GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》之74:

“8技術(shù)控制-8.16監(jiān)視活動(dòng)”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料(編制-2025A0)

8技術(shù)控制GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.16監(jiān)視活動(dòng)

8.16.1屬性表

監(jiān)視活動(dòng)屬性表見表76.

表76:監(jiān)視活動(dòng)屬性表

控制類型信息安全屬性網(wǎng)絡(luò)空間安全概念運(yùn)行能力安全領(lǐng)域

#保密性

#檢測(cè)#發(fā)現(xiàn)

#完整性#信息安全事態(tài)管理#防御

#糾正#響應(yīng)

#可用性

8技術(shù)控制-8.16監(jiān)視活動(dòng)-8.16.1屬性表

監(jiān)視活動(dòng)見表76,

“表76:監(jiān)視活動(dòng)”屬性表解析

屬性維度屬性值屬性涵義解讀屬性應(yīng)用說(shuō)明與實(shí)施要點(diǎn)

(1)通用涵義：通過(guò)技術(shù)手段識(shí)別異常行為并采取修復(fù)措施，屬于動(dòng)態(tài)安1)檢測(cè)實(shí)施：部署入侵檢測(cè)系統(tǒng)(IDS)、安全信息和事

#檢測(cè)全控制機(jī)制；件管理系統(tǒng)(SIEM),配置規(guī)則庫(kù)實(shí)現(xiàn)威脅識(shí)別；

控制類型

#糾正(2)特定涵義：在監(jiān)視活動(dòng)中，檢測(cè)指實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量、日志及系統(tǒng)狀2)糾正實(shí)施：建立自動(dòng)化響應(yīng)腳本(如阻斷惡意IP),

態(tài)以發(fā)現(xiàn)安全事件；糾正指通過(guò)自動(dòng)化響應(yīng)或人工干預(yù)消除鳳險(xiǎn)。結(jié)合人工應(yīng)急流程(如漏潤(rùn)修復(fù)、數(shù)據(jù)恢復(fù))。

信息安全#保密性(1)通用涵義：確保信息在存儲(chǔ)、傳輸和處理過(guò)程中不被泄露、篡改或中1)保密性：對(duì)監(jiān)控?cái)?shù)據(jù)(如日志)實(shí)施分級(jí)訪問(wèn)控制，

屬性#完整性斷：關(guān)鍵日志加密存儲(chǔ)；

加油努力你行的

屬性維度屬性值屬性涵義解讀屬性應(yīng)用說(shuō)明與實(shí)施要點(diǎn)

#可用性(2)特定涵義：2)完整性：定期審計(jì)系統(tǒng)配置基線，使用區(qū)塊鏈技術(shù)存

-保密性：通過(guò)訪問(wèn)控制和加密監(jiān)控敏感數(shù)據(jù)訪問(wèn)日志：證監(jiān)控記錄：

一完整性：驗(yàn)證系統(tǒng)配置文件哈希值防止第改；3)可用性；建立容量管理模型，設(shè)置閾值觸發(fā)擴(kuò)容或負(fù)

-可用性：監(jiān)控服務(wù)器資源利用率以保障服務(wù)連續(xù)性。載均衡。

(1)通用涵義：通過(guò)技術(shù)手段識(shí)別威脅并啟動(dòng)應(yīng)急流程；1發(fā)現(xiàn)；集成威脅情報(bào)源(如CISA漏洞數(shù)據(jù)庫(kù))增強(qiáng)

網(wǎng)絡(luò)空間#發(fā)現(xiàn)(2)特定涵義：檢測(cè)能力；

安全概念#響應(yīng)-發(fā)現(xiàn)：利用行為分析算法檢測(cè)零日攻擊：2)響應(yīng)：制定分級(jí)響應(yīng)計(jì)劃(如PI級(jí)事件需15分鐘

一響應(yīng)；聯(lián)動(dòng)防火墻自動(dòng)封禁攻擊源IP并生成事件報(bào)告。內(nèi)處置),定期演練跨部門協(xié)作流程。

1)日志管理：集中存儲(chǔ)日志至少6個(gè)月，支持關(guān)聯(lián)分析

(1)通用涵義：對(duì)安全事件進(jìn)行全生命周期管理；

#信息安全(如用戶行為+系統(tǒng)日志+網(wǎng)絡(luò)流量);

運(yùn)行能力(2)特定涵義：通過(guò)日志分析定位事件根源，實(shí)施漏洞修復(fù)并更新防御策

事態(tài)管理2)漏洞閉環(huán)：建立漏洞管理平臺(tái)，關(guān)聯(lián)CVSS評(píng)分自動(dòng)

略。

分配修復(fù)優(yōu)先級(jí)。

1)防御縱深：分層部署WAF、IPS、蜜罐等設(shè)備，形成立

(1)通用涵義：建立主動(dòng)防御體系抵御網(wǎng)絡(luò)攻擊：

體監(jiān)控網(wǎng)絡(luò)；

安全領(lǐng)域#防御(2)特定涵義：通過(guò)持續(xù)監(jiān)控和動(dòng)態(tài)調(diào)整防御策略，實(shí)現(xiàn)“檢測(cè)-響應(yīng)-恢

2)持續(xù)改進(jìn)：定期開展紅藍(lán)對(duì)抗演練，驗(yàn)證監(jiān)控策略有

復(fù)”閉環(huán)。

效性并優(yōu)化防御模型。

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.16.2控制

宜監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序，以發(fā)現(xiàn)異常行為，并采取適當(dāng)措施評(píng)價(jià)潛在的信息安全事件。

