中国电信网络安全管理平台需求VIP

中国电信网络安全管理平台功能需求中国电信集团公司网络运行与维护事业部2010年9月目录概述31.1前言31.2适用范围31.3术语解释32SOC平台功能及技术需求42.1总体架构42.2数据采集层52.2.1数据采集62.2.2采集管理72.2.3与数据管理层的通讯适配82.3数据管理层82.3.1安全对象管理82.3.2安全事件管理102.3.3安全预警管理152.3.4脆弱性管理172.3.5安全告警管理202.3.6安全响应管理222.3.7安全风险管理232.3.8知识库管理282.3.9报表统计管理302.3.10安全维护作业管理322.3.11系统管理332.4数据呈现层342.5技术要求353SOC平台接口需求353.1接口类型353.1.1内部接口353.1.2外部系统接口383.2接口协议要求39概述1.1 前言为保障IP网络安全，提高网络安全管理水平，促进网络安全管理工作规范化，中国电信需要规范化的网络安全管理平台（以下简称为SOC平台），为网络安全管理工作提供支撑，通过SOC平台能够完成IP网络异常流量监控、安全事件集中监控、安全风险评估、安全事件统计分析等安全工作,，提高了网络安全工作效率，增强了网络安全性。为规范和指导中国电信SOC平台的推广建设工作，满足中国电信各省公司SOC平台的建设需求，集团公司网络运行维护事业部组织相关单位研究制定了本功能需求指引，以保证中国电信SOC平台需求的统一性和规范性。1.2 适用范围本文档适用于指导和规范中国电信集团及各省（自治区、直辖市）公司SOC平台的功能需求。1.3 术语解释术语英文解释安全管理中心(SOC) Security Operation Center安全管理中心是实现网络安全管理的技术支撑平台。它以风险管理为核心，为安全运营和管理提供支撑。安全对象Security Object用于网络安全保护工作的企业网络、设备、应用、数据称为安全对象，安全对象的价值不仅仅包括其采购价值，还包括其受侵害后导致的企业损失。安全事件Security Events由计算机信息系统或者网络中的各种计算机设备，例如主机、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。安全策略Security Policy安全策略是各种论述、规则和准则的集合，用以解释和说明网络资源使用以及网络和业务保护的方式和要求。从用户的角度看，安全策略定义了合法的用户可以作什么，解释说明哪些信息被保护。威胁Threat安全威胁是一种对系统、组织及其安全对象构成潜在破坏能力的可能性因素或者事件。脆弱性Vulnerability存在于被威胁的客体上，可被威胁所利用而导致安全性问题，在实际使用中，漏洞和脆弱性经常被认为等同而不加区分地使用。但在本指导意见中，漏洞是脆弱性的一个子集，专指可通过扫描器发现的脆弱性，其中部分具有国际上标准的CVE编号；而如企业没有安全管理负责人之类的脆弱性则不被认为是漏洞。安全风险Risk安全风险是一种特定的威胁利用脆弱性而引起信息丢失或者损害一种或一组安全对象的可能性。2 SOC平台功能及技术需求2.1 总体架构SOC平台的整体架构从逻辑上可分为三个层次：数据采集层、数据管理层、数据呈现层。同时为了实现SOC平台与其他外部专业安全系统和管理系统的协同，SOC还应具备与外部专业安全系统、支撑系统之间的接口，如下图所示： 图4 SOC平台总体架构 数据呈现层：对SOC平台采集分析数据进行统一呈现，提供相应的Portal登陆查看界面； 数据管理层：以安全风险管理为核心，实现安全对象管理、安全事件管理、安全告警管理、安全预警管理；以及脆弱性管理、安全响应管理、系统管理等。n 安全风险管理是通过对各类安全对象价值数据、威胁出现频率、脆弱性的严重程度与相关防护措施进行有效的定量和定性分析，可以实现安全对象的风险分析和呈现。n 安全对象是SOC平台进行风险管理的对象的统称，安全对象管理实现SOC平台中的安全对象的定义、分类方法、安全对象包含的管理属性信息维护等功能，实现安全对象采集、同步、维护等基本管理功能。n 安全事件管理实现对各类安全对象产生的安全事件收集、安全事件标准化、安全事件过滤、安全事件归并和安全事件关联的功能。通过事件分析实现安全关联预警和呈现。n 安全告警管理主要实现对各种安全对象的安全告警监控管理，并提供监控告警视图的呈现。实现被管安全对象的各类告警信息的可视化、威胁实时展示以及事件报警的图形化提示。根据预先定义好的或者系统自动生成的安全基线模板，对设备安全状态及配置进行监控，对超出基线的变更进行实施监控告警；根据预先定义好的安全运维管理指标，进行实时的数据汇总和分析呈现。n 安全预警管理将获取到的安全威胁通告、高危的脆弱性信息、风险和事件分析获得的对IT环境产生的可能性进行合理的安全对象关联和运维组织、人员关联，实现对可能发生的威胁的提前通告。