GB_T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.docx

ICS35.030CCSI.XO<>sa11三GE中华人民共和家标准GBT424532023信息安全技术网络安全态势感知通用技术要求Informationsecuritytechno1.ogy一Genera1.technica1.requirementsfornetworksecuritysituationawareness2023-IO-O1.实施国家市场监督管理总局国家标准化管理委员会前言II范的I2规范性引用文件13术语和定义14缩略语25网络安全态势感知技术框架26技术要求36.1 数据汇聚要求36.1.1 数据采集36.1.2 数楙预处理46.1.3 数据存催46.2 数据分析要求46.2.1 网络攻击分析56.2.2 资产风险分析56.2.3 异常行为分析56.2.4 安全田件分析56.3 态势展示要求56.3.1 整体态势展示56.3.2 专柩态势展示66.3.3 态势报告76.4 监测预警要求86.5 数据服务接口要求86.5.1 数据交换接口86.5.2 数据分析接口86.5.3 联动处置接口86.5.4 接口安全性86.6 系统管理要求86.6.1 策略管理86.6.2 预处理规则管理86.6.3 分析模型管理96.6.4 资产管理96.6.5 安全事件管理96.6.6 威胁信息管理9参考文献IO本文件按照GB,T1.1-20204标准化工作3则第1部分：标准化文件的结构和起草规则3的规定起草.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的贾任本文件由全国伯恩安全标准化技术委员会（SACC260）提出弁归II.本文件起草单位：公安部第三研究所、北京辙安科技有限公司、国家信息技术安全研究中心、北京天融信网络安全技术有限公司、中国信息安全测评中心、北京奇虎科技有限公司、新华三技术有限公司、奇安信科技集团股份有限公司、启明星辰信息技术集团股份有限公司、长扬科技（北京）股份有限公司、北京神州绿盟科技有限公司、深信服科技股份有限公司、中国科学院信息工程研究所、北京山石网科信息技术有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、统讯公计算（北京）有限田任公司、上海工业自动化仪表研究院有限公司、杭州迪普科技股份有限公司、中电长城网际系统应用有限公司、西安交大捷普网络科技有限公司、杭州中电安科现代科技有限公司、陕西省网络与信息安全测评，1.心、中国民航大学、中科国昱（合肥）科技有限公司、北京成努特技术有限公司、远江盛邦（北京）网络安全科技股份有限公司.本文件由要起草人：陈妍、李京春、顾健、李.雪莹、李城、张场、万晓兰、李军华、吕明、汪义舟、阳智、刘祗万月弟文代岭、张永临孙默、张华涛、聂桂限陶及激、刘教芳、玲、文删、倒H、何建条苗维杰、查正朋、周景贤.信息安全技术网络安全态势感知通用技术要求本文件给出了网络安全态势感知技术框架,规定了该框柒中核心组件的通用技术要求.本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评，2祝范性引用文件下列文件中的内容通过文中的现范性引用而构成本文件必不可少的条款其中，注日期的引用文件，仅该I1.期对应的版本适用于本文件：不注日期的引用文件,其最痂版本（包括所有的修改单）适用于本文件.GBT25069-2022信息安全技术术语GB28458-2020伯恩安全技术网络安全Ai洞标识与描述规范GBT285172012网络安全'3件描述和交换格式GBT30279-2020信息安全技术网络安全漏洞分类分级指南GBT36643-2018信息安全技术网络安全威胁信息格式规范GBT370272018信息安全技术网络攻击定义及描述规范GBrI250692022界定的以及下列术谱和定义适用于本文件.threat可能对系统或组织造成危害的不期望事件的潜在因素.