基础电信企业网络安全态势感知系统建设指南v10.docx

基础电信企业网络安全态势感知系统建设指南v1.0基础电信企业网络安全态势感知系统建设指南网络安全态势感知系统对网络中的网络流量、网络设备、安全设 备以及主机日志进行信息收集，通过统计分析和数据挖掘等方法，对 网络中的安全态势进行感知和告警网络安全态势感知系统可提升应 对安全风险的能力，为保障基础电信企业网络安全，制定本指南本指南可应用于网络安全态势感知系统的设计、开发及考核1 网络安全态势感知系统功能要求1.1 数据管理要求1.1.1 数据采集1.1.1.1 采集能力a） 具有采集基础电信企业IT资产日志的能力，采集范围应仅包含 场景需求所需要的特定 IT 资产日志；b） 具有接收外部文档、流量等数据导入的能力；c） 具备基于不同采集策略，实现对采集源、规则、输出目标等方 面的管理能力1.1.1.2 采集方式a） 具备主动和被动两种采集方式；b） 主动采集：支持采集节点通过 Ftp/Sftp 、 Kafka 、 file、JDBC/ODBC 等协议主动采集数据；c） 被动采集：支持采集节点通过Syslog等协议被动接收数据1.1.1.3 数据源类型a） 支持对不同类型数据源的采集，并对数据源进行增加、删除和 修改等管理；b） 日志数据的类型应包括但不限于以下几种：主机日志、网络设 备日志、安全设备日志等；c）外部导入数据的类型可包括但不限于以下一种或多种：漏洞库、 恶意 IP 库、恶意域名库、文件HASH库、流量。

1.1.2 数据处理1.1.2.1 元数据模型a） 安全事件元数据信息应包含事件特征、事件来源、事件等级、 发现时间等；b） 安全事件元数据信息应包含可以手动确认安全事件有效性状态 标记属性，状态应至少包含：未确认，已确认1.1.2.2 数据预处理 数据处理预处理应对采集到的数据进行标准化、归并去重等处理 1.1.2.3 数据挖掘a） 可通过数据挖掘技术对不同类型的数据进行模型化分析；b） 支持包括但不限于聚类分析、关联分析、决策树分析、回归分 析等常用分析算法1.1.2.4 数据搜索a） 具备对已采集的日志数据进行快速检索的能力；b） 支持一种或多种关键字的组合查询检索方法；c） 具备对搜索结果进行表格展示和分类统计，具备结果可视化能 力；d） 具备多个筛选条件输入的数据检索能力；e） 具备数据检索条件保存、最近查询条件自动记录的能力1.1.3 数据存储a）具备结构化数据的存储能力，可支持半结构化数据和非结构化 数据的存储；b） 支持将数据采集层和数据处理层获取的数据进行存储；c） 支持对系统安全分析规则策略、名单进行存储；d） 支持对资产数据、用户信息数据进行存储；e） 支持威胁情报库、地理信息库等数据的存储；1.2 安全态势分析要求1.2.1 场景分析能力场景分析能力应包括实时计算分析能力和离线计算分析能力。

实 时计算分析能力基于实时计算框架，通过丰富的 API 调用和高速的内 存执行操作，实现数据的实时处理，满足时效性要求离线计算分析 能力基于HADOOP等成熟的大数据计算框架，利用其高性能组件实现 对全量数据的分析处理和持久化存储分析场景应支持但不仅限于以下两种或多种：网络威胁分析、系 统安全分析、用户行为分析、资产脆弱性分析等，可根据应用场景不 同进行自定义1.2.1.1 网络威胁分析应支持以同一来源事件、同类事件、影响的同一目标，对网络攻 击进行灵活归并，在此基础上对网络中攻击的整体情况进行统计和分 析，输出明确的告警信息和网络威胁态势信息网络威胁分析主要包 括网络攻击和异常流量检测：a） 网络攻击应包括但不限于以下一种或多种：密码猜测攻击、WEB 攻击、恶意扫描、恶意程序、Webshell检测、WEB异常访问分析、DNS异常检测 等；b） 异常流量检测应包括但不限于以下一种或多种：DOS/DDOS攻 击、其它异常流量攻c）数据来源：安全设备日志、服务器日志1.2.1.2 系统安全分析应能对访问 IT 资产和业务系统的企业内部终端操作用户，所使用 的终端设备安全状况分析，包括终端基础信息、安全状态等。

系统安全分析主要包括系统攻击分析和脆弱性分析：a） 系统攻击分析应包括但不限于以下一种或多种：日志破坏检测、 系统提权检测、错误日志检测等；b） 脆弱性分析应包括但不限于以下一种或多种：漏洞利用分析、 配置合规分析、弱口令分析等；c） 数据来源：安全设备日志、主机日志、系统扫描结果1.2.1.3 用户行为分析应能对访问 IT 资产和业务系统的企业内部用户，所进行的运维或 业务操作进行风险行为分析，利用分析模型展示内部操作用户行为画 像、群体画像特性、以及账户本身的安全性等用户行为分析主要包 括用户异常行为分析和用户画像：a） 用户异常行为分析应包括但不限于以下一种或多种：批量业务 办理、已过期账户登录、账号权限变更、只查询不办理等；b） 用户画像应该包括但不限于以下一种：个体特征画像、群体特 征画像等；c） 数据来源：4A日志、业务系统操作日志1.2.1.4 安全威胁情报分析应能利用各种类型的威胁情报，识别出潜在的外部攻击行为，并 对相应的 IT 资产和漏洞进行分析安全威胁情报分析主要包括外部攻 击识别、漏洞情报分析、历史攻击回溯、内部高风险网络行为分析a）数据来源：安全设备告警日志、WEB访问日志、流量数据、IP 情报数据、漏洞情报数据、C&C服务器威胁情报数据。

