《信息安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》_第1頁(yè)
《信息安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》_第2頁(yè)
《信息安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》_第3頁(yè)
《信息安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》_第4頁(yè)
《信息安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》_第5頁(yè)
已閱讀5頁(yè),還剩11頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

ICS35.030

CCSL80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架

Informationsecuritytechnology—

Frameworkofnetworksecurityproductinterconnect

(征求意見(jiàn)稿)

(本草案完成時(shí)間:2023年7月12日)

在提交反饋意見(jiàn)時(shí),請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。

本文件起草單位:北京賽西科技發(fā)展有限責(zé)任公司、國(guó)家信息中心、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心、中國(guó)電

子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)科學(xué)院信息工程研究所、中國(guó)移動(dòng)通信集團(tuán)、北京大學(xué)、聯(lián)通數(shù)字科技有限

公司、天翼安全科技有限公司、沈陽(yáng)東軟系統(tǒng)集成工程有限公司、杭州安恒信息技術(shù)股份有限公司、深

信服科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司、北京升鑫網(wǎng)

絡(luò)科技有限公司、安天科技集團(tuán)股份有限公司、廣電計(jì)量檢測(cè)集團(tuán)股份有限公司、華為技術(shù)有限公司、

奇安信科技集團(tuán)股份有限公司。

本文件主要起草人:楊建軍、姚相振、孫彥、許玉娜、劉蓓、李建強(qiáng)、陳韻然、姜政偉、邱勤、謝

安明、王智明、馬晨、嚴(yán)冬、孫凌、陳星、安高峰、何茂根、閆桂勛、卞建超、唐迪、孫可人、趙新強(qiáng)、

張衛(wèi)博、姚葉鵬、李強(qiáng)、丁宇征。

III

GB/TXXXXX—XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架

1范圍

本文件給出了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架,包括互聯(lián)互通功能和互聯(lián)互通信息。

本文件適用于指導(dǎo)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通的設(shè)計(jì)、開(kāi)發(fā)和應(yīng)用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,

僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本

文件。

GB/T20986-2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級(jí)指南

GB/T25066-2020信息安全技術(shù)信息安全產(chǎn)品類別與代碼

GB/T30279-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南

3術(shù)語(yǔ)和定義

GB/T25066-2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

網(wǎng)絡(luò)安全產(chǎn)品networksecurityproduct

專門(mén)用于保障網(wǎng)絡(luò)安全的軟件、硬件或其組合體。

[來(lái)源:GB/T25066-20203.1,有修改]

3.2

網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通networksecurityproductinterconnect

通過(guò)統(tǒng)一的網(wǎng)絡(luò)安全信息描述和安全功能實(shí)現(xiàn),有效共享網(wǎng)絡(luò)安全產(chǎn)品感知或產(chǎn)生的信息,協(xié)同不

同網(wǎng)絡(luò)安全產(chǎn)品的功能,支撐監(jiān)測(cè)預(yù)警、信息共享、應(yīng)急響應(yīng)、態(tài)勢(shì)感知等應(yīng)用,提升網(wǎng)絡(luò)安全防護(hù)能

力和網(wǎng)絡(luò)安全事件處置效率的一種機(jī)制。

3.3

互聯(lián)互通功能interconnectfunction

網(wǎng)絡(luò)安全產(chǎn)品實(shí)現(xiàn)互聯(lián)互通所應(yīng)用的安全功能及其實(shí)現(xiàn)方式。

3.4

互聯(lián)互通信息interconnectinformation

網(wǎng)絡(luò)安全產(chǎn)品支撐互聯(lián)互通功能實(shí)現(xiàn)所提供數(shù)據(jù)的類型、結(jié)構(gòu)和數(shù)據(jù)格式。

4互聯(lián)互通框架

4.1概述

網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架包括網(wǎng)絡(luò)安全產(chǎn)品的互聯(lián)互通功能和互聯(lián)互通信息,具體見(jiàn)圖1。

互聯(lián)互通功能的功能類型主要分為4類,包括識(shí)別功能、防護(hù)功能、監(jiān)測(cè)功能和處置功能。功能接

口支撐各類功能實(shí)現(xiàn),規(guī)范接口的通信協(xié)議、請(qǐng)求方式以及應(yīng)滿足的安全機(jī)制。

1

GB/TXXXXX—XXXX

互聯(lián)互通信息的信息類型主要分為6類,包括行為信息、告警信息、資產(chǎn)信息、脆弱性信息、威脅

信息和事件信息。信息描述規(guī)范互聯(lián)互通信息的信息內(nèi)容和信息格式。

附錄A給出了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通典型應(yīng)用場(chǎng)景。附錄B給出了互聯(lián)互通功能使用的互聯(lián)互通信息。