来源：GBT25069-2022,3.628威胁信息threatinformation基于证据的知识,用于描述现有或可能出现的峻胁.从而实现时威防的响应和预防.由或V借息包括上下文、攻击机制.攻击指标、可蛾够信息.来源：GBT366432018.3.3而修改33networksecuritysituationawareness通过聚象网络流附、资产信息、日志、漏洞信刖、t警信息、威胁信息等数据，分析和处理网络行为及用户行为等因素,掌握网络安全状态，预测网络安全趋势，并进行展示和监测预警的活动，3.4前数据源ron（-cnc1.datasource向网络安全态势感知核心组件提供数据的软硬件c3.5(Bprofi1.ing针对某类对象，在多维度上构建其描述性标签属性，并利用这些标签尿性，分析对象多方面的特征，抽象概括其全貌的过程。3.699warning针对即将或正在发牛.的网络安全事件或威胁，提前或及时发出的警示。来源：GBT250692022.3.7394下列缩略语适用于本文件。CPU:中央处理涔(Centra1.PrgCSSingUni1.)FTP:文件传输协议(FiIeTransferProtoco1.)FTPS:安全低接层为议上的文件传输协议(FiIeTransferPro<oco1.Secure)HTTP:超文本传输协议(HyPerTextTransferProtoco1.)HTTPS:安全套接层出议上的超文本传输协议(Hypertcx1.TransferPr(MOa>1Secure)IP:互联网协议(IntemC1.Protoco1.)SFTP:安全文件件送协议(SSHFi1.eTransferPr(Xoco1.)SNMP:荷单网络管理协i义(SimPIeNetworkManagememProtoco1.)SSH:安全外壳(SeCUreShe1.1.)SyS1.Og:系统日志(SyMenI1.og)Web:全理广域网(WOr1.dWideWeb)5网络安全态势感知技术框架主要包括前端数据源、核心纲件和其他要素三部分.其中网络安全态切感知的核心组件是实现网络安全态势感知能力的理要技术手段，表现形式可为产从、系统或平台，也可以是不同的功能组件：实现网络安全态势感知也依赖于应急处设、安全决策、数据共享等其他要素。为能更好地进行网络安全态势感知,前端数据源需设置蛊网络安全态势自知范围内的通信网络、区域边界和计算环境.本文件规定了网络安全态势感知技术框架中核心组件的通用技术要求,不包括技术框架中相时独立的前端数据源和其他要素的要求，依据通用性并保证网络安全态势感知功能完整性原则，本文件所指的网络安全态措感知核心组件由数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等构成，见图1,其中虚线框不在本文件规定的技术要求中.数据汇聚批件依据业务需求从相应的前端数据源采集数据，经过筛选、转换、补全、标i已等预处理后进行存储，用F后续的数据分析：数据分析组件基于不同的数据分析模型通过数据服务接口调用相关数据，进行网络攻击分析、资产砥分析、异常行为分析和安全事件分析：根据应用场比不同态势展示组件可通过数据服务接口调用相关数据进行多维度评估和展示，包括整体态协展示、专题态势展示和态协报告；监测预警组件支持基于设定的监测策略和预警规则进行预警，使于后续的应急处设、安全决策等：此外，为方便用户接入不同类型的前端数据、更好地使用多样化的分析模型，该技术框架将数据采集、交换、分析和应用等数据处理活动充分解耦，通过数据服务接1.I姐件，诳行前端数据源、内部不同模块以及此他外部系统的数据交互，包括了数据交换接口、数据分析接11、联动处置接口等：数据服务接I也使于与其他系统进行数据共享。