信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南

GB/TXXXXX—XXXX信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南范圍本標準定義了網(wǎng)絡(luò)安全監(jiān)測框架和基本方法，提出了網(wǎng)絡(luò)安全監(jiān)測活動各組成環(huán)節(jié)技術(shù)要求，給出了實施監(jiān)測建設(shè)運維過程。本標準適用于用戶單位對信息系統(tǒng)或網(wǎng)絡(luò)設(shè)施實施網(wǎng)絡(luò)安全監(jiān)測的方法和過程指導，適用于安全產(chǎn)品廠商參考進行產(chǎn)品設(shè)計和開發(fā)，也適用于為安全服務(wù)廠商實施安全監(jiān)測服務(wù)提供規(guī)范和依據(jù)。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18030信息技術(shù)中文編碼字符集GB/T20984信息安全技術(shù)信息安全風險評估規(guī)范GB/T20985信息技術(shù)安全技術(shù)信息安全事件管理指南GB/Z20986信息安全技術(shù)信息安全事件分類分級指南GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T25069信息安全技術(shù)術(shù)語GB/T28458信息安全技術(shù)安全漏洞標識與描述規(guī)范GW0204-2014國家電子政務(wù)外網(wǎng)安全管理系統(tǒng)技術(shù)要求與接口規(guī)范術(shù)語定義與縮略語3.1術(shù)語定義GB/T18030、GB/T20984、GB/T20985、GB/Z20986、GB/T22239、GB/T25069和GB/T28458界定的以及下列術(shù)語和定義適用于本文件。3.1.1信息安全事態(tài)informationsecurityevent系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別狀態(tài)，可能是信息安全策略的違反或防護措施的失效，或是和安全關(guān)聯(lián)的一個未知狀態(tài)。3.1.2信息安全事件informationsecurityincident一個信息安全事故由單個或一系列有害或意外信息安全事件組成，具有損害業(yè)務(wù)運作和威脅信息安全的極大可能性。3.1.3網(wǎng)絡(luò)安全態(tài)勢感知networksecuritysituationawareness大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、分析、圖形化顯示以及預(yù)測未來一段時間內(nèi)的發(fā)展趨勢。3.1.4風險管理riskmanagement指導和控制一個組織相關(guān)風險的協(xié)調(diào)活動。3.1.5安全攻擊securityattack信息系統(tǒng)中，對系統(tǒng)或信息進行破壞、泄漏、更改或使其喪失功能的行為。3.1.6安全策略securitypolicy安全區(qū)域內(nèi)用于所有與安全相關(guān)活動的一套規(guī)則，規(guī)則由此安全區(qū)域中設(shè)立的一個安全權(quán)力機構(gòu)建立，并由安全控制機構(gòu)描述、實施或?qū)崿F(xiàn)。3.1.7安全監(jiān)測securitymonitoring以信息安全事件為核心，通過對網(wǎng)絡(luò)和安全設(shè)備日志、系統(tǒng)運行數(shù)據(jù)等信息進行實時采集，以關(guān)聯(lián)分析等方式對監(jiān)測對象進行風險識別、威脅發(fā)現(xiàn)、安全事件實時告警及可視化展示。3.1.8安全漏洞securityvulnerability信息系統(tǒng)中資產(chǎn)可被威脅利用的弱點。3.2縮略語下列縮略語適用于本文件。API應(yīng)用程序編程接口（ApplicationProgrammingInterface）IMAP網(wǎng)絡(luò)郵件訪問協(xié)議（InternetMailAccessProtocol）NSSA網(wǎng)絡(luò)安全態(tài)勢感知（NetworkSecuritySituationAwareness）PCAP過程特性分析軟件包（ProcessCharacterizationAnalysisPackage）POP3郵局協(xié)議版本3（PostOfficeProtocol-Version3）SNMP簡單郵件傳輸協(xié)議（SimpleMailTransferProtocol）SSL安全套接層（SecureSocketsLayer）網(wǎng)絡(luò)安全監(jiān)測技術(shù)框架監(jiān)測主要構(gòu)成監(jiān)測對象的監(jiān)測過程與活動是網(wǎng)絡(luò)安全監(jiān)測技術(shù)的主要構(gòu)成。