《網(wǎng)絡(luò)安全中臺體系架構(gòu)》

ICS35.100.01

CCS6450

CAICI

中國通信企業(yè)協(xié)會團體標(biāo)準(zhǔn)

T/CAICIXXXX—XXXX

網(wǎng)絡(luò)安全中臺體系架構(gòu)

Networksecuritymid-platformarchitecture

（征求意見稿）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國通信企業(yè)協(xié)會發(fā)布

T/CAICIXXXX—XXXX

網(wǎng)絡(luò)安全中臺體系架構(gòu)

1范圍

本文件規(guī)定了網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全中臺的體系架構(gòu)，涉及網(wǎng)絡(luò)安全中臺的體系架構(gòu)設(shè)計要求、體系

架構(gòu)設(shè)計框架、體系架構(gòu)安全能力要求等方面。

本文件適用于指導(dǎo)網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全領(lǐng)域的規(guī)劃建設(shè)工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

《中華人民共和國網(wǎng)絡(luò)安全法》

《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》

《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

網(wǎng)絡(luò)安全

指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處

于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

3.2

網(wǎng)絡(luò)運營者

指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

4網(wǎng)絡(luò)安全中臺體系架構(gòu)

本文件對網(wǎng)絡(luò)安全中臺應(yīng)該具備的架構(gòu)要求、架構(gòu)框架、安全能力要求進行了說明。架構(gòu)框架包括

數(shù)據(jù)采集層、數(shù)據(jù)處理層、安全能力層、能力編排層和能力應(yīng)用層。安全能力要求主要包括網(wǎng)絡(luò)安全能

力和信息安全能力兩大類，具體包括數(shù)據(jù)采集能力、數(shù)據(jù)處理能力、數(shù)據(jù)存儲能力、數(shù)據(jù)分析能力、數(shù)

據(jù)溯源能力、集約管控能力、集約調(diào)度能力、威脅發(fā)現(xiàn)能力、監(jiān)測預(yù)警能力、攻擊溯源能力、數(shù)據(jù)管控

能力、安全編排能力、安全封裝能力、安全調(diào)用能力、可視化統(tǒng)一展現(xiàn)能力、安全產(chǎn)品服務(wù)提供能力等。

4

T/CAICIXXXX—XXXX

4.1體系架構(gòu)設(shè)計要求

4.1.1整體系統(tǒng)架構(gòu)要求

1)應(yīng)具備安全性。

2)應(yīng)具備靈活性。

3)應(yīng)具備開放性。

4)應(yīng)具備擴展性。

5)應(yīng)具備高可用性。

6)應(yīng)具備標(biāo)準(zhǔn)接口能力。

7)應(yīng)加強云化部署程度。

8)應(yīng)加強自動化部署能力。

9)應(yīng)加強安全服務(wù)組件化能力。

10)應(yīng)加強安全組件解耦合程度。

11)應(yīng)加強安全組件智能協(xié)同聯(lián)動能力。

4.1.2能力提供形態(tài)要求

1）應(yīng)支持多形態(tài)安全能力提供形式。

2）應(yīng)加強軟件定義安全能力。

3）應(yīng)加強安全與服務(wù)結(jié)合能力。

4.1.3總體功能要求

1）應(yīng)具備集約管控能力。

2）應(yīng)具備集約調(diào)度能力。

3）應(yīng)具備集約編排能力。

4）應(yīng)具備個性化需求的安全提供能力。

5）應(yīng)具備面向新場景新業(yè)務(wù)的安全提供能力。

6）應(yīng)具備安全開放能力。

7）應(yīng)具備安全復(fù)用能力。

4.2體系架構(gòu)設(shè)計框架

網(wǎng)絡(luò)安全中臺體系架構(gòu)設(shè)計框架主要包括數(shù)據(jù)采集層、數(shù)據(jù)處理層、安全能力層、能力編排層和能

力應(yīng)用層。

網(wǎng)絡(luò)安全中臺應(yīng)集分析、研判、預(yù)警、響應(yīng)、評估功能為一體，可整合已有的網(wǎng)絡(luò)信息安全系統(tǒng)和

設(shè)備，匯聚分析共享各系統(tǒng)安全數(shù)據(jù)，提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源等能力，