系统管理组件主要进行策略管理、预处理规则管理、分析模型管理、资产管理、安全事件湃理和威胁信息湃理。NseH(It1.rrWwwswws产t?w我金串nw*<VAK1t*Isee”展II33t>MMK其他要素I区a*RI««»«nkj>gj丝口In«ec«IttM<MtIRWM|，4络*分H；|I贷产3，"Iwb%0M1.t&+"MIaw>vIH1网Ift安全毒霸射啦术U6技术要求a1.1MHUk&1.1.1对于不同的前端数据源.数据汇聚组件应支持以下采集方式：a）被动接收前湘数据源发送的数据：b）主动发起获取前痂数据源的数据,支持对数据采集短率进行设置:C）手动导入曲端数据源的数据.数据汇聚组件应根据应用场景支持两种或两种以.的采集协议进行数据采集,采集协议包括但不限于SySiog、FTPjFTPS、SFrP、HTPHTTPS,SSH、SNM憎，&1.1.3OU*3«数据汇聚组件:a）应支持基于果维彼略采集不同类型的数据，数据类型包括同络流信、资产估息、日志、淘涧伯息、用户行为、告警信息、成胁信息等：b）应支持根据应用场景自定义采集的数据类3«：O应支持采用校险技术或密码技术确保从前端数据源泥梁数据的完整性.&1.2&1.2.1ram数据汇聚组件应支持庙于数据预处理规则对采集的原始数据进行筛选，如去除必填字段为空的数拉;、去除更要字段为空的数据、去除数据格式错误的数据、去除Ifi复的数据等。61.22MMft数据汇聚组件应支持将采集的同一类至、不同格式的原始数据转换为统一的数据格式，如统一时间格式、统一漏洞名称等,且转换时不能丢失或损坏关犍数据项,其中漏洞描述应遵循GRT28458-2020第5堂、GBfr302792020第5*和第6堂的要求；或胁信息描述应遵循GBT366432018第6章的要求：网络攻击描述应遵循GB"37027-2OIS第6章和第7章的要求：安全事件描述应遵循GB.T285172012第5章、第6章和第7章的要求。&1.23数据汇聚组件应支持基于资产信息库、成胁信息库、地理信息库等对采集的原始数据遂行补全补全的内容包括资产的相关属性、关联事件、其卿位置等。&1.24m»B数据汇聚组件应支持根据相关数据字段对采集的原始数据进行标记，标记内容应基于分析需求进行设置，如数据可信度、数据来源等.&1.3RdSM&1.11数据汇聚组件应支持存储结构化、半结构化和非结构化的数据。&1.a2数据汇聚缎件：a）应支持存储业务数据，如采集的流量数据、日志数据、告警信息以及产生的安全事件、预警信息等：b）应支持存储管理数据，如安全蔽略数据、运行H志、掇作R志等：C）应支持存储知识数据并建立相应的数据除，如资产信息归1也理信息除攻击特征除漏洵库、安全事件库、威胁信息库等.&1.&3数据汇聚组件应支持设置各类数据的存储时间.61.&4ffe数据汇聚组件应支持对存储的重要数据、敏感数据等进行完盛性和保密性保护.&2a2.1数据分析组件：a）应支持识别不同类别的网络攻击，网络攻击类别包括但科艮于混涧利用攻击、拒绝服务攻击、Web应用攻击、数据窃取攻击、恶意邮件攻击、恶意代码攻击等：b）应支持基于特征匹配、关联分析、数据尼掘、机器学习等技术进行网络攻击分析：c）应支持基于哦胁信息等进行网络攻击分析：d）应支持通过分析得到网络攻击屈性，包括攻3时间、攻击来海、攻击对象、攻击结果、攻击方式、分布情况、攻击频次、影响范困、危害程度生e）应支持从攻击对象或攻击方视角时网络攻击行为进行分析，还原攻击路径：0应支持建立攻击方画像：g）宜支持结合内外部的分析能力预测潜在的网络攻击。&22te1.bMfr数据分析登1件：a）应支持综合资产类里、资产位置、资产重要程度、资产脆弱性、资产是否失陷及威胁信息等分析资产风!聆，评估资产风J%等级：b）应支持建立资产画像：C）宜支持结合内外部的分析能力预测潜在的资产风险。