工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與管理系統(tǒng)要求

YD/Txxxxx—xxxx工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與管理系統(tǒng)通用要求本文件規(guī)定了工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與管理系統(tǒng)的數(shù)據(jù)采集處理要求、安全監(jiān)測(cè)分析要求、安全集中管理要求、系統(tǒng)安全要求、性能要求等本文件適用于應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)，以及基礎(chǔ)電信企業(yè)建設(shè)的工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與管理系統(tǒng)的規(guī)劃、設(shè)計(jì)和實(shí)施2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。信息安全技術(shù)信息安全事件分類分級(jí)指南信息安全技術(shù)術(shù)語(yǔ)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與管理系統(tǒng)cybersecuritymonitoringandmanagementsystemofindustrialIntern面向應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)及基礎(chǔ)電信企業(yè)，通過采集分析網(wǎng)絡(luò)流量、資產(chǎn)、網(wǎng)絡(luò)設(shè)備日志、行為數(shù)據(jù)、漏洞數(shù)據(jù)等數(shù)據(jù)，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)采集處理、網(wǎng)絡(luò)安全監(jiān)測(cè)分析、安全集中管理的系統(tǒng)。面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求，構(gòu)建基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系，支撐制造資源泛在連接、彈性供給、高效配置的工業(yè)云平臺(tái)。接入互聯(lián)網(wǎng)且對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)具有價(jià)值的設(shè)備、系統(tǒng)、信息或其他資源，是安全策略保護(hù)的對(duì)YD/TxXXXx—xXXx工業(yè)互聯(lián)網(wǎng)企業(yè)industrialInternetenterprise應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)和工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)的統(tǒng)稱。工業(yè)互聯(lián)網(wǎng)企業(yè)industrialInternetenterprise應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)和工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)的統(tǒng)稱。下列縮略語(yǔ)適用于本文件。分布式拒絕服務(wù)攻擊DistributedDenialofServ文件傳輸協(xié)議可尋址遠(yuǎn)程傳感器高速通道HighwayAddresableRemoteTr超文本傳輸協(xié)議超文本傳輸安全協(xié)議yperTextTransferProtocoloverSecureSocketr國(guó)際電工委員會(huì)IntemationalElectroTechnicalCommi網(wǎng)絡(luò)之間互連的協(xié)議消息隊(duì)列遙測(cè)傳輸協(xié)議MessageQucuingTelemet用于過程控制的對(duì)象