信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南

GB/TXXXXX—XXXX信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南范圍本標(biāo)準(zhǔn)定義了網(wǎng)絡(luò)安全監(jiān)測(cè)框架和基本方法，提出了網(wǎng)絡(luò)安全監(jiān)測(cè)活動(dòng)各組成環(huán)節(jié)技術(shù)要求，給出了實(shí)施監(jiān)測(cè)建設(shè)運(yùn)維過(guò)程。本標(biāo)準(zhǔn)適用于用戶單位對(duì)信息系統(tǒng)或網(wǎng)絡(luò)設(shè)施實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)的方法和過(guò)程指導(dǎo)，適用于安全產(chǎn)品廠商參考進(jìn)行產(chǎn)品設(shè)計(jì)和開發(fā)，也適用于為安全服務(wù)廠商實(shí)施安全監(jiān)測(cè)服務(wù)提供規(guī)范和依據(jù)。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18030信息技術(shù)中文編碼字符集GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T20985信息技術(shù)安全技術(shù)信息安全事件管理指南GB/Z20986信息安全技術(shù)信息安全事件分類分級(jí)指南GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T28458信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范GW0204-2014國(guó)家電子政務(wù)外網(wǎng)安全管理系統(tǒng)技術(shù)要求與接口規(guī)范術(shù)語(yǔ)定義與縮略語(yǔ)3.1術(shù)語(yǔ)定義GB/T18030、GB/T20984、GB/T20985、GB/Z20986、GB/T22239、GB/T25069和GB/T28458界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1.1信息安全事態(tài)informationsecurityevent系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別狀態(tài)，可能是信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)未知狀態(tài)。3.1.2信息安全事件informationsecurityincident一個(gè)信息安全事故由單個(gè)或一系列有害或意外信息安全事件組成，具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大可能性。3.1.3網(wǎng)絡(luò)安全態(tài)勢(shì)感知networksecuritysituationawareness大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、分析、圖形化顯示以及預(yù)測(cè)未來(lái)一段時(shí)間內(nèi)的發(fā)展趨勢(shì)。3.1.4風(fēng)險(xiǎn)管理riskmanagement指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。3.1.5安全攻擊securityattack信息系統(tǒng)中，對(duì)系統(tǒng)或信息進(jìn)行破壞、泄漏、更改或使其喪失功能的行為。3.1.6安全策略securitypolicy安全區(qū)域內(nèi)用于所有與安全相關(guān)活動(dòng)的一套規(guī)則，規(guī)則由此安全區(qū)域中設(shè)立的一個(gè)安全權(quán)力機(jī)構(gòu)建立，并由安全控制機(jī)構(gòu)描述、實(shí)施或?qū)崿F(xiàn)。