工业互联网安全监测与管理系统要求

YD/Txxxxx—xxxx工业互联网安全监测与管理系统通用要求本文件规定了工业互联网安全监测与管理系统的数据采集处理要求、安全监测分析要求、安全集中管理要求、系统安全要求、性能要求等本文件适用于应用工业互联网的工业企业、工业互联网平台企业、标识解析企业，以及基础电信企业建设的工业互联网安全监测与管理系统的规划、设计和实施2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。信息安全技术信息安全事件分类分级指南信息安全技术术语工业互联网安全监测与管理系统cybersecuritymonitoringandmanagementsystemofindustrialIntern面向应用工业互联网的工业企业、工业互联网平台企业、标识解析企业及基础电信企业，通过采集分析网络流量、资产、网络设备日志、行为数据、漏洞数据等数据，实现工业互联网数据采集处理、网络安全监测分析、安全集中管理的系统。面向制造业数字化、网络化、智能化需求，构建基于海量数据采集、汇聚、分析的服务体系，支撑制造资源泛在连接、弹性供给、高效配置的工业云平台。接入互联网且对工业互联网企业具有价值的设备、系统、信息或其他资源，是安全策略保护的对YD/TxXXXx—xXXx工业互联网企业industrialInternetenterprise应用工业互联网的工业企业、工业互联网平台企业和工业互联网标识解析企业的统称。工业互联网企业industrialInternetenterprise应用工业互联网的工业企业、工业互联网平台企业和工业互联网标识解析企业的统称。下列缩略语适用于本文件。分布式拒绝服务攻击DistributedDenialofServ文件传输协议可寻址远程传感器高速通道HighwayAddresableRemoteTr超文本传输协议超文本传输安全协议yperTextTransferProtocoloverSecureSocketr国际电工委员会IntemationalElectroTechnicalCommi网络之间互连的协议消息队列遥测传输协议MessageQucuingTelemet用于过程控制的对象连接与嵌入ObjectLinkingandEmbeddingfo网络数据包捕获格式安全文件传输协议SecureFileTransf简单网络管理协议SimpleNetworkManagemen业务请求传送协议ServiceRequestTransp安全外壳系统日志协议SystemLogging传输控制协议统一资源定位符面向应用工业互联网的工业企业、工业互联网平台企业、标识解析企业，以及基础电信企业，针对工业互联网相关流量、资产、网络设备日志、安全设备告警日志等数据进行采集、处理、存储，实现针对工业互联网安全的监测与分析，具体包括网络攻击分析、资产风险分析、异常行为分析。同时，该系统具备资产信息管理、访问日志管理、安全监测管理、安全告警管理、协同联动管理、态势可视化展示等安全集中管理功能。工业互联网安全监测与管理系统功能包括数据采集处理、安全监测分析和安全集中管理，功能架构如图1所示。工业互联网安全监测与管理系统工业互联网安全监测与管理系统安全集中管理资产信息访问日志安全监测安全告警协同联动态势可视安全监测分析网络攻击分析资产风险分析异常行为分析数据采集处理数据采集数据处理数据存储6数据采集处理要求6.1.1采集能力要求数据采集能力本项要求包括：a)应支持采集策略的配置，能根据需要调整采集的数据类型和数据内容；b)应支持采集Linux,Unix,Windows等多种操作系统下的服务器日志及防火墙、入侵检测系统、漏洞扫描设备等设备的日志c)应根据应用场景支持至少两种数据采集协议进行数据采集，采集协议至少包括Syslog协议、d应支持基于特定规则的PCAP包留存，至少包括P规则、协议规则、报文规则、URL规则。