ICS03.080

CCSA16B@0/

遼r-^-i省地方標(biāo)準(zhǔn)

DB21/TXXXX—XXXX

工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)規(guī)范

TechnicaIspecificationsforindustriaInetworksecuritysituationaI

awareness

（征求意見稿）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

xxxx-xx-xx發(fā)布xxxx-xx-xx實施

遼寧省市場監(jiān)督管理局發(fā)布

DB21/TXXXXXBXXXX

目次

1范圍......................................................................................1

2規(guī)范性引用文件............................................................................1

3術(shù)語和定義................................................................................1

4縮略語....................................................................................2

5整體架構(gòu)..................................................................................2

6數(shù)據(jù)準(zhǔn)備..................................................................................3

6.1數(shù)據(jù)采集..............................................................................4

6.2數(shù)據(jù)預(yù)處理...........................................................................5

6.3數(shù)據(jù)存儲..............................................................................5

6.4數(shù)據(jù)傳輸..............................................................................6

6.5數(shù)據(jù)共享..............................................................................6

7態(tài)勢評估與展示............................................................................6

7.1總體要求.............................................................................6

7.2態(tài)勢類別.............................................................................7

7.3公網(wǎng)側(cè)態(tài)勢類別.......................................................................9

7.4企業(yè)側(cè)態(tài)勢類別.......................................................................9

8態(tài)勢告警與響應(yīng)...........................................................................10

8.1安全態(tài)勢告警要求.....................................................................10

8.2事件處置支持要求.....................................................................10

9態(tài)勢感知系統(tǒng)安全要求.....................................................................11

9.1身份鑒別.............................................................................11

9.2訪問控制.............................................................................11

9.3安全審計.............................................................................11

9.4數(shù)據(jù)安全性...........................................................................11

9.5系統(tǒng)安全防范.........................................................................12

參考文獻(xiàn)....................................................................................13

DB21/TXXXX—XXXX

刖言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由遼寧省工業(yè)和信息化廳提出并歸口。

本文件起草單位：東北大學(xué)、沈陽華睿博信息技術(shù)有限公司、遼寧省先進(jìn)裝備制造業(yè)基地建設(shè)工程

中心、沈陽鼓風(fēng)機(jī)集團(tuán)股份有限公司、國網(wǎng)遼寧省電力有限公司、中國電子信息產(chǎn)業(yè)集團(tuán)有限公司、中

國電子信息產(chǎn)業(yè)集團(tuán)有限公司笫六研究所、遼寧艾特斯智能交通技術(shù)有限公司、中國煙草總公司遼寧省

公司、聯(lián)通（遼寧）產(chǎn)業(yè)互聯(lián)網(wǎng)有限公司、遼寧諦聽信息科技有限公司、三六零安全科技股份有限公司、

中國聯(lián)合網(wǎng)絡(luò)通信有限公司沈陽市分公司、沈陽綠盟網(wǎng)絡(luò)安全技術(shù)有限公司、北京理工大學(xué)、北京圣博

潤高新技術(shù)股份有限公司、沈陽當(dāng)先科技有限公司、南京估合信息科技有限公司、濟(jì)南大學(xué)等。

本文件主要起草人：姚羽、邵華、郭劍峰、陳瑩、郝玉明、胡博、周小明、張尼、吳云峰、黃書鵬、

王宇飛、袁輝、呂生亮、楊道青、金陽、李士煒、梁艷、李冬妮、李小川、趙秀峰、李昊、楊巍、紀(jì)科、

陳貞翔等。

本文件發(fā)布實施后，任何單位和個人如有問題和意見建議，均可以通過來電和來函等方式進(jìn)行反饋,

我們將及時答復(fù)并認(rèn)真處理，根據(jù)實際情況依法進(jìn)行評估及復(fù)審。

歸口管理部門通信地址：遼寧省沈陽市皇姑區(qū)北陵大街45-2號

歸口管理部門聯(lián)系電話/p>

標(biāo)準(zhǔn)起草單位通信地址：遼寧省沈陽市和平區(qū)文化路三巷11號

標(biāo)準(zhǔn)起草單位聯(lián)系電話/p>

III

DB21/TXXXX—XXXX

工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)規(guī)范

1范圍

本文件規(guī)定了工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的技術(shù)要求，包括數(shù)據(jù)準(zhǔn)備、態(tài)勢評估與展示、態(tài)勢告警

