(高清版)GBT 42453-2023 信息安全技術 網(wǎng)絡安全態(tài)勢感知通 用技術要求

信息安全技術網(wǎng)絡安全態(tài)勢感知通用技術要求2023-03-17發(fā)布前言 I 2規(guī)范性引用文件 3術語和定義 4縮略語 25網(wǎng)絡安全態(tài)勢感知技術框架 26技術要求 36.1數(shù)據(jù)匯聚要求 36.1.1數(shù)據(jù)采集 6.1.2數(shù)據(jù)預處理 6.1.3數(shù)據(jù)存儲 6.2數(shù)據(jù)分析要求 46.2.1網(wǎng)絡攻擊分析 56.2.2資產(chǎn)風險分析 6.2.3異常行為分析 6.2.4安全事件分析 6.3態(tài)勢展示要求 56.3.1整體態(tài)勢展示 56.3.2專題態(tài)勢展示 6.3.3態(tài)勢報告 76.4監(jiān)測預警要求 86.5數(shù)據(jù)服務接口要求 86.5.1數(shù)據(jù)交換接口 86.5.2數(shù)據(jù)分析接口 86.5.3聯(lián)動處置接口 86.5.4接口安全性 86.6系統(tǒng)管理要求 86.6.1策略管理 86.6.2預處理規(guī)則管理 86.6.3分析模型管理 96.6.4資產(chǎn)管理 96.6.5安全事件管理 96.6.6威脅信息管理 9參考文獻 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：公安部第三研究所、北京銳安科技有限公司、國家信息技術安全研究中心、北京天融信網(wǎng)絡安全技術有限公司、中國信息安全測評中心、北京奇虎科技有限公司、新華三技術有限公司、奇安信科技集團股份有限公司、啟明星辰信息技術集團股份有限公司、長揚科技(北京)股份有限公司、北京神州綠盟科技有限公司、深信服科技股份有限公司、中國科學院信息工程研究所、北京山石網(wǎng)科信息技術有限公司、華為技術有限公司、杭州安恒信息技術股份有限公司、騰訊云計算(北京)有限責任公司、上海工業(yè)自動化儀表研究院有限公司、杭州迪普科技股份有限公司、中電長城網(wǎng)際系統(tǒng)應用有限公司、西安交大捷普網(wǎng)絡科技有限公司、杭州中電安科現(xiàn)代科技有限公司、陜西省網(wǎng)絡與信息安全測評中心、中國民航大學、中科國昱(合肥)科技有限公司、北京威努特技術有限公司、遠江盛邦(北京)網(wǎng)絡安全科技股份有限公司。1信息安全技術網(wǎng)絡安全態(tài)勢感知通用技術要求1范圍本文件給出了網(wǎng)絡安全態(tài)勢感知技術框架，規(guī)定了該框架中核心組件的通用技術要求。本文件適用于網(wǎng)絡安全態(tài)勢感知產(chǎn)品、系統(tǒng)或平臺等的規(guī)劃、設計、開發(fā)、建設和測評。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術術語GB/T28458—2020信息安全技術網(wǎng)絡安全漏洞標識與描述規(guī)范GB/T28517—2012網(wǎng)絡安全事件描述和交換格式GB/T30279—2020信息安全技術網(wǎng)絡安全漏洞分類分級指南GB/T36643—2018信息安全技術網(wǎng)絡安全威脅信息格式規(guī)范GB/T37027—2018信息安全技術網(wǎng)絡攻擊定義及描述規(guī)范3術語和定義GB/T25069—2022界定的以及下列術語和定義適用于本文件?？赡軐ο到y(tǒng)或組織造成危害的不期望事件的潛在因素?；谧C據(jù)的知識，用于描述現(xiàn)有或可能出現(xiàn)的威脅，從而實現(xiàn)對威脅的響應和預防。[來源：GB/T36643—2018,3.3,有修改]網(wǎng)絡安全態(tài)勢感知networksecuritysituationawareness用戶行為等因素，掌握網(wǎng)絡安全狀態(tài)，預測網(wǎng)絡安全趨勢，并進行展示和監(jiān)測預警的活動。前端數(shù)據(jù)源front-enddatasource向網(wǎng)絡安全態(tài)勢感知核心組件提供數(shù)據(jù)的軟硬件。