中国电信网络安全管理平台需求
安全管理平台部署尚存瓶颈 中国电信提出五大应对策略
3C ommun icatio ns World Weekly网络安全SO C 并不是新技术,已被国内相关企业和机构研究了近10年,但是还面临多个应用挑战,目前在大型企业应用部署中并不是很多。
安全管理平台部署尚存瓶颈中国电信提出五大应对策略本刊记者|黄海峰随着安全问题日益凸显,运营商部署了大量的安全产品,但是同时也面临巨大的可管理性问题。
运营商为进一步提高网络安全保护水平,促进网络安全管理工作流程化,建设安全管理平台(SOC ,Security Operation Center )日益提上日程。
据记者了解,中国电信一直非常重视SO C 平台的建设,已在集团、江苏、广州等多个节点建设了试点SOC 平台,初步具备了对于IP 网的网络异常流量监控、安全事件的集中监控、安全风险评估、垃圾邮件集中自动化处理等能力,这给SO C 的进一步发展积累了宝贵经验。
构建SOC 是大势所趋由于用户量快速增加,互联网安全形势依然严峻。
而手机终端的增多和云计算等新技术的应用让运营商安全管理更加复杂。
随着运营商各项安全工作的深入开展,一个突出的问题开始显现。
一位安全厂商人士表示,运营商对各安全设备和安全控制系统的管理分散,缺乏全网统一的集中控制和处理机制,难以从全局掌握全网的安全情况,很难及时调整安全策略以适应网络安全动态性和整体性要求。
“运营商的网络规模、覆盖以及用户数量远远超过一般企业,近几年其用户和业务一直在飞快增长,如中国电信,这使得运营商安全管理正面临了工作量巨大和管理运维人员较少的矛盾,所以构建SO C 是大势所趋。
”东软集团网络安全产品营销中心副总经理曹鹏表示。
“我们已经加大了对SOC 平台的研究,并增加了更多的安全人员,期待SOC 的尽快规模应用。
”中国电信运维部吴湘东告诉记者。
绿盟科技行业营销中心专家唐洪玉表示,安全管理平台有两类:一是运营型平台,即用来对运营商的用户提供安全服务,开展业务;二是运维型平台,即用于内部的安全运维管理。
中国电信dcoos服务中心建设方案
中国电信dcoos服务中心建设方案一、引言中国电信dcoos服务中心建设方案旨在搭建一个高效、稳定、安全的服务中心,为广大用户提供优质的服务。
本方案将从硬件设施、软件系统、网络架构和运维管理等方面进行详细规划和介绍。
二、硬件设施1. 机房建设:选择合适的机房位置,确保电力供应和空调设备满足需求,同时考虑防火、防水等安全措施。
2. 服务器配置:采用高性能、高可靠性的服务器,根据业务需求进行规模和配置的选择,保证系统的稳定性和可扩展性。
3. 存储设备:选用高性能的存储设备,满足大规模数据存储和访问需求,同时考虑数据备份和灾备方案。
4. 网络设备:选择可靠的网络设备,保证网络的稳定和安全,同时考虑网络负载均衡、防火墙等功能的配置。
三、软件系统1. 操作系统:选择稳定、安全的操作系统,如Linux或Windows Server,并进行相应的安全优化和配置。
2. 数据库系统:选用高性能、高可靠性的数据库系统,如Oracle 或MySQL,保证数据的稳定存储和快速访问。
3. 应用软件:根据业务需求选择合适的应用软件,如CRM、ERP等,保证系统的功能完善和业务支持。
4. 安全软件:配置安全软件,包括防火墙、入侵检测系统等,保障系统的安全性和稳定性。
四、网络架构1. 内外网划分:建立内外网隔离,确保内部系统的安全,并通过防火墙和访问控制等手段进行安全管理。
2. 网络拓扑:设计合理的网络拓扑结构,包括核心交换机、汇聚交换机、接入交换机等设备的布置,确保网络的稳定性和高可用性。
3. 带宽规划:根据业务需求和用户数量,规划合理的带宽资源,确保网络的流畅和响应速度。
4. IP地址规划:合理规划IP地址,保证网络设备的互联和管理的便捷性。
五、运维管理1. 监控系统:建立完善的监控系统,监控服务器、网络设备、数据库等关键资源,及时发现和解决问题。
2. 安全管理:建立安全管理制度,包括用户权限管理、系统日志审计、安全漏洞修复等,保障系统的安全性和稳定性。
中国电信省级业务平台综合网管系统功能规范
中国电信省级业务平台综合网管系统功能规范V1.0中国电信集团公司2012年4月目录1.1编写目的 (5)1.2适用范围.....................................................................................................1.3制定依据.....................................................................................................1.4起草单位.....................................................................................................1.5解释权.........................................................................................................1.6版权............................................................................................................. 