安全管理系统(SOC)功能技术规范.doc

中国移动安全管理系统 中国移动安全管理系统 SOC 功能功能需求需求技术规范书技术规范书 中国移动通信集团公司中国移动通信集团公司 20034 年 112 月 中国移动安全管理系统需求技术规范书 2 版本情况版本情况 版本日期执笔人审核人版本说明 0 12003 11 21来晓阳 顾晓峰 丁龙草案 完成系统基本情况描述 0 92004 2 3来晓阳 丁龙根据集团公司意见 初步修订 后的版本 中国移动安全管理系统需求技术规范书 3 目 录 1概述 1 2总论 2 3引用标准 2 4缩略语 3 5网络安全管理现状分析 4 5 1中国移动 CMNET安全管理情况 4 5 1 1 中国移动 CMNet 网络情况 4 5 1 2 中国移动 CMNet 的安全设备部署情况 5 5 1 3 中国移动 DCN 的网络情况 6 5 1 4 DCN 网安全设备部署情况 9 6安全管理系统总体规划 10 6 1安全管理系统整体建设需求 10 6 2安全管理系统的建设目标与建设规划 11 6 3安全管理系统体系结构 14 7集团 省两级模式技术建议 14 8安全管理系统应用部分 17 8 1安全事件的监控管理中心 17 8 1 1 安全事件的采集 18 8 1 2 安全事件的处理 20 8 1 3 安全事件的关联性定义 23 8 1 4 安全事件的实时监视功能 25 8 1 5 安全设备部署的拓扑信息 26 8 1 6 安全事件的统计分析和报表功能 27 8 1 7 安全事件监控管理中心的可扩展性要求 29 8 1 8 安全事件监管中心的处理能力要求 30 8 2信息资产与安全风险管理平台 31 8 2 1 信息资产管理 31 资产漏洞和风险管理 32 中国移动安全管理系统需求技术规范书 4 8 2 2 统计分析 33 8 3安全事件响应管理系统 34 8 3 1 安全工单处理功能 34 8 4网络安全考核管理平台 38 8 5安全策略管理平台 38 8 6网络安全信息管理平台 41 8 7安全软件 补丁 分发管理中心 45 8 8网络异常流量监控与分析功能 45 9安全管理系统自身管理功能要求 46 9 1对网管系统的监控功能 47 9 2网管系统的监控功能 47 9 3网管系统的配置管理 47 9 4系统数据库的管理 48 9 5应用软件版本管理 48 10安全管理系统技术要求 49 10 1基本要求 49 10 2可靠性 49 10 3可用性 49 10 4安全性 49 10 5可维护性 50 10 6扩展性 50 10 7应用软件的可操作性 50 10 8时间同步 51 10 9对传输网络的要求 51 11安全管理系统开放性 接口功能要求 51 11 1系统开放性要求 51 11 2安全设备接口技术要求 52 11 3信息系统互联接口技术要求 52 中国移动安全管理系统需求技术规范书 1 1概述概述 IP 网络是中国移动重要的运营平台和支撑平台 网络安全是保证网络品质 的基础 是企业正常运营的基础和核心 随着中国移动提供的数据服务越来 越多 网络与信息的安全性也日渐重要 但是目前中国移动在网络与信息安 全的管理上仍然存在不少问题 无论是管理模式还是技术手段 都不能很好 的适应业务发展对计算机网络安全提出的挑战 为了回应这一挑战 从技术角度而言 必须建立集中统一的网络安全管理 系统 网路安全管理系统为中国移动对计算机网路安全的管理提供了一个技 术平台 它将在安全事件监控与处置 安全趋势分析和预警 风险管理 安 全管理考核 知识共享等方面提供必要的技术手段 有助于中国移动提高计 算机网络安全管理水平 保证计算机网络安全 适应中国移动业务发展的需 要 本规范首先分析了中国移动网络安全管理工作现状 然后定义了中国移动 网络安全管理系统的体系结构和发展规划 应该具有的功能 包括在网络安 全管理方面功能 系统自身管理功能 以及集团 省两级安全管理系统之间 信息交互功能 本规范还对网络安全管理系统与安全设备 其他信息系统在 信息交互方面提出了基本的技术要求 根据目前的技术现状和安全管理 本规范还制定了网络安全管理系统建设 的长期计划 描述了近期目标 中期目标和远期目标 以对网络安全管理系 统的规划建设进行指导 本规范组织结构如下 一至四章分别说明了规范制定的背景 适用范围 依据和相关缩略语 第五章说明了中国移动的网络安全管理现状进行了说明 第六章阐述了系统建设的总体规划 第七 八章分别从集团 省两级模式 系统应用两个个方面说明了安全管理系统的功能要求 第九 十 十一章分 别说明了系统建设必须满足的安全管理要求 自身管理要求和系统开放性要 求 中国移动安全管理系统需求技术规范书 2 2总论总论 本要求规范全面阐述了中国移动安全管理系统的管理功能需求和建设目标 从组网结构 建设原则 管理范围 功能和技术要求等方面进行了规范性描 述 是中国移动安全管理系统管建设和软件开发的指导性文件 本版本主要 描述近期和中期的功能规范 本规范内容主要描述包括安全管理系统的管理功能 体系结构 集团 省两 级接口 安全设备管理接口 系统互连 系统测试要求规范将在 中国移动 安全管理系统 SOC 接口技术规范中国移动安全 规范 中 国移动安全管理系统 SOC 测试技术规范中国移动安全 规范 中具体描述 起草单位 中国移动通信集团公司 