n 脆弱性管理实现对安全对象的脆弱性的识别、采集、分类和脆弱性级别的赋值管理等内容。n 安全响应管理实现安全事件从采集、处理、告警到人工的运维处理或自动化、流程化管理。n 知识库管理包括威胁库、脆弱性库、事件映射库、安全防护构件库、安全运行经验库管理等。 数据采集层：数据采集层采集数据主要有各类安全资源、对象的安全事件、安全漏洞、安全配置等安全信息，此类信息一般通过syslog、SNMP Trap、FILE、ODBC、SOCKET、XML等标准协议。 外部接口：SOC平台应提供与支撑系统、专业安全系统的外部接口。2.2 数据采集层 数据采集层能够完成对各类安全对象的原始安全数据的采集，在组成形式上数据采集层可以由多种形式的采集功能组件组合构成，支持分布式的采集处理架构；支持代理、无代理等多种采集方式。2.2.1 数据采集1、 应支持对各类安全对象的标准接口协议的适配。实现对包括安全对象的配置、运 行状态、安全事件、脆弱性等数据的采集。数据采集层应支持主流采集协议或接口方式，包括但不限于：n Syslog：采集各版本的unix、windows、linux，及支持Syslog协议的防火墙、路由器、交换机、防病毒和IDS等系统或设备；n SNMP、SNMPTrap V1、V2、V3：采集支持Snmp协议的防火墙、路由器、交换机、防病毒、终端补丁、IDS和应用系统等系统或设备；n FTP：采集开放FTP下载服务的应用系统的日志文件，例如Apache的日志文件；n OPSEC：采集CheckPoint防火墙的日志；n ODBC/JDBC：采集存储到于关系型数据库的应用系统日志；n 通用文件：支持基于文件的日志采集，如通过FTP，NFS或SMB等获得日志文件的方式，并能够通过模板配置完成日志记录的格式化；n 专用日志采集接口：对仅支持专用管理接口的系统，能够支持多种专用API采集接口和通用的采集调度能力，例如脆弱性扫描系统的API或接口XML文件、,Lotus Domino系统的Database API、Windows的WMI；n 主机代理：提供不支持公共通讯协议或需要特殊解析的应用系统的日志采集能力。1、 应支持对各类安全对象的安全事件信息、脆弱性信息、安全设备的配置、性能和运行状态信息的采集。2、 应具备对采集的各类原始数据的预处理功能，包括对原始数据的本地缓存、格式标准化、校验、过滤、归并、压制等功能。（1） 应具备对采集的原始数据的本地缓存能力，自身具备存储原始数据能力，可根据管理策略配置原始数据的保存种类和保存期限；（2） 应具备对不同格式的原始数据进行统一格式化处理的能力，标准化格式内容应至少包括：事件编号、事件原始信息、事件发生源设备地址、目的地址、源端口、目的端口、事件发生时间、事件采集时间、事件原始级别、重定义级别、采集器Agent编号、自定义格式属性等内容；数据采集层应具备针对不同采集对象的采集接口协议设定事件协议规则和格式化内容的能力；（3） 应具备对标准化事件进行数据完整性和合理性校验的能力，支持通过Hash校验等方法等检查事件完整性，合理性校验应支持对事件时间戳、源地址、事件内容的合理性检查；（4） 应具备对标准化事件按照规则策略进行事件过滤处理的能力，可以按照安全对象包含的事件属性进行过滤策略的设置，包括安全对象类型、事件类别、事件原始信息、事件发生源设备地址、目的地址、源端口、目的端口、事件发生时间、事件采集时间、事件原始级别、重定义级别、采集器Agent编号、自定义格式属性等；数据采集层应支持自定义的规则设定， 支持各类正则表达式的过滤规则输入，并能按照事件的属性进行组合来过滤事件；（5） 应具备对标准化事件按照规则策略进行事件归并处理的能力，例如支持按照安全对象如下事件属性进行归并处理：n 事件名称或编号；n 事件类型；n 源进程；n 目标进程；n 攻击源；n 攻击目标地址；n 源端口n 目的端口n 原始时间；n 被攻击设备类型。2.2.2 采集管理1、 应支持采集配置管理功能，支持对采集组件的配置管理，主要包括采集器的增加、修改、删除，采集器的采集范围、采集目标、采集数据类型、采集策略、数据上传目标、数据上传策略等的配置和管理；2、 应支持采集调度管理功能，实现对采集定时任务的调度，接收SOC平台上层模块下发的采集任务，根据任务进行任务调度；3、 应支持数据采集存储和转发功能，对采集到的原始数据信息进行本地存储，以及根据上层模块的采集调用信息进行转发；4、 应支持采集状态侦听功能，侦听数据采集层的通讯适配组件、任务管理组件、接口适配组件的工作状态，采集组件运行状态出现问题时，可自动尝试重起相关进程，也可接收上层模块下发的指令，启动或停止采集组件的功能进程；2.2.3 与数据管理层的通讯适配数据采集层与数据管理层的通信适配组件主要用于同SOC平台的数据管理层进行通信，包括采集策略的获取和采集数据的上传，数据通信方式包括但不限于JMS、RMI、FTP、SOCKET、XML等。