tc260 网络安全态势感知技术标准化白皮书 2020 在线下载,免费下载

网络安全态势感知技术标准化白皮书 2020年版 m o b u h t i g 全国信息安全标准化技术委员会信息安全评估标准工作组 2020年11月 c . 5 2020 网络安全态势感知技术标准化白皮书全国信息安全标准化技术委员会信息安全评估标准工作组组长：李京春副组长：顾健、李斌、李嵩秘书：李健、刘楠编写单位公安部第三研究所北京天融信网络安全技术有限公司新华三技术有限公司中国电子技术标准化研究院北京神州绿盟科技有限公司中国科学院信息工程研究所上海观安信息技术股份有限公司工业信息安全创新中心有限公司三六零科技集团有限公司中移动信息技术有限公司中国信息安全测评中心国家信息中心中国民航大学中国南方电网有限责任公司北京锐安科技有限公司北京威努特技术有限公司编写人员陈妍李京春李斌刘玉岭叶晓虎陆臻吴天昊张文科谢江李健刘星材李宁 h t i g c . 5 龑顾健上官晓丽刘贤刚王孙彦郭旭陈宇耀万张屹李旋周景贤刘慧芳吴槟郑新华版权声明：如需转载或引用，请注明出处 1 b u m o 可孙松儿杨洪起杨璐网络安全态势感知技术标准化白皮书 2020 前言 PREFACE 网络安全态势感知平台作为网络安全的实时守护者，是实现“全天候全方位感知网络安全态势”的主要手段。为了更好地引导网络安全态势感知技术标准化工作的有序开展，全国信息安全标准化技术委员会（TC260）信息安全评估标准工作组（WG5 工作组）集众多成员单位之合力，由公安部第三研究所牵头，联合业界的主流安全厂商、典型行业用户、科研院所一起努力，最终形成本版白皮书。此外，为了更好地帮助不同行业的用户了解行业内的网络安全风险、网络安全态势感知系统的建设需求和标准需求等，由具有该行业实践经验的参编单位提供了“附 m o 录 A 行业案例”，用于给网络安全态势感知相关的研发、生产、建设和部署单位提供参考，这是参编单位的实践结果，不代表本白皮书的立场。附录 B 给出了网络安全态势感知相关的已发布及在研标准。全书组织如下： b u 第 1 章介绍了本白皮书的背景。 h t i g c . 5 第 2 章介绍了网络安全态势感知的典型模型，并给出了系统架构。第 3 章分析了网络安全态势感知的标准化需求以及国内外标准化现状。第 4 章以问题导向为原则，给出了网络安全态势感知的标准架构并对架构中的各组成部分进行描述。第 5 章以前面各章为依据，给出了网络安全态势感知标准化工作建议。附录 A 介绍了政务行业、网络运营服务行业及汽车行业的网络安全态势感知案例，主要分为网络安全风险分析、建设需求分析、标准现状与需求分析三部分。附录 B 给出与网络安全态势感知相关的已发布及在研标准列表。参考资料部分列出了本白皮书编写过程中参考的相关资料。由于编制时间仓促，编制组水平有限，错误疏漏在所难免，针对此版白皮书如有任何意见或建议，敬请联系 chenyan@mctc. org.cn。 2 2020 网络安全态势感知技术标准化白皮书目录 CONTENTS 前言 2 第一章背景 5 第二章网络安全态势感知技术框架 8 ● 典型模型 ● 系统架构 m o 8 - 前端数据源 - 核心态势感知 b u - 影响态势感知的要素第三章网络安全态势感知标准化需求和现状 ● 标准化需求 ● 标准化现状 - 国外标准 - 国内标准 ti h g 第四章网络安全态势感知标准架构 c . 5 11 12 12 13 14 14 14 14 16 19 ● 基本原则 19 ● 总体架构 20 ● 组成部分 22 - 总体框架标准 22 - 前端数据源类标准 22 - 数据标准 23 - 应用标准 24 - 数据共享标准 25 - 业务支撑标准 26 3 网络安全态势感知技术标准化白皮书 2020 第五章网络安全态势感知标准化工作建议 28 ● 统筹规划网络安全态势感知标准 28 ● 加快开展亟需标准的制定进程 28 ● 积极推进态势感知标准的应用 28 m o 附录 A：行业案例 ● 29 政务行业 - 网络安全风险现状 - 建设需求分析 b u - 标准现状与需求分析 ● 网络运营服务行业 ti h - 网络安全风险现状 - 建设需求分析 - 标准现状与需求分析 ● 汽车行业 - 网络安全风险现状 - 建设需求分析 g - 标准现状与需求分析 c . 5 29 29 29 30 31 31 32 33 34 34 35 35 附录 B：已发布及在研的标准 37 参考资料 41 4 2020 网络安全态势感知技术标准化白皮书第一章背景随着组织信息化建设规模的扩大，安全架构日趋复杂，各种类型的安全设备、安全数据态势发生变化的要素进行获取、理解、展示以及对发展趋势进行预测，从而帮助决策和行动。越来越多，组织自身的安全运维压力不断加大。