3.1.7安全監(jiān)測(cè)securitymonitoring以信息安全事件為核心，通過(guò)對(duì)網(wǎng)絡(luò)和安全設(shè)備日志、系統(tǒng)運(yùn)行數(shù)據(jù)等信息進(jìn)行實(shí)時(shí)采集，以關(guān)聯(lián)分析等方式對(duì)監(jiān)測(cè)對(duì)象進(jìn)行風(fēng)險(xiǎn)識(shí)別、威脅發(fā)現(xiàn)、安全事件實(shí)時(shí)告警及可視化展示。3.1.8安全漏洞securityvulnerability信息系統(tǒng)中資產(chǎn)可被威脅利用的弱點(diǎn)。3.2縮略語(yǔ)下列縮略語(yǔ)適用于本文件。API應(yīng)用程序編程接口（ApplicationProgrammingInterface）IMAP網(wǎng)絡(luò)郵件訪問協(xié)議（InternetMailAccessProtocol）NSSA網(wǎng)絡(luò)安全態(tài)勢(shì)感知（NetworkSecuritySituationAwareness）PCAP過(guò)程特性分析軟件包（ProcessCharacterizationAnalysisPackage）POP3郵局協(xié)議版本3（PostOfficeProtocol-Version3）SNMP簡(jiǎn)單郵件傳輸協(xié)議（SimpleMailTransferProtocol）SSL安全套接層（SecureSocketsLayer）網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)框架監(jiān)測(cè)主要構(gòu)成監(jiān)測(cè)對(duì)象的監(jiān)測(cè)過(guò)程與活動(dòng)是網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)的主要構(gòu)成。主要包括以下內(nèi)容：監(jiān)測(cè)對(duì)象：為網(wǎng)絡(luò)安全監(jiān)測(cè)活動(dòng)的采集行為提供數(shù)據(jù)源，如日志數(shù)據(jù)、配置數(shù)據(jù)、包數(shù)據(jù)；監(jiān)測(cè)過(guò)程與活動(dòng)：通過(guò)對(duì)信息系統(tǒng)的物理環(huán)境、通信環(huán)境、區(qū)域邊界、計(jì)算環(huán)境進(jìn)行數(shù)據(jù)采集、存儲(chǔ)、分析，發(fā)現(xiàn)安全事件并展示與告警。網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)框架如圖1所示：圖1網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)框架監(jiān)測(cè)分類按照監(jiān)測(cè)目標(biāo)的不同，網(wǎng)絡(luò)安全監(jiān)測(cè)分為以下四類：信息安全事件監(jiān)測(cè)：對(duì)具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的事件，按照信息安全事件不同分類、分級(jí)要求，分析識(shí)別并進(jìn)行展示與告警；運(yùn)行狀態(tài)監(jiān)測(cè)：對(duì)監(jiān)測(cè)對(duì)象的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)捕捉，如各類設(shè)備和系統(tǒng)的可用性狀態(tài)信息；脆弱性與威脅監(jiān)測(cè)：對(duì)監(jiān)測(cè)對(duì)象的脆弱性、威脅進(jìn)行評(píng)估分析，發(fā)現(xiàn)資產(chǎn)所面臨的安全風(fēng)險(xiǎn)；策略與配置監(jiān)測(cè)：對(duì)各類設(shè)備和系統(tǒng)安全策略和配置信息進(jìn)行核查分析，評(píng)估安全合規(guī)性情況。