【儀表網(wǎng) 行業(yè)標(biāo)準(zhǔn)】近日，由北京賽西科技發(fā)展有限責(zé)任公司 、公安部第三研究所 、中國(guó)移動(dòng)通信集團(tuán)有限公司 、深信服科技股份有限公司等單位起草， TC260(全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì))歸口的國(guó)家標(biāo)準(zhǔn)計(jì)劃《信息安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》征求意見(jiàn)稿已編制完成，現(xiàn)公開(kāi)征求意見(jiàn)。
 

　　智能化、自動(dòng)化的協(xié)同防護(hù)能力建設(shè)依賴于不同網(wǎng)絡(luò)安全產(chǎn)品的互聯(lián)互通。然而，當(dāng)前我國(guó)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通仍在起步階段。一方面，安全廠商產(chǎn)品類型復(fù)雜、不同產(chǎn)品的數(shù)據(jù)融合難、實(shí)現(xiàn)差異明顯。大量研發(fā)成本用于實(shí)現(xiàn)不同安全廠商、安全產(chǎn)品之間的適配，同質(zhì)化競(jìng)爭(zhēng)嚴(yán)重，技術(shù)創(chuàng)新投入不足，創(chuàng)新能力有待提高，長(zhǎng)期來(lái)看影響網(wǎng)絡(luò)安全產(chǎn)業(yè)做大做強(qiáng)。另一方面，政務(wù)、電信、金融等行業(yè)用戶單位通過(guò)研制數(shù)據(jù)、安全功能相關(guān)標(biāo)準(zhǔn)，研發(fā)定制化產(chǎn)品和安全管理平臺(tái)等方式，初步實(shí)現(xiàn)在特定業(yè)務(wù)場(chǎng)景下的網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通，但由于缺少統(tǒng)一技術(shù)框架和配套標(biāo)準(zhǔn)規(guī)范，用戶單位網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通工作改造成本高、效果不明顯，難以形成規(guī)?；⒖蓮?fù)制的應(yīng)用推廣經(jīng)驗(yàn)?；诖耍毙璩雠_(tái)統(tǒng)一技術(shù)框架指導(dǎo)相關(guān)工作開(kāi)展。
 

　　本文件擬提出統(tǒng)一的互聯(lián)互通功能和互聯(lián)互通信息框架，指導(dǎo)廠商、用戶單位等開(kāi)展網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通建設(shè)工作，解決當(dāng)前互聯(lián)互通建設(shè)成本高，應(yīng)用范圍僅限于特定業(yè)務(wù)場(chǎng)景，難以復(fù)制推廣的問(wèn)題。
 

　　本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
 

　　本文件給出了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架，包括互聯(lián)互通功能和互聯(lián)互通信息。本文件適用于指導(dǎo)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通的設(shè)計(jì)、開(kāi)發(fā)和應(yīng)用。
 

　　識(shí)別功能：
 

　　識(shí)別功能通過(guò)對(duì)軟硬件、數(shù)據(jù)、網(wǎng)絡(luò)等信息的采集與分析，識(shí)別潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。識(shí)別功能主要包括：
 

　　a) 資產(chǎn)識(shí)別：檢查、發(fā)現(xiàn)網(wǎng)絡(luò)、軟硬件和數(shù)據(jù)等資產(chǎn)，形成資產(chǎn)信息；
 

　　b) 脆弱性識(shí)別：發(fā)現(xiàn)已識(shí)別資產(chǎn)中可能存在的脆弱性，包括漏洞掃描、代碼審計(jì)、配置核查等，形成脆弱性信息；
 

　　c) 威脅識(shí)別：通過(guò)分析網(wǎng)絡(luò)流量、安全日志、威脅情報(bào)等，識(shí)別威脅，形成威脅信息；
 

　　d) 網(wǎng)絡(luò)流量采集：通過(guò)流量鏡像等方式，獲取并記錄網(wǎng)絡(luò)行為，形成行為信息；
 

　　e) 終端信息采集：對(duì)終端進(jìn)程、流量特征、文件等信息進(jìn)行采集，獲取并記錄終端行為，形成行為信息。
 

　　防護(hù)功能：
 

　　防護(hù)功能通過(guò)實(shí)施防護(hù)措施，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。防護(hù)功能主要包括：
 

　　a) 身份管理與鑒別：標(biāo)識(shí)和鑒別軟硬件、數(shù)據(jù)、網(wǎng)絡(luò)等訪問(wèn)者身份合法性的過(guò)程，形成行為信息，對(duì)于存在非授權(quán)訪問(wèn)的情況，還應(yīng)形成告警信息；
 

