DB21-T 4011-2024 工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)規(guī)范

ICS35.030CCSL8021遼寧省市場(chǎng)監(jiān)督管理局發(fā)布ⅠDB21/T4011—2024前言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5整體架構(gòu) 6數(shù)據(jù)準(zhǔn)備 6.1數(shù)據(jù)匯聚 6.2數(shù)據(jù)分析 6.3資產(chǎn)發(fā)現(xiàn)與管理 7態(tài)勢(shì)評(píng)估與展示、分析 7.1態(tài)勢(shì)評(píng)估與展示 7.2態(tài)勢(shì)分析 8態(tài)勢(shì)告警與響應(yīng) 8.1安全態(tài)勢(shì)告警 8.2事件響應(yīng)支持 參考文獻(xiàn) ⅢDB21/T4011—2024本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由遼寧省工業(yè)和信息化廳提出并歸口。本文件起草單位：東北大學(xué)、沈陽(yáng)華睿博信息技術(shù)有限公司、遼寧省先進(jìn)裝備制造業(yè)基地建設(shè)工程中心、沈陽(yáng)鼓風(fēng)機(jī)集團(tuán)股份有限公司、國(guó)網(wǎng)遼寧省電力有限公司、中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司、中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所、遼寧交投艾特斯技術(shù)股份有限公司、中國(guó)煙草總公司遼寧省公司、聯(lián)通(遼寧)產(chǎn)業(yè)互聯(lián)網(wǎng)有限公司、遼寧諦聽信息科技有限公司、三六零安全科技股份有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司沈陽(yáng)市分公司、沈陽(yáng)綠盟網(wǎng)絡(luò)安全技術(shù)有限公司、北京理工大學(xué)、北京圣博潤(rùn)高新技術(shù)股份有限公司、沈陽(yáng)當(dāng)先科技有限公司、南京佶合信息科技有限公司、濟(jì)南大學(xué)等。本文件主要起草人：姚羽、邵華、郭劍峰、陳瑩、郝玉明、胡博、周小明、張尼、吳云峰、黃書鵬、王宇飛、高剛、袁輝、呂生亮、楊道青、金陽(yáng)、李士煒、梁艷、李冬妮、李小川、趙秀峰、李昊、楊巍、紀(jì)科、陳貞翔、袁冬冰等。本文件發(fā)布實(shí)施后，任何單位和個(gè)人如有問題和意見建議，均可以通過來電和來函等方式進(jìn)行反饋，我們將及時(shí)答復(fù)并認(rèn)真處理，根據(jù)實(shí)際情況依法進(jìn)行評(píng)估及復(fù)審。歸口管理部門通信地址：遼寧省沈陽(yáng)市皇姑區(qū)北陵大街45-2號(hào)歸口管理部門聯(lián)系電話件起草單位通信地址：遼寧省沈陽(yáng)市和平區(qū)文化路三巷11號(hào)文件起草單位聯(lián)系電話：024-836873921DB21/T4011—2024工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)規(guī)范本文件規(guī)定了工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的整體架構(gòu)，以及數(shù)據(jù)準(zhǔn)備，態(tài)勢(shì)評(píng)估與展示、分析，態(tài)勢(shì)告警與響應(yīng)的技術(shù)要求。