YD/T 1800-2008
基本信息
标准号: YD/T 1800-2008
中文名称:信息安全运行管理系统总体架构
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:547959
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1800-2008.Framework of Information Security Operation Center.
1范围
YD/T 1800规定了信息安全运行管理系统的总体架构。
YD/T 1800适用于通信运营企业对信息安全运行管理系统的研究、规划、设计、建设、测试和采购,也可供其他行业参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19716- -2005信息技术信息安全管理实用规则
GB/T 18336- -2001信息技术安全技术信息技术安全性评估准则
GB/T 19715.1- -2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型
GB/T 19715.2- -2005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全
GB/T 5271.8- -2001信息技术词汇第8部分:安全
3术语和缩略语
GB/T 5271.8-2001中的术语和定义适用于本标准,另外以下术语和定义也适用于本标准。
3.1 术语
3.1.1信息系统Information System
信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。
3.1.2安全对象 Security Object
网络安全工作保护的企业网络、设备、应用、数据称为安全对象,安全对象的价值不仅仅包括其采购价值,还包括其受侵害后导致的企业损失。
SOC本身也是一种安全对象。
1范围
YD/T 1800规定了信息安全运行管理系统的总体架构。
YD/T 1800适用于通信运营企业对信息安全运行管理系统的研究、规划、设计、建设、测试和采购,也可供其他行业参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19716- -2005信息技术信息安全管理实用规则
GB/T 18336- -2001信息技术安全技术信息技术安全性评估准则
GB/T 19715.1- -2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型
GB/T 19715.2- -2005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全
GB/T 5271.8- -2001信息技术词汇第8部分:安全
3术语和缩略语
GB/T 5271.8-2001中的术语和定义适用于本标准,另外以下术语和定义也适用于本标准。
3.1 术语
3.1.1信息系统Information System
信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。
3.1.2安全对象 Security Object
网络安全工作保护的企业网络、设备、应用、数据称为安全对象,安全对象的价值不仅仅包括其采购价值,还包括其受侵害后导致的企业损失。
SOC本身也是一种安全对象。
标准图片预览
标准内容
ICS33020
中华人民共和国通信行业标准
YD/T 1800-2008
信息安全运行管理系统总体架构Framework of Information Security Operation Centel2008-05-04发布
2008-08-01实施
中华人民共和国工业和信息化部发布前
1范围:
2规范性引用文件·
3术语和缩略语·…
3.1术语bzxZ.net
3.2缩略语
4:信息安金运行管理系统架构·5信息安全运行管理系统主体功能·5.1
安个策略管理
安企预警管理
5.3安个事们管理
:5.4安全对象风险管理·
流程管理
5.6安全知识管理
6信息安全运行管理系统信息接口要求6.1内部接口…·
6.2外部接口…
7.信息安全运行管理系统自身安企管理要求-8信息安全运行管理系统技术要求·次
附录A(资料性附录)网络与信息安金管理体系ISMS..参考女献
YD/T 1800-200B
YD/T1B00-2008
信息安全运行管理系统的技术标准体系由总体架构和相关功能规范、接口规范组成。总体架构定义安全运行管理系统的技术架构:功能规范定义安全运行管理系统各项功能要求;接口规范定义安全运行管理系统内部接口和外部接口。信息安全运行管理系统的技术标准列表如下:1.信息安全运行管理系统总体渠构2.信息安全运行管理系统功能方面的规范1)信息安全运行管埋系统安个策略管理功能规范:2)信息安全运行管埋系统安全事件管理助能规范3)信息安全运行管理系统安个预警管理功能规范:4)信息安全运行管理系统安全对象风险管理功能规范;5)信息安全运行管理系统安全流程管理功能规范:6)信息安全运行管理系统安全知识管理功能规范:3.信息安全运行管理系统接口方面的规范1)信息安全运行管理系统与被监控设备的接口规范:2)信息安全运行管理系统导入安全评估结果的接口规范:3)信息安全运行管理系统导入预警信息的接口规范4)信息安全运行管理系统之间的接口规范:5)信息安金运行管理系统与网管系统的接口规范:6)信息安全运行管理系统与其他管理系统的接口规范。本标准的附录A为资料性阴录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:中国移动通信集团公司、国家计算机网络与信息安全管理中心、亿阳信通有限公司、武汉邮电科学研究院、西安邮电学院本标淮主要起草人:刘楠、黄元飞、周智、曾剑隽、舒敏、崔翔引