圖1網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架

4.2互聯(lián)互通功能

4.2.1功能類型

識(shí)別功能

識(shí)別功能通過(guò)對(duì)軟硬件、數(shù)據(jù)、網(wǎng)絡(luò)等信息的采集與分析,識(shí)別潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。識(shí)別功能主

要包括:

a)資產(chǎn)識(shí)別:檢查、發(fā)現(xiàn)網(wǎng)絡(luò)、軟硬件和數(shù)據(jù)等資產(chǎn),形成資產(chǎn)信息;

b)脆弱性識(shí)別:發(fā)現(xiàn)已識(shí)別資產(chǎn)中可能存在的脆弱性,包括漏洞掃描、代碼審計(jì)、配置核查等,

形成脆弱性信息;

c)威脅識(shí)別:通過(guò)分析網(wǎng)絡(luò)流量、安全日志、威脅情報(bào)等,識(shí)別威脅,形成威脅信息;

2

GB/TXXXXX—XXXX

d)網(wǎng)絡(luò)流量采集:通過(guò)流量鏡像等方式,獲取并記錄網(wǎng)絡(luò)行為,形成行為信息;

e)終端信息采集:對(duì)終端進(jìn)程、流量特征、文件等信息進(jìn)行采集,獲取并記錄終端行為,形成

行為信息。

防護(hù)功能

防護(hù)功能通過(guò)實(shí)施防護(hù)措施,防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。防護(hù)功能主要包括:

a)身份管理與鑒別:標(biāo)識(shí)和鑒別軟硬件、數(shù)據(jù)、網(wǎng)絡(luò)等訪問(wèn)者身份合法性的過(guò)程,形成行為信

息,對(duì)于存在非授權(quán)訪問(wèn)的情況,還應(yīng)形成告警信息;

b)網(wǎng)絡(luò)訪問(wèn)控制:按照網(wǎng)絡(luò)訪問(wèn)控制策略對(duì)訪問(wèn)行為進(jìn)行阻斷或授權(quán),形成行為信息,當(dāng)發(fā)生

阻斷時(shí),還應(yīng)形成告警信息;

c)網(wǎng)絡(luò)入侵防御:通過(guò)協(xié)議解碼、內(nèi)容檢測(cè)、規(guī)則匹配及威脅情報(bào)分析等技術(shù)手段,檢測(cè)和阻

斷網(wǎng)絡(luò)入侵行為,形成行為信息、告警信息;

d)網(wǎng)絡(luò)隔離交換:通過(guò)終止網(wǎng)絡(luò)連接、分離網(wǎng)絡(luò)協(xié)議等方式,將數(shù)據(jù)以專有數(shù)據(jù)塊的形式在不

同網(wǎng)絡(luò)間進(jìn)行擺渡,實(shí)現(xiàn)網(wǎng)絡(luò)隔離環(huán)境下數(shù)據(jù)交換的過(guò)程,形成行為信息、告警信息;

e)網(wǎng)絡(luò)行為控制:通過(guò)行為模式識(shí)別、規(guī)則匹配等方式分析網(wǎng)絡(luò)行為,進(jìn)行隔離、過(guò)濾、放行

等操作,形成行為信息、告警信息;

f)網(wǎng)絡(luò)流量控制:基于流量控制策略對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)、分類、整形、帶寬限速、帶寬保障

等操作,優(yōu)化帶寬資源使用,避免網(wǎng)絡(luò)擁塞,形成行為信息、告警信息;

g)拒絕服務(wù)攻擊防護(hù):通過(guò)TCP代理、源IP驗(yàn)證等方式,發(fā)現(xiàn)網(wǎng)絡(luò)流量的拒絕服務(wù)攻擊行為,

對(duì)匹配抗拒絕服務(wù)策略的網(wǎng)絡(luò)流量進(jìn)行阻斷,形成行為信息、告警信息;

h)數(shù)據(jù)庫(kù)防護(hù):通過(guò)數(shù)據(jù)庫(kù)審計(jì)等方式,發(fā)現(xiàn)并阻斷針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊,形成行為信息、

