1、网络安全态势感知技术标准化白皮书2020年版2020年11月全国信息安全标准化技术委员会信 息 安 全 评 估 标 准 工 作 组2网络安全态势感知技术标准化白皮书 2020全书组织如下:前言 PREFACE网络安全态势感知平台作为网络安全的实时守护者,是实现“全天候全方位感知网络安全态势”的主要手段。为了更好地引导网络安全态势感知技术标准化工作的有序开展,全国信息安全标准化技术委员会(TC260)信息安全评估标准工作组(WG5 工作组)集众多成员单位之合力,由公安部第三研究所牵头,联合业界的主流安全厂商、典型行业用户、科研院所一起努力,最终形成本版白皮书。此外,为了更好地帮助不同行业的用户了
2、解行业内的网络安全风险、网络安全态势感知系统的建设需求和标准需求等,由具有该行业实践经验的参编单位提供了“附录 A 行业案例”,用于给网络安全态势感知相关的研发、生产、建设和部署单位提供参考,这是参编单位的实践结果,不代表本白皮书的立场。附录 B 给出了网络安全态势感知相关的已发布及在研标准。第 1 章介绍了本白皮书的背景。第 2 章介绍了网络安全态势感知的典型模型,并给出了系统架构。第 3 章分析了网络安全态势感知的标准化需求以及国内外标准化现状。第 4 章以问题导向为原则,给出了网络安全态势感知的标准架构并对架构中的各组成部分进行描述。第 5 章以前面各章为依据,给出了网络安全态势感知标准
3、化工作建议。附录 A 介绍了政务行业、网络运营服务行业及汽车行业的网络安全态势感知案例,主要分为网络安全风险分析、建设需求分析、标准现状与需求分析三部分。附录 B 给出与网络安全态势感知相关的已发布及在研标准列表。参考资料部分列出了本白皮书编写过程中参考的相关资料。由于编制时间仓促,编制组水平有限,错误疏漏在所难免,针对此版白皮书如有任何意见或建议,敬请联系 。3网络安全态势感知技术标准化白皮书2020目录 CONTENTS前言2第一章 背景5第二章 网络安全态势感知技术框架8第三章 网络安全态势感知标准化需求和现状14第四章 网络安全态势感知标准架构19 典型模型 系统架构 -前端数据源 -
4、核心态势感知 -影响态势感知的要素81112121314141416192022222223242526 标准化需求 标准化现状 -国外标准 -国内标准 基本原则 总体架构 组成部分 -总体框架标准 -前端数据源类标准 -数据标准 -应用标准 -数据共享标准 -业务支撑标准4网络安全态势感知技术标准化白皮书 2020第五章 网络安全态势感知标准化工作建议28附录 A:行业案例29附录 B:已发布及在研的标准37参考资料41 统筹规划网络安全态势感知标准 加快开展亟需标准的制定进程 积极推进态势感知标准的应用 政务行业 -网络安全风险现状 -建设需求分析 -标准现状与需求分析 网络运营服务行业
5、-网络安全风险现状 -建设需求分析 -标准现状与需求分析 汽车行业 -网络安全风险现状 -建设需求分析 -标准现状与需求分析2828282929293031313233343435355网络安全态势感知技术标准化白皮书2020第一章 背景随着组织信息化建设规模的扩大,安全架构日趋复杂,各种类型的安全设备、安全数据越来越多,组织自身的安全运维压力不断加大。另一方面,以高级可持续威胁攻击(Advanced Persistent Threat,APT)为代表的新型威胁的兴起,随着内控与合规的深入,越来越需要组织充分利用更多的安全数据进行分析检测,对基础架构安全、应用安全、数据安全乃至业务安全中面临的
6、各类高级威胁做出判定和响应,以支撑业务持续稳定、安全运行。独立分割的安全防护体系已经很难应对如此复杂的安全环境。高级恶意程序已经逐渐成为主流,隐秘通道也已经开始向组织内部逐渐渗透。当前网络环境中部署的各类安全设备主要实现单点检测,检测能力受限,导致安全问题依然频繁发生,诸如勒索病毒、APT 攻击,敏感数据泄露等。特别值得注意的是,当这些安全事件发生时,单点安全设施只能给出有限、甚至无法给出相关检测信息,更有甚者有些安全威胁在网络内部发生、潜伏、破坏了数天乃至数月的时间,都难以察觉。总的来说,很多时候组织常常对自身网络安全中的各类威胁看不到、看不清、看不及时,从而给组织日常的安全保障工作带来各方