加油努力你行的

8.16.2控制

(1)“8.16.2控制”解讀和應(yīng)用說(shuō)明表

“8.16.2(監(jiān)視活動(dòng))控制”解讀和應(yīng)用說(shuō)明表

內(nèi)容維度“8.16.2(監(jiān)視活動(dòng))控制”解讀和應(yīng)用說(shuō)明

通過(guò)系統(tǒng)性監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序，實(shí)時(shí)識(shí)別異常行為，并通過(guò)規(guī)范化流程評(píng)價(jià)潛在信息安全事件，構(gòu)建“檢測(cè)-評(píng)估-響應(yīng)”的前置防

本條款核心控

御機(jī)制，最終實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的早期預(yù)警與有效管控。其核心意圖是將被動(dòng)應(yīng)對(duì)轉(zhuǎn)為主動(dòng)防御，確保組織對(duì)安全態(tài)勢(shì)的持續(xù)感知，為事件

制目標(biāo)和意圖

響應(yīng)提供精準(zhǔn)依據(jù)。

1)提升安全態(tài)勢(shì)透明度：實(shí)時(shí)掌握信息系統(tǒng)運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)潛在威脅；

2)縮短事件響應(yīng)周期：異常行為早期識(shí)別可減少安全事件擴(kuò)散范圍，降低業(yè)務(wù)損失；

本條款實(shí)施的

3)支撐合規(guī)性要求：滿足《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及等級(jí)保護(hù)等法規(guī)中關(guān)于安全事件監(jiān)測(cè)的強(qiáng)制性要求；

核心價(jià)值

4)優(yōu)化安全資源配置：基于監(jiān)視數(shù)據(jù)優(yōu)化防御策略，提升資源投入精準(zhǔn)度；

5)強(qiáng)化風(fēng)險(xiǎn)閉環(huán)管理：為后續(xù)漏洞修復(fù)、策略調(diào)整提供實(shí)證依據(jù)，形成安全管理持續(xù)改進(jìn)的良性循環(huán)。

“宜監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序，以發(fā)現(xiàn)異常行為，并采取適當(dāng)措施評(píng)價(jià)潛在的信息安全事件?！?/p>

1)“宜監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序”:“宜”體現(xiàn)靈活性，組織需根據(jù)業(yè)務(wù)重要性、風(fēng)險(xiǎn)等級(jí)確定監(jiān)視范圍(如核心業(yè)務(wù)系統(tǒng)、邊界網(wǎng)絡(luò)設(shè)備

等》,而非無(wú)差別全覆蓋。監(jiān)視對(duì)象需包括但不限于：網(wǎng)絡(luò)流量(出入站數(shù)據(jù)》、系統(tǒng)資源(CPU、內(nèi)存、磁盤)、應(yīng)用程序日志(訪問(wèn)記錄、

本條款深度解操作行為)、配置文件變更等；

讀與內(nèi)涵解析2)“以發(fā)現(xiàn)異常行為”:“異常行為”指偏離正?；€的活動(dòng)，包括己知威脅特征《如惡意IP通信)和未知異常(如用戶非工作時(shí)段批量訪問(wèn)

敏感數(shù)據(jù))。需通過(guò)建立基線(如系統(tǒng)峰值負(fù)載、用戶訪問(wèn)規(guī)律)、結(jié)合威脅情報(bào)(如CISA漏洞庫(kù))實(shí)現(xiàn)精準(zhǔn)識(shí)別；

3)“并采取適當(dāng)措施評(píng)價(jià)潛在的信息安全事件”:“適當(dāng)措施”包括事件分級(jí)、影響范圍評(píng)估(如涉及數(shù)據(jù)類型、業(yè)務(wù)中斷時(shí)長(zhǎng))、根源定位

(如漏洞利用、配置缺陷),評(píng)價(jià)過(guò)程需形成文檔化記錄，為后續(xù)響應(yīng)提供依據(jù)，體現(xiàn)“信息安全事態(tài)管理”運(yùn)行能力。

本條款實(shí)施要1)范圍與基線規(guī)劃；

加油努力你行的

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

權(quán)限活動(dòng)的職責(zé)分配提供了框架。

6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的監(jiān)視活動(dòng)是組織應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的重要措施之一，其設(shè)計(jì)與執(zhí)行需基于風(fēng)險(xiǎn)應(yīng)對(duì)策略，通過(guò)發(fā)現(xiàn)異常行為識(shí)別潛

策略支撐

措施在風(fēng)險(xiǎn)并支撐風(fēng)險(xiǎn)應(yīng)對(duì)決策。

負(fù)責(zé)監(jiān)視活動(dòng)的人員雷具備識(shí)別異常行為、評(píng)價(jià)信息安全事件的意識(shí)和能力，該條款確保相關(guān)人員理解監(jiān)視活動(dòng)的

7.3意識(shí)能力支持

重要性及自身職責(zé)。

監(jiān)視活動(dòng)產(chǎn)生的異常行為記錄，事件評(píng)價(jià)結(jié)果等需作為成文信息被控制(如存儲(chǔ)、保護(hù)、訪問(wèn)),該條款規(guī)范了這

7.5成文信息信息管理支撐

些信息的管理要求。

監(jiān)視活動(dòng)屬于組織運(yùn)行過(guò)程的重要控制措施，需在運(yùn)行策劃中明確監(jiān)視的準(zhǔn)則和方法，確保其與其他運(yùn)行過(guò)程協(xié)調(diào)

8.1運(yùn)行策劃和控制運(yùn)行控制基礎(chǔ)

