Informationsecuritytechnology--TechnicalrequirementsforcriticalininfrastructuresecuritymonitoringandwarnI 2 2 2 2 4 4 4 4 4 5 5 5 5 5 5 5 6 6 6 6 7 9 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定公司、網絡通信與安全紫金山實驗室、聯(lián)通數(shù)礎設施運行安全的要求，在國家網絡安全等級保護制度以及GB/T39204《信息安全技術關鍵信息基礎測預警產品技術要求，采取必要措施保護我國關鍵信息基礎設施業(yè)務的正常運行和不受破壞。1信息安全技術關鍵信息基礎設施安全監(jiān)測預警產品技術要求本文件規(guī)定了關鍵信息基礎設施安全監(jiān)測預警或第二方測評(甲方評價)，以及指導產品測評，也可供產品使GB/T20986、GB/T25069、GB/T39204縮略語URC：統(tǒng)一資源定位系統(tǒng)（uniformrWAF：Web應用防火墻（WebApplicationFirewall）25概述關鍵信息基礎設施安全監(jiān)測預警技術架構見圖1。關鍵信息基礎設施安全監(jiān)測預警產品安全監(jiān)測依據(jù)業(yè)務需要對關鍵信息基礎設施網絡或系統(tǒng)等監(jiān)測預警對象進行信息監(jiān)測，監(jiān)測數(shù)據(jù)用戶后續(xù)分析；基于風險分析關聯(lián)識別以及和溯源畫像技術對獲取到的監(jiān)測數(shù)據(jù)(數(shù)據(jù)字段格式見附錄A)進行解析與研判等處理，發(fā)現(xiàn)和評估安全事件(網絡安全事件編號編碼規(guī)則見附錄B和附錄C)和安全風險；預警通報基于設定的預警規(guī)則進行及時準確預警，便于后續(xù)應急處置；態(tài)勢展示根據(jù)應用場景調用相關數(shù)據(jù)進行多維度評估和展示，包括整體態(tài)勢和專題態(tài)勢；最后通過預警通報關聯(lián)處置安全威脅；應用隱身保護通過可信終端對應用進行隱身保護，保障關鍵信息基礎設施的安全運行；系統(tǒng)管理主要進行軟硬件管理、系統(tǒng)升級、規(guī)則升級、系統(tǒng)自檢、系統(tǒng)配置備份及回退等。監(jiān)測預警產品運行環(huán)境要求見附錄D。系系統(tǒng)管理應用隱身保護流量監(jiān)測日志監(jiān)測流量監(jiān)測日志監(jiān)測圖1關鍵信息基礎設施安全監(jiān)測預警技術架構6功能要求6.1網絡部署網絡部署功能應符合以下要求：a)在網絡邊界、網絡出人口等網絡關鍵節(jié)點部署，支持串聯(lián)與旁路部署方式，支持單機和分布式部署，支持channel、trunk等接口模式，并支持802.1Q等網絡環(huán)境；b)支持管理口、鏡像口、阻斷口及業(yè)務口分離部署。6.2安全監(jiān)測6.2.1流量監(jiān)測流量監(jiān)測功能支持串聯(lián)與旁路部署情況下，對流量進行實時監(jiān)測，應符合以下要求：a)支持監(jiān)測關鍵信息基礎設施的流量報文，支持流量元數(shù)據(jù)、過程特性分析軟件包(pcap)、網絡監(jiān)測功能(netflow)等方式的采集、存儲和轉發(fā)；b)支持監(jiān)測、解析和還原指定的IP地址；c)支持對不同協(xié)議進行監(jiān)測、解析的能力。3b)支持監(jiān)測系統(tǒng)、安全、審計、應用程序等日志文件。a)支持監(jiān)測主機內存異常行為，包括但不限于惡意程序檢測等行為；b)支持監(jiān)測系統(tǒng)訪問行為，包括但不限于文件的讀、寫、重命名、刪除等行為；e)支持監(jiān)測應用入侵行為，包括結構化查詢語言（SQL）數(shù)據(jù)庫注入攻擊、內存站腳本攻擊（XSS）、反序列化攻擊、表達式注入攻擊、請求偽造、信息竊取f)支持監(jiān)測應用服務異常行為，包括進程異常關閉、應用服務端口異常等問題。