連接與嵌入ObjectLinkingandEmbeddingfo網(wǎng)絡(luò)數(shù)據(jù)包捕獲格式安全文件傳輸協(xié)議SecureFileTransf簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SimpleNetworkManagemen業(yè)務(wù)請(qǐng)求傳送協(xié)議ServiceRequestTransp安全外殼系統(tǒng)日志協(xié)議SystemLogging傳輸控制協(xié)議統(tǒng)一資源定位符面向應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)，以及基礎(chǔ)電信企業(yè)，針對(duì)工業(yè)互聯(lián)網(wǎng)相關(guān)流量、資產(chǎn)、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備告警日志等數(shù)據(jù)進(jìn)行采集、處理、存儲(chǔ)，實(shí)現(xiàn)針對(duì)工業(yè)互聯(lián)網(wǎng)安全的監(jiān)測(cè)與分析，具體包括網(wǎng)絡(luò)攻擊分析、資產(chǎn)風(fēng)險(xiǎn)分析、異常行為分析。同時(shí)，該系統(tǒng)具備資產(chǎn)信息管理、訪問日志管理、安全監(jiān)測(cè)管理、安全告警管理、協(xié)同聯(lián)動(dòng)管理、態(tài)勢(shì)可視化展示等安全集中管理功能。工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與管理系統(tǒng)功能包括數(shù)據(jù)采集處理、安全監(jiān)測(cè)分析和安全集中管理，功能架構(gòu)如圖1所示。工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與管理系統(tǒng)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與管理系統(tǒng)安全集中管理資產(chǎn)信息訪問日志安全監(jiān)測(cè)安全告警協(xié)同聯(lián)動(dòng)態(tài)勢(shì)可視安全監(jiān)測(cè)分析網(wǎng)絡(luò)攻擊分析資產(chǎn)風(fēng)險(xiǎn)分析異常行為分析數(shù)據(jù)采集處理數(shù)據(jù)采集數(shù)據(jù)處理數(shù)據(jù)存儲(chǔ)6數(shù)據(jù)采集處理要求6.1.1采集能力要求數(shù)據(jù)采集能力本項(xiàng)要求包括：a)應(yīng)支持采集策略的配置，能根據(jù)需要調(diào)整采集的數(shù)據(jù)類型和數(shù)據(jù)內(nèi)容；b)應(yīng)支持采集Linux,Unix,Windows等多種操作系統(tǒng)下的服務(wù)器日志及防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描設(shè)備等設(shè)備的日志c)應(yīng)根據(jù)應(yīng)用場(chǎng)景支持至少兩種數(shù)據(jù)采集協(xié)議進(jìn)行數(shù)據(jù)采集，采集協(xié)議至少包括Syslog協(xié)議、d應(yīng)支持基于特定規(guī)則的PCAP包留存，至少包括P規(guī)則、協(xié)議規(guī)則、報(bào)文規(guī)則、URL規(guī)則。流量采集能力本項(xiàng)要求包括：a)應(yīng)具備對(duì)音頻、視頻等指定應(yīng)用流量的過濾能力；b)應(yīng)具備對(duì)指定IP或者URL流量的過濾能力；c)應(yīng)支持針對(duì)特定協(xié)議流量的過濾，至少包括HTTPS、RTSP、SIP等；d)應(yīng)支持IPv4、IPv6雙協(xié)議棧采集、解析能力協(xié)議解析能力5YD/TxXXXx—xXXx本項(xiàng)要求包括：a)應(yīng)支持對(duì)TCP/UDP等傳輸層協(xié)議的解析，支持IP碎片重組、TCP流重組、TCP流狀態(tài)跟蹤；b)應(yīng)具備對(duì)通用網(wǎng)絡(luò)協(xié)議，以及主流工業(yè)通信協(xié)議的識(shí)別解析能力。