《中国电信SOC网络安全平台推广和建设指导意见.doc》由会员分享,可在线阅读,更多相关《中国电信SOC网络安全平台推广和建设指导意见.doc(67页珍藏版)》请在金锄头文库上搜索。
1、 中国电信网络安全管理平台推广和建设指导意见中国电信集团XXXXXXXX2009-12-17目录:1概述41.1前言41.2适用范围41.3术语解释41.4参考文献52SOC平台定位及建设目标62.1SOC平台定义62.2SOC平台在网络安全体系中所处的地位62.3SOC平台在网络管理和支撑系统中所处的地位72.4SOC平台的服务对象82.5SOC平台的管理范围92.6SOC平台建设目标93SOC平台功能及技术要求103.1SOC平台目标功能架构103.2SOC平台功能具体说明123.2.1脆弱性管理123.2.2安全事件管理163.2.3安全告警管理233.2.4安全响应管理253.2.5安
2、全对象管理263.2.6安全预警管理293.2.7知识库管理323.2.8报表统计管理333.2.9安全作业管理363.2.10对外保障服务管理383.2.11安全策略管理393.2.12安全任务管理403.2.13信息发布及BBS413.2.14系统自身管理413.3其他技术要求424SOC平台接口要求424.1接口定义424.1.1内部接口424.1.2外部系统接口454.2接口协议要求464.3实现方式474.3.1数据采集接口474.3.2上下级接口484.3.3外部接口484.3.4各类接口实现方式建议485SOC平台建设策略505.1建设策略505.2建设进度要求526SOC运维及
3、管理546.1平台服务模式和运作流程546.2集团SOC对各省安全管理工作的支撑556.2.1技术方面的支撑556.2.2管理及运维支撑566.3集团对各省SOC建设及使用维护的考核要求576.3.1各省SOC数据上报及处理要求576.3.2安全作业计划执行及落实要求617附录637.1统计报表样例(供参考)637.2671 概述1.1 前言中国电信通信网络和支撑系统是国家基础信息设施,从国家要求和企业自身业务的要求考虑,都迫切需要提高信息安全保障水平。为了保证中国电信的网络安全,提高中国电信的网络安全保护水平,促进中国电信的网络安全管理工作流程化,需要建设网络安全管理(SOC,Securit
4、y Operation Center)平台为安全管理工作提供一个支撑平台。目前中国电信已在集团、江苏二个节点建设了试点SOC平台,初步构建了二级SOC平台架构,初步具备了对于中国电信IP网的网络异常流量监控、安全事件的集中监控、安全风险评估、垃圾邮件集中自动化处理等能力, 提高了网络安全工作的效率,增强了网络安全性。随着网络安全工作的不断深化,中国电信各省电信公司也纷纷提出了SOC平台的建设需求。为进一步规范和指导中国电信各省公司SOC平台的推广建设工作,集团公司网络运行维护事业部组织相关单位研究制定了本指导意见,保证中国电信SOC平台建设工作的统一和有序开展。1.2 适用范围本文档适用于指导
5、中国电信集团及各省SOC平台的规划及建设工作。1.3 术语解释网络安全管理平台SOC平台网络安全管理平台是实现信息安全管理的技术支撑平台。它以风险管理为核心,为安全运营和管理提供支撑。安全对象Security Object用于网络安全保护工作和网络安全工作保护的企业网络、设备、应用、数据称为安全对象,安全对象的价值不仅仅包括其采购价值,还包括其受侵害后导致的企业损失。安全事件Security Events由计算机信息系统或者网络中的各种计算机设备,例如主机、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。安全策略Security Policy安全策略是各种论述、规则和准则的集合,
6、以供解释和说明网络资源使用以及网络和业务保护的方式和要求。从用户的角度看,安全策略定义了一个合法的用户可以作什么,它会说明哪些信息被保护。威胁Threat安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。脆弱性Vulnerability存在于被威胁的客体上,可被威胁所利用而导致安全性问题,在实际使用中,漏洞和脆弱性经常被认为等同而不加区分地使用。但在本项目中,漏洞是脆弱性的一个子集,专指可通过扫描器发现的脆弱性,其中部分具有国际上标准的CVE编号;而如企业没有安全管理负责人之类的脆弱性则不被认为是漏洞。安全风险Risk安全风险是一种特定的威胁利用脆弱性而引起信息丢失或者损
7、害一种或一组资产的可能性。1.4 参考文献2 SOC平台定位及建设目标2.1 SOC平台定义随着安全问题越来越被各个企业所重视,企业都开始部署了大量的安全产品,但是大量的安全产品部署及其相关的安全事件信息也给企业带来了巨大的可管理性问题。针对这个问题,安全管理平台SOC(Security Operation Center)平台成为目前很多大型行业尤其是电信行业用户关注的一个建设方向。安全运行管理中心是一种管理形式,是介于现有安全系统和管理者之间的一种管理形式。SOC平台将与安全有关的产品、方案等进行整合,提供一个统一的安全管理界面。对于现有安全系统而言,安全管理平台的地位是管理者,汇总所有的安
