军黯整经噩噩噩 工网安函 (2019 J 1494 号 关于印发基础电信企业资产安全管理平台和 网络安全态势感知平台建设指甫的的 中国电信集团有限公司、中国移动通信集团有限公司、中国联 合网络通信集团有限公司: 按照 ((2019 年省级基础电信企业网络与信息安全工作考核 要点与评分标准)) (工信厅网安函 (2019J 95 号)有关要求， 基础电信企业应完成资产安全管理平台和网络安全态势感知 平台的立项。为指导与规范相关平台立项建设，在征求相关单 位意见的基础上?我局组织编制了《基础电信企业资产安全管 理平台建设指南(试行)))和《基础电信企业网络安全态势感 知平台建设指南(试行))) ，请参照执行。 附件:1.基础电信企业资产安全管理平台建设指南(试行) 2. 基础电信企业网络安全态势感知平台建设指南 (试行) 抄送:各干' 111111111111111111111111111111111 附件 1 基础电信企业资产安全管理平台 建设指南(试行) 资产安全管理平台对于 IP 化软硬件资产提供安全管理， 其管理范围包括但不限于网络产品、安全产品、物联网设备、 办公外设、企业应用、系统软件、支撑系统(详细分类见附录)。 基础电信企业在建设资产安全管理平台时，可优先对己纳入 4A 系统的资产进行管理?在此基础上?通过迭代升级的方式，逐 步扩展资产范围。 为提升基础电信企业资产管理的安全性并建立对资产的 安全保障，制定本指南。本指南可应用于资产安全管理平台的 设计、开发及考核。 一、资产安全管理平台概述 资产安全管理平台主要由资产数据采集层、资产数据存储 层、资产数据分析层、资产数据展示层、平台安全管理层和平 台接口层组成，如图 1 所示: 资产数据采集层。资产数据采集层实现资产指纹数据的采 集功能，构建包括设备与系统归属关系、 IP 地址、操作系统、 端口、服务、应用、漏洞和基线配置脆弱性、物理位置(机房、 机架等)、在安全域中的逻辑部署位置等多维度的资产信息指 纹库。资产指纹数据是用于描述资产特征的一组属性信息集合， 如设备类型、设备厂商、系统信息、端口信息、服务信息、中 2 问件信息、程序应用框架信息、应用软件信息等。 童音严撒摇摆示 童音严酷揭 露是暴露罢 音量严重直播古董事? 资产臆弱性分析 童音严重费据静髓 资严数据 替髓居室 平品由蛐鹏因 异常资产分析 平食费盒窜噩 童音严擞醋 盖章替于E罢 采集任务记录存储 费用噩噩戴攫聚集 图 1 资产安全管理平台 资产数据存储层。资产数据存储层实现资产数据的存储功 能，对采集的原始数据?分析结果数据?采集任务记录等数据 存储。 资产数据分析层。资产数据分析层实现资产指纹数据的分 析功能?能够结合漏洞、攻击方式等威胁信息?实现新增、变 更、下线或者岩机等异常资产发现?漏洞影响资产范围精确评 估，资产异常和安全告警功能?资产风险计算、排序并维护资 产当前风险状态。 资产数据展示层。资产数据展示层实现资产安全管理的全 面可视化展示能力。 平台安全管理层。平台安全管理层实现安全管理能力?保 3 障平台安全运行。 平台接口层。平台接口层实现数据开放共享的能力。 工、平台功能要求 (一)资产信息采集层 1.采集方式 支持通过远程扫描、 WEB 爬虫、网络流量分析、日志分析 中的一种或多种方式对互联网暴露面资产指纹信息进行采集。 支持通过登录资产方式或在资产上安装 Agent 代理方式中的一 种或多种对内部在网资产指纹信息进行采集。 支持通过接口、手动录入、批量导入等方式添加资产、资 产指纹信息及资产漏洞信息等。 2. 采集策略配置 被采集资产指纹数据应可配置化?可自定义资产指纹数据 包含的信息?并支持以定制时间任务的方式发现在网资产，对 资产进行指纹信息采集，任务类型至少包括单次型和周期型。 〈二)资产数据存储层 支持对资产的历史指纹信息以及采集过程信息进行存储 和管理。具备存储数据的安全防护措施?可对数据的读写进行 分级分权。具备定期备份、故障恢复机制。 〈二〉资产数据分析层 1.资产信息识别分析 支持对资产的设备类型、设备厂商以及资产指纹信息进行 识别分析。 4 ( 1 )设备类型包括但不限于:主机服务器、防火墙、路 由器、交换机。 ( 2 )资产指纹信息包括但不限于:操作系统及其版本信 息、端口信息、服务信息、中间件及其版本信息、程序应用框 架及其版本信息、应用软件及其版本信息。 2. 异常资产分析 支持异常资产检测能力(例如可检测新出现的未知资产、 IP 和资产指纹信息与历史数据发生重大变化的资产以及无法 再次发现的资产)。异常资产的判定规则可以根据企业管理实 际要求自定义?建议根据但不限于以下一种或多种:端口、协 议、操作系统、资产组件、 MAC 地址、 IP 地址等。 支持异常资产的白名单制度?对加入白名单的异常资产不 再发起预警。 3. 资产脆弱性分析 支持对特定的漏洞威胁信息与资产指纹信息进行关联分 析，确定漏洞影响范围。支持基于资产赋值、脆弱性、威胁等 参数的安全风险分析?并输出分析结果。支持自助发布针对特 定漏洞的检测脚本并对资产进行检测。 4. 资产安全告警 具备对异常资产分析结果、资产脆弱性分析结果、特定漏 洞的资产影响范围进行告警的能力。