随着网络安全复杂性的凸显，态势感知在网络另一方面，以高级可持续威胁攻击（Advanced 安全领域得到高度重视和广泛应用。 Persistent Threat，APT）为代表的新型威胁的兴起，随着内控与合规的深入，越来越需要网络安全态势感知是一种基于环境动态组织充分利用更多的安全数据进行分析检测，地、整体地洞悉安全风险的能力，它利用数据对基础架构安全、应用安全、数据安全乃至融合、数据挖掘、智能分析和可视化等技术，业务安全中面临的各类高级威胁做出判定和响直观显示网络环境的实时安全状况，为网络安应，以支撑业务持续稳定、安全运行。全保障提供技术支撑。网络安全态势感知系统 m o c . 5 的工作过程大致分为安全要素采集、安全数据独立分割的安全防护体系已经很难应对如处理、安全数据分析和分析结果展示这几个关此复杂的安全环境。高级恶意程序已经逐渐成键阶段。安全要素采集是获取与安全紧密关联为主流，隐秘通道也已经开始向组织内部逐渐的海量基础数据，包括流量数据、各类日志、渗透。当前网络环境中部署的各类安全设备主漏洞、木马和病毒样本等；安全数据处理是通要实现单点检测，检测能力受限，导致安全问过对采集到的安全要素数据进行清洗、分类、题依然频繁发生，诸如勒索病毒、APT 攻击，标准化、关联补齐、添加标签等操作，将标准敏感数据泄露等。特别值得注意的是，当这些数据加载到数据存储中；安全数据分析和分析 b u ti h g 安全事件发生时，单点安全设施只能给出有限、结果展示是利用数据挖掘、智能分析等技术，甚至无法给出相关检测信息，更有甚者有些安提取系统安全特征和指标，发现网络安全风险，全威胁在网络内部发生、潜伏、破坏了数天乃汇总成有价值的情报，并将网络安全风险通过至数月的时间，都难以察觉。总的来说，很多可视化技术直观地展示出来。时候组织常常对自身网络安全中的各类威胁看不到、看不清、看不及时，从而给组织日常的安全保障工作带来各方面的危害和影响。借助网络安全态势感知，运维人员可以及时了解网络状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况；用户单位可以清态势感知的概念最早在军事领域提出，楚地掌握所在网络的安全状态和趋势，做好相覆盖感知、理解和预测三个层次，随着计应的防范准备，减少甚至避免网络中病毒和恶算机网络的发展又提出了“ 网络态势感知意攻击带来的损失；应急响应组织也可以从网（Cyberspace Situation Awareness，络安全态势中了解所服务网络的安全状况和发 CSA）”，即在大规模网络环境中对引起网络展趋势，为制定有预见性的应急预案提供基础。 5 网络安全态势感知技术标准化白皮书 2020 1999 年，美国人 Tim Bass 提出网络态发展。2016 年 4 月 19 日，习近平总书记在势感知的概念；2000 年，他将该技术应用于网络安全和信息化工作座谈会上提出要“全天多个网络入侵检测系统检测结果的数据融合分候全方位感知网络安全态势”。2016 年 11 月析，开启了网络安全态势感知技术蓬勃发展的发布的《网络安全法》第五章提出将网络安全序幕。美国将网络安全态势感知作为其国家安监测预警与应急处置工作制度化、法制化，为全防御体系中的重要组成部分，从国家安全的深化网络安全防护体系、实现“全天候全方位整体高度进行统一规划和部署。根据 2002 年感知网络安全态势”提供了法律依据和保障。的《国土安全法案》和《联邦信息安全管理法 2016 年 12 月，国务院发布的《“十三五”国案》，美国联邦政府于 2003 年开始启动爱因家信息化规划》对实现“全天候全方位感知网斯坦计划，建设大规模信息安全监控系统，自络安全态势”提出了具体要求：要求“加强网动收集、关联分析和共享政府机构间的安全信络安全态势感知、监测预警和应急处置能力建息，快速感知和应对网络安全面临的威胁，增设。建立统一高效的网络安全风险报告机制、强美国政府的网络安全态势感知能力和网络安情报共享机制、研判处置机制，准确把握网络 m o c . 5 全防御能力。自 2003 年开始启动“爱因斯坦 -1” 安全风险发生的规律、动向、趋势。建立政府计划，到 2007 年的“ 爱因斯坦 -2”，再到 b u 和企业网络安全信息共享机制，加强网络安全 2012 年开始“爱因斯坦 -3”，截至 2019 年 9 月，大数据挖掘分析，更好地感知网络安全态势， h t i g 在 104 个联邦民事机构中，已有 76 个已经完做好风险防范工作。”该规划还要求部署建设全实现了“爱因斯坦 -3”计划的基本能力。 “网络安全监测预警和应急处置工程”，包括：美国政府期望通过爱因斯坦计划的实施，保护 “建立国家网络安全态势感知平台，利用大数美国国内重要的网络信息资产，同时，还能感据技术对网络安全态势信息进行关联分析、数知监控他国互联网应用，使其成为