本文件適用于安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知產(chǎn)品廠商、工業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)使用單位及主管部門組織工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的設(shè)計(jì)、開發(fā)、建設(shè)、檢測(cè)、部署和維護(hù)工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20985.1-2017信息技術(shù)安全技術(shù)信息安全事件管理第1部分:事件管理原理GB/T20986-2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級(jí)指南GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T30279-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T42453-2023信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求3術(shù)語(yǔ)和定義以下術(shù)語(yǔ)和定義適用于本文件。3.1網(wǎng)絡(luò)安全態(tài)勢(shì)感知networksecuritysituationawareness通過采集網(wǎng)絡(luò)流量、資產(chǎn)信息、日志、漏洞信息、告警信息、威脅信息等數(shù)據(jù),分析和處理網(wǎng)絡(luò)行為及用戶行為等因素,掌握網(wǎng)絡(luò)安全狀態(tài),預(yù)測(cè)網(wǎng)絡(luò)安全趨勢(shì),并進(jìn)行展示和監(jiān)測(cè)預(yù)警的活動(dòng)。[來源：GB/T42453-2023]3.2威脅threat可能對(duì)系統(tǒng)或組織造成危害的不期望事件的潛在因素。[來源：GB/T25069-2022,3.628]3.3預(yù)警warning針對(duì)即將或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時(shí)發(fā)出的警示。[來源：GB/T25069-2022,3.739]2DB21/T4011—20244縮略語(yǔ)下列縮略語(yǔ)適用于本文件：APP：應(yīng)用程序（Application）Bacnet:樓宇自動(dòng)化與控制網(wǎng)絡(luò)（BuildingAutomationandControlnetworks）DCS:分布式控制系統(tǒng)（DistributedControlSystem）DDoS:分布式拒絕服務(wù)攻擊(DistributedDenialofService)DNP3:分布式網(wǎng)絡(luò)協(xié)議3（DistributedNetworkProtocol3）IEC:國(guó)際電工委員會(huì)（InternationalElectrotechnicalCommission）IED:智能電子設(shè)備（IntelligentElectronicDevice）IM:即時(shí)通訊(InstantMessaging）IP:互聯(lián)網(wǎng)協(xié)議(InternetProtocol)JDBC:Java數(shù)據(jù)庫(kù)連接（JavaDatabaseConnectivity）ODBC:開放數(shù)據(jù)庫(kù)連接（OpenDatabaseConnectivity）OPCDA:用于過程控制的的OLE數(shù)據(jù)訪問(OLEforProcessControlDataAccess)OPCUA:用于過程控制的OLE統(tǒng)一體系架構(gòu)(OLEforProcessControlUnifiedArchitecture)PLC:可編程邏輯控制器（ProgrammableLogicController）RTU:遠(yuǎn)程終端單元（RemoteTerminalUnit）5整體架構(gòu)工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架主要包括數(shù)據(jù)準(zhǔn)備，態(tài)勢(shì)評(píng)估與展示、分析，態(tài)勢(shì)告警與響應(yīng)。