并可同步告警信息至各类 网络安全监控、安全告警等系统。 支持自定义告警规则?包括告警指标、指标阀值、告警对 5 象、告警周期等。支持短信、邮件、系统消息、工单方式中的 至少一种告警方式。 (四〉资产数据展示层 L 资产数据多维度展示方式 支持以多维度的视图展示资产信息内容?包括但不限于资 产总量、分类统计数量、资产问题分析概况及其同比和环比、 资产漏洞告警 TOPI0 及其影响资产情况、资产动态拓扑图等。 支持展示资产的历史指纹信息内容和脆弱性历史记录。能 以时间轴方式展示资产生命周期内的指纹信息变化?包括但不 限于操作系统、中间件及其版本的新增与变更 9 对外开放端口 与服务的新增与变更。 2. 资产数据检索 支持对资产及资产指纹信息、脆弱性信息等进行全文检索? 并能够按照设备类型、厂商、漏洞等信息进行搜索?在检索结 果中能够关联资产的历史风险问题。 王飞接口要求 〈一)接口安全要求 应支持接口认证功能?对接口的连接进行有效性验证。接 口应加密传送消息，对接口内容进行安全保护。 〈二)接口技术要求 接口技术应支持 WEBSERVICE 、 REST 等技术，内容格式应 支持 JSON 、 XML 等格式。 〈二三)资产数据开放层 6 支持推送和读取上级资产管理平台或者内部的其它系统 的资产、资产指纹信息、资产关联的历史问题信息等数据。也 可接收其它平台的数据推送 9 对资产数据进行更新?并进行日 志记录。支持以全量或增量的方式同步资产数据。 接口功能有权限限制?只允许接口可以同步或推送权限范 围内数据。 四飞平台安全管理要求 〈一)用户析、识 1 。属性定义 平台为每个管理员规定与之相关的安全属性?包括:管理 角色标识、鉴别信息、隶属组、权限等。 2 。属性初始化 平台提供使用默认值对创建的每个管理角色的属性进行 初始化的能力。 3 。唯一性标识 平台保证任何用户都具备唯一的标识?用户标识与产品自 身审计相关联 7 并在产品的生命周期内唯一。 (二)数据安全 具备数据安全管控机制?涵盖数据的创建、存储、使用、 共享、归档、销毁数据全生命周期环节?涉及通过网络协议、 接口、维护终端等多种途径进行数据访问、传输?保证在这些 途径上的数据保密性、安全性和完整性。 (二二〉身份鉴别 7 1.鉴别数据初始化 应根据规定的鉴别机制，提供授权管理员鉴别数据的初始 化功能?并确保仅允许授权管理员使用这些功能。 2. 鉴别失败处理 当管理员鉴别尝试失败连续达到指定次数后?平台应阻止 管理员进一步的鉴别请求?并将有关信息生成审计事件。失败 次数上限仅由授权管理员设定。 当连续多次鉴别失败?平台应支持并根据配置的锁定策略? 对当前操作 IP 锁定，并提供解锁功能。 3 。鉴别数据保护 平台应使用力口密和校验技术保护鉴别数据在传输和存储 过程中不被未授权的查阅和修改。 〈四〉安全审计 1 。审计数据生成 应对下列可审计事件生成审计记录: ( 1 )所有鉴别机制的使用?包括平台用户的登录和注销 日志; ( 2 )访问资源的行为，包括平台安全策略变更的操作日 志?对平台用户角色进行增加、删除和属性修改的操作; ( 3 )资产数据的采集任务创建、执行、查看?属性信息 字段的增删改查?记录项的变更等操作; ( 4 )对于每一个审计记录应至少记录以下信息:事件发 生的日期和时间，事件的类型?主体身份和成功或失败事件。 8 2 。审计记录管理 授权管理员可进行创建、存档、删除和清空审计记录操作。 3. 可理解格式 存储于永久性审计记录中的所有审计数据可为操作人所 理解。 4. 限制审计记录访问 除了具有明确访问权限的授权管理员之外当平台应禁止其 他用户对审计日志的访问。 (五)远程管理 如果平台支持远程管理?应能通过加密的方式来保护远程 管理会话内容不被非授权获取。 9 附录:网络资产分类表 根据 G B / T 364 75- 2 018 ((软件产品分类》和中央政府采购 网信息产品分类目录?给出如下网络资产分类表。 总分类 子分类 服务器 路由器 网络产品 交换机 无线网络 网络存储 网络安全 终端安全 应用安全 安全产品 数据安全 身份与访问控制 安全管理 物联网设备 视频监控 语音视频 打印机 办公外设 复印机 企业资源计划系统 (ERP) 企业应用 办公自动化系统 (OA) 财务管理系统 (FMS) 10 人力资源管理系统 (HRM) 客户关系管理系统 (CRM) 供应链管理系统 (SCM) 项目管理系统( PM) 电子邮件系统 系统软件 操作系统 数据库系统 脚本语言 开发框架 中间件 支撑系统 虚拟化 大数据处理 人工智能 11 附件 2 基酣电信企业两路安全态势感知平台 设指南〈试行) 网络安全态势感知平台对资产数据、脆弱性数据、安全告 警数据、流量数据等进行信息收集?通过统计分析、数据挖掘、 深度关联分析等方法?对网络安全要素进行全面的态势感知和 告警。网络安全态势感知平台可提升应对安全风险的能力?为 保障基础电信企业网络安全?制定本指南。 本指南可应用于网络安全态势感知平台的设计、开发及考 核。 一飞数据采集要求 〈一〉收集方式 对于不同类型的数据?应支持主动或被动收集方式?并支 持配置规则对