GB_T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.docx

《GB_T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.docx》由会员分享，可在线阅读，更多相关《GB_T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.docx（13页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCSI.XOsa11三GE中华人民共和家标准GBT424532023信息安全技术网络安全态势感知通用技术要求Informationsecuritytechno1.ogy一Genera1.technica1.requirementsfornetworksecuritysituationawareness2023-IO-O1.实施国家市场监督管理总局国家标准化管理委员会前言II范的I2规范性引用文件13术语和定义14缩略语25网络安全态势感知技术框架26技术要求36.1 数据汇聚要求36.1.1 数据采集36.1.2 数楙预处理46.1.3 数据存催46.2 数据分析要求46.

2、2.1 网络攻击分析56.2.2 资产风险分析56.2.3 异常行为分析56.2.4 安全田件分析56.3 态势展示要求56.3.1 整体态势展示56.3.2 专柩态势展示66.3.3 态势报告76.4 监测预警要求86.5 数据服务接口要求86.5.1 数据交换接口86.5.2 数据分析接口86.5.3 联动处置接口86.5.4 接口安全性86.6 系统管理要求86.6.1 策略管理86.6.2 预处理规则管理86.6.3 分析模型管理96.6.4 资产管理96.6.5 安全事件管理96.6.6 威胁信息管理9参考文献IO本文件按照GB,T1.1-20204标准化工作3则第1部分：标准化文件

3、的结构和起草规则3的规定起草.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的贾任本文件由全国伯恩安全标准化技术委员会（SACC260）提出弁归II.本文件起草单位：公安部第三研究所、北京辙安科技有限公司、国家信息技术安全研究中心、北京天融信网络安全技术有限公司、中国信息安全测评中心、北京奇虎科技有限公司、新华三技术有限公司、奇安信科技集团股份有限公司、启明星辰信息技术集团股份有限公司、长扬科技（北京）股份有限公司、北京神州绿盟科技有限公司、深信服科技股份有限公司、中国科学院信息工程研究所、北京山石网科信息技术有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、统讯公

4、计算（北京）有限田任公司、上海工业自动化仪表研究院有限公司、杭州迪普科技股份有限公司、中电长城网际系统应用有限公司、西安交大捷普网络科技有限公司、杭州中电安科现代科技有限公司、陕西省网络与信息安全测评，1.心、中国民航大学、中科国昱（合肥）科技有限公司、北京成努特技术有限公司、远江盛邦（北京）网络安全科技股份有限公司.本文件由要起草人：陈妍、李京春、顾健、李.雪莹、李城、张场、万晓兰、李军华、吕明、汪义舟、阳智、刘祗万月弟文代岭、张永临孙默、张华涛、聂桂限陶及激、刘教芳、玲、文删、倒H、何建条苗维杰、查正朋、周景贤.信息安全技术网络安全态势感知通用技术要求本文件给出了网络安全态势感知技术框架,

5、规定了该框柒中核心组件的通用技术要求.本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评，2祝范性引用文件下列文件中的内容通过文中的现范性引用而构成本文件必不可少的条款其中，注日期的引用文件，仅该I1.期对应的版本适用于本文件：不注日期的引用文件,其最痂版本（包括所有的修改单）适用于本文件.GBT25069-2022信息安全技术术语GB28458-2020伯恩安全技术网络安全Ai洞标识与描述规范GBT285172012网络安全3件描述和交换格式GBT30279-2020信息安全技术网络安全漏洞分类分级指南GBT36643-2018信息安全技术网络安全威胁信息格式规范G

6、BT370272018信息安全技术网络攻击定义及描述规范GBrI250692022界定的以及下列术谱和定义适用于本文件.threat可能对系统或组织造成危害的不期望事件的潜在因素.来源：GBT25069-2022,3.628威胁信息threatinformation基于证据的知识,用于描述现有或可能出现的峻胁.从而实现时威防的响应和预防.由或V借息包括上下文、攻击机制.攻击指标、可蛾够信息.来源：GBT366432018.3.3而修改33networksecuritysituationawareness通过聚象网络流附、资产信息、日志、漏洞信刖、t警信息、威胁信息等数据，分析和处理网络行为及用

7、户行为等因素,掌握网络安全状态，预测网络安全趋势，并进行展示和监测预警的活动，3.4前数据源ron（-cnc1.datasource向网络安全态势感知核心组件提供数据的软硬件c3.5(Bprofi1.ing针对某类对象，在多维度上构建其描述性标签属性，并利用这些标签尿性，分析对象多方面的特征，抽象概括其全貌的过程。3.699warning针对即将或正在发牛.的网络安全事件或威胁，提前或及时发出的警示。来源：GBT250692022.3.7394下列缩略语适用于本文件。CPU:中央处理涔(Centra1.PrgCSSingUni1.)FTP:文件传输协议(FiIeTransferProtoco1

8、.)FTPS:安全低接层为议上的文件传输协议(FiIeTransferPro1Secure)IP:互联网协议(IntemC1.Protoco1.)SFTP:安全文件件送协议(SSHFi1.eTransferPr(Xoco1.)SNMP:荷单网络管理协i义(SimPIeNetworkManagememProtoco1.)SSH:安全外壳(SeCUreShe1.1.)SyS1.Og:系统日志(SyMenI1.og)Web:全理广域网(WOr1.dWideWeb)5网络安全态势感知技术框架主要包括前端数据源、核心纲件和其他要素三部分.其中网络安全态切感知的核心组件是实现网络安全态势感知能力的理要技术