與響應(yīng)、系統(tǒng)安全要求。

本文件適用于指導(dǎo)工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的設(shè)計、開發(fā)、建設(shè)、檢測、部署和維護(hù)工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文書的規(guī)范性引用而構(gòu)成本文件必不可少的條款°其中，注日期的引用文件,

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20985.1信息技術(shù)安全技術(shù)信息安全事件管理第1部分:事件管理原理

GB/Z20986信息安全技術(shù)信息安全事件分類分級指南

GB/T25069-2022信息安全技術(shù)術(shù)語

GB/T30279信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南

GB/T42453-2023信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求

3術(shù)語和定義

以下術(shù)語和定義適用于本文件。

3.1

網(wǎng)絡(luò)安全態(tài)勢感知networksecuritysituationawareness

通過采集網(wǎng)絡(luò)流量、資產(chǎn)信息、日志、漏洞信息、告警信息、威脅信息等數(shù)據(jù)，分析和處理網(wǎng)絡(luò)行

為及用戶行為等因素,掌握網(wǎng)絡(luò)安全狀態(tài),預(yù)測網(wǎng)絡(luò)安全趨勢、并進(jìn)行展示和監(jiān)測預(yù)箸的活動。

[來源：GB/T42453-2023]

3.2

威脅threat

1

DB21/TXXXXX—XXXX

可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素。

[來源：GB/T25069-2022,3.628]

3.3

預(yù)警v/arning

針對即將或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及1寸發(fā)出的警示。

[來源：GB/T25069-2022,3.739]

4縮略語

下列縮略語適用于本文件：

IM:即時通訊(InstantMessaging)

IP：互聯(lián)網(wǎng)協(xié)議(InternetProtocol)

0PC:用于過程控制的OLE(OLEforProcessControl)

OPCDA:0PC實時數(shù)據(jù)訪問(OLEforProcessControlDataAccess)

OPCUA:0PC統(tǒng)一體系架構(gòu)(OLEforProcessControlUnifiedArchitecture)

5整體架構(gòu)

工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架主要包括數(shù)據(jù)匯聚、態(tài)勢評估與展示、態(tài)勢告警與響應(yīng)和系統(tǒng)安全

要求。其中，數(shù)據(jù)準(zhǔn)備包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)共享；態(tài)勢評估與展示

包括資產(chǎn)態(tài)勢、脆弱性態(tài)勢、安全事件態(tài)勢、行為態(tài)勢；態(tài)勢告警與響應(yīng)包括安全態(tài)勢告警、事件處置

支持系統(tǒng)安全要求包括身份鑒別、訪問控制、安全審計、數(shù)據(jù)安全性、系統(tǒng)安全防范。工業(yè)網(wǎng)絡(luò)安全態(tài)

勢感知系統(tǒng)框架如圖I。

2

DB21/TXXXX—XXXX

手勢展小

身份鑒別

安

事

全

件

安

脆

套

處

全

行

資

弱

分

置

事

為

產(chǎn)

性

吉

支

件

態(tài)

態(tài)訪同勝制

態(tài)

警

持

勢

勢

態(tài)

勢

勢

態(tài)勢用古與展示態(tài)勢告警與響應(yīng)安全審計

資產(chǎn)發(fā)現(xiàn)數(shù)據(jù)采集

數(shù)

數(shù)

據(jù)

據(jù)

共

傳數(shù)據(jù)預(yù)處理

享

資產(chǎn)管理輸

系統(tǒng)安全防范

數(shù)據(jù)存儲

資產(chǎn)發(fā)現(xiàn)與管

理系統(tǒng)安全要求

圖1工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架

6資產(chǎn)發(fā)現(xiàn)與管理

6.1資產(chǎn)發(fā)現(xiàn)

本項要求包括：

a）應(yīng)能夠識別的資產(chǎn)種類包括但不限于工業(yè)互聯(lián)網(wǎng)平臺、聯(lián)網(wǎng)設(shè)備及系統(tǒng)、工業(yè)APP、工業(yè)數(shù)據(jù)