2針對某類對象，在多維度上構建其描述性標簽屬性，并利用這些標簽屬性，分析對象多方面的特針對即將或正在發(fā)生的網(wǎng)絡安全事件或威脅，提前或及時發(fā)出的警示。4縮略語下列縮略語適用于本文件。CPU:中央處理器(CentralProcessingUnit)FTPS:安全套接層協(xié)議上的文件傳輸協(xié)議(FileTransferProtocolSecure)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)HTTPS:安全套接層協(xié)議上的超文本傳輸協(xié)議(HypertextTransferProtocolSecure)IP:互聯(lián)網(wǎng)協(xié)議(InternetProtocol)SFTP:安全文件傳送協(xié)議(SSHFileTransferProtocol)SNMP:簡單網(wǎng)絡管理協(xié)議(SimpleNetworkManagementProtocol)SSH:安全外殼(SecureShell)Syslog:系統(tǒng)日志(Systemlog)Web:全球廣域網(wǎng)(WorldWideWeb)5網(wǎng)絡安全態(tài)勢感知技術框架網(wǎng)絡安全態(tài)勢感知技術框架主要包括前端數(shù)據(jù)源、核心組件和其他要素三部分。其中網(wǎng)絡安全態(tài)勢感知的核心組件是實現(xiàn)網(wǎng)絡安全態(tài)勢感知能力的重要技術手段，表現(xiàn)形式可為產(chǎn)品、系統(tǒng)或平臺，也可以是不同的功能組件；實現(xiàn)網(wǎng)絡安全態(tài)勢感知也依賴于應急處置、安全決策、數(shù)據(jù)共享等其他要素。為能更好地進行網(wǎng)絡安全態(tài)勢感知，前端數(shù)據(jù)源需能覆蓋網(wǎng)絡安全態(tài)勢感知范圍內(nèi)的通信網(wǎng)絡、區(qū)域邊界和計算環(huán)境。本文件規(guī)定了網(wǎng)絡安全態(tài)勢感知技術框架中核心組件的通用技術要求，不包括技術框架中相對獨立的前端數(shù)據(jù)源和其他要素的要求。依據(jù)通用性并保證網(wǎng)絡安全態(tài)勢感知功能完整性原則，本文件所指的網(wǎng)絡安全態(tài)勢感知核心組件本文件規(guī)定的技術要求中。數(shù)據(jù)匯聚組件依據(jù)業(yè)務需求從相應的前端數(shù)據(jù)源采集數(shù)據(jù)，經(jīng)過篩選、轉(zhuǎn)用場景不同，態(tài)勢展示組件可通過數(shù)據(jù)服務接口調(diào)用相關數(shù)據(jù)進行多維度評估和展示，包括整體態(tài)勢展示、專題態(tài)勢展示和態(tài)勢報告；監(jiān)測預警組件支持基于設定的監(jiān)測策略和預警規(guī)則進行預警，便于后續(xù)的應急處置、安全決策等；此外，為方便用戶接入不同類型的前端數(shù)據(jù)、更好地使用多樣化的分析模3GB/T42453—2023前端數(shù)據(jù)源、內(nèi)部不同模塊以及其他外部系統(tǒng)的數(shù)據(jù)交互，包括了數(shù)據(jù)交換接口、數(shù)據(jù)分析接口、聯(lián)動處置接口等；數(shù)據(jù)服務接口也便于與其他系統(tǒng)進行數(shù)據(jù)共享。系統(tǒng)管理組件主要進行策略管理、預處理規(guī)則管理、分析模型管理、資產(chǎn)管理、安全事件管理和威脅信息管理。