網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)要求采集數(shù)據(jù)采集應(yīng)支持通過(guò)日志采集、協(xié)議采集、包采集等多種方式采集多種類型數(shù)據(jù)，并將采集到的數(shù)據(jù)轉(zhuǎn)化為標(biāo)準(zhǔn)化數(shù)據(jù)格式。采集類型應(yīng)具備從物理環(huán)境、通信環(huán)境、區(qū)域邊界、計(jì)算環(huán)境等采集日志數(shù)據(jù)、性能數(shù)據(jù)、流數(shù)據(jù)、威脅數(shù)據(jù)、配置數(shù)據(jù)、脆弱性數(shù)據(jù)、包數(shù)據(jù)、策略數(shù)據(jù)等多數(shù)據(jù)類型能力；應(yīng)提供多種方式進(jìn)行監(jiān)測(cè)數(shù)據(jù)采集：基于文件采集、基于代理采集、基于數(shù)據(jù)采集、基于協(xié)議采集；主動(dòng)采集、被動(dòng)采集；采集協(xié)議支持SNMP、Syslog、ODBC/JDBC、SFTP、NetBIOS、OPSEC等；應(yīng)提供日志分類和日志歸一化手段，并轉(zhuǎn)化為標(biāo)準(zhǔn)數(shù)據(jù)格式；流量采集需要完成協(xié)議解析和流量元數(shù)據(jù)收集；采集過(guò)程不應(yīng)影響采集對(duì)象正常運(yùn)行。存儲(chǔ)存儲(chǔ)模塊的主要功能是對(duì)監(jiān)測(cè)數(shù)據(jù)進(jìn)行存儲(chǔ)和存儲(chǔ)可靠性處理，應(yīng)按照如下要求設(shè)計(jì)：應(yīng)具備數(shù)據(jù)預(yù)處理功能，包括格式化處理、補(bǔ)充上下文信息（如用戶、地理位置和區(qū)域）、數(shù)據(jù)發(fā)布等；應(yīng)具備分布式存儲(chǔ)功能，要能夠?qū)⒉煌愋偷漠悩?gòu)數(shù)據(jù)進(jìn)行分類存儲(chǔ)，如歸一化日志、流量元數(shù)據(jù)、PCAP文件；應(yīng)支持按需擴(kuò)展存儲(chǔ)節(jié)點(diǎn)；應(yīng)滿足可靠性、并發(fā)性的要求，并進(jìn)行備份存儲(chǔ)；監(jiān)測(cè)數(shù)據(jù)中的重要信息應(yīng)進(jìn)行處理保證數(shù)據(jù)保密性；監(jiān)測(cè)數(shù)據(jù)應(yīng)采取校驗(yàn)機(jī)制保證數(shù)據(jù)完整性；重要監(jiān)測(cè)數(shù)據(jù)應(yīng)采取備份機(jī)制保證數(shù)據(jù)可用性；監(jiān)測(cè)數(shù)據(jù)應(yīng)設(shè)置訪問權(quán)限，按權(quán)限限定監(jiān)測(cè)數(shù)據(jù)使用；應(yīng)根據(jù)具體情況對(duì)監(jiān)測(cè)數(shù)據(jù)設(shè)定保存期限，并按照保存期限對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)；應(yīng)對(duì)存儲(chǔ)數(shù)據(jù)結(jié)構(gòu)進(jìn)行規(guī)劃設(shè)計(jì)，對(duì)外部系統(tǒng)、上下級(jí)系統(tǒng)提供存儲(chǔ)對(duì)接接口。分析采集到的數(shù)據(jù)應(yīng)從安全事件、運(yùn)行狀態(tài)、脆弱性與威脅、策略與配置方面進(jìn)行分析，發(fā)現(xiàn)安全事件或威脅。具體應(yīng)符合如下要求：安全事件分析應(yīng)具備：采用多種關(guān)聯(lián)分析技術(shù)綜合分析，發(fā)現(xiàn)病毒感染、惡意代碼、數(shù)據(jù)泄露、攻擊入侵、設(shè)備故障、系統(tǒng)狀態(tài)變化、人員違規(guī)行為與誤操作等安全事件或風(fēng)險(xiǎn)；安全事件關(guān)聯(lián)分析能力，通過(guò)關(guān)聯(lián)分析比對(duì)識(shí)別異常行為；基于流量基線檢測(cè)異常的能力，識(shí)別網(wǎng)絡(luò)訪問、違規(guī)訪問、訪問頻次和訪問路徑等異常；Web異常檢測(cè)功能，通過(guò)HTTP協(xié)議流量分析、檢測(cè)滲透行為；郵件異常檢測(cè)能力，通過