江苏移动通信有限责任公司 安氏互 联网安全系统中国有限公司 起草人 戴忠 刘楠 周智 来晓阳 顾晓峰 林平 丁龙 中国移动通信集团公司保留对此技术规范的解释权和修改权 3引用标准引用标准 下列标准所包含的条文 通过在本标准引用而构成为本标准的条文 本 标准出版时 所有标准均为有效 所有标准均会被修订 使用本标准的各 方应探讨使用下列标准最新版本的可能性 ISO IECISO IEC 1779917799 Information technology Code of practice for information security management ISO IECISO IEC 1333513335 Information technology Guidelines for The Management of IT Security 我国的国家标准 GB 国家军用标准 GJB 公共安全行业标准 GA 行业标准 SJ 等标准作为本项目的参考标准 中国移动安全管理系统需求技术规范书 3 4缩略语缩略语 BOSSBOSSBusiness Operation Support System 商务运营支撑系统 CMNetCMNetChina Mobile Network 中国移动互联网 DCNDCNData Communication network 数据通信网 EOMSEOMSElectronical Operation Maintenance System 电子运行维护系统 IDSIDSIncursion Detection System 入侵监测系统 MISMISManagement Information System 管理信息系统 MPICMPICMobile Personal Information Center 移动个人信息平台 OAOAOffice Automatic 办公自动化 OPSECOPSECOpen Platform for Security 开放安全平台 SNMPSNMPSimple Network Management Protocol 简单网管协议 SYSLOGSYSLOGSystem Log 系统日志 VPNVPNVirtual Private Network 虚拟专用网 XMLXMLExtensible Markup Language 扩展标记语言 中国移动安全管理系统需求技术规范书 4 5 网络安全管理现状分析网络安全管理现状分析 中国移动 IP 网络包括面向公众运营的中国移动互联网 CMNET 和用于支 撑日常运营的企业内部网络 包括 DCN 网 网管网和其他类型的内部网络 这些内部网络上承载着 BOSS OA 网管等信息系统 中国移动的 CMNET 和 DCN 网络均采用了集团 省两级结构部署 这些 IP 网络上均已部署了一定安全设备 并利用厂家管理软件实现了对 安全设备初步的分散管理 下面就对中国移动各类 IP 网络的安全管理情况 进行说明 5 1 中国移动中国移动 CMNet 安全管理情况安全管理情况 5 1 15 1 1 中国移动中国移动 CMNetCMNet 网络情况网络情况 中国移动 CMNet 为两层结构 骨干网和省网 其中骨干网是 IP 网的高速 骨干通路 省网是该 IP 网在各省的组成部分 面向用户接入和本地用户互 联 CMNet 一期工程后 骨干网包括北京 上海 广州 沈阳 武汉 成都 西安七个核心节点 核心节点间形成不完全网状连接 其它省会城市的节点 作为骨干节点 并以多个 2M 电路就近连接至上述七个核心节点中的两个 转接各省业务 中国移动 CMNet 通过骨干网与 ChinaNet CerNet 等其它网 络互联 并通过国际出口与 Internet 互联 在 CMNet 二期扩容中 增设南京节点为核心汇接节点 网络核心节点由七 个增加到八个 南京节点负责汇集济南 天津 合肥等省市的业务量 同时 增加南京至北京 广州两节点的连接 保证核心层安全 到二期工程结束后 网上承载的业务类型包括 互联网接入业务 拨号 专线 VOIP 业务 一次拨号 二次拨号 WAP 业务 短信业务 VPN VPDN 业务等 二期工程后的中国移动 CMNet 网络仍为两级自治域 骨干网为一级自治域 中国移动安全管理系统需求技术规范书 5 省网为一级自治域 骨干网的网络拓扑结构如图 1 所示 北北京京 成成都都 兰兰州州 重重庆庆 贵贵阳阳 长长沙沙杭杭州州 南南昌昌 天天津津 昆昆明明 海海口口 福福州州 合合肥肥 济济南南 南南宁宁 西西宁宁 哈哈尔尔滨滨 石石家家庄庄 太太原原 长长春春 郑郑州州 银银川川 拉拉萨萨 乌乌鲁鲁 木木齐齐 沈沈阳阳 上上海海 广广州州 西西安安 武武汉汉 南南京京 呼呼和和 浩浩特特 沧沧州州 大大连连 青青岛岛 蚌蚌埠埠 鹰鹰潭潭 厦厦门门 宁宁波波 深深圳圳 无无锡锡 上上海海2 天天津津2 洛洛阳阳 CMNET 网络拓扑结构 5 1 25 1 2 中国移动中国移动 CMNetCMNet 的安全设备部署情况的安全设备部署情况 中国移动 CMNET 骨干网在安全紧急工程完成以后 部署了包括防火墙 入 侵检测系统 防病毒系统系统 日志分析系统 安全系统网管在内的安全设 备 具体部署情况如下 防火墙 15 台防火墙 Netscreen 部署在集团公司网管中心和北京 