ICS 35.030
CCS L 80
中华人民共和国国家标准
GB/T 42453—2023
信息安全技术网络安全态势感知通用技术要求
Information security technology—General technical requirements for network security situation awareness
2023-03-17发布
2023-10-01实施
国家市场监督管理总局
发布国家标准化管理委员会
GB/T 42453—2023
目次
前言 ………………………………………………………………………………………………………………I
1 范围 …………………………………………………………………………………………………………………1
2 规范性引用文件 ……………………………………………………………………………………………1
3 术语和定义 ………………………………………………………………………………………………………1
4 缩略语 …………………………………………………………………………………………………………2
5 网络安全态势感知技术框架 ………………………………………………………………………………2
6 技术要求 ……………………………………………………………………………………………………3
6.1 数据汇聚要求 …………………………………………………………………………………………3
6.1.1 数据采集 ……………………………………………………………………………………………3
6.1.2 数据预处理 ………………………………………………………………………………………4
6.1.3 数据存储 ……………………………………………………………………………………………4
6.2 数据分析要求 …………………………………………………………………………………………4
6.2.1 网络攻击分析 ……………………………………………………………………………………5
6.2.2 资产风险分析 ………………………………………………………………………………………5
6.2.3 异常行为分析 ……………………………………………………………………………………5
6.2.4 安全事件分析 ……………………………………………………………………………………5
6.3 态势展示要求 …………………………………………………………………………………………5
6.3.1 整体态势展示 …………………………………………………………………………………………5
6.3.2 专题态势展示 ………………………………………………………………………………………6
6.3.3 态势报告 ……………………………………………………………………………………………7
6.4 监测预警要求 ………………………………………………………………………………………………8
6.5 数据服务接口要求 ……………………………………………………………………………………8
6.5.1 数据交换接口 …………………………………………………………………………………………8
6.5.2 数据分析接口 …………………………………………………………………………………………8
6.5.3 联动处置接口 …………………………………………………………………………………………8
6.5.4 接口安全性 ………………………………………………………………………………………8
6.6 系统管理要求 ………………………………………………………………………………………………8
6.6.1 策略管理 ………………………………………………………………………………………………8
6.6.2 预处理规则管理 …………………………………………………………………………………8
6.6.3 分析模型管理 ………………………………………………………………………………………9
6.6.4 资产管理 ……………………………………………………………………………………………9
6.6.5 安全事件管理 ……………………………………………………………………………………9
6.6.6 威胁信息管理 ……………………………………………………………………………………9
参考文献 …………………………………………………………………………………………………………10
GB/T 42453—2023
信息安全技术网络安全态势感知通用技术要求
1 范围
本文件给出了网络安全态势感知技术框架，规定了该框架中核心组件的通用技术要求。本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2022 信息安全技术 术语
GB/T 28458—2020 信息安全技术 网络安全漏洞标识与描述规范GB/T 28517—2012 网络安全事件描述和交换格式
GB/T 30279—2020 信息安全技术 网络安全漏洞分类分级指南GB/T 36643—2018 信息安全技术 网络安全威胁信息格式规范GB/T 37027—2018 信息安全技术 网络攻击定义及描述规范
3 术语和定义
GB/T 25069—2022界定的以及下列术语和定义适用于本文件。
3.1
威胁 threat
可能对系统或组织造成危害的不期望事件的潜在因素。[来源：GB/T 25069—2022,3.628]
3.2
威胁信息 threat information