一致，有效發(fā)現(xiàn)和處理異常。

監(jiān)視活動(dòng)中發(fā)現(xiàn)的異常行為可能揭示新的安全風(fēng)險(xiǎn)或現(xiàn)有風(fēng)險(xiǎn)的變化，需作為風(fēng)險(xiǎn)評(píng)估的輸入，以更新風(fēng)險(xiǎn)識(shí)別和

8.2信息安全風(fēng)險(xiǎn)評(píng)估輸入輸出關(guān)系

分析結(jié)果。

8.3信息安全風(fēng)險(xiǎn)處置監(jiān)視活動(dòng)發(fā)現(xiàn)的異?？赡苡|發(fā)風(fēng)險(xiǎn)處置措施(如啟動(dòng)應(yīng)急響應(yīng)、調(diào)整控制措施),支撐風(fēng)險(xiǎn)處置計(jì)劃的有效執(zhí)行。執(zhí)行保障

9.1監(jiān)視、測(cè)量、分析和該條款要求組織確定需要監(jiān)視的內(nèi)容(包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的異常行為)及監(jiān)視方法，8.16.2的控制是對(duì)該

實(shí)施依據(jù)

評(píng)價(jià)條款要求的具體技術(shù)實(shí)現(xiàn)。

9.2內(nèi)部審核內(nèi)部審核需驗(yàn)證監(jiān)視活動(dòng)是否按計(jì)劃實(shí)施、是否有效發(fā)現(xiàn)異常行為及評(píng)價(jià)事件，確保其符合體系要求并有效運(yùn)行，績(jī)效驗(yàn)證

9.3管理評(píng)審監(jiān)視活動(dòng)的結(jié)果(如異常行為報(bào)告、事件評(píng)價(jià)結(jié)論)應(yīng)作為管理評(píng)審的輸入，用于評(píng)價(jià)體系的適宜性、充分性和有輸入輸出關(guān)系

加油努力你行的

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

效性，支撐持續(xù)改進(jìn)決策。

若監(jiān)視活動(dòng)發(fā)現(xiàn)不符合項(xiàng)(如控制失效導(dǎo)致異常未被識(shí)別),雷通過(guò)該條款啟動(dòng)糾正措施，消除原因并防止再次發(fā)

10.2不符合與糾正措施執(zhí)行保障

生。

(3)“8.16.2控制”與GB/T22081-2024其他條款邏輯關(guān)聯(lián)關(guān)系。

“8.16.2控制”與GB/T22081-2024其他條款邏輯關(guān)聯(lián)關(guān)系分析表

關(guān)聯(lián)GB/T22081條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

5.7威脅情報(bào)監(jiān)視活動(dòng)可結(jié)合威脅情報(bào)識(shí)別已知攻擊模式或惡意行為特征，提升異常檢測(cè)的準(zhǔn)確性。輸入/協(xié)同

5.24信息安全事件管理規(guī)劃和

監(jiān)視活動(dòng)是事件管理的基礎(chǔ)，為事件識(shí)別、評(píng)估和響應(yīng)提供輸入。輸入/支撐

準(zhǔn)備

5.25信息安全事態(tài)的評(píng)估和決

監(jiān)視活動(dòng)提供事態(tài)數(shù)據(jù)，用于評(píng)估是否構(gòu)成信息安全事件。輸入/支撐

策

5.26信息安全事件的響應(yīng)監(jiān)視活動(dòng)觸發(fā)事件響應(yīng)流程，提供事件上下文和行為數(shù)據(jù)。觸發(fā)/支撐

6.8信息安全事態(tài)的報(bào)告監(jiān)視發(fā)現(xiàn)的異常行為需通過(guò)事態(tài)報(bào)告機(jī)制傳遞，是報(bào)告的重要數(shù)據(jù)源。支撐/輸入

8.15日志監(jiān)視活動(dòng)依賴日志記錄作為主要數(shù)據(jù)源，日志是監(jiān)視的基礎(chǔ)。依賴/輸入

8.17時(shí)鐘同步監(jiān)視活動(dòng)依賴準(zhǔn)確的時(shí)間戳關(guān)聯(lián)不同系統(tǒng)的事件，時(shí)鐘同步確保日志和監(jiān)視數(shù)據(jù)的時(shí)間一致性。保障事件支撐/基礎(chǔ)

分析的準(zhǔn)確性。

加油努力你行的

關(guān)聯(lián)GB/T22081條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

8.7惡意軟件防范監(jiān)視活動(dòng)可檢測(cè)惡意軟件行為，與惡意軟件防范控制協(xié)同工作。協(xié)同/互補(bǔ)

8.8技術(shù)脆羽性管理監(jiān)視活動(dòng)可發(fā)現(xiàn)利用脆弱性的行為，為脆弱性管理提供實(shí)時(shí)反饋。反饋/支撐

8.20網(wǎng)絡(luò)安全監(jiān)視活動(dòng)是網(wǎng)絡(luò)安全的重要組成部分，用于檢測(cè)網(wǎng)絡(luò)層面的異常。組成部分

8.21網(wǎng)絡(luò)服務(wù)的安全監(jiān)視活動(dòng)可檢測(cè)網(wǎng)絡(luò)服務(wù)濫用或異常訪問(wèn)行為。支撐/檢測(cè)

8.22網(wǎng)絡(luò)隔離監(jiān)視活動(dòng)可驗(yàn)證隔離策略的有效性，檢測(cè)繞過(guò)隔離的行為。驗(yàn)證/反饋