数据采集层北向通信适配接口主要包括两大类：l 数据采集层与数据处理层的接口：用于数据采集层与数据管理层之间的通信，实现采集数据和采集器运行状态的上传。l 数据采集层与系统管理层的接口：用于数据采集层与系统管理层之间的通信。实现采集策略和采集控制信息的传递。2.3 数据管理层2.3.1 安全对象管理安全对象是对SOC平台进行风险管理的对象的统称，归属于组织管辖范围的风险发生时的受体统称为安全对象，安全对象类型应包括：主机、网络设备、安全设备、应用系统、数据和信息。安全对象的表现形式为其属性，包括通用属性及特有属性，通用属性为所有安全对象具备基本属性信息，特有属性为特有安全对象具备属性。n 安全对象应包含以下通用属性：l 安全对象等级：安全对象在风险计算中的价值体现值；l 安全对象名称：设备或系统名称；l 安全对象编号：设备或系统编号；l 操作系统：运行在安全对象上的操作系统，例如Windows2000 server、IBM AIX等；l 安全对象类别：安全对象类别包括安全设备、网络设备、服务器、终端等；l IP地址：设备IP地址；l 风险相对改善度：安全对象风险持续改善的程度，初始值为0，后面计算为风险改善的百分比；l 响应人：安全对象维护相关人员；l 责任人：安全对象负责管理人员；l 所属业务系统：安全对象所在业务系统； l 地理位置：安全对象所在的物理地理位置，例如北京、南京、上海等；l 安全风险自动确认阀值：安全对象风险自动确认阀值，处于阀值以下的安全事件系统可以自动确认，处于阀值以上的安全事件必需要人工进行手工确认处理；l 完整性：安全对象完整性赋值；l 机密性：安全对象机密性赋值；l 可用性：安全对象可用性赋值；n 安全对象，除了具备以上通用属性外，对不同类型的安全对象，还应该具有以下特有安全属性：l 主机或终端设备特有安全属性包括： 防病毒属性：设备安装防病毒软件情况，用于查看主机或终端设备的病毒版本和病毒处理情况； 补丁属性：设备已安装及未安装的补丁情况，用于查看补丁情况； 承载业务：该主机上运行的应用软件，如应用系统、数据库等，用于核对服务应用情况； 漏洞属性：主机的漏洞情况，用于查看漏洞情况； 日志属性：主机运行日志记录，用于掌握主机安全运行状态； 账号口令策略属性：主机的账号口令策略； 主机端口配置属性；主机端口使用信息，包括开放的端口和服务； 主机启动项配置变更属性：主机自动启动项的相关配置情况，用于检查主机启动项的完整性； 主机文件配置变更属性：主机中重要文件的相关属性，用于检查重要文件的完整性； 主机进程属性：主机中运行进程的相关情况，用于查看进程状态； 操作系统配置属性：主机中操作系统配置情况，用于检查主机操作系统完整性；l 安全设备特有安全属性包括 日志：安全设备本身的安全日志信息，用于检查安全设备的安全运行信息； 事件：指安全设备上已发生或正在发生的一些活动，需要关联到具体的设备，用于安全对象的事件关联； 流量：安全设备流量信息，用于发现网络上的异常信息； 接口状态：安全设备接口状态信息，如UP或DOWN等，用于检查接口使用状态； 端口：安全设备端口信息，用于检查端口使用状态；l 网络设备特有安全属性包括 补丁：设备已安装及未安装的补丁情况，用于查看补丁情况； 漏洞：网络设备的当前漏洞信息，用于查看漏洞情况，； 日志：网络设备本身的安全日志信息，用于检查网络设备是否正常运行； 接口状态：获取接口状态信息，如UP或DOWN等，用于检查端口使用状态； 账号口令策略：交换机对账号口令的强制要求； 配置变更-配置：网络设备上重要的配置文件，主要网络设备上的配置信息，检查网络设备配置完整性； 事件：指路由器上已发生或正在发生的一些活动，需要关联到具体的设备，用于安全对象的事件关联；l 其他应用系统特有安全属性包括 日志：业务系统本身运行日志，用于检查业务系统本身的运行状态。 安全信息：业务系统采集的与安全相关的信息，例如网管系统采集到的与安全相关的信息。 其他信息：根据应用系统的具体情况，具体确定。n 安全对象管理应提供如下安全对象的管理功能：l 安全对象的增、删、改、EXCEL导入、EXCEL导出及查询功能：l 安全对象的自动发现功能l 安全对象的数据维护，包括安全对象类及安全对象属性的定义和扩展功能l 安全对象的数据采集功能l 安全对象的数据同步功能，支持与资源管理系统、网管系统等的接口实现对安全对象的数据同步导入l 安全对象的树形组织结构展示功能，提供以业务功能、业务系统、设备、重要数据为主要索引的安全对象树形组织结构展示功能，2.3.2 安全事件管理SOC平台安全事件处理流程如下：安全事件原始数据通过SOC平台的数据采集层采集完成后，经过事件标准化、过滤、归并、及关联分析后，生成安全告警事件，从而完成整个安全事件的处理过程。 