【儀表網(wǎng) 行業(yè)標(biāo)準(zhǔn)】近日，由北京賽西科技發(fā)展有限責(zé)任公司 、公安部第三研究所 、中國移動通信集團有限公司 、深信服科技股份有限公司等單位起草， TC260(全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會)歸口的國家標(biāo)準(zhǔn)計劃《信息安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》征求意見稿已編制完成，現(xiàn)公開征求意見。
 

　　智能化、自動化的協(xié)同防護能力建設(shè)依賴于不同網(wǎng)絡(luò)安全產(chǎn)品的互聯(lián)互通。然而，當(dāng)前我國網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通仍在起步階段。一方面，安全廠商產(chǎn)品類型復(fù)雜、不同產(chǎn)品的數(shù)據(jù)融合難、實現(xiàn)差異明顯。大量研發(fā)成本用于實現(xiàn)不同安全廠商、安全產(chǎn)品之間的適配，同質(zhì)化競爭嚴(yán)重，技術(shù)創(chuàng)新投入不足，創(chuàng)新能力有待提高，長期來看影響網(wǎng)絡(luò)安全產(chǎn)業(yè)做大做強。另一方面，政務(wù)、電信、金融等行業(yè)用戶單位通過研制數(shù)據(jù)、安全功能相關(guān)標(biāo)準(zhǔn)，研發(fā)定制化產(chǎn)品和安全管理平臺等方式，初步實現(xiàn)在特定業(yè)務(wù)場景下的網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通，但由于缺少統(tǒng)一技術(shù)框架和配套標(biāo)準(zhǔn)規(guī)范，用戶單位網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通工作改造成本高、效果不明顯，難以形成規(guī)模化、可復(fù)制的應(yīng)用推廣經(jīng)驗?；诖?，急需出臺統(tǒng)一技術(shù)框架指導(dǎo)相關(guān)工作開展。
 

　　本文件擬提出統(tǒng)一的互聯(lián)互通功能和互聯(lián)互通信息框架，指導(dǎo)廠商、用戶單位等開展網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通建設(shè)工作，解決當(dāng)前互聯(lián)互通建設(shè)成本高，應(yīng)用范圍僅限于特定業(yè)務(wù)場景，難以復(fù)制推廣的問題。
 

　　本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
 

　　本文件給出了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架，包括互聯(lián)互通功能和互聯(lián)互通信息。本文件適用于指導(dǎo)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通的設(shè)計、開發(fā)和應(yīng)用。
 

　　識別功能：
 

　　識別功能通過對軟硬件、數(shù)據(jù)、網(wǎng)絡(luò)等信息的采集與分析，識別潛在的網(wǎng)絡(luò)安全風(fēng)險。識別功能主要包括：
 

　　a) 資產(chǎn)識別：檢查、發(fā)現(xiàn)網(wǎng)絡(luò)、軟硬件和數(shù)據(jù)等資產(chǎn)，形成資產(chǎn)信息；
 

　　b) 脆弱性識別：發(fā)現(xiàn)已識別資產(chǎn)中可能存在的脆弱性，包括漏洞掃描、代碼審計、配置核查等，形成脆弱性信息；
 

　　c) 威脅識別：通過分析網(wǎng)絡(luò)流量、安全日志、威脅情報等，識別威脅，形成威脅信息；
 

　　d) 網(wǎng)絡(luò)流量采集：通過流量鏡像等方式，獲取并記錄網(wǎng)絡(luò)行為，形成行為信息；
 

　　e) 終端信息采集：對終端進程、流量特征、文件等信息進行采集，獲取并記錄終端行為，形成行為信息。
 

　　防護功能：
 

　　防護功能通過實施防護措施，防范網(wǎng)絡(luò)安全風(fēng)險。防護功能主要包括：
 

　　a) 身份管理與鑒別：標(biāo)識和鑒別軟硬件、數(shù)據(jù)、網(wǎng)絡(luò)等訪問者身份合法性的過程，形成行為信息，對于存在非授權(quán)訪問的情況，還應(yīng)形成告警信息；
 