8.23網(wǎng)頁(yè)過(guò)濾監(jiān)視活動(dòng)可檢測(cè)繞過(guò)過(guò)濾的行為，與網(wǎng)頁(yè)過(guò)濾形成互補(bǔ)?；パa(bǔ)/檢測(cè)

8.32變更管理監(jiān)視活動(dòng)可檢測(cè)未授權(quán)的變更行為，支撐變更管理的合規(guī)性。支撐/檢測(cè)

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.16.3日的

發(fā)現(xiàn)異常行為和潛在的信息安全事件，

8.16.3目的

“8.16.3(監(jiān)視活動(dòng))目的”解讀說(shuō)明表

內(nèi)容維度“8.16.3(監(jiān)視活動(dòng))目的”解讀說(shuō)明

總述(本條款的第8.16.3條“目的”是“發(fā)現(xiàn)異常行為和潛在的信息安全事件”,其核心意圖在于通過(guò)有組織、系統(tǒng)化的監(jiān)視活動(dòng)，識(shí)別組織信息系統(tǒng)中可

核心意圖與定能出現(xiàn)的異常行為，從而及時(shí)發(fā)現(xiàn)潛在的信息安全事件；該條款作為“監(jiān)視活動(dòng)”(8.16)小節(jié)的統(tǒng)領(lǐng)性目標(biāo)，旨在建立信息安全事件的事

位)前感知和預(yù)警機(jī)制，強(qiáng)化信息安全風(fēng)險(xiǎn)的主動(dòng)識(shí)別與響應(yīng)能力，并為信息安全事態(tài)管理提供基礎(chǔ)數(shù)據(jù)支持，實(shí)現(xiàn)與“檢測(cè)-響應(yīng)一恢復(fù)”閉環(huán)

加油努力你行的

內(nèi)容維度“8.16.3(監(jiān)視活動(dòng))目的”解讀說(shuō)明

體系的銜接；

1)提升安全態(tài)勢(shì)感知能力：通過(guò)持續(xù)監(jiān)視系統(tǒng)行為，組織能夠?qū)崟r(shí)掌握其信息安全狀態(tài)；

2)實(shí)現(xiàn)早期預(yù)警機(jī)制：及時(shí)識(shí)別潛在威脅，為后續(xù)響應(yīng)提供時(shí)間窗口；

本條款實(shí)施的

3)支持合規(guī)性與審計(jì)要求：滿足信息安全合規(guī)要求，為事件調(diào)查和審計(jì)提供依據(jù)：

核心價(jià)值和預(yù)

4)降低事件響應(yīng)成本；在事件初期或未造成嚴(yán)重后果前介入，降低安全事件的處理成本和影響范圍；

期結(jié)果

5)支撐信息安全管理體系(ISUS)持續(xù)改進(jìn)：通過(guò)監(jiān)視結(jié)果發(fā)現(xiàn)控制措施的薄弱環(huán)節(jié)，推動(dòng)信息安全控制的動(dòng)態(tài)優(yōu)化；

6)強(qiáng)化威脅情報(bào)應(yīng)用效能：為威脅情報(bào)的落地提供實(shí)際場(chǎng)景驗(yàn)證，提升對(duì)新型威脅(如零日攻擊、APT攻擊)的識(shí)別能力：

"發(fā)現(xiàn)異常行為和潛在的信息安全事件；"

1)“發(fā)現(xiàn)”:指的是主動(dòng)識(shí)別、察覺(jué)，而非被動(dòng)等待：強(qiáng)調(diào)監(jiān)視活動(dòng)應(yīng)具有前瞻性、實(shí)時(shí)性和主動(dòng)性，不能僅依賴事件發(fā)生后的報(bào)告或響應(yīng)

機(jī)制：姐織需通過(guò)技術(shù)手段(如安全信息和事件管理系統(tǒng)(SIEM)、入侵檢測(cè)系統(tǒng)(IDS)、用戶和實(shí)體行為分析(LEBA)等)與管理流程

(如監(jiān)控策略、事件分類機(jī)制)相結(jié)合，實(shí)現(xiàn)對(duì)異常行為的及時(shí)識(shí)別：

2)“異常行為”:泛指任何偏離正常操作模式或預(yù)期系統(tǒng)行為的現(xiàn)象，具體包括用戶異常訪問(wèn)(如非工作時(shí)間登錄、異常IP地址訪問(wèn))、系

本條款深度解統(tǒng)異常操作(如配置文件篡改、進(jìn)程注入)、網(wǎng)絡(luò)異常流量(如與惡意域名通信、帶寬異常占用)等，可能是人為操作失誤、惡意攻擊，也

讀與內(nèi)涵解析可能是系統(tǒng)故障或配置錯(cuò)誤：異常行為的識(shí)別是信息安全事件預(yù)警的第一步，是判斷是否構(gòu)成信息安全事件的基礎(chǔ)：

3)“和”;表示并列關(guān)系，強(qiáng)調(diào)“異常行為”與“信息安全事件”之間存在遞進(jìn)和因果關(guān)系：監(jiān)視活動(dòng)不僅要識(shí)別表面的異常，更要進(jìn)一步

判斷是否可能演化為真正的信息安全事件，如從“異常登錄”追溯至“數(shù)據(jù)竊取嘗試”,從“進(jìn)程異常終止”關(guān)聯(lián)至“惡意軟件感染”:

4)“潛在的信息安全事件”;強(qiáng)調(diào)監(jiān)視活動(dòng)的目標(biāo)不僅是識(shí)別已發(fā)生的事件，更應(yīng)關(guān)注尚處于萌芽階段、尚未造成實(shí)際危害但具有潛在威脅