7、面的危害和影响。态势感知的概念最早在军事领域提出,覆盖感知、理解和预测三个层次,随着计算机网络的发展又提出了“网络态势感知(Cyberspace Situation Awareness,CSA)”,即在大规模网络环境中对引起网络态势发生变化的要素进行获取、理解、展示以及对发展趋势进行预测,从而帮助决策和行动。随着网络安全复杂性的凸显,态势感知在网络安全领域得到高度重视和广泛应用。网络安全态势感知是一种基于环境动态地、整体地洞悉安全风险的能力,它利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全保障提供技术支撑。网络安全态势感知系统的工作过程大致分为安全要
8、素采集、安全数据处理、安全数据分析和分析结果展示这几个关键阶段。安全要素采集是获取与安全紧密关联的海量基础数据,包括流量数据、各类日志、漏洞、木马和病毒样本等;安全数据处理是通过对采集到的安全要素数据进行清洗、分类、标准化、关联补齐、添加标签等操作,将标准数据加载到数据存储中;安全数据分析和分析结果展示是利用数据挖掘、智能分析等技术,提取系统安全特征和指标,发现网络安全风险,汇总成有价值的情报,并将网络安全风险通过可视化技术直观地展示出来。借助网络安全态势感知,运维人员可以及时了解网络状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况;用户单位可以清楚地掌握所在网络的安全状态和趋势,做好相
9、应的防范准备,减少甚至避免网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。6网络安全态势感知技术标准化白皮书 20201999 年,美国人 Tim Bass 提出网络态势感知的概念;2000 年,他将该技术应用于多个网络入侵检测系统检测结果的数据融合分析,开启了网络安全态势感知技术蓬勃发展的序幕。美国将网络安全态势感知作为其国家安全防御体系中的重要组成部分,从国家安全的整体高度进行统一规划和部署。根据 2002 年的国土安全法案和联邦信息安全管理法案,美国联邦政府于 2003 年开始启动爱因斯坦计划,建设大
10、规模信息安全监控系统,自动收集、关联分析和共享政府机构间的安全信息,快速感知和应对网络安全面临的威胁,增强美国政府的网络安全态势感知能力和网络安全防御能力。自2003年开始启动“爱因斯坦-1”计划,到 2007 年的“爱因斯坦-2”,再到2012年开始“爱因斯坦-3”,截至2019年9月,在 104 个联邦民事机构中,已有 76 个已经完全实现了“爱因斯坦-3”计划的基本能力。美国政府期望通过爱因斯坦计划的实施,保护美国国内重要的网络信息资产,同时,还能感知监控他国互联网应用,使其成为主动防御甚至反制的工具,最终成为美国国家安全战略体系中的重要组成部分。另外,美国军方出于网络战等方面的考虑,也
11、在积极发展网络安全态势感知能力。这些网络安全态势感知系统的建设使美军在网络空间战场中的态势感知能力和作战能力得到极大提升,也给全球网络空间的安全带来重大影响。我国高度重视网络安全态势感知能力建设。在国家层面上,通过制定相关政策方针对网络安全态势感知能力建设和发展制定了战略规划,从而带动了“产学研用”各方面的协同发展。2016 年 4 月 19 日,习近平总书记在网络安全和信息化工作座谈会上提出要“全天候全方位感知网络安全态势”。2016 年 11 月发布的网络安全法第五章提出将网络安全监测预警与应急处置工作制度化、法制化,为深化网络安全防护体系、实现“全天候全方位感知网络安全态势”提供了法律依
12、据和保障。2016 年 12 月,国务院发布的“十三五”国家信息化规划对实现“全天候全方位感知网络安全态势”提出了具体要求:要求“加强网络安全态势感知、监测预警和应急处置能力建设。建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。建立政府和企业网络安全信息共享机制,加强网络安全大数据挖掘分析,更好地感知网络安全态势,做好风险防范工作。”该规划还要求部署建设“网络安全监测预警和应急处置工程”,包括:“建立国家网络安全态势感知平台,利用大数据技术对网络安全态势信息进行关联分析、数据挖掘和可视化展示,绘制关键信息基础设施网络安全态势地图。建设
13、工业互联网网络安全监测平台,感知工业互联网网络安全态势,为保障工业互联网安全提供有力支持。”该规划还同时提出了要建立国家网络安全态势感知平台和党政机关网络安全态势感知系统。国内的高校和科研院所很早就开始了态势感知相关理论和基础技术的科学研究工作,并取得了一定的成果,搭建了多个原型系统、发表了大量的学术论文;各监管机构和主管部门积极响应国家政策,从组织、策略、技术、运维等各方面为建设和应用网络安全态势感知提7网络安全态势感知技术标准化白皮书2020供了保障和支撑;多个省、市、地区、行业以及大型企事业单位进行了网络安全态势感知系统的建设;旺盛的市场需求调动了广大安全厂商的积极性,出现了很多有特色的