主要包括以下內(nèi)容：監(jiān)測對象：為網(wǎng)絡(luò)安全監(jiān)測活動的采集行為提供數(shù)據(jù)源，如日志數(shù)據(jù)、配置數(shù)據(jù)、包數(shù)據(jù)；監(jiān)測過程與活動：通過對信息系統(tǒng)的物理環(huán)境、通信環(huán)境、區(qū)域邊界、計算環(huán)境進行數(shù)據(jù)采集、存儲、分析，發(fā)現(xiàn)安全事件并展示與告警。網(wǎng)絡(luò)安全監(jiān)測技術(shù)框架如圖1所示：圖1網(wǎng)絡(luò)安全監(jiān)測技術(shù)框架監(jiān)測分類按照監(jiān)測目標的不同，網(wǎng)絡(luò)安全監(jiān)測分為以下四類：信息安全事件監(jiān)測：對具有損害業(yè)務(wù)運作和威脅信息安全的事件，按照信息安全事件不同分類、分級要求，分析識別并進行展示與告警；運行狀態(tài)監(jiān)測：對監(jiān)測對象的運行狀態(tài)進行實時捕捉，如各類設(shè)備和系統(tǒng)的可用性狀態(tài)信息；脆弱性與威脅監(jiān)測：對監(jiān)測對象的脆弱性、威脅進行評估分析，發(fā)現(xiàn)資產(chǎn)所面臨的安全風險；策略與配置監(jiān)測：對各類設(shè)備和系統(tǒng)安全策略和配置信息進行核查分析，評估安全合規(guī)性情況。網(wǎng)絡(luò)安全監(jiān)測技術(shù)要求采集數(shù)據(jù)采集應(yīng)支持通過日志采集、協(xié)議采集、包采集等多種方式采集多種類型數(shù)據(jù)，并將采集到的數(shù)據(jù)轉(zhuǎn)化為標準化數(shù)據(jù)格式。采集類型應(yīng)具備從物理環(huán)境、通信環(huán)境、區(qū)域邊界、計算環(huán)境等采集日志數(shù)據(jù)、性能數(shù)據(jù)、流數(shù)據(jù)、威脅數(shù)據(jù)、配置數(shù)據(jù)、脆弱性數(shù)據(jù)、包數(shù)據(jù)、策略數(shù)據(jù)等多數(shù)據(jù)類型能力；應(yīng)提供多種方式進行監(jiān)測數(shù)據(jù)采集：基于文件采集、基于代理采集、基于數(shù)據(jù)采集、基于協(xié)議采集；主動采集、被動采集；采集協(xié)議支持SNMP、Syslog、ODBC/JDBC、SFTP、NetBIOS、OPSEC等；應(yīng)提供日志分類和日志歸一化手段，并轉(zhuǎn)化為標準數(shù)據(jù)格式；流量采集需要完成協(xié)議解析和流量元數(shù)據(jù)收集；采集過程不應(yīng)影響采集對象正常運行。存儲存儲模塊的主要功能是對監(jiān)測數(shù)據(jù)進行存儲和存儲可靠性處理，應(yīng)按照如下要求設(shè)計：應(yīng)具備數(shù)據(jù)預(yù)處理功能，包括格式化處理、補充上下文信息（如用戶、地理位置和區(qū)域）、數(shù)據(jù)發(fā)布等；應(yīng)具備分布式存儲功能，要能夠?qū)⒉煌愋偷漠悩?gòu)數(shù)據(jù)進行分類存儲，如歸一化日志、流量元數(shù)據(jù)、PCAP文件；應(yīng)支持按需擴展存儲節(jié)點；應(yīng)滿足可靠性、并發(fā)性的要求，并進行備份存儲；監(jiān)測數(shù)據(jù)中的重要信息應(yīng)進行處理保證數(shù)據(jù)保密性；監(jiān)測數(shù)據(jù)應(yīng)采取校驗機制保證數(shù)據(jù)完整性；重要監(jiān)測數(shù)據(jù)應(yīng)采取備份機制保證數(shù)據(jù)可用性；監(jiān)測數(shù)據(jù)應(yīng)設(shè)置訪問權(quán)限，按權(quán)限限定監(jiān)測數(shù)據(jù)使用；應(yīng)根據(jù)具體情況對監(jiān)測數(shù)據(jù)設(shè)定保存期限，并按照保存期限對數(shù)據(jù)進行存儲；應(yīng)對存儲數(shù)據(jù)結(jié)構(gòu)進行規(guī)劃設(shè)計，對外部系統(tǒng)、上下級系統(tǒng)提供存儲對接接口。