等；

b）應(yīng)支持IP自動發(fā)現(xiàn)、指紋自動識別和數(shù)據(jù)同步的方式在系統(tǒng)數(shù)據(jù)庫中錄入資產(chǎn)信息，實現(xiàn)對資

產(chǎn)流量監(jiān)視、端口狀態(tài)統(tǒng)計、協(xié)議狀態(tài)統(tǒng)計、資產(chǎn)活躍狀態(tài)監(jiān)視、資產(chǎn)訪問行為監(jiān)視等管理方

式；

c）應(yīng)能夠隨時對資產(chǎn)可能出現(xiàn)的變更或退網(wǎng)方式及時響應(yīng)。

6.2資產(chǎn)管理

本項要求包括：

a）應(yīng)建立資產(chǎn)臺賬，對資產(chǎn)清單、資產(chǎn)統(tǒng)計信息進(jìn)行維護(hù)管理；

3

DB21/TXXXXX—XXXX

b）應(yīng)對所有資產(chǎn)建立資產(chǎn)畫像，包括但不限于基本信息、硬件信息、操作系統(tǒng)信息、變更記錄、

運行信息、端口和服務(wù)、資產(chǎn)會話、漏洞、告警、不合規(guī)配置項、資產(chǎn)風(fēng)險值等信息；

c）應(yīng)能夠自動梳理資產(chǎn)，自動生成資產(chǎn)臺賬，基于資產(chǎn)基線、網(wǎng)絡(luò)會話，記錄資產(chǎn)變更，監(jiān)測未

知資產(chǎn)接入。

7數(shù)據(jù)匯聚

7.1數(shù)據(jù)采集

7.1.1總體要求

7.1.1.1數(shù)據(jù)來源

工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)應(yīng)能采集以下兩種以上不同來源的數(shù)據(jù)：

a）資產(chǎn)數(shù)據(jù)；

b）網(wǎng)絡(luò)流量數(shù)據(jù)；

c）安全漏洞數(shù)據(jù)；

d）安全事件數(shù)據(jù)；

e）日志數(shù)據(jù)；

f）第三方提供的數(shù)據(jù)。

7.1.1.2采集能力

工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)應(yīng)具有以下采集能力：

a）應(yīng)具有實時采集工業(yè)網(wǎng)絡(luò)數(shù)據(jù)包的能力；

b）應(yīng)同時支持被動采集（如代理、探針、共享）和主動采集（如掃描）兩種方式；

c）應(yīng)支持通過接口或人工導(dǎo)入等方式采集第三方數(shù)據(jù)；

d）應(yīng)支持配置過濾規(guī)則對采集數(shù)據(jù)內(nèi)容進(jìn)行篩選；

e）采集協(xié)議應(yīng)滿足GB/T42453-2023中的要求，并支持SYSLOG、SNMPTrap、FTP、SFTP、JDBC、

ODBC、Netflow等多種日志采集方式;

f）采集內(nèi)容應(yīng)滿足GB/T42453-2023中的要求。

7.1.2公網(wǎng)側(cè)數(shù)據(jù)采集

7.1.2.1數(shù)據(jù)來源

公網(wǎng)側(cè)數(shù)據(jù)來源應(yīng)包括：

4

DB21/TXXXX—XXXX

a）工業(yè)網(wǎng)絡(luò)平臺的數(shù)據(jù)；

b）工業(yè)網(wǎng)絡(luò)企業(yè)數(shù)據(jù)。

7.1.2.2采集能力

應(yīng)具有實時采集暴露在互聯(lián)網(wǎng)側(cè)的工業(yè)網(wǎng)絡(luò)資產(chǎn)（工控系統(tǒng)、物聯(lián)網(wǎng)、應(yīng)用站點）數(shù)據(jù)的能力。

