《信息安全技术 网络安全产品互联互通框架》征求意见
- 2023-07-21 09:07:582302
- 来源:仪表网
【网 行业】近日,由北京赛西科技发展有限责任公司 、公安部第三研究所 、中国移动通信集团有限公司 、深信服科技股份有限公司等单位起草, tc260(全国信息安全标准化技术委员会)归口的国家标准计划《信息安全技术 网络安全产品互联互通框架》征求意见稿已编制完成,现公开征求意见。
智能化、自动化的协同防护能力建设依赖于不同网络安全产品的互联互通。然而,当前我国网络安全产品互联互通仍在起步阶段。一方面,安全厂商产品类型复杂、不同产品的数据融合难、实现差异明显。大量研发成本用于实现不同安全厂商、安全产品之间的适配,同质化竞争严重,技术创新投入不足,创新能力有待提高,长期来看影响网络安全产业做大做强。另一方面,政务、电信、金融等行业用户单位通过研制数据、安全功能相关标准,研发定制化产品和安全等方式,初步实现在特定业务场景下的网络安全产品互联互通,但由于缺少统一技术框架和配套标准规范,用户单位网络安全产品互联互通工作改造成本高、效果不明显,难以形成规模化、可复制的应用推广经验。基于此,急需出台统一技术框架指导相关工作开展。
本文件拟提出统一的互联互通功能和互联互通信息框架,指导厂商、用户单位等开展网络安全产品互联互通建设工作,解决当前互联互通建设成本高,应用范围仅限于特定业务场景,难以复制推广的问题。
本文件按照gb/t 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件给出了网络安全产品互联互通框架,包括互联互通功能和互联互通信息。本文件适用于指导网络安全产品互联互通的设计、开发和应用。
识别功能:
识别功能通过对软硬件、数据、网络等信息的采集与分析,识别潜在的网络安全风险。识别功能主要包括:
a) 资产识别:检查、发现网络、软硬件和数据等资产,形成资产信息;
b) 脆弱性识别:发现已识别资产中可能存在的脆弱性,包括漏洞扫描、代码审计、配置核查等,形成脆弱性信息;
c) 威胁识别:通过分析网络流量、安全日志、威胁情报等,识别威胁,形成威胁信息;
d) 网络流量采集:通过流量镜像等方式,获取并记录网络行为,形成行为信息;
e) 终端信息采集:对终端进程、流量特征、文件等信息进行采集,获取并记录终端行为,形成行为信息。
防护功能:
防护功能通过实施防护措施,防范网络安全风险。防护功能主要包括:
a) 身份管理与鉴别:标识和鉴别软硬件、数据、网络等访问者身份合法性的过程,形成行为信息,对于存在非授权访问的情况,还应形成告警信息;
b) 网络访问控制:按照网络访问控制策略对访问行为进行阻断或授权,形成行为信息,当发生阻断时,还应形成告警信息;
c) 网络入侵防御:通过协议解码、内容检测、规则匹配及威胁情报分析等技术手段,检测和阻断网络入侵行为,形成行为信息、告警信息;
d) 网络隔离交换:通过终止网络连接、分离网络协议等方式,将数据以专有数据块的形式在不同网络间进行摆渡,实现网络隔离环境下数据交换的过程,形成行为信息、告警信息;
e) 网络行为控制:通过行为模式识别、规则匹配等方式分析网络行为,进行隔离、过滤、放行等操作,形成行为信息、告警信息;
f) 网络流量控制:基于流量控制策略对网络流量进行监测、分类、整形、带宽限速、带宽保障等操作,优化带宽资源使用,避免网络拥塞,形成行为信息、告警信息;
g) 拒绝服务攻击防护:通过 tcp 代理、源 ip 验证等方式,发现网络流量的拒绝服务攻击行为,对匹配抗拒绝服务策略的网络流量进行阻断,形成行为信息、告警信息;
h) 数据库防护:通过数据库审计等方式,发现并阻断针对数据库系统的攻击,形成行为信息、告警信息;