告警信息;

i)惡意代碼防范:通過(guò)漏洞掃描、注冊(cè)表查找等方式,檢測(cè)發(fā)現(xiàn)僵尸、木馬、蠕蟲(chóng)等惡意代碼,

并對(duì)其進(jìn)行清除或隔離等操作,形成行為信息、告警信息;

j)應(yīng)用安全防護(hù):分析Web應(yīng)用、主機(jī)設(shè)備等的訪問(wèn)流量,實(shí)現(xiàn)Web應(yīng)用攻擊防護(hù)、非授權(quán)訪

問(wèn)防護(hù)、惡意代碼防護(hù)、郵件安全防護(hù)、網(wǎng)頁(yè)防篡改等功能,形成行為信息、告警信息;

k)終端訪問(wèn)控制:通過(guò)終端訪問(wèn)控制規(guī)則對(duì)終端操作和訪問(wèn)行為進(jìn)行管控,形成行為信息、告

警信息。終端操作和訪問(wèn)行為包括且不限于網(wǎng)絡(luò)訪問(wèn)、文件訪問(wèn)、系統(tǒng)指令訪問(wèn)、進(jìn)程創(chuàng)建、

移動(dòng)存儲(chǔ)介質(zhì)訪問(wèn)、辦公設(shè)備訪問(wèn)等;

l)終端入侵防護(hù):通過(guò)獲取終端行為、系統(tǒng)日志或其他終端上的信息,發(fā)現(xiàn)違反安全策略的行

為并加以阻斷,形成行為信息、告警信息;

m)終端防病毒:在終端設(shè)備上實(shí)現(xiàn)的惡意代碼防范功能,形成行為信息、告警信息;

n)終端行為控制:依據(jù)訪問(wèn)控制規(guī)則對(duì)終端操作和訪問(wèn)行為進(jìn)行控制,終端操作和訪問(wèn)行為包

括但不限于網(wǎng)絡(luò)訪問(wèn)、文件訪問(wèn)、系統(tǒng)指令訪問(wèn)、進(jìn)程創(chuàng)建、移動(dòng)存儲(chǔ)介質(zhì)訪問(wèn)、辦公設(shè)備

訪問(wèn)等,形成行為信息、告警信息。

監(jiān)測(cè)功能

監(jiān)測(cè)功能通過(guò)持續(xù)監(jiān)測(cè)目標(biāo)網(wǎng)絡(luò)與系統(tǒng),發(fā)現(xiàn)網(wǎng)絡(luò)安全事件并觸發(fā)預(yù)警或響應(yīng)。監(jiān)測(cè)功能主要包括:

a)入侵檢測(cè):通過(guò)嗅探網(wǎng)絡(luò)流量、行為、安全日志及其他相關(guān)信息,分析計(jì)算終端和網(wǎng)絡(luò)資源

的惡意使用行為,包括但不限于入侵行為、非授權(quán)訪問(wèn)等,形成行為信息、告警信息,處理

后形成事件信息;

3

GB/TXXXXX—XXXX

b)高級(jí)持續(xù)性威脅(APT)檢測(cè):通過(guò)技術(shù)手段檢測(cè)或監(jiān)視高級(jí)持續(xù)性威脅,包括但不限于未知

惡意代碼檢測(cè)、嵌套式攻擊檢測(cè)、木馬蠕蟲(chóng)病毒檢測(cè)、隱蔽信道檢測(cè)等,形成行為信息、告

警信息,處理后形成事件信息;

c)終端安全檢測(cè):對(duì)受保護(hù)終端的終端進(jìn)程、流量特征、文件、系統(tǒng)性能等進(jìn)行監(jiān)測(cè),發(fā)現(xiàn)安

全風(fēng)險(xiǎn),形成行為信息、告警信息,處理后形成事件信息;

d)域名解析安全監(jiān)測(cè):對(duì)域名系統(tǒng)(DomainNameSystem,DNS)節(jié)點(diǎn)上的流量進(jìn)行監(jiān)測(cè),發(fā)現(xiàn)

因拒絕服務(wù)攻擊等造成的域名異常,形成行為信息、告警信息,處理后形成事件信息;

e)用戶與實(shí)體行為監(jiān)測(cè):采用規(guī)則匹配、安全基線、機(jī)器學(xué)習(xí)等方式,監(jiān)測(cè)、分析用戶與實(shí)體

