工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理系統(tǒng)要求

YD/Txxxxx—xxxx工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理系統(tǒng)通用要求本文件規(guī)定了工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理系統(tǒng)的數(shù)據(jù)采集處理要求、安全監(jiān)測分析要求、安全集中管理要求、系統(tǒng)安全要求、性能要求等本文件適用于應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、標識解析企業(yè)，以及基礎(chǔ)電信企業(yè)建設(shè)的工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理系統(tǒng)的規(guī)劃、設(shè)計和實施2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。信息安全技術(shù)信息安全事件分類分級指南信息安全技術(shù)術(shù)語工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理系統(tǒng)cybersecuritymonitoringandmanagementsystemofindustrialIntern面向應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、標識解析企業(yè)及基礎(chǔ)電信企業(yè)，通過采集分析網(wǎng)絡(luò)流量、資產(chǎn)、網(wǎng)絡(luò)設(shè)備日志、行為數(shù)據(jù)、漏洞數(shù)據(jù)等數(shù)據(jù)，實現(xiàn)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)采集處理、網(wǎng)絡(luò)安全監(jiān)測分析、安全集中管理的系統(tǒng)。面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求，構(gòu)建基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系，支撐制造資源泛在連接、彈性供給、高效配置的工業(yè)云平臺。接入互聯(lián)網(wǎng)且對工業(yè)互聯(lián)網(wǎng)企業(yè)具有價值的設(shè)備、系統(tǒng)、信息或其他資源，是安全策略保護的對YD/TxXXXx—xXXx工業(yè)互聯(lián)網(wǎng)企業(yè)industrialInternetenterprise應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)和工業(yè)互聯(lián)網(wǎng)標識解析企業(yè)的統(tǒng)稱。工業(yè)互聯(lián)網(wǎng)企業(yè)industrialInternetenterprise應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)和工業(yè)互聯(lián)網(wǎng)標識解析企業(yè)的統(tǒng)稱。下列縮略語適用于本文件。分布式拒絕服務(wù)攻擊DistributedDenialofServ文件傳輸協(xié)議可尋址遠程傳感器高速通道HighwayAddresableRemoteTr超文本傳輸協(xié)議超文本傳輸安全協(xié)議yperTextTransferProtocoloverSecureSocketr國際電工委員會IntemationalElectroTechnicalCommi網(wǎng)絡(luò)之間互連的協(xié)議消息隊列遙測傳輸協(xié)議MessageQucuingTelemet用于過程控制的對象連接與嵌入ObjectLinkingandEmbeddingfo網(wǎng)絡(luò)數(shù)據(jù)包捕獲格式安全文件傳輸協(xié)議SecureFileTransf簡單網(wǎng)絡(luò)管理協(xié)議SimpleNetworkManagemen業(yè)務(wù)請求傳送協(xié)議ServiceRequestTransp安全外殼系統(tǒng)日志協(xié)議SystemLogging傳輸控制協(xié)議統(tǒng)一資源定位符面向應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、標識解析企業(yè)，以及基礎(chǔ)電信企業(yè)，針對工業(yè)互聯(lián)網(wǎng)相關(guān)流量、資產(chǎn)、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備告警日志等數(shù)據(jù)進行采集、處理、存儲，實現(xiàn)針對工業(yè)互聯(lián)網(wǎng)安全的監(jiān)測與分析，具體包括網(wǎng)絡(luò)攻擊分析、資產(chǎn)風(fēng)險分析、異常行為分析。