TCOSOCC 017-2024 信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警產(chǎn)品技術(shù)要求

Informationsecuritytechnology--TechnicalrequirementsforcriticalininfrastructuresecuritymonitoringandwarnI 2 2 2 2 4 4 4 4 4 5 5 5 5 5 5 5 6 6 6 6 7 9 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定公司、網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室、聯(lián)通數(shù)礎(chǔ)設(shè)施運(yùn)行安全的要求，在國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度以及GB/T39204《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)測預(yù)警產(chǎn)品技術(shù)要求，采取必要措施保護(hù)我國關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)的正常運(yùn)行和不受破壞。1信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警產(chǎn)品技術(shù)要求本文件規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警或第二方測評(píng)(甲方評(píng)價(jià))，以及指導(dǎo)產(chǎn)品測評(píng)，也可供產(chǎn)品使GB/T20986、GB/T25069、GB/T39204縮略語URC：統(tǒng)一資源定位系統(tǒng)（uniformrWAF：Web應(yīng)用防火墻（WebApplicationFirewall）25概述關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警技術(shù)架構(gòu)見圖1。關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警產(chǎn)品安全監(jiān)測依據(jù)業(yè)務(wù)需要對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)或系統(tǒng)等監(jiān)測預(yù)警對(duì)象進(jìn)行信息監(jiān)測，監(jiān)測數(shù)據(jù)用戶后續(xù)分析；基于風(fēng)險(xiǎn)分析關(guān)聯(lián)識(shí)別以及和溯源畫像技術(shù)對(duì)獲取到的監(jiān)測數(shù)據(jù)(數(shù)據(jù)字段格式見附錄A)進(jìn)行解析與研判等處理，發(fā)現(xiàn)和評(píng)估安全事件(網(wǎng)絡(luò)安全事件編號(hào)編碼規(guī)則見附錄B和附錄C)和安全風(fēng)險(xiǎn)；預(yù)警通報(bào)基于設(shè)定的預(yù)警規(guī)則進(jìn)行及時(shí)準(zhǔn)確預(yù)警，便于后續(xù)應(yīng)急處置；態(tài)勢展示根據(jù)應(yīng)用場景調(diào)用相關(guān)數(shù)據(jù)進(jìn)行多維度評(píng)估和展示，包括整體態(tài)勢和專題態(tài)勢；最后通過預(yù)警通報(bào)關(guān)聯(lián)處置安全威脅；應(yīng)用隱身保護(hù)通過可信終端對(duì)應(yīng)用進(jìn)行隱身保護(hù)，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行；系統(tǒng)管理主要進(jìn)行軟硬件管理、系統(tǒng)升級(jí)、規(guī)則升級(jí)、系統(tǒng)自檢、系統(tǒng)配置備份及回退等。監(jiān)測預(yù)警產(chǎn)品運(yùn)行環(huán)境要求見附錄D。