2系统综述...................................................................................................................2.1建设背景.....................................................................................................2.2系统目标.....................................................................................................2.3管理范围.....................................................................................................2.4系统逻辑架构.............................................................................................2.5系统功能架构.............................................................................................2.6系统性能要求............................................................................................. 3系统功能要求...........................................................................................................3.1业务平台数据采集模块.............................................................................3.1.1自动发现功能......................................................................................3.1.2业务平台接口适配..............................................................................3.1.3采集调度管理......................................................................................3.2业务平台运行综合监控功能.....................................................................3.2.1监控管理通用功能..............................................................................3.2.2平台级监控..........................................................................................3.2.3业务级监控..........................................................................................3.3业务平台运行综合维护功能.....................................................................3.3.1集中业务查询处理..............................................................................3.3.2作业计划自动执行 (2)3.4业务平台运行统计分析功能.....................................................................3.4.1统计分析报表功能..............................................................................3.4.2平台网络运行分析..............................................................................3.4.3业务运行质量分析..............................................................................3.4.4专题化分析..........................................................................................3.5系统管理.....................................................................................................3.5.1用户与权限管理..................................................................................3.5.2安全管理..............................................................................................3.5.3系统自监控..........................................................................................3.5.4南北向接口异常监控报表..................................................................3.6系统接口功能.............................................................................................3.6.1与业务平台数据采集接口..................................................................3.6.2与集团级网管系统接口 (45)3.6.3与短信邮件通知接口..........................................................................3.6.4与集中告警系统接口..........................................................................3.6.5与省10000号服务能力前置模块接口..............................................3.6.6与省开通激活系统接口...................................................................... 4非功能性要求...........................................................................................................4.1系统平台要求.............................................................................................4.1.1主机平台..............................................................................................4.1.2操作系统..............................................................................................4.1.3数据库平台..........................................................................................4.2系统管理能力要求.....................................................................................4.3系统可靠性要求.........................................................................................4.