安全事件标准化安全事件采集过程收集到多种类型的原始事件信息，而这些原始事件的格式和内容不尽相同，SOC平台事件标准化过程将不同的事件数据格式转换成标准的事件格式并对其分类与存储，能够为上层各分析模块提供数据支持。经标准化处理后的各事件包括以下属性：序号名称是否必需说明1发送时安全事件的唯一标识是由SOC 平台产生的，用于标识安全事件的唯一编号。编码方式建议为“安全事件来源单位编码+自由编码”的形式。2发送安全事件的设备IP地址是发送该事件的设备IP地址。3发送安全事件的设备的MAC地址否以分隔符隔离的六字节地址4发送安全事件的设备类型是该设备的设备类型名称。 5报警系统位置是产生事件告警信息的系统位置由省市份四位和单位编码三位组成。具体编码参考安全事件来源单位编码方式。6报警系统ID是产生事件告警信息的系统ID由系统类型两位和手工填写四位构成。7报警系统IP地址是产生该事件告警的设备地址。例如防火墙产生的事件则填写防火墙管理IP8报警系统名称否产生事件告警信息的系统名称9反病毒系统名称ID否为明确病毒命名，该字段说明反病毒系统名称。对于病毒事件类必须填写。10报警系统网络编号是说明产生事件告警信息的系统属于哪个网际网络（即自治域号）。如无自治域号，可以按邮编编写。11基本安全事件类型ID是12详细事件类型ID否13漏洞编号否即漏洞信息的CVE编号，如CVE-2009-055，必须填写14事件名称是格式如 “HTTP_读命令”15协议类型否涉及网络协议的事件必填。参照常用协议类型表，未列出的自行填写。16特征串是详细事件特征串17匹配范围是匹配前多少个字节18事件源IP否按网络字节序存19事件目的IP是按网络字节序存。在病毒、蠕虫类事件中，为感染这些恶意代码的系统IP。20事件源端口否按网络字节序存21事件目的端口否按网络字节序存22发送流量否发送的流量。异常流量事件必填。23接收流量否接收的流量。异常流量事件必填24发送流量单位否如有发送流量，必填。其中，0：KB；1：MB。25接收流量单位否如有发送流量，必填。其中，0：KB；1：MB。26进入数据包数否接收数据包数量。异常流量事件必填。27离开数据包数否发送数据包数量。异常流量事件必填。28故障发生时间是设备发生故障的时间29是否处理否0为未处理，1为已删除，2为已隔离，3为其他已处理情况30事件相关域名和URL否网页挂马、域名劫持、CGI攻击、网络仿冒等涉及域名和URL的事件必填31原始危害等级否直接取原始事件中的某个字符串在初始化部分赋给它即可32归并数量是多个事件归并的数量33事件归并的开始时间是如为归并事件必填；若事件未归并，则表示事件发生或被发现的时间。34事件归并的结束时间是如为归并事件必填35事件内容是事件内容描述(从原始日志中提取得关键字)，例如Syslog包所有原始内容以上是安全事件属性的基本内容，其他属性可以作为对安全事件描述的辅助属性。安全事件的属性是可以扩展订制的，扩展属生与基本属性都可以参与事件的标准化、逻辑判断、条件查询、报表输出等。 安全事件过滤SOC平台应该对安全事件有过滤功能，事件过滤功能可以对接入的已经标准化的安全事件进行进一步过滤筛选。安全事件过滤规则应该包含以下属性：l 过滤规则名称：对过滤规则的描述；l 过滤条件：设定安全事件应该满足的条件；l 响应方式：对满足条件的安全事件的处理方式；下面对安全事件过滤中的过滤条件、响应方式、以及安全事件调整进行统一要求。1. 过滤条件安全事件的过滤条件，根据标准化的安全事件的基本属性，过滤条件至少可以按照以下属性进行过滤：l 安全事件名称；模糊匹配方式，比如包含，等于等；l 设备地址；地址匹配方式，比如等于； l 设备类型名称；模糊匹配方式，比如包含，等于等；l 源地址；地址匹配方式，比如等于；l 源端口；数字匹配方式，比如等于，大于等；l 目的地址；地址匹配方式，比如等于；l 目的端口；数字匹配方式，比如等于，大于等；2. 事件处理方式安全事件过滤完成后，需要进行进一步的处理，这种处理是对满足过滤条件的事件响应方式，安全事件的过滤响应方式至少应包括以下方式：l 丢弃：直接对满足条件的安全事件丢弃，不再写入数据库，也不再进一步处理；l 写入数据库：对满足条件的安全事件存入数据库，作进一步的处理；l 事件信息调整：可以对过滤完成的安全事件相关属性进行相应的修改； 安全事件归并对于过滤后的安全事件，SOC平台应对某些事件进行归并，SOC平台应该提供界面，让用户定义归并规则。归并规则，就是在什么情况下，满足什么条件，对哪些字段进行归并。事件归并功能可以对海量的安全事件依据归并条件进行归并，达到简化安全事件，提高安全事件准确率。1. 