1)支持監(jiān)測惡意程序事件，包括但不限b)能滿足識別和發(fā)現(xiàn)異常通信和執(zhí)行行為，包括不限于挖礦程序、外聯(lián)程序、域名系統(tǒng)（DNS）a)支持監(jiān)測關鍵信息基礎設施的設備、系統(tǒng)、服務、應用等指紋信息；a)具備監(jiān)測威脅信息的能力：2)支持威脅信息的外部共享，支持接入第三方威脅信息源和自定義威脅信息源的能力；45b)支持基于監(jiān)測和數(shù)據(jù)分析結果等進行分級別預警，預警分級應符合GB/T20986中事件類別和分級方法的要求；c)支持以實時和統(tǒng)計的方式對安全預警進行展現(xiàn)，支持對預警進行處置派發(fā)及狀態(tài)跟蹤，及時自動更新預警狀態(tài)；d)支持根據(jù)預警級別和預警流程發(fā)布預警信息，預警信息包括但不限于預警類型、預警級別、事件類型、威脅方式、涉及對象、處置動作等。6.7.2預警過濾應具備安全、運維及管理人員定義安全策略，對關鍵信息基礎設施中的指定事件不予預警，支持對高頻度發(fā)生的相同或同類安全事件進行合并預警，避免出現(xiàn)預警風暴。6.7.3通報處置應具備安全、運維及管理人員定義通報處置策略，對關鍵信息基礎設施中的行為和事件定制處置方式，例如人工配置防火墻黑名單、聯(lián)動安全編排自動化與響應(SOAR)通知防火墻封控攔截等策略。6.8系統(tǒng)管理系統(tǒng)管理應符合以下要求：a)提供產品軟硬件管理和配置圖形化界面，支持系統(tǒng)及配置的備份及回退；b)具備獨立的控制臺，支持系統(tǒng)、補丁、規(guī)則庫等在線升級，支持產品管理、自檢、故障恢復等功能。7安全要求7.1身份標識與鑒別身份標識應具有唯一性，產品應具備對用戶身份的鑒別功能，用戶請求執(zhí)行任何操作前，對每個授權用戶進行唯一的身份鑒別，身份鑒別應符合GB/T36633中身份鑒別主要過程要求。7.2授權與訪問控制授權與訪問控制應符合以下要求：a)支持區(qū)分系統(tǒng)管理員、安全管理員和審計管理員等角色；b)支持對安全角色進行維護，并將用戶和角色相關聯(lián)；c)具備對用戶訪問權限控制功能，保障權限的最小化原則，具備用戶登錄超時退出、鎖定機制；d)支持IP黑白名單及訪問控制策略配置，支持按照時間設定生效周期。7.3通信安全通信安全應符合以下要求：a)各系統(tǒng)及子系統(tǒng)、組件應使用符合國家密碼管理相關規(guī)定的密碼算法套件；b)具備通信安全能力，保證傳輸通道的安全性，保障數(shù)據(jù)的機密性、完整性和可用性。7.4系統(tǒng)平臺安全系統(tǒng)平臺安全應符合以下要求：a)具備時間同步功能，每天應至少同步一次；b)具備升級回滾機制；c)具備安全策略配置功能，應提供默認的策略，支持策略的編輯、修改和導入、導出；d)具備全生命周期的管理能力。7.5日志記錄與審計應具備日志記錄與審計管理功能，具備針對檢測、分析、防御等過程中產生的各類日志和數(shù)據(jù)的日志審計能力，具備對用戶行為操作的日志審計能力，日志中包含具體時間、日志類別及描述等信息，用戶可將日志導出，以便保存、查閱。6開發(fā)者應為產品的不同版本提供唯一的標識。制定和實施關鍵信息基礎設施安全監(jiān)測預警產品開應建立和實施規(guī)范的產品生產和服務交付流程，采取完整性保護措施降低產品交付過程中的篡改7A.1.數(shù)據(jù)字段的數(shù)據(jù)類型的取值說明據(jù)網絡安全管理工作實際需要，界定各類網絡安全事件A.1.數(shù)據(jù)類型的取值123通過YYYYMMDD的形式表達的值的類型，符合GB/T4通過YYYYMMDDhh24mmss的形式表達的值的類型，符合GB/T5通過YYYYMMDDhh24mmss.xxxxxxxxx的形式表達的值6通過hhmmss的形式表達的值的類型，符合GB/T7兩個且只有兩個表明條件的值，如on/off、tru89{}A.2.監(jiān)測預警數(shù)據(jù)格式通用部分字段說明A.2.監(jiān)測預警數(shù)據(jù)格式通用部分字段說明12編碼方式按附錄B“網絡安全事件編號編碼規(guī)則”3測4件，詳見GB/T20986信息安全技術網絡安全事5678預警對象的URL，多個時用英文逗號隔開，最大9預警對象的域名，多個時用英文逗號隔開，最8攻擊發(fā)起的IP地址，支持ipv4、ipv6格式，多預警對象的IP地址，支持ipv4、ipv6格式，部分子類要求是多個時用英文逗號隔開，最大部分子類要求是多個時用英文逗號隔開，最大預警單位級別，級別詳