數(shù)據(jù)準(zhǔn)備包括數(shù)據(jù)匯聚、數(shù)據(jù)分析、資產(chǎn)發(fā)現(xiàn)與管理，其中，數(shù)據(jù)匯聚包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)共享；資產(chǎn)發(fā)現(xiàn)與管理包括資產(chǎn)發(fā)現(xiàn)、資產(chǎn)管理；態(tài)勢(shì)評(píng)估與展示、分析包括態(tài)勢(shì)評(píng)估與展示、態(tài)勢(shì)分析，其中，態(tài)勢(shì)評(píng)估與展示包括資產(chǎn)態(tài)勢(shì)評(píng)估、橫向威脅態(tài)勢(shì)評(píng)估、脆弱性態(tài)勢(shì)評(píng)估、安全事件態(tài)勢(shì)評(píng)估、行為態(tài)勢(shì)評(píng)估、態(tài)勢(shì)展示；態(tài)勢(shì)分析包括公網(wǎng)側(cè)態(tài)勢(shì)分析、企業(yè)側(cè)態(tài)勢(shì)分析；態(tài)勢(shì)告警與響應(yīng)包括安全態(tài)勢(shì)告警、事件響應(yīng)支持。工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架如圖1。3DB21/T4011—2024圖1工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架6數(shù)據(jù)準(zhǔn)備6.1數(shù)據(jù)匯聚6.1.1數(shù)據(jù)采集6.1.1.1總體要求工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)數(shù)據(jù)采集總體要求至少應(yīng)包括：a)同時(shí)支持被動(dòng)采集(如代理、探針、共享)和主動(dòng)采集(如掃描)兩種方式；b)支持通過接口或人工導(dǎo)入等方式采集第三方數(shù)據(jù)；c)支持配置過濾規(guī)則對(duì)采集數(shù)據(jù)內(nèi)容進(jìn)行篩選；d)采集內(nèi)容、采集協(xié)議應(yīng)滿足GB/T42453-2023中的要求，并支持JDBC、ODBC、Netflow等多種日志采集方式。6.1.1.2公網(wǎng)側(cè)數(shù)據(jù)采集6.1.1.2.1數(shù)據(jù)來源公網(wǎng)側(cè)數(shù)據(jù)來源至少應(yīng)包括：a)工業(yè)網(wǎng)絡(luò)平臺(tái)的數(shù)據(jù)；b)工業(yè)網(wǎng)絡(luò)企業(yè)數(shù)據(jù)。6.1.1.2.2采集能力應(yīng)具有實(shí)時(shí)采集暴露在互聯(lián)網(wǎng)側(cè)的工業(yè)網(wǎng)絡(luò)資產(chǎn)(工控系統(tǒng)、物聯(lián)網(wǎng)、應(yīng)用站點(diǎn))數(shù)據(jù)的能力。6.1.1.3企業(yè)側(cè)數(shù)據(jù)采集4DB21/T4011—20246.1.1.3.1數(shù)據(jù)來源企業(yè)側(cè)數(shù)據(jù)來源至少應(yīng)包括：a)網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、終端設(shè)備數(shù)據(jù)、安全設(shè)備數(shù)據(jù)及云環(huán)境數(shù)據(jù)等；b)安全漏洞數(shù)據(jù)、安全事件數(shù)據(jù)、日志數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)及加密流量分析數(shù)據(jù)等。