中国电信soc基础平台.pptxVIP

中国电信维护岗位认证教材（互联网安全维护专业）中国电信SOC基础管理平台目录第1章 SOC平台概述第2章 基础平台功能第3章 基础平台部署方案1.1 SOC平台定位SOC平台在网络安全体系中所处的地位SOC平台在网络安全体系中定位为——日常安全运维及管理的上层支撑平台提供对各种安全产品及系统的整合和协调，实现对各种安全对象、安全事件及数据的统一管理和集中分析将下面两层产生的大量安全信息进行统一分析和管理提高安全防护效率和整体安全水平SOC平台对各类安全对象（如主机、网络设备、应用系统等）采取的外围防护措施（如防火墙、IDS等），主要应对外部安全威胁安全产品防护各类安全对象自身的基础防护措施降低系统自身的安全风险 系统自身安全1.2 基础平台与安全子系统关系1.3 服务对象 SOC平台服务对象IP承载网及互联网业务网络：包括ChinaNet、CN2、DCN网络中的网络设备、城域网中的网络设备、网络安全设备、C网分组域、DNS 、认证系统等网运业务网络及系统：包括软交换、 网管系统、 OSS系统、C网业务平台及系统等电信内部业务网络及系统：包括互联星空、号百和商务领航等业务中的业务平台及系统等 1.4 目标架构支撑系统工单、告警等信息网管系统集团SOC平台工单系统集团数据同步信息专业安全系统和设备综合告警系统数据信息……安全对象集团-省SOC平台组网数据、通告信息支撑系统工单、告警等信息省SOC平台网管系统省数据同步信息专业安全系统和设备工单系统数据信息综合告警系统……安全对象数据信息本地网安全对象1.5 建设目标实现安全告警信息由分散查看、分散处理到集中查看、集中分析、集中监控响应形成“两级平台，三级监控”的集中化全网安全监控管理能力为中国电信网络及重要系统的安全事件管理、安全风险分析等提供全方位的技术支撑手段，并提供相应的制度和知识支撑提高安全事件处理效率及质量，实现中国电信日常安全运维及管理工作流程化、制度化为IP网络及业务系统的建设、运营和维护等提供更系统的安全技术支持目录第1章 SOC平台概述第2章 基础平台功能第3章 基础平台部署方案2.1功能 基础平台以安全风险管理为核心，以安全事件管理为关键流程，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理数据呈现层：对SOC平台采集分析数据进行统一呈现，提供相应的Portal登录查看界面数据管理层：以安全风险管理为核心，实现安全对象管理、安全事件管理、安全告警管理、安全预警管理、脆弱性管理、安全响应管理、系统管理等数据采集层：采集数据主要包括各类安全资源、对象的安全事件、安全漏洞、安全配置等信息专业安全子系统：将监控和告警信息提交给数据管理层进行统一分析和呈现外部接口：提供与网管系统、工单系统等支撑系统接口2.2安全事件采集及处理3.归并4.分类5.压缩2.规范化异常流量清洗设备 安全操作审计设备 流量监测设备 路由器/交换机 Unix Server 其他 Firewall 漏洞扫描设备 防病毒网关Windows Server IDS/IPS1.过滤采集器2.2安全事件关联分析安全事件关联分析作用从大量的告警中过滤掉无用告警，并对真正有威胁的告警进行优先级的确定。通过关联分析可以发现违反安全策略的违规行为或告警代替了人们过去手工查找风险事件的工作，大大简化并加快了对安全事件的监控。安全事件关联分析功能 SOC安全事件关联分析功能就是采用基于规则、基于统计、基于资产、基于行为的关联方法，综合分析安全告警，来深度挖掘安全隐患、判断安全事件的严重程度。从而重构整个攻击场景，降低误报率，帮助安全监控人员分析出网络中潜在的安全隐患。规则库管理具有预先定义关联规则功能，同时也具有查询、删除、更新功能；关联规则表达式支持规则的多级嵌套，前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理；规则库管理提供多种事件关联规则定义的方式，既包括通过简单明了的向导创建关联性规则，也可以允许用户使用类似脚本语言的方式；可根据安全事件发生的因果关系，进行逻辑上关联分析；关联分析引擎应具备对已制订的关联规则的合法性校验功能2.2事情关联分析三种关联分析规则基于规则的事件关联漏洞关联分析基于统计的关联分析2.3安全预警 安全预警管理是根据来自内部预警信息、外部预警信息分析获得。是对可能发生的威胁的提前通告。安全预警是一种有效预防措施，和安全对象、风险管理等功能紧密联系在一起。安全预警来源外部预警：它是由国家上级主管部门、安全服务提供商、防病毒软件提供商和设备软件厂商提供的。这种预警一般相关人员收集录入后，需要由管理人员进行审核后才能成为预警，所以模块必须提供人工审核干预的功能；内部预警：来源是SOC平台内部的预警信息，和事件、脆弱性相关联。内部预警根