YD/T 1800-2008
随差通信业务越来越依赖网络和信息系统,网络与信息的安全性也日益重要。但是目前在网络与信息安全的管理上仍然存在不足,无论是管理模式还是技术手段,都不能很好地适应业务发展对网络和信息安全提出的战。
为了回应这一挑战,必须建设信息安全运行管理系统,进行集中统一的安全运行管理,并从运行层面支撑信息安全管理体系的实现。围绕信息以及信息系统的整个生命周期,从各个方面提供安全替理手段,帮助提高信息安全管理水平,适应业务发展的需要。同时,信息安全运行管理系统还可以为国家信息安全应急响应体系建设提供技术和流程上的支持。1范围
信息安全运行管理系统总体架构本标准规定了信息安全运行管理系统的总体架构。YD/T 1800-2008
本标准适用于通信运营企业对信息安仑运行管理系统的研究、规划、设计、建设、测试和采购,也可供其他行业参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用丁本标准。然而,鼓励根据本标难达成协议的各方研究是否可使用这些文件的最新版本。凡是不注月期的引用文件,其最新版本适用于本标准。GB/T19716-2005信息技术信总安全管理实用规则GB/T18336-2001信息技术安全技术信息技术安全性评估准则GB/T19715.1-2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型GB/T19715.2-2005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全GB/T5271.8-2001信息技术调汇第8部分:安全3术语和缩略语
GB/T5271.8-2001中的术语和定义适用于本标准,另外以下术语和定义也适用于本标准。3.1术语
3.1.1信息系统 Infomation System信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。
3.1.2安全对象 Security Object网络安全工作保护的企业网络、设备、应用、数据称为安全对象,安全对象的价值不仅仅包括其来购价值,还包括其受侵害后导致的企业损失。SOC本身也是一种安全对象。
3.1.3安全事件 Security Events由计算机信息系统或者网络中的各种计算机设备,例如主机、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。
3.1.3安全事故 Security Incidents安全事故是指计算机信息系统或网络的硬件、软件、数据因非法攻出或病毒入侵等安全原因而造到破坏、更改、泄漏造成系统不能正常运行或者数据机密性、完整性、可用性被破坏的现象。安全事故由一个或多个安全事件构成。
3.1.4安全策略SecurityPolicy
YD/T 1800-2008
安全策略是各种论述、规则和准则的集合,供运营商解释怎样使用网络资源、怎样对网络和业务进行保护。从用户的角度看,安全策略定义了一个合法的用户可以作什么,它会说明哪些信息被保护。3.1.5安全基线SecurityBeseline安全基线是一种在测量、计算或定位安全水平的基本参照。3.1.6信想安全运行管理系统InformationSecurtyOperationCerter(Soc))信息安全运行管理系统是实现信息安全管理体系(ISMS)的技术支撑平台。它以信息以及信息系统风险管理为核心,为安全运营和管理提供支撑。3.2缩略语
Security Operation Center
Information Security Managcment SystemPDCAPlan—Do-Check—Action
4信息安全运行管理系统架构
信息安全运行管理系统
信息安全管理体系
戴明环
信息安全运行管理系统是对信息安全管理体系(ISMS)的实现提供技术支撑,协助在信息和信息系统整个生命周期中实现安全管理方面人、技术和流程的结合。在信息安全管理体系(ISMS)的PDCA循环(见附录A)中,为其计划(P)阶段提供风险评估和安全策略功能,为执行(D)阶段提供安全对象风险管理以及流程管理功能,为检查(C)阶段提供系统安全监控、事件审计、残余风险评估功能,为改进(A)阶段提供安全事件管理功能。
信息安全运行管理系统的主体功能架构如图1所示。知
安全轻骏库
安全策站管理
最略凝布
安全事件管理
安全事件采集
安全事件汇聚
安全事件处理
策略存能
PDCA 为内涵的管理方泌
策略修订
安全事件格式化
安全事件关联
统计分析和报表
安全对象风险管理
安全对象管理
安全威协书理
策站符合性检查
安全事件过越
安全事件皇现
数据存储及迫离
安全需湿管理
安全基线管理
漏润预警
事件预警
病毒预警
预警分发处理
安全补丁管理
信息安全运行管理系统功能架构风险管理
经验积
信息安金运行管理系统应能提供以下功能:安全策略管理:包括安全策略发布、存储、修订以及对安全安金策略的符合性检查等YD/T1800-200B