安全事件归并规则应该包含以下属性l 归并规则名称：对过滤规则的描述；l 归并条件：设定安全事件应该满足的条件； l 归并字段：归并处理的事件字段，所列字段内容相同的事件才进行归并，比如安全事件的名称，设备地址等事件基本属性；l 归并时间：归并事件的时间窗口，指多长时间进行一次归并；l 归并数目：需要归并事件的数量，指多少事件进行一次归并；l 对被归并事件的处理方式：被归并的事件以何种方式进行处理；l 归并事件的名称：归并后事件的简单描述；l 归并事件的级别：定义归并后事件的严重级别；l 归并事件设置方式：对归并后安全事件的设置方式，包括按照被归并的第一条安全事件填写，按照被归并的最后一条安全事件填写。2. 被归并事件的处理方式l 丢弃：直接将被归并事件全部丢弃，不写入数据库；l 写入数据库：将被归并告警事件写入数据库；3. 可定义的归并策略至少包括如下策略l 根据事件名称进行归并分析；l 根据事件的类型进行归并分析；l 根据源进程进行归并分析；l 根据目标进程进行归并分析；l 根据攻击源进行归并分析；l 根据攻击目标地址进行归并分析；l 根据事件的原始时间进行归并分析；l 根据受攻击的设备类型进行归并分析。 安全事件关联分析安全设备、专业安全系统将大量告警日志传输至SOC平台，其中这些告警中存在许多误告警、冗余告警、不确定效果的告警。分析这些安全告警时可以发现，安全告警间不仅具有优先级的差别，而且许多告警是并不具有真实的威胁，可能只是实质威胁产生的一个连带告警，或者只是威胁实施前期的迹象。为了解决这些问题，可以把各种监控设备的告警集中起来进行关联分析，从大量的告警中过滤掉无用告警；去除掉未对网络造成真正威胁的无用告警，并对真正有威胁的告警进行优先级的确定，从中还可找出违反企业安全策略的违规行为或告警，找出告警间的应该关系。关联分析代替了人们过去手工查找风险事件的工作，大大简化并加快了对安全事件的监控。安全事件关联分析是从经过预处理的安全事件中抽取有用信息，采用基于告警源关联、统计、审计策略、异常、安全对象、行为的关联方法，综合分析安全告警，从而重构整个攻击场景，降低误报率，帮助安全监控人员分析出网络中潜在的安全隐患。通过关联分析可以发现违反安全策略的违规行为或告警。安全事故是发生在整个网络中的由一系列发生在不同位置的安全事件组成的，是一个“多到一”的过程。与之对应的网络管理，则是典型的基于异常的“一对一”的过程，因而安全管理要复杂得多。攻击一般涉及网络中的多个点，并在每个点上留下痕迹。通过调查之后，检测分析人员可以检测和预防攻击。因而，关联是处理多个相关的安全事件，并把多个孤立的安全事件关联为一个相关的安全事件链。关联分析的最终目标，是在大量误报告警与低级别告警中，找出真正有威胁的告警。关联分析代替了人们过去手工查找风险事件的工作，大大简化并加快了对安全事件的监控。在一个功能强大的关联引擎的协助下，安全事件管理员可以将需要查看的几百万简单日志条目减少至仅数个关键事件。SOC安全事件关联分析功能就是采用基于规则、基于统计、基于资产、基于行为的关联方法，综合分析安全告警，来深度挖掘安全隐患、判断安全事件的严重程度。从而重构整个攻击场景，降低误报率，帮助安全监控人员分析出网络中潜在的安全隐患。SOC为满足实现基于规则、基于统计、基于资产、基于行为的关联方法，实现基于业务规则的关联分析审计，应满足以下软件功能要求：n 提供良好的规则编辑管理人机界面，实现关联分析策略的规则化输入n 关联分析引擎具备根据不同的安全管理对象，实现分对象、分类别的事件数据格式化、定义、和编组功能。n 关联分析引擎具备根据规则策略、统计策略、资产策略、行为分析策略、进行事件属性数据检索、对象属性关联的功能n 规则库管理应具有预先定义关联规则功能，同时也具有查询、删除、更新功能；n 关联规则表达式应该支持规则的多级嵌套，前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理；n 规则库管理应提供多种事件关联规则定义的方式，既包括通过简单明了的向导创建关联性规则，也可以允许用户使用类似脚本语言的方式；n 规则库管理对关联规则应该具有良好的移植性，可以按照特定的文件格式，如XML、XLS，导入和导出。n 可根据安全事件发生的因果关系，进行逻辑上关联分析；n 关联分析引擎应具备对已制订的关联规则的合法性校验功能2.3.3 安全预警管理 安全预警管理是根据来自内部预警信息、外部预警信息分析获得对可能发生的威胁的提前通告，安全预警是一种有效预防措施，和安全对象、风险管理等功能紧密联系在一起。 安全预警来源要求该模块可以接收以下来源的预警信息：n 内部预警：来源是SOC平台内部的预警信息，和事件、脆弱性相关联。内部预警根据预先定义的、对事件的响应规则自动或手动生成的。SOC平台能够显示本预警信息的相关事件、脆弱性等信息。SOC平台支持这种预警转化生成工单的处理规则，是否生成工单需要由管理员来确定。n 外部预警：它是由国家上级主管部门、安全服务提供商、防病毒软件提供商和设备软件厂商提供的。