ICS35.030 CCS L 80 中华人民共和国国家标准 GB/T 42453—2023 信息安全技术 网络安全态势感知通用技术要求 Information security technology- General technical requirements for network security situation awareness 2023-10-01实施 2023-03-17发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42453—2023 目 次 前言 范围 \ 2 规范性引用文件 3 术语和定义 4 缩略语 5 网络安全态势感知技术框架 6 技术要求. 6.1数据汇聚要求 6.1.1 数据采集 6.1.2 数据预处理 6.1.3 数据存储 6.2数据分析要求 6.2.1 网络攻击分析 6.2.2 资产风险分析 6.2.3异常行为分析 6.2.4安全事件分析 6.3态势展示要求 6.3.1 整体态势展示 6.3.2 专题态势展示 6.3.3 态势报告 6.4监测预警要求 6.5 数据服务接口要求 6.5.1 数据交换接口 6.5.2 数据分析接口 6.5.3 联动处置接口 6.5.4 接口安全性 6.6系统管理要求 6.6.1 策略管理 6.6.2 预处理规则管理 6.6.3 分析模型管理 6.6.4 资产管理 6.6.5 安全事件管理 6.6.6 威胁信息管理 参考文献 10 GB/T42453—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：公安部第三研究所、北京锐安科技有限公司、国家信息技术安全研究中心、北京天 安信科技集团股份有限公司、启明星辰信息技术集团股份有限公司、长扬科技（北京）股份有限公司、北 京神州绿盟科技有限公司、深信服科技股份有限公司、中国科学院信息工程研究所、北京山石网科信息 技术有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、腾讯云计算（北京）有限责任公司、 上海工业自动化仪表研究院有限公司、杭州迪普科技股份有限公司、中电长城网际系统应用有限公司、 技股份有限公司。 本文件主要起草人：陈妍、李京春、顾健、李雪莹、李斌、张屹、万晓兰、李军华、吕明、汪义舟、陶智、 刘晨、万月亮、刘玉岭、张永皓、孙默、张华涛、聂桂兵、陶夏、刘慧芳、王涛、刘鹏、杨帆、何建锋、苗维杰、 查正朋、周景贤。 GB/T42453—2023 信息安全技术 网络安全态势感知通用技术要求 1范围 本文件给出了网络安全态势感知技术框架，规定了该框架中核心组件的通用技术要求 本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069—2022 信息安全技术术语 GB/T28458—2020 信息安全技术网络安全漏洞标识与描述规范 GB/T28517—2012 网络安全事件描述和交换格式 GB/T30279—2020 信息安全技术网络安全漏洞分类分级指南 GB/T36643—2018 信息安全技术网络安全威胁信息格式规范 GB/T37027—2018 信息安全技术 网络攻击定义及描述规范 3 术语和定义 GB/T25069一2022界定的以及下列术语和定义适用于本文件。 3.1 威胁threat 可能对系统或组织造成危害的不期望事件的潜在因素。 ［来源：GB/T25069—2022,3.628］ 3.2 威胁信息 threat information 基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应和预防。 注：威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。 L来源：GB/T366432018，3.3，有修改 3.3 网络安全态势感知networksecuritysituationawareness 通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息等数据，分析和处理网络行为及 用户行为等因素，掌握网络安全状态，预测网络安全趋势，并进行展示和监测预警的活动。 3.4 前端数据源 front-end data source 向网络安全态势感知核心组件提供数据的软硬件。 1 GB/T42453—2023 3.5 画像profiling 针对某类对象，在多维度上构建其描述性标签属性，并利用这些标签属性，分析对象多方面的特 征，抽象概括其全貌的过程。 3.6 预警warning 针对即将或正在发生的网络安全事件或威胁，提前或及时发出的警示。 ［来源：GB/T25069—2022,3.739 4缩略语 下列缩略语适用于本文件。 CPU：中央处理器（CentralProcessingUnit) FTP：文件传输协议（FileTransferProtocol) FTPS：安全套接层协议上的文件传输协议（FileTransferProtocolSecure) HTTP：超文本传输协议(HyperTextTransferProtocol) HTTPS：安全套接层协议上的超文本传输协议（HypertextTransferProtocolSecure） IP：互联网协议（InternetProtocol） SFTP：安全文件传送协议（SSHFileTransferProtocol) SNMP：简单网络管理协议（SimpleNetworkManagementProtocol) SSH：安全外壳（SecureShell) Syslog：系统日志（Systemlog） Web：全球广域网（WorldWideWeb) 5网络安全态势感知技术框架 网络安全态势感知技术框架主要包括前端数据源、核心组件和其他要素三部分。其中网络安全态 势感知的核心组件是实现网络安全态势感知能力的重要技术手段，表现形式可为产品、系统或平台，也 可以是不同的功能组件；实现网络安全态势感知也依赖于应急处置、安全决策、数据共享等其他要素。 为能更好地进行网络安全态势感知，前端数据源需能覆盖网络安全态势感知范围内的通信网络、区域边 界和计算环境。本文件规定了网络安全态势感知技术框架中核心组件的通用技术要求，不包括技术框 架中相对独立的前端数据源和其他要素的要求。 依据通用性并保证网络安全态势感知功能完整性原则，本文件所指的网络安全态势感知核心组件 由数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等构成，见图1，其中虚线框不在 本文件规定的技术要求中。数据汇聚组件依据业务需求从相应的前端数据源采集数据，经过筛选、转 换、补全、标记等预处理后进行存储，用于后续的数据分析；数据分析组件基于不同的数据分析模型通过 用场景不同，态势展示组件可通过数据服务接口调用相关数据进行多维度评估和展示，包括整体态势展 示、专题态势展示和态势报告；监测预警组件支持基于设定的监测策略和预警规则进行预警，便于后续 的应急处置、安全决策等；此外，为方便用户接入不同类型的前端数据、更好地使用多样化的分析模 型，该技术框架将数据采集、交换、分析和应用等数据处理活动充分解耦，通过数据服务接口组件，进行 2 GB/T42453—2023 前端数据源、内部不同模块以及其他外部系统的数据交互，包括了数据交换接口、数据分析接口、联动处 置接口等；数据服务接口也便于与其他系统进行数据共享。系统管理组件主要进行策略管理、预处理规 则管理、分析模型管理、资产管理、安全事件管理和威胁信息管理。 网络安全态势感知的核心组件 态势展示 系统管理 筑略管理 跨休态劳展示 专题态奶展示 监测预警 其他要素 态势报告 预处理规则普理 成急处置 分析模型管理 数据服务接口数据交换接口 数据分析接口 联动处骨接了 安全决筑 数学 数据分析 数据汇聚 安全串件管理 数据采集 数据预处理 网络攻击分析 资产风险分析 威助信总管理 数据存储 异带行为分析 安会事什分析 前端数据源 图1网络安全态势感知技术框架 6技术要求 6.1数据汇聚要求 6.1.1 数据采集 6.1.1.1 采集方式 对于不同的前端数据源，数据汇聚组件应支持以下采集方式： 被动接收前端数据源发送的数据； b) 主动发起获取前端数据源的数据，支持对数据采集频率进行设置； c） 手动导人前端数据源的数据。 6.1.1.2采集协议 数据汇聚组件应根据应用场景支持两种或两种以上的采集协议进行数据采集，采集协议包括但不 限于 Syslog、FTP/FTPS,SFTP、HTTP/HTTPS,SSH、SNMP 等。 6.1.1.3采集内容 数据汇聚组件： 应支持基于采集策略采集不同类型的数据，数据类型包括网络流量、资产信息、日志、漏洞信 a) 息、用户行为、告警信息、威胁信息等； b) 应支持根据应用场景自定义采集的数据类型； 应支持采用校验技术或密码技术确保从前端数据源采集数据的完整性。 3 GB/T42453—2023 6.1.2数据预处理 6.1.2.1类 数据筛选 数据汇聚组件应支持基于数据预处理规则对采集的原始数据进行筛选，如去除必填字段为空的数 据、去除重要字段为空的数据、去除数据格式错误的数据、去除重复的数据等。 6.1.2.2数据转换 数据汇聚组件应支持将采集的同一类型、不同格式的原始数据转换为统一的数据格式，如统一时间 格式统一漏洞名称