《中国电信SOC基础平台[参考]》由会员分享,可在线阅读,更多相关《中国电信SOC基础平台[参考](51页珍藏版)》请在金锄头文库上搜索。
1、“,”,精品PPT实用可编辑,“,”,精品PPT实用可编辑,中国电信维护岗位认证教材(互联网安全维护专业),中国电信SOC基础管理平台,3,精品PPT借鉴参考,目录,第1章 SOC平台概述 第2章 基础平台功能 第3章 基础平台部署方案,4,精品PPT借鉴参考,1.1 SOC平台定位,5,SOC平台在网络安全体系中定位为日常安全运维及管理的上层支撑平台 提供对各种安全产品及系统的整合和协调,实现对各种安全对象、安全事件及数据的统一管理和集中分析,将下面两层产生的大量安全信息进行统一分析和管理 提高安全防护效率和整体安全水平,对各类安全对象(如主机、网络设备、应用系统等)采取的外围防护措施(如防
2、火墙、IDS等),主要应对外部安全威胁,各类安全对象自身的基础防护措施 降低系统自身的安全风险,SOC 平台,安全产品防护,系统自身安全,5,精品PPT借鉴参考,6,1.2 基础平台与安全子系统关系,6,精品PPT借鉴参考,7,IP承载网及互联网业务网络:包括ChinaNet、CN2、DCN网络中的网络设备、城域网中的网络设备、网络安全设备、C网分组域、DNS 、认证系统等 网运业务网络及系统:包括软交换、 网管系统、 OSS系统、C网业务平台及系统等 电信内部业务网络及系统:包括互联星空、号百和商务领航等业务中的业务平台及系统等,1.3 服务对象,7,精品PPT借鉴参考,8,工单、告警等信息
3、,集团SOC平台,数据同步信息,支撑系统,安全对象,专业安全系统和设备,数据信息,集团,工单、告警等信息,省SOC平台,数据同步信息,安全对象,专业安全系统和设备,数据信息,省,数据、通告信息,安全对象,数据信息,本地网,工单系统,综合告警系统,网管系统,支撑系统,工单系统,综合告警系统,网管系统,集团-省SOC平台组网,1.4 目标架构,8,精品PPT借鉴参考,9,实现安全告警信息由分散查看、分散处理到集中查看、集中分析、集中监控响应 形成“两级平台,三级监控”的集中化全网安全监控管理能力,为中国电信网络及重要系统的安全事件管理、安全风险分析等提供全方位的技术支撑手段,并提供相应的制度和知识
4、支撑 提高安全事件处理效率及质量,实现中国电信日常安全运维及管理工作流程化、制度化,为IP网络及业务系统的建设、运营和维护等提供更系统的安全技术支持,1.5 建设目标,9,精品PPT借鉴参考,目录,第1章 SOC平台概述 第2章 基础平台功能 第3章 基础平台部署方案,10,精品PPT借鉴参考,11,数据呈现层:对SOC平台采集分析数据进行统一呈现,提供相应的Portal登录查看界面 数据管理层:以安全风险管理为核心,实现安全对象管理、安全事件管理、安全告警管理、安全预警管理、脆弱性管理、安全响应管理、系统管理等 数据采集层:采集数据主要包括各类安全资源、对象的安全事件、安全漏洞、安全配置等信
5、息 专业安全子系统:将监控和告警信息提交给数据管理层进行统一分析和呈现 外部接口:提供与网管系统、工单系统等支撑系统接口,基础平台以安全风险管理为核心,以安全事件管理为关键流程,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理,2.1功能,11,精品PPT借鉴参考,2.2安全事件采集及处理,12,12,精品PPT借鉴参考,安全事件关联分析功能 SOC安全事件关联分析功能就是采用基于规则、基于统计、基于资产、基于行为的关联方法,综合分析安全告警,来深度挖掘安全隐患、判断安全事件的严重程度。从而重构整个攻击场景,降低误报率,帮助安全监控人员分析出网