基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应和预防。注：威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。[来源：GB/T 36643—2018,3.3,有修改]
3.3
网络安全态势感知 network security situation awareness
通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息等数据，分析和处理网络行为及用户行为等因素，掌握网络安全状态，预测网络安全趋势，并进行展示和监测预警的活动。
3.4
前端数据源 front-end data source向网络安全态势感知核心组件提供数据的软硬件。
GB/T 42453—2023
3.5
画像 profiling
针对某类对象，在多维度上构建其描述性标签属性，并利用这些标签属性，分析对象多方面的特征，抽象概括其全貌的过程。
3.6
预警 warning
针对即将或正在发生的网络安全事件或威胁，提前或及时发出的警示。[来源：GB/T 25069—2022,3.739]
4 缩略语
下列缩略语适用于本文件。
CPU:中央处理器(Central Processing Unit)
FTP:文件传输协议(File Transfer Protocol)
FTPS:安全套接层协议上的文件传输协议(File Transfer Protocol Secure)
HTTP:超文本传输协议(Hyper Text Transfer Protocol)
HTTPS:安全套接层协议上的超文本传输协议(Hypertext Transfer Protocol Secure)
IP:互联网协议(Internet Protocol)
SFTP:安全文件传送协议(SSH File Transfer Protocol)
SNMP:简单网络管理协议(Simple Network Management Protocol)
SSH:安全外壳(Secure Shell)
Syslog:系统日志(System log)
Web:全球广域网(World Wide Web)
5 网络安全态势感知技术框架
网络安全态势感知技术框架主要包括前端数据源、核心组件和其他要素三部分。其中网络安全态势感知的核心组件是实现网络安全态势感知能力的重要技术手段，表现形式可为产品、系统或平台，也可以是不同的功能组件；实现网络安全态势感知也依赖于应急处置、安全决策、数据共享等其他要素。为能更好地进行网络安全态势感知，前端数据源需能覆盖网络安全态势感知范围内的通信网络、区域边界和计算环境。本文件规定了网络安全态势感知技术框架中核心组件的通用技术要求，不包括技术框架中相对独立的前端数据源和其他要素的要求。
依据通用性并保证网络安全态势感知功能完整性原则，本文件所指的网络安全态势感知核心组件由数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等构成，见图1,其中虚线框不在本文件规定的技术要求中。数据汇聚组件依据业务需求从相应的前端数据源采集数据，经过筛选、转换、补全、标记等预处理后进行存储，用于后续的数据分析；数据分析组件基于不同的数据分析模型通过数据服务接口调用相关数据，进行网络攻击分析、资产风险分析、异常行为分析和安全事件分析；根据应用场景不同，态势展示组件可通过数据服务接口调用相关数据进行多维度评估和展示，包括整体态势展示、专题态势展示和态势报告；监测预警组件支持基于设定的监测策略和预警规则进行预警，便于后续的应急处置、安全决策等；此外，为方便用户接入不同类型的前端数据、更好地使用多样化的分析模型，该技术框架将数据采集、交换、分析和应用等数据处理活动充分解耦，通过数据服务接口组件，进行前端数据源、内部不同模块以及其他外部系统的数据交互，包括了数据交换接口、数据分析接口、联动处置接口等；数据服务接口也便于与其他系统进行数据共享。系统管理组件主要进行策略管理、预处理规则管理、分析模型管理、资产管理、安全事件管理和威胁信息管理。
网络安全态势感知的核心组件
系统管理
策略管理
预处理规则答理
态势展示
整体恣势展示
专题态势展示
态势报告
监测预警
其他要素
应急处置
分析模型管理
资产管理
安全事件管理
数据服务接口
数据交换接口
数据汇聚
数据采集
数据预处理
数据分析按口
联动处置接口
数据分析
网络攻击分析
资产风险分析
安全决簧
数据共享
威胁信总管理
数据存储
异常行为分析
安合事件分析
前端数据源
图1 网络安全态势感知技术框架
6 技术要求
6.1 数据汇聚要求
6.1.1 数据采集
6.1.1.1 采集方式
对于不同的前端数据源，数据汇聚组件应支持以下采集方式：
a) 被动接收前端数据源发送的数据；
b) 主动发起获取前端数据源的数据，支持对数据采集频率进行设置；
c) 手动导入前端数据源的数据。
6.1.1.2 采集协议
数据汇聚组件应根据应用场景支持两种或两种以上的采集协议进行数据采集，采集协议包括但不限于Syslog、FTP/FTPS、SFTP、HTTP/HTTPS、SSH、SNMP等。
6.1.1.3 采集内容
数据汇聚组件：
a) 应支持基于采集策略采集不同类型的数据，数据类型包括网络流量、资产信息、日志、漏洞信息、用户行为、告警信息、威胁信息等；
b) 应支持根据应用场景自定义采集的数据类型；
c) 应支持采用校验技术或密码技术确保从前端数据源采集数据的完整性。