GB/T 42453-2023 信息安全技術 網絡安全態(tài)勢感知通 用技術要求（正式版）

ICS35.030GB/T42453—2023信息安全技術網絡安全態(tài)勢感知通用技術要求2023-03-17發(fā)布國家市場監(jiān)督管理總局國家標準化管理委員會GB/T42453—2023 I 2 2 36.1數據匯聚要求 36.1.1數據采集 36.1.2數據預處理 46.1.3數據存儲 46.2數據分析要求 46.2.1網絡攻擊分析 56.2.2資產風險分析 56.2.3異常行為分析 56.2.4安全事件分析 56.3態(tài)勢展示要求 56.3.1整體態(tài)勢展示 56.3.2專題態(tài)勢展示 66.3.3態(tài)勢報告 76.4監(jiān)測預警要求 86.5數據服務接口要求 86.5.1數據交換接口 86.5.2數據分析接口 86.5.3聯動處置接口 86.5.4接口安全性 86.6系統(tǒng)管理要求 86.6.1策略管理 86.6.2預處理規(guī)則管理 86.6.3分析模型管理 96.6.4資產管理 96.6.5安全事件管理 96.6.6威脅信息管理 9 IGB/T42453—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。安信科技集團股份有限公司、啟明星辰信息技術集團股份有限公司、長揚科技(北京)股份有限公司、北京神州綠盟科技有限公司、深信服科技股份有限公司、中國科學院信息工程研究所、北京山石網科信息技術有限公司、華為技術有限公司、杭州安恒信息技術股份有限公司、騰訊云計算(北京)有限責任公司、上海工業(yè)自動化儀表研究院有限公司、杭州迪普科技股份有限公司、中電長城網際系統(tǒng)應用有限公司、西安交大捷普網絡科技有限公司、杭州中電安科現代科技有限公司、陜西省網絡與信息安全測評中心、中國民航大學、中科國昱(合肥)科技有限公司、北京威努特技術有限公司、遠江盛邦(北京)網絡安全科技股份有限公司。1GB/T42453—2023信息安全技術網絡安全態(tài)勢感知通用技術要求2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文本文件。GB/T25069—2022信息安全技術術語GB/T28458—2020信息安全技術網絡安全漏洞標識與描述規(guī)范GB/T28517—2012網絡安全事件描述和交換格式GB/T30279—2020信息安全技術網絡安全漏洞分類分級指南GB/T36643—2018信息安全技術網絡安全威脅信息格式規(guī)范GB/T37027—2018信息安全技術網絡攻擊定義及描述規(guī)范3術語和定義GB/T25069—2022界定的以及下列術語和定義適用于本文件。3.1可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素。向網絡安全態(tài)勢感知核心組件提供數據的軟硬件。2GB/T42453—20233.5針對某類對象，在多維度上構建其描述性標簽屬性，并利用這些標簽屬性，分析對象多方面的特預警warning4縮略語下列縮略語適用于本文件。CPU:中央處理器(CentralProcessingUnit)FTP:文件傳輸協(xié)議(FileTransferProtocol)FTPS:安全套接層協(xié)議上的文件傳輸協(xié)議(FileTransferProtocolSecure)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)HTTPS:安全套接層協(xié)議上的超文本傳輸協(xié)議(HypertextTransferProtocolSecure)IP:互聯網協(xié)議(InternetProtocol)SFTP:安全文件傳送協(xié)議(SSHFileTransferProtocol)SNMP:簡單網絡管理協(xié)議(SimpleNetworkManagementProtocol)Syslog:系統(tǒng)日志(Systemlog)Web:全球廣域網(WorldWideWeb)5網絡安全態(tài)勢感知技術框架網絡安全態(tài)勢感知技術框架主要包括前端數據源、核心組件和其他要素三部分。其中網絡安全態(tài)界和計算環(huán)境。本文件規(guī)定了網絡安全態(tài)勢感知技術框架中核心組件的通用技術要求，不包括技術框架中相對獨立的前端數據源和其他要素的要求。依據通用性并保證網絡安全態(tài)勢感知功能完整性原則，本文件所指的網絡安全態(tài)勢感知核心組件本文件規(guī)定的技術要求中。