的異?；顒?dòng)；這包括但不限于入侵嘗試(如端口掃措、漏洞利用試探)、權(quán)限濫用(如特權(quán)賬號(hào)非授權(quán)操作)、數(shù)據(jù)異常訪問(wèn)(如敏感文件

批量下載)等，覆蓋網(wǎng)絡(luò)攻擊、數(shù)據(jù)安全、惡意程序等多類事件前兆。

本條款深層意1)建立主動(dòng)防御機(jī)制：安全事件的預(yù)防優(yōu)于響應(yīng)；通過(guò)監(jiān)視活動(dòng)的部署，組織應(yīng)建立一個(gè)基于行為分析的主動(dòng)防御體系，從而在威脅演變?yōu)?/p>

加油努力你行的

內(nèi)容維度“8.16.3(監(jiān)視活動(dòng))目的”解讀說(shuō)明

圖分析實(shí)際事件前進(jìn)行干預(yù)：

2)強(qiáng)調(diào)“異常行為”作為事件前兆的識(shí)別意義：異常行為往往是信息安全事件的先兆，標(biāo)準(zhǔn)編制者希望通過(guò)監(jiān)視活動(dòng)捕捉這些“前兆信號(hào)”,

為后續(xù)事件響應(yīng)提供時(shí)間窗口；

3)提升組織對(duì)信息安全事件的“可預(yù)見性”與“可控制性”:通過(guò)監(jiān)視，組織能夠掌掘系統(tǒng)的運(yùn)行狀態(tài)和潛在風(fēng)險(xiǎn)，并據(jù)此做出提前判斷和

干預(yù)，從而提升對(duì)信息安全事件的控制能力；

4)支撐信息安全管理體系(ISMS)的閉環(huán)管理：監(jiān)視活動(dòng)是ISWS中“檢查(Check)”環(huán)節(jié)的重要組成部分，通過(guò)發(fā)現(xiàn)異常和潛在事件，推動(dòng)

信息安全控制措施的評(píng)估與改進(jìn)：

5)滿足法律法規(guī)與合規(guī)要求；在當(dāng)前日益嚴(yán)格的網(wǎng)絡(luò)安全法規(guī)背景下(如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《

中華人民共和國(guó)個(gè)人信息保護(hù)法》等),組織需具備發(fā)現(xiàn)并報(bào)告信息安全事件的能力，而監(jiān)視活動(dòng)正是其技術(shù)支撐：

6)銜接網(wǎng)絡(luò)空間安全“發(fā)現(xiàn)-響應(yīng)”鏈路：作為網(wǎng)絡(luò)空間安全概念中“發(fā)現(xiàn)”環(huán)節(jié)的核心實(shí)踐，該目的與“響應(yīng)”環(huán)節(jié)形成聯(lián)動(dòng)，為后續(xù)分級(jí)

響應(yīng)(如P1級(jí)事件快速處置)和跨部門協(xié)作提供依據(jù)，符合網(wǎng)絡(luò)空間安全框架的全流程管理要求。

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.16.4指南

監(jiān)視范圍和級(jí)別宜根據(jù)業(yè)務(wù)及信息安全要求，并考慮相關(guān)法律法規(guī)予以確定。宜根據(jù)亞務(wù)及信息安全要求，并考慮相頭法律法規(guī)，確定監(jiān)視范圍和城別。監(jiān)

視記錄宜在規(guī)定的保存周期內(nèi)進(jìn)行維護(hù)，

宜考慮將以下事項(xiàng)納入監(jiān)視系統(tǒng)：

a)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的出入流量；

b)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、監(jiān)視系統(tǒng)、關(guān)鍵應(yīng)用程序等的坊問(wèn)；

c)關(guān)鍵或管理級(jí)系統(tǒng)和網(wǎng)絡(luò)配置文件；

d)來(lái)自安全工具的日志，如反病毒、IDS,入侵防御系統(tǒng)(IPS)、Web過(guò)濾器、防火墻、數(shù)據(jù)防泄露系統(tǒng)等；

e)與系統(tǒng)和網(wǎng)絡(luò)活動(dòng)相關(guān)的事態(tài)日志：

加油努力你行的

f)檢查正在執(zhí)行的代碼是否被授權(quán)在系統(tǒng)中運(yùn)行，并且術(shù)被篡改(例如通過(guò)重新編譯添加不必要代碼);

g)資源(例如，CPU、硬盤、內(nèi)存、帶寬》的使用及其性能。

維織宜建立正常行為的基線，并根據(jù)該基線監(jiān)視異常情況，建立基線時(shí)，宜考慮以下事項(xiàng)；

a)評(píng)審系統(tǒng)在平常和高峰期的使用情況；

b)每個(gè)閘戶或用戶組的正常訪問(wèn)時(shí)間、訪問(wèn)位置、訪問(wèn)頻率。

監(jiān)視系統(tǒng)宜根據(jù)既定基線進(jìn)行配置，以識(shí)別異常行為，例如；

a)過(guò)程或應(yīng)用程序的意外終止；

b)通常與悉意軟件有關(guān)的活動(dòng)或者源于已知惡意IP地址或網(wǎng)絡(luò)城(例如，與惶尸網(wǎng)絡(luò)命令和控制服務(wù)器有關(guān))的流量；

a)已知攻擊特征(例如，拒絕服務(wù)和緩沖區(qū)濫出);

d)異常的系統(tǒng)行為(例如，擊健記錄、過(guò)程注入和標(biāo)準(zhǔn)協(xié)議的使同偏差等);

