1概述1.1前言中国电信通信网络和支撑系统是国家基础信息设施，从国家要求和企业自身业务的要求考虑，都迫切需要提高信息安全保障水平。

为了保证中国电信的网络安全，提高中国电信的网络安全保护水平，促进中国电信的网络安全管理工作流程化，需要建设网络安全管理（SOC，Security Operation Center）平台为安全管理工作提供一个支撑平台。

目前中国电信已在集团、江苏二个节点建设了试点SOC平台，初步构建了二级SOC 平台架构，初步具备了对于中国电信IP网的网络异常流量监控、安全事件的集中监控、安全风险评估、垃圾邮件集中自动化处理等能力, 提高了网络安全工作的效率，增强了网络安全性。

随着网络安全工作的不断深化，中国电信各省电信公司也纷纷提出了SOC平台的建设需求。

为进一步规范和指导中国电信各省公司SOC平台的推广建设工作，集团公司网络运行维护事业部组织相关单位研究制定了本指导意见，保证中国电信SOC平台建设工作的统一和有序开展。

1.2适用范围本文档适用于指导中国电信集团及各省SOC平台的规划及建设工作。

1.3术语解释网络安全管理平台SOC平台网络安全管理平台是实现信息安全管理的技术支撑平台。

它以风险管理为核心，为安全运营和管理提供支撑。

安全对象Security Object 用于网络安全保护工作和网络安全工作保护的企业网络、设备、应用、数据称为安全对象，安全对象的价值不仅仅包括其采购价值，还包括其受侵害后导致的企业损失。

安全事件Security Events 由计算机信息系统或者网络中的各种计算机设备，例如主机、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。

安全策略Security Policy安全策略是各种论述、规则和准则的集合，以供解释和说明网络资源使用以及网络和业务保护的方式和要求。

从用户的角度看，安全策略定义了一个合法的用户可以作什么，它会说明哪些信息被保护。

威胁Threat 安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。

脆弱性Vulnerability 存在于被威胁的客体上，可被威胁所利用而导致安全性问题，在实际使用中，漏洞和脆弱性经常被认为等同而不加区分地使用。

但在本项目中，漏洞是脆弱性的一个子集，专指可通过扫描器发现的脆弱性，其中部分具有国际上标准的CVE编号；而如企业没有安全管理负责人之类的脆弱性则不被认为是漏洞。

安全风险Risk 安全风险是一种特定的威胁利用脆弱性而引起信息丢失或者损害一种或一组资产的可能性。

1.4参考文献2SOC平台定位及建设目标2.1 SOC平台定义随着安全问题越来越被各个企业所重视，企业都开始部署了大量的安全产品，但是大量的安全产品部署及其相关的安全事件信息也给企业带来了巨大的可管理性问题。

针对这个问题，安全管理平台SOC（Security Operation Center）平台成为目前很多大型行业尤其是电信行业用户关注的一个建设方向。

安全运行管理中心是一种管理形式，是介于现有安全系统和管理者之间的一种管理形式。

SOC平台将与安全有关的产品、方案等进行整合，提供一个统一的安全管理界面。

对于现有安全系统而言，安全管理平台的地位是管理者，汇总所有的安全问题，实现集中管理和监控；对于企业的安全管理组织及人员而言，安全管理平台是一个技术实现平台，管理者可以利用安全管理平台开展日常的安全工作，使得安全工作日常化、制度化。

2.2 SOC平台在网络安全体系中所处的地位网络安全体系通常体现在三个层面：第一层，各系统自身安全防护，是各应用系统和安全对象自身的基础防护措施，降低自身的安全风险；第二层，安全产品防护，是在各系统自身基础防护措施之上，对应用系统和安全对象采取的外围防护措施，主要应对外部的安全威胁；第三层，统一安全管理，是通过安全集中管理将系统自身安全防护以及外围安全防护产品所产生的大量安全信息进行统一分析和管理，以提高安全防护效率和整体安全水平。

SOC平台位于网络安全体系最上层，为中国电信网络和业务支撑系统提供安全保障。

（待修改）2.3 SOC平台在网络管理和支撑系统中所处的地位SOC平台在网络管理和支撑系统中的地位如下图所示：SOC安全管理平台是一个为安全管理及运维提供安全技术支撑的平台，在IT管理系统中与网管系统NOC的地位类似。

SOC平台与网管系统既有联系又有区别。

二者都通过采集网络设备、主机设备的Syslog获得处理的数据源，但网管系统主要处理网络和主机设备的硬件故障信息，如端口的up\down，内存使用状况等，SOC平台主要处理安全方面的信息，如用户在设备上的登入、登出信息、端口流量等；另外，SOC平台的数据源除主机系统和网络设备外，还包括安全设备以及相关专业安全子系统。

如果已部署网管系统，可由网管系统将原始Syslog信息转发给SOC平台，由SOC平台完成对Syslog中安全信息的处理，从网管系统接受Syslog后，SOC平台通过策略过滤与硬件相关的信息，只处理相关的安全信息。

为实现与其他管理系统的整合，SOC平台还需要与其他管理系统建立接口，如与运维工单进行接口，SOC平台将SOC告警事件无缝流转到运维工单，运维工单处理完成后，将处理完成信息返回给SOC平台，实现安全信息的闭环处理。