的異常行為,形成行為信息、告警信息,處理后形成事件信息;

f)網(wǎng)絡(luò)行為監(jiān)測(cè):監(jiān)控網(wǎng)絡(luò)流量,采用深度檢測(cè)等技術(shù)發(fā)現(xiàn)因拒絕服務(wù)攻擊、惡意程序等造成

的網(wǎng)絡(luò)異常行為,形成行為信息或告警信息,處理后形成事件信息;

g)互聯(lián)網(wǎng)信息監(jiān)測(cè):通過(guò)互聯(lián)網(wǎng)信息采集技術(shù)、智能處理技術(shù)等對(duì)互聯(lián)網(wǎng)信息進(jìn)行匯集、分類、

整合、篩選,實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)信息收集與整理。形成行為信息、告警信息,處理后形成事件信

息;

h)安全審計(jì):記錄并存儲(chǔ)網(wǎng)絡(luò)、軟硬件及其組件的活動(dòng),產(chǎn)生各類審計(jì)日志,包括但不限于主

機(jī)審計(jì)日志、網(wǎng)絡(luò)審計(jì)日志、數(shù)據(jù)庫(kù)審計(jì)日志、應(yīng)用審計(jì)日志、運(yùn)維審計(jì)日志等,形成行為

信息、告警信息、威脅信息,處理后形成事件信息。

處置功能

處置功能是發(fā)現(xiàn)網(wǎng)絡(luò)安全事件、安全威脅等情況時(shí),通過(guò)相應(yīng)的響應(yīng)手段應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),減緩

網(wǎng)絡(luò)安全事件帶來(lái)的影響。處置功能主要包括:

a)事件自動(dòng)化處置:通過(guò)漏洞加固、封堵IP、自動(dòng)化編排等方式,對(duì)安全分析結(jié)果進(jìn)行自動(dòng)化

應(yīng)用、聯(lián)動(dòng)處置;

b)攻擊抑制:采用病毒查殺、進(jìn)程終止、蜜罐誘捕等方式,對(duì)攻擊流量和可疑行為進(jìn)行阻斷、

限制;

c)備份恢復(fù):基于已備份的信息,實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)和功能的恢復(fù);

d)通報(bào)預(yù)警:對(duì)監(jiān)測(cè)過(guò)程中獲取的行為信息、脆弱性信息、事件信息、威脅信息等在一定范圍

內(nèi)進(jìn)行預(yù)警或告知,形成告警信息和威脅信息;

e)攻擊溯源:通過(guò)對(duì)攻擊信息片段進(jìn)行綜合分析和場(chǎng)景還原,重構(gòu)攻擊者的攻擊路徑、攻擊手

法、攻擊意圖等,形成事件信息。

4.2.2功能接口

功能接口從通信協(xié)議、請(qǐng)求方式和安全機(jī)制等方面指導(dǎo)互聯(lián)互通功能的實(shí)現(xiàn)。通信協(xié)議主要包括

Syslog、Kafka、Http(s)等。請(qǐng)求方式主要包括請(qǐng)求參數(shù)格式、請(qǐng)求報(bào)文結(jié)構(gòu)、響應(yīng)參數(shù)數(shù)據(jù)格式等。

安全機(jī)制主要包括認(rèn)證過(guò)程、認(rèn)證參數(shù)、加密方式等。

4.3互聯(lián)互通信息

4.3.1信息類型

行為信息

行為信息通過(guò)直接記錄原始數(shù)據(jù)或采用審計(jì)日志的方式,描述安全域內(nèi)終端、網(wǎng)絡(luò)環(huán)境中的各類行

為活動(dòng)的信息。行為信息主要包括:

a)終端行為信息:包括但不限于系統(tǒng)日志、第三方終端監(jiān)控日志;

4

GB/TXXXXX—XXXX

b)網(wǎng)絡(luò)行為信息:包括但不限于各類網(wǎng)絡(luò)協(xié)議日志。

告警信息

告警信息是網(wǎng)絡(luò)安全產(chǎn)品依據(jù)設(shè)定的規(guī)則或模型,對(duì)采集到的網(wǎng)絡(luò)安全信息自動(dòng)進(jìn)行規(guī)則匹配、歸