7.1.3企業(yè)側(cè)數(shù)據(jù)采集

7.1.3.1數(shù)據(jù)來源

企業(yè)側(cè)數(shù)據(jù)來源應(yīng)包括：

a）網(wǎng)絡(luò)設(shè)備、終端設(shè)備和安全設(shè)備產(chǎn)生的日志數(shù)據(jù)；

b）網(wǎng)絡(luò)設(shè)備、終端設(shè)備和安全設(shè)備產(chǎn)生的告警數(shù)據(jù)。

7.1.3.2采集能力

企業(yè)側(cè)數(shù)據(jù)采集應(yīng)具有以下采集能力：

a）應(yīng)具有實時采集企業(yè)側(cè)工業(yè)資產(chǎn)（網(wǎng)絡(luò)設(shè)備、終端設(shè)備、安全設(shè)備）數(shù)據(jù)的能力；

b）應(yīng)具有定期采集工業(yè)設(shè)備及終端日志的能力；

c）應(yīng)支持深度解析常用工控協(xié)議（例如ModbusTCP、SiemensS7、OPCDA、OPCUA、DNP3、Profinet.

Elhernel/lP、IEC104等），將原始的通信數(shù)據(jù)轉(zhuǎn)化為可讀性強(qiáng)、易于理解和處理的格式，能

夠?qū)γ總€用戶命令做出詳細(xì)分析，如果出現(xiàn)IP碎片，可以對數(shù)據(jù)包進(jìn)行重裝還原，然后再進(jìn)行

分析，協(xié)議分析大大降低了入侵檢測中常見的誤報現(xiàn)象。

7.2數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理應(yīng)滿足以下要求：

a）應(yīng)能根按照GB/T42453-2023中的要求對收集的數(shù)據(jù)進(jìn)行篩選、變換、補(bǔ)全、標(biāo)記；

b）應(yīng)能對數(shù)據(jù)進(jìn)行分類分級：安全漏洞分類遵守GB/T30279的規(guī)定，安全事件分類分級參照GB/Z

20986；

c）應(yīng)能根據(jù)需要對數(shù)據(jù)進(jìn)行實時處理和離線處理。

7.3數(shù)據(jù)存儲

數(shù)據(jù)存儲應(yīng)滿足以下要求：

a）應(yīng)能存儲結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)；

5

DB21/TXXXXX—XXXX

b）存儲內(nèi)容應(yīng)滿足GB/T42453-2023中的要求；

c）應(yīng)能存儲原始數(shù)據(jù)、預(yù)處理后的數(shù)據(jù)和威脅情報庫、地理信息庫等第三方數(shù)據(jù)；

d）應(yīng)能自動存儲處理安全事件所產(chǎn)生的相關(guān)業(yè)務(wù)數(shù)據(jù)；

e）數(shù)據(jù)存儲時間應(yīng)滿足GB/T42453-2023中的要求，其中日志數(shù)據(jù)應(yīng)至少保存6個月；

f）應(yīng)能保證存儲數(shù)據(jù)的可用性、完整性和保密性；

g）應(yīng)能檢索所存儲數(shù)據(jù)，并提供檢索接口；

h）應(yīng)能存儲工業(yè)設(shè)備（例如，各品牌PLC、RTU、IED等）指紋庫、工業(yè)惡意行為指紋庫（例如，

SiemensS7、Modbus、Bacnet、Ethernet/IP等協(xié)議）、工業(yè)惡意組織指紋庫、工業(yè)網(wǎng)絡(luò)漏洞

庫等專業(yè)知識庫。

7.4數(shù)據(jù)分析

應(yīng)根據(jù)GB/T42453-2023中的要求對網(wǎng)絡(luò)攻擊、資產(chǎn)風(fēng)險、安全事件進(jìn)行分析。

7.5數(shù)據(jù)傳輸

數(shù)據(jù)傳輸應(yīng)滿足以下要求：

a）應(yīng)能對數(shù)據(jù)傳輸狀態(tài)進(jìn)行監(jiān)控，能對傳輸任務(wù)進(jìn)行啟動、停止操作；

b）應(yīng)具備數(shù)據(jù)傳輸緩存功能，確保網(wǎng)絡(luò)中斷或阻塞時數(shù)據(jù)不丟失；

c）應(yīng)能保證傳輸數(shù)據(jù)的完整性和保密性，保證重要數(shù)據(jù)的實時性。

7.6數(shù)據(jù)共享

數(shù)據(jù)共享應(yīng)滿足以下要求：

a）應(yīng)能將工業(yè)網(wǎng)絡(luò)重大安全事件、重大漏洞等數(shù)據(jù)上報給上級監(jiān)管系統(tǒng)；

b）應(yīng)能將工業(yè)網(wǎng)絡(luò)重大安全事件、重大漏洞、處置辦法等數(shù)據(jù)發(fā)送給其它態(tài)勢感知系統(tǒng)；