上 海 广州 成都 西安 沈阳 武汉七个核心节点的 ECI 网守 Clarent 网 守 ECI 网关网络边界 入侵检测系统 入侵检测系统 12 套 ISS RealSecure 等 部署在集团公 司网管中心和北京 上海 广州 成都 西安 沈阳 武汉七个核心节点的 ECI 网守 Clarent 网守 ECI 网关网络边界 防病毒系统 防病毒系统系统 80 套 Trend 等 部署在七个核心节点的 Clarent 网守主机上和网管工作站上 日志分析系统 日志分析系统 1 套 Web Trend 部署在集团公司网管中 中国移动安全管理系统需求技术规范书 6 心 对系统内防火墙日志进行收集分析 安全系统网管软件 部署了 3 套安全系统的网管软件 具体如下 a 防火墙集中管理系统 Global Manager Express 部署在集团公司网管中心 完成防火墙的集中管理监控 b 防病毒集中管理系统 Trend TVCS 部署在集团公司网管中心 完成 Trend 防病毒系统集中管理 c 入侵检测管理平台 ISS RealSecure Workgroup Manager 部署在集团公司 和 7 个核心节点 完成入侵检测监控 中国移动各省 CMNET 骨干网在一期工程中部署的安全设备分布情况如下 a 防火墙 配置了两台百兆防火墙以负荷分担方式保护网管中心网段 MPIC 系统也配置了两台百兆防火墙起保护作用 防火墙型号为 Cisco PIX525 或 LinkTurst Cyberwall100 b 入侵检测系统 部署 Realsecure Network Sensor 和 Realsecure OS Sensor 保护网管网段和重要主机 并配备了主控制台软件 c 漏洞检测 安全扫描系统 部署了 ISS SAFEsuite 包括 Internet Scanner System Scanner Database Scanner 负责对网络和网管网段重 要设备进行安全扫描 中国移动安全管理系统需求技术规范书 7 5 1 35 1 3 中国移动中国移动 DCNDCN 的网络情况的网络情况 中国移动 MDCN 是整个中国移动集团内部的业务支撑网 其上承载了以下的业 务系统 a 会议电视系统 b 通信网网管系统 c 计费结算系统 d WAP 计费采集 中国移动安全管理系统需求技术规范书 8 MDCN业务情况示意图 各省公司节点均由一台MartisDXX Single Basic数字交叉连接设备构成 通过2个或4个E1 1 1保护 连接集团公司公司节点 具体组网结构图如下 集团公司节点由集团公司节点由 三台三台MartisDXX Double Basic数数 字交叉连接设备字交叉连接设备 互联构成互联构成 8M8M 8M 北京北京 4 E1 2 E1 2 E1 2 E1 2 E1 2 E12 E1 2 E1 2 E1 2 E1 2 E1 南京南京 武汉武汉 合肥合肥 杭州杭州 福州福州 长沙长沙 南宁南宁 南昌南昌 昆明昆明 海口海口 4 E1 上海上海 2 E1 2 E1 2 E1 2 E1 2 E1 2 E1 2 E1 2 E1 2 E1 天津天津 沈阳沈阳 石家庄石家庄 太原太原 郑州郑州 长春长春 哈尔滨哈尔滨 呼和浩特呼和浩特 济南济南 2 E1 广州广州 2 E1 2 E1 2 E1 2 E1 2 E1 2 E1 2 E1 2 E1 4 E1 重庆重庆 成都成都 西安西安 贵阳贵阳 兰州兰州 拉萨拉萨 银川银川 西宁西宁 乌鲁木齐乌鲁木齐 中国移动安全管理系统需求技术规范书 9 各省 DCN 网网络结构差别较大 一个典型的省 DCN 网拓扑情况如图 省内上承载了 BOSS 系统 短信系统 MIS 系统 OA 系统等一些系列应用系统 DCN 还要与移动公司的内部外部多个系统互联 包括与 CMNet 短信 OA GPRS 等等 银行 证券公司 ICP 合作伙伴 代理商 其它电信运营商等 各省网管网络情况如下 网管系统的网络结构以面向省网管系统和厂家 OMC 系统为主 主要为网络维护工 作服务 省移动网管中心的话务网管系统通过网管网络管理话务网设备 其上承 载话务网管 EOMS 系统 厂家网管系统等系统 省网管网通过 MDCN 与集团公司 网管系统互连 典型的省网管网拓扑示意图如下 case1 case2 155M 1000M 2M case1 case1 CISCO7507 100M R S 省中心 应用系统 应用系统 应用系统 R CISCO 7513 CISCO 7507 155M POS 中国移动安全管理系统需求技术规范书 10 数数据据库库 通通讯讯采采集集 地地市市1 域域控控制制 Web 远远程程 终终端端 业业务务台台 OMC 返返迁迁 集集团团公公司司 DCN 省网管网络图拓扑图省网管网络图拓扑图 5 1 45 1 4 DCNDCN 网安全设备部署情况网安全设备部署情况 集团公司 MDCN 安全设备部署情况 资料从缺 各省公司 DCN 网上已经部署了部分安全产品 部署情况如下 a 防火墙系统 隔离 DCN 网与 Internet 网 防火墙型号为 SUN 公司的 SUNScreen LinkTrust Cyberwall 100 Nokia 740 等型号 b 入侵检测系统 主动探测并阻断攻击企图 保护网段内的服务器 