中国电信网络安全管理平台推广与建设指导意见

.3.2。各类接口实现方式建议序号接口类型接口用途接口实现方式数据传递方向接口数据及格式约定1上下级管理接口消息通讯接口JMS（JAVA消息服务）。集团及各省SOC通过JMSAPI来创建、发送、接收和阅读消息系统中的消息。集团SOC及各省SOC的双向通信参考附录……2安全知识库共享同步接口文件方式。各省SOC平台应支持通过FTP方式定期到指定目录获取特定名称的最新知识库文件。集团SOC向各省SOC提供数据参考附录……3预警通告接口WebService方式。集团及各省通过WebService方式到消息中间件发布及轮询相关信息。集团SOC向各省SOC提供数据4集团安全策略信息发布接口WebService方式。集团及各省通过WebService方式到消息中间件发布及轮询相关信息。集团SOC向各省SOC提供数据5各省安全管理工作的考核结果及统计数据发布接口文件方式。各省SOC平台应支持通过FTP方式定期到指定目录获取特定名称的数据文件。集团SOC向各省SOC提供数据6集团下发各省的工单指令？？？集团SOC向各省SOC提供数据7业务系统及资产信息数据库方式。各省SOC应提供ODBC或者JDBC等数据库接口，供集团通过上述接口查询和同步相关信息各省SOC向集团SOC提供数据8风险及告警信息syslog或SnmpTrap方式。各省SOC平台应支持通过标准syslog协议将相关事件及告警信息发送到集团SOC平台的syslog服务器。各省SOC向集团SOC提供数据9文件数据（如集团要求的各类数据或报表等）文件方式。各省SOC平台应支持通过FTP方式将相关文件以约定的名称及格式上传到集团SOC的指定目录。各省SOC向集团SOC提供数据10数据采集接口安全事件采集接口syslog或SnmpTrap方式。各省SOC平台应支持标准SYSLOG及SNMP协议并提供相应服务，在默认或指定端口监听从安全对象上发送过来的相关信息。安全对象向各省SOC平台提供数据11系统漏洞采集接口文件方式。各省SOC平台应支持定期到网络或本地的指定目录提取漏洞扫描系统上传上来的漏洞扫描报告。漏洞扫描系统向各省SOC平台提供数据12设备安全配置采集接口脚本或agent方式。各省的SOC平台应支持通过telnet、ssh等脚本或者agent程序主动到设备上获取安全配置信息。SOC平台主动访问设备获取，或者由agent程序向SOC平台发送。13外部接口数据导入接口文件方式。各省SOC平台应支持定期到网络或本地的指定目录提取相关文件数据。SOC从外部数据源获取特定数据。14电子工单系统接口根据实际情况选择接口协议或进行定制开发实现。SOC将安全告警信息转发到工单系统进行处理。15NOC系统接口根据实际情况选择接口协议或进行定制开发实现。SOC向NOC提供其关心的安全告警信息，NOC向SOC提供相关的安全信息（如事件，告警，配置，预警等）16其他外部系统接口系统根据实际情况选择接口协议。部分系统通过定制开发提供接口实现。SOC平台建设策略建设策略根据集团的相关要求，各省应有主次、分步骤稳步推进省级SOC平台的建设，从以下三个方面进行考虑：分阶段建设各省可按照以下三个阶段分步开展SOC平台的建设：初期工作重点尽快开展SOC平台建设，主要实现为IP网提供基本安全信息管理服务的功能，包括安全事件管理、异常流量监控管理、安全脆弱性管理、安全风险管理、安全策略管理、垃圾邮件投诉管理、安全预警、应急响应管理等基本功能；建立SOC平台工作流程，实现SOC平台与电子工单系统接口；使SOC平台具备一定的业务管理能力，建立安全业务与SOC平台接口。中期工作重点进一步扩大SOC平台的管控范围，根据本省实际需求将DCN、OA等内部网络和系统逐步纳入SOC平台管控；进一步完善SOC平台的功能，通过建立僵尸网络监控系统、蜜罐系统等关键技术装备，实现对大网异常流量、Botnet网络等突出安全问题的监控、分析和处理，初步形成大网集中管控能力，同时进一步完善网络安全事件的防范、监视分析、应急响应、控制处理等能力；进一步完善SOC平台的业务管理能力，将本省开展的安全业务纳入SOC平台管理范围；实现SOC平台的业务提供能力，开始向外部用户开展安全代维业务。