4系统响应时间要求.....................................................................................4.5存储能力要求.............................................................................................4.6用户界面要求.............................................................................................4.7可维护性要求.............................................................................................4.8可扩展性要求.............................................................................................4.9开放性要求.................................................................................................4.10安全性要求.................................................................................................4.11其它要求.....................................................................................................1 文档说明1.1 编写目的本规范从业务需求出发,明确了省公司层面的业务平台综合网管系统的管理范围,提出了系统应具备的功能,并提出了对技术层面的基本要求,用于指导中国电信省级业务平台综合网管系统规划和建设。
中国电信 网络安全
中国电信网络安全中国电信(China Telecom)是中国最大的电信运营商之一,拥有庞大的网络基础设施,并提供各种电信服务,包括移动通信、固定电话、宽带等。
在网络安全方面,中国电信一直致力于保护用户的数据和网络安全,并采取了多种措施来应对网络威胁。
首先,中国电信加强了网络安全管理。
该公司建立了一套完善的网络安全管理体系,包括网络安全责任制、安全管理流程、监测与预警体系等。
网络安全责任制明确了各级管理人员的安全职责,确保网络安全措施得到有效执行。
安全管理流程规范了网络安全操作流程,包括入侵检测、漏洞扫描、安全审计等。
监测与预警体系能够及时发现并应对网络威胁,提高了网络安全防护能力。
其次,中国电信采用了先进的网络安全技术。
该公司部署了大规模入侵检测系统(IDS)和入侵防御系统(IPS),能够实时监测和防御网络入侵。
此外,中国电信还使用了漏洞扫描技术,及时发现和修复系统漏洞,防止黑客利用漏洞进行攻击。
另外,中国电信还投资大量资源进行恶意软件和病毒的防护,保护用户免受恶意软件和病毒的侵害。
再次,中国电信加强了数据安全保护。
该公司严格遵守相关法律法规,采取措施保护用户隐私和数据安全。
中国电信建立了数据安全管理体系,确保用户数据的机密性、完整性和可用性。
该公司还加强了内部安全管理,提高了员工的安全意识和保密能力,防止员工滥用或泄露用户数据。
最后,中国电信积极参与网络安全国际合作。
该公司与国内外的安全机构和厂商合作,共享安全情报和技术,加强网络安全合作和交流。
中国电信还定期举办网络安全培训和研讨会,提高员工和用户的网络安全意识和能力。
综上所述,中国电信在网络安全方面采取了多种措施,包括加强网络安全管理、采用先进的网络安全技术、加强数据安全保护以及积极参与网络安全国际合作。
通过这些努力,中国电信致力于保护用户的数据和网络安全,为用户提供安全可靠的电信服务。
电信运营商网络信息安全管控平台的设计研究
电信运营商网络信息安全管控平台的设计研究网络信息安全是当今社会高度关注的核心议题之一,特别是对于电信运营商来说,网络信息安全更是至关重要。
作为信息通信基础设施的提供者,电信运营商承担着保障用户通信数据安全的责任。
为了更好地保障网络信息安全,电信运营商需要建立一套完善的网络信息安全管控平台。
本文将从网络信息安全的重要性出发,探讨电信运营商网络信息安全管控平台的设计研究。
一、网络信息安全的重要性随着信息技术的发展,网络信息安全面临着越来越多的挑战。
网络攻击、数据泄露、恶意软件等安全问题时常发生,给用户造成了巨大的损失。
而作为网络信息基础设施的提供者,电信运营商更是承担着维护网络信息安全的责任。
从用户角度来看,网络信息安全的重要性主要表现在以下几个方面:1. 个人隐私安全:在网络时代,用户的个人信息往往被大规模地收集和利用,一旦这些信息泄需,将给用户带来严重的财产和精神损失。