9、手段，表现形式可为产从、系统或平台，也可以是不同的功能组件：实现网络安全态势感知也依赖于应急处设、安全决策、数据共享等其他要素。为能更好地进行网络安全态势感知,前端数据源需设置蛊网络安全态势自知范围内的通信网络、区域边界和计算环境.本文件规定了网络安全态势感知技术框架中核心组件的通用技术要求,不包括技术框架中相时独立的前端数据源和其他要素的要求，依据通用性并保证网络安全态势感知功能完整性原则，本文件所指的网络安全态措感知核心组件由数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等构成，见图1,其中虚线框不在本文件规定的技术要求中.数据汇聚批件依据业务需求从相应的前端数据源采集数据

10、，经过筛选、转换、补全、标i已等预处理后进行存储，用F后续的数据分析：数据分析组件基于不同的数据分析模型通过数据服务接口调用相关数据，进行网络攻击分析、资产砥分析、异常行为分析和安全事件分析：根据应用场比不同态势展示组件可通过数据服务接口调用相关数据进行多维度评估和展示，包括整体态协展示、专题态势展示和态协报告；监测预警组件支持基于设定的监测策略和预警规则进行预警，使于后续的应急处设、安全决策等：此外，为方便用户接入不同类型的前端数据、更好地使用多样化的分析模型，该技术框架将数据采集、交换、分析和应用等数据处理活动充分解耦，通过数据服务接1.I姐件，诳行前端数据源、内部不同模块以及此他外部系统

11、的数据交互，包括了数据交换接口、数据分析接11、联动处置接口等：数据服务接I也使于与其他系统进行数据共享。系统管理组件主要进行策略管理、预处理规则管理、分析模型管理、资产管理、安全事件湃理和威胁信息湃理。NseH(It1.rrWwwswws产t?w我金串nw*MMK其他要素I区a*RInkjgj丝口InecIttMvIH1网Ift安全毒霸射啦术U6技术要求a1.1MHUk&1.1.1对于不同的前端数据源.数据汇聚组件应支持以下采集方式：a）被动接收前湘数据源发送的数据：b）主动发起获取前痂数据源的数据,支持对数据采集短率进行设置:C）手动导入曲端数据源的数据.数据汇聚组件应根据应用场景支持两种

12、或两种以.的采集协议进行数据采集,采集协议包括但不限于SySiog、FTPjFTPS、SFrP、HTPHTTPS,SSH、SNM憎，&1.1.3OU*3数据汇聚组件:a）应支持基于果维彼略采集不同类型的数据，数据类型包括同络流信、资产估息、日志、淘涧伯息、用户行为、告警信息、成胁信息等：b）应支持根据应用场景自定义采集的数据类3：O应支持采用校险技术或密码技术确保从前端数据源泥梁数据的完整性.&1.2&1.2.1ram数据汇聚组件应支持庙于数据预处理规则对采集的原始数据进行筛选，如去除必填字段为空的数拉;、去除更要字段为空的数据、去除数据格式错误的数据、去除Ifi复的数据等。61.22MMft

13、数据汇聚组件应支持将采集的同一类至、不同格式的原始数据转换为统一的数据格式，如统一时间格式、统一漏洞名称等,且转换时不能丢失或损坏关犍数据项,其中漏洞描述应遵循GRT28458-2020第5堂、GBfr302792020第5*和第6堂的要求；或胁信息描述应遵循GBT366432018第6章的要求：网络攻击描述应遵循GB37027-2OIS第6章和第7章的要求：安全事件描述应遵循GB.T285172012第5章、第6章和第7章的要求。&1.23数据汇聚组件应支持基于资产信息库、成胁信息库、地理信息库等对采集的原始数据遂行补全补全的内容包括资产的相关属性、关联事件、其卿位置等。&1.24mB数据汇

14、聚组件应支持根据相关数据字段对采集的原始数据进行标记，标记内容应基于分析需求进行设置，如数据可信度、数据来源等.&1.3RdSM&1.11数据汇聚组件应支持存储结构化、半结构化和非结构化的数据。&1.a2数据汇聚缎件：a）应支持存储业务数据，如采集的流量数据、日志数据、告警信息以及产生的安全事件、预警信息等：b）应支持存储管理数据，如安全蔽略数据、运行H志、掇作R志等：C）应支持存储知识数据并建立相应的数据除，如资产信息归1也理信息除攻击特征除漏洵库、安全事件库、威胁信息库等.&1.&3数据汇聚组件应支持设置各类数据的存储时间.61.&4ffe数据汇聚组件应支持对存储的重要数据、敏感数据等进行完盛性和保密性保护.&2a2.1数据分析组件：a）应支持识别不同类别的网络攻击，网络攻击类别包括但科艮于混涧利用攻击、拒绝服务攻击、Web应用攻击、数据窃取攻击、恶意邮件攻击、恶意代码攻击等：b）应支持基于特征匹配、关联分析、数据尼掘、机器学习等技术进行网络攻击分析：c）应支持基于哦胁信息等进行网络攻击分析：d）应支持通过分析得到网络攻击屈性，包括攻3时间、攻击来海、攻击对象、攻击结果、攻