ICS35.030 CCSL80 21 辽宁省地方标准 DB21/T4011—2024 工业网络安全态势感知技术规范 Technicalspecificationsforindustrialnetworksecuritysituational awareness 2024-09-30发布 2024-10-30实施 辽宁省市场监督管理局发布DB21/T4011—2024 Ⅰ目次 前言.................................................................................III 1范围................................................................................1 2规范性引用文件......................................................................1 3术语和定义..........................................................................1 4缩略语..............................................................................2 5整体架构............................................................................2 6数据准备............................................................................3 6.1数据汇聚........................................................................3 6.2数据分析........................................................................5 6.3资产发现与管理..................................................................5 7态势评估与展示、分析................................................................5 7.1态势评估与展示..................................................................5 7.2态势分析........................................................................7 8态势告警与响应......................................................................8 8.1安全态势告警....................................................................8 8.2事件响应支持....................................................................8 参考文献...............................................................................9DB21/T4011—2024 Ⅲ前  言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由辽宁省工业和信息化厅提出并归口。 本文件起草单位：东北大学、沈阳华睿博信息技术有限公司、辽宁省先进装备制造业基地建设工程 中心、沈阳鼓风机集团股份有限公司、国网辽宁省电力有限公司、中国电子信息产业集团有限公司、中 国电子信息产业集团有限公司第六研究所、辽宁交投艾特斯技术股份有限公司、中国烟草总公司辽宁省 公司、联通(辽宁)产业互联网有限公司、辽宁谛听信息科技有限公司、三六零安全科技股份有限公司、 中国联合网络通信有限公司沈阳市分公司、沈阳绿盟网络安全技术有限公司、北京理工大学、北京圣博 润高新技术股份有限公司、沈阳当先科技有限公司、南京佶合信息科技有限公司、济南大学等。 本文件主要起草人：姚羽、邵华、郭剑峰、陈莹、郝玉明、胡博、周小明、张尼、吴云峰、黄书鹏、 王宇飞、高刚、袁辉、吕生亮、杨道青、金阳、李士炜、梁艳、李冬妮、李小川、赵秀峰、李昊、杨巍、 纪科、陈贞翔、袁冬冰等。 本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门通信地址：辽宁省沈阳市皇姑区北陵大街45-2号 归口管理部门联系电话：024-86913384 文件起草单位通信地址：辽宁省沈阳市和平区文化路三巷11号 文件起草单位联系电话：024-83687392DB21/T4011—2024 1工业网络安全态势感知技术规范 1范围 本文件规定了工业网络安全态势感知的整体架构，以及数据准备，态势评估与展示、分析，态势告 警与响应的技术要求。 本文件适用于安全测评服务机构、工业网络安全态势感知产品厂商、工业网络运营使用单位及主管 部门组织工业网络安全态势感知的设计、开发、建设、检测、部署和维护工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T20985.1-2017信息技术安全技术信息安全事件管理第1部分:事件管理原理 GB/T20986-2023信息安全技术网络安全事件分类分级指南 GB/T22239-2019信息安全技术网络安全等级保护基本要求 GB/T25069-2022信息安全技术术语 GB/T30279-2020信息安全技术网络安全漏洞分类分级指南 GB/T37988-2019信息安全技术数据安全能力成熟度模型 GB/T42453-2023信息安全技术网络安全态势感知通用技术要求 3术语和定义 以下术语和定义适用于本文件。 3.1 网络安全态势感知networksecuritysituationawareness 通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息等数据,分析和处理网络行 为及用户行为等因素,掌握网络安全状态,预测网络安全趋势,并进行展示和监测预警的活动。 [来源：GB/T42453-2023] 3.2 威胁threat 可能对系统或组织造成危害的不期望事件的潜在因素。 [来源：GB/T25069-2022,3.628] 3.3 预警warning 针对即将或正在发生的网络安全事件或威胁，提前或及时发出的警示。 [来源：GB/T25069-2022,3.739]DB21/T4011—2024 24缩略语 下列缩略语适用于本文件： APP：应用程序（Application） Bacnet:楼宇自动化与控制网络（BuildingAutomationandControlnetworks） DCS:分布式控制系统（DistributedControlSystem） DDoS:分布式拒绝服务攻击(DistributedDenialofService) DNP3:分布式网络协议3（DistributedNetworkProtocol3） IEC:国际电工委员会（InternationalElectrotechnicalCommission） IED:智能电子设备（IntelligentElectronicDevice） IM:即时通讯(InstantMessaging） IP:互联网协议(InternetProtocol) JDBC:Java数据库连接（JavaDatabaseConnectivity） ODBC:开放数据库连接（OpenDatabaseConnectivity） OPCDA:用于过程控制的的OLE数据访问(OLEforProcessControlDataAccess) OPCUA:用于过程控制的OLE统一体系架构(OLEforProcessControlUnifiedArchitecture) PLC:可编程逻辑控制器（ProgrammableLogicController） RTU:远程终端单元（RemoteTerminalUnit） 5整体架构 工业网络安全态势感知系统框架主要包括数据准备，态势评估与展示、分析，态势告警与响应。数 据准备包括数据汇聚、数据分析、资产发现与管理，其中，数据汇聚包括数据采集、数据预处理、数据 存储、数据传输、数据共享；资产发现与管理包括资产发现、资产管理；态势评估与展示、分析包括态 势评估与展示、态势分析，其中，态势评估与展示包括资产态势评估、横向威胁态势评估、脆弱性态势 评估、安全事件态势评估、行为态势评估、态势展示；态势分析包括公网侧态势分析、企业侧态势分析； 态势告警与响应包括安全态势告警、事件响应支持。工业网络安全态势