标准规范下载简介
GB/T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.pdf简介:
GB/T 42453-2023,全称为《信息安全技术 网络安全态势感知通用技术要求》,是中国国家标准中关于网络安全态势感知方面的一项技术规范。该标准旨在为网络安全态势感知系统的开发、实施和管理提供指南,以帮助组织更好地理解和管理其网络环境的安全状况。
网络安全态势感知是一种技术手段,通过监控网络流量、行为、配置和资产等信息,实时分析和预测可能存在的安全威胁,以便及时发现并采取措施防止或应对安全事件。该标准涵盖了以下几个方面:
1. 定义和术语:对网络安全态势感知的定义、关键术语和相关技术进行了明确。 2. 系统架构:提出了一般性的网络安全态势感知系统架构,包括数据采集、数据处理、威胁检测和报警、态势分析等功能模块。 3. 技术要求:详细规定了系统应具备的功能,如实时监控、威胁识别、风险评估、安全事件响应等,并对数据安全、隐私保护等方面提出要求。 4. 实施指南:给出了如何根据组织需求选择和配置态势感知系统的建议,以及如何进行系统的集成、测试和维护。
总的来说,GB/T 42453-2023为网络安全态势感知的实施提供了统一的技术标准,有助于提升网络安全管理的效率和效果。
GB/T 42453-2023 信息安全技术 网络安全态势感知通用技术要求.pdf部分内容预览:
GB/T 42453—2023
网络安全态势感知技术框架
6.1.1.1采集方式
对于不同的前端数据源,数据汇聚组件应支持以下采集方式: Aa) 被动接收前端数据源发送的数据; b) 主动发起获取前端数据源的数据,支持对数据采集频率进行设置; ? 手动导人前端数据源的数据
GB/T 40721-2021标准下载6.1.1.2采集协议
图1 网络安全态势感知技术框架
数据汇聚组件应根据应用场景支持两种或两种以上的采集协议进行数据采集,采集协议包括但不 限于Syslog、FTP/FTPS、SFTP、HTTP/HTTPS、SSH、SNMP等
数据汇聚组件应根据应用场景支持两种或两种以上的采集协议进行数据采集,采集协议包括但不 限于Syslog、FTP/FTPS、SFTP、HTTP/HTTPS、SSH、SNMP等
6.1.1.3采集内容
数据汇聚组件: Ea) 1 应支持基于采集策略采集不同类型的数据,数据类型包括网络流量、资产信息、日志、漏洞信 息、用户行为、告警信息、威胁信息等; b)应支持根据应用场景自定义采集的数据类型; ?) 应支持采用校验技术或密码技术确保从前端数据源采集数据的完整性。
6.1.2.1数据筛选
数据汇聚组件应支持基于数据预处理规则对采集的原始数据进行筛选,如去除必填字段为空的数 据、去除重要字段为空的数据、去除数据格式错误的数据、去除重复的数据等
6.1.2.2数据转换
6.1.2.4数据标记
数据汇聚组件应支持根据相关数据字段对采集的原始数据进行标记,标记内容应基于分析需求 设置,如数据可信度、数据来源等
6.1.3.1数据格式
数据汇聚组件应支持存储结构化、半结构化和非结构化的数据
6.1.3.2存储内容
6.2.1网络攻击分析
数据分析组件: a) 应支持识别不同类别的网络攻击,网络攻击类别包括但不限于漏洞利用攻击、拒绝服务攻击 Web应用攻击、数据窃取攻击、恶意邮件攻击、恶意代码攻击等; b)应支持基于特征匹配、关联分析、数据挖掘、机器学习等技术进行网络攻击分析; c)月 应支持基于威胁信息等进行网络攻击分析; d) 应支持通过分析得到网络攻击属性,包括攻击时间、攻击来源、攻击对象、攻击结果、攻击方式 分布情况、攻击频次、影响范围、危害程度等; e) 应支持从攻击对象或攻击方视角对网络攻击行为进行分析,还原攻击路径; f 1 应支持建立攻击方画像; g)1 宜支持结合内外部的分析能力预测潜在的网络攻击,
6.2.2资产风险分析
数据分析组件: a) 应支持结合资产类型、资产位置、资产重要程度、资产脆弱性、资产是否失陷及威胁信息等分析 资产风险,评估资产风险等级; b)应支持建立资产画像; c)宜支持结合内外部的分析能力预测潜在的资产风险
6.2.3异常行为分析
数据分析组件: a) 应支持发现用户或实体的异常行为,异常行为包括但不限于登录异常、访问异常、操作异常、数 据下载异常、可疑域名访问等; b)应支持基于行为基线、关联分析、数据挖掘、机器学习等技术进行异常行为分析; c) )应支持建立用户行为画像,包括用户个体行为画像和群体行为画像; d)宜支持基于历史数据学习预测用户或实体潜在的异常行为。
6.3.1整体态势展示
态势展示组件: Ea) 应支持对网络的整体安全状况用分值或等级等方式进行评估和展示; b 应支持对不同行业、不同区域、不同业务单元或不同资产等的局部网络安全状况采用分值重 级等方式进行评估和展示:
c)应支持对不同时间段的整体网络安全状况进行评估和展示; d)应支持采用多种视图展示整体安全态势,展示视图至少包括以下中的两种:雷达图、地理信息 图、关联关系图、威胁路径图、趋势图、同/环比图等; e) 13力 应支持分角色展示,即针对不同角色用户展示不同内容; f) 应支持展示整体网络安全状况的变化趋势,如分值或等级的变化等; g)应支持根据应用场景进行不同类型专题态势的评估和展示
6.3.2.1资产态势
态势展示组件: a) 应支持以图表方式展示当前资产的类型和数量; b) 1M 应支持展示资产名称、资产类型、重要程度、IP地址、开放端口、联网状态等; C) 2 应支持对资产的安全状况进行评估和展示,包括具体资产的风险等级及资产的安全状况描述: d) )应支持展示资产安全状况的变化趋势,如资产风险等级的变化、联网状态的变化等
6.3.2.2流量态势
态势展示组件: a)应支持对流量数据基于协议、时间、源IP地址、目的IP地址、前端数据源等进行统计和展示; b)月 应支持统计和展示的范围至少包括互联网流量、特定用户流量及特定资产流量等; c)应支持展示流量的变化趋势,如互联网流量大小的变化、前端数据源流量大小的变化等
6.3.2.3运行态势
态势展示组件: a) 1 应支持对资产的资源(如CPU、内存、网络)使用情况进行统计和展示; b) 应支持统计和展示的范围至少包括重要资产、运行异常资产等; C) 应支持展示资产的资源使用情况的变化趋势,如资产CPU/内存/网络使用情况的变化、运行 异常资产的数量变化等
6.3.2.4脆弱性态势
态势展示组件: a) 应支持展示网络中存在的漏洞、弱口令、不安全配置等脆弱性; bD) 1 应支持展示存在漏洞的资产、漏洞的类型分布、漏洞的级别分布等; ) 应支持基于资产信息统计和展示脆弱性分析结果,包括漏洞资产总数、弱口令资产数、不安全 配置资产数及详情等; D 应支持展示资产脆弱性的变化趋势,如资产中高风险漏洞数量的变化、弱口令资产数的变 化等。
6.3.2.5攻击态势
态势展示组件: A 应支持实时获取并展示当前网络的受攻击情况,包括攻击时间、攻击源IP地址、目的IP地加 攻击方式、攻击路径等:
b)应支持统计和展示攻击方式分布、攻击时间段、攻击来源分布等; ?) 1 应支持展示当前网络受攻击情况的变化趋势,如攻击时间段的变化、攻击来源分布的变化等。
6.3.2.6异常行为态势
态势展示组件: a)应支持展示偏离用户行为基线的用户异常行为,如违规或越权访问网络或服务、非授权下载数 据等; b)应支持展示偏离实体访问基线的实体异常行为,实体包括主机操作系统、网络设备、安全设备、 数据库、中间件、应用系统等; c)月 应支持展示的内容包括用户或实体信息、异常行为对象、异常行为类型、异常行为发生时间、异 常行为描述等; d)应支持展示用户或实体异常行为的变化趋势,如异常行为类型的变化、异常行为发生时间的变 化等
6.3.3.1数据查询
态势展示组件: a) 应支持对态势相关数据进行查询; b) 应支持基于时间或其他数据字段进行组合查询: C) 应支持对查询结果根据字段进行排序
6.3.3.2统计报表
态势展示组件: a) 应支持根据数据分析、态势评估的结果生成统计报表并导出; b) 应支持基于指定时间段生成统计报表或生成周期性报表; C 应支持自定义设置统计视图和报表模板,采用多种视图生成统计报表
6.3.3.3分析报告
态势展示组件: Aa) 应支持根据数据分析结果生成整体网络安全状况分析报告并导出; b)月 应支持根据数据分析结果生成不同区域、不同业务单元等的局部网络安全状况分析报告并 导出; C 1 应支持根据数据分析结果提供对策或修复建议; d)应支持基于指定时间段产生分析报告或生成周期性分析报告;
态势展示组件: 2 1 应支持根据数据分析结果生成整体网络安全状况分析报告并导出; b)月 应支持根据数据分析结果生成不同区域、不同业务单元等的局部网络安全状况分析报合 导出; C) 1 应支持根据数据分析结果提供对策或修复建议; d)应支持基于指定时间段产生分析报告或生成周期性分析报告:
6.5.1数据交换接口
6.5.2数据分析接口
数据服务接口组件: a) 宜支持为内部不同模块及其他外部系统通过接口进行数据分析; b)宜支持基于数据分析接口实现算术计算、逻辑关系计算、关联计算等分析能力GBT 36140-2018标准下载,
6.5.3联动处置接口
数据服务接口组件: a) 宜支持为内部不同模块及其他外部系统通过接口进行联动处置; 宜支持通过接口进行防护策略的更新、扫描策略的下发等操作。
系统管理组件应为授权管理员提供策略管理的功能,支持策略的集中管理和自定义设置,包括采集 策略、监测策略和预警规则等
6.6.2预处理规则管理
DB61/T 5019-2022 城镇暗涵三维激光扫描测绘规程.pdf6.6.3分析模型管理
系统管理组件宜为授权管理员提供数据分析模型的管理,包括新增、删除、修改数据分析模型等