这种预警一般相关人员收集录入后，需要由管理人员进行审核后才能成为预警，所以模块必须提供人工审核干预的功能；外部预警包括以下几种类型的预警信息：l 安全通告：由专业安全公司提供的安全通告，是预警信息的主要来源，其包含漏洞、病毒、攻击警报等多种安全预警信息；l 攻击预警：由外部安全预警组织，如国家应急响应中心或者其他组织发现的新类型网络攻击行为；l 漏洞预警：操作系统软件提供商和设备提供商，通常会及时向用户发布其软件漏洞信息，同时提供解决方案；l 病毒预警：成熟的防病毒软件厂商，通常会有病毒监控体系，及时发现新类型的病毒，并提醒用户对病毒特征库进行升级或者采取规避措施。 安全预警属性定义预警信息的属性内容包括但不限于以下内容：n 预警ID：预警的序号； n 预警类型：安全漏洞、异常流量等；n 预警级别：包括紧急、警告、一般；n 预警内容：需要填写的相关预警内容；n 影响范围：可能影响的安全对象范围；n 可能后果：预警中安全事件可能造成的影响后果；n 解决方案：对预警事件的处理解决方案；n 生成时间：预警生成的时间 ；n 发布时间：预警正式发布的时间；n 发布人：发布预警的管理人员；n 预警来源：预警的来源； 安全预警功能n 预警信息显示：在SOC用户的工作区内逐条滚动，以着重方式显示当前的预警信息，预警要求用户做出响应，预警信息在响应后则不再着重显示；n 预警信息经安全管理员甄别后，由系统自动地与安全对象库关联，列出相应受影响的安全对象以及影响的严重程度，并自动通知相应的安全对象责任人；n 预警影响支持按照单个或多个安全对象、按地域、按照业务系统进行发送；n 依据预备预警产生正式预警：在预警信息管理页面中，可以查看到所有系统根据规则生成的预备预警信息，其中一些是必要的预警信息，通过选定某个信息后选择发布，并补充填写一些具体内容后将其通过选定的方式发布；n 手工生成正式预警信息：在人工发布向导的提示下，通过选择预警种类，填写预警的信息，包括预警的级别，可能影响的机器，通知的人员，通知的方式（登录显示、SNMP Traps、email、短信，其中登录显示为必选项），完成预警信息录入过程；n 设定预备预警产生的规则：按照预警的类别分别设置预警自动产生的条件（脆弱性更新时有新的脆弱性发布并达到某个级别；某类威胁的发生密度或增长幅度已经达到某个阀值，流量监控发现流量异常）和生成预警类（直接生成正式预警或生成预备预警），便于系统自动进行预警；n 预警信息除了在SOC平台内显示以提醒相关人员外，还至少提供一种系统外的其他方式通知有关人员，例如可以选择邮件或者短信等方式来通知；n 预警信息一旦输入完毕，应该能够自动关联到受其影响的安全对象范围，然后以某种方式显示给相关用户；n 安全预警必须要在安全管理员审核后再进行发布。2.3.4 脆弱性管理脆弱性是安全对象本身固有的，可被威胁利用、引起安全对象的损失。脆弱性管理功能包括漏洞管理、配置脆弱性管理以及完整性检查。 漏洞管理n 漏洞管理：由系统自身的问题引起的安全风险，如软件BUG、协议缺陷等，SOC平台应具备对此类安全风险的发现及管理功能；n 漏洞信息内容：SOC平台提供的漏洞信息必须包含以下内容：l 系统类型l 系统脆弱性范围l 漏洞名称和编号l 漏洞的描述l 漏洞的解决措施n 漏洞信息来源：SOC平台漏洞信息获取方式需要支持内置扫描器扫描、第三方漏洞扫描产品结果导入、或者其它组织或机构披露的漏洞信息导入三种方式。SOC平台应支持对目前主流漏洞扫描产品扫描结果的导入、分析及处理，扫描结果能够自动导入到SOC平台，无需人工干预，可支持对常见TXT、HTML、XML等扫描结果的导入。 配置脆弱性管理n 配置脆弱性管理：SOC平台收集重要主机系统、网络设备上与安全相关的系统信息，然后通过与配置脆弱性管理模块中相关安全基线的比较，将不符合基线的配置作为弱点汇集到脆弱性管理模块，显示安全对象的安全脆弱性信息；n 安全基线作为主机或网络设备操作系统安全性设置标准，指导设备管理人员或安全管理人员进行设备安全配置，SOC平台通过将收集到的系统信息与安全基线对比，对设备配置的安全合规性进行评估。主机设备与网络设备基线制定可参考以下格式： CISCO配置定时账户自动登出基线示例安全基线名称配置定时账户自动登出安全基线要求项安全基线编号SBL-CiscoRouter-01-01-01 安全基线说明 配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。