安全事件管理:包括安全事件采集、过滤、汇聚、关联分析、事件前转以及安全事件统计分析等;安全预警管理:包括漏洞预等、病毒预警、事件预以及预警分发等。安全对象风险管理:包括安全对象、威胁管理、漏洞管理、安全基线、安全风险管理等。流程管理:主要是对各种安全预警、安全事件,安全风险逊行反应,工.单是流程的一种承载方式,因此可以包括产生工单、工单流转以及将工单处理经验进行积累等。知识管理:所有安全工作均以安全知认管理为基础,包括威助库、病毒库、漏洞库、安全经验库等。信息安全运行管理系统应能支持分布式部署,并能够实现分安全域分级别管理。信息安全运行管理系统数据处理流程如图2所示。流程管理/筑略管理
安全对象风险数据处理。安全预置数据处座…平
却识库
安全事件联分析.安全都作处理….+
安全致据采繁、培代化、过滤、阳翠+
内邮楼]:SOCKET按口,SYSLOG、SNMP、ODBC.TXT....车
防火增等安全设备、服务器等系统设备、路由器等网络设备;风胸评估;事件投诉,厂家预警等图2信惠安全运行管理系统数据处理流程5总安全运行管理系统主体功能
5.1安全策略管理
外郎接口:
下级安全
管理平台
网客系统
其他管理系统
安全策略管理功能应实现企业安全策略的导入、存储、修订、查询以及安全策略的中管理。同时应支持安全策略的不问格式的数据导出、安全策略的数据统计、安全策略的定时发布、安全策略符合性检查等功能,实现企业内所有安全策略的全流程管理。安全策略的各项管理操作通过安全策略管理与流程管理模块之间的接门转化成相应的处理流程。安全策略管理包括企业的宏观管理策略、相关管理规定和技术指南。5.1.1策略发布
策略发布应建立数据传输机制,保障策略在企业组织的有效传播,支持指定策略的发布范围、发布方式和发布时间等功能。
5.1.2策略存储
策略存储主要为建立核心的安全策略库,支持多种分类的存储方式,包括按策咯毅别、按策略类别、按策略适用范围等多种式
YD/T 1800-2008
策略存储应具备多种数据导入和导出机制,策略存储应提供策略的多样信息,便丁快速地浏览安全策略文件的出处、引用的文档等信息。5.1.3策略修订
策略修订通过建立企业安全策略生命周期管理流程来实现管理策略的主要功能,包括制定安全策略、讨论安全策略、更新安全策略、挂起安全策略及注销安全策略等。策略修订应提供记录策略的历史变更信息。5.1.4案略登询
策略查询是对安全策略库的检索定位功能,可以快速楚位到所需要的策略。策略查询具备对多种条件的组合查询。策略查询对查询结果具备多种导出机制。5.1.5策略符合性检查
策略符合性检查主要为建立策略的评估机制,定期检查安全策略是否符合企业整体业务目标。策略符合性检查支持符合性统计分析,协助企业发现策略内窄缺失及策略管理流程缺陷。5.2.安全预警管理
安全预警主要是接收来自第三方服务商和上级主管单位提供的安全预警(包括漏洞、事件、病毒等)信息,预警模块与安全对象管理模块关联后,将预警信息转发给相应安全对象的管理责任人。预髻可以通过告警、报表、短信及告蓄邮件等呈现方式。安全预警的各项管理操作通过安全预警管理与流程管理模块之间的接口转化成相应的处理流程。5.2.1漏洞预普
漏洞预警主要是接收来自第三方服务商,上级主管单位和红织内部提供的漏洞信息,经过一定方法加工后:对指楚范违进行预警,周知满润的相关性,提出预防和解快的方法,5.2.2病毒预酱
病毒预警主要是接收来自第三方服务商,上级主管单位和纽织内部提供的病毒信息,经过一定方法加工后,对指范围进行预警,周知病毒的相关属性,提出预荫和解决的方法。5.2.3事件通告
事件通告预警主要是接收来自第三方服务商、上级主管单位和组织内部的事件通告,经过一定方法加T后,对指定范围进行预警,周知事件的相关属性,提出预防和解决的方法。这里安全事件的含义是广义的安全事件,并非来自设备。
5.2.4预警分发处理
预等模块应实现以下功能:
a)接收和发布不同等级的预鉴信息;b)提供自动接收预警信息功能、人工预警信息发布接口,当新的安全漏洞出现时,应可以通过该接口人工发布预警信息:
c)在接收到预警数据后,该模块可根据预先定义的数据格式和策略白动生成预警信息,并通知安全预4
警管理员,由安全预警管理员确定是否发布预警:YD/T 1800-2008
d)预警信息经安全管理员甄别后,由系统自动地与安全对嫁库关联,列出相应受影响的安全对象以及影响的严重程度,并自动通知相应的系统管理员;e)还应有预警统计功能来帮助用户对安全预警信息的预警分布情况、预著信息数量、预警发生频度进行综合的分析。
5.3安全事件管理
安全事件(SecurityBvents)集中监挖模块的主要功能是通过采集、过滤、汇聚、关联分析等手段充分缩减并甄别大型信息系统中可能产生安全事故(SecurityIncident)的安全事件信息,并对安全孕件进行严重性排序,优先呈现和处理严重性级别较高的安全事件。马网管系统的事件监控模块不同,安全事件集监控模块关注的事件类型主要是政击行为、异常活动和状态、病每以及安全告警等。安全事件集中监控模块写日志审计系统可能取部分同样的日志,但两者有较大区别,日志审计系统主要做事后的安全审计,而安全事件集中监控模块侧重体现系统实时的安全事件状况。65.3.1安全事件采集
安全事件集中监控模块应能采集各类安全设备、其他IT信息设备或相关组织(如反垃圾邮件组织)产生的各种与安全有关的月志、事件告警、异常流量、投诉等信息以及通过其他渠道收集的安全信息。并设计与网管系统的接1,获取网管系统中的安全对象信息、故障信息、配置信息等。在采集事件的过程中,对监控设备的性能影响应控制在适当范围内。5.3.2安全事件格式化
安全事件监控管理模快应能够对拽集上米的安全事件信息进行格式化处理,使安全管理人员和系统管理人员能及时、全面、方使地了解和识别出信息系统甲存在的安全威胁和异常事件。5.3.3安全事件过滤