6.1.1.3.2采集能力企業(yè)側(cè)數(shù)據(jù)采集能力至少應(yīng)包括：a)具有實(shí)時(shí)采集企業(yè)側(cè)工業(yè)資產(chǎn)(網(wǎng)絡(luò)設(shè)備、終端設(shè)備、安全設(shè)備)數(shù)據(jù)的能力；b)具有定期采集工業(yè)設(shè)備及終端日志的能力；c)支持深度解析常用工控協(xié)議（例如ModbusTCP、SiemensS7、OPCDA、OPCUA、DNP3、Profinet、Ethernet/IP、IEC104等），將原始的通信數(shù)據(jù)轉(zhuǎn)化為可讀性強(qiáng)、易于理解和處理的格式，能夠?qū)γ總€(gè)用戶命令做出詳細(xì)分析，如果出現(xiàn)IP碎片，可以對(duì)數(shù)據(jù)包進(jìn)行重裝還原，然后再進(jìn)行分析，協(xié)議分析大大降低了入侵檢測(cè)中常見的誤報(bào)現(xiàn)象。6.1.2數(shù)據(jù)預(yù)處理數(shù)據(jù)預(yù)處理要求至少應(yīng)包括：a)按照GB/T42453-2023中的要求對(duì)收集的數(shù)據(jù)進(jìn)行篩選、變換、補(bǔ)全、標(biāo)記；b)對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)：安全漏洞分類遵守GB/T30279-2020的規(guī)定，安全事件分類分級(jí)參照GB/Z20986-2023；c)根據(jù)需要對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)處理和離線處理。6.1.3數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)要求至少應(yīng)包括：a)存儲(chǔ)結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)；b)存儲(chǔ)內(nèi)容滿足GB/T42453-2023中的要求；c)存儲(chǔ)原始數(shù)據(jù)、預(yù)處理后的數(shù)據(jù)和威脅情報(bào)庫(kù)、地理信息庫(kù)等第三方數(shù)據(jù)；d)自動(dòng)存儲(chǔ)處理安全事件所產(chǎn)生的相關(guān)業(yè)務(wù)數(shù)據(jù)；e)支持設(shè)置各類數(shù)據(jù)的存儲(chǔ)時(shí)間，其中日志數(shù)據(jù)應(yīng)至少保存6個(gè)月；f)能保證存儲(chǔ)數(shù)據(jù)的可用性、完整性和保密性；g)能檢索所存儲(chǔ)數(shù)據(jù)，并提供檢索接口；S7、Modbus、Bacnet、Ethernet/IP等協(xié)議）、工業(yè)惡意組織指紋庫(kù)、工業(yè)網(wǎng)絡(luò)漏洞庫(kù)等專業(yè)知識(shí)庫(kù)。6.1.4數(shù)據(jù)傳輸數(shù)據(jù)傳輸要求至少應(yīng)包括：a)對(duì)數(shù)據(jù)傳輸狀態(tài)進(jìn)行監(jiān)控，能對(duì)傳輸任務(wù)進(jìn)行啟動(dòng)、停止操作；b)具備數(shù)據(jù)傳輸緩存功能，確保網(wǎng)絡(luò)中斷或阻塞時(shí)數(shù)據(jù)不丟失；c)能保證傳輸數(shù)據(jù)的完整性和保密性，保證重要數(shù)據(jù)的實(shí)時(shí)性。6.1.5數(shù)據(jù)共享數(shù)據(jù)共享要求至少應(yīng)包括：5DB21/T4011—2024a)將工業(yè)網(wǎng)絡(luò)重大安全事件、重大漏洞等數(shù)據(jù)上報(bào)給上級(jí)監(jiān)管系統(tǒng)；b)將工業(yè)網(wǎng)絡(luò)重大安全事件、重大漏洞、處置辦法等數(shù)據(jù)發(fā)送給其它態(tài)勢(shì)感知系統(tǒng)；c)接收其它系統(tǒng)共享的工業(yè)網(wǎng)絡(luò)重大安全事件、重大漏洞、處置辦法等數(shù)據(jù)；d)對(duì)共享數(shù)據(jù)進(jìn)行脫敏；e)增、刪、改數(shù)據(jù)共享用戶信息，能設(shè)置數(shù)據(jù)共享用戶的權(quán)限；f)數(shù)據(jù)共享過程應(yīng)可跟蹤、可追溯、可審計(jì)。6.2數(shù)據(jù)分析應(yīng)根據(jù)GB/T42453-2023中的要求對(duì)網(wǎng)絡(luò)攻擊、資產(chǎn)風(fēng)險(xiǎn)、安全事件、異常行為進(jìn)行分析。