并、分析等活動(dòng)后產(chǎn)生的風(fēng)險(xiǎn)警示信息。告警信息主要包括:

a)惡意程序告警信息:包括但不限于計(jì)算機(jī)病毒告警、網(wǎng)絡(luò)蠕蟲(chóng)告警、特洛伊木馬告警、僵尸

網(wǎng)絡(luò)告警、惡意代碼內(nèi)嵌網(wǎng)頁(yè)告警、勒索軟件告警和挖礦軟件告警等信息;

b)網(wǎng)絡(luò)攻擊告警信息:包括但不限于網(wǎng)絡(luò)掃描探測(cè)告警、網(wǎng)絡(luò)釣魚(yú)告警、漏洞利用告警、后門(mén)

利用告警、憑據(jù)攻擊告警、拒絕服務(wù)告警、網(wǎng)頁(yè)篡改告警、失陷主機(jī)告警和APT告警等信息;

c)數(shù)據(jù)安全告警信息:包括但不限于數(shù)據(jù)篡改告警、數(shù)據(jù)泄露告警等信息;

d)異常行為告警信息:包括但不限于訪問(wèn)異常告警、流量異常告警等信息;

e)其他不能歸為以上4類的網(wǎng)絡(luò)安全告警信息。

資產(chǎn)信息

資產(chǎn)信息是實(shí)現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通時(shí)所使用的資產(chǎn)信息,包括但不限于硬件設(shè)備、業(yè)務(wù)系統(tǒng)、

操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用軟件等。

脆弱性信息

脆弱性信息是描述可能被一個(gè)或多個(gè)威脅利用的資產(chǎn)或控制弱點(diǎn)的信息。脆弱性信息主要涉及系統(tǒng)

軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)等,按照GB/T30279-2020第5章進(jìn)行分類,包括但不限于代碼問(wèn)題信息、

配置錯(cuò)誤信息等。

威脅信息

威脅信息是一種基于證據(jù)的知識(shí),用于描述現(xiàn)有或可能出現(xiàn)的威脅,從而實(shí)現(xiàn)對(duì)威脅的響應(yīng)和預(yù)防。

威脅信息可分為域名類、IP類和文件類,威脅信息的要素包括但不限于網(wǎng)絡(luò)安全事件、攻擊指標(biāo)、攻擊

方法、攻擊活動(dòng)等。

事件信息

事件信息是由于自然或人為以及軟硬件本身缺陷或故障的原因,對(duì)信息系統(tǒng)造成危害,或?qū)ι鐣?huì)造

成負(fù)面影響的描述。事件信息按照GB/T20986-2023的5.2進(jìn)行分類。

4.3.2信息描述

信息描述對(duì)互聯(lián)互通信息內(nèi)容和信息格式進(jìn)行規(guī)范?;ヂ?lián)互通信息內(nèi)容包括各類信息的通用內(nèi)容和

擴(kuò)展內(nèi)容,信息格式包括字段名稱、字段類型、字段取值、字段說(shuō)明等。

5

GB/TXXXXX—XXXX

A

A

附錄A

(資料性)

網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通典型應(yīng)用場(chǎng)景

A.1概述

互聯(lián)互通應(yīng)用場(chǎng)景包括兩類。

一是安全管理系統(tǒng)(如網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)、安全編排自動(dòng)化與響應(yīng)平臺(tái)、安全信息和事件管理

平臺(tái)和安全運(yùn)營(yíng)中心等)與網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通,是目前互聯(lián)互通的主要應(yīng)用場(chǎng)景。這類場(chǎng)景中,不

同網(wǎng)絡(luò)安全產(chǎn)品通過(guò)與安全管理平臺(tái)的信息交互,支撐安全管理平臺(tái)開(kāi)展網(wǎng)絡(luò)安全事件的分析和處置。

二是不同安全產(chǎn)品(不包括安全管理系統(tǒng))之間的互聯(lián)互通,此類場(chǎng)景在實(shí)際應(yīng)用中相對(duì)較少,典

型應(yīng)用如防火墻與相關(guān)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通。

A.2安全管理系統(tǒng)與網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通

安全管理系統(tǒng)和網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通可以實(shí)現(xiàn)互聯(lián)互通功能的靈活調(diào)度,提升安全自動(dòng)化響應(yīng)與

處置效能,見(jiàn)圖A.1。

圖A.1安全管理系統(tǒng)與網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通示意圖

a)數(shù)據(jù)采集場(chǎng)景。安全管理系統(tǒng)與網(wǎng)絡(luò)安全產(chǎn)品通過(guò)數(shù)據(jù)接口進(jìn)行數(shù)據(jù)采集,主要包括資產(chǎn)信