支持能力調(diào)用、能力封裝、能力調(diào)度，實現(xiàn)安全工作可視化統(tǒng)一門戶展現(xiàn)。

網(wǎng)絡(luò)安全中臺體系架構(gòu)設(shè)計框架如下圖所示：

5

T/CAICIXXXX—XXXX

圖1：網(wǎng)絡(luò)安全中臺體系架構(gòu)框架

4.2.1數(shù)據(jù)采集層

數(shù)據(jù)采集層可采集第三方系統(tǒng)或第三方設(shè)備的安全數(shù)據(jù)。

4.2.2數(shù)據(jù)處理層

數(shù)據(jù)處理層包括數(shù)據(jù)處理、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)溯源等。

4.2.3安全能力層

能力層包括網(wǎng)絡(luò)安全能力和信息安全能力。

4.2.4能力編排層

編排層包括能力編排、能力封裝、能力調(diào)用等。

4.2.5能力應(yīng)用層

能力應(yīng)用層包括安全產(chǎn)品服務(wù)提供能力和可視化統(tǒng)一展現(xiàn)能力等。

4.3體系架構(gòu)安全能力要求

4.3.1數(shù)據(jù)采集能力

1）應(yīng)支持多種采集協(xié)議，如FTP、WebService等。

6

T/CAICIXXXX—XXXX

2）應(yīng)支持多種采集方式，如主動采集、被動采集等。

3）應(yīng)支持多種數(shù)據(jù)采集，如日志數(shù)據(jù)采集、流量數(shù)據(jù)采集、網(wǎng)管數(shù)據(jù)采集等。

4）應(yīng)支持自適應(yīng)解析能力。

4.3.2數(shù)據(jù)處理能力

1）應(yīng)具備異構(gòu)數(shù)據(jù)處理能力。

2）應(yīng)具備數(shù)據(jù)預(yù)處理能力，包括數(shù)據(jù)清洗、數(shù)據(jù)修改、數(shù)據(jù)刪除等。

3）應(yīng)具備數(shù)據(jù)標(biāo)準(zhǔn)化能力，可對異構(gòu)原始數(shù)據(jù)進行統(tǒng)一格式化處理。

4）應(yīng)具備數(shù)據(jù)關(guān)聯(lián)補齊能力，采集數(shù)據(jù)通過關(guān)聯(lián)補齊后可形成完整數(shù)據(jù)。

5）應(yīng)具備數(shù)據(jù)檢索能力，可支持組合查詢檢索。

4.3.3數(shù)據(jù)存儲能力

1）應(yīng)具備數(shù)據(jù)實時存儲能力。

2）應(yīng)具備數(shù)據(jù)實時檢索能力。

3）應(yīng)保證存儲數(shù)據(jù)的可用性、完整性和保密性。

4.3.4數(shù)據(jù)分析能力

1）可支持大數(shù)據(jù)、AI等技術(shù)進行數(shù)據(jù)分析。

4.3.5數(shù)據(jù)溯源能力

1）可支持通過特定條件進行快速檢索、在線解析。

2）可支持解析網(wǎng)絡(luò)協(xié)議內(nèi)容。

4.3.6集約管控能力

1）應(yīng)具備匯聚多源異構(gòu)安全監(jiān)測數(shù)據(jù)能力。

2）應(yīng)具備融合多源異構(gòu)安全監(jiān)測數(shù)據(jù)能力。

3）應(yīng)具備集約管控多源異構(gòu)安全監(jiān)測數(shù)據(jù)能力。

4）應(yīng)具備業(yè)務(wù)生命周期管理能力。

5）應(yīng)統(tǒng)一網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)自身的數(shù)據(jù)安全保護標(biāo)準(zhǔn)。