分析采集到的數(shù)據(jù)應(yīng)從安全事件、運行狀態(tài)、脆弱性與威脅、策略與配置方面進行分析，發(fā)現(xiàn)安全事件或威脅。具體應(yīng)符合如下要求：安全事件分析應(yīng)具備：采用多種關(guān)聯(lián)分析技術(shù)綜合分析，發(fā)現(xiàn)病毒感染、惡意代碼、數(shù)據(jù)泄露、攻擊入侵、設(shè)備故障、系統(tǒng)狀態(tài)變化、人員違規(guī)行為與誤操作等安全事件或風險；安全事件關(guān)聯(lián)分析能力，通過關(guān)聯(lián)分析比對識別異常行為；基于流量基線檢測異常的能力，識別網(wǎng)絡(luò)訪問、違規(guī)訪問、訪問頻次和訪問路徑等異常；Web異常檢測功能，通過HTTP協(xié)議流量分析、檢測滲透行為；郵件異常檢測能力，通過對SMTP/POP3/IMAP協(xié)議流量分析、檢測基于電子郵件的外部滲透行為；按照組織內(nèi)對事件分類分級的方法，對安全事件進行相應(yīng)的分類分級，并按照流程進行處置分析；運行狀態(tài)分析應(yīng)具備：提供滿足實際需求的運行狀態(tài)監(jiān)控，通過可視化圖表查看監(jiān)控信息；設(shè)置告警閾值；并進行運行狀態(tài)的歷史分析；提供各種運行狀態(tài)指標的對比分析，提供基于時間段、基于資產(chǎn)等不同維度的對比分析，并進行動態(tài)直觀展示；通過安全管控、安全審計、健康性評估等對系統(tǒng)運行狀態(tài)管理分析；脆弱性與威脅分析應(yīng)具備：脆弱性感知能力，對資產(chǎn)進行脆弱性檢測和數(shù)據(jù)展示；根據(jù)不同維度進行展示，包括單個資產(chǎn)、安全域、信息系統(tǒng)等維度；威脅感知能力，對威脅進行展示和關(guān)聯(lián)，包括已（未）遭受到的威脅；已遭受威脅需要對威脅進行分類，提取出關(guān)鍵威脅指標，提供組織的威脅態(tài)勢；未遭受威脅需要對外部威脅情報進行分類展示、關(guān)聯(lián)，提供與組織相關(guān)的位置威脅分析；威脅判定能力，將多個威脅進行關(guān)聯(lián)分析和評估；策略與配置分析應(yīng)具備：通過策略與配置的對比分析，分析配置的符合性；通過配置的變更分析，獲取配置的動態(tài)變化進行審核監(jiān)測。展示將采集到的安全數(shù)據(jù)和分析后的結(jié)果信息進行實時可視化展示。其展示內(nèi)容和展示功能應(yīng)具備如下要求：展示內(nèi)容應(yīng)包括：安全事件、運行狀態(tài)、脆弱性與威脅和策略與配置的檢測結(jié)果等實時信息；物理環(huán)境狀態(tài)、拓撲關(guān)系、日志、事件和告警信息，以及事件間的關(guān)聯(lián)關(guān)系；展示功能應(yīng)具備：統(tǒng)計分析圖形、報表方式展示；通過關(guān)鍵字快速檢索獲取相關(guān)日志和流量元數(shù)據(jù)及詳細信息，查詢追溯事件的相關(guān)原始信息；通過展示攻擊過程和擴散路徑，進行攻擊鏈和攻擊上下文信息的呈現(xiàn)，多維度展示安全威脅的影響和范圍。告警使用告警模塊對安全事件或危險進行安全監(jiān)測提示，其分類、分級方式應(yīng)滿足下列要求：內(nèi)容分類應(yīng)包括：根據(jù)設(shè)備用途分為網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序、網(wǎng)管系統(tǒng)和日志服務(wù)器等；根據(jù)事件產(chǎn)生原因分為漏洞、病毒/木馬、可疑活動、掃描探測、拒絕服務(wù)類、認證/授權(quán)/訪問類等；根據(jù)原始事件的原始等級，重定義定級對應(yīng)為“很低、低、中等、高、很高”；告警方式應(yīng)具備：保存告警信息直接進行展示、統(tǒng)計和分析；通過網(wǎng)絡(luò)協(xié)議等多種方式發(fā)送告警相關(guān)的信息供第三方系統(tǒng)分析和處理；高級別告警應(yīng)支持短信、即時通信等推送信息手段，也應(yīng)支持聲音、閃光等強制通知方式；告警響應(yīng)動作應(yīng)支持設(shè)備聯(lián)動，包括對其它設(shè)備執(zhí)行命令腳本、命令行等。接口應(yīng)支持標準接口，構(gòu)建標準化對外接口層，對監(jiān)測內(nèi)部、外部系統(tǒng)進行接口連接，并符合GW0204-2014標準的要求。