TCOSOCC 007-2024 信息安全技术 网络空间资产测绘安全要求_第1页
TCOSOCC 007-2024 信息安全技术 网络空间资产测绘安全要求_第2页
TCOSOCC 007-2024 信息安全技术 网络空间资产测绘安全要求_第3页
TCOSOCC 007-2024 信息安全技术 网络空间资产测绘安全要求_第4页
TCOSOCC 007-2024 信息安全技术 网络空间资产测绘安全要求_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Informationsecuritytechnology-Securityrequire 2 2 3 3 3 4 4 5 5 6 6 6 7 7 2 7本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定江盛邦(北京)网络安全科技股份有限公司、类信息通信技术基础设施之上的人造空间,用以支撑人们在该空间中开展各类与信息通信技术相关的需动态测量,对信息资产进行测绘就显得尤1信息安全技术网络空间资产测绘安全要求本文件适用于个人、组织、机构、企业实施网络空间资产测构建在信息通信技术基础设施之上的人造空间,用以支撑人们在该空间中开展各类与信息通信技网络空间中某机构所拥有的一切可能被潜在攻击网络空间资产测绘cyberspacesur4资产测绘安全框架2应用安全要求应用安全要求安全保障要求运行与维护业务连续性安全保障要求运行与维护业务连续性机构和人员管理制度管理制度3a)网络空间资产数据涉及不同敏感程度时,应建立分级存储机制;b)各级测绘数据应根据其分级设立相适宜的加密、备份及接入机制;c)在中华人民共和国境内实施资产测绘过程中所收集的个人信息及其他重要测绘数据,在境内进行存储,并选用国产化存储设备。存储环境应确保安全,必要时应物理断网。5.1.4测绘数据过程安全资产数据测绘过程应符合下列安全要求:a)测绘过程中,测绘单位及个人应保守相关秘密,确保测绘结果的安全;b)应确保数据在传输、存储、处理等环节的安全性。5.1.5测绘数据个人信息安全在数据涉及到个人信息的情况下,应遵循《中华人民共和国个人信息保护法》等相关法律法规,合法合规地处理相应数据。5.2资产数据处理5.2.1数据分析资产数据分析应在数据所有方授权的情况下实施,并对所获取的网络空间资产数据进行敏感检测、分级处理,进行有限度的关联分析等。5.2.2敏感数据处理网络空间资产测绘活动过程中获取的数据,若涉及客户资料、技术资料、个人信息等高价值敏感数据,应及时停止测绘活动并上报管理机构备案,所获取敏感数据应及时封存或销毁。对于用户方拒绝被披露的资产信息,应停止进行测绘和收集。5.2.3脱敏处理应对网络空间资产测绘活动中获取的必要敏感数据进行处理。数据处理包括脱敏过程,如数据库隐去用户手机号、通信地址、网络身份标识、服务记录等需要脱敏的字段。5.2.4溯源处理应建立记录日志,记录操作人员、时间、设备及网络等信息,确保网络空间数据处理过程可回退可溯源。5.2.5数据销毁资产测绘数据在数据所有方明确授意等情况下,应采取测绘数据销毁措施,以确保数据无法被恢复和用于未经授权的目的,防止敏感信息的泄露。6资产测绘应用安全要求6.1资产管理与保护应对网络空间资产测绘活动中获取的资产数据建立资产档案。资产档案应包含数据的基本信息、统计信息、数据目录、数据血缘,以及数据质量等信息。6.1.2分类分级应对网络空间资产测绘活动中获取的资产数据进行分类分级管理,并满足下列要求:a)根据获取来源分类,可将测绘数据分为公共数据、用户数据、业务数据、公司数据;b)根据敏感程度,可将数据分为绝密、机密、秘密、内部公开、外部公开等级别;c)应对不同类别的数据进行清楚无歧义的定义,明确分类分级标准;45a)具备资产关联基础库,支持资产多维度分注:挂图作战是通过直观的图表形式,将计划的实施方案、工作流程和执行进度等内容呈现出来,用于指导计划具b)具备资产多关键角度的关联分析能力;c)支持资产的分层画像和动态分析,资产动态可视化。b)具备复杂场景下的能力即时调度机制、实现对各类能力进a)具备资产漏洞信息、威胁情报、风险预警等数据库;b)具备风险情报数据的融合、处理、分析等能力。c)支持对资产数据等进行报送,应满足法律法规要求,事先取得相关部门批准。e)支持建立网络空间地图系统,具备有效标识和深度感知资产状态的能力。67(资料性)网络空间资产测绘实践A.1网络空间资产测绘实践网络空间资产测绘通常包含5个递进步骤:在线状态确定、设备指纹生成、服务指纹生成、应用指纹生成和架构逻辑表示,网络空间资产测绘时间如图A.1所示。业务应用后Wordpress用友04、金媒财务设备型号中间件服务协议层应用备案信息硬件设备居路由器、服务器、防火墙、摄像头应用类型应用开发框架应用骗码语言应用域名信启网络空间资产测绘过程标准服务端口设备品牌操作系统版本在线离线设备类型图A.1网络空间资产测绘实践——在线状态确定:通过主动请求,确认设备处于在线或离线状态。——设备指纹生成:获取设备的设备类型、操作系统版本、设备型号、设备品牌等信息,形成资产的设备指纹画像。——服务指纹生成:获取资产的被准服务端口、非常用端口、不合规端口等各类型端口的开放情况,形成资产的服务端口画像。——应用指纹生成:通过主动请求和被动流量分析,获取资产的

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论