　　b) 網(wǎng)絡(luò)訪問控制：按照網(wǎng)絡(luò)訪問控制策略對訪問行為進行阻斷或授權(quán)，形成行為信息，當(dāng)發(fā)生阻斷時，還應(yīng)形成告警信息；
 

　　c) 網(wǎng)絡(luò)入侵防御：通過協(xié)議解碼、內(nèi)容檢測、規(guī)則匹配及威脅情報分析等技術(shù)手段，檢測和阻斷網(wǎng)絡(luò)入侵行為，形成行為信息、告警信息；
 

　　d) 網(wǎng)絡(luò)隔離交換：通過終止網(wǎng)絡(luò)連接、分離網(wǎng)絡(luò)協(xié)議等方式，將數(shù)據(jù)以專有數(shù)據(jù)塊的形式在不同網(wǎng)絡(luò)間進行擺渡，實現(xiàn)網(wǎng)絡(luò)隔離環(huán)境下數(shù)據(jù)交換的過程，形成行為信息、告警信息；
 

　　e) 網(wǎng)絡(luò)行為控制：通過行為模式識別、規(guī)則匹配等方式分析網(wǎng)絡(luò)行為，進行隔離、過濾、放行等操作，形成行為信息、告警信息；
 

　　f) 網(wǎng)絡(luò)流量控制：基于流量控制策略對網(wǎng)絡(luò)流量進行監(jiān)測、分類、整形、帶寬限速、帶寬保障等操作，優(yōu)化帶寬資源使用，避免網(wǎng)絡(luò)擁塞，形成行為信息、告警信息；
 

　　g) 拒絕服務(wù)攻擊防護：通過 TCP 代理、源 IP 驗證等方式，發(fā)現(xiàn)網(wǎng)絡(luò)流量的拒絕服務(wù)攻擊行為，對匹配抗拒絕服務(wù)策略的網(wǎng)絡(luò)流量進行阻斷，形成行為信息、告警信息；
 

　　h) 數(shù)據(jù)庫防護：通過數(shù)據(jù)庫審計等方式，發(fā)現(xiàn)并阻斷針對數(shù)據(jù)庫系統(tǒng)的攻擊，形成行為信息、告警信息；
 

　　i) 惡意代碼防范：通過漏洞掃描、注冊表查找等方式，檢測發(fā)現(xiàn)僵尸、木馬、蠕蟲等惡意代碼，并對其進行清除或隔離等操作，形成行為信息、告警信息；
 

　　j) 應(yīng)用安全防護：分析 Web 應(yīng)用、主機設(shè)備等的訪問流量，實現(xiàn) Web 應(yīng)用攻擊防護、非授權(quán)訪問防護、惡意代碼防護、郵件安全防護、網(wǎng)頁防篡改等功能，形成行為信息、告警信息；
 

　　k) 終端訪問控制：通過終端訪問控制規(guī)則對終端操作和訪問行為進行管控，形成行為信息、告警信息。終端操作和訪問行為包括且不限于網(wǎng)絡(luò)訪問、文件訪問、系統(tǒng)指令訪問、進程創(chuàng)建、移動存儲介質(zhì)訪問、辦公設(shè)備訪問等；
 

　　l) 終端入侵防護：通過獲取終端行為、系統(tǒng)日志或其他終端上的信息，發(fā)現(xiàn)違反安全策略的行為并加以阻斷，形成行為信息、告警信息；
 

　　m) 終端防病毒：在終端設(shè)備上實現(xiàn)的惡意代碼防范功能，形成行為信息、告警信息；
 

　　n) 終端行為控制：依據(jù)訪問控制規(guī)則對終端操作和訪問行為進行控制，終端操作和訪問行為包括但不限于網(wǎng)絡(luò)訪問、文件訪問、系統(tǒng)指令訪問、進程創(chuàng)建、移動存儲介質(zhì)訪問、辦公設(shè)備訪問等，形成行為信息、告警信息。
 