e)瓶頸和過(guò)載《例如，網(wǎng)絡(luò)排隊(duì)，延遲級(jí)別和網(wǎng)絡(luò)抖動(dòng));

f)系統(tǒng)或信息未經(jīng)授權(quán)的訪問(wèn)《實(shí)際或嘗試);

g)業(yè)務(wù)應(yīng)用程序、系統(tǒng)和網(wǎng)絡(luò)的未經(jīng)授權(quán)掃描；

h)對(duì)受保護(hù)資源(例加，DNS眼務(wù)器、門戶網(wǎng)站和文件系統(tǒng))成功和失敗的訪問(wèn)嘗試；

i)與預(yù)期行為相比，異常的用戶行為和系蜿行為。

宜使用監(jiān)視工具進(jìn)行持續(xù)監(jiān)視。宜根據(jù)組織需要和能力，實(shí)時(shí)或定期進(jìn)行監(jiān)視。監(jiān)視工具宜具備處理大量數(shù)據(jù)、適應(yīng)不斷變化的威脅形勢(shì)及允許實(shí)時(shí)遙知的

能力。這些工具還宜能夠識(shí)別特定的簽名和數(shù)據(jù)、網(wǎng)絡(luò)或應(yīng)用程序行為模式。

宜將自動(dòng)化監(jiān)視軟件配置為根據(jù)預(yù)定義閾值生成告警《例如，通過(guò)管理控制臺(tái)、電子郵伴或即時(shí)通信系統(tǒng))。告警系統(tǒng)宜根據(jù)細(xì)織的基線進(jìn)行調(diào)整和訓(xùn)練，以

盡量減少誤報(bào)。宜有專人對(duì)告警作出響應(yīng)，并接受適當(dāng)培訓(xùn)，以準(zhǔn)確解釋潛在事件。宜配備冗余系統(tǒng)和過(guò)程來(lái)接收和響應(yīng)告警通知。

宜將異常事態(tài)傳達(dá)給相關(guān)方(見5.25),以改進(jìn)以下活動(dòng)：審計(jì)、安全評(píng)價(jià)、跪弱性掃描和監(jiān)視。宜制定規(guī)程，來(lái)及時(shí)響應(yīng)監(jiān)視系統(tǒng)的正指標(biāo)(見5.26),以盡量

減少不良事態(tài)對(duì)信息安全的影響。還宜建立識(shí)別和處理誤報(bào)的規(guī)程，包括調(diào)整監(jiān)視軟件以減少未來(lái)誤報(bào)的數(shù)量。

8.16.4指南

(1)本指南條款核心涵義解析(理解要點(diǎn)解讀);

“8.16.4《監(jiān)視活動(dòng))指南”條款核心涵義解析(理解要點(diǎn)解讀)說(shuō)明表

加油努力你行的

條款內(nèi)容總體概述8.16.4子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

本條款核心在于明確監(jiān)視策略的制定需以業(yè)務(wù)需求、信息安全目標(biāo)為基礎(chǔ)，同時(shí)兼顧

法律法規(guī)要求，體現(xiàn)“風(fēng)險(xiǎn)導(dǎo)向、合規(guī)優(yōu)先、按需適配”的原則。

監(jiān)視范國(guó)和級(jí)別宜根據(jù)業(yè)務(wù)及信息安全要求，并-標(biāo)準(zhǔn)通過(guò)重復(fù)強(qiáng)調(diào)“宜根據(jù)….確定”,突出該原則的核心地位——組織需結(jié)合自

監(jiān)視范圍和級(jí)別的考慮相關(guān)法律法規(guī)予以確定。宜根據(jù)業(yè)務(wù)及信息身業(yè)務(wù)特性(如核心業(yè)務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)資產(chǎn))、信息安全風(fēng)險(xiǎn)(如威脅類型、資產(chǎn)

確定原則安全要求，并考慮相關(guān)法律法規(guī)，確定監(jiān)視范圍脆羽性)及法律法規(guī)(如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全

和級(jí)別。法》中關(guān)于安全事件監(jiān)測(cè)的要求),科學(xué)界定監(jiān)視的邊界(如覆蓋哪些系統(tǒng)、網(wǎng)絡(luò)區(qū)

域)和深度(如實(shí)時(shí)監(jiān)控或定期抽檢),避免監(jiān)視不足導(dǎo)致風(fēng)險(xiǎn)遺漏或過(guò)度監(jiān)視造成

資源浪費(fèi)。

本條款明確了監(jiān)視記錄的全生命周期管理核心，強(qiáng)調(diào)記錄的“完整性、可追溯性及合

規(guī)保留”。

-監(jiān)視記錄(如日志、告警信息、異常行為記錄等)是安全審計(jì)、事件溯源、合規(guī)性

監(jiān)視記錄的管理要

監(jiān)視記錄宜在規(guī)定的保存周期內(nèi)進(jìn)行維護(hù)。證明的關(guān)鍵依據(jù)?！耙?guī)定的保存周期”需結(jié)合組織內(nèi)部策略(如基于風(fēng)險(xiǎn)評(píng)估確定)

求

和外部法規(guī)(如等級(jí)保護(hù)要求日志保存不少于6個(gè)月)制定，且在周期內(nèi)需采取措施

(如加密存儲(chǔ)、訪問(wèn)控制)確保記錄不被篡改、丟失，為后續(xù)事件分析、責(zé)任認(rèn)定提

供可靠證據(jù)。

宜考慮將以下事項(xiàng)納入監(jiān)視系統(tǒng)：本條款列舉了監(jiān)視系統(tǒng)需覆蓋的七類核心對(duì)象，旨在構(gòu)建“全方位、多層次”的安全

a)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的出入流量；監(jiān)控體系，實(shí)現(xiàn)對(duì)潛在威脅的全面感知。

