2024网络安全态势感知通用技术要求.docx

信息安全技术 网络安全态势感知通用技术要求目 次1 范围 12 规范性引用文件 13 术语和定义 14 缩略语 25 概述 26 安全技术要求 36.1 数据汇聚要求 36.1.1 数据采集 36.1.2 数据预处理 46.1.3 数据存储 46.2 数据分析要求 46.2.1 网络攻击分析 46.2.2 资产风险分析 56.2.3 异常行为分析 56.3 态势展示要求 56.3.1 整体态势展示 56.3.2 专题态势展示 56.3.3 态势报告 66.4 监测预警要求 76.4.1 监测告警 76.4.2 安全预警 76.5 数据服务接口要求 76.5.1 数据交换接口 76.5.2 数据分析接口 76.5.3 联动处置接口 86.5.4 接口安全性 86.6 资源管理要求 86.6.1 策略管理 86.6.2 数据处理规则管理 86.6.3 数据分析模型管理 86.6.4 安全事件管理 86.6.5 威胁信息管理 8信息安全技术 网络安全态势感知通用技术要求1　 范围本文件给出了网络安全态势感知总体技术框架，规定了网络安全态势感知总体技术框架中核心组件的通用技术要求本文件适用于指导网络安全态势能力的规划、设计、开发、建设和运营等活动，也可供第三方机构对网络安全态势感知能力进行评估时提供框架性参考。

2　 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T 25069 信息安全技术 术语GB/T 32924-2016 信息安全技术 网络安全预警指南GB/T 36635-2018 信息安全技术 网络安全监测基本要求与实施指南GB/T 36643-2018 信息安全技术 网络安全威胁信息格式规范GB/T 37027-2018 信息安全技术 网络攻击定义及描述规范3　 术语和定义GB/T 25069、GB/T 32924-2016、GB/T 36635-2018、GB/T 36643-2018和GB/T 37027-2018界定的以及下列术语和定义适用于本文件3.1　威胁　threat对资产或组织可能导致负面结果的一个事件的潜在源[来源：GB/T 25069—2010，2.3.94]3.2　威胁信息　threat information一种基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应和预防注：威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。

[来源：GB/T 36643—2018，3.3]3.3　网络安全态势感知　network security situation awareness通过采集网络流量、资产信息、日志、漏洞信息、用户行为、威胁信息等数据，分析网络行为及用户行为等因素构成的安全状态和变化趋势，获取、理解、回溯、显示能够引起网络态势变化的安全要素，预测网络安全态势发展趋势3.4　前端数据源 front-end data source向网络安全态势感知核心组件提供数据的软硬件，包括部件、代理或设备3.5　画像 profiling针对某类对象，在多维度上构建其描述性标签属性，并利用这些标签属性，分析对象多方面的特征，抽象概括其全貌3.6　安全预警security warning针对即将发生或正在发生的网络安全事件、威胁、潜在风险等，提前或及时发出安全警示4　 缩略语下列缩略语适用于本文件：CPU：中央处理器（Central Processing Unit）FTP：文件传输协议（File Transfer Protocol）FTPS：文件传输协议安全（FTP Secure）HTTP：超文本传输协议（Hyper Text Transfer Protocol）HTTPS：安全超文本传输协议（Hyper Text Transfer Protocol over Secure Socket Layer）IP：网际互连协议（Internet Protocol）SFTP：安全文件传输协议（Secure FTP）SNMP：简单网络管理协议（Simple Network Management Protocol）SSH：安全外壳协议（Secure Shell）5　 概述网络安全态势感知总体架构主要包括前端数据源、网络安全态势感知的核心组件和影响网络安全态势的要素（如应急处置、安全决策、数据共享等）三部分，其中网络安全态势感知的核心组件（表现形式可为产品、系统或平台，也可以是不同的功能组件）是实现网络安全态势感知能力的重要技术保障，但网络安全态势感知能力的实现同样也依赖于应急处置、安全决策、数据共享等要素。

本文件给出了网络安全态势感知总体技术框架，规定了网络安全态势感知的核心组件的通用技术要求，不包括总体技术框架中相对独立的前端数据源和影响网络安全态势的要素（如应急处置、安全决策、数据共享等）在网络安全态势感知能力的建设中，功能模块通常具备较大的伸缩性依据最大适用性并保证网络安全态势感知功能完整性原则，本文件所指的网络安全态势感知核心组件由数据汇聚、数据分析、态势展示、监测预警、数据服务接口、资源管理等必不可少的功能模块构成，具体框图如图1所示数据汇聚包括数据采集、数据预处理和数据存储数据分析包括网络攻击分析、异常行为分析和资产风险分析态势展示包括整体态势展示、专题态势展示和态势报告监测预警包括监测告警和安全预警各功能模块通过数据服务接口实现数据对接，因此数据服务接口包括数据交换接口、数据分析接口和联动处置接口；其中数据交换接口支持支持与不同前端数据源、内部不同模块及其它外部系统通过接口进行数据交换，数据分析接口支持为内部不同模块及其它外部系统通过接口进行数据分析，联动处置接口支持为内部不同模块及其它外部系统通过接口进行联动处置；此外接口本身还需满足安全性要求网络安全态势感知核心组件的正常运行离不开资源管理，主要包括策略管理、数据处理规则管理、数据分析模型管理、安全事件管理和威胁信息管理。

