标准规范下载简介
GB/T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.pdf本文件按照GB/个1.1一2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:公安部第三研究所、北京锐安科技有限公司、国家信息技术安全研究中心、北京天 融信网络安全技术有限公司、中国信息安全测评中心、北京奇虎科技有限公司、新华三技术有限公司、奇 安信科技集团股份有限公司、启明星辰信息技术集团股份有限公司、长扬科技(北京)股份有限公司、北 京神州绿盟科技有限公司、深信服科技股份有限公司、中国科学院信息工程研究所、北京山石网科信息 技术有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、腾讯云计算(北京)有限责任公司 上海工业自动化仪表研究院有限公司、杭州迪普科技股份有限公司、中电长城网际系统应用有限公司, 西安交大捷普网络科技有限公司、杭州中电安科现代科技有限公司、陕西省网络与信息安全测评中心、 中国民航大学、中科国昱(合肥)科技有限公司、北京威努特技术有限公司、远江盛邦(北京)网络安全科 技股份有限公司。 本文件主要起草人:陈妍、李京春、顾健、李雪莹、李斌、张屹、万晓兰、李军华、吕明、汪义舟、陶智、 刘晨、万月亮、刘玉岭、张永皓、孙默、张华涛、聂桂兵、陶夏激、刘慧芳、王涛、刘鹏、杨帆、何建锋、苗维杰、 查正朋、周量贤
信息安全技术 网络安全态势感知通用技术要求
本文件给出了网络安全态势感知技术框架,规定了该框架中核心组件的通用技术要求。 本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评
GB/T 42453—2023
南充市西河顺庆段清淤工程施工施工组织设计网络安全态势感知技术框架
6.1.1.1采集方式
对于不同的前端数据源,数据汇聚组件应支持以下采集方式: Aa) 被动接收前端数据源发送的数据; b) 主动发起获取前端数据源的数据,支持对数据采集频率进行设置; ? 手动导人前端数据源的数据
6.1.1.2采集协议
图1 网络安全态势感知技术框架
数据汇聚组件应根据应用场景支持两种或两种以上的采集协议进行数据采集,采集协议包括但不 限于Syslog、FTP/FTPS、SFTP、HTTP/HTTPS、SSH、SNMP等
数据汇聚组件应根据应用场景支持两种或两种以上的采集协议进行数据采集,采集协议包括但不 限于Syslog、FTP/FTPS、SFTP、HTTP/HTTPS、SSH、SNMP等
6.1.1.3采集内容
数据汇聚组件: Ea) 1 应支持基于采集策略采集不同类型的数据,数据类型包括网络流量、资产信息、日志、漏洞信 息、用户行为、告警信息、威胁信息等; b)应支持根据应用场景自定义采集的数据类型; ?) 应支持采用校验技术或密码技术确保从前端数据源采集数据的完整性。
6.1.2.1数据筛选
数据汇聚组件应支持基于数据预处理规则对采集的原始数据进行筛选,如去除必填字段为空的数 据、去除重要字段为空的数据、去除数据格式错误的数据、去除重复的数据等
6.1.2.2数据转换
6.1.2.4数据标记
数据汇聚组件应支持根据相关数据字段对采集的原始数据进行标记,标记内容应基于分析需求 设置,如数据可信度、数据来源等
6.1.3.1数据格式
数据汇聚组件应支持存储结构化、半结构化和非结构化的数据
6.1.3.2存储内容
6.2.1网络攻击分析
数据分析组件: a) 应支持识别不同类别的网络攻击,网络攻击类别包括但不限于漏洞利用攻击、拒绝服务攻击 Web应用攻击、数据窃取攻击、恶意邮件攻击、恶意代码攻击等; b)应支持基于特征匹配、关联分析、数据挖掘、机器学习等技术进行网络攻击分析; c)月 应支持基于威胁信息等进行网络攻击分析; d) 应支持通过分析得到网络攻击属性,包括攻击时间、攻击来源、攻击对象、攻击结果、攻击方式 分布情况、攻击频次、影响范围、危害程度等; e) 应支持从攻击对象或攻击方视角对网络攻击行为进行分析,还原攻击路径; f 1 应支持建立攻击方画像; g)1 宜支持结合内外部的分析能力预测潜在的网络攻击,
6.2.2资产风险分析