入侵检 测系统保护计费 营业 预付费 网管 MIS 以及的营业 预付费系统 c 防病毒系统 检查和消除网络范围内的病毒 网络版防病毒选择的是 CA 公司的产品 省公司和每个地市各一套 d 安全认证系统 对服务器和网络设备实施集中可靠的认证 两台认证服务 器放置在省公司 负责 DCN 所有重要服务器和骨干网络设备的认证 e 访问控制系统 对关键主机及资源的保护 访问控制系统选择的 CA 公司 的产品 省公司网管网上安全产品部署情况如下 Comment zz1 只是江苏移动的特 殊情况 在描述上宜进一步斟酌 Comment zz2 明确 SOC 与安全 设备的层次关系 中国移动安全管理系统需求技术规范书 11 a 防火墙系统 隔离网管网与 DCN 网 防火墙型号为 SUN 公司的 SUNScreen 安氏 LinkTrust Cyberwall 100 b 入侵检测系统 主动探测并阻断攻击企图 保护网管系统核心网段内服务 器 主要产品类型为 ISS Linktrust Network Defender100 ISS Linktrust Network DefenderGiga CA 公司产品 c 防病毒系统 检查和消除全省网管网络范围内的病毒 主要系统类型为 Symantec AntiVirus Enterprise Edition TrendMicro TVCS Kaspersky 等 6安全管理系统安全管理系统总体规划总体规划 6 1 安全管理系统整体建设需求安全管理系统整体建设需求 安全管理系统的整体建设需求可以概括如下 建立安全事件监控中心 在各类安全设备 安全软件 系统软件之上建立安全 事件的集中监控体系 建立信息资产与安全风险管理中心 按照 ISO17799 BS7799 ISO13335 的要 求 为建立统一的信息资产安全管理和信息安全风险评估与管理体系提供技术支 撑平台 建立安全事件预警中心 提供安全趋势分析和预警机制 建立安全知识库 为安全管理相关知识经验的积累与共享提供技术平台 建立集团 省公司两级安全运行管理模式的的技术平台 为集团 省两级安全 管理工作提供技术支撑 为安全管理工作的考核提供技术手段 实现与其它信息系统交换和共享信息 提供与其它系统集成的接口 以便与其 它系统一起协同保证中国移动网络和信息系统的正常运行 以及支持公司的运营 中国移动安全管理系统需求技术规范书 12 与业务发展 安全管理系统从三个层面考虑 信息资产 安全相关设备和系统 安全管理中 心系统 SOC 信息资产泛指中国移动公司认为有价值的 需要纳入管理的任何硬件设备和软 件系统 包括重要的服务器和工作站 网络设备 数据库系统 各种应用业务系 统等 安全相关设备和系统包括 为了保证信息资产的安全 部署到中国移动各个网 络 系统的防火墙 入侵检测设备 防病毒系统 访问控制系统等 安全管理中心采取集中管理的方式 在更高的层面上接收来在安全相关设备或 者系统报送来的各种安全事件 同时也支持从信息资产直接采集其自身产生的各 种和安全有关的日志 在集中收集到各种安全事件的基础上 安全管理中心负责 中国移动安全管理系统需求技术规范书 13 对这些事件进行深层的分析 统计和关联 提供处理方法和建议 安全管理中心包括安全事件监控中心 信息资产与安全风险管理中心 安全知 识管理 安全策略和配置中心等核心功能 同时应该具备方便的自身设置 用户 权限管理 系统维护等附加功能 安全信息采集模块 数据库系统 安全 事件 集中 监控 安全 事件 处理 安全 知识 管理 风险 管理 报表分析 接口 管理 工单 管理 维护 工具 配置 和 策略 管理 包括资产管理 漏洞管理 威胁 管理 安全预警 等功能 定义各种安 全管理的策 略 管理配 置信息等 根据收集的 安全信息创 建和管理工 单 提供整个 soc系统地 维护工具 针对各种安全相 关内容提供灵活 的报表查询分析 统计功能 管理不同级别的 soc通信以及和 其他系统数据交 换 如网管系统 建立安全 知识库 实现安全 知识的发 布 保 存 共 享 检索 等功能 用户 权限 管理 包括事件的格 式化 过滤 关联分析 响 应等功能 其中数据库系统负责存储收集到的各种安全事件或者日志 安全漏洞信息 风险 评估结果 以及各种配置信息 安全信息采集模块负责采集各种安全相关的信息 包括从安全设备 系统 主 机 应用系统收集到的事件和日志 风险漏洞评估结果等 安全信息采集模块把 采集的各种信息转发给事件监视模块和时间处理模块 并且把历史事件保存到数 据库系统中 事件集中监视模块实时显示来自所有设备或者系统的原始安全事件和经过过滤 关联分析后产生的新的事件 Comment zz3 不要强调一个 中国移动安全管理系统需求技术规范书 14 安全事件处理模块负责对收集到的各种安全事件进行标准化处理 进行相应的 过滤 对事件进行关联分析和严重程度升级 必要时针对事件的严重程度做出必 要的响应措施 风险管理模块包括信息资产管理 漏洞管理 威胁管理等功能 提供各种信息 的导入和更新工具 并提供丰富的查询统计分析功能 工单管理模块根据收集到的各种安全信息 以及事件处理模块的分析结果创建 安全工单 并管理整个工单的派发流程 配置策略管理模块负责定义各种安全策略 管理配置信息 包括事件关联的规 则定义 企业安全策略的定义和维护 产品配置的信息设置 