安全事件集中监控模块对采集到的数据必须有过滤功能以缩减安全事件数量。5.3.4安全事件汇聚
事件汇案是制定过滤规则消除再复事件来缩减安金事件数据量。5.3.5安全事件关联
信息安全运行管理系统应具有安全事件关联功能,来深度挖掘安全隐患、判断安全事件的严重程度,至少应支持以下关联方式。
1)基丁规则的关联分析:使用定义好的关联性规则对收集到的安全事件进行检查,确定该事件是否和特定的规则匹配。
b)基于统计的关联分析,通过事件计数产生级别更高的安全事件。c)基于安全对象的关联分析:安全享件应能与相关安全对象的敏感性、安全对篆上的漏洞、安全域中部署情况、保护情况以及对象的保护等级进行关联,从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。
d)基丁广义漏洞的关联分析:安全事件应能同网段的相应漏洞进行关联,判断可能造成的不良影响。YD/T 1800-2008
)高风险关联:当出现高风险情况时,应能自动分析类似环境中是否出现相同安全事件。信息安全运行管理系统确定的关联性事件,不仅要有自身的内穿,还必须可以关联查询到触发该事件产生的所有的原始事件。
5.3.6安全事件呈现
安全事件集中监控模块应能够对安全事件进行实时监控,对可能造成安全事故的安全事件进行告警确认、清除等操作,并以多种方式进行不同级别安全事件的呈现。同时,安全事件也可以通过报表、短信和告警邮件等方式望现。
5.3.7安全事件的处理
安全事件告苦处理包括告警确认与清除、告警前转、产生安全工单、非正常告警等功能。安全事件集中监控模块提供告警前转条件的设置,包括告馨时间范围、告警级别、类型、告警源等。用户可以灵活选择一个或多个系统。时间范围可由用户灵活设置,并支持根据不同条件的组合,创建多个告前转条件功能。
安全事件集中监控模块根据告警级别选择使用安全工单前转,首先白动生成安全工单,并根据告警信息自动填充工单的部分内容,用于向安全工单模快提供数据。对单位时间内赖次过高或历时过长(门限可由用户设置)的告警,信息安全运行管理系统自动提高告害级别,从而保证安全事件告警信息的有效性。5.3.8安全事件统计分析和报表功能信息安全运行音理系统应能从多种角度多种维度对数据迹行分析:能将绪果以图形方式或报表方式显示、打印。
安全事件集中监控模块能够输出各种通用报表,例如可以产生日报表、周报表、月报表、季度报表和年报表等。
5.3.9安全事件源数据存储效追溯功能在上述流程之外,以源文件格式将收集到的各种安全事件数据进行存储,可以追溯。5.4安全对象风验笛理
信息安全运行管理系统应以安全对象库的建立为基础,实现安全对象、安全对象上的漏、安全对象面临的威胁以及相应风险的管理,并实现动态的风险管理,支持安全对象与事件的关联等。安全对象风险的各项管理操作通过安全对象风险管理与流程管理模块之间的接口转化成相应的处理流程。
在实际操作过程中,应定义统一的安全对象级别、安全域划分、漏洞定义,威胁定级,风险定级的标准,确保数据的统一和可比较,应定义安全对象的基本属性(例如名称、型号、端口开状态等)以及安全属性(例如机密性等级)。安全对象的价值级别对应安全等级,安全等级保护需考思安全对象的价值和安全对象所面临的风险。
安全对象类型应包括:
a)主机,
b)网络设备:
c)数据库管理系统:
d)安全设备,如防火墙、NIDS等;e)应用系统:
f)数据和信息:
YD/T1800-2008
g)多个安全对象构成的安全对象组。安全对象风险管理模快应能从不同的视图对安全对象进行组织和展现,除了列表呈现外还至少应具备拓扑呈现的功能,拓扑中的节点应能够与安全对象库中的信息关联。应提供安全域管理的功能,包括安全域划分界面、呈现、网络架构维护、申请入网管理、安全域据管理等。
5.4.1安全威胁管理
安全威胁的管理应包括以下功能a)应以威胁库的形式存储威胁信息,并定期升级;b)应能通过系统安全评估将威胁信息与安全对象关联起来:c)威胁信息应与相应漏洞有关联关系:d)威胁可能性应与被监控系统中发生的对应安全事件进行关联,并定期对与安全对象关联的威助可能性的赋值进行自动更新:
e)每次定期实时安全评估完成后,应对安全对象面临的安全威胁进行更新。5.4.2安全漏洞管理
安全漏洞的管理应包括以下功能:a)应以漏洞库的形式存储漏洞信息,并实时升级:b)支持根据需求对属性进行定制,例如编辑漏洞类别信息等:c)应能通过系统安全评估将漏洞信息与安全对象,威胁关联起来:d)漏洞信息导入:支持第三方漏洞评估产品扫描结果以及本地脚本评估结果和人工管理审计评估结果等的导入,并能与安全对象信息关联,导入过程将依据评估方式和时间对漏洞进行标识;e)通过提供标准文件格式,信总资产风险管理模块导入的漏洞评估结果:f)在收到须警信息并由安全管理员确认后,应对预警信息可能影响到的安全对象的漏洞情况进行更新:g)在对系统进行了加固或调整后,安全对象对应的漏洞数据应进行相应的更新;h)每次定期/实时安全评估完成后,在输入漏洞评估结果时,根据评估结果建立和维护安全对象的漏洞表:
i)在系统维护人员根据预警、安全事件、风险等方面的告警对系统进行了升级加固后,安全对象现有的漏洞数据应进行应的更新。
5.4.3安全补丁状况信息管理
安全补丁状况信息管理涉及补获取、补丁分类分级、补丁与安全对象的精确关联、补丁加载任务通知、7
YD/T 1800-2008
补丁测试过程管理、补丁加载过程管理等。5.4.4安全基线分析
以端口、服务以及系统配置等涉及系统安全方面的状况信息构成安全基线,由安全管理平台实时监控系统的安全状况,通过与事先定义的安全基线对比,产生与安全事件类似的报警和解决措施。5.4.5风险管理