(guò)對(duì)SMTP/POP3/IMAP協(xié)議流量分析、檢測(cè)基于電子郵件的外部滲透行為；按照組織內(nèi)對(duì)事件分類分級(jí)的方法，對(duì)安全事件進(jìn)行相應(yīng)的分類分級(jí)，并按照流程進(jìn)行處置分析；運(yùn)行狀態(tài)分析應(yīng)具備：提供滿足實(shí)際需求的運(yùn)行狀態(tài)監(jiān)控，通過(guò)可視化圖表查看監(jiān)控信息；設(shè)置告警閾值；并進(jìn)行運(yùn)行狀態(tài)的歷史分析；提供各種運(yùn)行狀態(tài)指標(biāo)的對(duì)比分析，提供基于時(shí)間段、基于資產(chǎn)等不同維度的對(duì)比分析，并進(jìn)行動(dòng)態(tài)直觀展示；通過(guò)安全管控、安全審計(jì)、健康性評(píng)估等對(duì)系統(tǒng)運(yùn)行狀態(tài)管理分析；脆弱性與威脅分析應(yīng)具備：脆弱性感知能力，對(duì)資產(chǎn)進(jìn)行脆弱性檢測(cè)和數(shù)據(jù)展示；根據(jù)不同維度進(jìn)行展示，包括單個(gè)資產(chǎn)、安全域、信息系統(tǒng)等維度；威脅感知能力，對(duì)威脅進(jìn)行展示和關(guān)聯(lián)，包括已（未）遭受到的威脅；已遭受威脅需要對(duì)威脅進(jìn)行分類，提取出關(guān)鍵威脅指標(biāo)，提供組織的威脅態(tài)勢(shì)；未遭受威脅需要對(duì)外部威脅情報(bào)進(jìn)行分類展示、關(guān)聯(lián)，提供與組織相關(guān)的位置威脅分析；威脅判定能力，將多個(gè)威脅進(jìn)行關(guān)聯(lián)分析和評(píng)估；策略與配置分析應(yīng)具備：通過(guò)策略與配置的對(duì)比分析，分析配置的符合性；通過(guò)配置的變更分析，獲取配置的動(dòng)態(tài)變化進(jìn)行審核監(jiān)測(cè)。展示將采集到的安全數(shù)據(jù)和分析后的結(jié)果信息進(jìn)行實(shí)時(shí)可視化展示。其展示內(nèi)容和展示功能應(yīng)具備如下要求：展示內(nèi)容應(yīng)包括：安全事件、運(yùn)行狀態(tài)、脆弱性與威脅和策略與配置的檢測(cè)結(jié)果等實(shí)時(shí)信息；物理環(huán)境狀態(tài)、拓?fù)潢P(guān)系、日志、事件和告警信息，以及事件間的關(guān)聯(lián)關(guān)系；展示功能應(yīng)具備：統(tǒng)計(jì)分析圖形、報(bào)表方式展示；通過(guò)關(guān)鍵字快速檢索獲取相關(guān)日志和流量元數(shù)據(jù)及詳細(xì)信息，查詢追溯事件的相關(guān)原始信息；通過(guò)展示攻擊過(guò)程和擴(kuò)散路徑，進(jìn)行攻擊鏈和攻擊上下文信息的呈現(xiàn)，多維度展示安全威脅的影響和范圍。告警使用告警模塊對(duì)安全事件或危險(xiǎn)進(jìn)行安全監(jiān)測(cè)提示，其分類、分級(jí)方式應(yīng)滿足下列要求：內(nèi)容分類應(yīng)包括：根據(jù)設(shè)備用途分為網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用程序、網(wǎng)管系統(tǒng)和日志服務(wù)器等；根據(jù)事件產(chǎn)生原因分為漏洞、病毒/木馬、可疑活動(dòng)、掃描探測(cè)、拒絕服務(wù)類、認(rèn)證/授權(quán)/訪問類等；根據(jù)原始事件的原始等級(jí)，重定義定級(jí)對(duì)應(yīng)為“很低、低、中等、高、很高”；告警方式應(yīng)具備：保存告警信息直接進(jìn)行展示、統(tǒng)計(jì)和分析；通過(guò)網(wǎng)絡(luò)協(xié)議等多種方式發(fā)送告警相關(guān)的信息供第三方系統(tǒng)分析和處理；高級(jí)別告警應(yīng)支持短信、即時(shí)通信等推送信息手段，也應(yīng)支持聲音、閃光等強(qiáng)制通知方式；告警響應(yīng)動(dòng)作應(yīng)支持設(shè)備聯(lián)動(dòng)，包括對(duì)其它設(shè)備執(zhí)行命令腳本、命令行等。