2. 数据安全:企业的商业机密、财务信息等重要数据保存在网络上,一旦受到攻击或泄需,将对企业的发展和利益带来重大影响。
3. 公共安全:网络安全问题不仅仅是个人或企业的问题,还涉及到国家甚至全球的公共安全。
网络攻击和病毒传播都可能对整个社会造成严重影响。
网络信息安全不仅仅关乎个人的利益,更是关乎整个社会的稳定和安全。
电信运营商有责任建立完善的网络信息安全管控平台,保障用户的通信和数据安全。
电信运营商网络信息安全管控平台的设计研究,需要从网络安全管理、风险评估、攻防能力等多个方面进行考虑,并综合运用网络安全技术和管理手段,以达到提高网络信息安全保障能力、降低网络安全风险的目的。
下面将就设计研究中的关键点进行分析。
1. 网络安全管理网络安全管理是网络信息安全管控平台中的重要内容,主要包括安全策略的制定和执行、事件管理、安全检测与防护等内容。
对于电信运营商来说,需要根据自身的网络特点和业务需求,建立一套符合实际情况的网络安全管理体系。
这就需要制定相应的网络安全策略和规范,建立安全事件管理系统,进行安全检测与防护等工作。
中国电信后台管理系统
中国电信后台管理系统中国电信后台管理系统是中国电信公司用于管理和监控其网络和运营业务的重要工具。
该系统集成了各种功能模块,能够帮助中国电信实现对网络设备、用户账号、业务运营等方面的全面管理和控制。
本文将详细介绍中国电信后台管理系统的特点、功能以及对电信运营的影响。
一、系统特点中国电信后台管理系统具有以下特点:1. 高效性:系统采用高效的数据库和服务器技术,能够快速响应各种操作请求,保证系统的高可用性和高性能。
2. 安全性:系统通过各种安全防护措施,如身份验证、权限控制等,确保系统数据和用户隐私的安全。
3. 可扩展性:系统设计灵活,支持模块化、可插拔的架构,可以根据业务需求进行扩展和定制。
4. 数据分析功能:系统内置了强大的数据分析和统计功能,可以对网络设备的性能、用户行为等进行深度分析,为决策提供科学依据。
二、系统功能中国电信后台管理系统具有以下主要功能:1. 网络设备管理:系统可以对电信网络中的路由器、交换机、服务器等设备进行管理和监控,包括设备状态监测、性能监测、配置管理等。
2. 用户账号管理:系统可以管理电信公司的用户账号信息,包括用户注册、登录、注销等操作,同时还可以进行账号权限管理,确保用户只能访问其权限范围内的资源。
3. 业务运营管理:系统可以管理电信公司的各类业务,如宽带、手机、固话等业务,包括业务办理、套餐管理、费用统计等。
4. 故障管理:系统可以自动检测和诊断网络故障,并对故障进行分析和定位,便于运维人员及时处理。
5. 客户服务:系统提供客户服务功能,包括用户问题反馈、在线咨询、投诉处理等,提升用户满意度和服务质量。
三、对电信运营的影响中国电信后台管理系统对电信运营有着重要的影响:1. 提高管理效率:系统集成了各种管理功能,可以自动化处理许多繁琐的操作和任务,提高了管理效率,减少了人力成本和出错率。
2. 加强网络安全:系统对网络设备进行了全面管理和监控,可以及时发现和阻止潜在的安全威胁,提升了网络的安全性和稳定性。
中国电信需求分析报告
中国电信需求分析报告一、引言中国电信作为国内主要的电信运营商之一,为用户提供了广泛的通信服务。
本报告将对中国电信的需求进行分析,包括用户对网络质量、产品和服务、价格等方面的需求,并通过实际案例加以说明。
二、网络质量需求1. **稳定性**:用户期望网络连接稳定,减少断网和信号波动的情况。
2. **速度和覆盖范围**:高速的网络速度和广泛的覆盖范围是用户的基本需求。
3. **网络安全**:用户关注个人信息和网络交易的安全性。
三、产品和服务需求1. **多样化的套餐选择**:用户需要根据自身需求选择合适的套餐,如流量、通话时长、短信等。
2. **优质的客户服务**:及时、专业的客户服务对于解决问题和提升用户体验至关重要。
3. **创新的业务产品**:用户对新型业务如物联网、云计算等的需求不断增加。
四、价格需求1. **合理的价格策略**:用户希望获得价格合理、性价比高的电信服务。
2. **透明的收费标准**:清晰明确的收费规则和避免隐藏费用是用户的期望。
3. 优惠活动和套餐折扣:用户对优惠套餐和促销活动有较高的关注度。
五、实际案例分析1. **案例一**:某企业需要高速稳定的网络连接以支持其在线业务。
中国电信提供了专线接入服务,确保了网络的稳定性和速度,满足了企业的需求。
2. **案例二**:一位用户在使用手机流量时遇到问题,中国电信的客服人员及时响应并提供解决方案,提升了用户的满意度。
3. **案例三**:中国电信推出了智能家居套餐,包含宽带、手机流量和智能设备连接等服务,满足了用户对多元化产品的需求。
六、结论中国电信需要不断提升网络质量,提供多样化的产品和服务,制定合理的价格策略,以满足用户的需求。
通过实际案例可以看出,满足用户需求对于提升用户满意度和市场竞争力具有重要意义。