系系統(tǒng)管理應(yīng)用隱身保護(hù)流量監(jiān)測日志監(jiān)測流量監(jiān)測日志監(jiān)測圖1關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警技術(shù)架構(gòu)6功能要求6.1網(wǎng)絡(luò)部署網(wǎng)絡(luò)部署功能應(yīng)符合以下要求：a)在網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)出人口等網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署，支持串聯(lián)與旁路部署方式，支持單機(jī)和分布式部署，支持channel、trunk等接口模式，并支持802.1Q等網(wǎng)絡(luò)環(huán)境；b)支持管理口、鏡像口、阻斷口及業(yè)務(wù)口分離部署。6.2安全監(jiān)測6.2.1流量監(jiān)測流量監(jiān)測功能支持串聯(lián)與旁路部署情況下，對(duì)流量進(jìn)行實(shí)時(shí)監(jiān)測，應(yīng)符合以下要求：a)支持監(jiān)測關(guān)鍵信息基礎(chǔ)設(shè)施的流量報(bào)文，支持流量元數(shù)據(jù)、過程特性分析軟件包(pcap)、網(wǎng)絡(luò)監(jiān)測功能(netflow)等方式的采集、存儲(chǔ)和轉(zhuǎn)發(fā)；b)支持監(jiān)測、解析和還原指定的IP地址；c)支持對(duì)不同協(xié)議進(jìn)行監(jiān)測、解析的能力。3b)支持監(jiān)測系統(tǒng)、安全、審計(jì)、應(yīng)用程序等日志文件。a)支持監(jiān)測主機(jī)內(nèi)存異常行為，包括但不限于惡意程序檢測等行為；b)支持監(jiān)測系統(tǒng)訪問行為，包括但不限于文件的讀、寫、重命名、刪除等行為；e)支持監(jiān)測應(yīng)用入侵行為，包括結(jié)構(gòu)化查詢語言（SQL）數(shù)據(jù)庫注入攻擊、內(nèi)存站腳本攻擊（XSS）、反序列化攻擊、表達(dá)式注入攻擊、請(qǐng)求偽造、信息竊取f)支持監(jiān)測應(yīng)用服務(wù)異常行為，包括進(jìn)程異常關(guān)閉、應(yīng)用服務(wù)端口異常等問題。1)支持監(jiān)測惡意程序事件，包括但不限b)能滿足識(shí)別和發(fā)現(xiàn)異常通信和執(zhí)行行為，包括不限于挖礦程序、外聯(lián)程序、域名系統(tǒng)（DNS）a)支持監(jiān)測關(guān)鍵信息基礎(chǔ)設(shè)施的設(shè)備、系統(tǒng)、服務(wù)、應(yīng)用等指紋信息；a)具備監(jiān)測威脅信息的能力：2)支持威脅信息的外部共享，支持接入第三方威脅信息源和自定義威脅信息源的能力；45b)支持基于監(jiān)測和數(shù)據(jù)分析結(jié)果等進(jìn)行分級(jí)別預(yù)警，預(yù)警分級(jí)應(yīng)符合GB/T20986中事件類別和分級(jí)方法的要求；c)支持以實(shí)時(shí)和統(tǒng)計(jì)的方式對(duì)安全預(yù)警進(jìn)行展現(xiàn)，支持對(duì)預(yù)警進(jìn)行處置派發(fā)及狀態(tài)跟蹤，及時(shí)自動(dòng)更新預(yù)警狀態(tài)；d)支持根據(jù)預(yù)警級(jí)別和預(yù)警流程發(fā)布預(yù)警信息，預(yù)警信息包括但不限于預(yù)警類型、預(yù)警級(jí)別、事件類型、威脅方式、涉及對(duì)象、處置動(dòng)作等。6.7.2預(yù)警過濾應(yīng)具備安全、運(yùn)維及管理人員定義安全策略，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的指定事件不予預(yù)警，支持對(duì)高頻度發(fā)生的相同或同類安全事件進(jìn)行合并預(yù)警，避免出現(xiàn)預(yù)警風(fēng)暴。6.7.3通報(bào)處置應(yīng)具備安全、運(yùn)維及管理人員定義通報(bào)處置策略，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的行為和事件定制處置方式，例如人工配置防火墻黑名單、聯(lián)動(dòng)安全編排自動(dòng)化與響應(yīng)(SOAR)通知防火墻封控?cái)r截等策略。