14、网络安全态势感知产品。然而不同于传统防火墙、入侵检测、安全审计等功能相对固化的产品,网络安全态势感知的概念及应用则复杂很多。虽然很多产品和平台都宣称具备网络安全态势感知的三要素:态势获取、态势理解和态势预测,但一方面缺乏网络安全态势感知技术、框架、功能等标准,另一方面也缺少业界公认的针对网络安全态势感知的综合评价指标,导致实际部署后的应用效果千差万别,没有给用户带来实际的网络安全监测与防护效果,反而造成了资源浪费,同时给市场和监管带来了一定的混乱。另外,网络安全态势感知系统需要从多种数据源进行数据采集,并与多个其他安全产品和系统进行联动,存在较多需要定义的数据接口,目前各产品厂商、各平台建设单
15、位各自为政,缺乏统一的数据接口,数据对接、威胁情报共享工作的实际落地较为困难。解决这些问题需要有配套的态势感知标准来对相关系统和产品的功能进行规范,保障相关产品和系统的质量;对态势感知的评价指标进行构建,保证系统输出结果的一致性;对系统间数据采集、数据共享、协同联动的接口进行统一,促进不同厂商产品和系统之间的互联互通。网络安全态势感知标准能对态势感知能力的建设起到规范和指导作用,主要体现在如下方面:一是通过规范态势感知产品开发者、平台建设者的设计、开发和建设流程,统一系统框架,提升系统的技术水平;二是通过规范态势感知服务组织的基础安全管理、数据安全管理、系统安全管理和安全运维等,提升系统防范安
16、全风险的能力;三是规范行业体系,对系统的数据采集、数据共享、协同联动的接口进行统一,促进不同厂商产品和系统之间的互联互通,从而进一步支撑网络安全态势感知的快速发展。为此,亟待从技术和产业发展角度加快推进网络安全态势感知的标准化工作,为我国网络安全态势感知的健康发展提供有力保障。本白皮书对网络安全态势感知的概念和发展历史进行了分析梳理,基于相关典型模型给出了网络安全态势感知的技术框架,基于标准化需求和现状给出网络安全态势感知的标准架构,并提出开展态势感知标准化工作建议,为各级监管部门和企事业单位在进行网络安全态势感知能力建设和管理时提供标准化思路,为各系统生产厂商在进行网络安全态势感知系统设计、
17、开发、部署和应用过程中提供标准化指导。8网络安全态势感知技术标准化白皮书 2020321本章将调研网络安全态势感知的典型模型,并在此基础上给出网络安全态势感知系统架构和主要组成部分。在对态势感知的研究中,学术界和行业界提出了多种相关的模型和技术,比较著名的有Endsley、JDL 和 Tim Bass 三个经典模型,这些模型为网络安全态势感知理论和技术的发展提供了参考和借鉴。1)Endsley 模型Endsley 模型是在 1995 年由前美国空军首席科学家 Mica R.Endsley 仿照人的认知过程建立,主要分为核心态势感知与影响态势感知的要素两部分,其中核心态势感知包括:态势要素感知、
18、态势理解和态势预测,如图 2.1 所示。核心态势感知:第 1 级态势要素提取:提取环境中态势要素的位置和特征等信息;第 2 级态势理解:关注信息融合以及信息与预想目标之间的联系;第 3 级态势预测:主要预测未来的态势演化趋势以及可能发生的安全事件。影响态势感知的要素主要分为任务和系统要素以及个人因素,实现态势感知能力依赖于各影响要素提供的服务。态势感知系统最终的执行效果将反馈给核心态势感知,形成正反馈,不断提升态势感知的总体能力。第二章 网络安全态势感知技术框架典型模型图 2.1Endsley 模型9网络安全态势感知技术标准化白皮书2020 012342)JDL 模型面向数据融合的 JDL(J
19、oint Directors of Laboratories)模型体系,是在 1984 年,由美国国防部成立的数据融合联合指挥实验室提出,经过逐步改进和推广使用而形成。它将来自不同数据源的数据和信息综合分析,根据它们之间的相互关系,进行目标识别、身份估计、态势评估和威胁评估,通过不断的精炼评估结果来提高评估的准确性。该模型已成为美国国防信息融合系统的一种实际标准。该模型的具体结构如图 2.2 所示:第 0 级数据预处理:负责过滤、精简、归并来自信息源的数据,如入侵检测警报、操作系统及应用程序日志、防火墙日志、弱点扫描结果等;第 1 级对象精炼:负责数据的分类、校准、关联及聚合,精炼后的数据被纳