6.3資產(chǎn)發(fā)現(xiàn)與管理6.3.1資產(chǎn)發(fā)現(xiàn)資產(chǎn)發(fā)現(xiàn)要求至少應(yīng)包括：a)識(shí)別的資產(chǎn)種類包括但不限于工業(yè)互聯(lián)網(wǎng)平臺(tái)、聯(lián)網(wǎng)設(shè)備及系統(tǒng)、工業(yè)APP、工業(yè)數(shù)據(jù)等；b)支持IP自動(dòng)發(fā)現(xiàn)、指紋自動(dòng)識(shí)別和數(shù)據(jù)同步的方式在系統(tǒng)數(shù)據(jù)庫(kù)中錄入資產(chǎn)信息；c)隨時(shí)對(duì)資產(chǎn)可能出現(xiàn)的變更或退網(wǎng)方式及時(shí)響應(yīng)。6.3.2資產(chǎn)管理資產(chǎn)管理要求至少應(yīng)包括：a)建立資產(chǎn)臺(tái)賬，對(duì)資產(chǎn)清單、資產(chǎn)統(tǒng)計(jì)信息進(jìn)行維護(hù)管理；b)實(shí)現(xiàn)對(duì)資產(chǎn)流量監(jiān)視、端口狀態(tài)統(tǒng)計(jì)、協(xié)議狀態(tài)統(tǒng)計(jì)、資產(chǎn)活躍狀態(tài)監(jiān)視、資產(chǎn)訪問行為監(jiān)視等管理方式；c)對(duì)所有資產(chǎn)建立資產(chǎn)畫像，包括但不限于基本信息、硬件信息、操作系統(tǒng)信息、變更記錄、運(yùn)行信息、端口和服務(wù)、資產(chǎn)會(huì)話、漏洞、告警、不合規(guī)配置項(xiàng)、資產(chǎn)風(fēng)險(xiǎn)值等信息；d)能夠自動(dòng)梳理資產(chǎn)，自動(dòng)生成資產(chǎn)臺(tái)賬，基于資產(chǎn)基線、網(wǎng)絡(luò)會(huì)話，記錄資產(chǎn)變更，監(jiān)測(cè)未知資產(chǎn)接入。7態(tài)勢(shì)評(píng)估與展示、分析7.1態(tài)勢(shì)評(píng)估與展示7.1.1總體要求總體態(tài)勢(shì)評(píng)估與展示要求至少應(yīng)包括：a)建立工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估體系，描述工業(yè)網(wǎng)絡(luò)的安全態(tài)勢(shì)；b)建立工業(yè)網(wǎng)絡(luò)數(shù)據(jù)分析模型，對(duì)采集的工業(yè)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析計(jì)算，識(shí)別網(wǎng)絡(luò)脆弱性、安全事件、用戶行為等；c)支持包括但不限于網(wǎng)絡(luò)設(shè)備（如上位機(jī)、工業(yè)安全網(wǎng)關(guān)、工控安全審計(jì)、主機(jī)安全衛(wèi)士）的入侵檢測(cè)，并進(jìn)行日志關(guān)聯(lián)和量化分析；d)覆蓋DCS網(wǎng)絡(luò)、PLC網(wǎng)絡(luò)等不同行業(yè)應(yīng)用場(chǎng)景的工控系統(tǒng)；e)采用流量鏡像的方式對(duì)工控網(wǎng)絡(luò)進(jìn)行全流量數(shù)據(jù)監(jiān)聽，不主動(dòng)發(fā)包，不對(duì)工業(yè)網(wǎng)絡(luò)做任何修6DB21/T4011—2024f)評(píng)估兩種以上工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)，包括但不限于資產(chǎn)態(tài)勢(shì)、流量態(tài)勢(shì)、運(yùn)行態(tài)勢(shì)、攻擊態(tài)勢(shì)、橫向威脅態(tài)勢(shì)、脆弱性態(tài)勢(shì)、安全事件態(tài)勢(shì)、行為態(tài)勢(shì)等；g)具有關(guān)聯(lián)關(guān)系的不同種類安全態(tài)勢(shì)，應(yīng)能夠?qū)崿F(xiàn)信息共享和聯(lián)動(dòng)展示。