8、全问题,实现集中管理和监控;对于企业的安全管理组织及人员而言,安全管理平台是一个技术实现平台,管理者可以利用安全管理平台开展日常的安全工作,使得安全工作日常化、制度化。2.2 SOC平台在网络安全体系中所处的地位网络安全体系通常体现在三个层面:第一层,各系统自身安全防护,是各应用系统和安全对象自身的基础防护措施,降低自身的安全风险;第二层,安全产品防护,是在各系统自身基础防护措施之上,对应用系统和安全对象采取的外围防护措施,主要应对外部的安全威胁;第三层,统一安全管理,是通过安全集中管理将系统自身安全防护以及外围安全防护产品所产生的大量安全信息进行统一分析和管理,以提高安全防护效率和整体安全水
9、平。SOC平台位于网络安全体系最上层,为中国电信网络和业务支撑系统提供安全保障。(待修改)2.3 SOC平台在网络管理和支撑系统中所处的地位SOC平台在网络管理和支撑系统中的地位如下图所示:SOC安全管理平台是一个为安全管理及运维提供安全技术支撑的平台,在IT管理系统中与网管系统NOC的地位类似。SOC平台与网管系统既有联系又有区别。二者都通过采集网络设备、主机设备的Syslog获得处理的数据源,但网管系统主要处理网络和主机设备的硬件故障信息,如端口的updown,内存使用状况等,SOC平台主要处理安全方面的信息,如用户在设备上的登入、登出信息、端口流量等;另外,SOC平台的数据源除主机系统和
10、网络设备外,还包括安全设备以及相关专业安全子系统。如果已部署网管系统,可由网管系统将原始Syslog信息转发给SOC平台,由SOC平台完成对Syslog中安全信息的处理,从网管系统接受Syslog后,SOC平台通过策略过滤与硬件相关的信息,只处理相关的安全信息。为实现与其他管理系统的整合,SOC平台还需要与其他管理系统建立接口,如与运维工单进行接口,SOC平台将SOC告警事件无缝流转到运维工单,运维工单处理完成后,将处理完成信息返回给SOC平台,实现安全信息的闭环处理。 2.4 SOC平台的服务对象目前中国电信维护和管理的各个网络和系统已经呈现出集中安全管理的迫切需求,C网的投入运营也对网络安
11、全工作提出了新的要求。同时在中国电信全业务运营的新形势下,各类安全业务也正在进行积极的研发和推广。中国电信SOC平台应能满足新时期的新需求,以向中国电信IP网提供网络安全管理服务为主,同时向电信内部网络和系统推广,逐步发展安全代维业务。因此,SOC平台的服务对象主要包括中国电信IP网、中国电信内部网络以及互联网接入用户:1. 中国电信IP网 IP承载网: ChinaNet、CN2中的设备管理,包括:网络链路、网络设备、网络安全设备等; 网络和业务支撑系统:支撑ChinaNet、CN2运行的支撑系统,包括:DNS、网管系统、认证系统、计费系统等; 业务网络:在IP承载网之上运行的业务网络,包括:
12、软交换、C网分组域等。2. 中国电信内部用户 内部网络:对外封闭的电信内部网络,包括:办公网、DCN等; 业务系统:提供中国电信互联网应用的业务系统,如C网业务系统、互联星空、号百、商务领航等。3. 互联网接入用户为有安全服务需求的客户网络提供安全代维、DDOS攻击防御、安全网关等电信级安全业务的集中业务管理。从功能、性能和成本等方面综合考虑,各省公司原则上应建设一套统一的SOC平台为三类对象提供服务,在实际建设中若由于网络隔离等技术条件的限制,可根据具体情况进行考虑。2.5 SOC平台的管理范围从集团及各省SOC平台的管理范围及职能来看:集团SOC平台的管理范围主要包括:IP承载网骨干网、集
13、团层面的相关业务系统以及内部支撑系统的相关设备及其安全系统。同时,集团SOC平台还应承担对各省安全管理工作的支撑职能,如安全策略的下发、安全预警发布,安全知识的共享、省际安全事件的协同分析及处理等。各省的SOC平台则主要负责各省管辖范围内的IP城域网、相关业务系统以及各省内部支撑系统的相关设备及其安全系统。同时,各省SOC平台应根据电信集团的相关规范要求,为集团提供相应信息及数据支撑,如安全事件的上报、安全数据的统计及汇报等。2.6 SOC平台建设目标(加一段帽子)通过集团及各省SOC平台的建设,将使集团及各省初步实现达到以下目标:l 由各类业务系统中各安全系统告警信息的分散查看,到集中查看、
14、集中分析、集中处理,形成“两级平台,三级监控”的集中化全网安全监控管理能力;l 为中国电信网络及重要系统的安全事件管理、安全风险分析提供全方位的技术手段,形成信息化的、自动的、动态的安全风险评估及事件管理系统;l 为中国电信日常安全运维及管理工作提供流程化、制度化的支撑平台。自动实现采集与分析,并将告警通过工单接口直接派发工单至相应责任人,固化处理流程,并提供相应的制度和知识支撑,提高安全事件处理效率及质量,使安全运维管理日常化、自动化;l 为中国电信网络安全业务的推出提供技术储备;l 为业务系统的建设、市场运营和维护等提供安全技术支持;l 逐步实现从中国电信IP网、中国电信内部网络和系统到电信外部客户的安全管理能力。3 SOC平台功能及技术要求3.1 SOC平台目标功能架构 SOC平台的目标功能架构从逻辑上可分为以下几个层次:数据发布层、安全事件处理层、数据采集层、协议服务层、安全对象层、外部接口层,如下图所示:IP承载网、IP网网络和业务支撑系统、IP网所承载的业务网络、电信内部网络以及电信内部业务系统、安全业务系统安全对象层防火墙终端管理主机网络设备应用IDS/IPS防毒补丁管理协议服务层SNMP/TrapNetflowSyslogTelnetXML
