GB/T 42453-2023 信息安全技术 网络安全态势感知通 用技术要求（正式版）

ICS35.030GB/T42453—2023信息安全技术网络安全态势感知通用技术要求2023-03-17发布国家市场监督管理总局国家标准化管理委员会GB/T42453—2023 I 2 2 36.1数据汇聚要求 36.1.1数据采集 36.1.2数据预处理 46.1.3数据存储 46.2数据分析要求 46.2.1网络攻击分析 56.2.2资产风险分析 56.2.3异常行为分析 56.2.4安全事件分析 56.3态势展示要求 56.3.1整体态势展示 56.3.2专题态势展示 66.3.3态势报告 76.4监测预警要求 86.5数据服务接口要求 86.5.1数据交换接口 86.5.2数据分析接口 86.5.3联动处置接口 86.5.4接口安全性 86.6系统管理要求 86.6.1策略管理 86.6.2预处理规则管理 86.6.3分析模型管理 96.6.4资产管理 96.6.5安全事件管理 96.6.6威胁信息管理 9 IGB/T42453—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。安信科技集团股份有限公司、启明星辰信息技术集团股份有限公司、长扬科技(北京)股份有限公司、北京神州绿盟科技有限公司、深信服科技股份有限公司、中国科学院信息工程研究所、北京山石网科信息技术有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、腾讯云计算(北京)有限责任公司、上海工业自动化仪表研究院有限公司、杭州迪普科技股份有限公司、中电长城网际系统应用有限公司、西安交大捷普网络科技有限公司、杭州中电安科现代科技有限公司、陕西省网络与信息安全测评中心、中国民航大学、中科国昱(合肥)科技有限公司、北京威努特技术有限公司、远江盛邦(北京)网络安全科技股份有限公司。1GB/T42453—2023信息安全技术网络安全态势感知通用技术要求2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文本文件。GB/T25069—2022信息安全技术术语GB/T28458—2020信息安全技术网络安全漏洞标识与描述规范GB/T28517—2012网络安全事件描述和交换格式GB/T30279—2020信息安全技术网络安全漏洞分类分级指南GB/T36643—2018信息安全技术网络安全威胁信息格式规范GB/T37027—2018信息安全技术网络攻击定义及描述规范3术语和定义GB/T25069—2022界定的以及下列术语和定义适用于本文件。3.1可能对系统或组织造成危害的不期望事件的潜在因素。向网络安全态势感知核心组件提供数据的软硬件。2GB/T42453—20233.5针对某类对象，在多维度上构建其描述性标签属性，并利用这些标签属性，分析对象多方面的特预警warning4缩略语下列缩略语适用于本文件。CPU:中央处理器(CentralProcessingUnit)FTP:文件传输协议(FileTransferProtocol)FTPS:安全套接层协议上的文件传输协议(FileTransferProtocolSecure)HTTP:超文本传输协议(HyperTextTransferProtocol)HTTPS:安全套接层协议上的超文本传输协议(HypertextTransferProtocolSecure)IP:互联网协议(InternetProtocol)SFTP:安全文件传送协议(SSHFileTransferProtocol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)Syslog:系统日志(Systemlog)Web:全球广域网(WorldWideWeb)5网络安全态势感知技术框架网络安全态势感知技术框架主要包括前端数据源、核心组件和其他要素三部分。其中网络安全态界和计算环境。本文件规定了网络安全态势感知技术框架中核心组件的通用技术要求，不包括技术框架中相对独立的前端数据源和其他要素的要求。依据通用性并保证网络安全态势感知功能完整性原则，本文件所指的网络安全态势感知核心组件本文件规定的技术要求中。