20、入统一的规范框架中,多分类器的融合决策也在此级进行;第 2 级态势精炼:综合各方面信息,评估当前的安全状况;第 3 级威胁精炼:侧重于影响评估,既评估当前面临的威胁,也预测威胁的演变趋势以及未来可能发生的攻击;第 4 级过程精炼:动态监控融合过程,依据反馈信息优化融合过程。图 2.2 JDL 模型10网络安全态势感知技术标准化白皮书 202032410 3)Tim Bass 模型1999 年,Tim Bass 等人在态势感知三级模型的基础上提出了从空间上进行异构传感器管理的功能模型,模型中采用大量传感器对异构网络进行安全态势基础数据的采集,并对数据进行融合,对知识信息进行比对。该模型以底层的安
21、全事件收集为出发点,通过数据精炼和对象精炼提取出对象基,然后通过态势评估和威胁评估提炼出高层的态势信息,并做出相应的决策,该框架将数据由低到高分为数据、信息和知识三个层面。该模型具有很好的理论意义,为后续的研究提供了指导,但最终并未给出成型的系统实现。该方法的缺点是当网络系统很复杂时,威胁和传感器的数量以及数据流会变得非常巨大而使得模型不可控制。该模型的具体结构如图 2.3 所示:第 0 级数据精炼:负责提取、过滤和校准原始数据;第 1 级对象精炼:将数据规范化,做时空关联,按相对重要性赋予权重;第 2 级态势评估:负责抽象及评定当前的安全状况;第 3 级威胁评估:基于当前状况评估可能产生的影
22、响;第 4 级资源管理:负责整个过程的管理。图 2.3 Tim Bass 模型11网络安全态势感知技术标准化白皮书2020基于以上对典型模型的分析和行业调研(详见“附录 A 行业案例”),可知网络安全态势感知能力高低主要由核心态势感知和影响态势感知的要素决定,也与前端数据源密不可分。本文提出了网络安全态势感知系统架构如图 2.4 所示,包括:1)各类前端数据源,如流量探针、服务器探针、监测平台等;2)核心态势感知:包括数据采集、数据处理、数据存储、数据分析、监测预警、数据展示、数据服务接口和系统资源管理;3)影响态势感知的要素:包括人工辅助、应急处置、安全决策和数据共享。数据采集层主要关注采集
23、什么数据,通过什么方式采集;数据处理主要关注如何处理采需要注意的是图 2.4 给出的是网络安全态势感知的总体框图,该框图将数据能力、分析能力和应用能力充分解耦,有利于应用单位更多地接入不同前端数据,更好地使用多样化的分析模型,这样的框架更适用于大型单位的网络安全态势感知能力建设,这时候形成网络安系统架构集到的数据,如何将采集到的数据进行有效融合;数据存储主要关注如何存储以及存储数据的类型;数据分析主要关注系统应具备何种数据分析能力,从而进行安全事件辨别、定级、关联分析等;监测预警主要关注监测内容和预警方式,甚至包括通过预警进行主动防御;数据展示主要关注如何进行安全态势展示、统计分析和安全告警等
24、;数据服务接口主要关注支持的数据服务接口及格式;系统资源管理主要关注系统的安全管理要求。而在影响态势感知的要素中,可知利用系统结果进行决策和处置以及数据共享是构建网络安全态势感知能力的关键环节。此外,网络安全态势感知系统也要保证自身的安全,使其不成为网络中的安全风险点。全态势感知能力的是一个系统或多个系统。对于规模较小的单位,其也希望建立网络安全态势感知的能力,可以选择具有高度集成的网络安全态势感知产品,即对外不再展现数据服务接口等功能,而是将其封装在产品中,使用的是一家单位的全部能力。图 2.4 网络安全态势感知系统架构12网络安全态势感知技术标准化白皮书 20201)前端数据源前端数据源输
25、出的数据是网络安全态势感知系统得以有效运行的基础。前端数据源有不同的类型,典型的包括流量探针、服务器探针、监测平台、第三方机构上报等。此外,由于工业互联网、云计算、移动互联网、物联网等新技术的应用,其前端数据源也需要重点考虑。不同的前端数据源有不同的业务处理能力及不同的数据输出格式,目前各前端数据源输出数据格式不一,导致每个网络安全态势感知系统都需要与前端数据源进行适配,另外对数据质量进行统一把控是业界的要点、难点和痛点。2)核心态势感知 数据采集层针对不同的网络环境和业务应用,网络安全态势感知系统的前端数据源会有所区别,前端数据源是大数据分析的基础与前提,准确高质量的数据能保证安全分析效果。