检测操作步骤TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接登录方式均设置timeout值基线符合性判定依据每种登录方式均设置了timeout值备注 Linux主机root用户远程登陆限制基线示例安全基线名称操作系统Linux远程登录安全基线要求项安全基线编号SBL-Linux-01-01-01 安全基线说明 帐号与口令-root用户远程登录限制检测操作步骤执行：more /etc/securetty，检查Console参数基线符合性判定依据建议在/etc/securetty文件中配置：CONSOLE = /dev/tty01备注n 应支持通过远程登录采集或者是本地安装AGENT进行采集系统配置情况，也可导入第三方配置检查结果进行分析处理；n 配置脆弱性管理功能模块应支持主流网络设备、安全设备及操作系统的各类版本：l 操作系统：包括Windows、AIX、HP Unix、Solaris、Linux等系统l 网络设备：包括华为、Cisco、juniper等厂商的路由及交换机设备l 安全设备：PIX等设备n 针对操作系统，配置检查的主要内容至少包括：l 主机信息（包括主机系统版本、主机名、物理端口、IP等）l 主机补丁信息l 系统账号及口令配置信息l 关键配置文件及目录 l 系统服务及进程l Windows操作系统的关键注册表项目l 系统的自启动项及定时任务l 系统的访问控制策略及日志审计策略等n 针对网络及安全设备，配置检查的主要内容至少包括：l 设备信息（产品厂商、型号、软件版本、端口、IP等）l 设备账号及口令配置信息l 系统配置文件l 设备端口运行及启用情况l 设备访问控制策略及路由情况l 设备日志审计策略等n 配置脆弱性管理模块应支持用户自定义配置脆弱性并生成自己的agent；支持配置检查策略管理，支持对配置脆弱性人工审核。 完整性检查n 完整性检查：在业务系统处于稳定状态下，完整性检查根据制定的安全策略对指定的文件或网络配置进行读取，并根据策略要求生成相应的基线状态值（文件属性、文件内容、哈希值等）。通过定制完整性检测任务，定时获取受监控数据的当前状态值，与基线状态值进行比较，发现数据偏离，同时将偏离状态通过电子邮件、短信等方式告知安全管理员。n 完整性检查的内容主要包括：l 目录l 二进制文件l 配置文件l 进程l 端口l 启动项l 注册表n 支持比较当前文件属性与基线数据库的差别，提供广泛及快速的变动检查的能力，主要通过以下几个方面实现：l 支持MD5、HAVAL、SHA多种算法，通过对不同签名算法的支持，来保证文件修改的检查；l 对文件的多种属性进行监控，保证对文件内容以及对文件数据的未授权操作；l 根据文件的不同赋予不同的严重级别，当检测到文件完整性遭到破坏时，安全管理员可以根据严重级别安排处理工作；l 支持多种响应方式，当文件完整性发生变化时，可以通过电子邮件、短信、SYSLOG等方式提醒相关的安全人员；2.3.5 安全告警管理安全事件在经过一系列的事件处理过程后，根据安全告警规则设置条件，将形成不同级别的安全告警信息。 安全告警规则设置应支持各类安全告警生成规则的设置功能：n 事件类告警生成规则，告警定义方法：l 支持定义事件匹配顺序，分为如下四种a) 先匹配源IP地址，然后匹配目标IP地址，最后匹配设备IP地址；b) 仅匹配目标地址；c) 仅匹配设备IP地址；d) 对安全事件的属性全部匹配。l 支持定义分析的事件范围，可以通过过滤器设定l 支持关联分析功能。l 支持告警触发条件设置，如按名称、级别一分钟达到60条，才产生告警l 支持最终产生的告警名称和级别的定义。l 支持告警追加功能，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括告警名称、告警规则、严重级别、事件分类、事件子类、事件名称n 漏洞类告警生成规则，告警定义方法：l 支持通过过滤器设定过滤条件为漏洞名称和漏洞级别来选择要分析漏洞 l 支持关联分析功能l 支持对告警名称和级别进行设置l 支持告警追加功能，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括告警名称、告警规则n 配置变更类告警，告警定义方法：l 支持通过过滤器设定过滤条件为配置变更名称和配置变更级别来选择要分析的漏洞， l 支持对告警名称和级别进行设置l 支持告警追加功能，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括告警名称、告警规则n 脆弱性类告警生成规则，定义方法如下l 支持通过过滤器设定过滤条件为脆弱性名称和脆弱性级别来选择要分析的漏洞， l 支持对告警名称和级别进行设置l 支持告警追加功能，即如果已有此种告警，不产生新的告警，只计数量，告警追加条件包括告警名称、告警规则 安全告警集中呈现n SOC应支持对安全告警的集中呈现，支持告警信息的详细描述，告警内容主要应包括但不限于以下内容：l 安全告警编号l 安全告警名称l 安全告警的类别 l 安全告警发生的设备l 安全告警级别l 安全告警发生时间l 安全告警确认操作人员l 安全告警确认操作时间l 安全告警清除操作人员l 安全告警清除操作时间l 安全告警报送次数l 安全告警状态（包括是否确认、是否派单、是否清除）l 安全告警内容描述n 应支持对告警的统计展示，包括数据分布图、趋势图等。