中国电信网络安全管理平台推广与建设指导意见(doc 69页)

  • 格式:doc
  • 大小:6.27 MB
  • 文档页数:127

下载文档原格式

  / 127
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1概述

1.1前言

中国电信通信网络和支撑系统是国家基础信息设施,从国家要求和企业自身业务的要求考虑,都迫切需要提高信息安全保障水平。为了保证中国电信的网络安全,提高中国电信的网络安全保护水平,促进中国电信的网络安全管理工作流程化,需要建设网络安全管理(SOC,Security Operation Center)平台为安全管理工作提供一个支撑平台。目前中国电信已在集团、江苏二个节点建设了试点SOC平台,初步构建了二级SOC 平台架构,初步具备了对于中国电信IP网的网络异常流量监控、安全事件的集中监控、安全风险评估、垃圾邮件集中自动化处理等能力, 提高了网络安全工作的效率,增强了网络安全性。随着网络安全工作的不断深化,中国电信各省电信公

司也纷纷提出了SOC平台的建设需求。

为进一步规范和指导中国电信各省公司SOC平台的推广建设工作,集团公司网络运行维护事业部组织相关单位研究制定了本指导意见,保证中国电信SOC平台建设工作的统一和有序开展。

1.2适用范围

本文档适用于指导中国电信集团及各省SOC平台的规划及建设工作。

1.3术语解释

网络

安全管理平台SOC平台

网络安全管

理平台是实

现信息安全

管理的技术

支撑平台。它

以风险管理

为核心,为安

全运营和管

理提供支撑。

安全对象Security Object 用于网络安

全保护工作

和网络安全工作保护的企业网络、设备、应用、数据称为安全对象,安全对象的价值不仅仅包括其采购价值,还包括其受侵害后导致的企业损失。

安全事件Security Events 由计算机信

息系统或者

网络中的各

种计算机设

备,例如主

机、网络设

备、安全设备

等发现并记

录下的各种

可疑活动被

称为安全事件。

安全策略Security Policy安全策略是

各种论述、规

则和准则的

集合,以供解

释和说明网

络资源使用

以及网络和

业务保护的

方式和要求。

从用户的角

度看,安全策

略定义了一

个合法的用

户可以作什

么,它会说明

哪些信息被

保护。

威胁Threat 安全威胁是

一种对系统、

组织及其资产构成潜在破坏能力的可能性因素或者事件。

脆弱性Vulnerability 存在于被威

胁的客体上,

可被威胁所

利用而导致

安全性问题,

在实际使用

中,漏洞和脆

弱性经常被

认为等同而

不加区分地

使用。但在本

项目中,漏洞

是脆弱性的

一个子集,专

指可通过扫

描器发现的

脆弱性,其中

部分具有国际上标准的CVE编号;而如企业没有安全管理负责人之类的脆弱性则不被认为是漏洞。

安全风险Risk 安全风险是

一种特定的

威胁利用脆

弱性而引起

信息丢失或

者损害一种

或一组资产

的可能性。

1.4参考文献

2SOC平台定位及建设目标

2.1 SOC平台定义

随着安全问题越来越被各个企业所重视,企业都开始部署了大量的安全产品,但是大量的安全产品部署及其相关的安全事件信息也给企业带来了巨大的可管理性问题。

针对这个问题,安全管理平台SOC(Security Operation Center)平台成为目前很多大型行业尤其是电信行业用户关注的一个建设方向。安全运行管理中心是一种管理形式,是介于现有安全系统和管理者之间的一种管理形式。

SOC平台将与安全有关的产品、方案等进行整合,提供一个统一的安全管理界面。对于现有安全系统而言,安全管理平台的地位是管理者,汇总所有的安全问题,实现集中管理和监控;对于企业的安全管理组织及人员而言,安全管理平台是一个技术实现平台,管理者可以利用安全管理平台开展日常的安全工作,使得安全工作日常化、制度化。

2.2 SOC平台在网络安全体系中所处的地位

网络安全体系通常体现在三个层面:第一层,各系统自身安全防护,是各应用系统和安全对象自身的基础防护措施,降低自身的安全风险;第二层,安全产品防护,是在各系统自身基础防护措施之上,对应用系统和安全对象采取的外围防护措施,主要应对外部的安全威胁;第三层,统一安全管理,是通过安全集中管理将系统自身安全防护以及外围安全防护产品所产生的大量安全信息进行统一分析和管理,以提高安全防护效率和整体安全水平。

SOC平台位于网络安全体系最上层,为中国电信网络和业务支撑系统提供安全保障。

(待修改)

2.3 SOC平台在网络管理和支撑系统中所处的地位

SOC平台在网络管理和支撑系统中的地位如下图所示:

SOC安全管理平台是一个为安全管理及运维提供安全技术支撑的平台,在IT管理系统中与网

管系统NOC的地位类似。

SOC平台与网管系统既有联系又有区别。二者都通过采集网络设备、主机设备的Syslog获得处理的数据源,但网管系统主要处理网络和主机设备的硬件故障信息,如端口的up\down,内存使用状况等,SOC平台主要处理安全方面的信息,如用户在设备上的登入、登出信息、端口流量等;另外,SOC平台的数据源除主机系统和网络设备外,还包括安全设备以及相关专业安全子系统。

如果已部署网管系统,可由网管系统将原始Syslog信息转发给SOC平台,由SOC平台完成对Syslog中安全信息的处理,从网管系统接受Syslog后,SOC平台通过策略过滤与硬件相关的信息,只处理相关的安全信息。

为实现与其他管理系统的整合,SOC平台还需要与其他管理系统建立接口,如与运维工单进行接口,SOC平台将SOC告警事件无缝流转到运维工单,运维工单处理完成后,将处理完成信息返回给SOC平台,实现安全信息的闭环处理。

2.4 SOC平台的服务对象

目前中国电信维护和管理的各个网络和系统