26、针对用户对态势感知的场景需求,依托数据采集对象和采集内容,定义分析场景和建模。采集包括网络设备、主机、应用、安全设备等记录的日志数据和告警信息;异常流量数据和按规则匹配的网络流量数据;以及整个网络中所有的资产信息、相关的人员信息、账号信息以及与资产相关的漏洞信息、脆弱性信息和威胁情报信息等辅助信息数据,为进一步场景化的态势感知分析需求提供数据支撑。数据处理层数据处理层主要对多源、异构数据进行清洗和过滤、归一化、标识等操作,从而提高安全分析的可信度,降低误报率。其中数据清洗和过滤是将大量的重复数据进行归并,并将无效数据进行剔除;归一化是将原始数据转换为统一格式和内容的数据,为后续分析处理提供统一
27、的标准化数据结构;数据标识是对海量数据环境下的不明数据流量进行识别,利用模式识别、深度学习、大数据分析技术和人工智能技术,识别和分离不明数据。数据存储层数据存储层主要是网络安全态势感知系统对采集的不同类型数据进行分级分类存储,以满足数据分析的要求。采用分级、分类、分层的模式,汇聚资源数据、网络运行数据、网络安全事件、威胁情报等重要数据,实现各类网络安全数据的统一融合,为数据分析、数据共享提供数据基础。该层需要实现对不同数据源同一类型的数据进行汇聚,并根据数据存储需求,对数据存储的类型、内容、方式和周期等进行约定。数据分析层网络安全态势感知的数据分析层是利用流量识别、协议分析、文件还原等手段,通
28、过特征检测、规则分析、算法分析、行为分析等方法,结合人工智能、深度学习、行为建模、场景构建等技术,采用数据整理分类、对比统计、重点识别、趋势归纳、关联分析、挖掘预测的数据处置策略,从海量数据中自动挖掘出有价值的信息,最大的发挥数据的价值。数据分析是态势感知能力建设的核心,而分析模型、分析技术的正确使用是网络安全态势感知建设的关键。因此该层的重点在于数据分析模型的设计,从而实现风险、威胁和异常行为的分析,并给出其评价指标和方法。监测预警层网络安全态势感知的监测预警是数据分析13网络安全态势感知技术标准化白皮书2020的应用,是依据数据分析结果,实现网络安全事件告警、态势评估、安全预警、追踪溯源等
29、应用。通过利用态势感知,实现对采集数据的统计分析、能力评估、关联分析、数据挖掘等操作,生成态势感知平台所需的安全运行态势、安全风险态势、网络威胁态势等基础态势信息。在基础态势分析基础上,充分结合态势关联、威胁情报等,并对其进行科学、合理的组合,得出网络安全指数,调用各类基础数据和知识库信息,提炼攻击手段,还原攻击过程,溯源攻击者,为事件预警和应急指挥提供参考依据,以全面支撑安全事件快速响应和应急处置工作。监测预警有利于更好、更快地发现网络中的风险,从而支撑安全决策。数据展示层网络安全态势感知的数据展示层主要通过展示界面展示网络运行状态、网络攻击行为、安全事件、整体安全态势等,并能够持续的、多维
30、度的监测信息资产和相关的威胁、脆弱性、安全事件、安全风险等分类态势指标变化情况,同时展示告警信息。目前各个产品和系统对安全的展示五花八门,让用户看不懂、看不明白,很多时候会忽略重点,因此该层的重点在于展示的内容要规范、合理,从而让用户快速了解网络安全状况。数据服务接口数据服务接口主要为网络安全态势感知系统的数据交换、数据分析、威胁处置提供数据访问调用服务。能够支持数据的推送服务,如数据汇聚/下发、数据交换和推送;能够支持模型分析服务,该服务根据业务需要,对数据进行统计、分析、规律性探索、预测等,并返回结果,以支撑应用层业务场景复杂、多变的需求,包括数据集碰撞类服务、分析类服务和预测类服务等。将
31、数据作为服务提供给分析模型、第三方应用和其他单位能提升平台的可扩展性和能力。系统资源管理为保证网络安全态势感知系统的正常运行,需要能够对各类系统资源进行管理、对各种过程进行控制,因此系统资源管理应该是通过人工或自动化的方式对各种安全策略、数据分析过程、数据质量、知识库、上下级部署等进行管理,以支撑系统的有效运转。合理、有效的系统资源管理将提升系统的运转效率和实际效果。自身安全网络安全态势感知系统需要接入到信息系统的网络中进行数据采集,因此其自身安全也非常重要,包括标识与鉴别、角色管理、远程管理、自身审计等。3)影响态势感知的要素网络安全态势感知的能力建设除需要前端数据源及核心态势感知的支撑外,
32、影响态势感知的要素,如人工辅助、应急处置、安全决策、数据共享等内容也需要重点关注和研究。比如,人工辅助需要考虑不同等级、不同能力的人员如何支撑网络安全态势感知的工作;应急处置是明确应对应急事件和安全事件的处置方法、处置流程、处置具体内容;安全决策基于网络安全态势感知系统的输出结果进行研判和决策,包括明确决策的组成要素和决策流程的统一;数据共享是实现网络安全态势感知协同防御的基础,主要实现安全事件及威胁情报等的共享。14网络安全态势感知技术标准化白皮书 2020第三章 网络安全态势感知标准化需求和现状本章将对网络安全态势感知的标准化需求进行调研和分析,对国内外组织的网络安全态势感知的标准化现状进
33、行梳理。在传统的网络安全防护体系建设中,更多依靠的是单个设备的能力、强调的是单点防护,缺少整体协同。网络安全态势感知系统基于多源数据从整体上对网络中的安全风险进行识别和预测,但其建设需要从不同数据源进行数据采集,并与其它安全产品和系统进行联动,因此存在较多需要定义的数据接口,包括前端采集接口、数据分析接口、数据共享接口等。目前各网络安全态势感知产品的开发厂商、各平台建设单位缺乏统一的数据接口,给平台对接、数据交换和威胁情报共享等增加了工作量、带来了困难。此外,网络安全态势感知系统建设单位在建设时由于没有统一的标准,导致对态势感知的认识不到位,系统架构设计不合理,在后期无法对系统能力进行扩展;导
34、致态势感1)国外标准 ISO/IEC JTC1ISO/IEC JTC1/SC27(信息 技术委员会/安全技术分委员会)开展了信息安全标准化工作,制定了脆弱性的披露标准 ISO/IEC 29147信息技术 安全技术 脆弱性披露(Information Technology-Security Techniques-Vulnerability Disclosure),用于实现脆弱性相关信息的规范化发布。这可以作为基础类标标准化需求标准化现状知功能模糊不清、能力参差不齐,无法真正实现网络安全态势感知;导致前端采集源与平台、平台内部高度融合,无法与其他优秀的前端采集源、分析能力进行异构兼容。随着发布网络
35、安全态势感知产品厂商的增多,以及各级网络安全态势感知系统的建设和实践,需要有配套的网络安全态势感知标准来对相关功能进行规范;对态势感知的评价体系进行构建;对平台间数据采集、数据共享、协同联动的接口进行统一,促进不同产品和平台之间的互联互通,从而进一步增强网络安全态势感知能力,最终形成国家的网络安全态势感知能力。准对网络安全态势感知系统进行业务上的支撑。ITU-TITU-T 的 SG17(安全研究组)负责安全标准的制定,其中 Q4 关注网络空间安全,Q7关注安全应用,Q8关注云计算和大数据安全。Q4 制定了 X.1500-X.1599 网络安全信息交换系列标准(Cybersecurity inf
36、ormation exchange),包括 ITU-T 针对网络安全信15网络安全态势感知技术标准化白皮书2020息制定了相关的交换标准,如 X.1500网络安全信息交换概述标准(Overview of Cybersecurity Information Exchange)、X.1520通用漏洞和暴露风险(Common Vulnerabilities and Exposures)、X.1521 通用漏洞评分系统(Common Vulnerability Scoring System)、X.1524通用缺陷列表(Common Weakness Enumeration)、X.1525通用缺陷评分系
37、统(Common Weakness Scoring System)、X.1526用于漏洞的公开定义和系统状态评价的语言(Language for the Open Definition of Vulnerabilities and for the Assessment of a System State)、X.1528通用平台列举(Common Platform Enumeration)、X.1541事件对象描述交换格式(Incident Object Description Exchange Format)、X.1544 常见攻击模式枚举与分类(Common Attack Pattern E
38、numeration and Classification)、X.1570 网 络 安 全 信 息 交 换 发 现 机 制(Discovery Mechanisms in the Exchange of Cybersecurity Information)等。这些标准可以用于网络安全态势的数据共享,也可以作为基础标准支撑态势感知业务。Q7 在 2017 年 新 立 项 了 X.tfss 运 营商提供的安全服务技术框架(Technical Framework for Security Services Provided by Operators),其中提及的网络安全态势感知相关章节,可指导运营商
