电子邮件、短信等方式告知安全管理员。l 系统通过比较当前文件属性与基线数据库的差别，提供广泛及快速的变动检查的能力，主要通过以下几个方面实现： 可以支持多种算法，通过对不同签名算法的支持，来保证文件修改的检查； 可以对文件的多种属性进行监控，保证对文件内容以及对文件数据的未授权操作； 可以根据文件的不

23、同赋予不同的严重级别，当检测到文件完整性遭到破坏时，安全管理员可以根据严重级别安排处理工作； 可以支持不同的响应方式，当文件完整性发生变化时，可以通过电子邮件、短信、SYSLOG等方式提醒相关的安全人员；l 对UNIX系统中的文件，检查的属性应包括但不限于以下方面： Permissions Inode number Number of links (i.e. inode reference count) User ID of owner Group ID of owner File type File size Device number of the disk on which the in

24、ode is stored Device number of the device to which the inode points. Number of blocks allocated Access timestamp Modification timestamp Inode creation / modification timestampl 对WINDOWS系统中的文件，检查的属性应包括但不限于以下方面： Archive flag Read only flag Hidden flag Offline flag Temporary flag System flag Directory

25、flag Last access time Last write time Create time File size MS-DOS 8.3 name NTFS Compressed flag NTFS Owner SID NTFS Group SID NTFS DACL NTFS SACL Security descriptor control Size of security descriptor for this object 0 to 4 hashes of the default data stream Number of NTFS data streams 0 to 4 hashe

26、s of non-default data streamsl 另外，在WINDOWS系统中，应该支持对以下的注册表选项的检查： Registry type: key or value Owner SID Group SID DACL SACL Name of class Number of subkeys Maximum length of subkey name Maximum length of classname Number of values Maximum length of the value name Maximum length of data for any value i

27、n the key Security descriptor control Size of security descriptor Last write time Registry type: key or value Type of value data Length of value datal 对于完整性检查算法，要求如下： 文本逐行比对 数据的CRC-32 hash 数据的MD5 hash 数据的SHA hash 数据的HAVAL hashl 对系统端口的管理主要从以下几个方面： 端口发现和变更管理ISMP系统可以自动收集服务器上开放的端口，并记录每次的收集情况，收集完成后对比端口的变

28、化，并对安全管理员作出提醒； 端口登记将安全对象上正在使用和开放的端口进行登记，并记录端口运行服务和使用情况；3.2.2 安全事件管理事件管理中呈现到系统中的是经过收集、过滤、归并、分析处理后的安全威胁数据，分别对应安全事件收集、安全事件标准化、安全事件过滤、安全事件归并和安全事件关联的功能。安全事件管理模块功能包括但不限于以下功能：n 事件管理模块应该能够查看所有的事件，包括高风险事件、低风险事件；可以查看历史事件，可以查看实时事件；n 系统应该把事件按照不同的安全对象来源进行分类，例如可以分为“UNIX主机、WINDOWS主机、路由器和交换机、防火墙、NIDS”等类；n 可以对历史事件进行

29、查询；例如针对具体设备（某个IP地址）查询它在一定时期内的所有事件，或者根据事件的关键词查询所有的事件信息；n 可以查看所有的实时事件。考虑到实时事件的数量巨大，模块应该提供过滤功能，在屏幕上只显示符合过滤条件的事件。过滤条件用户可以自定义，定义好的过滤规则能够保存在系统内，下次登录系统后还可以使用。n 应可以依据设定的审计策略对标准化的安全事件进行审计分析。基于审计策略对接收到的安全事件进行实时审计，每条审计事件依次匹配审计策略，如果匹配到某设计策略，系统负责完成该策略的响应动作。安全事件通过采集组件采集完成后，首先进行安全事件的标准化，然后匹配相应的过滤条件完成安全事件的过滤，过滤完成后对

30、满足条件的安全事件进行归并，提取主要有用安全信息，对归并后的安全进行再与安全对象关联、安全事件关联等，进行关联分析，从而完成整个安全事件的处理过程。3.2.2.1 事件收集安全事件监控对象应不仅涵盖网络设备、安全设备和主机系统，而且还应涵盖已经部署的安全系统，包括防病毒系统、终端管理系统、认证系统等，对这些系统的日志和事件进行集中收集。包括但不限于现有设备l 要求支持对以下路由和交换设备的安全事件实时监控和分析： Cisco Juniper Radware 华为 Extreme 港湾l 要求支持对以下主机系统安全事件的实时监控和分析： Windows 2000、Windows2003、Wind

31、ows XP等 Sun Solaris系列 HP UNIX 系列 IBM AIX系列 LINUX SCOl 要求支持以下主流防火墙的实时监控和分析： Cisco PIX Nokia CheckPoint NG Jiniper/NetScreen Linktrustl 要求支持以下主流IDS/IPS的实时监控和分析： 安氏（LinkTrust） 启明星辰 Juniper 绿盟（冰之眼ICEYE） Cisco SecuIDS ISS RealSecurel 要求支持以下主流漏洞扫描的实时监控和分析： 安氏 绿盟 ISS 启明星辰l 要求支持以下主流防病毒产品的实时监控和分析 TrendMicro