保存 检索等功能 6 2 安全管理系统安全管理系统建设原则建设原则总体技术要求总体技术要求 在中国移动内部建设一个统一的安全管理平台 即 SOC 平台 将技术手段与 管理手段进行充分整合 发挥管理平台在网络安全管理的整体优势 该系统建设以标准化 集中化 层次化 开放性为原则 系统具有充分的扩 展性和可剪裁性 能够适应公司内部不同规模 特性的网络环境 能够实现系统 功能的平滑升级 同时系统应保证与各类信息化系统能够实现有效的信息共享和 交流要做到上下贯通 左右联网 通过 SOC 平台将公司安全体系进行整合管理 将安全管理的主要工作信息化 为全局性的安全管理提供技术手段 提高安全管理 维护的水平 优化安全工 作流程 提供准备判断安全事件原因的技术手段 缩短安全事件处理的响应时 间和处理时间 保证业务网络 支撑网络 业务系统以及公司整个信息化系统的 安全高效的运行 有效支持客户服务水平的提高 中国移动安全管理系统需求技术规范书 15 6 3 安全管理系统的建设目标与建设规划安全管理系统的建设目标与建设规划 安全管理系统建设是一项长期的艰巨的任务 如何使 SOC 的各项功能尽 快完善起来 使 SOC 作为网络安全工作的集中体现融合到企业的各项业务和 生产中去 是非常具有挑战性的工作 也是具有一定风险的项目 综合考虑实际工作的需求 经验积累的情况 当前的技术条件以及相关 产品的成熟度 安全管理系统的建设工作应该按照分阶段 有重点的建设方 式来规划 确定各阶段工作的重点 集中力量突破重点建设目标 保证阶段 性目标的达成 建设的同时需要注意完善相关的管理制度和流程 保证安全 管理系统与公司业务的有机融合和有效使用 可以将 SOC 的建设分为三个阶段性目标来实现 分别是近期目标 中期 目标和长期目标 近期目标 1 2 年 是以较为成熟的相关技术 产品为基础 根据当前 最迫切的安全管理工作需求制定 重点解决安全管理系统的有无问题 去掉 中期目标 2 3 是在近期目标基础上提高系统内部集成度和可用度 扩大管理范围 增强各功能模块 初步实现与其他信息系统的交互 重点解 决安全管理系统的可用性问题 长期目标是作为 2 年 3 5 年以及更为长期的安全建设的目标 实现安 全管理系统的集成化 自动化 智能化 保证信息 知识充分的挖掘 共享 为高水平管理工作和高效率的安全响应工作提供良好的技术平台 近期目标近期目标 近期目标集中在六个方面 一定的安全事件集中收集和处理能力 基本 的资产和风险管理体系 安全知识共享体系 基本的安全事件响应管理系统 集中的安全设备配置管理 初步的两级管理模式 它们的具体描述如下 Comment zz4 增加安全告警与相 应信息资产状态数据的关联分析 中国移动安全管理系统需求技术规范书 16 一定基本的的安全事件集中收集和处理监控 统一收集安全设备产生的安 全事件 实现统一存储 呈现 统计 查询 分析 过滤 简单关联 报告生成等功能 声光告警 自动通知 基本的资产和风险管理体系 资产信息 资产 人员 漏洞配置管理 统一管理信息资产 汇总安全评估结果 建立风险评估模型 提供资产 和风险的查询 统计 分析功能 安全知识共享体系库 建立安全情报中心和知识库 侧重安全预警平台 包括 最新安全知识的收集和共享 最新的漏洞信息和安全技术 实现 安全技术的交流和培训 持续更新发展的知识和信息是维持高水平安全 运行的保证 基本的安全事件运行系统响应管理系统 规范安全事件响应流程 改善安 全响应工作效率 提高处理水平 缩短安全响应的响应时限 为安全事 件响应提供技术及知识方面的支持 并提供一定的与安全事件管理 资 产风险管理的交互 关联功能 集中的安全设备配置管理 将各类安全设备的管理工具集中安装 管理 提高各管理工具的维护管理水平 提高安全管理工作效率 建议去掉 改成策略管理平台 保存 发布 集团 省两级接口 实现初步的各省数据汇总上报功能 能将省级安全管 理系统中的数据在统计汇总后定期上报集团安全管理系统 集团安全管 理系统中提供查询和进一步的汇总 统计分析功能 中期目标中期目标 SOC 建设的中期目标包含六个方面的内容 它们的具体描述如下 配置管理的离线 采集与审计 实现 对安全设备的信息 相应的各种属 性和安全策略进行集中的存储 查询 并从知识库中取得安全策略配置 的相关知识 中国移动安全管理系统需求技术规范书 17 全面的风险 事件与响应管理的联动关联性 建立起对应某个信息资产的 安全事件 安全响应视图 帮助实现关键信息资产快速风险控制和保护 安全软件 补丁管理 实现安全相关软件 补丁安装情况的管理功能 建立 安全相关软件 补丁信息库 提供查询 统计 分析功能 提供初步的分 发功能 实现与资产和风险管理系统交互和关联 安全事件响应管理系统与网管系统的联动 安全事件及其响应跟踪系统和 综合数据网管系统以及电子运行维护系统 EOMS 结合起来 更有效的 利用系统和人力资源 提高防护水平 实现安全事件管理功能对更多安全设备的覆盖 提高系统的可扩展性 将 已经逐步成熟的风险管理体系扩展覆盖到更多的安全设备 并能从其他 系统中取得相关的安全事件信息 如综合数据网管系统 功能更强的集团 省两级接口 能将符合预设条件的安全事件及时上报集 团安全管理系统 长期目标长期目标 实现丰富的安全告警关联 实现丰富的安全告警关联 长期目标是 SOC 系统建设和网络安全的努力方向 这里提出以下几点技术目 标 1 配置管理的自动化 配置管理不再局限于离线的 静态的保存和更新 而是可以将安全策略分解后直接 自动地应用到相应的安全设备上面去 配置管理的自动化可以极大的减小网络安全的 时间窗口 大大提高系 统的防护能力 2 知识管理的体系化 知识管理融入到企业运转的各个层面 网络信息 安全得到所有人的重视 从领导层和技术层 业务层面都能深刻领会网 络安全策略 并自觉贯彻到自己的生产实践中去 大家的网络安全知识 得到充分的共享和开发 网络安全事件和响应都可以得到很好的纪录 中国移动安全管理系统需求技术规范书 18 分析 学习 反映到以后的策略和管理办法 流程中去 3 风险管理的自动化 自动的搜集全网漏洞信息 分析全网资产安全风 险 对安全情况做出预警 并通过系统安全软件统一完成全网的补丁加 载 安全加固工作 有效的提高安全工作效率 减小网络安全的 时间 窗口 大大提高系统的防护能力 4 相关性和数据挖掘实现的趋势分析 决策支持 通过对海量的安全事 件和各种安全信息的关联分析 深入挖掘 帮助领导层正确判断当前面 临的网络安全威胁和风险水平 帮助做出正确的策略和资源调整 最大 限度的利用网络信息安全的投资 5 与其它信息系统的高度融合 实现与其他信息系统的有机融合 有效 的利用维护 管理 财务等各方面信息提高安全管理水平 安全管理的 决策分析和知识经验将成为公司管理的重要组成部分 7集团集团 省两级模式技术建议省两级模式技术建议 7 1 两两级级极极结构管理模式结构管理模式 安全管理系统将采用二级管理组织架构 集团公司安全管理系统和省级安全管 理系统 在北京集团公司网管中心建设集团安全管理系统 在各省建设相应的省 级安全管理系统作为二级管理单元 全国 SOC 中心设置在集团公司网管中心 其管理对象为 包括骨干网设备 支撑系统 关键业务系统 其中支撑系统包括网管系统 MIS 系统 BOSS 系统等各类支撑系统等 管理管理职责职责范围和主要功能范围和主要功能 全国中心负责骨干网络和集团公司直接管理的所有业务系统的安全运行管理 并负责全网的安全策略制订 接受上报的安全事件 指导省中心的安全管理运作 处理省安全事件和国际事件 中国移动安全管理系统需求技术规范书 19 省 SOC 中心设置在各省网管中心公司 其管理对象 包括省骨干网络设备 支撑系统 关键业务系统 支撑系统包括网管系统 BOSS 系统 MIS 系统 OA 系统等 目前不宜提一 个 SOC 管理所有的支撑系统 管理职责管理职责 省中心负责省网以及省中心业务系统的安全运行管理 接受全国中心的业务领 导 制定省网内具体的安全策略及实施方案 向全国中心上报必要的安全事件和 其他统计结果 省公司安全管理系统功能结构如下 资产漏洞 其它安全事件源 安全事件 安全事件 资产漏洞与风险 安全事件记录 安全知识 漏洞信息 安全知识管理平台 资产与风险管理平台 安全事件响应管理系统 安全事件集中监控系统 xitong 防火墙IDS EOMS 工单 漏洞评估工具 网络安全管理系统 省级节点 7 2 两级结构网络结构两级结构网络结构 根据安全管理系统建设和管理需要 其网络组织架构也将采用二级网络结构 全国 SOC 中心设置在北京 各省 SOC 中心与全国中心之间通过 MDCN 或者 VPN 等 中国移动安全管理系统需求技术规范书 20 方式进行互联 具体要求如下 全国中心 SOC 中心作为内部管理网络的一个中心节点 其他 SOC 中心作为二级 节点 要求允许各个节点为内部管理网络可识别节点 网中各节点均应保证可与 其它节点连通 需要通过对路由协议和路由策略的设置 应能要求保证网络的连通性 可达性 应实现网内管理数据业务流向分布的均匀性 需要对网络编址详细规划方案 以实现最佳的网络内地址分配及流量分布 网 络系统的编址方案要求利用 CIDR 和可变长子网掩码技术 需要对网络设备域名 服务器域名等的设置方法 命名规则进行规划 具体通信管理方式有带内管理和带外管理二种方式 SOC 中心管理其管理范围内 IP 网络带设备 系统等管理对象时采用带内管理 是方式 例如 全国 SOC 中心所辖的骨干网路由设备 支撑系统 关键业务系统 等 在各个 SOC 中心之间传递安全管理信息时使用带外管理方式 全国 SOC 中心向 省级 SOC 中心下达安全事件协查信息时 将采用带外管理方式进行通信 7 3 两级结构信息交互模型两级结构信息交互模型 集团公司与省公司两级安全管理系统之间主要传递以下四类信息 a 安全管理报表上报 发布 安全事件统计报表 资产风险统计报表 b 安全事件上报 c 安全事件处理工单流转 d 安全知识库同步 提交 e 应该明确集团公司向下发布的预警信漏洞信息等等内容 中国移动安全管理系统需求技术规范书 21 7 4 两级结构信息传递技术方案两级结构信息传递技术方案 按照两级结构传递的信息模型 集团 省两级之间采用以下的技术手段传递信息 安全管理报表以标准格式 XML 方式保存 集团公司安全管理系统定期查询省公 司安全管理系统接口服务器 安全报表格式和 XML 文件格式由相关技术规范具体 定义 集团公司报表通过 WEB 方式发布 安全事件上报通过消息方式转发 根据对可靠性和效率的需求 选择具体的消 息格式和中间件产品 初步的安全事件处理工单流转 采用 HTML