息、告警信息、脆弱性信息、行為信息等,具體如下:

1)資產(chǎn)信息可通過(guò)入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡(luò)檢測(cè)與響應(yīng)等獲取,上報(bào)的資產(chǎn)信息

內(nèi)容包括但不限于資產(chǎn)標(biāo)識(shí)、資產(chǎn)名稱等;

6

GB/TXXXXX—XXXX

2)告警信息可通過(guò)Web應(yīng)用防火墻、防火墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡(luò)檢測(cè)與響

應(yīng)、終端檢測(cè)與響應(yīng)系統(tǒng)等獲取,上報(bào)的告警信息內(nèi)容包括但不限于告警時(shí)間、告警等

級(jí)等;

3)脆弱性信息可通過(guò)漏洞掃描器獲取,上報(bào)的脆弱性信息內(nèi)容包括但不限于代碼問(wèn)題信息、

配置錯(cuò)誤信息等。

4)行為信息可通過(guò)入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡(luò)檢測(cè)與響應(yīng)、終端檢測(cè)與響應(yīng)系統(tǒng)

獲取,上報(bào)的行為信息內(nèi)容包括但不限于系統(tǒng)日志等。

b)聯(lián)動(dòng)處置場(chǎng)景。以安全管理系統(tǒng)為中心,通過(guò)聯(lián)動(dòng)處置接口,可實(shí)現(xiàn)防火墻網(wǎng)絡(luò)訪問(wèn)控制等

功能調(diào)用,漏洞掃描器的資產(chǎn)識(shí)別、脆弱性識(shí)別等功能調(diào)用,終端檢測(cè)與響應(yīng)系統(tǒng)的攻擊抑

制等功能調(diào)用,入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡(luò)檢測(cè)與響應(yīng)等安全監(jiān)測(cè)產(chǎn)品的入侵檢測(cè)

等功能調(diào)用。

A.3防火墻與相關(guān)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通

在劃定的安全域中,防火墻作為部署在網(wǎng)絡(luò)邊界側(cè)的網(wǎng)絡(luò)安全訪問(wèn)控制產(chǎn)品,可接收不同類型網(wǎng)絡(luò)

安全設(shè)備上報(bào)的行為信息和告警信息,通過(guò)調(diào)整防火墻的訪問(wèn)控制策略,及時(shí)處置網(wǎng)絡(luò)攻擊。

防火墻可與漏洞掃描器、終端檢測(cè)與響應(yīng)系統(tǒng)、數(shù)據(jù)泄露防護(hù)系統(tǒng)和入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品

互聯(lián)互通,獲取資產(chǎn)信息、脆弱性信息、行為信息、告警信息等信息,及時(shí)調(diào)整防火墻訪問(wèn)控制策略,

實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的阻斷。見(jiàn)圖A.2。

圖A.2防火墻與相關(guān)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通示意圖

a)Web應(yīng)用防火墻與漏洞掃描器產(chǎn)品互聯(lián)互通場(chǎng)景。漏洞掃描器對(duì)目標(biāo)資產(chǎn)進(jìn)行脆弱性掃描,并

將掃描結(jié)果反饋給Web應(yīng)用防火墻。Web應(yīng)用防火墻根據(jù)獲取的資產(chǎn)信息和脆弱性信息,更新

并應(yīng)用新的訪問(wèn)控制策略;

b)防火墻與終端檢測(cè)與響應(yīng)系統(tǒng)互聯(lián)互通場(chǎng)景。防火墻從終端檢測(cè)與響應(yīng)系統(tǒng)獲取終端的安全

狀態(tài),并根據(jù)接收到的行為信息和告警信息調(diào)整防火墻的訪問(wèn)控制策略,控制存在安全風(fēng)險(xiǎn)

的終端網(wǎng)絡(luò)訪問(wèn)行為;

7

GB/TXXXXX—XXXX

c)防火墻與數(shù)據(jù)防泄露系統(tǒng)互聯(lián)互通場(chǎng)景。數(shù)據(jù)防泄露系統(tǒng)識(shí)別敏感數(shù)據(jù)異常訪問(wèn)行為,將需

要阻斷的數(shù)據(jù)訪問(wèn)行為生成行為信息和告警信息上報(bào)給防火墻;防火墻根據(jù)數(shù)據(jù)防泄露系統(tǒng)