39、提供网络安全态势感知服务。Q8 在 2019 年 新 立 项 了 X.nssacc 云 计 算 网 络 安 全 态 势 感 知 平 台 要 求(Requirements of Network Security Situational Awareness Platform for Cloud Computing),主要针对云计算网络,从数据采集、计算存储、分析、感知、可视化等方面提出了态势感知平台基本功能要求。OASISOASIS(结构化信息标准促进组织,Organization for the Advancement of Structured Information Standards)是一
40、个推进电子商务标准的发展、融合与采纳的非盈利性国际化组织。相比其他组织,OASIS 在形成了较多 Web 服务标准的同时也提出了面向安全的标准,同时在针对公众领域和特定应用市场的标准化方面也付出了很多的努力。OASIS 制 定 了 结 构 化 威 胁 信 息 表 达式(Structured Threat Information eXpression,STIX)、情报信息的可信自动化交换(Trusted Automated Exchange of Intelligence Information,TAXII)、网络可观察表达式(Cyber Observable eXpression,CybOX)
41、等标准,规范了用于交换威胁情报的格式、语法和协议,可用于网络安全态势感知系统对威胁情报数据的采集和交换。IETF国际互联网工程任务组(The Internet 16网络安全态势感知技术标准化白皮书 2020Engineering Task Force,IETF)的 主 要任务是负责互联网相关技术标准的研发和制定。在安全领域的安全事件轻量级交换工作组,研究和制定了支持计算机和网络安全事件管理的标准。已发布的 RFC 7970安全事件描述交换格式(版本 2)(Incident Object Description and Exchange Format Version 2,IODEF v2)、RF
42、C8134管理安全事件轻量级交换实现报告、RFC8274 安 全 事 件 描 述 和 交 换 格 式 使 用 指 南(Incident Object Description Exchange Format Usage Guidance)、RFC 8600使用 XMPP 协议进行安全信息交换(Using Extensible Messaging and Presence Protocol(XMPP)for Security Information Exchange)等系列标准定义了在不同计算机安全事件响应小组之间交换信息安全事件可使用的数据格式,可以用于指导网络安全态势感知系统对安全事件的采集和
43、交换。NIST美国国家标准与技术研究院(NIST)在 2017 年发布了电力行业态势感知系统实施指南 NIST SP 1800-7电力设施态势感知(Situational Awareness for Electric Utilities),该指南结合电力行业的实例给出了态势感知系统的参考设计,有助于我们更好地理解态势感知系统的功能、架构和解决方案,对制定更为通用的态势感知系统技术要求类标准具有很高的指导和参考价值。美国国家标准技术研究所还曾发布 NIST SP 800-150 网络威胁信息共享指南(Guide to Cyber Threat Information Sharing),为组织建立
44、和参与网络威胁信息共享提供指导方针,涉及了信息源的选择,威胁情报类型,数据源的选择,威胁指标等内容,可为网络安全态势感知系统进行数据共享提供有效指导。2)国内标准 TC260全国信息安全标准化技术委员会(TC260)开展过信息安全技术 网络安全态势感知通用技术要求和信息安全技术 网络安全态势感知数据规范两个标准研究项目,对网络安全态势感知的总体框架、组成部分和各部分的要求以及数据预处理进行了深入的研究并提出了后续的标准化建议。基于这些研究结果和建议,TC260 于 2020 年新立项了信息安全技术 网络安全态势感知通用技术要求、信息安全技术 政务网络安全监测平台技术规范、信息安全技术 网络安全