电信运营商网络安全管理制度
电信运营商网络安全管理制度网络安全一直是当今社会亟待解决的重要问题之一。
作为电信运营商,网络安全管理制度更是至关重要的一环。
本文将就电信运营商网络安全管理制度展开讨论。
一、网络安全的重要性网络安全是指网络系统的硬件、软件及其系统所要求的操作及数据的安全性。
对于电信运营商而言,网络安全的重要性不言而喻。
首先,电信运营商拥有海量用户数据,一旦泄露将对用户带来严重损失,同时也影响公司的声誉和信任度。
其次,电信运营商提供的通信服务涉及国家安全和社会稳定,一旦遭受网络攻击将带来巨大的危害。
二、电信运营商网络安全管理制度的基本要求1.建立完善的网络安全管理组织架构,明确各级责任人员及其职责,确保网络安全管理工作的顺畅开展;2.制定详细的网络安全管理规章制度,包括网络设备接入规范、数据加密传输规范、员工信息安全意识培训等;3.加强对网络设备和系统的监控和管理,确保网络系统的正常运行和安全稳定;4.建立健全的网络安全事件报告和处理机制,一旦发生安全事件能够及时响应和处理,降低损失;5.加强对员工的安全意识培训,提高员工对网络安全的重视和保护意识。
三、网络安全管理制度的执行与实施1.制定网络安全管理工作计划,明确工作目标和时间表,按照计划有序推进;2.加强网络系统日常巡检和监控,发现问题及时处理,确保网络的正常运行;3.建立网络安全事件应急响应机制,提前做好应急预案准备,一旦发生安全事件能够迅速有序应对;4.对所有网络设备和系统进行定期安全检查和评估,保证网络设备的稳定和安全性;5.定期组织员工参加网络安全相关培训,提高员工的网络安全意识,降低人为失误造成的安全风险。
四、网络安全管理制度的持续改进1.定期组织网络安全管理制度的评估和检查,发现问题及时整改;2.及时掌握网络安全领域的新技术和新方法,不断更新网络安全管理制度;3.积极参与行业内的网络安全演练和活动,增强网络安全防护能力;4.建立网络安全管理制度的反馈机制,定期梳理工作中存在的问题和风险,不断推动制度的完善和优化。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国电信网络安全管理平台功能需求中国电信集团公司网络运行与维护事业部2010年9月目录概述 (3)1.1 前言 (3)1.2 适用范围 (3)1.3 术语解释 (3)2 S OC平台功能及技术需求 (4)2.1 总体架构 (4)2.2 数据采集层 (5)2.2.1 数据采集 (6)2.2.2 采集管理 (7)2.2.3 与数据管理层的通讯适配 (8)2.3 数据管理层 (8)2.3.1 安全对象管理 (8)2.3.2 安全事件管理 (10)2.3.3 安全预警管理 (15)2.3.4 脆弱性管理 (17)2.3.5 安全告警管理 (20)2.3.6 安全响应管理 (22)2.3.7 安全风险管理 (23)2.3.8 知识库管理 (28)2.3.9 报表统计管理 (30)2.3.10 安全维护作业管理 (32)2.3.11 系统管理 (33)2.4 数据呈现层 (34)2.5 技术要求 (35)3 S OC平台接口需求 (35)3.1 接口类型 (36)3.1.1 内部接口 (36)3.1.2 外部系统接口 (38)3.2 接口协议要求 (39)概述1.1前言为保障IP网络安全,提高网络安全管理水平,促进网络安全管理工作规范化,中国电信需要规范化的网络安全管理平台(以下简称为SOC平台),为网络安全管理工作提供支撑,通过SOC平台能够完成IP网络异常流量监控、安全事件集中监控、安全风险评估、安全事件统计分析等安全工作,,提高了网络安全工作效率,增强了网络安全性。
为规范和指导中国电信SOC平台的推广建设工作,满足中国电信各省公司SOC平台的建设需求,集团公司网络运行维护事业部组织相关单位研究制定了本功能需求指引,以保证中国电信SOC平台需求的统一性和规范性。
1.2适用范围本文档适用于指导和规范中国电信集团及各省(自治区、直辖市)公司SOC平台的功能需求。
1.3术语解释脆弱性Vulnerability 存在于被威胁的客体上,可被威胁所利用而导致安全性问题,在实际使用中,漏洞和脆弱性经常被认为等同而不加区分地使用。
但在本指导意见中,漏洞是脆弱性的一个子集,专指可通过扫描器发现的脆弱性,其中部分具有国际上标准的CVE编号;而如企业没有安全管理负责人之类的脆弱性则不被认为是漏洞。
安全风险Risk 安全风险是一种特定的威胁利用脆弱性而引起信息丢失或者损害一种或一组安全对象的可能性。
2SOC平台功能及技术需求2.1 总体架构SOC平台的整体架构从逻辑上可分为三个层次:数据采集层、数据管理层、数据呈现层。
同时为了实现SOC平台与其他外部专业安全系统和管理系统的协同,SOC还应具备与外部专业安全系统、支撑系统之间的接口,如下图所示:图4 SOC平台总体架构➢数据呈现层:对SOC平台采集分析数据进行统一呈现,提供相应的Portal登陆查看界面;➢数据管理层:以安全风险管理为核心,实现安全对象管理、安全事件管理、安全告警管理、安全预警管理;以及脆弱性管理、安全响应管理、系统管理等。