应能够对安全对象进行漏洞、威胁和风险综合评估。风险值应是安全对象价值、漏洞严重程度和威助值的函数,即:风险=f(安全对象价值,脆弱性严重程度,威胁值):威胁值=f(威胁影响值,威胁可能性)。其中威胁影响值除了进行经验性赋值外,还应与相关安全对象的敏感性进行关联。威胁利用润
防护措施降艇“风险
被蒲足
防护需求
图3安全风险
安全对象
怡息安全运行管理系统能根据输入的安全评估结果白动进行风险计算,用户也可以对自动计算得到的风险信息进行修改。
应能提供分级分域的风险计算、分析、统计、排名、查询与统计功能,便丁安全管理人员和系统管理人员能方便地查找所需安全对象的信息,并能关联查找到相关的漏洞、威胁、风险、历史安全事件等信息。安全对象风险管理模块应基于安全对象信息库对安全对象上的脆弱性/漏洞以及安全对象面临的威胁进行收集和管理。可以选择配备远程漏洞评估工其以及本地评估脚本,并配以人工管理审计等,及时掌握网络中各个系统的最新安全脆弱性和威胁情况井将结果导入。5.5流程管理
流程管理功能主要是实现工单的电子化处理功能,通过计算机系统代替以前的手动工单处理流程,通过电子流程再现,规范和优化运行维护部门的生产工作流程,从而提商用户的工作效率。在处理工单时能方便地关连查询相关安全对象信息、漏洞列表、威胁列表、风验列表、预警信总、历史事件等,并能关联到相关内穿,为事件处理人员提供帮助和指导信息。安全工单模块应记录每一个工单在每一个阶段的处理时间,如从派发到受理的时间,从受理到处理完毕的时间。工单完成后,形成的经验要加入经验库。能实现与安全事件监控管理模块、安全对象风险管理模缺、安全预馨模块,安全策略管理等模块的接口,接收这些模块产尘的工单信息,并且能够将工单的处理结果和相应信息反馈到上述模块中,以保证上述模块8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1800-2008
信息安全运行管理系统总体架构Framework of Information Security Operation Centel2008-05-04发布
2008-08-01实施
中华人民共和国工业和信息化部发布前
1范围:
2规范性引用文件·
3术语和缩略语·…
3.1术语bzxZ.net
3.2缩略语
4:信息安金运行管理系统架构·5信息安全运行管理系统主体功能·5.1
安个策略管理
安企预警管理
5.3安个事们管理
:5.4安全对象风险管理·
流程管理
5.6安全知识管理
6信息安全运行管理系统信息接口要求6.1内部接口…·
6.2外部接口…
7.信息安全运行管理系统自身安企管理要求-8信息安全运行管理系统技术要求·次
附录A(资料性附录)网络与信息安金管理体系ISMS..参考女献
YD/T 1800-200B
YD/T1B00-2008
信息安全运行管理系统的技术标准体系由总体架构和相关功能规范、接口规范组成。总体架构定义安全运行管理系统的技术架构:功能规范定义安全运行管理系统各项功能要求;接口规范定义安全运行管理系统内部接口和外部接口。信息安全运行管理系统的技术标准列表如下:1.信息安全运行管理系统总体渠构2.信息安全运行管理系统功能方面的规范1)信息安全运行管埋系统安个策略管理功能规范:2)信息安全运行管埋系统安全事件管理助能规范3)信息安全运行管理系统安个预警管理功能规范:4)信息安全运行管理系统安全对象风险管理功能规范;5)信息安全运行管理系统安全流程管理功能规范:6)信息安全运行管理系统安全知识管理功能规范:3.信息安全运行管理系统接口方面的规范1)信息安全运行管理系统与被监控设备的接口规范:2)信息安全运行管理系统导入安全评估结果的接口规范:3)信息安全运行管理系统导入预警信息的接口规范4)信息安全运行管理系统之间的接口规范:5)信息安金运行管理系统与网管系统的接口规范:6)信息安全运行管理系统与其他管理系统的接口规范。本标准的附录A为资料性阴录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:中国移动通信集团公司、国家计算机网络与信息安全管理中心、亿阳信通有限公司、武汉邮电科学研究院、西安邮电学院本标淮主要起草人:刘楠、黄元飞、周智、曾剑隽、舒敏、崔翔引
YD/T 1800-2008
随差通信业务越来越依赖网络和信息系统,网络与信息的安全性也日益重要。但是目前在网络与信息安全的管理上仍然存在不足,无论是管理模式还是技术手段,都不能很好地适应业务发展对网络和信息安全提出的战。
为了回应这一挑战,必须建设信息安全运行管理系统,进行集中统一的安全运行管理,并从运行层面支撑信息安全管理体系的实现。围绕信息以及信息系统的整个生命周期,从各个方面提供安全替理手段,帮助提高信息安全管理水平,适应业务发展的需要。同时,信息安全运行管理系统还可以为国家信息安全应急响应体系建设提供技术和流程上的支持。1范围
信息安全运行管理系统总体架构本标准规定了信息安全运行管理系统的总体架构。YD/T 1800-2008
本标准适用于通信运营企业对信息安仑运行管理系统的研究、规划、设计、建设、测试和采购,也可供其他行业参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用丁本标准。然而,鼓励根据本标难达成协议的各方研究是否可使用这些文件的最新版本。凡是不注月期的引用文件,其最新版本适用于本标准。GB/T19716-2005信息技术信总安全管理实用规则GB/T18336-2001信息技术安全技术信息技术安全性评估准则GB/T19715.1-2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型GB/T19715.2-2005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全GB/T5271.8-2001信息技术调汇第8部分:安全3术语和缩略语