数据分析组件: a) 应支持结合资产类型、资产位置、资产重要程度、资产脆弱性、资产是否失陷及威胁信息等分析 资产风险,评估资产风险等级; b)应支持建立资产画像; c)宜支持结合内外部的分析能力预测潜在的资产风险
6.2.3异常行为分析
数据分析组件: a) 应支持发现用户或实体的异常行为,异常行为包括但不限于登录异常、访问异常、操作异常、数 据下载异常、可疑域名访问等; b)应支持基于行为基线、关联分析、数据挖掘、机器学习等技术进行异常行为分析; c) )应支持建立用户行为画像,包括用户个体行为画像和群体行为画像; d)宜支持基于历史数据学习预测用户或实体潜在的异常行为。
6.3.1整体态势展示
态势展示组件: Ea) 应支持对网络的整体安全状况用分值或等级等方式进行评估和展示; b 应支持对不同行业、不同区域、不同业务单元或不同资产等的局部网络安全状况采用分值重 级等方式进行评估和展示:
c)应支持对不同时间段的整体网络安全状况进行评估和展示; d)应支持采用多种视图展示整体安全态势,展示视图至少包括以下中的两种:雷达图、地理信息 图、关联关系图、威胁路径图、趋势图、同/环比图等; e) 13力 应支持分角色展示,即针对不同角色用户展示不同内容; f) 应支持展示整体网络安全状况的变化趋势,如分值或等级的变化等; g)应支持根据应用场景进行不同类型专题态势的评估和展示
6.3.2.1资产态势
态势展示组件: a) 应支持以图表方式展示当前资产的类型和数量; b) 1M 应支持展示资产名称、资产类型、重要程度、IP地址、开放端口、联网状态等; C) 2 应支持对资产的安全状况进行评估和展示,包括具体资产的风险等级及资产的安全状况描述: d) )应支持展示资产安全状况的变化趋势,如资产风险等级的变化、联网状态的变化等
6.3.2.2流量态势
态势展示组件: a)应支持对流量数据基于协议、时间、源IP地址、目的IP地址、前端数据源等进行统计和展示; b)月 应支持统计和展示的范围至少包括互联网流量、特定用户流量及特定资产流量等; c)应支持展示流量的变化趋势,如互联网流量大小的变化、前端数据源流量大小的变化等
6.3.2.3运行态势
态势展示组件: a) 1 应支持对资产的资源(如CPU、内存、网络)使用情况进行统计和展示; b) 应支持统计和展示的范围至少包括重要资产、运行异常资产等; C) 应支持展示资产的资源使用情况的变化趋势,如资产CPU/内存/网络使用情况的变化、运行 异常资产的数量变化等
6.3.2.4脆弱性态势
态势展示组件: a) 应支持展示网络中存在的漏洞、弱口令、不安全配置等脆弱性; bD) 1 应支持展示存在漏洞的资产、漏洞的类型分布、漏洞的级别分布等; ) 应支持基于资产信息统计和展示脆弱性分析结果,包括漏洞资产总数、弱口令资产数、不安全 配置资产数及详情等; D 应支持展示资产脆弱性的变化趋势,如资产中高风险漏洞数量的变化、弱口令资产数的变 化等。
6.3.2.5攻击态势
态势展示组件: A 应支持实时获取并展示当前网络的受攻击情况2020年安徽建筑施工企业分析报告.pdf,包括攻击时间、攻击源IP地址、目的IP地加 攻击方式、攻击路径等:
b)应支持统计和展示攻击方式分布、攻击时间段、攻击来源分布等; ?) 1 应支持展示当前网络受攻击情况的变化趋势,如攻击时间段的变化、攻击来源分布的变化等。
6.3.2.6异常行为态势
态势展示组件: a)应支持展示偏离用户行为基线的用户异常行为,如违规或越权访问网络或服务、非授权下载数 据等; b)应支持展示偏离实体访问基线的实体异常行为,实体包括主机操作系统、网络设备、安全设备、 数据库、中间件、应用系统等; c)月 应支持展示的内容包括用户或实体信息、异常行为对象、异常行为类型、异常行为发生时间、异 常行为描述等; d)应支持展示用户或实体异常行为的变化趋势,如异常行为类型的变化、异常行为发生时间的变 化等
6.3.3.1数据查询
态势展示组件: a) 应支持对态势相关数据进行查询; b) 应支持基于时间或其他数据字段进行组合查询: C) 应支持对查询结果根据字段进行排序
6.3.3.2统计报表
态势展示组件: a) 应支持根据数据分析、态势评估的结果生成统计报表并导出; b) 应支持基于指定时间段生成统计报表或生成周期性报表; C 应支持自定义设置统计视图和报表模板,采用多种视图生成统计报表
新建杭州至长沙铁路客运专线(浙江段)指导性施工组织设计6.3.3.3分析报告