⏹安全风险管理是通过对各类安全对象价值数据、威胁出现频率、脆弱性的严重程度与相关防护措施进行有效的定量和定性分析,可以实现安全对象的风险分析和呈现。
⏹安全对象是SOC平台进行风险管理的对象的统称,安全对象管理实现SOC平台中的安全对象的定义、分类方法、安全对象包含的管理属性信息维护等功能,实现安全对象采集、同步、维护等基本管理功能。
⏹安全事件管理实现对各类安全对象产生的安全事件收集、安全事件标准化、安全事件过滤、安全事件归并和安全事件关联的功能。
通过事件分析实现安全关联预警和呈现。
⏹安全告警管理主要实现对各种安全对象的安全告警监控管理,并提供监控告警视图的呈现。
实现被管安全对象的各类告警信息的可视化、威胁实时展示以及事件报警的图形化提示。
根据预先定义好的或者系统自动生成的安全基线模板,对设备安全状态及配置进行监控,对超出基线的变更进行实施监控告警;根据预先定义好的安全运维管理指标,进行实时的数据汇总和分析呈现。
⏹安全预警管理将获取到的安全威胁通告、高危的脆弱性信息、风险和事件分析获得的对IT环境产生的可能性进行合理的安全对象关联和运维组织、人员关联,实现对可能发生的威胁的提前通告。
⏹脆弱性管理实现对安全对象的脆弱性的识别、采集、分类和脆弱性级别的赋值管理等内容。
⏹安全响应管理实现安全事件从采集、处理、告警到人工的运维处理或自动化、流程化管理。
⏹知识库管理包括威胁库、脆弱性库、事件映射库、安全防护构件库、安全运行经验库管理等。
➢数据采集层:数据采集层采集数据主要有各类安全资源、对象的安全事件、安全漏洞、安全配置等安全信息,此类信息一般通过syslog、SNMP Trap、FILE、ODBC、SOCKET、XML等标准协议。
➢外部接口:SOC平台应提供与支撑系统、专业安全系统的外部接口。
2.2 数据采集层数据采集层能够完成对各类安全对象的原始安全数据的采集,在组成形式上数据采集层可以由多种形式的采集功能组件组合构成,支持分布式的采集处理架构;支持代理、无代理等多种采集方式。
2.2.1数据采集1、应支持对各类安全对象的标准接口协议的适配。
实现对包括安全对象的配置、运行状态、安全事件、脆弱性等数据的采集。
数据采集层应支持主流采集协议或接口方式,包括但不限于:⏹Syslog:采集各版本的unix、windows、linux,及支持Syslog协议的防火墙、路由器、交换机、防病毒和IDS等系统或设备;⏹SNMP、SNMPTrap V1、V2、V3:采集支持Snmp协议的防火墙、路由器、交换机、防病毒、终端补丁、IDS和应用系统等系统或设备;⏹FTP:采集开放FTP下载服务的应用系统的日志文件,例如Apache的日志文件;⏹OPSEC:采集CheckPoint防火墙的日志;⏹ODBC/JDBC:采集存储到于关系型数据库的应用系统日志;⏹通用文件:支持基于文件的日志采集,如通过FTP,NFS或SMB等获得日志文件的方式,并能够通过模板配置完成日志记录的格式化;⏹专用日志采集接口:对仅支持专用管理接口的系统,能够支持多种专用API采集接口和通用的采集调度能力,例如脆弱性扫描系统的API或接口XML文件、,Lotus Domino系统的Database API、Windows的WMI;⏹主机代理:提供不支持公共通讯协议或需要特殊解析的应用系统的日志采集能力。
1、应支持对各类安全对象的安全事件信息、脆弱性信息、安全设备的配置、性能和运行状态信息的采集。
2、应具备对采集的各类原始数据的预处理功能,包括对原始数据的本地缓存、格式标准化、校验、过滤、归并、压制等功能。
(1)应具备对采集的原始数据的本地缓存能力,自身具备存储原始数据能力,可根据管理策略配置原始数据的保存种类和保存期限;(2)应具备对不同格式的原始数据进行统一格式化处理的能力,标准化格式内容应至少包括:事件编号、事件原始信息、事件发生源设备地址、目的地址、源端口、目的端口、事件发生时间、事件采集时间、事件原始级别、重定义级别、采集器Agent编号、自定义格式属性等内容;数据采集层应具备针对不同采集对象的采集接口协议设定事件协议规则和格式化内容的能力;(3)应具备对标准化事件进行数据完整性和合理性校验的能力,支持通过Hash校验等方法等检查事件完整性,合理性校验应支持对事件时间戳、源地址、事件内容的合理性检查;(4)应具备对标准化事件按照规则策略进行事件过滤处理的能力,可以按照安全对象包含的事件属性进行过滤策略的设置,包括安全对象类型、事件类别、事件原始信息、事件发生源设备地址、目的地址、源端口、目的端口、事件发生时间、事件采集时间、事件原始级别、重定义级别、采集器Agent编号、自定义格式属性等;数据采集层应支持自定义的规则设定,支持各类正则表达式的过滤规则输入,并能按照事件的属性进行组合来过滤事件;(5)应具备对标准化事件按照规则策略进行事件归并处理的能力,例如支持按照安全对象如下事件属性进行归并处理:⏹事件名称或编号;⏹事件类型;⏹源进程;⏹目标进程;⏹攻击源;⏹攻击目标地址;⏹源端口⏹目的端口⏹原始时间;⏹被攻击设备类型。