45、信息报送与态势研判指南、信息安全技术 网络安全信息共享指南等与态势感知的总体框架和功能要求、行业应用、安全决策、数据共享相关的标准制定项目以及研究如何进行网络安全态势评价的信息安全技术 网络安全态势感知评价指标标准研究项目。此 外,TC260 制 定 的 GB/T 20985.1-2017信息安全事件管理 第 1 部分:事件管理原理、GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南(目前修订中)、GB/T 24363-2009信息安全应急响应计划规范、GB/T 28458-2012信息安全技术 17网络安全态势感知技术标准化白皮书2020安全漏洞标识与描述规范、GB/T 2
46、8517-2012网络安全事件描述和交换格式、GB/T 30276-2013信息安全技术 信息安全漏洞管理规范、GB/T 30279-2013信息安全技术 安全漏洞等级划分指南(该标准正在修订,目前处于报批稿状态,且标准名称更改为信息安全技术 网络安全漏洞分类分级指南)、GB/T 32924-2016信息安全技术 网络安全预警指南、GB/T 33561-2017信息安全技术 安全漏洞分类、GB/T 36643-2018 信息安全技术 网络安全威胁信息格式规范、GB/T 37027-2018信息安全技术 网络攻击定义及描述规范、信息技术 安全技术 信息安全事件管理 第 2 部分:事件响应规划和准
47、备指南(在研)等标准可以用于指导网络安全态势感知系统中的态势评估、共享交换、应急管理等过程。TC28全国信息技术标准化技术委员会(TC28)信标委的工作范围是信息技术领域的标准化,涉及信息采集、处理、传输、交换、描述、管理、组织、存储、检索等的标准化工作,其制定的GB/T 37722-2019信息技术 大数据存储与处理系统功能要求 和GB/T 38676-2020 信息技术 大数据 存储与处理系统功能测试要求用于规范网络安全态势感知系统的数据存储和处理等过程,可为数据类标准提供参考。CCSA中国通信标准化协会(CCSA)的标准化工作侧重于电信和互联网领域,其中安全方面的标准主要由 TC8(网络
48、与信息安全技术委员会)的 WG1(有线网络安全工作组)、WG2(无线网络安全工作组)、WG3(安全管理工作组)和 WG4(安全基础工作组)来负责制定。CCSA 已经在电信、工业互联网等领域开展了网络安全态势感知相关的探索,目前已发布的 YD/T 3734-2020基础电信企业网络安全态势感知系统技术要求针对基础电信企业这一特定的行业领域中的态势感知系统提出了要求。其他正在制定中的标准包括电信网和互联网网络安全态势感知系统安全要求、工业互联网安全态势感知系统技术要求、物联网安全态势感知技术要求、物联网业务安全态势感知系统技术要求、物联网终端安全态势感知系统技术要求、移动智能终端安全态势感知平台技
49、术要求等,结合通信领域中一些更加细化的应用场景,对不同的态势感知系统提出了更加具体的要求。此外,CCSA 正在制定中的公共安全大数据 第 4 部分:采集与预处理标准,规定了公共安全领域内的数据源、数据类型、数据采集技术与方法等采集要求,以及数据预处理要求,可用于网络安全态势感知系统中的数据采集和预处理阶段;制定中的公共安全大数据 第 7 部分:共享与互联对于数据的共享提出了相关要求。另外,CCSA 也制定了 YD/T 2388-2011网络脆弱性指数评估方法、YD/T 2389-2011网络威胁指数评估方法、网络安全评价指标体系研究等标准,可以作为态势感知系统中安全评价指标体系的有效参考。公共
50、安全行业标准公共安全行业正在制定的网络安全事件威胁行为监测系列标准,包括网络安全事件威18网络安全态势感知技术标准化白皮书 2020胁行为监测 第 1 部分:基于流量的威胁行为监测技术要求、网络安全事件威胁行为监测 第 2 部分:基于安全日志的威胁行为监测技术要求、网络安全事件威胁行为监测 第 3 部分:网站与服务器安全监测技术要求、网络安全事件威胁行为监测 第 4 部分:机构报送网络安全事件格式规范,都旨在对采集探针及其输出数据进行进一步规范,适用于网络安全态势感知系统的数据采集。公共安全行业发布了资源服务总线系列标准,包括 GA/T1375.1-2017资源服务总线第 1 部分:体系架构、
浙ICP备2021020529号-1 | 浙B2-20240490 