远期工作重点实现对IP网、电信内部网络和系统、电信外部客户网络和系统的统一安全管理和服务能力，以发展安全代维服务为工作重点，逐步形成中国电信安全代维服务品牌。按服务对象区分建设对于中国电信IP网，目前网络安全问题主要包括垃圾邮件、异常流量（包括DDOS攻击、虚假源地址、病毒等）、域名劫持和DNS安全威胁、僵尸网络打击、钓鱼网站、路由劫持等，其中异常流量是影响IP网正常运行的一个重要安全问题，因此应重点加强对异常流量的监控和分析，同时通过反垃圾邮件、DNS和僵尸网络的监控、路由监控等功能的建设来提高IP网的安全性。另外，由于IP网中的网络设备相对较为稳定，安全脆弱性问题远不如主机系统突出，因此脆弱性管理功能可仅部署在关键业务支撑系统。对于电信内部网络，其主要安全问题在于网络内部的流量攻击以及网络内部各主机系统的安全漏洞和口令安全问题，因此应重点加强异常流量监控和流量过滤功能以及脆弱性管理功能。对于外部接入用户，流量监控主要在用户网络出口处提供流量过滤功能，同时加强对网络安全脆弱性的管理，可考虑为其提供DDOS攻击防御业务、安全网关业务等电信级安全业务，并通过SOC平台开展安全代维业务。按各省实际情况建设对已完成SOC平台建设的省公司，可根据本指导意见的要求，并结合本省网络安全建设需求，继续完善SOC平台的安全运维管理能力，并将部分安全业务与SOC平台集成，由SOC平台提供统一安全业务管理能力；同时按照“先IP网络、再内部系统、再接入用户”的顺序，逐步扩大平台监控范围；在此基础上逐步完善SOC平台的业务提供能力，通过业务试点等方式向外部客户提供安全增值服务。对未进行SOC平台建设的省公司，如果条件成熟，则可根据本指导意见的要求，并结合本省网络安全建设需求，开展SOC平台的建设；如果条件还未成熟，则可暂时使用集团SOC平台，暂缓SOC平台的建设。建设进度要求根据集团要求，初步对各省SOC平台的建设进度要求如下：类别2010.62011.62012.6未建SOC平台的省市根据集团规范要求，建设本省的SOC平台基础框架；初期应优先覆盖IP网，有条件的省市可涵盖全网；初期主要通过SOC平台实现安全事件管理、安全脆弱性管理、安全风险管理、安全策略管理、安全预警、安全响应等功能；为日常安全运维及管理提供基本的监控手段及技术支撑；逐步将SOC平台的管理范围涵盖到OA、DCN等内部网络和业务系统；根据工作需要进一步完善及丰富SOC平台的安全管理功能；逐步通过SOC平台集成一些其他的专业安全系统；强化SOC平台的运维及管理职能，加强对各种安全数据、信息的分析、处理能力；持续完善及改进SOC平台的各项功能以发展安全代维服务为工作重点，逐步完善SOC平台的业务提供能力，通过业务试点等方式向外部客户提供安全增值服务。已建SOC平台的省市根据集团规范要求，对本省的SOC平台进行改造及优化，重点解决与集团SOC的各种接口问题；在平台改造及优化的同时扩大SOC平台的管理范围（以全网管理为目标）；逐步通过SOC平台集成一些其他的专业安全系统；强化SOC平台的运维及管理职能，加强对各种安全数据、信息的分析、处理能力持续完善及改进SOC平台的各项功能；以发展安全代维服务为工作重点，逐步完善SOC平台的业务提供能力，通过业务试点等方式向外部客户提供安全增值服务。SOC运维及管理平台服务模式和运作流程对于归口运维部门管理的中国电信IP网，SOC平台服务模式为：由各类专业设备提供商为中国电信提供专业咨询，由中国电信各级SOC组织对中国电信IP网进行管理。运营流程如下图所示：其中省级安全操作人员和集团安全操作人员分别对省SOC平台和集团SOC平台进行监控并负责处理简单的安全事故，一旦发现较重大的安全事故及时向省级或集团安全管理人员上报；省级安全管理人员负责组织协调本省安全操作人员对本省范围的安全事故进行处理，对于无法处理的重大安全事故及时向集团上报，由集团安全管理人员组织安全技术支撑中心对各省进行技术指导并协同省级安全操作人员处理事件；集团安全管理人员除了组织协调集团安全操作人员处理较重大的安全事件，还负责协调跨省事件的处理，合理调度和利用各省的资源和信息，在安全技术支撑中心的配合下指导相关安全操作人员及时有效的完成跨省安全事故的处理。