態(tài)勢展示整體態(tài)勢展示專題態(tài)勢展小監(jiān)測預警態(tài)勢報告數(shù)據(jù)服務接口數(shù)據(jù)交換接口數(shù)據(jù)分析按口聯(lián)動處置接□數(shù)據(jù)匯聚數(shù)據(jù)分析數(shù)據(jù)采集數(shù)據(jù)預處理網(wǎng)絡攻擊分析數(shù)據(jù)存儲異常行為分析安會事件分析應急處置數(shù)據(jù)共字系統(tǒng)管理…圖1網(wǎng)絡安全態(tài)勢感知技術框架6技術要求6.1數(shù)據(jù)匯聚要求6.1.1數(shù)據(jù)采集對于不同的前端數(shù)據(jù)源，數(shù)據(jù)匯聚組件應支持以下采集方式：a)被動接收前端數(shù)據(jù)源發(fā)送的數(shù)據(jù)；b)主動發(fā)起獲取前端數(shù)據(jù)源的數(shù)據(jù)，支持對數(shù)據(jù)采集頻率進行設置；c)手動導入前端數(shù)據(jù)源的數(shù)據(jù)。采集協(xié)議數(shù)據(jù)匯聚組件應根據(jù)應用場景支持兩種或兩種以上的采集協(xié)議進行數(shù)據(jù)采集，采集協(xié)議包括但不采集內(nèi)容數(shù)據(jù)匯聚組件：a)應支持基于采集策略采集不同類型的數(shù)據(jù)，數(shù)據(jù)類型包括網(wǎng)絡流量、資產(chǎn)信息、日志、漏洞信b)應支持根據(jù)應用場景自定義采集的數(shù)據(jù)類型；c)應支持采用校驗技術或密碼技術確保從前端數(shù)據(jù)源采集數(shù)據(jù)的完整性。4數(shù)據(jù)匯聚組件應支持基于數(shù)據(jù)預處理規(guī)則對采集的原始數(shù)據(jù)進行篩選，如去除必填字段為空的數(shù)據(jù)、去除重要字段為空的數(shù)據(jù)、去除數(shù)據(jù)格式錯誤的數(shù)據(jù)、去除重復的數(shù)據(jù)等。數(shù)據(jù)匯聚組件應支持將采集的同一類型、不同格式的原始數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一的數(shù)據(jù)格式，如統(tǒng)一時間格式、統(tǒng)一漏洞名稱等，且轉(zhuǎn)換時不能丟失或損壞關鍵數(shù)據(jù)項，其中漏洞描述應遵循GB/T28458—2020第5章、GB/T30279—2020第5章和第6章的要求；威脅信息描述應遵循GB/T36643—2018第6章的要求；網(wǎng)絡攻擊描述應遵循GB/T37027—2018第6章和第7章的要求；安全事件描述應遵循GB/T28517—2012第5章、第6章和第7章的要求。數(shù)據(jù)匯聚組件應支持基于資產(chǎn)信息庫、威脅信息庫、地理信息庫等對采集的原始數(shù)據(jù)進行補全，補全的內(nèi)容包括資產(chǎn)的相關屬性、關聯(lián)事件、地理位置等。數(shù)據(jù)匯聚組件應支持根據(jù)相關數(shù)據(jù)字段對采集的原始數(shù)據(jù)進行標記，標記內(nèi)容應基于分析需求進數(shù)據(jù)匯聚組件應支持存儲結構化、半結構化和非結構化的數(shù)據(jù)。數(shù)據(jù)匯聚組件：a)應支持存儲業(yè)務數(shù)據(jù)，如采集的流量數(shù)據(jù)、日志數(shù)據(jù)、告警信息以及產(chǎn)生的安全事件、預警信b)應支持存儲管理數(shù)據(jù)，如安全策略數(shù)據(jù)、運行日志、操作日志等；c)應支持存儲知識數(shù)據(jù)并建立相應的數(shù)據(jù)庫，如資產(chǎn)信息庫、地理信息庫、攻擊特征庫、漏洞庫、安全事件庫、威脅信息庫等。數(shù)據(jù)匯聚組件應支持設置各類數(shù)據(jù)的存儲時間。數(shù)據(jù)匯聚組件應支持對存儲的重要數(shù)據(jù)、敏感數(shù)據(jù)等進行完整性和保密性保護。6.2數(shù)據(jù)分析要求5數(shù)據(jù)分析組件：a)應支持識別不同類別的網(wǎng)絡攻擊，網(wǎng)絡攻擊類別包括但不限于漏洞利用攻擊、拒絕服務攻擊、Web應用攻擊、數(shù)據(jù)竊取攻擊、惡意郵件攻擊、惡意代碼攻擊等；b)應支持基于特征匹配、關聯(lián)分析、數(shù)據(jù)挖掘、機器學習等技術進行網(wǎng)絡攻擊分析；c)應支持基于威脅信息等進行網(wǎng)絡攻擊分析；d)應支持通過分析得到網(wǎng)絡攻擊屬性，包括攻擊時間、攻擊來源、攻擊對象、攻擊結果、攻擊方式、e)應支持從攻擊對象或攻擊方視角對網(wǎng)絡攻擊行為進行分析，還原攻擊路徑；f)應支持建立攻擊方畫像；g)宜支持結合內(nèi)外部的分析能力預測潛在的網(wǎng)絡攻擊。