監(jiān)視系統(tǒng)的核心監(jiān)b)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、藍(lán)視系統(tǒng)、關(guān)鍵應(yīng)-a)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用流量監(jiān)控：可識(shí)別異常通信(如與惡意IP的連接、豐授權(quán)數(shù)據(jù)

控對(duì)象用程序等的訪問(wèn)；傳輸);

○)關(guān)健或管理級(jí)系統(tǒng)和網(wǎng)絡(luò)配置文件；-b)各類資產(chǎn)訪問(wèn)監(jiān)控：追蹤對(duì)系統(tǒng)、設(shè)備、關(guān)鍵應(yīng)用的訪問(wèn)行為，及時(shí)發(fā)現(xiàn)越權(quán)訪

d)未自安全工具的日志，如反病毒、IDS、人侵防問(wèn)；

加油努力你行的

條款內(nèi)容總體概述8.16.4子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

御系統(tǒng)(IPS)、Web過(guò)濾器、防火墻、數(shù)據(jù)防濁露-e)關(guān)鍵配置文件監(jiān)控：防范未授權(quán)的配置變更(如防火墻規(guī)則篡改、系統(tǒng)參數(shù)修改

系統(tǒng)等；)導(dǎo)致的安全漏洞：

e)與系統(tǒng)和網(wǎng)絡(luò)活動(dòng)相關(guān)的事態(tài)日志；-d)安全工具日志集成：匯聚反病毒、IDS等工具的日志，實(shí)現(xiàn)威脅信息聯(lián)動(dòng)分析；

f)檢查正在執(zhí)行的代碼是否被授權(quán)在系統(tǒng)中運(yùn)行-e)系統(tǒng)與網(wǎng)絡(luò)事態(tài)日志：記錄系統(tǒng)運(yùn)行狀態(tài)(如啟動(dòng)、重啟、錯(cuò)誤),為異常行為

,并且未被篡改(例如通過(guò)重新編譯添加不必要代分析提供上下文；

碼);-f)代碼完整性監(jiān)控：驗(yàn)證執(zhí)行代碼的授權(quán)狀態(tài)及完整性(如示例中“防止重新編譯

g)資源《例如，CPU、硬盤、內(nèi)存、帶寬)的使用及添加惡意代碼”),防范惡意慕改或未授權(quán)代碼執(zhí)行：

其性能。-g)資源使用監(jiān)控：識(shí)別資源異常占用(如CPU驟升、帶寬耗盡),可能關(guān)聯(lián)DoS攻擊

或惡意程序活動(dòng)。

本條款強(qiáng)調(diào)“基線建?！笔钱惓z測(cè)的基礎(chǔ)，核心在于通過(guò)定義“正常”行為，為識(shí)

別“異?！碧峁┗鶞?zhǔn)。

-基線是組織信息系統(tǒng)“常態(tài)”的量化描述，需覆蓋系統(tǒng)運(yùn)行(如平常/高峰期的資

燭織宜建立正常行為的基線，并根據(jù)該基線監(jiān)視

源占用、業(yè)務(wù)交易量)和用戶行為(如訪問(wèn)時(shí)間規(guī)律、常用位置、訪問(wèn)頻次)等維度

異常情況，建立基線時(shí)，宜考慮以下事項(xiàng)：

正常行為基線的建;

a)評(píng)審系統(tǒng)在平常和高峰期的使用情況；

立要求-a)系統(tǒng)使用基線：區(qū)分平常與高峰期的差異(如工作日與節(jié)假日、白天與夜間的負(fù)

b)每個(gè)用戶或用戶性的正常訪問(wèn)時(shí)間、訪問(wèn)位置、

載特征),避免將正常波動(dòng)誤判為異常；

訪問(wèn)頻率。

-b)用戶訪問(wèn)基線：按用戶或用戶組(如管理員、普通員工)建立行為模型，為識(shí)別

“非工作時(shí)間登錄”“異地異常訪問(wèn)”等風(fēng)險(xiǎn)提供依據(jù)?；€雷動(dòng)態(tài)更新，以適應(yīng)業(yè)

務(wù)變化(如業(yè)務(wù)擴(kuò)張導(dǎo)致的負(fù)載增長(zhǎng)).

異常行為的典型監(jiān)監(jiān)視系統(tǒng)宜根據(jù)既定基線進(jìn)行配置，以識(shí)別異常本條款列舉了九類典型異常行為場(chǎng)景，為監(jiān)視系統(tǒng)的檢測(cè)規(guī)則配置提供具體指引，核

控場(chǎng)景行為，例如：心在于覆蓋“已知威脅”和“未知異?！薄?/p>

加油努力你行的

條款內(nèi)容總體概述8.16.4子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

a)過(guò)程或應(yīng)用程序的意外終止；-a)進(jìn)程意外終止：可能關(guān)聯(lián)惡意程序破壞或系統(tǒng)故障；

b)道常與悉意軟件有關(guān)的活動(dòng)或者源于已知悲意-b)惡意軟件相關(guān)活動(dòng)：如與僵尸網(wǎng)絡(luò)C2服務(wù)器通信，直接指向感染風(fēng)險(xiǎn)；

IP地址或網(wǎng)絡(luò)域(例加，與僵戶網(wǎng)絡(luò)命令和控制服-c)已知攻擊特征：基于簽名識(shí)別經(jīng)典攻擊(如DoS的流量特征、緩沖區(qū)溢出的代碼