流量采集能力本项要求包括：a)应具备对音频、视频等指定应用流量的过滤能力；b)应具备对指定IP或者URL流量的过滤能力；c)应支持针对特定协议流量的过滤，至少包括HTTPS、RTSP、SIP等；d)应支持IPv4、IPv6双协议栈采集、解析能力协议解析能力5YD/TxXXXx—xXXx本项要求包括：a)应支持对TCP/UDP等传输层协议的解析，支持IP碎片重组、TCP流重组、TCP流状态跟踪；b)应具备对通用网络协议，以及主流工业通信协议的识别解析能力。通用网络协议至少包括HTTP、MQTT、SNP、TELNET、FTP、SSH、DNS等；工业通信协议包括：西门子的S7、0PC、通用电气的SRTP、PROFINET(由PROFIBUSandPROFINETInterational国际组织定义的一种开放式的工业以太网标准)、HART-IP(美国ROSEMOUN公司定义的一种用于现场智能仪表和控制室设备之间的通信协议)、IEC104等：c)应支持对西门子S7、通用电气的SRTP、HART-IP、0PC、PROFINET、IEC104等主流工控协议的深度解析，提取主流协议规约的特定内容，例如：操作指令、功能码等字段内容；d)针对加密流量应具备协议的识别能力。6.1.2采集方式要求本项要求包括：a)应支持主动采集数据源的数据，数据采集频率支持自定义；b)应支持手动导入数据：c)应支持对数据源进行配置、添加、修改和删除管理。6.1.3数据源要求本项要求包括：a)采集工业企业网络出入口流量、工业互联网平台网络出入口流量、标识解析服务器网络出入口流量等工业互联网应用场景的流量，具体采集类型能根据监测需求由企业定义；b)应采集工业互联网企业资产数据，至少包括：IP地址类型、资产IP地址、资产端口、MAC地址、资产类型、生产厂商、操作系统等信息c)应采集工业互联网企业内部的网络设备、安全设备产生的网络威胁相关监测数据，至少包括：行为日志、网络威胁日志、安全告警数据等：d)应采集工业协议通信行为数据，至少包括：组态上传、组态下载、指令变更等信息。e)应采集工业互联网漏洞隐患数据，至少包括：漏洞名称、漏洞类型、危害等级、漏洞编号、隐患URL地址、补丁信息、修复建议等信息；6.2数据处理要求本项要求包括；a)应支持对数据进行清洗过滤，针对数据格式不一致、数据输入错误、数据不完整等问题，支持对数据进行转换和加工b)应支持将采集的同一类型、不同格式的原始数据转换为流一的数据格式：c)应支持基于资产库、威胁信息库、地理信息库等对采集的原始数据进行补全，包括资产类型、关联事件信息、地理位置等d)应支持根据相关数据字段对采集的原始数据进行标签化处理，标签内容应基于分析需求进行设置，包括数据重要程度、数据来源、区域、行业等；6.3数据存储要求本项要求包括：a)应支持存储结构化数据、半结构化数据和非结构化数据：YD/TxXXXx—xXXxb)应支持存储采集的流量数据、日志数据等业务数据；c)应支持存储采集和处理获取的原始数据、预处理后的数据、告警数据、统计数据等；d)应支持存储安全策略数据、用户数据、系统日志、操作日志等管理数据，以及漏洞信息库、威胁情报库等知识库数据；e)网络威胁日主应至少存储180天，通联记录应至少存储30天，PCAP包应至少存储7天：0应提供本地数据备份与恢复功能，进行定期备份，或提供多副本备份机制；备份数据应与原数据具有相同的访问控制权限和安全存储要求。