32、McAfee Symantec CA Killl 要求能接收来自网管系统的实时事件信息 HP OpenView Cisco CiscoWorks IBM Tivolil 要求支持多种应用系统 Tomcat APACHE ISSl 考虑网络设备管理信息的通用性，要求代理通过通用协议或应用服务收集设备信息，具体要求支持： SNMP v1、SNMP v2、SNMP v3 SNMP Trap SysLog ODBC 网络SOCKET接口 File 第三方agent或者应用程序等安全事件收集方式l 应对信息进行标准化（正则化）处理，系统应支持事件的标准化，可根据安全策略与不同属性组合对安全事件重新定级。

33、标准化后的事件必须含有以下属性：序号属 性描 述1事件编号该事件的唯一编号，由系统自动产生2事件名称事件名3事件内容事件原始信息4事件类型事件类别5设备地址产生该事件的设备地址6设备名称设备名称7设备类型该设备的设备类型8严重级别事件在重新定义后的严重级别9原始级别事件的原始严重级别10事件时间事件进入安全管理系统的时间11原始时间事件产生时的时间12协议事件相关的协议名13源地址事件的源地址14源子网掩码事件源地址的子网掩码15目的地址事件的目的地址16目的子网掩码事件目的地址的子网掩码17源主机名事件源主机名称18目的主机名事件目的主机名称19源端口事件的源端口20目的端口事件的目的端口2

34、1源进程事件源相关的进程名22目的进程事件目的相关的进程名23源用户事件源相关的用户名24目的用户事件目的相关的用户名25其它地址事件相关的其他地址26其它端口事件相关的其他端口27安全类别安全行为类别，如病毒/木马、认证/访问/授权、拒绝服务等28安全子类对安全大类进行细分29行为目标描述安全事件所针对的目标系统的名称30行为影响描述安全事件的行为对目标系统所造成的影响31Agent名称系统收集该事件的Agent名称l 应支持代理方式将使用私有IP设备采集的事件信息穿越防火墙传送指定的事件分析器上；l 应可定制过滤策略，可根据以下条件定制组合过滤策略； 监控对象 事件类型 紧急程度 发生时间

35、 攻击事件的发生源地址 攻击事件的目标地址 通信协议类型 事件刷新的时间间隔 用户自定义l 卖方需说明：以往成功案例中处理过的最大事件量；l 支持多采集服务器进行采集分析；l 列举事件监视器能够支持的产品列表，详细说明对不支持的产品如何开发agent，以及开发进度； 3.2.2.2 事件分析l 支持事件合并，能够按照指定条件将多条事件合并成一条，并记录总条数，要求支持指定按照第一条归并或者最后一条进行归并，归并可以按照一定时间内或者条数达到某一数量来触发；l 支持安全事件的横向关联分析，即可以根据同一时间里，发生的安全事件进行聚合，实现基于事件、基于资产和基于知识的关联分析。具体要求如下： 根

36、据攻击源进行信息聚合分析； 根据攻击目标进行信息聚合分析； 根据受攻击的设备类型进行信息聚合分析； 根据受攻击的操作系统类型及版本信息进行聚合分析； 根据安全事件类型进行聚合分析； 根据用户的策略定制； 根据特定时间要求和用户策略进行横向事后关联分析。l 支持安全事件的纵向关联分析，即可以根据安全事件发生的因果关系，进行逻辑上关联分析。具体要求如下： 具备常见网络攻击行为分析数据库，包括DDOS攻击、网络信息嗅探、漏洞扫描、网络蠕虫、木马攻击等常见网络攻击行为的纵向逻辑分析； 具备自定义网络攻击行为功能，可以通过可视化的流程图的定义某种网络攻击行为； 给出事件关联相关度的定量分析； 可根据网络

37、安全的动态情况，自适应过滤相关度较低的事件； 可根据用户过滤策略过滤事件；l 支持对下列安全事件类型的分析 DDOS攻击 缓冲区溢出攻击 网络蠕虫 邮件病毒 垃圾邮件 Spoofing 非授权访问 企图入侵行为 木马 非法扫描 可疑URL 用户定义类型l 卖方需说明系统实现基于事件、基于资产和基于知识的关联分析的具体原理和规则定义方法；l 所有事件可以转发给风险管理系统进行进一步的分析；3.2.2.3 审计与响应l 支持设备管理，可以按照设备查看事件和日志。l 支持日志检索，可是在一定范围内对指定条件检索日志。l 支持日志分析，可以按照指定条件动态分析各种日志排名、分布和关联。l 支持日志审计