上報(bào)的信息,更新訪問(wèn)控制策略,并阻斷相應(yīng)數(shù)據(jù)訪問(wèn)行為;

d)防火墻與入侵檢測(cè)系統(tǒng)互聯(lián)互通場(chǎng)景。入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)攻擊行為時(shí),收集網(wǎng)絡(luò)攻擊

相關(guān)的資產(chǎn)信息、行為信息和告警信息,并將相關(guān)信息上報(bào)給部署在網(wǎng)絡(luò)出入口處的防火墻,

由防火墻根據(jù)上報(bào)信息生成對(duì)應(yīng)的網(wǎng)絡(luò)訪問(wèn)控制規(guī)則,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊事件的及時(shí)阻斷

或限流。

8

GB/TXXXXX—XXXX

B

B

附錄B

(資料性)

互聯(lián)互通功能使用的互聯(lián)互通信息

網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通功能輸入/輸出的互聯(lián)互通信息內(nèi)容見(jiàn)表B.1。

表B.1互聯(lián)互通功能使用的互聯(lián)互通信息

互聯(lián)互通

互聯(lián)互通功能子類輸入信息類型輸出信息類型

功能類型

資產(chǎn)識(shí)別行為信息資產(chǎn)信息

脆弱性識(shí)別行為信息、威脅信息脆弱性信息

資產(chǎn)信息、行為信息、告警信息、威脅信息、事件信息、

識(shí)別功能威脅識(shí)別威脅信息

脆弱性信息

網(wǎng)絡(luò)流量采集—行為信息

終端信息采集—行為信息

身份管理與鑒別資產(chǎn)信息、行為信息行為信息、告警信息

網(wǎng)絡(luò)訪問(wèn)控制行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

網(wǎng)絡(luò)入侵防御行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

網(wǎng)絡(luò)隔離交換行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

網(wǎng)絡(luò)行為控制行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

網(wǎng)絡(luò)流量控制行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

拒絕服務(wù)攻擊防護(hù)行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

防護(hù)功能

數(shù)據(jù)庫(kù)防護(hù)資產(chǎn)信息、行為信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

惡意代碼防范告警信息、威脅信息、事件信息行為信息、告警信息

應(yīng)用安全防護(hù)行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

終端訪問(wèn)控制行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

終端入侵防護(hù)行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

終端防病毒行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

終端行為控制行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

入侵檢測(cè)行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

高級(jí)持續(xù)性威脅檢

行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

測(cè)

終端安全檢測(cè)行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

域名解析安全監(jiān)測(cè)行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

監(jiān)測(cè)功能用戶與實(shí)體行為監(jiān)

行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

測(cè)

網(wǎng)絡(luò)行為監(jiān)測(cè)行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

互聯(lián)網(wǎng)信息監(jiān)測(cè)行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

行為信息、告警信息、威脅信息、

安全審計(jì)行為信息、威脅信息、資產(chǎn)信息、事件信息

事件信息

9

GB/TXXXXX—XXXX

表B.1互聯(lián)互通功能使用的互聯(lián)互通信息(續(xù))

互聯(lián)互

互聯(lián)互通功能子

通功能輸入信息類別輸出信息類別

類別

事件自動(dòng)化處置行為信息、告警信息、威脅信息、事件信息—

攻擊抑制行為信息、告警信息、威脅信息、事件信息—

處置功

備份恢復(fù)行為信息、告警信息、威脅信息、事件信息—

通報(bào)預(yù)警行為信息、脆弱性信息、威脅信息、事件信息告警信息、威脅信息

攻擊溯源行為信息、告警信息、威脅信息事件信息

10

GB/TXXXXX—XXXX

參考文獻(xiàn)

[1]GB/T28458-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范

[2]GB/T28517-2012網(wǎng)絡(luò)安全事件描述和交換格式

[3]GB/T36643-2018信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范

[4]GB/T37027-2018信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范

11

GB/TXXXXX—XXXX

目次

前言.................................................................................III

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術(shù)語(yǔ)和定義...........................................................................1

4互聯(lián)互通框架.........................................................................1

4.1概述.............................................................................1

4.2互聯(lián)互通功能.....................................................................2

4.3互聯(lián)互通信息.....................................................................4

附錄A(資料性)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通典型應(yīng)用場(chǎng)景......................................6

附錄B(資料性)互聯(lián)互通功能使用的互聯(lián)互通信息........................................9

參考文獻(xiàn)..............................................................................11

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論