SOAP 方式实现 保证工单的发送 退回和反馈 安全知识库同步 提交 讨论中 8安全管理系统应用部分安全管理系统应用部分 8 1 安全事件的监控管理中心安全事件的监控管理中心 目前中国移动的各级各类网络中部署了大量的安全设备 例如防火墙 入侵检 测设备 IDS 防病毒软件等 这些有不同厂家制造的各种设备都会产生格式不 同的大量的安全日志 同时各级网络中的操作系统 数据库以及应用系统也会产 生很多和安全有关的事项信息 为了更高效地对这些安全信息进行集中管理 第 一时间发现系统安全方面存在的缺陷和潜在的攻击 和确保在最短的时间内采取 补救措施 安全管理中心应该具备强大的安全事件监控管理的能力 即必须有一 个安全事件的监控管理中心 中国移动安全管理系统需求技术规范书 22 8 1 18 1 1安全事件的采集安全事件的采集 安全事件监控管理中心需要采集各类主流安全设备或其它 IT 信息设备产生的 各种与信息安全有关的日志 事件告警等信息 Windows 采集方式采集方式事件源事件源 Check Point OS 390 安全管理中心系统安全管理中心系统 SOC 事 件 采 集 子 系 统 能收集各种常见的安全设备或其它 IT 信息设备产生的各种与信息安全有关的 日志 事件告警等信息 必能够支持以下事件源 1 在移动公司中广泛使用的不同型号 不同厂家的防火墙 入侵检测系统等 安全设备 对该类型设备的支持情况 很大程度上决定了安全事件的采集 是否理想 2 不同厂家的防火墙 入侵检测系统等安全设备 对该类型设备的支持情况 很大程度上决定了安全事件的采集是否理想 3 由于操作系统可以记录重要的安全相关的日志和事件告警 安全事件采集 子系统必须支持在移动公司中广泛使用的各种操作系统 例如 Windows 中国移动安全管理系统需求技术规范书 23 2000 NT 各种版本的 UNIX 系统 LINUX 等 4 各种类型的数据库 例如 ORACLE MS SQL SERVER 数据库的日志也是安 全事件的重要来源 5 防病毒系统 访问控制系统 用户集中管理和认证系统 6 网管系统产生的和安全相关的事件 7 流量监控系统产生的异常流量报警事件 8 其他应用系统产生的 被确认为需要统一监控的安全相关事件 9 能够通过多种方式收集事件源发送的安全事件 系统通过以下方式取得安全事件 1 文件方式可以通过读取事件源的日志文件 来获取其中与安全有关的 信息 2 SNMP trap 接收来自安全设备的 SNMP Trap 的事件 3 Syslog 方式 以 Syslog 方式接收安全事件 4 ODBC 可以通过 ODBC 数据库接口获取事件源存放在各种数据库中的安全相 关信息 5 网络 SOCKET 接口 可以通过 TCP IP 网络 以 Socket 通信的方式获得安 全事件 6 OPSEC 接口 可以接收来自本类型的安全事件服务器发送来的事件 7 提供二次开发的接口 方便用户开发接口程序来接收特定事件源的安全事 件 能够接收到多种类型的安全事件 包含但不限于 1 网络入侵检测系统检测到的攻击行为或异常活动 2 主机入侵检测系统检测到的攻击行为或异常活动 中国移动安全管理系统需求技术规范书 24 3 防火墙检测到的攻击行为或异常活动 4 防病毒软件提供的病毒事件 由于安全管理中心可能需要监管最新的一些安全设备 安全事件采集系统的开 发应该有友好的用户界面 能够快速 有效的开发出适合新设备的接口 来采集 安全事件 8 1 28 1 2网络异常流量监控与分析功能网络异常流量监控与分析功能 当大规模网络攻击发生时 首先表现为网络流量的异常 为了对攻击来源和攻 击目标进行准确的定位 安全管理中心需要做出及时而准确的流量异常报警和安 全响应 安全管理中心的事件监控功能应该能够收集到网络流量监控系统发送的各种报 警事件 网络流量监控对象将包括 SOC 所辖范围内的主要骨干网络设备 包括路由器 和核心交换机 如全国 SOC 中心将监控全国骨干网络中心的所有路由器接口链 路的流量情况 各个监控分析系统部署于全国 SOC 中心内 流量数据来自综合流量数据来自综合 数据网管系统 数据网管系统 1 流量监控应能满足对目前中国移动网络各个层次和设备的网络流量采 集和风险要求 应包括骨干网络的流量监控 各业务系统和支撑系统 局域网流量监控 在骨干网络的流量监控部分应该满足对 Cisco Juniper 设备的 NetFlow 流量采集和分析功能 并且应该保证网 络监控不对被监控网络设备和网络本身性能造成影响 2 为了在网络流量出现异常时做出准确而及时的告警和响应 应满足 网络流量监测的实时性 并在此基础上定义网络正常流量模型 即 首先应通过一定的技术手段 实现对目标网络上流量的监测和历史数 据保存 网络流量监测的事件应至少包括 a 网络流的来源和目标 IP b 源端口和目标端口 中国移动安全管理系统需求技术规范书 25 c 数据包长信息 3 在实时采集网络流量数据的同时 应通过友好 易用的用户界面显 示各种网络流量信息 并实现一定的辅助分析功能 如 TopN 排序 等 4 考虑到定义正常网络流量的特征和范围是网络异常流量检测的重要 步骤和必要前提 因此 应在实时监测网络流量和历史数据保存和分 析的基础上 实现网络正常流量的定义和模型的建立 5 网络异常流量的监测和分析 