　　監(jiān)測功能：
 

　　監(jiān)測功能通過持續(xù)監(jiān)測目標(biāo)網(wǎng)絡(luò)與系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)安全事件并觸發(fā)預(yù)警或響應(yīng)。監(jiān)測功能主要包括：
 

　　a) 入侵檢測：通過嗅探網(wǎng)絡(luò)流量、行為、安全日志及其他相關(guān)信息，分析計算終端和網(wǎng)絡(luò)資源的惡意使用行為，包括但不限于入侵行為、非授權(quán)訪問等，形成行為信息、告警信息，處理后形成事件信息；
 

　　b) 高級持續(xù)性威脅(APT)檢測：通過技術(shù)手段檢測或監(jiān)視高級持續(xù)性威脅，包括但不限于未知惡意代碼檢測、嵌套式攻擊檢測、木馬蠕蟲病毒檢測、隱蔽信道檢測等，形成行為信息、告警信息，處理后形成事件信息；
 

　　c) 終端安全檢測：對受保護終端的終端進程、流量特征、文件、系統(tǒng)性能等進行監(jiān)測，發(fā)現(xiàn)安全風(fēng)險，形成行為信息、告警信息，處理后形成事件信息；
 

　　d) 域名解析安全監(jiān)測：對域名系統(tǒng)(Domain Name System，DNS)節(jié)點上的流量進行監(jiān)測，發(fā)現(xiàn)因拒絕服務(wù)攻擊等造成的域名異常，形成行為信息、告警信息，處理后形成事件信息；
 

　　e) 用戶與實體行為監(jiān)測：采用規(guī)則匹配、安全基線、機器學(xué)習(xí)等方式，監(jiān)測、分析用戶與實體的異常行為，形成行為信息、告警信息，處理后形成事件信息；
 

　　f) 網(wǎng)絡(luò)行為監(jiān)測：監(jiān)控網(wǎng)絡(luò)流量，采用深度檢測等技術(shù)發(fā)現(xiàn)因拒絕服務(wù)攻擊、惡意程序等造成的網(wǎng)絡(luò)異常行為，形成行為信息或告警信息，處理后形成事件信息；
 

　　g) 互聯(lián)網(wǎng)信息監(jiān)測：通過互聯(lián)網(wǎng)信息采集技術(shù)、智能處理技術(shù)等對互聯(lián)網(wǎng)信息進行匯集、分類、整合、篩選，實現(xiàn)對互聯(lián)網(wǎng)信息收集與整理。形成行為信息、告警信息，處理后形成事件信息；
 

　　h) 安全審計：記錄并存儲網(wǎng)絡(luò)、軟硬件及其組件的活動，產(chǎn)生各類審計日志，包括但不限于主機審計日志、網(wǎng)絡(luò)審計日志、數(shù)據(jù)庫審計日志、應(yīng)用審計日志、運維審計日志等，形成行為信息、告警信息、威脅信息，處理后形成事件信息。
 

　　處置功能：
 

　　處置功能是發(fā)現(xiàn)網(wǎng)絡(luò)安全事件、安全威脅等情況時，通過相應(yīng)的響應(yīng)手段應(yīng)對網(wǎng)絡(luò)安全風(fēng)險，減緩網(wǎng)絡(luò)安全事件帶來的影響。處置功能主要包括：
 

　　a) 事件自動化處置：通過漏洞加固、封堵 IP、自動化編排等方式，對安全分析結(jié)果進行自動化應(yīng)用、聯(lián)動處置；
 

　　b) 攻擊抑制：采用病毒查殺、進程終止、蜜罐誘捕等方式，對攻擊流量和可疑行為進行阻斷、限制；
 

　　c) 備份恢復(fù)：基于已備份的信息，實現(xiàn)對業(yè)務(wù)系統(tǒng)數(shù)據(jù)和功能的恢復(fù)；
 

　　d) 通報預(yù)警：對監(jiān)測過程中獲取的行為信息、脆弱性信息、事件信息、威脅信息等在一定范圍內(nèi)進行預(yù)警或告知，形成告警信息和威脅信息；
 

　　e) 攻擊溯源：通過對攻擊信息片段進行綜合分析和場景還原，重構(gòu)攻擊者的攻擊路徑、攻擊手法、攻擊意圖等，形成事件信息。
 

　　詳情請見附件。