图1 网络安全态势感知总体技术框架6　 安全技术要求6.1　 数据汇聚要求6.1.1　 数据采集6.1.1.1　 采集方式对于不同的前端数据源，数据汇聚组件应支持以下采集方式：a) 被动获取：被动接收前端数据源发送的数据，数据采集频率可由前端数据源的发送频率决定；b) 主动采集：主动发起获取前端数据源的数据，数据采集频率可设置c) 手动导入：本地手动导入的数据6.1.1.2　 采集协议数据汇聚组件应能根据应用场景支持两种或两种以上的采集协议进行数据采集，采集协议包括但不限于Syslog、FTP/FTPS、SFTP、HTTP/HTTPS、SSH、SNMP6.1.1.3　 采集内容 数据汇聚组件：a) 应支持基于采集策略从前端数据源的不同对象采集不同类型的数据，具体对象、数据类型可根据应用场景不同进行筛选；b) 应支撑的采集数据类型包括但不限于网络流量、资产信息、日志、漏洞信息、用户行为、告警信息、威胁信息等6.1.2　 数据预处理6.1.2.1　 数据筛选数据汇聚组件应支持基于既定策略，如必填字段缺失、重要字段格式错误、重复数据等，对采集的原始数据进行筛选6.1.2.2　 数据转换数据汇聚组件应支持将采集的同一类型、不同格式的原始数据转换为统一的数据格式，如统一时间格式、统一漏洞名称等，且转换时不能丢失或损坏关键数据项。

6.1.2.3　 数据归并数据汇聚组件应支持对采集的原始数据进行归并，如对同一事件的多次告警进行归并，对同一会话的日志进行归并等6.1.2.4　 数据补全数据汇聚组件应支持基于资产库、威胁信息库、地理信息库等对采集的原始数据进行补全，补全的内容可包括资产属性、关联事件、地理位置等6.1.2.5　 数据标签数据汇聚组件应支持根据相关数据字段对采集的原始数据进行标签化处理，标签内容应基于分析需求进行设置，可包括数据可信度、重要程度、数据来源、区域、行业等6.1.3　 数据存储 6.1.3.1　 数据格式数据汇聚组件应支持存储结构化、半结构化和非结构化等不同格式的数据6.1.3.2　 存储内容数据汇聚组件：a) 应支持存储业务数据，如采集的流量数据、日志数据等；b) 应支持存储管理数据，如的安全策略数据、用户数据、系统日志、操作日志等；c) 应支持存储知识数据，如资产信息、地理信息、漏洞、标签数据、安全事件、威胁信息等 6.2　 数据分析要求6.2.1　 网络攻击分析数据分析组件：a) 应支持网络攻击分析，攻击类别包括但不限于漏洞利用攻击、拒绝服务攻击、Web应用攻击、数据窃取攻击、恶意邮件攻击、恶意代码攻击等；b) 应支持网络攻击属性分析，攻击属性包括但不限于攻击时间、攻击来源、攻击对象、攻击结果、攻击方式等，分析内容包括但不限于攻击的分布情况、攻击频次、危害范围、危害程度等；c) 宜支持根据时间顺序、攻击来源、攻击对象等对网络攻击进行关联分析，还原攻击路径；d) 宜支持对网络攻击方进行分析，建立攻击方画像；e) 宜支持对网络攻击的变化趋势、影响范围、危害程度等进行预测。

6.2.2　 资产风险分析数据分析组件：a) 应支持结合资产类型、资产位置、资产重要程度、资产脆弱性、资产是否失陷及威胁信息等分析资产风险，评估资产风险等级；b) 应支持建立资产画像；c) 宜支持对资产的风险等级、变化趋势等进行预测6.2.3　 异常行为分析数据分析组件： a) 应支持通过行为基线、关联分析等技术发现用户或实体的异常行为，如：登录异常、访问异常、操作异常、数据下载异常、可疑域名访问等；b) 应支持建立用户行为画像，包括用户个体行为画像和群体行为画像；c) 宜支持基于历史数据学习对用户或实体的异常行为进行预测6.3　 态势展示要求6.3.1　 整体态势展示态势展示组件：a) 应支持对网络的整体安全状况用分值或等级等方式进行评估和展示；b) 应支持对不同行业、不同区域、不同业务单元或不同资产等的局部网络安全状况采用分值或等级等方式进行评估和展示；c) 应支持对不同时间段的网络安全状况进行评估和展示；d) 应支持采用多种视图展示安全态势，展示视图至少包括以下一种：雷达图、地理信息图、关联关系图、威胁路径图等；e) 根据应用场景不同，应支持专题态势、展示内容、展示视图的自定义6.3.2　 专题态势展示6.3.2.1　 资产态势态势展示组件：a) 应支持以图表方式展示当前资产的类型和数量；b) 应支持展示资产类型、重要程度、IP地址、开放端口、联网状态等；c) 应支持对资产的安全状况进行评估和展示，包括资产风险等级及具体资产的安全状况描述。

6.3.2.2　 流量态势态势展示组件：a) 应支持对流量数据基于协议、时间、源IP地址、目的IP地址、前端数据源等进行统计和展示；b) 应支持统计和展示的范围至少包括互联网流量、特定用户流量及特定资产流量等6.3.2.3　 运行态势态势展示组件：a) 应支持对资产的资源（如CPU、内存、网络）使用情况、可用性指标、时间等进行统计和展示；b) 应支持统计和展示的范围至少包括重要资产、运行异常资产（如资源使用异常）等6.3.2.4　 脆弱性态势态势展示组件：a) 应支持展示网。