2025网络安全态势感知系统技术要求

网络安全态势感知系统技术要求目 次网络安全态势感知系统技术要求 11 范围 12 规范性引用文件 13 术语和定义 14 总体说明 24.1 产品描述 24.2 安全等级划分 35 安全功能要求 35.1 数据采集 35.2 数据处理 45.3 数据存储 45.4 数据分析 55.5 展示和告警 65.6 安全管理 85.7 自身安全 86 安全保障要求 106.1 开发 106.2 指导性文档 116.3 生命周期支持 116.4 测试 126.5 脆弱性评定 137 等级划分要求 137.1 划分概述 137.2 安全功能要求等级划分 137.3 安全保障要求等级划分 15I网络安全态势感知系统技术要求1 范围本标准规定了网络安全态势感知系统的安全功能要求和安全保障要求 本标准适用于网络安全态势感知系统的设计、开发、建设、部署及检测2 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 25069 信息安全技术 术语GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南3 术语和定义GB 17859-1999、GB/T 25069和GB/T 20986-2007界定的以及下列术语和定义适用于本文件。

3.1网络安全态势感知系统 cyber security situation awareness system通过采集网络环境要素（如资产、网络流量、运行状态、设备告警、脆弱性、安全事件和威胁情报等数据），利用数据挖掘等分析技术，对网络安全状况进行分析，对网络安全趋势进行预测，从而协助应急处置和安全决策的产品3.2资产 asset对网络信息系统有价值的信息或资源，是安全技术保护的对象，包括数据、软件、硬件、服务等3.3网络流量 network traffic连接网络的设备（包括各种网络设备、安全设备、服务器等）在网络上所产生的数据包的集合3.4脆弱性 vulnerability可能被威胁所利用的资产或若干资产的薄弱环节，包括漏洞、不安全地配置等3.5风险 risk15威胁主体利用脆弱性的可能性以及对相关业务的影响3.6设备告警数据 device alert data安全设备或安全平台上根据对网络流量、日志、扫描探测返回信息等数据的分析结论或基于机器学习、引擎类设备、工具、组件关联分析生成的，描述异常网络情况、异常系统访问或系统脆弱性的信息3.7网络安全事件 network security incident由于人为以及软硬件本身缺陷或故障的原因，对信息系统构成潜在危害、甚至影响信息系统正常提供服务的情况。

网络安全事件通常会对社会造成负面影响，且是经过确认需要做出一定处置措施的事实3.8威胁情报 threat intelligence一种基于证据的知识，包含了上下文、攻击机制、攻击指标、启示和可行建议威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应4 总体说明4.1 产品描述本标准将网络安全态势感知系统安全技术要求分为安全功能要求和安全保障要求两大类网络安全态势感知系统的安全功能框图如图1虚线部分所示，主要包括数据采集、数据处理、数据存储、数据分析、展示和告警、安全管理和自身安全功能，各类前端探针（如流量探针、服务器探针、监测平台等）的功能、利用产品结果进行决策和处置以及数据共享相关系统等的功能不在本标准的范围内产品通过外部的流量探针、服务器探针、其他监测平台、第三方上报等采集得到资产数据、运行状态数据、设备告警数据、流量数据、脆弱性数据等，然后对采集到的数据进行处理、存储和分析之后，得到网络的安全状况并进行多维度的展示，从而为安全决策和应急处置等活动提供基础和依据在实际某些情况下，态势感知的分析结果需要人工参与，此外，也需要通过接口等方式与第三方、上下级进行数据共享，这部分内容不在本标准阐述。

数据采集功能指明了系统应支持的采集方式、前端采集源管理和数据源类型等；数据处理功能提出了如何处理采集到的数据的要求；数据存储功能描述了应该存储什么类型的数据；数据分析功能要求系统具备数据分析能力，从而进行安全事件辨别、定级、关联分析等；展示和告警功能提出了安全态势展示、统计分析和安全告警等要求；安全管理功能提出对系统进行安全管理的要求，包括安全策略管理、安全事件管理、时间同步等要求；自身安全功能提出了与产品自身安全相关的要求，包括标识与鉴别、角色管理、远程管理、自身审计等要求安全保障要求针对网络安全态势感知系统的整个周期过程提出具体的要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定图 1 网络安全态势感知系统功能框图4.2 安全等级划分本标准按照网络安全态势感知系统安全功能的强度划分安全功能要求的级别， 参照 GB/T 18336.3-2015划分安全保障要求的级别安全等级突出安全性，分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据5 安全功能要求5.1 数据采集5.1.1 采集方式对于不同类型的数据，产品应能通过不同的方式进行采集，具体采集方式如下：a) 被动接收；b) 主动采集；c) 文件导入；d) 其他方式。