在网络流量实时监测和正常网络流量 定义的基础上 通过一定的分析模型和算法进行网络流量异常的智能 判断 在发现网络异常流量时用多种方式实现报警或提示 报警的方 式包括 a 控制台信息报警 b 网络图醒目色彩显示报警 c SNMP TRAP 报警 在发现网络异常流量时 应提供相应的深入分析的功能和使用接口 以辅 助网络管理人员在发现网络异常流量时进行威胁来源和目标的准确定位 方 便其进行安全问题的响应处理 8 1 38 1 3安全事件的处理安全事件的处理 1 安全事件的格式化处理 能够集中地 以统一的格式显示搜集上来的安全事件 使安全管理人员和系统 管理人员能及时 全面 方便地了解和识别出信息系统中存在的安全威胁和异常 事件 各种安全事件源的事件格式都不一样 安全事件监控系统必须能够把收集到的 各种类型的事件进行 标准化 格式化 以统一的形式显示和存储 中国移动安全管理系统需求技术规范书 26 安全事件需要包含以下内容 中文名称中文名称说明说明类型类型 序列号产生安全事件的序列号字符串 数值 识别名 ID 安全事件的识别名字符串 事件发生时间该事件发生时间时间 事件收到时间安全事件采集系统收到并记录 该事件的时间 时间 事件修改日期时间 严重程度该事件的严重级别数值 事件名称该事件的名称字符串 事件内容事件的具体内容字符串 事件源名称产生事件的安全设备或者相关 系统的名称 字符串 源 IP 地址 源主机名 目的 IP 地址 各种原始安全事件 统一的格式化处理 安全设备 安全相关系统 安全事件监视工作站 标准的安全事件 安全事件数 据库 标准 的安 全事 件 安全管理 中心系统 中国移动安全管理系统需求技术规范书 27 目的主机名 源端口 目的端口 源用户名 目的用户名 协议 事件源类型产生事件的安全设备或者相关 系统的类型 保留 1 n 保留一些字段 为扩展预留空 间 2 事件严重程度的重定义 由于安全管理中心监视多种类型的安全设备和安全相关系统 各种安全设备和 安全相关系统产生对安全事件的严重程度定义方式 侧重点和表示方式各不相同 安全管理中心可以根据统一的安全策略 按照安全设备识别名 事件类别 事 件级别 事件关联情况等所有可能的条件及各种条件的组合可以对事件严重级别 进行重定义 事件严重级别分为紧急事件 5 critical 主要事件 4 major 次要事 件 3 minor 警告事件 2 warning 3 事件的过滤 安全管理中心对采集到的数据必须有过滤功能 中国移动安全管理系统需求技术规范书 28 对单位时间内发生的大量事件 能按维护要求和管理部门的考评要求及实际管 理情况 对指定安全设备进行告警事件过滤 也可以通过事件严重程度级别 事 件类别 事件标题等事件属性进行过滤 事件数据过滤用于过滤掉从安全设备提取的原始事件信息中监控人员认为不重 要的信息 从而减少轻微告警事件的干扰 以提高监控与处理的效率 可以根据不同的登陆用户应用不同的过滤策略 保证拥有不同管理权限的用户 只能监视和管理相应的安全设备产程的各种安全事件 应能对告警数据过滤的开启状态进行手工设定 事件的过滤设置可以完全过滤掉该类型的安全事件 也可以只针对实时显示进 行过滤 而该事件仍然保存到事件数据库中 这样既给管理员的实时监控提供了 方便 又可以在以后需要的时候察看分析这些事件数据 4 事件的存储 安全管理中心能自动存储所有安全事件记录 原始告警信息在系统中至少保留 一个月以上 经过各种关联后产生的安全事件信息在数据库中至少保留三个月 逾期信息能够用磁带或光盘等介质备 安全事件的存储必须采用高性能 高可靠性的大型商用数据库 保证可以有效 处理大量的 来自整个被管理网络单位的安全事件 存储在数据库中的安全事件 信息能够方便区分出原始事件 关联性事件 事故等不同类别的安全信息 便于 对各种安全事件信息的查询 统一 分析等操作 5 历史安全事件数据的备份和恢复 安全管理系统应该能够对历史安全数据进行备份和恢复 安全管理中心管理人 员能够通过系统提供的操作界面或者执行脚本方便地完成安全事件数据库的备份 和恢复工作 数据备份方式应包括 全备份 对全部安全事件数据进行备份 中国移动安全管理系统需求技术规范书 29 增量备份 对更新的安全事件数据进行备份 建议至少每个月进行一次全备份 备份可以采用磁带的方式 备份的磁带保留 1 年 6 安全事件数据库的维护 安全管理系统应该能够提供事件数据库的维护工具 可以是采用用户界面的方 式 也可以采用脚本的命令行方式 安全事件数据的维护工具必须包含一下功能 a 安全事件数据库运行状况监视功能 包括数据表的信息 先是特定的数据 内容 数据库连接会话信息 操作系统性能情况等 b 可以对具体存放安全事件信息的数据表进行管理 包括现实安全事件表的 空间信息 具体的数据文件存放位置 对数据表进行合并以及增加数据表 的空间等 c 可以对存放安全事件的数据库的日志文件进行管理 包括现实和增加日志 文件等功能 d 能够删除不必要的 或者已经作了备份的安全事件数据 以释放数据空间 8 1 48 1 4安全事件的关联性定义安全事件的关联性定义 安全管理中心收集到的事件种类多 数量大 为了更有效地对这些海量的事件 进行分析和处理 确保第一时间对各种存在的安全问题采取措施 安全管理中心 必须具有强大的事件处理和分析功能 目前对实践进行处理和分析最有效的方法