&23鼻幡行为分析数据分析女1件：a）应支持发缈H户或实体的异常行为，异常行为包括但不限于登录异常、访问异常、操作异常、数据下载异常、可疑域名访问等：b）应支持基于行为基线、关联分析、数据挖掘、机器学习等技术进行异常行为分析：O应支持建立用户行为画像,包括用户个体行为画像和群体行为画像：d）宜支持基于历史数据学习预测用户或实体潜在的异常行为.&24雉，数据分析组件：a）应支持基F资产重要程度、造成的危古程度和影响范用时安全事件进行分类分级；b）应支持基于安全事件，关联分析出资产相关的喊胁信息、网络攻击类别、网络攻击展性、影响范国等：C）宜支持结合内外部的分析能力预测潜在的安全事件.&3an态协展示组件：a）应支持对网络的整体安全状况用分值或等级等方式遂行评估和展示：b）应支持对不同行业、不同区域、不同业务单元或不同资产等的局部网络安全状况采用分值或等级等方式进行评估和展示：O应支持对不同时间段的整体网络安全状况进行评估和展示：d）应支持采用多种视图展示整体安全态势，展示视图至少包括以下中的两种：儒达图、地理信息图、关联关系图、威胁珞径图、趋势图、同/环上卿等：0应支持分角色展示，即针对不同角色用户展示不同内容：0应支持展示整体网络安全状况的变化趋势,如分假或等级的变化等：g）应支持根据应用场景迸行不同类型专题态势的评估和展示.态势展示组件：a）应支持以图表方式屣示当前资产的类型和数玳：b）应支持展示资产名称、资产类型、理要程度、IP地址、开放潴口、联网状态等：C）应支持对资产的安全状况遂行评估和展示,包括具体资产的风险等级及资产的安全状况描述：d）应支持展示资产安全状况的变化趋势，如资产风险等线的变化、联网状态的变化等，6.3.2.2态势展示组件：a）应支持对流量数据基于协议、时间、源11t1.:、目的IP地址、前端数据源等进行统计和展示：b）应支持统计和展示的范用至少包括互联网流型、特定用户流量及特定资产流量等；C）应支持展示流献的变化电势，如互联网流Iit大小的变化、前端数据源流诚大小的变化等。&&23态协展示组件：a）应支持对资产的资源（如CPU、内存、网络）使用情况进行统计和展示：b）应支持统计和展示的越围至少包括重要资产、运行异常资产等：0应支持展示资产的资源使用情况的变化趋势.如资产CPU，内存/网络使用情况的变化、运行异常资产的数段变化等06.3,2.4态势展示组件：a）应支持展示网络中存在的漏洞、粥口令、不安全配跣等脆弱性：b）应支持展示存在漏洞的资产、漏洞的类型分布、漏洞的级别分布等：0应支持基于资产信息统计和展示1.½弱性分析结果，包括漏洞资产总数、弱口令资产数、不安全配置资产数及详情等；d）应支持展示资产腑的性的变化也势，如资产中高风Pft温洞数后的变化、的口令资产数的变化等。态势展示组件：a）应支持实时获取并展示当前网络的受攻击情况，包括攻击时间、攻击源IP地址、目的IP地址、攻击方式、攻H潞径等；b）应支持统计和展示攻击方式分布、攻击时间段、攻击来源分布等：C）应支杼展示当前睥络受攻击情况的变化趋势如攻击时间段的变化、攻击来源分布的变化等.&&26JMwjjW态势展示组件：a）应支持展示假点用户行为联线的用户异常行为，如违规或越权访问网络或眼务、非授权下我数据等：b）应支持展示偏礴实体访问战然的实体异常行为,实体包括主机操作系统、附络设备、安全设法、数据库、中间件、应用系统等：C）应支持展示的内容包括用户或实体信息、异常行为对象、异常行为类型、异常行为发生时间、异常行为描述等：d）应支持展示用户或实体异常行为的变化趋势，如界常行为类型的变化、异常行为发生时间的变化等.&&27雉态势展示组件；“）应支持展示网络中发现的安全事件,包括事件时间、小件类型、事件名称、事件等级、事件对象、攻击者IP地止、事件描述、影响范围等；b）应支持始于安全犷件数收、类里、等级、资产分布等进行安全小件的统计和展示；O应支持展示安全事件的变化趋势，如安全事件类型的变化、事件对象的变化等。