GB/T5271.8-2001中的术语和定义适用于本标准,另外以下术语和定义也适用于本标准。3.1术语
3.1.1信息系统 Infomation System信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。
3.1.2安全对象 Security Object网络安全工作保护的企业网络、设备、应用、数据称为安全对象,安全对象的价值不仅仅包括其来购价值,还包括其受侵害后导致的企业损失。SOC本身也是一种安全对象。
3.1.3安全事件 Security Events由计算机信息系统或者网络中的各种计算机设备,例如主机、网络设备、安全设备等发现并记录下的各种可疑活动被称为安全事件。
3.1.3安全事故 Security Incidents安全事故是指计算机信息系统或网络的硬件、软件、数据因非法攻出或病毒入侵等安全原因而造到破坏、更改、泄漏造成系统不能正常运行或者数据机密性、完整性、可用性被破坏的现象。安全事故由一个或多个安全事件构成。
3.1.4安全策略SecurityPolicy
YD/T 1800-2008
安全策略是各种论述、规则和准则的集合,供运营商解释怎样使用网络资源、怎样对网络和业务进行保护。从用户的角度看,安全策略定义了一个合法的用户可以作什么,它会说明哪些信息被保护。3.1.5安全基线SecurityBeseline安全基线是一种在测量、计算或定位安全水平的基本参照。3.1.6信想安全运行管理系统InformationSecurtyOperationCerter(Soc))信息安全运行管理系统是实现信息安全管理体系(ISMS)的技术支撑平台。它以信息以及信息系统风险管理为核心,为安全运营和管理提供支撑。3.2缩略语
Security Operation Center
Information Security Managcment SystemPDCAPlan—Do-Check—Action
4信息安全运行管理系统架构
信息安全运行管理系统
信息安全管理体系
戴明环
信息安全运行管理系统是对信息安全管理体系(ISMS)的实现提供技术支撑,协助在信息和信息系统整个生命周期中实现安全管理方面人、技术和流程的结合。在信息安全管理体系(ISMS)的PDCA循环(见附录A)中,为其计划(P)阶段提供风险评估和安全策略功能,为执行(D)阶段提供安全对象风险管理以及流程管理功能,为检查(C)阶段提供系统安全监控、事件审计、残余风险评估功能,为改进(A)阶段提供安全事件管理功能。
信息安全运行管理系统的主体功能架构如图1所示。知
安全轻骏库
安全策站管理
最略凝布
安全事件管理
安全事件采集
安全事件汇聚
安全事件处理
策略存能
PDCA 为内涵的管理方泌
策略修订
安全事件格式化
安全事件关联
统计分析和报表
安全对象风险管理
安全对象管理
安全威协书理
策站符合性检查
安全事件过越
安全事件皇现
数据存储及迫离
安全需湿管理
安全基线管理
漏润预警
事件预警
病毒预警
预警分发处理
安全补丁管理
信息安全运行管理系统功能架构风险管理
经验积
信息安金运行管理系统应能提供以下功能:安全策略管理:包括安全策略发布、存储、修订以及对安全安金策略的符合性检查等YD/T1800-200B
安全事件管理:包括安全事件采集、过滤、汇聚、关联分析、事件前转以及安全事件统计分析等;安全预警管理:包括漏洞预等、病毒预警、事件预以及预警分发等。安全对象风险管理:包括安全对象、威胁管理、漏洞管理、安全基线、安全风险管理等。流程管理:主要是对各种安全预警、安全事件,安全风险逊行反应,工.单是流程的一种承载方式,因此可以包括产生工单、工单流转以及将工单处理经验进行积累等。知识管理:所有安全工作均以安全知认管理为基础,包括威助库、病毒库、漏洞库、安全经验库等。信息安全运行管理系统应能支持分布式部署,并能够实现分安全域分级别管理。信息安全运行管理系统数据处理流程如图2所示。流程管理/筑略管理
安全对象风险数据处理。安全预置数据处座…平
却识库
安全事件联分析.安全都作处理….+
安全致据采繁、培代化、过滤、阳翠+
内邮楼]:SOCKET按口,SYSLOG、SNMP、ODBC.TXT....车
防火增等安全设备、服务器等系统设备、路由器等网络设备;风胸评估;事件投诉,厂家预警等图2信惠安全运行管理系统数据处理流程5总安全运行管理系统主体功能
5.1安全策略管理
外郎接口:
下级安全
管理平台
网客系统
其他管理系统
安全策略管理功能应实现企业安全策略的导入、存储、修订、查询以及安全策略的中管理。同时应支持安全策略的不问格式的数据导出、安全策略的数据统计、安全策略的定时发布、安全策略符合性检查等功能,实现企业内所有安全策略的全流程管理。安全策略的各项管理操作通过安全策略管理与流程管理模块之间的接门转化成相应的处理流程。安全策略管理包括企业的宏观管理策略、相关管理规定和技术指南。5.1.1策略发布
策略发布应建立数据传输机制,保障策略在企业组织的有效传播,支持指定策略的发布范围、发布方式和发布时间等功能。
5.1.2策略存储
策略存储主要为建立核心的安全策略库,支持多种分类的存储方式,包括按策咯毅别、按策略类别、按策略适用范围等多种式
YD/T 1800-2008
策略存储应具备多种数据导入和导出机制,策略存储应提供策略的多样信息,便丁快速地浏览安全策略文件的出处、引用的文档等信息。5.1.3策略修订