数据汇聚组件依据业务需求从相应的前端数据源采集数据，经过筛选、转的应急处置、安全决策等；此外，为方便用户接入不同类型的前端数据、更好地使用多样化的分析模3GB/T42453—2023态势展示数据服务接口数据交换接口数据分析接口联动处置接口资产管理数据汇聚数据分析数据采集数据预处理数据存储应急处置系统管理6技术要求a)被动接收前端数据源发送的数据；c)手动导入前端数据源的数据。数据汇聚组件应根据应用场景支持两种或两种以上的采集协议进行数据采集，采集协议包括但不限于Syslog、FTP/FTPS、SFTP、HTTP/HTTPSb)应支持根据应用场景自定义采集的数据类型；c)应支持采用校验技术或密码技术确保从前端数据源采集数据的完整性。4GB/T42453—2023数据汇聚组件应支持基于数据预处理规则对采集的原始数据进行筛选，如去除必填字段为空的数格式、统一漏洞名称等，且转换时不能丢失或损坏关键数据项，其中漏洞描述应遵循GB/T28458—2020第5章、GB/T30279—2020第5章和第6章的要求；威胁信息描述应遵循GB/T36643—2018第6章的要求；网络攻击描述应遵循GB/T37027—2018第6章和第7章的要求；安全事件描述应遵循GB/T28517—2012第5章、第6章和第7章的要求。数据汇聚组件应支持根据相关数据字段对采集的原始数据进行标记，标记内容应基于分析需求进数据汇聚组件：数据汇聚组件应支持设置各类数据的存储时间。5GB/T42453—2023数据分析组件：a)应支持识别不同类别的网络攻击，网络攻击类别包括但不限于漏洞利用攻击、拒绝服务攻击、c)应支持基于威胁信息等进行网络攻击分析；e)应支持从攻击对象或攻击方视角对网络攻击行为进行分析，还原攻击路径；f)应支持建立攻击方画像；g)宜支持结合内外部的分析能力预测潜在的网络攻击。数据分析组件：b)应支持建立资产画像；c)宜支持结合内外部的分析能力预测潜在的资产风险。数据分析组件：c)应支持建立用户行为画像，包括用户d)宜支持基于历史数据学习预测用户或实体潜在的异常行为。数据分析组件：a)应支持基于资产重要程度、造成的危害程度和影响范围对安全事件进行分类分级；c)宜支持结合内外部的分析能力预测潜在的安全事件。6.3态势展示要求态势展示组件：a)应支持对网络的整体安全状况用分值或等级等方式进行评估和展示；级等方式进行评估和展示；6GB/T42453—2023c)应支持对不同时间段的整体网络安全状况进行评估和展示；g)应支持根据应用场景进行不同类型专题态势的评估和展示。态势展示组件：a)应支持以图表方式展示当前资产的类型和数量；c)应支持对资产的安全状况进行评估和展示，包括具体资产的风险等级及资产的安全状况描述；b)应支持统计和展示的范围至少包括互联网流量、特定用户流量及特定资产流量等；态势展示组件：c)应支持展示资产的资源使用情况的变化趋势，如资产CPU/内存/网络使用情况的变化、运行异常资产的数量变化等。态势展示组件：配置资产数及详情等；d)应支持展示资产脆弱性的变化趋势，如资产中高风险漏洞数量的变化、弱口令资产数的变化等。态势展示组件：7GB/T42453—2023态势展示组件：常行为描述等；态势展示组件：a)应支持对态势相关数据进行查询；b)应支持基于时间或其他数据字段进行组合查询；c)应支持对查询结果根据字段进行排序。态势展示组件：b)应支持基于指定时间段生成统计报表或生成周期性报表；态势展示组件：a)应支持根据数据分析结果生成整体网络安全状况分析报告并导出；b)应支持根据数据分析结果生成不同区域、不同业务单元等的局部网络安全状况分析报告并c)应支持根据数据分析结果提供对策或修复建议；d)应支持基于指定时间段产生分析报告或生成周期性分析报告；8GB/T42453—2023e)应支持自定义设置分析报告的模板。监测预警组件：a)应支持基于监测策略对网络安全状况进行监测，具体监测策略支持根据应用场景自定义；d)应支持根据预警级别和预警流程发布预警信息，预警信息包括但不限于预警类型、预警级别、g)宜支持基于预警信息与第三方设备或系统进行联动处置。6.5数据服务接口要求数据服务接口组件：数据服务接口组件：a)宜支持为内部不同模块及其他外部系统通过接口进行数据分析；数据服务接口组件：a)宜支持为内部不同模块及其他外部系统通过接口进行联动处置；9GB/T42453—