　　b) 網(wǎng)絡(luò)訪問(wèn)控制：按照網(wǎng)絡(luò)訪問(wèn)控制策略對(duì)訪問(wèn)行為進(jìn)行阻斷或授權(quán)，形成行為信息，當(dāng)發(fā)生阻斷時(shí)，還應(yīng)形成告警信息；
 

　　c) 網(wǎng)絡(luò)入侵防御：通過(guò)協(xié)議解碼、內(nèi)容檢測(cè)、規(guī)則匹配及威脅情報(bào)分析等技術(shù)手段，檢測(cè)和阻斷網(wǎng)絡(luò)入侵行為，形成行為信息、告警信息；
 

　　d) 網(wǎng)絡(luò)隔離交換：通過(guò)終止網(wǎng)絡(luò)連接、分離網(wǎng)絡(luò)協(xié)議等方式，將數(shù)據(jù)以專有數(shù)據(jù)塊的形式在不同網(wǎng)絡(luò)間進(jìn)行擺渡，實(shí)現(xiàn)網(wǎng)絡(luò)隔離環(huán)境下數(shù)據(jù)交換的過(guò)程，形成行為信息、告警信息；
 

　　e) 網(wǎng)絡(luò)行為控制：通過(guò)行為模式識(shí)別、規(guī)則匹配等方式分析網(wǎng)絡(luò)行為，進(jìn)行隔離、過(guò)濾、放行等操作，形成行為信息、告警信息；
 

　　f) 網(wǎng)絡(luò)流量控制：基于流量控制策略對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)、分類、整形、帶寬限速、帶寬保障等操作，優(yōu)化帶寬資源使用，避免網(wǎng)絡(luò)擁塞，形成行為信息、告警信息；
 

　　g) 拒絕服務(wù)攻擊防護(hù)：通過(guò) TCP 代理、源 IP 驗(yàn)證等方式，發(fā)現(xiàn)網(wǎng)絡(luò)流量的拒絕服務(wù)攻擊行為，對(duì)匹配抗拒絕服務(wù)策略的網(wǎng)絡(luò)流量進(jìn)行阻斷，形成行為信息、告警信息；
 

　　h) 數(shù)據(jù)庫(kù)防護(hù)：通過(guò)數(shù)據(jù)庫(kù)審計(jì)等方式，發(fā)現(xiàn)并阻斷針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊，形成行為信息、告警信息；
 

　　i) 惡意代碼防范：通過(guò)漏洞掃描、注冊(cè)表查找等方式，檢測(cè)發(fā)現(xiàn)僵尸、木馬、蠕蟲等惡意代碼，并對(duì)其進(jìn)行清除或隔離等操作，形成行為信息、告警信息；
 

　　j) 應(yīng)用安全防護(hù)：分析 Web 應(yīng)用、主機(jī)設(shè)備等的訪問(wèn)流量，實(shí)現(xiàn) Web 應(yīng)用攻擊防護(hù)、非授權(quán)訪問(wèn)防護(hù)、惡意代碼防護(hù)、郵件安全防護(hù)、網(wǎng)頁(yè)防篡改等功能，形成行為信息、告警信息；
 

　　k) 終端訪問(wèn)控制：通過(guò)終端訪問(wèn)控制規(guī)則對(duì)終端操作和訪問(wèn)行為進(jìn)行管控，形成行為信息、告警信息。終端操作和訪問(wèn)行為包括且不限于網(wǎng)絡(luò)訪問(wèn)、文件訪問(wèn)、系統(tǒng)指令訪問(wèn)、進(jìn)程創(chuàng)建、移動(dòng)存儲(chǔ)介質(zhì)訪問(wèn)、辦公設(shè)備訪問(wèn)等；
 

　　l) 終端入侵防護(hù)：通過(guò)獲取終端行為、系統(tǒng)日志或其他終端上的信息，發(fā)現(xiàn)違反安全策略的行為并加以阻斷，形成行為信息、告警信息；
 

　　m) 終端防病毒：在終端設(shè)備上實(shí)現(xiàn)的惡意代碼防范功能，形成行為信息、告警信息；
 

　　n) 終端行為控制：依據(jù)訪問(wèn)控制規(guī)則對(duì)終端操作和訪問(wèn)行為進(jìn)行控制，終端操作和訪問(wèn)行為包括但不限于網(wǎng)絡(luò)訪問(wèn)、文件訪問(wèn)、系統(tǒng)指令訪問(wèn)、進(jìn)程創(chuàng)建、移動(dòng)存儲(chǔ)介質(zhì)訪問(wèn)、辦公設(shè)備訪問(wèn)等，形成行為信息、告警信息。
 

