江苏电信：SOC建设介绍

在 2007 年通信行业网络信息安全高峰论坛上，江苏电信介绍了他们的SOC。摘录如下：

下面简单介绍一下江苏电信在宽带互联网的安全管理方面的一些做法。分成四个方面，一是通过建章立制来建成网络安全管理体系，二是运用安全管理平台实现集中统一的安全管理，三是如何实施蠕虫病毒等异常流量的监控，四是双因素口令认证系统对宽带核心网设备的保护。

首先介绍一下在安全管理方面的做法。中国电信江苏公司一直认为网络安全是“三分靠技术、七分靠管理”的工作，虽然很多解决网络安全问题的做法都要靠一些技术的手段，但管理方面的工作是运营商抓网络安全的一个基本保障。我们实际工作中也发现，很多的网络安全问题是由于管理上的疏忽，一些具体的制度执行不严等原因造成的。我们认为在跟踪技术变化，采取技术手段的同时，更要注重健全各项管理的制度，并检查执行情况。
江苏公司目前在省公司以及市级公司的明确了网络安全的管理机构，明确职责，在省公司配置了两名专职的网络安全管理员，在各个分公司配置了一到两名的兼职的网络安全管理员，就是建立起我们省市沟通的一个网络安全管理的一个渠道。网络安全管理员负责所辖区内的网络安全的整体管理工作，督促具体部门、人员，按照既定的网络安全的规则、制度落实网络安全技术措施。同时通过定期地组织网络安全管理员的培训，跟踪技术发展的趋势，沟通网络安全防范以及网络安全工作实施的心得、体会。随着近年来突发性的网络安全事件日益增多，我们也针对性地组织进行网络安全演练，通过制订网络安全预案，强化紧急情况下的应急处理方法。

第二部分，我介绍一下运用安全管理平台实施集中统一的安全管理。江苏电信作为中国电信集团公司安全管理平台的唯一试点省份，参与实施了SOC（安全管理平台）项目，在实施项目之前，电信各级网络中的网络安全设备种类比较多，数量也比较多，通过这些设备采集到的大量的网络安全事件，分散在各个独立的设备上，有的是在路由器上，日志服务器上，防火墙上，设备之间无法共享信息，只能反映局部的情况。通过实施安全管理平台，将分散在各个设备上的安全事件进行集中地收集汇总。

SOC是一个管理安全事件的平台，是网络安全数据的处理中心和指挥中心，它具备统一的安全事件的一个收集分析的功能、统一的安全设备的管理的功能，实施一个全面的告警和响应的管理，与电信的OSS系统进行有效地衔接，调度我们整个维护的体系。同时我们也通过门户网站以及案例，分享安全管理方面的心得。

安全管理平台体系结构分成三个层面，采集层、核心层和展现层，在采集层主要是通过各种SOC或者是数据库各类一些接口，收集我们设备的安全事件，脆弱性、系统配置的一些项目，并进行一些标准化的处理，给后期的分析提供格式化标准的一些信息。

在核心层主要是利用各种的引擎，对于标准化后的事件、漏洞、配置项，结合资产的信息展开分类的分析。将分析结果保存到专用的数据库中，用于日常的监控和问题的排查。在展现层主要是通过监控并处理高风险的告警，结合配置数据库实现各种安全服务的管理，包括故障、预警、变更、考核、支持管理等。

SOC平台在实施的时候，是以资产管理为核心，强化的主要是风险的管理。目前已经将绝大部分符合条件的设备纳入安全管理平台统一管理，这样所有城域网的核心路由器，所有的网络安全设备防火墙还有入侵监测设备，主流的应用系统主机，比如说我们像用户提供的DNS服务，邮件服务，宽带用户上网进行认证和费用的认证计费系统等都已经纳入其中。通过SOC平台内置的扫描引擎，定期扫描设备的漏洞以及配置的脆弱性，并根据扫描结果组织各级分公司进行漏洞的修补。

在SOC平台使用中也取得了不少的效果。一是通过主动的漏洞扫描能够发现问题，因为漏洞扫描是通过一些厂商的技术手段，替代人为的检测，相对来说比较标准化。二是大量减少了重复的告警，分散在各个设备上的告警数量很多，如果说每一个告警都需要逐一来判断、分析的话，目前的人力是远远不够的，通过进行归整以后，我们大量地重复告警、大量的相同的，级别比较高的就归整到高风险的告警上，在我们现有的人力范围内，得到了配置的最优化。SOC平台提供统计分析功能，可以提供各种报表。