Informationsecuritytechnology--TechnicalrequirementsforcriticalininfrastructuresecuritymonitoringandwarnI 2 2 2 2 46.4溯源畫像 46.5風險分析 46.6態(tài)勢展示 4 4 5 5 5 5 57.4系統(tǒng)平臺安全 5 5 6 6 6 6 7 9 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定公司、網絡通信與安全紫金山實驗室、聯通數礎設施運行安全的要求，在國家網絡安全等級保護制度以及GB/T39204《信息安全技術關鍵信息基礎測預警產品技術要求，采取必要措施保護我國關鍵信息基礎設施業(yè)務的正常運行和不受破壞。1信息安全技術關鍵信息基礎設施安全監(jiān)測預警產品技術要求本文件規(guī)定了關鍵信息基礎設施安全監(jiān)測預警或第二方測評(甲方評價)，以及指導產品測評，也可供產品使GB/T20986、GB/T25069、GB/T39203.13.23.34縮略語URC：統(tǒng)一資源定位系統(tǒng)（uniformrWAF：Web應用防火墻（WebApplicationFirewall）25概述關鍵信息基礎設施安全監(jiān)測預警技術架構見圖1。關鍵信息基礎設施安全監(jiān)測預警產品安全監(jiān)測依于風險分析關聯識別以及和溯源畫像技術對獲取到的判等處理，發(fā)現和評估安全事件（網絡安全事件編號編碼規(guī)則見附錄B和附錄C）和安全風險；預警通系統(tǒng)升級、規(guī)則升級、系統(tǒng)自檢、系統(tǒng)配置備份及回退等。監(jiān)測預警產品運行環(huán)境要求見附錄D。6.2安全監(jiān)測流量監(jiān)測功能支持串聯與旁路部署情況下，對流量進行實時監(jiān)測，應符合以下要絡監(jiān)測功能（netflow）等方式的采集c)支持對不同協(xié)議進行監(jiān)測、解析的3b)支持監(jiān)測系統(tǒng)、安全、審計、應用程序等日志文件。a)支持監(jiān)測主機內存異常行為，包括但不限于惡意程序檢測等行為；b)支持監(jiān)測系統(tǒng)訪問行為，包括但不限于文件的讀、寫、重命名、刪除等行為；e)支持監(jiān)測應用入侵行為，包括結構化查詢語言（SQL）數據庫注入攻擊、內存站腳本攻擊（XSS）、反序列化攻擊、表達式注入攻擊、請求偽造、信息竊取f)支持監(jiān)測應用服務異常行為，包括進程異常關閉、應用服務端口異常等問題。1)支持監(jiān)測惡意程序事件，包括但不限b)能滿足識別和發(fā)現異常通信和執(zhí)行行為，包括不限于挖礦程序、外聯程序、域名系統(tǒng)（DNS）a)支持監(jiān)測關鍵信息基礎設施的設備、系統(tǒng)、服務、應用等指紋信息；a)具備監(jiān)測威脅信息的能力：2)支持威脅信息的外部共享，支持接入第三方威脅信息源和自定義威脅信息源的能力；46.3應用隱身保護b)具備對重要數據采取國密等算法加密和校驗機制保障數6,4溯源畫像b)支持對關鍵信息基礎設施目前狀態(tài)的評估。6.6態(tài)勢展示a)支持時間預警機制，預警方式包括但不限于實時5b)支持基于監(jiān)測和數據分析結果等進行分級別預警，預警分級應符合GB/T20986中事件類別和d)支持根據預警級別和預警流程發(fā)布預警信息,預警信息包括但不限于預警類型、預警式，例如人工配置防火墻黑名單、聯動安全編排自動化與6.8系統(tǒng)管理a)提供產品軟硬件管理和配置圖形化界面，支持系統(tǒng)及配置的備份及回退；7.2授權與訪問控制b)支持對安全角色進行維護，并將用戶和角色相關聯；d)支持IP黑白名單及訪問控制策略配置，支持按照時間設7.3通信安全b)具備通信安全能力，保證傳輸通道的安全性，保障數據的機密性、完整性和可用性。a)具備時間同步功能，每天應至少同步一次；6開發(fā)者應為產品的不同版本提供唯一的標識。制定和實施關鍵信息基礎設施安全監(jiān)測預警產品開8.2生產和交付應建立和實施規(guī)范的產品生產和服務交付流程，采取完整性保護措施降低產品交付過程中的篡改7A.1.數據字段的數據類型的取值說明據網絡安全管理工作實際需要，界定各類網絡安全事件A.1.數據類型的取值123通過YYYYMMDD的形式表達的值的類型，符合GB/T4通過YYYYMMDDhh24mmss的形式表達的值的類型，符合GB/T5通過YYYYMMDDhh24mmss.xxxxxxxxx的形式表達的值6通過hhmmss的形式表達的值的類型，符合GB/T7兩個且只有兩個表明條件的值，如on/off、tru89{}A.2.監(jiān)測預警數據格式通用部分字段說明A.2.監(jiān)測預警數據格式通用部分字段說明12編碼方式按附錄B“網絡安全事件編號編碼規(guī)則”3測4件，詳見GB/T20986信息安全技術網絡安全事5678預警對象的URL，多個時用英文逗號隔開，最大9預警對象的域名，多個時用英文逗號隔開，最8攻擊發(fā)起的IP地址，支持ipv4、ipv6格式，多預警對象的IP地址，支持ipv4、ipv6格式，部分子類要求是多個時用英文逗號隔開，最大部分子類要求是多個時用英文逗號隔開，最大預警單位級別，級別詳見附錄表B.1單位單位所屬行業(yè)，參照GB/T4754-2017國民經濟行業(yè)分類詞91234），）