c）應(yīng)能接收其它系統(tǒng)共享的工業(yè)網(wǎng)絡(luò)重大安全事件、重大漏洞、處置辦法等數(shù)據(jù)；

d）應(yīng)能對共享數(shù)據(jù)進(jìn)行脫敏；

。）應(yīng)能增、刪、改數(shù)據(jù)共享用戶信息，能設(shè)置數(shù)據(jù)共享用戶的權(quán)限；

f）數(shù)據(jù)共享過程應(yīng)可跟蹤、可追溯、可審計。

8態(tài)勢評估與展示

8.1總體要求

6

DB21/TXXXX—XXXX

本項要求包括:

a）應(yīng)建立工業(yè)網(wǎng)絡(luò)安全態(tài)勢評估體系，描述工業(yè)網(wǎng)絡(luò)的安全態(tài)勢；

b）應(yīng)能建立工業(yè)網(wǎng)絡(luò)數(shù)據(jù)分析模型，對采集的工業(yè)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析計算，識別網(wǎng)絡(luò)脆弱性、安

全事件、用戶行為等；

c）應(yīng)支持包括但不限于網(wǎng)絡(luò)設(shè)備（如上位機(jī)、工業(yè)安全網(wǎng)關(guān)、工控安全審計、主機(jī)安全衛(wèi)士）的

入侵檢測，并進(jìn)行日志關(guān)聯(lián)和量化分析；

d）應(yīng)覆蓋DCS網(wǎng)絡(luò)、PLC網(wǎng)絡(luò)、數(shù)控機(jī)床DNC網(wǎng)絡(luò)等不同行業(yè)應(yīng)用場景的工控系統(tǒng)；

o）應(yīng)采用流量鏡像的方式對工控網(wǎng)絡(luò)進(jìn)行全流量數(shù)據(jù)監(jiān)聽，不主動發(fā)包，不對工業(yè)網(wǎng)絡(luò)做任何修

改；

f）應(yīng)能評估兩種以上工業(yè)網(wǎng)絡(luò)安全態(tài)勢，包括但不限于資產(chǎn)態(tài)勢、流量態(tài)勢、運行態(tài)勢、攻擊態(tài)

勢、橫向威脅態(tài)勢、脆弱性態(tài)勢、安全事件態(tài)勢、行為態(tài)勢等；

g）具有關(guān)聯(lián)關(guān)系的不同種類安全態(tài)勢，應(yīng)能夠?qū)崿F(xiàn)信息共享和聯(lián)動展示。

8.2專題態(tài)勢評估與展示

8.2.1資產(chǎn)態(tài)勢評估

本項要求包括：

a）應(yīng)能實時獲取當(dāng)前工業(yè)網(wǎng)絡(luò)資產(chǎn)總數(shù)，并按區(qū)域、類型、重要程度分布進(jìn)行統(tǒng)計；

b）應(yīng)能對每個工業(yè)網(wǎng)絡(luò)資產(chǎn)的型號、版本、運行狀態(tài)等進(jìn)行識別；

c）應(yīng)能對資產(chǎn)的【P的地址以及開放的端口等進(jìn)行識別；

d）應(yīng)能對工業(yè)網(wǎng)絡(luò)資產(chǎn)的安全狀況進(jìn)行分析，包括資產(chǎn)存在的威脅和脆弱性類型、數(shù)量等。

8.2.2流量態(tài)勢評估

應(yīng)滿足GB/T42453-2023中的要求。

8.2.3運行態(tài)勢評估

應(yīng)滿足GB/T42453-2023中的要求。

8.2.4攻擊態(tài)勢評估

應(yīng)滿足GB/T42453-2023中的要求。

8.2.5橫向威脅態(tài)勢評估

7

DB21/TXXXXX—XXXX

應(yīng)基于系統(tǒng)通信基線模型，對不同業(yè)務(wù)系統(tǒng)、不同區(qū)域之間的信息流動進(jìn)行監(jiān)測，對跨區(qū)通信、非