數(shù)據(jù)分析組件：a)應支持結合資產(chǎn)類型、資產(chǎn)位置、資產(chǎn)重要程度、資產(chǎn)脆弱性、資產(chǎn)是否失陷及威脅信息等分析資產(chǎn)風險，評估資產(chǎn)風險等級；b)應支持建立資產(chǎn)畫像；c)宜支持結合內(nèi)外部的分析能力預測潛在的資產(chǎn)風險。數(shù)據(jù)分析組件：a)應支持發(fā)現(xiàn)用戶或?qū)嶓w的異常行為，異常行為包括但不限于登錄異常、訪問異常、操作異常、數(shù)據(jù)下載異常、可疑域名訪問等；b)應支持基于行為基線、關聯(lián)分析、數(shù)據(jù)挖掘、機器學習等技術進行異常行為分析；c)應支持建立用戶行為畫像，包括用戶個體行為畫像和群體行為畫像；d)宜支持基于歷史數(shù)據(jù)學習預測用戶或?qū)嶓w潛在的異常行為。數(shù)據(jù)分析組件：a)應支持基于資產(chǎn)重要程度、造成的危害程度和影響范圍對安全事件進行分類分級；b)應支持基于安全事件，關聯(lián)分析出資產(chǎn)相關的威脅信息、網(wǎng)絡攻擊類別、網(wǎng)絡攻擊屬性、影響范圍等；c)宜支持結合內(nèi)外部的分析能力預測潛在的安全事件。6.3態(tài)勢展示要求6.3.1整體態(tài)勢展示態(tài)勢展示組件：a)應支持對網(wǎng)絡的整體安全狀況用分值或等級等方式進行評估和展示；b)應支持對不同行業(yè)、不同區(qū)域、不同業(yè)務單元或不同資產(chǎn)等的局部網(wǎng)絡安全狀況采用分值或等級等方式進行評估和展示；6c)應支持對不同時間段的整體網(wǎng)絡安全狀況進行評估和展示；d)應支持采用多種視圖展示整體安全態(tài)勢，展示視圖至少包括以下中的兩種：雷達圖、地理信息e)應支持分角色展示，即針對不同角色用戶展示不同內(nèi)容；f)應支持展示整體網(wǎng)絡安全狀況的變化趨勢，如分值或等級的變化等；g)應支持根據(jù)應用場景進行不同類型專題態(tài)勢的評估和展示。6.3.2專題態(tài)勢展示態(tài)勢展示組件：a)應支持以圖表方式展示當前資產(chǎn)的類型和數(shù)量；c)應支持對資產(chǎn)的安全狀況進行評估和展示，包括具體資產(chǎn)的風險等級及資產(chǎn)的安全狀況描述；d)應支持展示資產(chǎn)安全狀況的變化趨勢，如資產(chǎn)風險等級的變化、聯(lián)網(wǎng)狀態(tài)的變化等。態(tài)勢展示組件：a)應支持對流量數(shù)據(jù)基于協(xié)議、時間、源IP地址、目的IP地址、前端數(shù)據(jù)源等進行統(tǒng)計和展示；b)應支持統(tǒng)計和展示的范圍至少包括互聯(lián)網(wǎng)流量、特定用戶流量及特定資產(chǎn)流量等；c)應支持展示流量的變化趨勢，如互聯(lián)網(wǎng)流量大小的變化、前端數(shù)據(jù)源流量大小的變化等。態(tài)勢展示組件：a)應支持對資產(chǎn)的資源(如CPU、內(nèi)存、網(wǎng)絡)使用情況進行統(tǒng)計和展示；b)應支持統(tǒng)計和展示的范圍至少包括重要資產(chǎn)、運行異常資產(chǎn)等；c)應支持展示資產(chǎn)的資源使用情況的變化趨勢，如資產(chǎn)CPU/內(nèi)存/網(wǎng)絡使用情況的變化、運行異常資產(chǎn)的數(shù)量變化等。態(tài)勢展示組件：a)應支持展示網(wǎng)絡中存在的漏洞、弱口令、不安全配置等脆弱性；b)應支持展示存在漏洞的資產(chǎn)、漏洞的類型分布、漏洞的級別分布等；c)應支持基于資產(chǎn)信息統(tǒng)計和展示脆弱性分析結果，包括漏洞資產(chǎn)總數(shù)、弱口令資產(chǎn)數(shù)、不安全配置資產(chǎn)數(shù)及詳情等；d)應支持展示資產(chǎn)脆弱性的變化趨勢，如資產(chǎn)中高風險漏洞數(shù)量的變化、弱口令資產(chǎn)數(shù)的變化等。