5.1.2 前端采集源管理对于不同的前端采集源，产品应能进行不同方式的管理：a) 对于通过主动方式采集数据的前端采集源，支持设置和下发采集规则、进行时钟校准、对采集设备的运行状态进行监测、对采集设备进行开启/关闭/重启等：b) 对于通过被动方式采集数据的前端采集源，支持前端采集源进行识别和控制5.1.3 采集数据类型产品应能采集不同类型的数据，具体数据类型如下：a) 资产数据；b) 网络流量数据；c) 运行状态数据；d) 设备告警数据；e) 脆弱性数据；f) 安全事件数据；g) 威胁情报数据；h) 其他数据5.2 数据处理5.2.1 数据筛选产品应能基于既定策略（如必填字段缺失、重要字段格式错误、重复数据等）对采集的数据进行筛选，确保数据的质量5.2.2 数据转换产品应能对采集的同一类型、不同格式的原始数据转换为统一的数据格式，且转换时不能造成关键数据项丢失和损坏5.2.3 数据标识产品应能对采集数据的重要字段进行标识5.2.4 处理方式产品应对不同类型的数据采用实时处理、离线处理等处理方式5.3 数据存储5.3.1 存储数据格式产品应能存储结构化数据、半结构化数据和非结构化数据等不同格式的数据。

5.3.2 存储数据类型产品应能将数据进行分类存储，具体存储数据类型如下：a) 采集获取的原始业务数据、处理后的业务数据和分析后的业务数据；b) 管理数据，如系统的安全策略数据、用户信息、运行日志及自身审计日志等；c) 知识库数据，如资产库、安全事件库、漏洞库等；d) 知识库数据，如威胁情报库等5.3.3 存储数据安全保护产品应采取安全机制，保护存储的数据免遭未经授权的读取、删除或修改5.3.4 防止存储数据丢失产品应提供以下措施防止存储数据的丢失：a) 各类数据应存储于掉电非易失性存储介质中；b) 当存储容量达到阈值时，发出报警信息；c) 在存储空间耗尽前采取措施，避免数据受到未预期的删除、修改或覆盖等5.3.5 存储数据备份产品应提供以下存储数据的备份功能：a) 支持备份策略的自定义及数据的自动或手动备份；b) 通过自动化方式将存储数据进行转存5.4 数据分析5.4.1 安全事件辨别产品应能对采集的数据进行分析，判断数据所属的安全事件类型5.4.2 安全事件定级产品应能结合资产的重要程度、资产所处位置等为安全事件设定其级别，以表明事件的性质或揭示此类事件的发生给网络所带来危险程度5.4.3 事件关联分析产品应提供事件关联分析功能，具体内容如下：a) 从采集的不同类型的数据中关联分析出同一安全事件；b) 从多个安全事件中关联分析出安全事件发生的因果关系；c) 从多个安全事件中关联分析出事件的访问路径，得到安全事件相关的源主机与目标主机；d) 其他关联分析功能。

5.4.4 异常行为分析产品应维护一个网络内合法用户的正常行为集合，以此区分入侵者的行为以及合法用户的异常行为，具体内容如下：a) 访问频次超限；b) 访问流量超限；c) 账户异常登录；d) 非授权访问、外联；e) 文件非授权外发、下载；f) 文件异常修改；g) 权限异常提升；h) 日志异常变化；i) 其他异常行为5.4.5 潜在危害分析产品应能通过数据挖掘等技术对采集的不同类型数据进行潜在危害分析，如通过将已发现的异常行为与原始日志的进行关联，用于探测未知安全威胁5.4.6 安全趋势分析产品应能基于不同时间发生的安全事件，分析网络的安全趋势5.5 展示和告警5.5.1 整体态势展示产品应能对网络内的整体安全态势进行评估和展示，具体内容如下：a) 对网络的总体安全状况用分值或等级等方式进行评估和展示；b) 对不同业务单元、不同设备等进行分块安全评估和展示；c) 对不同时间段的网络安全状况进行评估和展示；d) 支持对不同的管理员展示不同维度、不同视图的网络安全状况的能力；e) 采用多种视图展示安全态势的细节，如雷达图、地理信息图、关联关系图、威胁路径图、态势图等5.5.2 专题态势展示5.5.2.1 资产态势产品应能对网络内的资产态势进行评估和展示，具体内容如下：a) 实时获取当前资产的类型和数量；b) 识别资产的IP地址、所处位置等并进行统计，特别是暴露在互联网的资产；c) 识别资产的类型、型号、版本号、开放的端口、运行状态等；d) 标识并展示资产的重要程度；e) 对资产的安全状况进行分析，包括资产的分值/等级、资产存在的脆弱性类型/数量等。

5.5.2.2 流量态势产品应能对网络内的流量态势进行评估和展示，具体内容如下：a) 对所有流量数据进行统计分析，呈现流量分布、流量排名、流量趋势等；b) 对互联网的流量数据进行统计分析，呈现流量分布、流量排名、流量趋势等；c) 对特定用户的流量数据进行统计分析，呈现流量分布、流量排名、流量趋势等5.5.2.3 运行态势产品应能对网络内的运行态势进行评估和展示，具体内容如下：a) 实时呈现网络的拓扑结构，包括资产间连接情况、资产属性等；b) 展示被监测资产的运行状态，包括但不限于情况、CPU及使用情况、内存及使用情况、网络使用情况等5.5.2.4 脆弱性态势产品应能对网络内的脆弱性态势进行评估和展示，具体内容如下：a) 监测操作系统、Web应用和第三方组件等存在的常见漏洞；b) 展示存在高危漏洞的资产、漏洞资产分布、漏洞类型分布、漏洞级别分布等；c) 提供漏洞修复的建议；d) 识别并指出系统安全配置的脆弱性5.5.2.5 攻击态势产品应能对网络内的攻击态势进行评估和展示，具体内容如下。