2.4 SOC平台的服务对象目前中国电信维护和管理的各个网络和系统已经呈现出集中安全管理的迫切需求，C网的投入运营也对网络安全工作提出了新的要求。

同时在中国电信全业务运营的新形势下，各类安全业务也正在进行积极的研发和推广。

中国电信SOC 平台应能满足新时期的新需求，以向中国电信IP 网提供网络安全管理服务为主，同时向电信内部网络和系统推广，逐步发展安全代维业务。

因此，SOC平台的服务对象主要包括中国电信IP网、中国电信内部网络以及互联网接入用户：1.中国电信IP网➢IP承载网：ChinaNet、CN2中的设备管理，包括：网络链路、网络设备、网络安全设备等；➢网络和业务支撑系统：支撑ChinaNet、CN2运行的支撑系统，包括：DNS、网管系统、认证系统、计费系统等；➢业务网络：在IP承载网之上运行的业务网络，包括：软交换、C网分组域等。

2.中国电信内部用户➢内部网络：对外封闭的电信内部网络，包括：办公网、DCN等；➢业务系统：提供中国电信互联网应用的业务系统，如C网业务系统、互联星空、号百、商务领航等。

3.互联网接入用户为有安全服务需求的客户网络提供安全代维、DDOS攻击防御、安全网关等电信级安全业务的集中业务管理。

从功能、性能和成本等方面综合考虑，各省公司原则上应建设一套统一的SOC平台为三类对象提供服务，在实际建设中若由于网络隔离等技术条件的限制，可根据具体情况进行考虑。

2.5 SOC平台的管理范围从集团及各省SOC平台的管理范围及职能来看：集团SOC平台的管理范围主要包括：IP承载网骨干网、集团层面的相关业务系统以及内部支撑系统的相关设备及其安全系统。

同时，集团SOC平台还应承担对各省安全管理工作的支撑职能，如安全策略的下发、安全预警发布，安全知识的共享、省际安全事件的协同分析及处理等。

各省的SOC平台则主要负责各省管辖范围内的IP城域网、相关业务系统以及各省内部支撑系统的相关设备及其安全系统。

同时，各省SOC平台应根据电信集团的相关规范要求，为集团提供相应信息及数据支撑，如安全事件的上报、安全数据的统计及汇报等。

2.6 SOC平台建设目标（加一段帽子）通过集团及各省SOC平台的建设，将使集团及各省初步实现达到以下目标：●由各类业务系统中各安全系统告警信息的分散查看，到集中查看、集中分析、集中处理，形成“两级平台，三级监控”的集中化全网安全监控管理能力；●为中国电信网络及重要系统的安全事件管理、安全风险分析提供全方位的技术手段，形成信息化的、自动的、动态的安全风险评估及事件管理系统；●为中国电信日常安全运维及管理工作提供流程化、制度化的支撑平台。

自动实现采集与分析，并将告警通过工单接口直接派发工单至相应责任人，固化处理流程，并提供相应的制度和知识支撑，提高安全事件处理效率及质量，使安全运维管理日常化、自动化；●为中国电信网络安全业务的推出提供技术储备；●为业务系统的建设、市场运营和维护等提供安全技术支持；●逐步实现从中国电信IP网、中国电信内部网络和系统到电信外部客户的安全管理能力。

3SOC平台功能及技术要求3.1 SOC平台目标功能架构SOC平台的目标功能架构从逻辑上可分为以下几个层次：数据发布层、安全事件处理层、数据采集层、协议服务层、安全对象层、外部接口层，如下图所示：➢ 数据发布层：对SOC 平台采集分析的数据进行统一呈现，同时对专业安全子系统以B/S 方式统一纳入SOC 平台进行管理，并通过统一门户和统一认证实现多个专业安全子系统的单点登录和集中授权管理。

IP 承载网、IP 网网络和业务支撑系安全防终端主网络应IDS 防补丁…协议SNMP/NetfSyslTeXM…数据事件漏洞配置资产性能安全事件专业安全垃圾邮件处理系统 异常流量监控系统 域名安全分析系统 防御平台网管系统 攻击溯源分析系统 僵尸网络监控系统 安全态势分析系统蜜罐系统 终端安全管理系统…………SOC 主体功能脆弱性管理安全事件管理安全风险管理安全告警管理资源管理系统接口网管系统接口综合告警系统接口 电子工单系统接口 安全业务系统接口 计费帐务系统接口 3A 系统接口 上下级平台接口 其它系统外部安全服务管理风险分析风险控制安全响应管理安全对象管理安全预警管理安全运维管理知识库管理报表统计管理安全作业管理对外保障服务管理权限管理日志管理数据统一门户、统一认证安全策略管理安全任务管理 信息发布及BBS 系统管理任务调度告警 漏洞 展现内容 风险 事件 性能 配置 预警 考核 报表 …… 用户身份管理用户管理权限管理➢安全事件处理层：主要包括对安全对象的管理、安全风险的呈现和处理、安全事件和脆弱性的关联以及对事件、脆弱性、完整性等安全信息的处理功能；同时提供策略库统一规划网络相关策略，提供知识库作为安全人员处理事件的参考。

➢数据采集层：主要负责对安全事件、安全脆弱性等安全信息的收集。

➢协议服务层：针对网络中多种事件源，事件采集接口需要提供多种采集方式对安全事件进行采集➢安全对象层：SOC平台所管理的资产，包括主机、网络设备、数据库管理系统、安全设备（如防火墙、IDS/IPS等）、应用系统、数据和信息、多个安全对象构成的安全对象组等。

➢应用接口层：SOC平台是一个综合管理系统，在对相关安全信息进行处理时，需要通过应用接口层与其他应用管理系统之间进行数据交互。

应用接口层包括与电子工单系统接口、网管系统接口、安全业务接口等。