法接入、非法外聯(lián)行為進(jìn)行統(tǒng)計分析，及時發(fā)現(xiàn)信息泄露、越權(quán)訪問和違規(guī)操作行為。

8.2.6脆弱性態(tài)勢評估

本項要求包括：

a）應(yīng)具備工業(yè)網(wǎng)絡(luò)安全漏洞庫，漏洞庫包含國家權(quán)威機(jī)構(gòu)發(fā)布的工業(yè)網(wǎng)絡(luò)安全漏洞，能夠?qū)I(yè)

網(wǎng)絡(luò)資產(chǎn)進(jìn)行漏洞發(fā)現(xiàn)和漏洞匹配；

b）應(yīng)能對各類工業(yè)設(shè)備的操作系統(tǒng)、應(yīng)用和第三方組件存在的常見漏洞進(jìn)行監(jiān)測；

c）應(yīng)能展示漏洞總體分布、存在高危漏洞的資產(chǎn)、漏洞類型分布、漏洞危害等級等；

d）應(yīng)能對工業(yè)設(shè)備系統(tǒng)安全配置的脆弱性進(jìn)行識別,分析和指出工業(yè)網(wǎng)絡(luò)資產(chǎn)存在的安全配置的

脆弱性。

8.2.7安全事件態(tài)勢評估

本項要求包括：

a）應(yīng)具有從采集的數(shù)據(jù)中分析出安全事件，對安全事件進(jìn)行多維度（種類、地域、威脅類型、資

產(chǎn)等）分類處理的能力；

b）應(yīng)具有對不同安全事件進(jìn)行分類告警的能力，如特別重大事件、重大事件、較大事件、一般事

件等；

c）安全事件必須包含發(fā)生時間、IP地址、區(qū)域、域名、事件類型、數(shù)量和危害等級等信息；

d）應(yīng)支持對同類安全事件進(jìn)行合并。

8.2.8行為態(tài)勢評估

本項要求包括：

a）應(yīng)能支持對異常行為規(guī)則的自定義；

b）應(yīng)能及時發(fā)現(xiàn)全網(wǎng)的異常行為（如訪問頻次超限、訪問流量超限、權(quán)限異常提升、賬戶異常更

改、日志異常變化、文件異常外發(fā)、非法外聯(lián)、非法訪問、非法文件下載等），并進(jìn)行統(tǒng)計分

析。

8.2.9態(tài)勢展示

本項要求包括：

a）應(yīng)滿足GB/T42453-2023中的要求；

8

DB21/TXXXX—XXXX

b）應(yīng)能實時展示安全態(tài)勢，包括但不限于以下幾種資產(chǎn)態(tài)勢：脆弱性態(tài)勢、安全事件態(tài)勢、行為

態(tài)勢；

c）應(yīng)能同時展示多種安全態(tài)勢；

d）應(yīng)能通過設(shè)置過濾條件選擇展示特定類型的安全態(tài)勢；

e）應(yīng)能對安全態(tài)勢進(jìn)行歷史回溯與展示，回溯時間可以設(shè)置；

f）應(yīng)能展示跟安全態(tài)勢相關(guān)的關(guān)鍵數(shù)據(jù)，如資產(chǎn)、脆弱性、安全事件、異常行為的列表與統(tǒng)計值。

8.3公網(wǎng)側(cè)態(tài)勢評估與展示

本項要求包括：

a）應(yīng)具備工控系統(tǒng)、物聯(lián)網(wǎng)、應(yīng)用站點特征庫，能夠識別暴露在互聯(lián)網(wǎng)側(cè)的設(shè)備和站點；

b）應(yīng)能對工業(yè)互聯(lián)網(wǎng)資產(chǎn)所對應(yīng)的單位、行業(yè)進(jìn)行統(tǒng)計。

8.4企業(yè)側(cè)態(tài)勢評估與展示

8.4.1資產(chǎn)態(tài)勢

本項要求包括：

a）應(yīng)具備工業(yè)設(shè)備特征庫，能夠識別接入的各種類型的工業(yè)設(shè)備；

b）應(yīng)能實時呈現(xiàn)生產(chǎn)網(wǎng)內(nèi)工業(yè)網(wǎng)絡(luò)資產(chǎn)的拓?fù)浣Y(jié)構(gòu)。