接口應(yīng)支持標(biāo)準(zhǔn)接口，構(gòu)建標(biāo)準(zhǔn)化對(duì)外接口層，對(duì)監(jiān)測(cè)內(nèi)部、外部系統(tǒng)進(jìn)行接口連接，并符合GW0204-2014標(biāo)準(zhǔn)的要求。監(jiān)測(cè)接口分為：數(shù)據(jù)采集接口：從各種監(jiān)測(cè)對(duì)象中利用基于協(xié)議、基于代理、基于文件、基于數(shù)據(jù)的接口進(jìn)行數(shù)據(jù)采集；外部接口：通過(guò)各種外部接口與其他監(jiān)測(cè)審計(jì)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行系統(tǒng)對(duì)接和數(shù)據(jù)交互。網(wǎng)絡(luò)安全監(jiān)測(cè)基礎(chǔ)支撐環(huán)境要求網(wǎng)絡(luò)安全監(jiān)測(cè)環(huán)境應(yīng)在采集環(huán)境、分析環(huán)境、存儲(chǔ)環(huán)境、展示與告警環(huán)境和外部接口環(huán)境等方面滿足如下要求：采集環(huán)境：應(yīng)建立采集引擎，支持多種協(xié)議解析，以主動(dòng)和被動(dòng)的方式采集結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)；支持實(shí)時(shí)采集與批量采集等多種采集模式；主動(dòng)方式應(yīng)以最小權(quán)限獲取數(shù)據(jù)；分析環(huán)境：應(yīng)建立數(shù)據(jù)格式化引擎和分析引擎，通過(guò)數(shù)據(jù)格式化引擎對(duì)數(shù)據(jù)進(jìn)行清洗、去噪、去重、歸并、數(shù)據(jù)格式化等操作，分析引擎應(yīng)具備聚類、分類、關(guān)聯(lián)分析、深度學(xué)習(xí)等能力，可對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析、挖掘和深度學(xué)習(xí)；存儲(chǔ)環(huán)境：應(yīng)通過(guò)數(shù)據(jù)庫(kù)方式存儲(chǔ)數(shù)據(jù)，支持原格式數(shù)據(jù)存儲(chǔ)。存儲(chǔ)信息應(yīng)包含原始數(shù)據(jù)庫(kù)、資產(chǎn)數(shù)據(jù)庫(kù)、安全事件庫(kù)、預(yù)警與告警數(shù)據(jù)庫(kù)、規(guī)則數(shù)據(jù)庫(kù)等；外部接口環(huán)境：應(yīng)建立信息安全數(shù)據(jù)上報(bào)和采集的統(tǒng)一標(biāo)準(zhǔn)接口，對(duì)統(tǒng)一接口的描述、協(xié)議格式、接口內(nèi)容及異常處理等做出明確定義，并通過(guò)統(tǒng)一接口與第三方系統(tǒng)進(jìn)行數(shù)據(jù)交換，監(jiān)測(cè)系統(tǒng)應(yīng)只開放最小授權(quán)的數(shù)據(jù)發(fā)送與讀取；展示與告警環(huán)境：應(yīng)通過(guò)API的方式調(diào)用存儲(chǔ)層的分析數(shù)據(jù)和日志數(shù)據(jù)，將數(shù)據(jù)庫(kù)中每一個(gè)數(shù)據(jù)項(xiàng)以單個(gè)圖元元素表示，多種數(shù)據(jù)集構(gòu)成數(shù)據(jù)圖像，同時(shí)將數(shù)據(jù)的各個(gè)屬性值以多維數(shù)據(jù)的形式表示，從時(shí)間、空間、地理的維度進(jìn)行展示與告警。