6.8系統(tǒng)管理系統(tǒng)管理應(yīng)符合以下要求：a)提供產(chǎn)品軟硬件管理和配置圖形化界面，支持系統(tǒng)及配置的備份及回退；b)具備獨(dú)立的控制臺(tái)，支持系統(tǒng)、補(bǔ)丁、規(guī)則庫等在線升級(jí)，支持產(chǎn)品管理、自檢、故障恢復(fù)等功能。7安全要求7.1身份標(biāo)識(shí)與鑒別身份標(biāo)識(shí)應(yīng)具有唯一性，產(chǎn)品應(yīng)具備對(duì)用戶身份的鑒別功能，用戶請(qǐng)求執(zhí)行任何操作前，對(duì)每個(gè)授權(quán)用戶進(jìn)行唯一的身份鑒別，身份鑒別應(yīng)符合GB/T36633中身份鑒別主要過程要求。7.2授權(quán)與訪問控制授權(quán)與訪問控制應(yīng)符合以下要求：a)支持區(qū)分系統(tǒng)管理員、安全管理員和審計(jì)管理員等角色；b)支持對(duì)安全角色進(jìn)行維護(hù)，并將用戶和角色相關(guān)聯(lián)；c)具備對(duì)用戶訪問權(quán)限控制功能，保障權(quán)限的最小化原則，具備用戶登錄超時(shí)退出、鎖定機(jī)制；d)支持IP黑白名單及訪問控制策略配置，支持按照時(shí)間設(shè)定生效周期。7.3通信安全通信安全應(yīng)符合以下要求：a)各系統(tǒng)及子系統(tǒng)、組件應(yīng)使用符合國家密碼管理相關(guān)規(guī)定的密碼算法套件；b)具備通信安全能力，保證傳輸通道的安全性，保障數(shù)據(jù)的機(jī)密性、完整性和可用性。7.4系統(tǒng)平臺(tái)安全系統(tǒng)平臺(tái)安全應(yīng)符合以下要求：a)具備時(shí)間同步功能，每天應(yīng)至少同步一次；b)具備升級(jí)回滾機(jī)制；c)具備安全策略配置功能，應(yīng)提供默認(rèn)的策略，支持策略的編輯、修改和導(dǎo)入、導(dǎo)出；d)具備全生命周期的管理能力。7.5日志記錄與審計(jì)應(yīng)具備日志記錄與審計(jì)管理功能，具備針對(duì)檢測、分析、防御等過程中產(chǎn)生的各類日志和數(shù)據(jù)的日志審計(jì)能力，具備對(duì)用戶行為操作的日志審計(jì)能力，日志中包含具體時(shí)間、日志類別及描述等信息，用戶可將日志導(dǎo)出，以便保存、查閱。6開發(fā)者應(yīng)為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)。制定和實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警產(chǎn)品開應(yīng)建立和實(shí)施規(guī)范的產(chǎn)品生產(chǎn)和服務(wù)交付流程，采取完整性保護(hù)措施降低產(chǎn)品交付過程中的篡改7A.1.數(shù)據(jù)字段的數(shù)據(jù)類型的取值說明據(jù)網(wǎng)絡(luò)安全管理工作實(shí)際需要，界定各類網(wǎng)絡(luò)安全事件A.1.數(shù)據(jù)類型的取值123通過YYYYMMDD的形式表達(dá)的值的類型，符合GB/T4通過YYYYMMDDhh24mmss的形式表達(dá)的值的類型，符合GB/T5通過YYYYMMDDhh24mmss.xxxxxxxxx的形式表達(dá)的值6通過hhmmss的形式表達(dá)的值的類型，符合GB/T7兩個(gè)且只有兩個(gè)表明條件的值，如on/off、tru89{}A.2.監(jiān)測預(yù)警數(shù)據(jù)格式通用部分字段說明A.2.監(jiān)測預(yù)警數(shù)據(jù)格式通用部分字段說明12編碼方式按附錄B“網(wǎng)絡(luò)安全事件編號(hào)編碼規(guī)則”3測4件，詳見GB/T20986信息安全技術(shù)網(wǎng)絡(luò)安全事5678預(yù)警對(duì)象的URL，多個(gè)時(shí)用英文逗號(hào)隔開，最大9預(yù)警對(duì)象的域名，多個(gè)時(shí)用英文逗號(hào)隔開，最8攻擊發(fā)起的IP地址，支持ipv4、ipv6格式，多預(yù)警對(duì)象的IP地址，支持ipv4、ipv6格式，部分子類要求是多個(gè)時(shí)用英文逗號(hào)隔開，最大部分子類要求是多個(gè)時(shí)用英文逗號(hào)隔開，最大預(yù)警單位級(jí)別，級(jí)別詳