數據匯聚組件依據業(yè)務需求從相應的前端數據源采集數據，經過篩選、轉的應急處置、安全決策等；此外，為方便用戶接入不同類型的前端數據、更好地使用多樣化的分析模3GB/T42453—2023態(tài)勢展示數據服務接口數據交換接口數據分析接口聯動處置接口資產管理數據匯聚數據分析數據采集數據預處理數據存儲應急處置系統(tǒng)管理6技術要求a)被動接收前端數據源發(fā)送的數據；c)手動導入前端數據源的數據。數據匯聚組件應根據應用場景支持兩種或兩種以上的采集協(xié)議進行數據采集，采集協(xié)議包括但不限于Syslog、FTP/FTPS、SFTP、HTTP/HTTPSb)應支持根據應用場景自定義采集的數據類型；c)應支持采用校驗技術或密碼技術確保從前端數據源采集數據的完整性。4GB/T42453—2023數據匯聚組件應支持基于數據預處理規(guī)則對采集的原始數據進行篩選，如去除必填字段為空的數格式、統(tǒng)一漏洞名稱等，且轉換時不能丟失或損壞關鍵數據項，其中漏洞描述應遵循GB/T28458—2020第5章、GB/T30279—2020第5章和第6章的要求；威脅信息描述應遵循GB/T36643—2018第6章的要求；網絡攻擊描述應遵循GB/T37027—2018第6章和第7章的要求；安全事件描述應遵循GB/T28517—2012第5章、第6章和第7章的要求。數據匯聚組件應支持根據相關數據字段對采集的原始數據進行標記，標記內容應基于分析需求進數據匯聚組件：數據匯聚組件應支持設置各類數據的存儲時間。5GB/T42453—2023數據分析組件：a)應支持識別不同類別的網絡攻擊，網絡攻擊類別包括但不限于漏洞利用攻擊、拒絕服務攻擊、c)應支持基于威脅信息等進行網絡攻擊分析；e)應支持從攻擊對象或攻擊方視角對網絡攻擊行為進行分析，還原攻擊路徑；f)應支持建立攻擊方畫像；g)宜支持結合內外部的分析能力預測潛在的網絡攻擊。數據分析組件：b)應支持建立資產畫像；c)宜支持結合內外部的分析能力預測潛在的資產風險。數據分析組件：c)應支持建立用戶行為畫像，包括用戶d)宜支持基于歷史數據學習預測用戶或實體潛在的異常行為。數據分析組件：a)應支持基于資產重要程度、造成的危害程度和影響范圍對安全事件進行分類分級；c)宜支持結合內外部的分析能力預測潛在的安全事件。6.3態(tài)勢展示要求態(tài)勢展示組件：a)應支持對網絡的整體安全狀況用分值或等級等方式進行評估和展示；級等方式進行評估和展示；6GB/T42453—2023c)應支持對不同時間段的整體網絡安全狀況進行評估和展示；g)應支持根據應用場景進行不同類型專題態(tài)勢的評估和展示。態(tài)勢展示組件：a)應支持以圖表方式展示當前資產的類型和數量；c)應支持對資產的安全狀況進行評估和展示，包括具體資產的風險等級及資產的安全狀況描述；b)應支持統(tǒng)計和展示的范圍至少包括互聯網流量、特定用戶流量及特定資產流量等；態(tài)勢展示組件：c)應支持展示資產的資源使用情況的變化趨勢，如資產CPU/內存/網絡使用情況的變化、運行異常資產的數量變化等。態(tài)勢展示組件：配置資產數及詳情等；d)應支持展示資產脆弱性的變化趨勢，如資產中高風險漏洞數量的變化、弱口令資產數的變化等。態(tài)勢展示組件：7GB/T42453—2023態(tài)勢展示組件：常行為描述等；態(tài)勢展示組件：a)應支持對態(tài)勢相關數據進行查詢；b)應支持基于時間或其他數據字段進行組合查詢；c)應支持對查詢結果根據字段進行排序。態(tài)勢展示組件：b)應支持基于指定時間段生成統(tǒng)計報表或生成周期性報表；態(tài)勢展示組件：a)應支持根據數據分析結果生成整體網絡安全狀況分析報告并導出；b)應支持根據數據分析結果生成不同區(qū)域、不同業(yè)務單元等的局部網絡安全狀況分析報告并c)應支持根據數據分析結果提供對策或修復建議；d)應支持基于指定時間段產生分析報告或生成周期性分析報告；8GB/T42453—2023e)應支持自定義設置分析報告的模板。監(jiān)測預警組件：a)應支持基于監(jiān)測策略對網絡安全狀況進行監(jiān)測，具體監(jiān)測策略支持根據應用場景自定義；d)應支持根據預警級別和預警流程發(fā)布預警信息，預警信息包括但不限于預警類型、預警級別、g)宜支持基于預警信息與第三方設備或系統(tǒng)進行聯動處置。6.5數據服務接口要求數據服務接口組件：數據服務接口組件：a)宜支持為內部不同模塊及其他外部系統(tǒng)通過接口進行數據分析；數據服務接口組件：a)宜支持為內部不同模塊及其他外部系統(tǒng)通過接口進行聯動處置；9GB/T42453—