性能要求性能要求應(yīng)明確的關(guān)鍵指標(biāo)如下：原始數(shù)據(jù)并發(fā)采集能力、事件分析處理能力、事件告警延遲、1000萬(wàn)條數(shù)據(jù)查詢響應(yīng)時(shí)間、1億條數(shù)據(jù)查詢響應(yīng)時(shí)間、數(shù)據(jù)統(tǒng)計(jì)操作響應(yīng)時(shí)間；穩(wěn)定性指標(biāo)要求應(yīng)滿足：系統(tǒng)主要組件7*24h運(yùn)行；系統(tǒng)年正常運(yùn)行時(shí)間不低于99.9%；對(duì)被采集對(duì)象的內(nèi)存資源占用率不超過(guò)5%，對(duì)網(wǎng)絡(luò)帶寬占用率不超過(guò)10%；存儲(chǔ)管理節(jié)點(diǎn)應(yīng)保證至少一個(gè)節(jié)點(diǎn)正常運(yùn)行且另外一個(gè)節(jié)點(diǎn)30分鐘內(nèi)恢復(fù)正常使用；采集節(jié)點(diǎn)應(yīng)保證至少一個(gè)正常工作；集中管理節(jié)點(diǎn)和數(shù)據(jù)庫(kù)節(jié)點(diǎn)應(yīng)為雙機(jī)或主備方式保證系統(tǒng)高可用性；存儲(chǔ)能力指標(biāo)要求應(yīng)滿足：數(shù)據(jù)的保存期限不少于6個(gè)月；數(shù)據(jù)存儲(chǔ)應(yīng)具體備份和災(zāi)難恢復(fù)能力。自身安全性6.3.1等級(jí)保護(hù)合規(guī)性要求以信息安全等級(jí)保護(hù)制度和標(biāo)準(zhǔn)要求為依據(jù)，確定網(wǎng)絡(luò)安全監(jiān)測(cè)基礎(chǔ)環(huán)境自身安全性。6.3.2系統(tǒng)安全要求支持通信加密、數(shù)據(jù)加密、狀態(tài)監(jiān)測(cè)、日志審計(jì)、數(shù)據(jù)備份與快速恢復(fù)、密碼策略設(shè)置與核查、時(shí)間同步及超時(shí)登錄設(shè)置。應(yīng)具備如下要求：網(wǎng)絡(luò)通信應(yīng)采用加密協(xié)議；重要數(shù)據(jù)應(yīng)加密存儲(chǔ)；系統(tǒng)進(jìn)行自身運(yùn)行狀態(tài)監(jiān)測(cè)，并可產(chǎn)生告警；生成系統(tǒng)敏感操作日志，并執(zhí)行定期的日志審計(jì)，查看權(quán)限僅授予審計(jì)員；系統(tǒng)配置信息和數(shù)據(jù)備份功能，系統(tǒng)崩潰時(shí)可通過(guò)備份快速恢復(fù)；與其他系統(tǒng)進(jìn)行時(shí)間同步能力，至少每天同步一次；賬號(hào)密碼強(qiáng)度策略設(shè)置以及密碼強(qiáng)度自動(dòng)核查機(jī)制，并支持用戶登錄時(shí)的圖形碼驗(yàn)證功能；用戶登錄超時(shí)設(shè)置。建設(shè)和運(yùn)維網(wǎng)絡(luò)安全監(jiān)測(cè)建設(shè)應(yīng)包括需求分析、規(guī)劃設(shè)計(jì)、系統(tǒng)建設(shè)實(shí)施、系統(tǒng)運(yùn)維管理等四個(gè)主要活動(dòng)。建設(shè)和運(yùn)維框架圖如圖2所示：圖2建設(shè)和運(yùn)維流程框架需求分析7.1.1概述應(yīng)明確監(jiān)測(cè)主體、目標(biāo)、客體、數(shù)據(jù)采集范圍、技術(shù)手段、評(píng)估技術(shù)可行性、確定外部支持?jǐn)?shù)據(jù)來(lái)源、分析政策和法規(guī)風(fēng)險(xiǎn)。7.1.2主體應(yīng)包括網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫(kù)管理人員、應(yīng)用管理人員、業(yè)務(wù)管理人員等。實(shí)施單位應(yīng)明確監(jiān)測(cè)主體，根據(jù)主體范圍設(shè)計(jì)監(jiān)測(cè)方案。7.1.3目標(biāo)應(yīng)滿足主體的服務(wù)要求；應(yīng)明確邊界范圍、主體，分析支撐響應(yīng)方式方法。7.1.4客體客體應(yīng)滿足如下要求：包括IT系統(tǒng)內(nèi)的網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)、終端設(shè)備等；明確數(shù)據(jù)采集層面使用的技術(shù)機(jī)制，分析采集技術(shù)所需的客體支持要素；分析數(shù)據(jù)采集規(guī)模、計(jì)算數(shù)據(jù)存儲(chǔ)容量；包括分析數(shù)據(jù)采集類型的技術(shù)手段。