同時，該系統(tǒng)具備資產(chǎn)信息管理、訪問日志管理、安全監(jiān)測管理、安全告警管理、協(xié)同聯(lián)動管理、態(tài)勢可視化展示等安全集中管理功能。工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理系統(tǒng)功能包括數(shù)據(jù)采集處理、安全監(jiān)測分析和安全集中管理，功能架構(gòu)如圖1所示。工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理系統(tǒng)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與管理系統(tǒng)安全集中管理資產(chǎn)信息訪問日志安全監(jiān)測安全告警協(xié)同聯(lián)動態(tài)勢可視安全監(jiān)測分析網(wǎng)絡(luò)攻擊分析資產(chǎn)風(fēng)險分析異常行為分析數(shù)據(jù)采集處理數(shù)據(jù)采集數(shù)據(jù)處理數(shù)據(jù)存儲6數(shù)據(jù)采集處理要求6.1.1采集能力要求數(shù)據(jù)采集能力本項要求包括：a)應(yīng)支持采集策略的配置，能根據(jù)需要調(diào)整采集的數(shù)據(jù)類型和數(shù)據(jù)內(nèi)容；b)應(yīng)支持采集Linux,Unix,Windows等多種操作系統(tǒng)下的服務(wù)器日志及防火墻、入侵檢測系統(tǒng)、漏洞掃描設(shè)備等設(shè)備的日志c)應(yīng)根據(jù)應(yīng)用場景支持至少兩種數(shù)據(jù)采集協(xié)議進行數(shù)據(jù)采集，采集協(xié)議至少包括Syslog協(xié)議、d應(yīng)支持基于特定規(guī)則的PCAP包留存，至少包括P規(guī)則、協(xié)議規(guī)則、報文規(guī)則、URL規(guī)則。流量采集能力本項要求包括：a)應(yīng)具備對音頻、視頻等指定應(yīng)用流量的過濾能力；b)應(yīng)具備對指定IP或者URL流量的過濾能力；c)應(yīng)支持針對特定協(xié)議流量的過濾，至少包括HTTPS、RTSP、SIP等；d)應(yīng)支持IPv4、IPv6雙協(xié)議棧采集、解析能力協(xié)議解析能力5YD/TxXXXx—xXXx本項要求包括：a)應(yīng)支持對TCP/UDP等傳輸層協(xié)議的解析，支持IP碎片重組、TCP流重組、TCP流狀態(tài)跟蹤；b)應(yīng)具備對通用網(wǎng)絡(luò)協(xié)議，以及主流工業(yè)通信協(xié)議的識別解析能力。通用網(wǎng)絡(luò)協(xié)議至少包括HTTP、MQTT、SNP、TELNET、FTP、SSH、DNS等；工業(yè)通信協(xié)議包括：西門子的S7、0PC、通用電氣的SRTP、PROFINET(由PROFIBUSandPROFINETInterational國際組織定義的一種開放式的工業(yè)以太網(wǎng)標準)、HART-IP(美國ROSEMOUN公司定義的一種用于現(xiàn)場智能儀表和控制室設(shè)備之間的通信協(xié)議)、IEC104等：c)應(yīng)支持對西門子S7、通用電氣的SRTP、HART-IP、0PC、PROFINET、IEC104等主流工控協(xié)議的深度解析，提取主流協(xié)議規(guī)約的特定內(nèi)容，例如：操作指令、功能碼等字段內(nèi)容；d)針對加密流量應(yīng)具備協(xié)議的識別能力。6.1.2采集方式要求本項要求包括：a)應(yīng)支持主動采集數(shù)據(jù)源的數(shù)據(jù)，數(shù)據(jù)采集頻率支持自定義；b)應(yīng)支持手動導(dǎo)入數(shù)據(jù)：c)應(yīng)支持對數(shù)據(jù)源進行配置、添加、修改和刪除管理。6.1.3數(shù)據(jù)源要求本項要求包括：a)采集工業(yè)企業(yè)網(wǎng)絡(luò)出入口流量、工業(yè)互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)出入口流量、標識解析服務(wù)器網(wǎng)絡(luò)出入口流量等工業(yè)互聯(lián)網(wǎng)應(yīng)用場景的流量，具體采集類型能根據(jù)監(jiān)測需求由企業(yè)定義；b)應(yīng)采集工業(yè)互聯(lián)網(wǎng)企業(yè)資產(chǎn)數(shù)據(jù)，至少包括：IP地址類型、資產(chǎn)IP地址、資產(chǎn)端口、MAC地址、資產(chǎn)類型、生產(chǎn)廠商、操作系統(tǒng)等信息c)應(yīng)采集工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)部的網(wǎng)絡(luò)設(shè)備、安全設(shè)備產(chǎn)生的網(wǎng)絡(luò)威脅相關(guān)監(jiān)測數(shù)據(jù)，至少包括：行為日志、網(wǎng)絡(luò)威脅日志、安全告警數(shù)據(jù)等：d)應(yīng)采集工業(yè)協(xié)議通信行為數(shù)據(jù)，至少包括：組態(tài)上傳、組態(tài)下載、指令變更等信息。e)應(yīng)采集工業(yè)互聯(lián)網(wǎng)漏洞隱患數(shù)據(jù)，至少包括：漏洞名稱、漏洞類型、危害等級、漏洞編號、隱患URL地址、補丁信息、修復(fù)建議等信息；6.2數(shù)據(jù)處理要求本項要求包括；a)應(yīng)支持對數(shù)據(jù)進行清洗過濾，針對數(shù)據(jù)格式不一致、數(shù)據(jù)輸入錯誤、數(shù)據(jù)不完整等問題，支持對數(shù)據(jù)進行轉(zhuǎn)換和加工b)應(yīng)支持將采集的同一類型、不同格式的原始數(shù)據(jù)轉(zhuǎn)換為流一的數(shù)據(jù)格式：c)應(yīng)支持基于資產(chǎn)庫、威脅信息庫、地理信息庫等對采集的原始數(shù)據(jù)進行補全，包括資產(chǎn)類型、關(guān)聯(lián)事件信息、地理位置等d)應(yīng)支持根據(jù)相關(guān)數(shù)據(jù)字段對采集的原始數(shù)據(jù)進行標簽化處理，標簽內(nèi)容應(yīng)基于分析需求進行設(shè)置，包括數(shù)據(jù)重要程度、數(shù)據(jù)來源、區(qū)域、行業(yè)等；6.3數(shù)據(jù)存儲要求本項要求包括：a)應(yīng)支持存儲結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)：YD/TxXXXx—xXXxb)應(yīng)支持存儲采集的流量數(shù)據(jù)、日志數(shù)據(jù)等業(yè)務(wù)數(shù)據(jù)；c)應(yīng)支持存儲采集和處理獲取的原始數(shù)據(jù)、預(yù)處理后的數(shù)據(jù)、告警數(shù)據(jù)、統(tǒng)計數(shù)據(jù)等；d)應(yīng)支持存儲安全策略數(shù)據(jù)、用戶數(shù)據(jù)、系統(tǒng)日志、操作日志等管理數(shù)據(jù)，以及漏洞信息庫、威脅情報庫等知識庫數(shù)據(jù)；e)網(wǎng)絡(luò)威脅日主應(yīng)至少存儲180天，通聯(lián)記錄應(yīng)至少存儲30天，PCAP包應(yīng)至少存儲7天：0應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，進行定期備份，或提供多副本備份機制；備份數(shù)據(jù)應(yīng)與原數(shù)據(jù)具有相同的訪問控制權(quán)限和安全存儲要求。7安全監(jiān)測分析要求7.1網(wǎng)絡(luò)攻擊分析要求本項要求包括：a)應(yīng)識別常見的網(wǎng)絡(luò)攻擊行為，至少包括DDoS、Web應(yīng)用攻擊、暴力破解、掃描探測、漏洞利用攻擊、惡意軟件感染、隱蔽隨道通信等；b)應(yīng)識別針對工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊行為，至少包括工業(yè)協(xié)議漏洞攻擊、工業(yè)控制應(yīng)用漏洞攻擊、工業(yè)控制設(shè)備漏洞攻擊等；c)應(yīng)支持網(wǎng)絡(luò)攻擊階段的識別，至少包括掃描探測、嘗試攻擊、初步感染、木馬下載、遠程控制、橫向滲透、行動收割；d)應(yīng)支持建立攻擊IP畫像，至少包括攻擊時間、攻擊來源、攻擊對象、攻擊方式、攻擊趨勢、危害程度等；e)應(yīng)支持攻擊行為回溯，按照時間順序、攻擊來源、攻擊對象等要素對網(wǎng)絡(luò)攻擊進行關(guān)聯(lián)分析，還原攻擊路徑。