通用網(wǎng)絡(luò)協(xié)議至少包括HTTP、MQTT、SNP、TELNET、FTP、SSH、DNS等；工業(yè)通信協(xié)議包括：西門子的S7、0PC、通用電氣的SRTP、PROFINET(由PROFIBUSandPROFINETInterational國(guó)際組織定義的一種開放式的工業(yè)以太網(wǎng)標(biāo)準(zhǔn))、HART-IP(美國(guó)ROSEMOUN公司定義的一種用于現(xiàn)場(chǎng)智能儀表和控制室設(shè)備之間的通信協(xié)議)、IEC104等：c)應(yīng)支持對(duì)西門子S7、通用電氣的SRTP、HART-IP、0PC、PROFINET、IEC104等主流工控協(xié)議的深度解析，提取主流協(xié)議規(guī)約的特定內(nèi)容，例如：操作指令、功能碼等字段內(nèi)容；d)針對(duì)加密流量應(yīng)具備協(xié)議的識(shí)別能力。6.1.2采集方式要求本項(xiàng)要求包括：a)應(yīng)支持主動(dòng)采集數(shù)據(jù)源的數(shù)據(jù)，數(shù)據(jù)采集頻率支持自定義；b)應(yīng)支持手動(dòng)導(dǎo)入數(shù)據(jù)：c)應(yīng)支持對(duì)數(shù)據(jù)源進(jìn)行配置、添加、修改和刪除管理。6.1.3數(shù)據(jù)源要求本項(xiàng)要求包括：a)采集工業(yè)企業(yè)網(wǎng)絡(luò)出入口流量、工業(yè)互聯(lián)網(wǎng)平臺(tái)網(wǎng)絡(luò)出入口流量、標(biāo)識(shí)解析服務(wù)器網(wǎng)絡(luò)出入口流量等工業(yè)互聯(lián)網(wǎng)應(yīng)用場(chǎng)景的流量，具體采集類型能根據(jù)監(jiān)測(cè)需求由企業(yè)定義；b)應(yīng)采集工業(yè)互聯(lián)網(wǎng)企業(yè)資產(chǎn)數(shù)據(jù)，至少包括：IP地址類型、資產(chǎn)IP地址、資產(chǎn)端口、MAC地址、資產(chǎn)類型、生產(chǎn)廠商、操作系統(tǒng)等信息c)應(yīng)采集工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)部的網(wǎng)絡(luò)設(shè)備、安全設(shè)備產(chǎn)生的網(wǎng)絡(luò)威脅相關(guān)監(jiān)測(cè)數(shù)據(jù)，至少包括：行為日志、網(wǎng)絡(luò)威脅日志、安全告警數(shù)據(jù)等：d)應(yīng)采集工業(yè)協(xié)議通信行為數(shù)據(jù)，至少包括：組態(tài)上傳、組態(tài)下載、指令變更等信息。e)應(yīng)采集工業(yè)互聯(lián)網(wǎng)漏洞隱患數(shù)據(jù)，至少包括：漏洞名稱、漏洞類型、危害等級(jí)、漏洞編號(hào)、隱患URL地址、補(bǔ)丁信息、修復(fù)建議等信息；6.2數(shù)據(jù)處理要求本項(xiàng)要求包括；a)應(yīng)支持對(duì)數(shù)據(jù)進(jìn)行清洗過濾，針對(duì)數(shù)據(jù)格式不一致、數(shù)據(jù)輸入錯(cuò)誤、數(shù)據(jù)不完整等問題，支持對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換和加工b)應(yīng)支持將采集的同一類型、不同格式的原始數(shù)據(jù)轉(zhuǎn)換為流一的數(shù)據(jù)格式：c)應(yīng)支持基于資產(chǎn)庫(kù)、威脅信息庫(kù)、地理信息庫(kù)等對(duì)采集的原始數(shù)據(jù)進(jìn)行補(bǔ)全，包括資產(chǎn)類型、關(guān)聯(lián)事件信息、地理位置等d)應(yīng)支持根據(jù)相關(guān)數(shù)據(jù)字段對(duì)采集的原始數(shù)據(jù)進(jìn)行標(biāo)簽化處理，標(biāo)簽內(nèi)容應(yīng)基于分析需求進(jìn)行設(shè)置，包括數