T-COSOCC 017-2024 信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警產(chǎn)品技術(shù)要求

Informationsecuritytechnology--TechnicalrequirementsforcriticalininfrastructuresecuritymonitoringandwarnI 2 2 2 2 46.4溯源畫像 46.5風(fēng)險分析 46.6態(tài)勢展示 4 4 5 5 5 5 57.4系統(tǒng)平臺安全 5 5 6 6 6 6 7 9 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定公司、網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室、聯(lián)通數(shù)礎(chǔ)設(shè)施運(yùn)行安全的要求，在國家網(wǎng)絡(luò)安全等級保護(hù)制度以及GB/T39204《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)測預(yù)警產(chǎn)品技術(shù)要求，采取必要措施保護(hù)我國關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)的正常運(yùn)行和不受破壞。1信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警產(chǎn)品技術(shù)要求本文件規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警或第二方測評(甲方評價)，以及指導(dǎo)產(chǎn)品測評，也可供產(chǎn)品使GB/T20986、GB/T25069、GB/T39203.13.23.34縮略語URC：統(tǒng)一資源定位系統(tǒng)（uniformrWAF：Web應(yīng)用防火墻（WebApplicationFirewall）25概述關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警技術(shù)架構(gòu)見圖1。關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警產(chǎn)品安全監(jiān)測依于風(fēng)險分析關(guān)聯(lián)識別以及和溯源畫像技術(shù)對獲取到的判等處理，發(fā)現(xiàn)和評估安全事件（網(wǎng)絡(luò)安全事件編號編碼規(guī)則見附錄B和附錄C）和安全風(fēng)險；預(yù)警通系統(tǒng)升級、規(guī)則升級、系統(tǒng)自檢、系統(tǒng)配置備份及回退等。監(jiān)測預(yù)警產(chǎn)品運(yùn)行環(huán)境要求見附錄D。6.2安全監(jiān)測流量監(jiān)測功能支持串聯(lián)與旁路部署情況下，對流量進(jìn)行實(shí)時監(jiān)測，應(yīng)符合以下要絡(luò)監(jiān)測功能（netflow）等方式的采集c)支持對不同協(xié)議進(jìn)行監(jiān)測、解析的3b)支持監(jiān)測系統(tǒng)、安全、審計、應(yīng)用程序等日志文件。a)支持監(jiān)測主機(jī)內(nèi)存異常行為，包括但不限于惡意程序檢測等行為；b)支持監(jiān)測系統(tǒng)訪問行為，包括但不限于文件的讀、寫、重命名、刪除等行為；e)支持監(jiān)測應(yīng)用入侵行為，包括結(jié)構(gòu)化查詢語言（SQL）數(shù)據(jù)庫注入攻擊、內(nèi)存站腳本攻擊（XSS）、反序列化攻擊、表達(dá)式注入攻擊、請求偽造、信息竊取f)支持監(jiān)測應(yīng)用服務(wù)異常行為，包括進(jìn)程異常關(guān)閉、應(yīng)用服務(wù)端口異常等問題。1)支持監(jiān)測惡意程序事件，包括但不限b)能滿足識別和發(fā)現(xiàn)異常通信和執(zhí)行行為，包括不限于挖礦程序、外聯(lián)程序、域名系統(tǒng)（DNS）a)支持監(jiān)測關(guān)鍵信息基礎(chǔ)設(shè)施的設(shè)備、系統(tǒng)、服務(wù)、應(yīng)用等指紋信息；a)具備監(jiān)測威脅信息的能力：2)支持威脅信息的外部共享，支持接入第三方威脅信息源和自定義威脅信息源的能力；46.3應(yīng)用隱身保護(hù)b)具備對重要數(shù)據(jù)采取國密等算法加密和校驗(yàn)機(jī)制保障數(shù)6,4溯源畫像b)支持對關(guān)鍵信息基礎(chǔ)設(shè)施目前狀態(tài)的評估。6.6態(tài)勢展示a)支持時間預(yù)警機(jī)制，預(yù)警方式包括但不限于實(shí)時5b)支持基于監(jiān)測和數(shù)據(jù)分析結(jié)果等進(jìn)行分級別預(yù)警，預(yù)警分級應(yīng)符合GB/T20986中事件類別和d)支持根據(jù)預(yù)警級別和預(yù)警流程發(fā)布預(yù)警信息,預(yù)警信息包括但不限于預(yù)警類型、預(yù)警式，例如人工配置防火墻黑名單、聯(lián)動安全編排自動化與6.8系統(tǒng)管理a)提供產(chǎn)品軟硬件管理和配置圖形化界面，支持系統(tǒng)及配置的備份及回退；7.2授權(quán)與訪問控制b)支持對安全角色進(jìn)行維護(hù)，并將用戶和角色相關(guān)聯(lián)；d)支持IP黑白名單及訪問控制策略配置，支持按照時間設(shè)7.3通信安全b)具備通信安全能力，保證傳輸通道的安全性，保障數(shù)據(jù)的機(jī)密性、完整性和可用性。a)具備時間同步功能，每天應(yīng)至少同步一次；6開發(fā)者應(yīng)為產(chǎn)品的不同版本提供唯一的標(biāo)識。制定和實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警產(chǎn)品開8.2生產(chǎn)和交付應(yīng)建立和實(shí)施規(guī)范的產(chǎn)品生產(chǎn)和服務(wù)交付流程，采取完整性保護(hù)措施降低產(chǎn)品交付過程中的篡改7A.1.數(shù)據(jù)字段的數(shù)據(jù)類型的取值說明據(jù)網(wǎng)絡(luò)安全管理工作實(shí)際需要，界定各類網(wǎng)絡(luò)安全事件A.1.數(shù)據(jù)類型的取值123通過YYYYMMDD的形式表達(dá)的值的類型，符合GB/T4通過YYYYMMDDhh24mmss的形式表達(dá)的值的類型，符合GB/T5通過YYYYMMDDhh24mmss.xxxxxxxxx的形式表達(dá)的值6通過hhmmss的形式表達(dá)的值的類型，符合GB/T7兩個且只有兩個表明條件的值，如on/off、tru89{}A.2.監(jiān)測預(yù)警數(shù)據(jù)格式通用部分字段說明A.2.監(jiān)測預(yù)警數(shù)據(jù)格式通用部分字段說明12編碼方式按附錄B“網(wǎng)絡(luò)安全事件編號編碼規(guī)則”3測4件，詳見GB/T20986信息安全技術(shù)網(wǎng)絡(luò)安全事5678預(yù)警對象的URL，多個時用英文逗號隔開，最大9預(yù)警對象的域名，多個時用英文逗號隔開，最8攻擊發(fā)起的IP地址，支持ipv4、ipv6格式，多預(yù)警對象的IP地址，支持ipv4、ipv6格式，部分子類要求是多個時用英文逗號隔開，最大部分子類要求是多個時用英文逗號隔開，最大預(yù)警單位級別，級別詳見附錄表B.1單位單位所屬行業(yè)，參照GB/T4754-2017國民經(jīng)濟(jì)行業(yè)分類詞91234），）