中国电信的内部网络按其主管部门可分为两类：归口运维部门管理的网络和系统：如DCN等，SOC服务模式和运营流程与中国电信IP网相同；非运维部门管理的网络和系统：如OA、互联星空等，可采用以下三种方式：由相应的网络或业务主管部门根据SOC平台提供的信息按照本部门原管理流程对网络进行管理；由运维部门相关人员对SOC平台进行监控，在发现问题时将时间通知相关网络或业务主管部门，由相关网络或业务主管部门按照本部门原事件处理流程进行安全事件处理；由运维部门对这些网络和系统提供安全代维服务，代维服务流程与中国电信IP网相同。在依托SOC平台向外部客户开展代维服务时，可采取的商业模式为：与专业设备提供商和专业IT系统商合作形成安全代维服务产业链条，依托SOC平台，通过中国电信客户渠道以中国电信统一品牌提供系列安全代维产品。在现阶段可采取的合作模式为：由各类专业设备提供商为中国电信提供专业咨询，代维服务由中国电信统一提供，对于目前在中国电信技术力量储备不足的情况下无法提供的应急响应等其他服务可由安全厂商以中国电信的名义提供。SOC代维服务的运营流程包括运维流程和业务流程，其中运维流程与中国电信IP网相同，而业务流程将在后续文档中予以描述。集团SOC对各省安全管理工作的支撑集团SOC平台能够对各省相关安全管理工作从技术、管理、运维等各个层面提供支撑及管理作用，具体包括：技术方面的支撑预警信息的统一发布可以通过集团SOC将紧急或重要的第三方厂商及组织的安全预警信息下发或同步到各省SOC，或者是通过邮件、短信等方式通知给各省相关人员。集团安全策略的统一下发及查阅可以通过集团SOC将集团各项安全策略、安全管理制度等下发同步到各省SOC，供相关人员查阅，对于没建SOC的省市，可以在集团开放相应的账号及权限，供其相关人员登录及查阅。知识库的共享提供各类知识库的汇总及共享，可以通过集团SOC将相关知识库同步到各省SOC，也可直接在集团SOC开放相应账号或权限，供相关人员查阅。各省安全风险状态及安全考核结果的通报根据集团SOC检测分析到的安全事件及风险情况，各省上报上来的安全事件及风险情况，以及集团的的相关安全管理及考核指标要求，对各省的安全风险状态进行综合分析及提示通报，对各省的考核结果进行通报省际安全事件的协同分析根据集团SOC检测分析到的安全事件及风险情况和各省上报上来的安全事件及风险情况，对跨省的安全安全事件提供协同分析及处理机制。管理及运维支撑管理考核指标根据集团的相关安全管理规定及策略，制定统一的安全管理考核指标，通过SOC平台进行考核及评定。比如：安全事件的处理及时率及有效率；安全事件及数据上报的及时率及完整率；设备安全配置基线的合规率；系统防病毒软件的安装及更新率；特定安全风险或事件的发生率重要系统补丁的安装率等等……运维及管理流程针对SOC平台，制定统一的运维及管理制度、流程，集团及各省统一参考及执行。统一运维支持针对SOC平台，可以由集团组织定期的系统运维及管理培训，如果可能，可以考虑在集团建设一支专门的SOC平台技术支持队伍及人员，为各省SOC平台的运维及管理提供技术支撑。集团对各省SOC建设及使用维护的考核要求为了更好的监督及促进各省的日常安全运维管理工作，集团将以SOC平台为支撑，定期对各省的SOC平台建设、使用维护情况和各项日常安全工作进行考核，考核内容主要包括：安全事件及数据的上报情况安全事件的处理情况安全作业计执行及落实情况相关要求如下：各省SOC数据上报及处理要求为了更好的实现集团对各省安全风险的统一管理及支撑，各省应通过SOC平台向集团上报一些相关的安全信息及数据，包括业务系统、资产、安全对象信息；风险及告警信息；文件数据（如集团要求的各类数据或报表）等。特别是，为了实现对全网安全事件的综合分析、协调处置，各省必须向集团上报一些重要的安全事件、风险及告警数据，考虑到安全事件及告警的复杂性及多样性，下文将对各省需要上报的安全事件、风险及告警内容进行说明及统一要求。