態(tài)勢展示組件：a)應支持實時獲取并展示當前網(wǎng)絡的受攻擊情況，包括攻擊時間、攻擊源IP地址、目的IP地址、7b)應支持統(tǒng)計和展示攻擊方式分布、攻擊時間段、攻擊來源分布等；c)應支持展示當前網(wǎng)絡受攻擊情況的變化趨勢，如攻擊時間段的變化、攻擊來源分布的變化等。態(tài)勢展示組件：a)應支持展示偏離用戶行為基線的用戶異常行為，如違規(guī)或越權訪問網(wǎng)絡或服務、非授權下載數(shù)據(jù)等；b)應支持展示偏離實體訪問基線的實體異常行為，實體包括主機操作系統(tǒng)、網(wǎng)絡設備、安全設備、c)應支持展示的內(nèi)容包括用戶或?qū)嶓w信息、異常行為對象、異常行為類型、異常行為發(fā)生時間、異常行為描述等；d)應支持展示用戶或?qū)嶓w異常行為的變化趨勢，如異常行為類型的變化、異常行為發(fā)生時間的變化等。態(tài)勢展示組件：a)應支持展示網(wǎng)絡中發(fā)現(xiàn)的安全事件，包括事件時間、事件類型、事件名稱、事件等級、事件對象、b)應支持基于安全事件數(shù)量、類型、等級、資產(chǎn)分布等進行安全事件的統(tǒng)計和展示；c)應支持展示安全事件的變化趨勢，如安全事件類型的變化、事件對象的變化等。態(tài)勢展示組件：a)應支持對態(tài)勢相關數(shù)據(jù)進行查詢；b)應支持基于時間或其他數(shù)據(jù)字段進行組合查詢；c)應支持對查詢結果根據(jù)字段進行排序。態(tài)勢展示組件：a)應支持根據(jù)數(shù)據(jù)分析、態(tài)勢評估的結果生成統(tǒng)計報表并導出；b)應支持基于指定時間段生成統(tǒng)計報表或生成周期性報表；c)應支持自定義設置統(tǒng)計視圖和報表模板，采用多種視圖生成統(tǒng)計報表。態(tài)勢展示組件：a)應支持根據(jù)數(shù)據(jù)分析結果生成整體網(wǎng)絡安全狀況分析報告并導出；b)應支持根據(jù)數(shù)據(jù)分析結果生成不同區(qū)域、不同業(yè)務單元等的局部網(wǎng)絡安全狀況分析報告并導出；c)應支持根據(jù)數(shù)據(jù)分析結果提供對策或修復建議；d)應支持基于指定時間段產(chǎn)生分析報告或生成周期性分析報告；8e)應支持自定義設置分析報告的模板。6.4監(jiān)測預警要求監(jiān)測預警組件：a)應支持基于監(jiān)測策略對網(wǎng)絡安全狀況進行監(jiān)測，具體監(jiān)測策略支持根據(jù)應用場景自定義；b)應支持基于監(jiān)測結果、數(shù)據(jù)分析結果，并結合預警規(guī)則等進行分級別預警；d)應支持根據(jù)預警級別和預警流程發(fā)布預警信息，預警信息包括但不限于預警類型、預警級別、e)應支持通過預警信息進行受影響資產(chǎn)的關聯(lián)分析，得出資產(chǎn)名稱、資產(chǎn)類型、IP地址等；f)應支持預警信息的上報，預警信息的上報方式和內(nèi)容遵循國家相關規(guī)定；g)宜支持基于預警信息與第三方設備或系統(tǒng)進行聯(lián)動處置。6.5數(shù)據(jù)服務接口要求6.5.1數(shù)據(jù)交換接口數(shù)據(jù)服務接口組件：a)應支持與不同前端數(shù)據(jù)源、內(nèi)部不同模塊及其他外部系統(tǒng)通過接口進行數(shù)據(jù)交換，數(shù)據(jù)交換包b)數(shù)據(jù)交換的內(nèi)容應支持不同的類型、字段和格式，其中類型包括日志、告警信息、威脅信息、資產(chǎn)信息、用戶信息、脆弱性信息、安全事件等，字段和格式應基于類型進行定義。6.5.2數(shù)據(jù)分析接口數(shù)據(jù)服務接口組件：a)宜支持為內(nèi)部不同模塊及其他外部系統(tǒng)通過接口進行數(shù)據(jù)分析；b)宜支持基于數(shù)據(jù)分析接口實現(xiàn)算術計算、邏輯關系計算、