i) 恶意代码防范:通过漏洞扫描、注册表查找等方式,检测发现僵尸、木马、蠕虫等恶意代码,并对其进行清除或隔离等操作,形成行为信息、告警信息;
j) 应用安全防护:分析 web 应用、主机设备等的访问流量,实现 web 应用攻击防护、非授权访问防护、恶意代码防护、邮件安全防护、网页防篡改等功能,形成行为信息、告警信息;
k) 终端访问控制:通过终端访问控制规则对终端操作和访问行为进行管控,形成行为信息、告警信息。终端操作和访问行为包括且不限于网络访问、文件访问、系统指令访问、进程创建、移动存储介质访问、办公设备访问等;
l) 终端入侵防护:通过获取终端行为、系统日志或其他终端上的信息,发现违反安全策略的行为并加以阻断,形成行为信息、告警信息;
m) 终端防病毒:在终端设备上实现的恶意代码防范功能,形成行为信息、告警信息;
n) 终端行为控制:依据访问控制规则对终端操作和访问行为进行控制,终端操作和访问行为包括但不限于网络访问、文件访问、系统指令访问、进程创建、移动存储介质访问、办公设备访问等,形成行为信息、告警信息。
监测功能:
监测功能通过持续监测目标网络与系统,发现网络安全事件并触发预警或响应。监测功能主要包括:
a) 入侵检测:通过嗅探网络流量、行为、安全日志及其他相关信息,分析计算终端和网络资源的恶意使用行为,包括但不限于入侵行为、非授权访问等,形成行为信息、告警信息,处理后形成事件信息;
b) 高级持续性威胁(apt)检测:通过技术手段检测或监视高级持续性威胁,包括但不限于未知恶意代码检测、嵌套式攻击检测、木马蠕虫病毒检测、隐蔽信道检测等,形成行为信息、告警信息,处理后形成事件信息;
c) 终端安全检测:对受保护终端的终端进程、流量特征、文件、系统性能等进行监测,发现安全风险,形成行为信息、告警信息,处理后形成事件信息;
d) 域名解析安全监测:对域名系统(domain name system,dns)节点上的流量进行监测,发现因拒绝服务攻击等造成的域名异常,形成行为信息、告警信息,处理后形成事件信息;
e) 用户与实体行为监测:采用规则匹配、安全基线、机器学习等方式,监测、分析用户与实体的异常行为,形成行为信息、告警信息,处理后形成事件信息;
f) 网络行为监测:监控网络流量,采用深度检测等技术发现因拒绝服务攻击、恶意程序等造成的网络异常行为,形成行为信息或告警信息,处理后形成事件信息;
g) 互联网信息监测:通过互联网信息采集技术、智能处理技术等对互联网信息进行汇集、分类、整合、筛选,实现对互联网信息收集与整理。形成行为信息、告警信息,处理后形成事件信息;
h) 安全审计:记录并存储网络、软硬件及其组件的活动,产生各类审计日志,包括但不限于主机审计日志、网络审计日志、数据库审计日志、应用审计日志、运维审计日志等,形成行为信息、告警信息、威胁信息,处理后形成事件信息。
处置功能:
处置功能是发现网络安全事件、安全威胁等情况时,通过相应的响应手段应对网络安全风险,减缓网络安全事件带来的影响。处置功能主要包括:
a) 事件自动化处置:通过漏洞加固、封堵 ip、自动化编排等方式,对安全分析结果进行自动化应用、联动处置;
b) 攻击抑制:采用病毒查杀、进程终止、蜜罐诱捕等方式,对攻击流量和可疑行为进行阻断、限制;
c) 备份恢复:基于已备份的信息,实现对业务系统数据和功能的恢复;
d) 通报预警:对监测过程中获取的行为信息、脆弱性信息、事件信息、威胁信息等在一定范围内进行预警或告知,形成告警信息和威胁信息;
e) 攻击溯源:通过对攻击信息片段进行综合分析和场景还原,重构攻击者的攻击路径、攻击手法、攻击意图等,形成事件信息。
详情请见附件。
相关资料下载: