TCOSOCC 007-2024 信息安全技術 網(wǎng)絡空間資產(chǎn)測繪安全要求

Informationsecuritytechnology-Securityrequire 2 2 3 3 3 4 4 5 5 6 6 6 7 7 2 7本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定江盛邦（北京）網(wǎng)絡安全科技股份有限公司、類信息通信技術基礎設施之上的人造空間，用以支撐人們在該空間中開展各類與信息通信技術相關的需動態(tài)測量，對信息資產(chǎn)進行測繪就顯得尤1信息安全技術網(wǎng)絡空間資產(chǎn)測繪安全要求本文件適用于個人、組織、機構(gòu)、企業(yè)實施網(wǎng)絡空間資產(chǎn)測構(gòu)建在信息通信技術基礎設施之上的人造空間，用以支撐人們在該空間中開展各類與信息通信技網(wǎng)絡空間中某機構(gòu)所擁有的一切可能被潛在攻擊網(wǎng)絡空間資產(chǎn)測繪cyberspacesur4資產(chǎn)測繪安全框架2應用安全要求應用安全要求安全保障要求運行與維護業(yè)務連續(xù)性安全保障要求運行與維護業(yè)務連續(xù)性機構(gòu)和人員管理制度管理制度3a)網(wǎng)絡空間資產(chǎn)數(shù)據(jù)涉及不同敏感程度時，應建立分級存儲機制；b)各級測繪數(shù)據(jù)應根據(jù)其分級設立相適宜的加密、備份及接入機制；c)在中華人民共和國境內(nèi)實施資產(chǎn)測繪過程中所收集的個人信息及其他重要測繪數(shù)據(jù)，在境內(nèi)進行存儲，并選用國產(chǎn)化存儲設備。存儲環(huán)境應確保安全，必要時應物理斷網(wǎng)。5.1.4測繪數(shù)據(jù)過程安全資產(chǎn)數(shù)據(jù)測繪過程應符合下列安全要求：a)測繪過程中，測繪單位及個人應保守相關秘密，確保測繪結(jié)果的安全；b)應確保數(shù)據(jù)在傳輸、存儲、處理等環(huán)節(jié)的安全性。5.1.5測繪數(shù)據(jù)個人信息安全在數(shù)據(jù)涉及到個人信息的情況下，應遵循《中華人民共和國個人信息保護法》等相關法律法規(guī)，合法合規(guī)地處理相應數(shù)據(jù)。5.2資產(chǎn)數(shù)據(jù)處理5.2.1數(shù)據(jù)分析資產(chǎn)數(shù)據(jù)分析應在數(shù)據(jù)所有方授權(quán)的情況下實施，并對所獲取的網(wǎng)絡空間資產(chǎn)數(shù)據(jù)進行敏感檢測、分級處理，進行有限度的關聯(lián)分析等。5.2.2敏感數(shù)據(jù)處理網(wǎng)絡空間資產(chǎn)測繪活動過程中獲取的數(shù)據(jù)，若涉及客戶資料、技術資料、個人信息等高價值敏感數(shù)據(jù)，應及時停止測繪活動并上報管理機構(gòu)備案，所獲取敏感數(shù)據(jù)應及時封存或銷毀。對于用戶方拒絕被披露的資產(chǎn)信息，應停止進行測繪和收集。5.2.3脫敏處理應對網(wǎng)絡空間資產(chǎn)測繪活動中獲取的必要敏感數(shù)據(jù)進行處理。數(shù)據(jù)處理包括脫敏過程，如數(shù)據(jù)庫隱去用戶手機號、通信地址、網(wǎng)絡身份標識、服務記錄等需要脫敏的字段。5.2.4溯源處理應建立記錄日志，記錄操作人員、時間、設備及網(wǎng)絡等信息，確保網(wǎng)絡空間數(shù)據(jù)處理過程可回退可溯源。