6）應(yīng)可作為統(tǒng)一數(shù)據(jù)出口，對接相關(guān)系統(tǒng)。

7）應(yīng)可按照規(guī)定格式提交數(shù)據(jù)。

4.3.7集約調(diào)度能力

1）應(yīng)實現(xiàn)主動安全探測能力和被動安全探測能力的聯(lián)動。

2）應(yīng)實現(xiàn)自動化安全工作的統(tǒng)一管理與調(diào)度。

3）應(yīng)支持閉環(huán)管理處置流程。

4）應(yīng)具備實時監(jiān)控能力?？蓪θ蝿?wù)過程每個環(huán)節(jié)進行檢查與復(fù)核。

5）應(yīng)具備異構(gòu)管理能力。支持對異構(gòu)檢測工具的集中管理。

4.3.8威脅發(fā)現(xiàn)能力

1）應(yīng)支持主動威脅發(fā)現(xiàn)和被動威脅發(fā)現(xiàn)。

2）應(yīng)支持對異構(gòu)檢測工具的集中管理。

3）主動威脅發(fā)現(xiàn)可主動采集最新漏洞數(shù)據(jù)并進行流程化處理。

4）主動威脅發(fā)現(xiàn)應(yīng)支持全面發(fā)現(xiàn)系統(tǒng)脆弱性問題。

5）主動威脅發(fā)現(xiàn)應(yīng)支持從海量數(shù)據(jù)中快速定位風(fēng)險。

7

T/CAICIXXXX—XXXX

6）主動威脅發(fā)現(xiàn)應(yīng)支持在非虛擬化環(huán)境和虛擬化環(huán)境中部署和檢測。

7）被動威脅發(fā)現(xiàn)可通過采集設(shè)備解碼網(wǎng)絡(luò)流量。

8）被動威脅發(fā)現(xiàn)可檢測多種攻擊行為。

9）被動威脅發(fā)現(xiàn)可識別網(wǎng)絡(luò)攻擊行為。

10）被動威脅發(fā)現(xiàn)可支持對行為信息和告警信息的快速存儲和快速搜索。

11）被動威脅發(fā)現(xiàn)可支持根據(jù)攻擊階段進行結(jié)果過濾。

12）被動威脅發(fā)現(xiàn)可支持圖形化威脅態(tài)勢展示。

4.3.9監(jiān)測預(yù)警能力

1）應(yīng)具備安全態(tài)勢感知能力。

2）應(yīng)具備安全資產(chǎn)管控能力。

3）應(yīng)支持多視角多緯度的監(jiān)測能力。

4.3.10攻擊溯源能力

1）應(yīng)具備網(wǎng)絡(luò)攻擊行為溯源能力。

2）應(yīng)具備安全數(shù)據(jù)溯源分析。

4.3.11數(shù)據(jù)管控能力

1）應(yīng)具備數(shù)據(jù)分類分級能力。可實現(xiàn)對數(shù)據(jù)資產(chǎn)的識別和分級管理。

2）應(yīng)具備重要數(shù)據(jù)識別能力。依據(jù)規(guī)則將重要數(shù)據(jù)進行歸類。

3）應(yīng)具備數(shù)據(jù)脫敏能力。可通過脫敏規(guī)則定義相關(guān)策略。

4）應(yīng)具備對外接口管控能力。保障數(shù)據(jù)的合規(guī)使用，防范敏感數(shù)據(jù)泄漏。

5）應(yīng)具備數(shù)據(jù)水印溯源能力?？蓪ξ募?shù)據(jù)進行水印標(biāo)識。

6）應(yīng)具備數(shù)據(jù)庫審計能力?？蓪崿F(xiàn)對數(shù)據(jù)庫異常訪問的預(yù)警。

7）應(yīng)具備數(shù)據(jù)防泄漏能力?？蓪崿F(xiàn)數(shù)據(jù)導(dǎo)入導(dǎo)出渠道的實時監(jiān)控。

4.3.12安全編排能力

1）應(yīng)具備業(yè)務(wù)編排能力。

2）應(yīng)具備流量編排能力。

4.3.13安全封裝能力

1）應(yīng)可按需進行安全能力封裝。

4.3.14安全調(diào)用能力

1）應(yīng)可按需進行安全能力調(diào)用。

2）應(yīng)具備標(biāo)準(zhǔn)接口能力。

4.3.15可視化統(tǒng)一展現(xiàn)能力

1）應(yīng)支持多維度統(tǒng)一展現(xiàn)能力。

2）應(yīng)具備運營和運維門戶。支持用戶管理、能力管理等。

3）應(yīng)具備用戶門戶。支持用戶對安全能力的瀏覽、選擇和使用。

4）應(yīng)支持權(quán)限管理。

5）可輔助各類安全事件的分析、研判及處置。