中国电信SOC基础平台课件.ppt

中国电信维护岗位认证教材（互联网安全维护专业）;*;1.1 SOC平台定位;*;*;*;*;*; ;2.2安全事件采集及处理;安全事件关联分析功能 SOC安全事件关联分析功能就是采用基于规则、基于统计、基于资产、基于行为的关联方法，综合分析安全告警，来深度挖掘安全隐患、判断安全事件的严重程度。从而重构整个攻击场景，降低误报率，帮助安全监控人员分析出网络中潜在的安全隐患。 规则库管理具有预先定义关联规则功能，同时也具有查询、删除、更新功能； 关联规则表达式支持规则的多级嵌套，前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理； 规则库管理提供多种事件关联规则定义的方式，既包括通过简单明了的向导创建关联性规则，也可以允许用户使用类似脚本语言的方式； 可根据安全事件发生的因果关系，进行逻辑上关联分析； 关联分析引擎应具备对已制订的关联规则的合法性校验功能 ;2.2事情关联分析;安全预警来源 外部预警：它是由国家上级主管部门、安全服务提供商、防病毒软件提供商和设备软件厂商提供的。这种预警一般相关人员收集录入后，需要由管理人员进行审核后才能成为预警，所以模块必须提供人工审核干预的功能； 内部预警：来源是SOC平台内部的预警信息，和事件、脆弱性相关联。内部预警根据预先定义的、对事件的响应规则自动或手动生成的。;2.4脆弱性管理;2.5漏洞管理;配置脆弱性： SOC平台收集安全对象与安全相关的系统信息，通过与相关安全基线的比较，将不符合基线的配置作为弱点汇集到脆弱性管理模块，显示安全对象的安全脆弱性信息。 安全基线：主机或网络设备操作系统安全性设置标准，指导设备管理人员或安全管理人员进行设备安全配置。;完整性检查：根据制定的安全策略对指定的文件或网络配置进行读取，并根据策略要求生成相应的基线状态值（文件属性、文件内容、哈希值等）。通过定制完整性检测任务，定时获取受监控数据的当前状态值，与基线状态值进行比较，发现数据偏离，通过各种方式通知安全管理人员进行进一步处理。;2.8安全告警管理;2.8安全事件告警;2.8漏洞告警;2.8配置变更及脆???性告警;什么是安全风险? 安全风险是一种特定的威胁利用脆弱性而引起信息丢失或者损害一种或一组安全对象的可能性。;安全风险模型;安全风险计算原理图;2.9风险管理;2.9风险管理;2.10安全知识库;2.10安全事件库;2.10漏洞库;2.10安全经验库;2.10安全规章制度库;2.11安全等级保护库;2.11安全等级保护库;2.12安全维护作业管理;2.12安全维护作业模板管理;2.12安全维护作业制定与模板领取;2.12安全维护作业执行与检查情况;2.13工单运维管理;*;2.14统计分析报表;*;*;*;*;两级平台，三级监控：中国电信SOC平台目标架构采用“集团SOC平台+省SOC平台”二级架构，集团SOC平台与省SOC平台之间通过接口实现互通，省SOC平台的管理范围可延伸到本地网一级，从而形成“两级平台，三级监控”的全局网络安全管理能力 SOC平台应作为中国电信网络安全事件处理的唯一出口,与其它系统进行互通 冗余性要求 SOC平台组网规划和设计应具有较高的可用性和可扩展性。 SOC平台组网应保留一定的备用地址，以满足业务扩展的需求。 SOC平台组网应采用必要的节点冗余以保证网络具有抗灾以及灾难恢复能力 SOC平台组网的节点应有设备级、链路级冗余保护的相关设计; ; ;;*