6.3,3态势展示组件：a）应支持对态势相关数兆进行查沏：b）应支持施于时间或其他数据字段进行组合查询：O应支持对查询结果根据字段进行排序,&3.&2态势展示组件：a）应支持根据数据分析、态势评估的结果生成统计报表并导出；b）应支持基于指定时间段生成统计报表或生成周期性报农：C）应支持自定义设置统计视图和报表模板.采用多种视图生成统计报表.态势展示组件：a）应支持根据数据分析结果生成整体Iq络安全状况分析报告并导出：b）应支持根据数据分析结果生成不同区域、不同业务单元等的局部网络安全状况分析报告并导出；C）的支持根据数据分析结果提供对策或修更建议：山应支持基于指定时间段产生分析报告或生成周期性分析报告：O应支持自定义设置分析报告的模板6.4 amaat海测预警祖件：a应支持基于监测策略对网络安全状况进行监测,具体监测策略支持根据应用场景自定义：b）应支持基于监测结果.数据分析结果,并结合修警规则等进行分级别修警：O应支持以下一种或多种预警方式：如平台、短信、陋件、即时通信等：（J）应支持根据预警侬别和预警流程发布预警信息，强警信息包括但不限于预警类型、预警级别、事件类型、威胁方式、涉及对象、影响程度、防范对策等：e）应支持通过预警信息iS行受影响资产的关联分析，得出资产名称、资产类型、IP地址等；0应支持到警信息的上报，预警信息的上报方式和内容遵循国家相关规定；g）宜支持基干族警信息与第三方设备或系统进行联动处置.6.5 敷掘务接口要求数据服务接1.1.组件：a）应支持与不同前端数据源、内部不同模块及其他外部系统通过接口进行数据交换,数据交换包括但不限于数据采集、共享、级联交换；b）数据交换的内容应支持不同的类里、字段和格式,其中类里包括日志、告警信息、或胁信息、资产佰息、用户估息、艘性信息、安全事件等，字段和格式应基于类型诳行定义.&&2数据服务接口组件；a）宜支持为内部不PJ模块及其他外部系统通过接I-I进行数据分析：b）宜支持基于数据分析接口实现算术计算'逻辑关系计算、关联计算等分析能力.6.5.3WtbftMn数据服务接口组件；a）宜支持为内部不同模块及其他外部系统通过接11进行联动处置：b）宜支持通过接1.1.进行防护策略的更新'扫描策略的下发等操作.&&4接口ft数据服务接口应具有相应的安全保降机制，保证数据在传输过程中的可用性、完整性和保密性。&6&aimm系统管理组件应为授权管理员提供策珞管理的功能,支持策略的集中管理和自定义设置,包括聚集策略、监浏策略和预警规则等。&&2mmm系统管理组件应为授权管理员提供管理数州处理规则的功能，包括新增、删除、修改、位彻、启用、停用数据处理规则等.6.6.3分析模系统管理组件宜为授权管理员提供数据分析模型的管埋,包括新增、删除、修及数据分析模型等.&&4Mff系统管理批件应为授权管理员提供资产管理的功能,支持对采用人工添加、主动探测发现、被动识别等技术手段获取的资产信息进行管理&&5蛉系统管理批件应为授权管理员提供安全事件管理的功能，包括建立并动态维护安全事件库，对安全事件进行分类和分级等.6.6.6JUMMm系统管理组件：a）应为授权管理员提供喊胁信息管理的功能.包括戒胁信息的添加、删除、上报、共享等：b）应建立威胁信息库.或胁息库的内容至少包括：信息来源、更新时间、内容描述、关联事件、关联IP地址等：c）应支持对不同求魂的喊胁信息进行汇聚并及时更新.考文Mt17GBI20985.12017信息技术安全技术信息安全事件管理第1部分：事件管理原理(2IGB1T20985.2-2020信息技术安全技术信息安全少件管理第2部分；少件响应规划和准备指南(3GB'Z20986-2007信息安全技术信息安全步件分类分级指诩UjGBjT329242016信息安全技术网络安全预警指南5jGB,T366352018信息安全技术网络安全监测基本要求与实脩指南(6NISTSP1800-7Situa1.iona1.AwarenessforE1.cc1.ricUti1.itiesio