安全事件分类安全事件基本类型根据安全事件之间的共性和差异，把安全事件分类按两个层次进行组织：基本类型与子类型。其中包括为8个基本类型，每个基本类型又包括若干子类型，安全事件基本类型如下表：名称分类编号事件描述子类编号事件名称操作记录类1记录各种操作事件，包括访问、配置变更、软件安装、申请、设备操作命令等。N/AN/A状态信息类2系统、应用、网络等日常运行、自身维护、管理资源产生的事件。如进程变化、服务启停、普通流量、CPU内存等。201漏洞告警信息202其它信息信息刺探类3通过扫描、嗅探、业务模拟等方式获得系统及网络信息的各类事件，也包括可能伴随的掩护和躲避行为所产生的事件。N/AN/A恶意代码类4恶意代码类安全事件是指蓄意制造、传播恶意代码，或是因受到恶意代码的影响而导致的告警事件。恶意代码是指插入到信息系统中的一段程序，危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。401计算机病毒402网络蠕虫403僵尸软件404木马405网页挂马406间谍软件409其他攻击入侵类5攻击入侵类安全事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的安全事件。501拒绝服务攻击502漏洞攻击503蠕虫攻击504后门攻击505猜测口令506非法访问507域名劫持509其它信息危害类6信息危害类安全事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的安全事件。601网页纂改602网络仿冒（网络钓鱼）603垃圾信息（如垃圾邮件）604信息泄露与窃取609其他设备设施故障类7设备设施故障类安全事件是指设备、系统、应用及网络的故障报告、异常报告等相关事件，如：路由器瘫痪、互联网链路故障等。701设备故障702运行环境故障703通信故障704服务质量故障705手工录入故障706处理错误707性能门限告警708系统功能失效709其他其它类0不属于以上几类的其它事件。N/AN/A操作记录类、信息刺探类安全事件主要针对系统或网络内部的维护，一般不会对重要系统或网络造成严重的安全影响。因此集团主要需要收集与网络安全攻击相关的恶意代码类、攻击入侵类、信息危害类事件和设备设施故障类事件及风险告警信息。安全事件分级安全告警的级别可参考下列三个要素：系统的重要程度、系统损失和社会影响。安全告警主分级参考《GB/Z20986-2007信息安全事件分类分级指南》，结合实际情况制定。告警级别标示如下：重要级别中等级别一般级别 告警级别定义如下（如下表）：对于重要系统的原始重要及中等告警、中等系统的原始重要告警，级别为重要；对于重要系统的原始一般告警、中等系统的原始中等告警、一般系统的原始重要告警，级别为中等；对于中等系统的原始一般告警、一般系统的原始中等及原始一般告警，级别为一般。重要系统重要程度中等一般一般中等重要原始告警级别各省需上报的事件、告警类型及级别集团重点针对DDoS攻击、僵尸网络和蠕虫等事件进行综合分析和协调处置，关注危害级别较高的安全事件，因此各省SOC平台应向集团SOC发送下表所示类型的安全事件，发送事件的安全级别为中等以上告警。事件类型编号名称事件类型编号名称201漏洞报警507域名劫持401计算机病毒报警601网页纂改报警402蠕虫报警602网络仿冒报警403僵尸软件报警603垃圾邮件报警404木马报警604信息泄露与窃取405网页挂马报警701设备故障406跨站脚本XSS702环境故障501拒绝服务攻击703通信故障502漏洞攻击704服务质量故障503蠕虫攻击705手工录入故障504后门攻击706处理错误505猜测口令707性能门限告警506非法访问708系统功能失效上报方式及时间周期要求各省SOC平台分析监控到重要级别的安全事件及告警信息，应通过SOC平台的风险及告警数据上报接口自动实时发送到集团的SOC平台；中等安全事件或一般安全事件不要求进行实时上报，但各省应根据集团要求定期对相关事件进行汇总统计并上报；中等安全事件以周为周期，每周进行汇总统计，并通过SOC平台的数据报表接口提交给集团SOC；一般安全事件以月为周期，每月进行汇总统计，在下个月的5个工作日内通过SOC平台的数据报表接口上报给集团SOC；本处上报方式及时限的说明用于通用情况SOC自身安全事件的应急处理，对于敏感时期不拘泥于本手册。