監(jiān)測接口分為：數(shù)據(jù)采集接口：從各種監(jiān)測對象中利用基于協(xié)議、基于代理、基于文件、基于數(shù)據(jù)的接口進行數(shù)據(jù)采集；外部接口：通過各種外部接口與其他監(jiān)測審計系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)進行系統(tǒng)對接和數(shù)據(jù)交互。網(wǎng)絡(luò)安全監(jiān)測基礎(chǔ)支撐環(huán)境要求網(wǎng)絡(luò)安全監(jiān)測環(huán)境應(yīng)在采集環(huán)境、分析環(huán)境、存儲環(huán)境、展示與告警環(huán)境和外部接口環(huán)境等方面滿足如下要求：采集環(huán)境：應(yīng)建立采集引擎，支持多種協(xié)議解析，以主動和被動的方式采集結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)；支持實時采集與批量采集等多種采集模式；主動方式應(yīng)以最小權(quán)限獲取數(shù)據(jù)；分析環(huán)境：應(yīng)建立數(shù)據(jù)格式化引擎和分析引擎，通過數(shù)據(jù)格式化引擎對數(shù)據(jù)進行清洗、去噪、去重、歸并、數(shù)據(jù)格式化等操作，分析引擎應(yīng)具備聚類、分類、關(guān)聯(lián)分析、深度學習等能力，可對數(shù)據(jù)進行統(tǒng)計、分析、挖掘和深度學習；存儲環(huán)境：應(yīng)通過數(shù)據(jù)庫方式存儲數(shù)據(jù)，支持原格式數(shù)據(jù)存儲。存儲信息應(yīng)包含原始數(shù)據(jù)庫、資產(chǎn)數(shù)據(jù)庫、安全事件庫、預(yù)警與告警數(shù)據(jù)庫、規(guī)則數(shù)據(jù)庫等；外部接口環(huán)境：應(yīng)建立信息安全數(shù)據(jù)上報和采集的統(tǒng)一標準接口，對統(tǒng)一接口的描述、協(xié)議格式、接口內(nèi)容及異常處理等做出明確定義，并通過統(tǒng)一接口與第三方系統(tǒng)進行數(shù)據(jù)交換，監(jiān)測系統(tǒng)應(yīng)只開放最小授權(quán)的數(shù)據(jù)發(fā)送與讀??；展示與告警環(huán)境：應(yīng)通過API的方式調(diào)用存儲層的分析數(shù)據(jù)和日志數(shù)據(jù)，將數(shù)據(jù)庫中每一個數(shù)據(jù)項以單個圖元元素表示，多種數(shù)據(jù)集構(gòu)成數(shù)據(jù)圖像，同時將數(shù)據(jù)的各個屬性值以多維數(shù)據(jù)的形式表示，從時間、空間、地理的維度進行展示與告警。性能要求性能要求應(yīng)明確的關(guān)鍵指標如下：原始數(shù)據(jù)并發(fā)采集能力、事件分析處理能力、事件告警延遲、1000萬條數(shù)據(jù)查詢響應(yīng)時間、1億條數(shù)據(jù)查詢響應(yīng)時間、數(shù)據(jù)統(tǒng)計操作響應(yīng)時間；穩(wěn)定性指標要求應(yīng)滿足：系統(tǒng)主要組件7*24h運行；系統(tǒng)年正常運行時間不低于99.9%；對被采集對象的內(nèi)存資源占用率不超過5%，對網(wǎng)絡(luò)帶寬占用率不超過10%；存儲管理節(jié)點應(yīng)保證至少一個節(jié)點正常運行且另外一個節(jié)點30分鐘內(nèi)恢復正常使用；采集節(jié)點應(yīng)保證至少一個正常工作；集中管理節(jié)點和數(shù)據(jù)庫節(jié)點應(yīng)為雙機或主備方式保證系統(tǒng)高可用性；存儲能力指標要求應(yīng)滿足：數(shù)據(jù)的保存期限不少于6個月；數(shù)據(jù)存儲應(yīng)具體備份和災(zāi)難恢復能力。自身安全性6.3.1等級保護合規(guī)性要求以信息安全等級保護制度和標準要求為依據(jù)，確定網(wǎng)絡(luò)安全監(jiān)測基礎(chǔ)環(huán)境自身安全性。6.3.2系統(tǒng)安全要求支持通信加密、數(shù)據(jù)加密、狀態(tài)監(jiān)測、日志審計、數(shù)據(jù)備份與快速恢復、密碼策略設(shè)置與核查、時間同步及超時登錄設(shè)置。