7.1.2資產(chǎn)態(tài)勢(shì)評(píng)估資產(chǎn)態(tài)勢(shì)評(píng)估要求至少應(yīng)包括：a)實(shí)時(shí)獲取當(dāng)前工業(yè)網(wǎng)絡(luò)資產(chǎn)總數(shù)，并按區(qū)域、類型、重要程度分布進(jìn)行統(tǒng)計(jì)；b)對(duì)每個(gè)工業(yè)網(wǎng)絡(luò)資產(chǎn)的型號(hào)、版本、運(yùn)行狀態(tài)等進(jìn)行識(shí)別；c)對(duì)資產(chǎn)的IP的地址以及開放的端口等進(jìn)行識(shí)別；d)對(duì)工業(yè)網(wǎng)絡(luò)資產(chǎn)的安全狀況進(jìn)行分析，包括資產(chǎn)存在的威脅和脆弱性類型、數(shù)量等。7.1.3橫向威脅態(tài)勢(shì)評(píng)估應(yīng)基于系統(tǒng)通信基線模型，對(duì)不同業(yè)務(wù)系統(tǒng)、不同區(qū)域之間的信息流動(dòng)進(jìn)行監(jiān)測(cè)，對(duì)跨區(qū)通信、非法接入、非法外聯(lián)行為進(jìn)行統(tǒng)計(jì)分析，及時(shí)發(fā)現(xiàn)信息泄露、越權(quán)訪問和違規(guī)操作行為。7.1.4脆弱性態(tài)勢(shì)評(píng)估脆弱性態(tài)勢(shì)評(píng)估要求至少應(yīng)包括：a)具備工業(yè)網(wǎng)絡(luò)安全漏洞庫(kù),漏洞庫(kù)包含國(guó)家權(quán)威機(jī)構(gòu)發(fā)布的工業(yè)網(wǎng)絡(luò)安全漏洞，能夠?qū)I(yè)網(wǎng)絡(luò)資產(chǎn)進(jìn)行漏洞發(fā)現(xiàn)和漏洞匹配；b)對(duì)各類工業(yè)設(shè)備的操作系統(tǒng)、應(yīng)用和第三方組件存在的常見漏洞進(jìn)行監(jiān)測(cè)；c)展示漏洞總體分布、存在高危漏洞的資產(chǎn)、漏洞類型分布、漏洞危害等級(jí)等；d)對(duì)工業(yè)設(shè)備系統(tǒng)安全配置的脆弱性進(jìn)行識(shí)別,分析和指出工業(yè)網(wǎng)絡(luò)資產(chǎn)存在的安全配置的脆弱性。7.1.5安全事件態(tài)勢(shì)評(píng)估安全事件態(tài)勢(shì)評(píng)估要求至少應(yīng)包括：a)具有從采集的數(shù)據(jù)中分析出安全事件，對(duì)安全事件進(jìn)行多維度(種類、地域、威脅類型、資產(chǎn)等)分類處理的能力；b)具有對(duì)不同安全事件進(jìn)行分類告警的能力，如特別重大事件、重大事件、較大事件、一般事件等；c)安全事件必須包含發(fā)生時(shí)間、IP地址、區(qū)域、域名、事件類型、數(shù)量和危害等級(jí)等信息；d)支持對(duì)同類安全事件進(jìn)行合并。7.1.6行為態(tài)勢(shì)評(píng)估行為態(tài)勢(shì)評(píng)估要求至少應(yīng)包括：a)支持對(duì)異常行為規(guī)則的自定義；b)及時(shí)發(fā)現(xiàn)全網(wǎng)的異常行為(如訪問頻次超限、訪問流量超限、權(quán)限異常提升、賬戶異常更改、日志異常變化、文件異常外發(fā)、非法外聯(lián)、非法訪問、非法文件下載等)，并進(jìn)行統(tǒng)計(jì)分析。7.1.7態(tài)勢(shì)展示態(tài)勢(shì)展示要求至少應(yīng)包括：a)滿足GB/T42453-2023中的要求；7DB21/T4011—2024b)實(shí)時(shí)展示安全態(tài)勢(shì)，包括但不限于以下幾種資產(chǎn)態(tài)勢(shì)：脆弱性態(tài)勢(shì)、安全事件態(tài)勢(shì)、行為態(tài)c)同時(shí)展示多種安全態(tài)勢(shì)；d)通過設(shè)置過濾條件選擇展示特定類型的安全態(tài)勢(shì)；e)對(duì)安全態(tài)勢(shì)進(jìn)行歷史回溯與展示，回溯時(shí)間可以設(shè)置；f)展示跟安全態(tài)勢(shì)相關(guān)的關(guān)鍵數(shù)據(jù)，如資產(chǎn)、脆弱性、安全事件、異常行為的列表與統(tǒng)計(jì)值。