7.1.5可行性分析可行性分析應(yīng)滿足如下要求：對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)的主體、客體、技術(shù)機(jī)制進(jìn)行整體可行性評(píng)估、確保監(jiān)控技術(shù)機(jī)制可實(shí)施性、數(shù)據(jù)可達(dá)性、技術(shù)安全性；評(píng)估技術(shù)風(fēng)險(xiǎn)，分析檢測(cè)技術(shù)實(shí)施可靠性、可用性保障措施。7.1.6外部支持需求外部支持需求應(yīng)滿足如下要求：根據(jù)監(jiān)測(cè)目標(biāo)分析外部支持需求；包括網(wǎng)絡(luò)安全監(jiān)管單位發(fā)布的安全公告、權(quán)威機(jī)構(gòu)發(fā)布的安全漏洞數(shù)據(jù)、安全攻擊事件信息等、第三方機(jī)構(gòu)提供的域名數(shù)據(jù)、IP注冊(cè)信息、人員實(shí)名制信息等；外部合規(guī)分析，確保監(jiān)測(cè)技術(shù)的實(shí)施符合國(guó)家及監(jiān)管部門的安全管理規(guī)范，遵守保護(hù)企業(yè)單位、個(gè)人隱私信息的保護(hù)要求。規(guī)劃設(shè)計(jì)7.2.1架構(gòu)設(shè)計(jì)規(guī)劃設(shè)計(jì)活動(dòng)需根據(jù)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)客體環(huán)境設(shè)計(jì)系統(tǒng)部署架構(gòu)。應(yīng)滿足如下要求：網(wǎng)絡(luò)安全監(jiān)測(cè)采集層，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)和采集對(duì)象范圍，可采用集中式采集組件部署架構(gòu)或分布式采集組件部署架構(gòu)；采集組件的部署應(yīng)依據(jù)鄰近采集原則，避免跨多個(gè)網(wǎng)絡(luò)區(qū)域數(shù)據(jù)采集，應(yīng)依據(jù)一次性采集原則，不應(yīng)對(duì)同一對(duì)象客體數(shù)據(jù)重復(fù)采集；網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)組件應(yīng)根據(jù)安全可信訪問原則，部署在網(wǎng)絡(luò)環(huán)境的可信內(nèi)網(wǎng)區(qū)域，不應(yīng)部署在安全級(jí)別較低的外部網(wǎng)絡(luò)區(qū)域；網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)與外部系統(tǒng)接口組件，應(yīng)依據(jù)外部接口服務(wù)與核心接口服務(wù)分離原則，不應(yīng)與網(wǎng)絡(luò)安全監(jiān)測(cè)組件部署在相同網(wǎng)絡(luò)區(qū)域內(nèi)。7.2.2功能設(shè)計(jì)依據(jù)管理要求進(jìn)行系統(tǒng)功能設(shè)計(jì)。應(yīng)滿足如下要求：安全監(jiān)測(cè)采集功能在滿足安全監(jiān)測(cè)采集范圍、種類、頻次等需求基礎(chǔ)上，采集功能規(guī)劃設(shè)計(jì)應(yīng)依據(jù)最小影響原則，不應(yīng)對(duì)采集客體的運(yùn)行造成不必要影響；數(shù)據(jù)處理及分析功能設(shè)計(jì)應(yīng)能滿足用戶對(duì)數(shù)據(jù)處理、分析的可擴(kuò)展、可定義需求；數(shù)據(jù)展示功能設(shè)計(jì)應(yīng)能滿足用戶對(duì)數(shù)據(jù)展示的用戶角色化、多視角、可定義展示需求。7.2.3通信設(shè)計(jì)依據(jù)監(jiān)測(cè)業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)進(jìn)行系統(tǒng)通信設(shè)計(jì)。