應(yīng)具備如下要求：網(wǎng)絡(luò)通信應(yīng)采用加密協(xié)議；重要數(shù)據(jù)應(yīng)加密存儲；系統(tǒng)進行自身運行狀態(tài)監(jiān)測，并可產(chǎn)生告警；生成系統(tǒng)敏感操作日志，并執(zhí)行定期的日志審計，查看權(quán)限僅授予審計員；系統(tǒng)配置信息和數(shù)據(jù)備份功能，系統(tǒng)崩潰時可通過備份快速恢復；與其他系統(tǒng)進行時間同步能力，至少每天同步一次；賬號密碼強度策略設(shè)置以及密碼強度自動核查機制，并支持用戶登錄時的圖形碼驗證功能；用戶登錄超時設(shè)置。建設(shè)和運維網(wǎng)絡(luò)安全監(jiān)測建設(shè)應(yīng)包括需求分析、規(guī)劃設(shè)計、系統(tǒng)建設(shè)實施、系統(tǒng)運維管理等四個主要活動。建設(shè)和運維框架圖如圖2所示：圖2建設(shè)和運維流程框架需求分析7.1.1概述應(yīng)明確監(jiān)測主體、目標、客體、數(shù)據(jù)采集范圍、技術(shù)手段、評估技術(shù)可行性、確定外部支持數(shù)據(jù)來源、分析政策和法規(guī)風險。7.1.2主體應(yīng)包括網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員、應(yīng)用管理人員、業(yè)務(wù)管理人員等。實施單位應(yīng)明確監(jiān)測主體，根據(jù)主體范圍設(shè)計監(jiān)測方案。7.1.3目標應(yīng)滿足主體的服務(wù)要求；應(yīng)明確邊界范圍、主體，分析支撐響應(yīng)方式方法。7.1.4客體客體應(yīng)滿足如下要求：包括IT系統(tǒng)內(nèi)的網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫、應(yīng)用服務(wù)、終端設(shè)備等；明確數(shù)據(jù)采集層面使用的技術(shù)機制，分析采集技術(shù)所需的客體支持要素；分析數(shù)據(jù)采集規(guī)模、計算數(shù)據(jù)存儲容量；包括分析數(shù)據(jù)采集類型的技術(shù)手段。7.1.5可行性分析可行性分析應(yīng)滿足如下要求：對網(wǎng)絡(luò)安全監(jiān)測的主體、客體、技術(shù)機制進行整體可行性評估、確保監(jiān)控技術(shù)機制可實施性、數(shù)據(jù)可達性、技術(shù)安全性；評估技術(shù)風險，分析檢測技術(shù)實施可靠性、可用性保障措施。7.1.6外部支持需求外部支持需求應(yīng)滿足如下要求：根據(jù)監(jiān)測目標分析外部支持需求；包括網(wǎng)絡(luò)安全監(jiān)管單位發(fā)布的安全公告、權(quán)威機構(gòu)發(fā)布的安全漏洞數(shù)據(jù)、安全攻擊事件信息等、第三方機構(gòu)提供的域名數(shù)據(jù)、IP注冊信息、人員實名制信息等；外部合規(guī)分析，確保監(jiān)測技術(shù)的實施符合國家及監(jiān)管部門的安全管理規(guī)范，遵守保護企業(yè)單位、個人隱私信息的保護要求。規(guī)劃設(shè)計7.2.1架構(gòu)設(shè)計規(guī)劃設(shè)計活動需根據(jù)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)客體環(huán)境設(shè)計系統(tǒng)部署架構(gòu)。應(yīng)滿足如下要求：網(wǎng)絡(luò)安全監(jiān)測采集層，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)特點和采集對象范圍，可采用集中式采集組件部署架構(gòu)或分布式采集組件部署架構(gòu)；采集組件的部署應(yīng)依據(jù)鄰近采集原則，避免跨多個網(wǎng)絡(luò)區(qū)域數(shù)據(jù)采集，應(yīng)依據(jù)一次性采集原則，不應(yīng)對同一對象客體數(shù)據(jù)重復采集；網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)組件應(yīng)根據(jù)安全可信訪問原則，部署在網(wǎng)絡(luò)環(huán)境的可信內(nèi)網(wǎng)區(qū)域，不應(yīng)部署在安全級別較低的外部網(wǎng)絡(luò)區(qū)域；網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)與外部系統(tǒng)接口組件，應(yīng)依據(jù)外部接口服務(wù)與核心接口服務(wù)分離原則，不應(yīng)與網(wǎng)絡(luò)安全監(jiān)測組件部署在相同網(wǎng)絡(luò)區(qū)域內(nèi)。