8.4.2安全事件態(tài)勢

本項要求包括：

a）應(yīng)支持對工業(yè)設(shè)備所使用的各類通信協(xié)議網(wǎng)絡(luò)數(shù)據(jù)流的解析,具備工業(yè)系統(tǒng)攻擊代碼特征庫，

并具備工業(yè)控制系統(tǒng)攻擊代碼特征庫更新能力；

b）應(yīng)具備工業(yè)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)惡意攻擊行為檢測分析能力，能從采集的數(shù)據(jù)中分析出安全事件

并及時告警；

c）應(yīng)能根據(jù)告警信息，綜合工業(yè)控制系統(tǒng)的多方面約束和目標(biāo)，制定最優(yōu)安全策略及具體的實施

方案。

8.4.3行為態(tài)勢

本項要求包括：

a）應(yīng)能通過網(wǎng)絡(luò)流量分析工業(yè)企業(yè)用戶行為和設(shè)備行為，包括用戶行為、設(shè)備通信情況等；

9

DB21/TXXXXX—XXXX

b）應(yīng)能實時獲取并展示當(dāng)前企業(yè)內(nèi)部的異常情況，包括異常告警時間、受害資產(chǎn)、關(guān)鍵操作、源

IP、目的IP。

9態(tài)勢告警與響應(yīng)

9.1安全態(tài)勢告警要求

9.1.1總體要求

本項要求包括：

a）應(yīng)全面監(jiān)測系統(tǒng)內(nèi)的違規(guī)操作、攻擊入侵、異常行為；

b）應(yīng)支持對海量事件進(jìn)行去重、歸并、關(guān)聯(lián)分析處理；

c）應(yīng)能支持短信、郵件或1M等告警方式；

d）應(yīng)能在安全事件、漏洞或異常行為發(fā)生時，及時發(fā)送告警信息；

e）應(yīng)建立告警分級機(jī)制，對不同級別的安全態(tài)勢進(jìn)行不同的告警；

f）應(yīng)結(jié)合其他安全設(shè)備事件、資產(chǎn)和網(wǎng)絡(luò)基線模型、資產(chǎn)庫和漏洞庫信息進(jìn)行分析減少誤告警；

g）應(yīng)基于基線模型和會活數(shù)據(jù)，深入挖掘長時間歷史數(shù)據(jù)，能夠發(fā)現(xiàn)到單點設(shè)備忽視的潛在威脅，

如跨區(qū)通信、未知設(shè)備接入行為、異常遠(yuǎn)程登錄等，

9.1.2企業(yè)側(cè)態(tài)勢告警

本項要求包括但不限于：

a）應(yīng)能結(jié)合威脅情報進(jìn)行態(tài)勢告警，包括但不限于：高危漏洞被利用、設(shè)備被攻擊事件等；

b）應(yīng)能顯示告警與廠區(qū)資產(chǎn)的對應(yīng)關(guān)系；

c）應(yīng)提供對外預(yù)警接口，同步預(yù)警信息至各類工業(yè)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)。

9.2事件處置支持要求

9.2.1總體要求

本項要求包括：

a）可按照GB/T20985.1所確定的階段開展網(wǎng)絡(luò)安全事件處置工作；

b）應(yīng)參考GB/Z20986對網(wǎng)絡(luò)安全事件進(jìn)行分類、分級；

c）應(yīng)能提供事件處置過程中需要的基礎(chǔ)數(shù)據(jù)信息；

d）應(yīng)能通知網(wǎng)絡(luò)安全事件發(fā)生單位執(zhí)行處置工作；

e）應(yīng)能接受通知，協(xié)助處置網(wǎng)絡(luò)安全事件；

10

DB21/TXXXX—XXXX

f）應(yīng)能對網(wǎng)絡(luò)安全事件的處置流程進(jìn)行跟蹤和記錄；

g）應(yīng)將網(wǎng)絡(luò)安全事件的處置過程信息和結(jié)果輸入到工業(yè)網(wǎng)絡(luò)安