7安全监测分析要求7.1网络攻击分析要求本项要求包括：a)应识别常见的网络攻击行为，至少包括DDoS、Web应用攻击、暴力破解、扫描探测、漏洞利用攻击、恶意软件感染、隐蔽随道通信等；b)应识别针对工业领域的网络攻击行为，至少包括工业协议漏洞攻击、工业控制应用漏洞攻击、工业控制设备漏洞攻击等；c)应支持网络攻击阶段的识别，至少包括扫描探测、尝试攻击、初步感染、木马下载、远程控制、横向渗透、行动收割；d)应支持建立攻击IP画像，至少包括攻击时间、攻击来源、攻击对象、攻击方式、攻击趋势、危害程度等；e)应支持攻击行为回溯，按照时间顺序、攻击来源、攻击对象等要素对网络攻击进行关联分析，还原攻击路径。7.2资产风险分析要求本项要求包括：a)应支持识别工业资产类型、型号、版本、厂商等信息；b)应支持判断工业互联网资产失陷状态，评估资产风险等级；c)应支持建立工业互联网资产风险画像，包括：资产厂商、型号、操作系统、固件版本、漏洞隐患、相关事件信息、威胁等级，以及资产失陷状态。7.3异常行为分析要求本项要求包括：a)应支持通过行为基线、关联分析等技术发现用户或实体的异常行为，至少包括登录异常、高频访问、访问流量超限、数据下载异常、可疑域名访问：b)应支持识别不符合协议规约规定格式的工业控制协议报文，至少包括异常的控制命令、控制点位、控制值。8安全集中管理要求8.1资产信息管理要求本项要求包括：7YD/TxXXXx—xXXx应支持资产信息管理，至少包括资产标识、IP类型(包括IPv4和IPy6)、资产IP、MAC地址、产类型、操作系统、生产厂商、发现时间、更新时间等字段：8.2访问日志管理要求本项要求包括：应支持工业互联网相关协议的通联日志管理，记录相关信息，至少包括源IP、源端口、目的IP、目的端口、协议、访问开始时间、访问结束时间、上行包数量、上行流量大小、下行包数量、下行流量大小、访问URL地址等：8.3安全监测管理要求本项要求包括：a)应支持漏洞隐患的监测发现，识别通用设备及组件漏洞信息、工业设备及系统漏洞信息，至少包括漏洞名称、漏洞类型、危害等级、相关资产漏洞隐患地址(IP、端口或URL)、发现时b)应支持按照漏洞类型、漏洞名称、危害等级、资产IP等字段进行资产漏洞信息查询；c)应支持网络威胁的监测发现，识别针对企业资产的网络攻击和其他恶意行为，至少包括源IP、源端口、目的IP、目的端口、协议、事件类型、威胁等级、攻击阶段、攻击方向、发生时间、攻击载荷、规则名称、数据来源等：d)应支持按照事件类型、威胁等级、攻击阶段、发现时间、数据来源等字段进行网络威胁日志e)应具备针对IPv6网络流量的安全监测能力8.4安全告警管理要求本项要求包括：a)应支持在安全事件或异常行为发生时，及时发送告警信息：b)应支持对告警策略进行分级，对不同级别的安全事件进行不同等级的告警：c)应支持告警策略的配置，基于各类安全监测数据，对源IP、目的IP、LRL、规则名称、数据来源等配置单一参数或者组合参数的告警策略；d)应具备安全威胁溯源能力，支持对安全威胁追溯到攻击路径、攻击方式、攻击时间等e)应至少支持两种告警方式，告警方式包括平台、邮件、即时通信、短信等。8.5协同联动管理要求本项要求包括：a)应支持上报安全事件、威胁情报、恶意文件、资产等信息。b)应提供对外联动接口，具备接收监管侧系统下发的指令并执行的能力，指令类型包括监测类 (网络资源、流量报文、恶意文件等)、预警类、处置类、查询类(历史监测日志、历史恶意样本等)、测源类；c)应具备执行完指令后向监管侧系统反馈执行结果的能力，反馈命中规则的会话信息，至少包括：源IP地址、源端口、目的IP地址、目的端口、URL、指令编号、发现时间等字段信d)应支持根据指令要求留存原始流量PCAP数据包，并作为日志附件上报：8.6态势可视化展示要求本项要求包括：a)应支持网络攻击态势的分析和展示，至少包括攻击方式、攻击来源、攻击威胁、攻击阶段、攻击趋