7.2.2功能設(shè)計依據(jù)管理要求進行系統(tǒng)功能設(shè)計。應(yīng)滿足如下要求：安全監(jiān)測采集功能在滿足安全監(jiān)測采集范圍、種類、頻次等需求基礎(chǔ)上，采集功能規(guī)劃設(shè)計應(yīng)依據(jù)最小影響原則，不應(yīng)對采集客體的運行造成不必要影響；數(shù)據(jù)處理及分析功能設(shè)計應(yīng)能滿足用戶對數(shù)據(jù)處理、分析的可擴展、可定義需求；數(shù)據(jù)展示功能設(shè)計應(yīng)能滿足用戶對數(shù)據(jù)展示的用戶角色化、多視角、可定義展示需求。7.2.3通信設(shè)計依據(jù)監(jiān)測業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)進行系統(tǒng)通信設(shè)計。應(yīng)滿足如下要求：網(wǎng)絡(luò)安全監(jiān)測內(nèi)部組件間的通信設(shè)計，應(yīng)明確各組件的通信服務(wù)及端口，并規(guī)劃設(shè)計組件間通信所需的帶寬需求，網(wǎng)絡(luò)通信帶寬規(guī)劃應(yīng)確保充足的網(wǎng)絡(luò)帶寬冗余；用戶與網(wǎng)絡(luò)安全平臺之間通信設(shè)計，應(yīng)區(qū)分內(nèi)部網(wǎng)絡(luò)接入用戶和遠程接入用戶網(wǎng)絡(luò)通道，遠程接入用戶應(yīng)采用通信加密措施。7.2.4容量設(shè)計依據(jù)監(jiān)測數(shù)據(jù)處理需求進行系統(tǒng)容量設(shè)計。應(yīng)滿足如下要求：網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)容量規(guī)劃階段，應(yīng)根據(jù)采集對象種類、數(shù)量、采集要求估算系統(tǒng)數(shù)據(jù)的采集存儲需求，需要分別針對采集原始數(shù)據(jù)、監(jiān)測過程數(shù)據(jù)、監(jiān)測結(jié)果數(shù)據(jù)規(guī)劃存儲容量要求；根據(jù)數(shù)據(jù)用途規(guī)劃在線數(shù)據(jù)存儲容量和離線存儲容量。7.2.5可用性設(shè)計包括網(wǎng)絡(luò)安全監(jiān)測組件可用性和網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)可用性設(shè)計。其中，網(wǎng)絡(luò)安全監(jiān)測組件包括采集組件、網(wǎng)絡(luò)安全監(jiān)測配套的數(shù)據(jù)庫、中間件等，在規(guī)劃設(shè)計階段，應(yīng)對網(wǎng)絡(luò)安全監(jiān)測的關(guān)鍵服務(wù)節(jié)點的軟、硬件系統(tǒng)，規(guī)劃必要的高可用保障能力。7.2.6安全性設(shè)計網(wǎng)絡(luò)安全監(jiān)測規(guī)劃設(shè)計階段，應(yīng)對網(wǎng)絡(luò)安全監(jiān)測自身安全性進行必要規(guī)劃設(shè)計，安全措施應(yīng)包括：承載網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的操作系統(tǒng)配置安全性保障措施；用戶訪問網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的身份鑒權(quán)、認證措施；用戶訪問網(wǎng)絡(luò)通道安全性措施；網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)自身的數(shù)據(jù)安全性保護措施、網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)應(yīng)用層安全檢測措施等。系統(tǒng)建設(shè)實施活動7.3.1系統(tǒng)部署實施系統(tǒng)平臺應(yīng)根據(jù)設(shè)計方案展開實施。應(yīng)滿足如下要求：硬件平臺部署應(yīng)根據(jù)平臺硬件集成設(shè)計方案展開實施，應(yīng)確保部署與設(shè)計的一致性；完整記錄網(wǎng)絡(luò)IP資源、帶寬資源、服務(wù)端口資源等；軟件平臺部署應(yīng)根據(jù)平臺軟件集成設(shè)計方案展開實施，完整記錄關(guān)鍵配置參