处理要求对于重要级别的安全事件，应在发现后10分钟内进行工单派发；相关人员接到任务工单后在2小时提出初步解决应对方案；对于中等的安全事件，应在发现后30分钟内进行工单派发；相关人员接到任务工单后在8小时提出初步解决应对方案；对于一般的安全事件，由集团及各省相关安全管理人员根据具体情况（如事件的影响面、普遍性、发生频率等）派发安全作业工单，维护人员在接到工单后的一周内完成对此类事件的处理；处理时限说明用于通用时间的安全事件应急处理，对于敏感时期(如奥运会)不拘泥于本规范要求。安全作业计划执行及落实要求考核内容为了提升各省安全运维及管理工作的水平，各省应根据实际情况制定相应的安全作业计划，其中集团将通过SOC平台定期对各省的下述日常安全工作进行检查及考核：设备安全配置基线检查（定期）各省应根据集团要求通过SOC平台定期对相关设备的安全配置基线进行检查，并根据检查结果进行相关配置项目的优化及加固。同时，各省应按照集团要求定期将安全配置基线检查结果及处理情况通过数据和报表接口上报到集团SOC。安全合规检查（任务型）各省应根据集团的各项安全管理规章、制度、策略要求，对部分安全工作作业进行合规性检查，如：防病毒软件的安装及更新；重要系统补丁的安装及更新；电信集团的各种专项安全工作；其他临时安全工作任务（如上级检查、重大活动保障等）……数据统计及报表要求各省SOC平台管理维护人员应根据集团要求，定期向集团SOC提供相应的数据汇总及统计分析报表。数据汇总及统计分析报表主要包括：安全事件/告警的统计报表;设备安全配置检查的统计结果及报表;各类安全检查、维护作业的汇总结果报表等……考核方式设备安全配置基线检查集团针对主流的安全对象如路由器、交换机、防火墙、UNIX操作系统、windows操作系统、oracle数据库等制订并下发统一的设备安全配置基线；各省根据规范要求，通过SOC平台针对自己管辖范围内设备每月进行一次集中的安全配置检查，检查结果应在下月的5个工作日内通过SOC的数据和报表接口上报到集团SOC；集团SOC汇总各省的相关设备安全配置检查情况，进行考核打分和排名，并将相关考核结果通过SOC的数据发布接口通报给各省公司。安全合规检查集团根据工作需要，不定期的下发各种安全合规检查任务；各省根据集团要求，进行相应的检查及改进各省将检查及改进的结果通过SOC的数据和报表接口上报到集团SOC；集团SOC汇总各省相关任务的执行落实情况，进行考核打分和排名并将相关考核结果通过SOC的数据发布接口通报给各省公司。数据统计及报表各省根据集团的相关要求，定期提交相关数据统计及报表，其中常规性的报表提交任务如下：中等安全事件以周为周期，每周进行汇总统计，并通过SOC平台的数据报表接口提交给集团SOC；一般安全事件以月为周期，每月进行汇总统计，在下个月的5个工作日内通过SOC平台的数据报表接口上报给集团SOC；设备安全配置基线检查检查结果报表每月汇总，在下个月的5个工作日内通过SOC平台的数据报表接口上报给集团SOC；其它临时性的工作任务根据要求提供相应报表。集团对各省的报表进行汇总及处理，生成相应的考核结果和安全状况，并通过SOC的数据发布接口通报给各个省公司。一些典型的报表要求及格式可参考HYPERLINK附录7.1“统计报表样例”。附录统计报表样例（供参考）全网安全事件类视图视图名称：安全事件类视图内容说明：按月记录全网（或单一业务系统）安全告警事件统计。用途：了解全网（或单一业务系统）事件数量变化趋势。内容：折线图。横轴为日期时间（月）；纵轴为事件数量。数据计算方式说明按月统计安全告警数量，生成相对应折线图时间按照月为单位图例：系统安全事件类视图视图名称：系统安全事件类视图内容说明：按月记录各业务系统安全告警事件统计。用途：了解各业务系统）事件数量变化趋势。内容：折线图。横轴为日期时间（月）；纵轴为事件数量。数据计算方式说明按月按系统统计