2.2.2采集管理1、应支持采集配置管理功能,支持对采集组件的配置管理,主要包括采集器的增加、修改、删除,采集器的采集范围、采集目标、采集数据类型、采集策略、数据上传目标、数据上传策略等的配置和管理;2、应支持采集调度管理功能,实现对采集定时任务的调度,接收SOC平台上层模块下发的采集任务,根据任务进行任务调度;3、应支持数据采集存储和转发功能,对采集到的原始数据信息进行本地存储,以及根据上层模块的采集调用信息进行转发;4、应支持采集状态侦听功能,侦听数据采集层的通讯适配组件、任务管理组件、接口适配组件的工作状态,采集组件运行状态出现问题时,可自动尝试重起相关进程,也可接收上层模块下发的指令,启动或停止采集组件的功能进程;2.2.3与数据管理层的通讯适配数据采集层与数据管理层的通信适配组件主要用于同SOC平台的数据管理层进行通信,包括采集策略的获取和采集数据的上传,数据通信方式包括但不限于JMS、RMI、FTP、SOCKET、XML 等。
数据采集层北向通信适配接口主要包括两大类:●数据采集层与数据处理层的接口:用于数据采集层与数据管理层之间的通信,实现采集数据和采集器运行状态的上传。
●数据采集层与系统管理层的接口:用于数据采集层与系统管理层之间的通信。
实现采集策略和采集控制信息的传递。
2.3 数据管理层2.3.1安全对象管理安全对象是对SOC平台进行风险管理的对象的统称,归属于组织管辖范围的风险发生时的受体统称为安全对象,安全对象类型应包括:主机、网络设备、安全设备、应用系统、数据和信息。
安全对象的表现形式为其属性,包括通用属性及特有属性,通用属性为所有安全对象具备基本属性信息,特有属性为特有安全对象具备属性。
⏹安全对象应包含以下通用属性:●安全对象等级:安全对象在风险计算中的价值体现值;●安全对象名称:设备或系统名称;●安全对象编号:设备或系统编号;●操作系统:运行在安全对象上的操作系统,例如Windows2000 server、IBM AIX等;●安全对象类别:安全对象类别包括安全设备、网络设备、服务器、终端等;●IP地址:设备IP地址;●风险相对改善度:安全对象风险持续改善的程度,初始值为0,后面计算为风险改善的百分比;●响应人:安全对象维护相关人员;●责任人:安全对象负责管理人员;●所属业务系统:安全对象所在业务系统;●地理位置:安全对象所在的物理地理位置,例如北京、南京、上海等;●安全风险自动确认阀值:安全对象风险自动确认阀值,处于阀值以下的安全事件系统可以自动确认,处于阀值以上的安全事件必需要人工进行手工确认处理;●完整性:安全对象完整性赋值;●机密性:安全对象机密性赋值;●可用性:安全对象可用性赋值;⏹安全对象,除了具备以上通用属性外,对不同类型的安全对象,还应该具有以下特有安全属性:●主机或终端设备特有安全属性包括:➢防病毒属性:设备安装防病毒软件情况,用于查看主机或终端设备的病毒版本和病毒处理情况;➢补丁属性:设备已安装及未安装的补丁情况,用于查看补丁情况;➢承载业务:该主机上运行的应用软件,如应用系统、数据库等,用于核对服务应用情况;➢漏洞属性:主机的漏洞情况,用于查看漏洞情况;➢日志属性:主机运行日志记录,用于掌握主机安全运行状态;➢账号口令策略属性:主机的账号口令策略;➢主机端口配置属性;主机端口使用信息,包括开放的端口和服务;➢主机启动项配置变更属性:主机自动启动项的相关配置情况,用于检查主机启动项的完整性;➢主机文件配置变更属性:主机中重要文件的相关属性,用于检查重要文件的完整性;➢主机进程属性:主机中运行进程的相关情况,用于查看进程状态;➢操作系统配置属性:主机中操作系统配置情况,用于检查主机操作系统完整性;●安全设备特有安全属性包括➢日志:安全设备本身的安全日志信息,用于检查安全设备的安全运行信息;➢事件:指安全设备上已发生或正在发生的一些活动,需要关联到具体的设备,用于安全对象的事件关联;➢流量:安全设备流量信息,用于发现网络上的异常信息;➢接口状态:安全设备接口状态信息,如UP或DOWN等,用于检查接口使用状态;➢端口:安全设备端口信息,用于检查端口使用状态;●网络设备特有安全属性包括➢补丁:设备已安装及未安装的补丁情况,用于查看补丁情况;➢漏洞:网络设备的当前漏洞信息,用于查看漏洞情况,;➢日志:网络设备本身的安全日志信息,用于检查网络设备是否正常运行;➢接口状态:获取接口状态信息,如UP或DOWN等,用于检查端口使用状态;➢账号口令策略:交换机对账号口令的强制要求;➢配置变更-配置:网络设备上重要的配置文件,主要网络设备上的配置信息,检查网络设备配置完整性;➢事件:指路由器上已发生或正在发生的一些活动,需要关联到具体的设备,用于安全对象的事件关联;●其他应用系统特有安全属性包括➢日志:业务系统本身运行日志,用于检查业务系统本身的运行状态。