(shù)據(jù)重要程度、數(shù)據(jù)來源、區(qū)域、行業(yè)等；6.3數(shù)據(jù)存儲(chǔ)要求本項(xiàng)要求包括：a)應(yīng)支持存儲(chǔ)結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)：YD/TxXXXx—xXXxb)應(yīng)支持存儲(chǔ)采集的流量數(shù)據(jù)、日志數(shù)據(jù)等業(yè)務(wù)數(shù)據(jù)；c)應(yīng)支持存儲(chǔ)采集和處理獲取的原始數(shù)據(jù)、預(yù)處理后的數(shù)據(jù)、告警數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)等；d)應(yīng)支持存儲(chǔ)安全策略數(shù)據(jù)、用戶數(shù)據(jù)、系統(tǒng)日志、操作日志等管理數(shù)據(jù)，以及漏洞信息庫(kù)、威脅情報(bào)庫(kù)等知識(shí)庫(kù)數(shù)據(jù)；e)網(wǎng)絡(luò)威脅日主應(yīng)至少存儲(chǔ)180天，通聯(lián)記錄應(yīng)至少存儲(chǔ)30天，PCAP包應(yīng)至少存儲(chǔ)7天：0應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，進(jìn)行定期備份，或提供多副本備份機(jī)制；備份數(shù)據(jù)應(yīng)與原數(shù)據(jù)具有相同的訪問控制權(quán)限和安全存儲(chǔ)要求。7安全監(jiān)測(cè)分析要求7.1網(wǎng)絡(luò)攻擊分析要求本項(xiàng)要求包括：a)應(yīng)識(shí)別常見的網(wǎng)絡(luò)攻擊行為，至少包括DDoS、Web應(yīng)用攻擊、暴力破解、掃描探測(cè)、漏洞利用攻擊、惡意軟件感染、隱蔽隨道通信等；b)應(yīng)識(shí)別針對(duì)工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊行為，至少包括工業(yè)協(xié)議漏洞攻擊、工業(yè)控制應(yīng)用漏洞攻擊、工業(yè)控制設(shè)備漏洞攻擊等；c)應(yīng)支持網(wǎng)絡(luò)攻擊階段的識(shí)別，至少包括掃描探測(cè)、嘗試攻擊、初步感染、木馬下載、遠(yuǎn)程控制、橫向滲透、行動(dòng)收割；d)應(yīng)支持建立攻擊IP畫像，至少包括攻擊時(shí)間、攻擊來源、攻擊對(duì)象、攻擊方式、攻擊趨勢(shì)、危害程度等；e)應(yīng)支持攻擊行為回溯，按照時(shí)間順序、攻擊來源、攻擊對(duì)象等要素對(duì)網(wǎng)絡(luò)攻擊進(jìn)行關(guān)聯(lián)分析，還原攻擊路徑。7.2資產(chǎn)風(fēng)險(xiǎn)分析要求本項(xiàng)要求包括：a)應(yīng)支持識(shí)別工業(yè)資產(chǎn)類型、型號(hào)、版本、廠商等信息；b)應(yīng)支持判斷工業(yè)互聯(lián)網(wǎng)資產(chǎn)失陷狀態(tài)，評(píng)估資產(chǎn)風(fēng)險(xiǎn)等級(jí)；c)應(yīng)支持建立工業(yè)互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)畫像，包括：資產(chǎn)廠商、型號(hào)、操作系統(tǒng)、固件版本、漏洞隱患、相關(guān)事件信息、威脅等級(jí)，以及資產(chǎn)失陷狀態(tài)。7.3異常行為分析要求本項(xiàng)要求包括：a)應(yīng)支持通過行為基線、關(guān)聯(lián)分析等技術(shù)發(fā)現(xiàn)用戶或?qū)嶓w的異常行為，至少包括登錄異常、高頻訪問、訪問流量超限、數(shù)據(jù)下載異常、可疑域名訪問：b)應(yīng)支持識(shí)別不符合協(xié)議規(guī)約規(guī)定格式的工業(yè)控制協(xié)議報(bào)文，至少包括異常的控制命令、控制點(diǎn)位、控制值。