5.2.5數(shù)據(jù)銷毀資產(chǎn)測繪數(shù)據(jù)在數(shù)據(jù)所有方明確授意等情況下，應采取測繪數(shù)據(jù)銷毀措施，以確保數(shù)據(jù)無法被恢復和用于未經(jīng)授權(quán)的目的，防止敏感信息的泄露。6資產(chǎn)測繪應用安全要求6.1資產(chǎn)管理與保護應對網(wǎng)絡空間資產(chǎn)測繪活動中獲取的資產(chǎn)數(shù)據(jù)建立資產(chǎn)檔案。資產(chǎn)檔案應包含數(shù)據(jù)的基本信息、統(tǒng)計信息、數(shù)據(jù)目錄、數(shù)據(jù)血緣，以及數(shù)據(jù)質(zhì)量等信息。6.1.2分類分級應對網(wǎng)絡空間資產(chǎn)測繪活動中獲取的資產(chǎn)數(shù)據(jù)進行分類分級管理，并滿足下列要求：a)根據(jù)獲取來源分類，可將測繪數(shù)據(jù)分為公共數(shù)據(jù)、用戶數(shù)據(jù)、業(yè)務數(shù)據(jù)、公司數(shù)據(jù)；b)根據(jù)敏感程度，可將數(shù)據(jù)分為絕密、機密、秘密、內(nèi)部公開、外部公開等級別；c)應對不同類別的數(shù)據(jù)進行清楚無歧義的定義，明確分類分級標準；45a)具備資產(chǎn)關聯(lián)基礎庫，支持資產(chǎn)多維度分注：掛圖作戰(zhàn)是通過直觀的圖表形式,將計劃的實施方案、工作流程和執(zhí)行進度等內(nèi)容呈現(xiàn)出來，用于指導計劃具b)具備資產(chǎn)多關鍵角度的關聯(lián)分析能力；c)支持資產(chǎn)的分層畫像和動態(tài)分析，資產(chǎn)動態(tài)可視化。b)具備復雜場景下的能力即時調(diào)度機制、實現(xiàn)對各類能力進a)具備資產(chǎn)漏洞信息、威脅情報、風險預警等數(shù)據(jù)庫；b)具備風險情報數(shù)據(jù)的融合、處理、分析等能力。c)支持對資產(chǎn)數(shù)據(jù)等進行報送，應滿足法律法規(guī)要求，事先取得相關部門批準。e)支持建立網(wǎng)絡空間地圖系統(tǒng)，具備有效標識和深度感知資產(chǎn)狀態(tài)的能力。67(資料性)網(wǎng)絡空間資產(chǎn)測繪實踐A.1網(wǎng)絡空間資產(chǎn)測繪實踐網(wǎng)絡空間資產(chǎn)測繪通常包含5個遞進步驟：在線狀態(tài)確定、設備指紋生成、服務指紋生成、應用指紋生成和架構(gòu)邏輯表示，網(wǎng)絡空間資產(chǎn)測繪時間如圖A.1所示。業(yè)務應用后Wordpress用友04、金媒財務設備型號中間件服務協(xié)議層應用備案信息硬件設備居路由器、服務器、防火墻、攝像頭應用類型應用開發(fā)框架應用騙碼語言應用域名信啟網(wǎng)絡空間資產(chǎn)測繪過程標準服務端口設備品牌操作系統(tǒng)版本在線離線設備類型圖A.1網(wǎng)絡空間資產(chǎn)測繪實踐——在線狀態(tài)確定：通過主動請求，確認設備處于在線或離線狀態(tài)。——設備指紋生成：獲取設備的設備類型、操作系統(tǒng)版本、設備型號、設備品牌等信息，形成資產(chǎn)的設備指紋畫像。——服務指紋生成：獲取資產(chǎn)的被準服務端口、非常用端口、不合規(guī)端口等各類型端口的開放情況，形成資產(chǎn)的服務端口畫像?！獞弥讣y生成：通過主動請求和被動流量分析，獲取資產(chǎn)的