6、络中潜在的安全隐患。 规则库管理具有预先定义关联规则功能,同时也具有查询、删除、更新功能; 关联规则表达式支持规则的多级嵌套,前一规则输出作为后一规则的输入,以及规则之间的并集和交集处理; 规则库管理提供多种事件关联规则定义的方式,既包括通过简单明了的向导创建关联性规则,也可以允许用户使用类似脚本语言的方式; 可根据安全事件发生的因果关系,进行逻辑上关联分析; 关联分析引擎应具备对已制订的关联规则的合法性校验功能,2.2安全事件关联分析,安全事件关联分析作用 从大量的告警中过滤掉无用告警,并对真正有威胁的告警进行优先级的确定。 通过关联分析可以发现违反安全策略的违规行为或告警 代替了人们过去手
7、工查找风险事件的工作,大大简化并加快了对安全事件的监控。,13,精品PPT借鉴参考,2.2事情关联分析,14,三种关联分析规则 基于规则的事件关联 漏洞关联分析 基于统计的关联分析,14,精品PPT借鉴参考,安全预警来源 外部预警:它是由国家上级主管部门、安全服务提供商、防病毒软件提供商和设备软件厂商提供的。这种预警一般相关人员收集录入后,需要由管理人员进行审核后才能成为预警,所以模块必须提供人工审核干预的功能; 内部预警:来源是SOC平台内部的预警信息,和事件、脆弱性相关联。内部预警根据预先定义的、对事件的响应规则自动或手动生成的。,2.3安全预警,安全预警管理是根据来自内部预警信息、外部预
8、警信息分析获得。是对可能发生的威胁的提前通告。安全预警是一种有效预防措施,和安全对象、风险管理等功能紧密联系在一起。,外部预警类型 安全通告:由专业安全公司提供的安全通告,是预警信息的主要来源,其包含漏洞、病毒、攻击警报等多种安全预警信息; 攻击预警:由外部安全预警组织,如国家应急响应中心或者其他组织发现的新类型网络攻击行为; 漏洞预警:操作系统软件提供商和设备提供商,通常会及时向用户发布其软件漏洞信息,同时提供解决方案; 病毒预警:成熟的防病毒软件厂商,通常会有病毒监控体系,及时发现新类型的病毒,并提醒用户对病毒特征库进行升级或者采取规避措施。,内部预警类型 安全事件预警:来源安全事件关联告
9、警; 风险预警:来源风险评估结果; 漏洞预警:来源漏洞管理告警; 配置脆弱性预警:来源配置脆弱性告警。 完整性预警:来源完整性告警,15,精品PPT借鉴参考,2.4脆弱性管理,16,脆弱性管理,漏洞管理 通过内置或者与第三方扫描器的联动,获取漏洞信息 以实时或者定时的方式对扫描对象进行漏洞扫描,配置脆弱性管理 通过将收集到的系统信息与安全基线对比,对设备配置的安全合规性进行评估,完整性检查 定时获取受监控数据的当前状态值,与基线状态值进行比较,检查数据是否偏离 完整性检查项包括: 目录 二进制文件 配置文件 进程 端口 启动项 注册表,16,精品PPT借鉴参考,2.5漏洞管理,漏洞管理:由系统
10、自身的问题引起的安全风险,如软件BUG、协议缺陷等,SOC平台具备对此类安全风险的发现及管理功能;,漏洞信息内容 SOC平台提供的漏洞信息包含以下内容: 系统类型 系统脆弱性范围 漏洞名称和编号 漏洞的描述 漏洞的解决措施,漏洞信息来源 SOC平台漏洞信息获取方式需要支持内置扫描器扫描、第三方漏洞扫描产品结果导入、或者其它组织或机构披露的漏洞信息导入三种方式。 SOC平台应支持对目前主流漏洞扫描产品扫描结果的导入、分析及处理,扫描结果能够自动导入到SOC平台,无需人工干预,可支持对常见TXT、HTML、XML等扫描结果的导入。,17,精品PPT借鉴参考,配置脆弱性: SOC平台收集安全对象与安
11、全相关的系统信息,通过与相关安全基线的比较,将不符合基线的配置作为弱点汇集到脆弱性管理模块,显示安全对象的安全脆弱性信息。 安全基线:主机或网络设备操作系统安全性设置标准,指导设备管理人员或安全管理人员进行设备安全配置。,2.6配置脆弱性,针对操作系统,配置检查的内容包括: 主机信息(包括主机系统版本、主机名、物理端口、IP等) 主机补丁信息 系统账号及口令配置信息 关键配置文件及目录 系统服务及进程 Windows操作系统的关键注册表项目 系统的自启动项及定时任务 系统的访问控制策略及日志审计策略等,针对网络及安全设备,配置检查的内容包括: 设备信息(产品厂商、型号、软件版本、端口、IP等)