策略修订通过建立企业安全策略生命周期管理流程来实现管理策略的主要功能,包括制定安全策略、讨论安全策略、更新安全策略、挂起安全策略及注销安全策略等。策略修订应提供记录策略的历史变更信息。5.1.4案略登询
策略查询是对安全策略库的检索定位功能,可以快速楚位到所需要的策略。策略查询具备对多种条件的组合查询。策略查询对查询结果具备多种导出机制。5.1.5策略符合性检查
策略符合性检查主要为建立策略的评估机制,定期检查安全策略是否符合企业整体业务目标。策略符合性检查支持符合性统计分析,协助企业发现策略内窄缺失及策略管理流程缺陷。5.2.安全预警管理
安全预警主要是接收来自第三方服务商和上级主管单位提供的安全预警(包括漏洞、事件、病毒等)信息,预警模块与安全对象管理模块关联后,将预警信息转发给相应安全对象的管理责任人。预髻可以通过告警、报表、短信及告蓄邮件等呈现方式。安全预警的各项管理操作通过安全预警管理与流程管理模块之间的接口转化成相应的处理流程。5.2.1漏洞预普
漏洞预警主要是接收来自第三方服务商,上级主管单位和红织内部提供的漏洞信息,经过一定方法加工后:对指楚范违进行预警,周知满润的相关性,提出预防和解快的方法,5.2.2病毒预酱
病毒预警主要是接收来自第三方服务商,上级主管单位和纽织内部提供的病毒信息,经过一定方法加工后,对指范围进行预警,周知病毒的相关属性,提出预荫和解决的方法。5.2.3事件通告
事件通告预警主要是接收来自第三方服务商、上级主管单位和组织内部的事件通告,经过一定方法加T后,对指定范围进行预警,周知事件的相关属性,提出预防和解决的方法。这里安全事件的含义是广义的安全事件,并非来自设备。
5.2.4预警分发处理
预等模块应实现以下功能:
a)接收和发布不同等级的预鉴信息;b)提供自动接收预警信息功能、人工预警信息发布接口,当新的安全漏洞出现时,应可以通过该接口人工发布预警信息:
c)在接收到预警数据后,该模块可根据预先定义的数据格式和策略白动生成预警信息,并通知安全预4
警管理员,由安全预警管理员确定是否发布预警:YD/T 1800-2008
d)预警信息经安全管理员甄别后,由系统自动地与安全对嫁库关联,列出相应受影响的安全对象以及影响的严重程度,并自动通知相应的系统管理员;e)还应有预警统计功能来帮助用户对安全预警信息的预警分布情况、预著信息数量、预警发生频度进行综合的分析。
5.3安全事件管理
安全事件(SecurityBvents)集中监挖模块的主要功能是通过采集、过滤、汇聚、关联分析等手段充分缩减并甄别大型信息系统中可能产生安全事故(SecurityIncident)的安全事件信息,并对安全孕件进行严重性排序,优先呈现和处理严重性级别较高的安全事件。马网管系统的事件监控模块不同,安全事件集监控模块关注的事件类型主要是政击行为、异常活动和状态、病每以及安全告警等。安全事件集中监控模块写日志审计系统可能取部分同样的日志,但两者有较大区别,日志审计系统主要做事后的安全审计,而安全事件集中监控模块侧重体现系统实时的安全事件状况。65.3.1安全事件采集
安全事件集中监控模块应能采集各类安全设备、其他IT信息设备或相关组织(如反垃圾邮件组织)产生的各种与安全有关的月志、事件告警、异常流量、投诉等信息以及通过其他渠道收集的安全信息。并设计与网管系统的接1,获取网管系统中的安全对象信息、故障信息、配置信息等。在采集事件的过程中,对监控设备的性能影响应控制在适当范围内。5.3.2安全事件格式化
安全事件监控管理模快应能够对拽集上米的安全事件信息进行格式化处理,使安全管理人员和系统管理人员能及时、全面、方使地了解和识别出信息系统甲存在的安全威胁和异常事件。5.3.3安全事件过滤
安全事件集中监控模块对采集到的数据必须有过滤功能以缩减安全事件数量。5.3.4安全事件汇聚
事件汇案是制定过滤规则消除再复事件来缩减安金事件数据量。5.3.5安全事件关联
信息安全运行管理系统应具有安全事件关联功能,来深度挖掘安全隐患、判断安全事件的严重程度,至少应支持以下关联方式。
1)基丁规则的关联分析:使用定义好的关联性规则对收集到的安全事件进行检查,确定该事件是否和特定的规则匹配。
b)基于统计的关联分析,通过事件计数产生级别更高的安全事件。c)基于安全对象的关联分析:安全享件应能与相关安全对象的敏感性、安全对篆上的漏洞、安全域中部署情况、保护情况以及对象的保护等级进行关联,从而判断某个安全事件是否能造成不良影响以及造成不良影响的严重程度。
d)基丁广义漏洞的关联分析:安全事件应能同网段的相应漏洞进行关联,判断可能造成的不良影响。YD/T 1800-2008
)高风险关联:当出现高风险情况时,应能自动分析类似环境中是否出现相同安全事件。信息安全运行管理系统确定的关联性事件,不仅要有自身的内穿,还必须可以关联查询到触发该事件产生的所有的原始事件。
5.3.6安全事件呈现
安全事件集中监控模块应能够对安全事件进行实时监控,对可能造成安全事故的安全事件进行告警确认、清除等操作,并以多种方式进行不同级别安全事件的呈现。同时,安全事件也可以通过报表、短信和告警邮件等方式望现。
5.3.7安全事件的处理
安全事件告苦处理包括告警确认与清除、告警前转、产生安全工单、非正常告警等功能。安全事件集中监控模块提供告警前转条件的设置,包括告馨时间范围、告警级别、类型、告警源等。用户可以灵活选择一个或多个系统。时间范围可由用户灵活设置,并支持根据不同条件的组合,创建多个告前转条件功能。