7.2態(tài)勢(shì)分析7.2.1公網(wǎng)側(cè)態(tài)勢(shì)分析公網(wǎng)側(cè)態(tài)勢(shì)分析要求至少應(yīng)包括：a)具備工控系統(tǒng)、物聯(lián)網(wǎng)、應(yīng)用站點(diǎn)特征庫(kù)，能夠識(shí)別暴露在互聯(lián)網(wǎng)側(cè)的設(shè)備和站點(diǎn)；b)對(duì)工業(yè)互聯(lián)網(wǎng)資產(chǎn)所對(duì)應(yīng)的單位、行業(yè)進(jìn)行統(tǒng)計(jì)；c)提供實(shí)時(shí)監(jiān)測(cè)公網(wǎng)側(cè)面臨的各類威脅，包括但不限于DDoS攻擊、端口掃描、惡意軟件傳播等，并能展示這些威脅的實(shí)時(shí)數(shù)據(jù)和趨勢(shì)；d)支持對(duì)公網(wǎng)側(cè)發(fā)生的安全事件進(jìn)行關(guān)聯(lián)分析，識(shí)別事件之間的聯(lián)系以及可能的攻擊源和攻擊路徑；e)展示工業(yè)互聯(lián)網(wǎng)資產(chǎn)的合規(guī)性狀態(tài)，包括與相關(guān)法規(guī)和標(biāo)準(zhǔn)的符合程度。7.2.2企業(yè)側(cè)態(tài)勢(shì)分析7.2.2.1資產(chǎn)態(tài)勢(shì)分析企業(yè)側(cè)資產(chǎn)態(tài)勢(shì)分析要求至少應(yīng)包括：a)具備工業(yè)設(shè)備特征庫(kù)，能夠識(shí)別接入的各種類型的工業(yè)設(shè)備；b)實(shí)時(shí)呈現(xiàn)生產(chǎn)網(wǎng)內(nèi)工業(yè)網(wǎng)絡(luò)資產(chǎn)的拓?fù)浣Y(jié)構(gòu)；c)展示工業(yè)網(wǎng)絡(luò)資產(chǎn)的配置信息，包括軟件版本、系統(tǒng)設(shè)置等，并能檢測(cè)配置的變更；d)實(shí)時(shí)呈現(xiàn)基于資產(chǎn)的脆弱性、威脅暴露程度和業(yè)務(wù)重要性等因素。7.2.2.2安全事件態(tài)勢(shì)分析企業(yè)側(cè)安全事件態(tài)勢(shì)分析要求至少應(yīng)包括：a)建立安全事件案例庫(kù)，收集和展示歷史安全案例，包括事件類型、影響范圍、處理過程和經(jīng)驗(yàn)教訓(xùn)；b)提供事件響應(yīng)流程的可視化展示，包括事件的發(fā)現(xiàn)、分析、處置、恢復(fù)階段以及各階段的關(guān)鍵行動(dòng)和負(fù)責(zé)人；c)支持對(duì)工業(yè)設(shè)備所使用的各類通信協(xié)議網(wǎng)絡(luò)數(shù)據(jù)流的解析,具備工業(yè)系統(tǒng)攻擊代碼特征庫(kù)，并具備工業(yè)控制系統(tǒng)攻擊代碼特征庫(kù)更新能力；d)具備工業(yè)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)惡意攻擊行為檢測(cè)分析能力,能從采集的數(shù)據(jù)中分析出安全事件并及時(shí)告警；e)根據(jù)告警信息，綜合工業(yè)控制系統(tǒng)的多方面約束和目標(biāo)，制定最優(yōu)安全策略及具體的實(shí)施方7.2.2.3行為態(tài)勢(shì)分析企業(yè)側(cè)行為態(tài)勢(shì)分析要求至少應(yīng)包括：a)通過網(wǎng)絡(luò)流量分析工業(yè)企業(yè)用戶行為和設(shè)備行為，包括用戶行為、設(shè)備通信情況等；8DB21/T4011—2024b)建立設(shè)備行為基線，用于檢測(cè)和展示設(shè)備行為的偏離，如流量異常、配置變更等；c)實(shí)時(shí)獲取并展示當(dāng)前企業(yè)內(nèi)部的異常情況，包括異常告警時(shí)間、受害資產(chǎn)、關(guān)鍵操作、