8安全集中管理要求8.1資產(chǎn)信息管理要求本項(xiàng)要求包括：7YD/TxXXXx—xXXx應(yīng)支持資產(chǎn)信息管理，至少包括資產(chǎn)標(biāo)識(shí)、IP類型(包括IPv4和IPy6)、資產(chǎn)IP、MAC地址、產(chǎn)類型、操作系統(tǒng)、生產(chǎn)廠商、發(fā)現(xiàn)時(shí)間、更新時(shí)間等字段：8.2訪問日志管理要求本項(xiàng)要求包括：應(yīng)支持工業(yè)互聯(lián)網(wǎng)相關(guān)協(xié)議的通聯(lián)日志管理，記錄相關(guān)信息，至少包括源IP、源端口、目的IP、目的端口、協(xié)議、訪問開始時(shí)間、訪問結(jié)束時(shí)間、上行包數(shù)量、上行流量大小、下行包數(shù)量、下行流量大小、訪問URL地址等：8.3安全監(jiān)測(cè)管理要求本項(xiàng)要求包括：a)應(yīng)支持漏洞隱患的監(jiān)測(cè)發(fā)現(xiàn)，識(shí)別通用設(shè)備及組件漏洞信息、工業(yè)設(shè)備及系統(tǒng)漏洞信息，至少包括漏洞名稱、漏洞類型、危害等級(jí)、相關(guān)資產(chǎn)漏洞隱患地址(IP、端口或URL)、發(fā)現(xiàn)時(shí)b)應(yīng)支持按照漏洞類型、漏洞名稱、危害等級(jí)、資產(chǎn)IP等字段進(jìn)行資產(chǎn)漏洞信息查詢；c)應(yīng)支持網(wǎng)絡(luò)威脅的監(jiān)測(cè)發(fā)現(xiàn)，識(shí)別針對(duì)企業(yè)資產(chǎn)的網(wǎng)絡(luò)攻擊和其他惡意行為，至少包括源IP、源端口、目的IP、目的端口、協(xié)議、事件類型、威脅等級(jí)、攻擊階段、攻擊方向、發(fā)生時(shí)間、攻擊載荷、規(guī)則名稱、數(shù)據(jù)來源等：d)應(yīng)支持按照事件類型、威脅等級(jí)、攻擊階段、發(fā)現(xiàn)時(shí)間、數(shù)據(jù)來源等字段進(jìn)行網(wǎng)絡(luò)威脅日志e)應(yīng)具備針對(duì)IPv6網(wǎng)絡(luò)流量的安全監(jiān)測(cè)能力8.4安全告警管理要求本項(xiàng)要求包括：a)應(yīng)支持在安全事件或異常行為發(fā)生時(shí)，及時(shí)發(fā)送告警信息：b)應(yīng)支持對(duì)告警策略進(jìn)行分級(jí)，對(duì)不同級(jí)別的安全事件進(jìn)行不同等級(jí)的告警：c)應(yīng)支持告警策略的配置，基于各類安全監(jiān)測(cè)數(shù)據(jù)，對(duì)源IP、目的IP、LRL、規(guī)則名稱、數(shù)據(jù)來源等配置單一參數(shù)或者組合參數(shù)的告警策略；d)應(yīng)具備安全威脅溯源能力，支持對(duì)安全威脅追溯到攻擊路徑、攻擊方式、攻擊時(shí)間等e)應(yīng)至少支持兩種告警方式，告警方式包括平臺(tái)、郵件、即時(shí)通信、短信等。8.5協(xié)同聯(lián)動(dòng)管理要求本項(xiàng)要求包括：a)應(yīng)支持上報(bào)安全事件、威脅情報(bào)、惡意文件、資產(chǎn)等信息。b)應(yīng)提供對(duì)外聯(lián)動(dòng)接口，具備接收監(jiān)管側(cè)系統(tǒng)下發(fā)的指令并執(zhí)行的能力，指令類型包括監(jiān)測(cè)類 (網(wǎng)絡(luò)資源、流量報(bào)文、惡意文件等)、預(yù)警類、處置類、查詢類(歷史監(jiān)測(cè)日志、歷史惡意樣本等)、測(cè)源類；c)應(yīng)具備執(zhí)行完指令后向監(jiān)管側(cè)系統(tǒng)反饋執(zhí)行結(jié)果的能力，反饋命中規(guī)則的會(huì)話信息，至少包括：源IP地址、源端口、目的IP地址、目的端口、URL、指令編號(hào)、發(fā)現(xiàn)時(shí)間等字段信d)應(yīng)支持根據(jù)指令要求留存原始流量PCAP數(shù)據(jù)包，并作為日志附件上報(bào)：8.6態(tài)勢(shì)可視化展示要求本項(xiàng)要求包括：a)應(yīng)支持網(wǎng)絡(luò)攻擊態(tài)勢(shì)的分析和展示，至少包括攻擊方式、攻擊來源、攻擊威脅、攻擊階段、攻擊趨