7.2資產(chǎn)風(fēng)險分析要求本項要求包括：a)應(yīng)支持識別工業(yè)資產(chǎn)類型、型號、版本、廠商等信息；b)應(yīng)支持判斷工業(yè)互聯(lián)網(wǎng)資產(chǎn)失陷狀態(tài)，評估資產(chǎn)風(fēng)險等級；c)應(yīng)支持建立工業(yè)互聯(lián)網(wǎng)資產(chǎn)風(fēng)險畫像，包括：資產(chǎn)廠商、型號、操作系統(tǒng)、固件版本、漏洞隱患、相關(guān)事件信息、威脅等級，以及資產(chǎn)失陷狀態(tài)。7.3異常行為分析要求本項要求包括：a)應(yīng)支持通過行為基線、關(guān)聯(lián)分析等技術(shù)發(fā)現(xiàn)用戶或?qū)嶓w的異常行為，至少包括登錄異常、高頻訪問、訪問流量超限、數(shù)據(jù)下載異常、可疑域名訪問：b)應(yīng)支持識別不符合協(xié)議規(guī)約規(guī)定格式的工業(yè)控制協(xié)議報文，至少包括異常的控制命令、控制點位、控制值。8安全集中管理要求8.1資產(chǎn)信息管理要求本項要求包括：7YD/TxXXXx—xXXx應(yīng)支持資產(chǎn)信息管理，至少包括資產(chǎn)標識、IP類型(包括IPv4和IPy6)、資產(chǎn)IP、MAC地址、產(chǎn)類型、操作系統(tǒng)、生產(chǎn)廠商、發(fā)現(xiàn)時間、更新時間等字段：8.2訪問日志管理要求本項要求包括：應(yīng)支持工業(yè)互聯(lián)網(wǎng)相關(guān)協(xié)議的通聯(lián)日志管理，記錄相關(guān)信息，至少包括源IP、源端口、目的IP、目的端口、協(xié)議、訪問開始時間、訪問結(jié)束時間、上行包數(shù)量、上行流量大小、下行包數(shù)量、下行流量大小、訪問URL地址等：8.3安全監(jiān)測管理要求本項要求包括：a)應(yīng)支持漏洞隱患的監(jiān)測發(fā)現(xiàn)，識別通用設(shè)備及組件漏洞信息、工業(yè)設(shè)備及系統(tǒng)漏洞信息，至少包括漏洞名稱、漏洞類型、危害等級、相關(guān)資產(chǎn)漏洞隱患地址(IP、端口或URL)、發(fā)現(xiàn)時b)應(yīng)支持按照漏洞類型、漏洞名稱、危害等級、資產(chǎn)IP等字段進行資產(chǎn)漏洞信息查詢；c)應(yīng)支持網(wǎng)絡(luò)威脅的監(jiān)測發(fā)現(xiàn)，識別針對企業(yè)資產(chǎn)的網(wǎng)絡(luò)攻擊和其他惡意行為，至少包括源IP、源端口、目的IP、目的端口、協(xié)議、事件類型、威脅等級、攻擊階段、攻擊方向、發(fā)生時間、攻擊載荷、規(guī)則名稱、數(shù)據(jù)來源等：d)應(yīng)支持按照事件類型、威脅等級、攻擊階段、發(fā)現(xiàn)時間、數(shù)據(jù)來源等字段進行網(wǎng)絡(luò)威脅日志e)應(yīng)具備針對IPv6網(wǎng)絡(luò)流量的安全監(jiān)測能力8.4安全告警管理要求本項要求包括：a)應(yīng)支持在安全事件或異常行為發(fā)生時，及時發(fā)送告警信息：b)應(yīng)支持對告警策略進行分級，對不同級別的安全事件進行不同等級的告警：c)應(yīng)支持告警策略的配置，基于各類安全監(jiān)測數(shù)據(jù)，對源IP、目的IP、LRL、規(guī)則名稱、數(shù)據(jù)來源等配置單一參數(shù)或者組合參數(shù)的告警策略；d)應(yīng)具備安全威脅溯源能力，支持對安全威脅追溯到攻擊路徑、攻擊方式、攻擊時間等e)應(yīng)至少支持兩種告警方式，告警方式包括平臺、郵件、即時通信、短信等。8.5協(xié)同聯(lián)動管理要求本項要求包括：a)應(yīng)支持上報安全事件、威脅情報、惡意文件、資產(chǎn)等信息。b)應(yīng)提供對外聯(lián)動接口，具備接收監(jiān)管側(cè)系統(tǒng)下發(fā)的指令并執(zhí)行的能力，指令類型包括監(jiān)測類 (網(wǎng)絡(luò)資源、流量報文、惡意文件等)、預(yù)警類、處置類、查詢類(歷史監(jiān)測日志、歷史惡意樣本等)、測源類；c)應(yīng)具備執(zhí)行完指令后向監(jiān)管側(cè)系統(tǒng)反饋執(zhí)行結(jié)果的能力，反饋命中規(guī)則的會話信息，至少包括：源IP地址、源端口、目的IP地址、目的端口、URL、指令編號、發(fā)現(xiàn)時間等字段信d)應(yīng)支持根據(jù)指令要求留存原始流量PCAP數(shù)據(jù)包，并作為日志附件上報：8.6態(tài)勢可視化展示要求本項要求包括：a)應(yīng)支持網(wǎng)絡(luò)攻擊態(tài)勢的分析和展示，至少包括攻擊方式、攻擊來源、攻擊威脅、攻擊階段、攻擊趨