1.2.2 安全态势告警 应建立完整的安全态势告警和处置流程，至少包括生成、审核、 派单、处理、关闭等步骤告警由安全态势系统分析产生，由安全告 警监控人员在本系统内进行告警的处理告警处理包括告警的清除、 确认以及工单派发安全告警监控人员在本系统中进行告警的确认或 清除，由安全监控人员在本系统内进行告警工单派发1.3 可视化展示要求a） 系统应支持安全态势总览，可视化展示安全态势总体状态，包括以下一种或多种内容：资产安全状态、漏洞状态、攻击状态、事件发生和处置状态、 业务访问行为状态、趋势预测状态等；b） 系统应支持以资产、漏洞、攻击、事件等为维度自定义过滤条件，并对过滤后数据进行列表或图形展示；c） 应采用多样化的视图展示形式，展示不同维度的安全态势细节，包括但不限于以下几种：趋势图、地理信息图、柱状图、散点图等2 网络安全态势感知系统安全要求2.1 安全功能要求2.1.1 身份鉴别a） 应对数据采集终端或导入服务组件实施身份鉴别；b） 应对数据导出的终端或者导出服务组件实施身份鉴别；c） 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求并定期更换；d） 应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现；e） 应确保用户初次登录时口令的唯一性；f） 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；g） 当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；h）应至少包含系统管理员、账号管理员和审计管理员等角色。

其 中，系统管理员应具备系统配置、数据管理等权限；账号管理员应具备账号分配、访 问控制等权限；审计管理员应具备安全审计等权限2.1.2 访问控制a） 应提供访问控制功能，对登录的用户分配账户和权限；b） 应由授权主体配置访问控制策略，访问控制策略规定主体对客 体的访问规则；c） 应重命名或删除默认账户，修改默认账户的默认口令；d） 应及时删除或停用多余的、过期的账号，避免共享账号的存在;e） 应进行角色划分，授予不同账号为完成各自承担任务所需的最 小权限，实现管理用户的权限分离，并在它们之间形成相互制约的关系2.1.3 安全审计a） 应提供安全审计功能，审计覆盖到态势感知系统中的所有用户 账号，对重要的用户行为和重要安全事件进行审计；b） 审计记录应包括事件的日期和时间、用户、事件类型、事件是 否成功及其他与审计相关的信息；c） 应保证态势感知系统所有采集组件、存储组件、网络组件、计 算组件、安全组件的系统时间保持一致；d） 应对审计记录进行保护，定期备份，避免受到未预期的删除、 修改或覆盖等；e） 应确保审计记录的留存时间符合《中华人民共和国网络安全法》 等法律法规要求；f） 应对审计进程进行保护，防止未经授权的中断。

2.1.4 数据保护2.1.4.1 数据应用a） 应采用技术手段，确保数据源的真实可信；b） 应制定数据收集原则，确保数据收集是合法性、正当性和必要 性，应确保数据收集是与态势感知业务相关；c） 应制定数据收集相关的安全规则，确保数据收集质量和安全原 则的实施；d） 应对收集数据进行分级分类标识；e） 对所采集的资产数据、业务数据、日志数据等数据，实施的保 护应满足数据源系统的安全保护要求；f） 应提供静态脱敏和去标识化的工具或服务组件技术；g） 应确保在数据提取和转换过程中对重要数据进行保护，以保证重 要数据提取和转换后的一致性，避免数据失真，并在产生问题时能有效还原和恢复， 包括但不限于重要业务数据和重要个人信息等（审计数据、安全日志）；h） 应采用技术手段防止在数据应用过程识别出敏感信息（身份证、 号、银行卡等信息）；i） 应保证敏感信息所在的存储空间被释放或重新分配前得到完全清 除；j） 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清 除2.1.4.2 数据保密性a） 应采用密码技术保证重要数据在传输过程中的保密性，包括但 不限于业务数据、用户个人信息等；b） 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于业务数据、用户个人信息等。

2.1.4.3 数据完整性a） 应采用校验码技术或密码技术保证重要数据在传输过程中的完 整性，包括但不限于威胁情报、安全告警、漏洞风险和攻击事件等；b） 应采用校验码技术或密码技术保证重要数据在存储过程中的完 整性，包括但不限于威胁情报、安全告警、漏洞风险和攻击事件等2.1.4.4 数据备份恢复a） 应提供重要数据的本地数据备份与恢复功能；b） 备份数据应采取与原数据一致的安全保护措施；c） 态势感知系统应保证数据多副本之间的一致性；d） 应定期备份数据2.1.4.5 数据溯源a） 应跟踪和记录数据采集、处理、分析和挖掘等过程，确保溯源 数据能重现相应过程；b） 溯源数据应能支撑数据业务要求和合规审计要求；c） 应采用技术手段保证溯源数据真实性和保密性2.1.5 网络安全2.1.5.1 网络架构a） 应提供能够手工导入与当前态势感知系统运行情况相符的网络 拓扑结构图或示意图的能力；b） 应保证态势感知系统的管理流量与系统业务流量分离；c） 应提供开放接口或开放性安全服务，允许第三方安全产品接入 态势感知系统，为态势感知系统提供威胁情报、安全日志等数据；d） 应提供通信线路、关键网络设备的硬件冗余，保证系统的可用 性；e）应合理划分安全域、子网或网段，通过采用可靠的技术隔离措 施等方式保证态势感知系统网络结构安全。

2.1.5.2 通信传输a）应能够在通信前基于密码技术对通信的双方进行验证或认证2.1.5.3 边界防护a） 应能够对非授权设。