n 应支持对告警的图形化显示，在显示界面上可以通过颜色标识、声音、等方式进行安全告警的呈现，告警呈现的方式可以通过规则定义的方式进行配置。n 应支持对当前告警、历史告警的检索和查询，可以根据当前告警事件反向追溯派生相关告警的事件和安全对象。n 应支持告警压缩功能，当大量事件导致某一告警重复产生时，应当只针对一个安全对象告警一次，重复的告警以数据累加的形式记录于前一告警中。2.3.6 安全响应管理SOC平台安全响应管理需要实现安全事件从采集、处理、告警到人工的运维处理的自动化和流程化管理，对由安全事件管理模块生成的安全告警，在安全响应模块里进行集中的展现、运维处理和经验积累。实现安全事件与运维管理的紧密联系。 工单运维管理通过安全告警形成工作单，发送到安全响应管理模块，安全响应模块按照安全运维的设定流程进行工单流转并最终到达该告警的负责人，该负责人进行告警事件的处理，在处理过程中，该工作单的处理过程的各个状态可查看、可追踪。为符合中国电信网络安全运维管理的需要，SOC平台在具备系统内部进行安全运维管理的功能要求基础上，应提供和中国电信电子运维系统的接口，实现SOC平台与中国电信整体运维管理的结合。l 支持在工作单生成规则界面中设定安全告警生成工单策略（按照高级级别、告警事件分类、告警来源等），将所需要的告警通过安全运行维护系统传递到告警负责人进行处理；l 支持对安全工作单的 建派退转追闭等处理过程和操作功能。l 支持随时跟踪已发生工作单的执行状态，对工作单的状态显示可包括：已受理、处理中、已分派、已关闭、已退回、已完成、已作废等。l 应支持通过规则配置方式实现对工作单的自动化处理处理：n 自动创建：可以根据安全告警生成工单规则自动创建安全故障维护工单；n 自动分派：能根据事件发生的时间段、地点、性质、设备的关键程度等因素自动确定负责单位或人员，自动派单。例如。上下班时间分派原则不同，不同地区出现的事件分派原则不同等；n 自动流转：能够根据预定义达到流程自动运转，而不许要每个造作人员指定后一级处理人员；n 自动关单：工单处理完成一定时间后没有关闭的，系统可以自动关闭，提高工作效率；n 自动通知：自动工单分派、升级或用户定义的其他条件下自动通知负责人、客户或其他相关人员；n 自动升级：规定时间没有解决的工单可以通过转派给高级支持人员、提升工单优先级、通知领导等方式升级。 安全响应支持SOC平台在安全响应管理中应提供对安全运维人员的有力技术支持，通过快速提供对安全告警信息的数据支持，帮助安全运维工作的开展。l 应支持对工单记载的安全告警信息的快速定位，可以方便地关联查询工单中相关安全对象的属性信息、事件相关漏洞列表、历史事件。l 应支持对工单记载的安全告警信息相关的知识信息、维护历史信息、相关的专家信息的定位和检索，为运维人员提供帮助和指导信息。l 应支持已完成工单历史数据的纪录，可以将相关工单处理信息作为安全事件处理的历史资料进行积累、保存。系统按照一定的格式将工单的相关信息组织成“安全事件处理记录”，连同工单所附的事件处理报告，存入安全知识库。以便于相似事件发生时的信息查询和检索。2.3.7 安全风险管理安全风险管理是安全管理中心的核心,它是以安全对象管理为基础，通过对安全对象价值、安全脆弱性、安全威胁因素关联后计算安全对象的风险值，并对安全对象的风险值实现动态的管理，为实时监控提供相应的管理界面。SOC平台要求能够采用定量和定性结合的风险分析办法实现对业务系统的安全风险评估和计算，定量的风险分析方法就是把构成风险的各个要素和潜在损失的水平赋予某种数值，当度量风险的所有要素（资产价值、威胁频率、脆弱性利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图通过各种数据，以及基于这些数据的计算公式来对安全风险进行分析评估的一种方法综合安全对象价值与安全对象包含的安全因素，安全风险模型如下图所示：图5 安全风险模型 威胁管理.1 威胁的分类和定义威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种，SOC平台主要关注人为因素造成的威胁，威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。.2 威胁的属性定义对威胁的属性描述包括但不限于以下内容：l 威胁项父项IDl 威胁项子项IDl 威胁名称l 威胁描述l 威胁对应已知CVE编号l 威胁可能性l 威胁级别（由威胁可能性与威胁危害程度计算）l 威胁危害程度n 可用性影响值n 保密性影响值n 完整性影响值.3 威胁的赋值威胁的影响赋值，主要考虑威胁对某安全对象造成损失的程度，其威胁的影响度的赋值方法可为参照国际通行做法，将其分为五类进行赋值，具体内容参照下表。赋值简称说明4VH安全对象全部损失，或安全对象已不可用（75%）3H安全对象遭受重大损失（50% 75%）2M安全对象遭受明显损失（25% 50%）1L损失可忍受（25%）