38、规则制定和应用，可以将一般事件和审计日志区分开来，审计日志和一般事件支持单独存放。l 现有各种审计规则，支持萨班斯审计。l 支持日志分类，分类可以自定义。l 支持将事件和日志备份和导入。l 支持NTP服务。l 事件报警方式，支持以下方式。 可视化图形显示； SNMP Trap； 邮件，邮件正文需嵌入工单链接； 短信；l 卖方详细列举支持的事件报警方式。l 事件报警级别的定制，安全事件的分级集中展示。l 支持IP设备事件监控的内容和策略定制功能。l 可以对事件监视器的监控内容和策略进行集中化定制；l 可根据设备类型、操作系统版本、网络服务等属性定制监控内容；l 可根据目前常见的攻击事件，定制监控

39、内容；l 可提供用户自定义和策略模板二种方式；l 支持根据不同的安全事件等级，定制不同的响应方式。3.2.2.4 其他要求l 与风险管理的无缝集成，能够与风险管理无缝集成，将安全事件实时传递到风险管理系统中，以进行风险管理。l 系统提供多种报表和审计功能。l 系统自带统计引擎，报表数据通过统计引擎数据生成，而非重原始数据中生成。l 由于UNIX和多数网络设备不支持对SSH、Telnet数据的采集，应该提供解决方案，实现对该类数据采集、实时监控、回放分析功能，保证审计完整性。l 可是实时查看所有采集服务器和核心服务器的状态。l 支持用户权限管理，可以按照功能授权。l 系统自带日志管理，可以管理自

40、身日志。3.2.3 安全告警管理3.2.3.1 安全告警集中呈现l SOC应支持对安全告警的集中呈现，可以在工作台界面进行告警信息的详细描述，告警内容主要应包括但不限于以下内容： 安全告警编号 安全告警名称 安全告警发生的主机 安全告警级别 安全告警发生时间 安全告警确认操作人员 安全告警确认操作时间 安全告警清除操作人员 安全告警清除操作时间 安全告警报送次数 安全告警状态（包括是否确认、是否派单、是否清除） 安全告警内容描述l SOC应支持对告警的统计展示，包括数据分布图、趋势图等。l SOC应支持对告警的图形化显示，在显示界面上可以通过颜色标识、声音、等方式进行安全告警的呈现，告警呈现的

41、方式可以通过规则定义的方式进行配置。l SOC应支持对当前告警、历史告警的检索和查询，可以根据当前告警事件反向追溯派生相关告警的事件和安全对象。3.2.3.2 安全告警规则设置根据告警的性质，SOC把告警生成规则分为四类。l 事件类告警生成规则，告警定义方法： 定义事件匹配方向，分为“先源，然后目标，最后设备地址；仅目标地址；仅设备；全部”四种 定义分析的事件范围，可以通过过滤器设定 选择是否关联，即是否启用定损关联 是否要启用告警触发条件，如按名称、级别一分钟达到60条，才产生告警 设置最终产生的告警名称和级别 是否要做告警追加，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括

42、告警名称、告警规则、严重级别、事件分类、事件子类、事件名称l 漏洞类告警生成规则，告警定义方法： 选择要分析漏洞，这可通过过滤器设定，过滤条件为漏洞名称和漏洞级别 选择是否关联，即是否启用定损关联 设置最终产生的告警名称和级别 是否要做告警追加，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括告警名称、告警规则l 配置变更类告警，告警定义方法： 选择要分析漏洞，这可通过过滤器设定，过滤条件为配置变更名称和配置变更级别 设置最终产生的告警名称和级别 是否要做告警追加，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括告警名称、告警规则l 脆弱性类告警生成规则，定义方法如

43、下 选择要分析的脆弱性，这可通过过滤器设定，过滤条件为脆弱性名称和脆弱性级别 设置最终产生的告警名称和级别 是否要做告警追加，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括告警名称、告警规则。3.2.4 安全响应管理SOC的安全响应管理实现了安全事件从采集、处理、告警到人工的运维处理的自动化和流程化管理，对由安全事件管理模块生成的安全告警，在安全响应模块里进行响应处理。实现安全风险与运维管理的紧密联系。SOC内置响应中心，用户可以定义各种响应条件，支持对满足用户条件的事件触发相应的响应，支持的相应方式应有：SNMP Trap、Syslog、短信、Email、图形化显示、工单、预警等。SOC通过设定的安全告警响应方式形成工作单，发送到安全响应管理模块，安全响应模块按照安全运维的设定流程进行流转并最终到达该告警的负责人，该负责人进行告警事件的处理，在处理过程中，各状态可查看、可追踪。SOC应支持通过规则配置方式实现对工作单的自动化处理：n 自动创建 可以根据安全告警响应规则自动创建安全响应工作单；n 自动分派 能根据事件发生的时间段、地点、性质、设备的关键程度等因素自动确定负责单位或人员，自动响应。例如。上下班时间响应方式不同，不同地区出现的事件响应方式不同等；