務(wù)器有關(guān))的流量；模式);

c)已知攻擊特征(例如，拒絕務(wù)和緩沖區(qū)濫出);d)異常系統(tǒng)行為：如擊鍵記錄(竊密》、過(guò)程注入(權(quán)限提升),提示高級(jí)威脅；

d)異常的系統(tǒng)行為(例如，擊鍵記錄、過(guò)程注入和-e)資源瓶頸：可能是攻擊(如IDoS)或配置不當(dāng)導(dǎo)致；

標(biāo)準(zhǔn)協(xié)議的使用偏差等);-f)未授權(quán)訪問(wèn)：包括成功入侵和嘗試失敗(如暴力破解):

e)瓶頸和過(guò)載(例加，網(wǎng)絡(luò)排隊(duì)、延遲級(jí)別和網(wǎng)絡(luò)-g)未授權(quán)掃描：攻擊者探測(cè)系統(tǒng)漏洞的典型行為；

抖動(dòng));-h)受保護(hù)資源訪問(wèn)嘗試：追蹤對(duì)關(guān)鍵資源(如IDNS服務(wù)器、敏感文件)的訪問(wèn)行為，

f)系統(tǒng)或信息未經(jīng)授權(quán)的訪問(wèn)(實(shí)際或嘗試);識(shí)別越權(quán)風(fēng)險(xiǎn)；

g)業(yè)務(wù)應(yīng)用程序、系統(tǒng)和網(wǎng)絡(luò)的未經(jīng)授權(quán)掃描；-i)綜合異常行為：結(jié)合基線識(shí)別偏離預(yù)期的用戶/系統(tǒng)行為(如用戶突然訪問(wèn)非職

h)對(duì)受保護(hù)資源(例如，DNS服務(wù)器、門戶網(wǎng)站和責(zé)數(shù)據(jù))。

文件系統(tǒng))成功和失敗的訪問(wèn)嘗試；

i)與預(yù)期行為相比，異常的用戶行為和系蜿行為。

本條款明確了監(jiān)視工具的核心功能與部署要求，強(qiáng)調(diào)工具的“連續(xù)性、適應(yīng)性、智能

宜使用監(jiān)視工具進(jìn)行特續(xù)監(jiān)視，宜根據(jù)組織需要分析能力”。

和能力，實(shí)時(shí)或定期進(jìn)行監(jiān)視。監(jiān)視工具宜具備-持續(xù)監(jiān)視是基礎(chǔ)，根據(jù)組織規(guī)模和資源(如小型組織可用輕量化工具，大型組織需

監(jiān)視工具的功能要

處理大量數(shù)據(jù)、適應(yīng)不斷變化的威脅形勢(shì)及允許分布式部署)選擇實(shí)時(shí)(如核心業(yè)務(wù)系統(tǒng))或定期(如非關(guān)鍵資產(chǎn))監(jiān)控模式；

求

實(shí)時(shí)通知的能力。這些工具還宜能夠識(shí)別特定的-工具需具備大數(shù)據(jù)處理能力，應(yīng)對(duì)海量日志、流量數(shù)據(jù)；

簽名和數(shù)據(jù)、網(wǎng)絡(luò)或應(yīng)用程序行為模式。-威脅適應(yīng)性：支持規(guī)則動(dòng)態(tài)更新(如新增惡意IP庫(kù)、攻擊特征),應(yīng)對(duì)新型威脅；

實(shí)時(shí)通知：確保關(guān)鍵告警(如發(fā)現(xiàn)DoS攻擊)及時(shí)傳遞；

加油努力你行的

條款內(nèi)容總體概述8.16.4子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

一模式識(shí)別：既支持基于簽名的已知威脅檢測(cè)(如病毒特征),也支持基于行為模式

的異常識(shí)別(如異常訪問(wèn)序列)。

本條款聚焦告警機(jī)制的“精準(zhǔn)性、響應(yīng)有效性及可靠性”,確保真正的安全事件被及

時(shí)處理。

宜將自動(dòng)化鹽視軟件配置為根據(jù)預(yù)定義閾值生成-告警觸發(fā)：基于預(yù)定義閱值(如“5分鐘內(nèi)3次登錄失敗”),支持多渠道通知(控

告警(例如，通過(guò)管理控制臺(tái)、電子郵件或即時(shí)通制臺(tái)、郵件等);

告警系統(tǒng)的配置與信系統(tǒng))。告警系統(tǒng)宜根據(jù)細(xì)織的基線進(jìn)行調(diào)整和-誤報(bào)管理：結(jié)合基線調(diào)整規(guī)則(如動(dòng)態(tài)優(yōu)化閥值),通過(guò)機(jī)器學(xué)習(xí)“訓(xùn)練”系統(tǒng)減

響應(yīng)要求訓(xùn)練，以盡量減少誤報(bào)。宜有專人對(duì)告警作出響少誤報(bào)，避免安全團(tuán)隊(duì)疲勞；

應(yīng)，并接受途當(dāng)培訓(xùn)，以準(zhǔn)確解釋潛在事伴。宜-專人響應(yīng)：響應(yīng)人員需經(jīng)培訓(xùn)，能區(qū)分誤報(bào)與真實(shí)事件(如判斷“異常登錄”是員

配備冗余系統(tǒng)和過(guò)程來(lái)接收和響應(yīng)告警通知。工出差還是黑客入侵);

-冗余保障：通過(guò)備用系統(tǒng)、應(yīng)急流程確保告警不丟失(如主系統(tǒng)故障時(shí)自動(dòng)切換至