　　監(jiān)測(cè)功能：
 

　　監(jiān)測(cè)功能通過(guò)持續(xù)監(jiān)測(cè)目標(biāo)網(wǎng)絡(luò)與系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)安全事件并觸發(fā)預(yù)警或響應(yīng)。監(jiān)測(cè)功能主要包括：
 

　　a) 入侵檢測(cè)：通過(guò)嗅探網(wǎng)絡(luò)流量、行為、安全日志及其他相關(guān)信息，分析計(jì)算終端和網(wǎng)絡(luò)資源的惡意使用行為，包括但不限于入侵行為、非授權(quán)訪問(wèn)等，形成行為信息、告警信息，處理后形成事件信息；
 

　　b) 高級(jí)持續(xù)性威脅(APT)檢測(cè)：通過(guò)技術(shù)手段檢測(cè)或監(jiān)視高級(jí)持續(xù)性威脅，包括但不限于未知惡意代碼檢測(cè)、嵌套式攻擊檢測(cè)、木馬蠕蟲病毒檢測(cè)、隱蔽信道檢測(cè)等，形成行為信息、告警信息，處理后形成事件信息；
 

　　c) 終端安全檢測(cè)：對(duì)受保護(hù)終端的終端進(jìn)程、流量特征、文件、系統(tǒng)性能等進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)安全風(fēng)險(xiǎn)，形成行為信息、告警信息，處理后形成事件信息；
 

　　d) 域名解析安全監(jiān)測(cè)：對(duì)域名系統(tǒng)(Domain Name System，DNS)節(jié)點(diǎn)上的流量進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)因拒絕服務(wù)攻擊等造成的域名異常，形成行為信息、告警信息，處理后形成事件信息；
 

　　e) 用戶與實(shí)體行為監(jiān)測(cè)：采用規(guī)則匹配、安全基線、機(jī)器學(xué)習(xí)等方式，監(jiān)測(cè)、分析用戶與實(shí)體的異常行為，形成行為信息、告警信息，處理后形成事件信息；
 

　　f) 網(wǎng)絡(luò)行為監(jiān)測(cè)：監(jiān)控網(wǎng)絡(luò)流量，采用深度檢測(cè)等技術(shù)發(fā)現(xiàn)因拒絕服務(wù)攻擊、惡意程序等造成的網(wǎng)絡(luò)異常行為，形成行為信息或告警信息，處理后形成事件信息；
 

　　g) 互聯(lián)網(wǎng)信息監(jiān)測(cè)：通過(guò)互聯(lián)網(wǎng)信息采集技術(shù)、智能處理技術(shù)等對(duì)互聯(lián)網(wǎng)信息進(jìn)行匯集、分類、整合、篩選，實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)信息收集與整理。形成行為信息、告警信息，處理后形成事件信息；
 

　　h) 安全審計(jì)：記錄并存儲(chǔ)網(wǎng)絡(luò)、軟硬件及其組件的活動(dòng)，產(chǎn)生各類審計(jì)日志，包括但不限于主機(jī)審計(jì)日志、網(wǎng)絡(luò)審計(jì)日志、數(shù)據(jù)庫(kù)審計(jì)日志、應(yīng)用審計(jì)日志、運(yùn)維審計(jì)日志等，形成行為信息、告警信息、威脅信息，處理后形成事件信息。
 

　　處置功能：
 

　　處置功能是發(fā)現(xiàn)網(wǎng)絡(luò)安全事件、安全威脅等情況時(shí)，通過(guò)相應(yīng)的響應(yīng)手段應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，減緩網(wǎng)絡(luò)安全事件帶來(lái)的影響。處置功能主要包括：
 

　　a) 事件自動(dòng)化處置：通過(guò)漏洞加固、封堵 IP、自動(dòng)化編排等方式，對(duì)安全分析結(jié)果進(jìn)行自動(dòng)化應(yīng)用、聯(lián)動(dòng)處置；
 

　　b) 攻擊抑制：采用病毒查殺、進(jìn)程終止、蜜罐誘捕等方式，對(duì)攻擊流量和可疑行為進(jìn)行阻斷、限制；
 

　　c) 備份恢復(fù)：基于已備份的信息，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)和功能的恢復(fù)；
 

　　d) 通報(bào)預(yù)警：對(duì)監(jiān)測(cè)過(guò)程中獲取的行為信息、脆弱性信息、事件信息、威脅信息等在一定范圍內(nèi)進(jìn)行預(yù)警或告知，形成告警信息和威脅信息；
 

　　e) 攻擊溯源：通過(guò)對(duì)攻擊信息片段進(jìn)行綜合分析和場(chǎng)景還原，重構(gòu)攻擊者的攻擊路徑、攻擊手法、攻擊意圖等，形成事件信息。
 

　　詳情請(qǐng)見(jiàn)附件。