應(yīng)滿足如下要求：網(wǎng)絡(luò)安全監(jiān)測(cè)內(nèi)部組件間的通信設(shè)計(jì)，應(yīng)明確各組件的通信服務(wù)及端口，并規(guī)劃設(shè)計(jì)組件間通信所需的帶寬需求，網(wǎng)絡(luò)通信帶寬規(guī)劃應(yīng)確保充足的網(wǎng)絡(luò)帶寬冗余；用戶與網(wǎng)絡(luò)安全平臺(tái)之間通信設(shè)計(jì)，應(yīng)區(qū)分內(nèi)部網(wǎng)絡(luò)接入用戶和遠(yuǎn)程接入用戶網(wǎng)絡(luò)通道，遠(yuǎn)程接入用戶應(yīng)采用通信加密措施。7.2.4容量設(shè)計(jì)依據(jù)監(jiān)測(cè)數(shù)據(jù)處理需求進(jìn)行系統(tǒng)容量設(shè)計(jì)。應(yīng)滿足如下要求：網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)容量規(guī)劃階段，應(yīng)根據(jù)采集對(duì)象種類、數(shù)量、采集要求估算系統(tǒng)數(shù)據(jù)的采集存儲(chǔ)需求，需要分別針對(duì)采集原始數(shù)據(jù)、監(jiān)測(cè)過(guò)程數(shù)據(jù)、監(jiān)測(cè)結(jié)果數(shù)據(jù)規(guī)劃存儲(chǔ)容量要求；根據(jù)數(shù)據(jù)用途規(guī)劃在線數(shù)據(jù)存儲(chǔ)容量和離線存儲(chǔ)容量。7.2.5可用性設(shè)計(jì)包括網(wǎng)絡(luò)安全監(jiān)測(cè)組件可用性和網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)可用性設(shè)計(jì)。其中，網(wǎng)絡(luò)安全監(jiān)測(cè)組件包括采集組件、網(wǎng)絡(luò)安全監(jiān)測(cè)配套的數(shù)據(jù)庫(kù)、中間件等，在規(guī)劃設(shè)計(jì)階段，應(yīng)對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)的關(guān)鍵服務(wù)節(jié)點(diǎn)的軟、硬件系統(tǒng)，規(guī)劃必要的高可用保障能力。7.2.6安全性設(shè)計(jì)網(wǎng)絡(luò)安全監(jiān)測(cè)規(guī)劃設(shè)計(jì)階段，應(yīng)對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)自身安全性進(jìn)行必要規(guī)劃設(shè)計(jì)，安全措施應(yīng)包括：承載網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的操作系統(tǒng)配置安全性保障措施；用戶訪問網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的身份鑒權(quán)、認(rèn)證措施；用戶訪問網(wǎng)絡(luò)通道安全性措施；網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)自身的數(shù)據(jù)安全性保護(hù)措施、網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)應(yīng)用層安全檢測(cè)措施等。系統(tǒng)建設(shè)實(shí)施活動(dòng)7.3.1系統(tǒng)部署實(shí)施系統(tǒng)平臺(tái)應(yīng)根據(jù)設(shè)計(jì)方案展開實(shí)施。應(yīng)滿足如下要求：硬件平臺(tái)部署應(yīng)根據(jù)平臺(tái)硬件集成設(shè)計(jì)方案展開實(shí)施，應(yīng)確保部署與設(shè)計(jì)的一致性；完整記錄網(wǎng)絡(luò)IP資源、帶寬資源、服務(wù)端口資源等；軟件平臺(tái)部署應(yīng)根據(jù)平臺(tái)軟件集成設(shè)計(jì)方案展開實(shí)施，完整記錄關(guān)鍵配置參