12、 设备账号及口令配置信息 系统配置文件 设备端口运行及启用情况 设备访问控制策略及路由情况 设备日志审计策略等,配置脆弱性管理功能模块应支持主流网络设备、安全设备及操作系统: 操作系统:包括Windows、AIX、HP Unix、Solaris、Linux等系统 网络设备:包括华为、Cisco、juniper等厂商的路由及交换机设备 安全设备:PIX等设备,18,精品PPT借鉴参考,完整性检查:根据制定的安全策略对指定的文件或网络配置进行读取,并根据策略要求生成相应的基线状态值(文件属性、文件内容、哈希值等)。通过定制完整性检测任务,定时获取受监控数据的当前状态值,与基线状态值进行比较,发现数
13、据偏离,通过各种方式通知安全管理人员进行进一步处理。,2.7完整性检查,完整性检查的内容主要包括: 目录 二进制文件 配置文件 进程 端口 启动项 注册表,完整性检查通过比较当前文件属性与基线数据库的差别,提供广泛及快速的变动检查的能力。 支持MD5、HAVAL、SHA多种算法,通过对不同签名算法的支持,来保证文件修改的检查; 对文件的多种属性进行监控,保证对文件内容以及对文件数据的未授权操作; 根据文件的不同赋予不同的严重级别,当检测到文件完整性遭到破坏时,安全管理员可以根据严重级别安排处理工作; 支持多种响应方式,当文件完整性发生变化时,可以通过电子邮件、SYSLOG等方式提醒相关的安全人
14、员;,19,精品PPT借鉴参考,2.8安全告警管理,20,安全事件在经过一系列的事件处理过程后,根据安全告警规则设置条件,将形成不同级别的安全告警信息,20,精品PPT借鉴参考,2.8安全事件告警,事件类告警生成规则,告警定义方法: 支持定义事件匹配顺序,分为如下四种 先匹配源IP地址,然后匹配目标IP地址,最后匹配设备IP地址; 仅匹配目标地址; 仅匹配设备IP地址; 对安全事件的属性全部匹配。 支持定义分析的事件范围,可以通过过滤器设定 支持关联分析功能。 支持告警触发条件设置,如按名称、级别一分钟达到60条,才产生告警 支持最终产生的告警名称和级别的定义。 支持告警追加功能,即如果已有此
15、种告警,不产生新的告警,只计数量,告警追加条件包括告警名称、告警规则、严重级别、事件分类、事件子类、事件名称,21,精品PPT借鉴参考,2.8漏洞告警,漏洞类告警生成规则,告警定义方法: 可通过过滤器设定过滤条件为漏洞名称和漏洞级别来选择要分析漏洞 支持关联分析功能 可对告警名称和级别进行设置 可支持告警追加功能,即如果已有此种告警,不产生新的告警,只计数量,告警追加条件包括告警名称、告警规则,22,精品PPT借鉴参考,2.8配置变更及脆弱性告警,配置变更类告警,告警定义方法: 支持通过过滤器设定过滤条件为配置变更名称和配置变更级别来选择要分析的漏洞, 支持对告警名称和级别进行设置 支持告警追
16、加功能,即如果已有此种告警,不产生新的告警,只计数量,告警追加条件包括告警名称、告警规则,脆弱性类告警,定义方法如下: 支持通过过滤器设定过滤条件为脆弱性名称和脆弱性级别来选择要分析的漏洞, 支持对告警名称和级别进行设置 支持告警追加功能,即如果已有此种告警,不产生新的告警,只计数量,告警追加条件包括告警名称、告警规则,23,精品PPT借鉴参考,什么是安全风险? 安全风险是一种特定的威胁利用脆弱性而引起信息丢失或者损害一种或一组安全对象的可能性。,安全风险管理是安全管理中心的核心,它是以安全对象管理为基础,通过对安全对象价值、安全脆弱性、安全威胁因素关联后计算安全对象的风险值,并对安全对象的风险值实现动态的管理,为实时监控提供相应的管理界面。,2.9风险管理,什么是威胁? 安全威胁是一种对系统、组织及其安全对象构成潜在破坏能力的可能性因素或者事件。,SOC平台要求能够采用定量和定性结合的风险分析办法实现对业务系统的安全风险评估和计算,定量的风险分析方法就是把构成风险的各个要素和