安全事件集中监控模块根据告警级别选择使用安全工单前转,首先白动生成安全工单,并根据告警信息自动填充工单的部分内容,用于向安全工单模快提供数据。对单位时间内赖次过高或历时过长(门限可由用户设置)的告警,信息安全运行管理系统自动提高告害级别,从而保证安全事件告警信息的有效性。5.3.8安全事件统计分析和报表功能信息安全运行音理系统应能从多种角度多种维度对数据迹行分析:能将绪果以图形方式或报表方式显示、打印。
安全事件集中监控模块能够输出各种通用报表,例如可以产生日报表、周报表、月报表、季度报表和年报表等。
5.3.9安全事件源数据存储效追溯功能在上述流程之外,以源文件格式将收集到的各种安全事件数据进行存储,可以追溯。5.4安全对象风验笛理
信息安全运行管理系统应以安全对象库的建立为基础,实现安全对象、安全对象上的漏、安全对象面临的威胁以及相应风险的管理,并实现动态的风险管理,支持安全对象与事件的关联等。安全对象风险的各项管理操作通过安全对象风险管理与流程管理模块之间的接口转化成相应的处理流程。
在实际操作过程中,应定义统一的安全对象级别、安全域划分、漏洞定义,威胁定级,风险定级的标准,确保数据的统一和可比较,应定义安全对象的基本属性(例如名称、型号、端口开状态等)以及安全属性(例如机密性等级)。安全对象的价值级别对应安全等级,安全等级保护需考思安全对象的价值和安全对象所面临的风险。
安全对象类型应包括:
a)主机,
b)网络设备:
c)数据库管理系统:
d)安全设备,如防火墙、NIDS等;e)应用系统:
f)数据和信息:
YD/T1800-2008
g)多个安全对象构成的安全对象组。安全对象风险管理模快应能从不同的视图对安全对象进行组织和展现,除了列表呈现外还至少应具备拓扑呈现的功能,拓扑中的节点应能够与安全对象库中的信息关联。应提供安全域管理的功能,包括安全域划分界面、呈现、网络架构维护、申请入网管理、安全域据管理等。
5.4.1安全威胁管理
安全威胁的管理应包括以下功能a)应以威胁库的形式存储威胁信息,并定期升级;b)应能通过系统安全评估将威胁信息与安全对象关联起来:c)威胁信息应与相应漏洞有关联关系:d)威胁可能性应与被监控系统中发生的对应安全事件进行关联,并定期对与安全对象关联的威助可能性的赋值进行自动更新:
e)每次定期实时安全评估完成后,应对安全对象面临的安全威胁进行更新。5.4.2安全漏洞管理
安全漏洞的管理应包括以下功能:a)应以漏洞库的形式存储漏洞信息,并实时升级:b)支持根据需求对属性进行定制,例如编辑漏洞类别信息等:c)应能通过系统安全评估将漏洞信息与安全对象,威胁关联起来:d)漏洞信息导入:支持第三方漏洞评估产品扫描结果以及本地脚本评估结果和人工管理审计评估结果等的导入,并能与安全对象信息关联,导入过程将依据评估方式和时间对漏洞进行标识;e)通过提供标准文件格式,信总资产风险管理模块导入的漏洞评估结果:f)在收到须警信息并由安全管理员确认后,应对预警信息可能影响到的安全对象的漏洞情况进行更新:g)在对系统进行了加固或调整后,安全对象对应的漏洞数据应进行相应的更新;h)每次定期/实时安全评估完成后,在输入漏洞评估结果时,根据评估结果建立和维护安全对象的漏洞表:
i)在系统维护人员根据预警、安全事件、风险等方面的告警对系统进行了升级加固后,安全对象现有的漏洞数据应进行应的更新。
5.4.3安全补丁状况信息管理
安全补丁状况信息管理涉及补获取、补丁分类分级、补丁与安全对象的精确关联、补丁加载任务通知、7
YD/T 1800-2008
补丁测试过程管理、补丁加载过程管理等。5.4.4安全基线分析
以端口、服务以及系统配置等涉及系统安全方面的状况信息构成安全基线,由安全管理平台实时监控系统的安全状况,通过与事先定义的安全基线对比,产生与安全事件类似的报警和解决措施。5.4.5风险管理
应能够对安全对象进行漏洞、威胁和风险综合评估。风险值应是安全对象价值、漏洞严重程度和威助值的函数,即:风险=f(安全对象价值,脆弱性严重程度,威胁值):威胁值=f(威胁影响值,威胁可能性)。其中威胁影响值除了进行经验性赋值外,还应与相关安全对象的敏感性进行关联。威胁利用润
防护措施降艇“风险
被蒲足
防护需求
图3安全风险
安全对象
怡息安全运行管理系统能根据输入的安全评估结果白动进行风险计算,用户也可以对自动计算得到的风险信息进行修改。
应能提供分级分域的风险计算、分析、统计、排名、查询与统计功能,便丁安全管理人员和系统管理人员能方便地查找所需安全对象的信息,并能关联查找到相关的漏洞、威胁、风险、历史安全事件等信息。安全对象风险管理模块应基于安全对象信息库对安全对象上的脆弱性/漏洞以及安全对象面临的威胁进行收集和管理。可以选择配备远程漏洞评估工其以及本地评估脚本,并配以人工管理审计等,及时掌握网络中各个系统的最新安全脆弱性和威胁情况井将结果导入。5.5流程管理
流程管理功能主要是实现工单的电子化处理功能,通过计算机系统代替以前的手动工单处理流程,通过电子流程再现,规范和优化运行维护部门的生产工作流程,从而提商用户的工作效率。在处理工单时能方便地关连查询相关安全对象信息、漏洞列表、威胁列表、风验列表、预警信总、历史事件等,并能关联到相关内穿,为事件处理人员提供帮助和指导信息。安全工单模块应记录每一个工单在每一个阶段的处理时间,如从派发到受理的时间,从受理到处理完毕的时间。工单完成后,形成的经验要加入经验库。能实现与安全事件监控管理模块、安全对象风险管理模缺、安全预馨模块,安全策略管理等模块的接口,接收这些模块产尘的工单信息,并且能够将工单的处理结果和相应信息反馈到上述模块中,以保证上述模块8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。