《信息安全技术 网络安全产品互联互通框架》征求意见

　　【仪表网 行业标准】近日，由北京赛西科技发展有限责任公司 、公安部第三研究所 、中国移动通信集团有限公司 、深信服科技股份有限公司等单位起草， TC260(全国信息安全标准化技术委员会)归口的国家标准计划《信息安全技术 网络安全产品互联互通框架》征求意见稿已编制完成，现公开征求意见。
 

　　智能化、自动化的协同防护能力建设依赖于不同网络安全产品的互联互通。然而，当前我国网络安全产品互联互通仍在起步阶段。一方面，安全厂商产品类型复杂、不同产品的数据融合难、实现差异明显。大量研发成本用于实现不同安全厂商、安全产品之间的适配，同质化竞争严重，技术创新投入不足，创新能力有待提高，长期来看影响网络安全产业做大做强。另一方面，政务、电信、金融等行业用户单位通过研制数据、安全功能相关标准，研发定制化产品和安全管理平台等方式，初步实现在特定业务场景下的网络安全产品互联互通，但由于缺少统一技术框架和配套标准规范，用户单位网络安全产品互联互通工作改造成本高、效果不明显，难以形成规模化、可复制的应用推广经验。基于此，急需出台统一技术框架指导相关工作开展。
 

　　本文件拟提出统一的互联互通功能和互联互通信息框架，指导厂商、用户单位等开展网络安全产品互联互通建设工作，解决当前互联互通建设成本高，应用范围仅限于特定业务场景，难以复制推广的问题。
 

　　本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
 

　　本文件给出了网络安全产品互联互通框架，包括互联互通功能和互联互通信息。本文件适用于指导网络安全产品互联互通的设计、开发和应用。
 

　　识别功能：
 

　　识别功能通过对软硬件、数据、网络等信息的采集与分析，识别潜在的网络安全风险。识别功能主要包括：
 

　　a) 资产识别：检查、发现网络、软硬件和数据等资产，形成资产信息；
 

　　b) 脆弱性识别：发现已识别资产中可能存在的脆弱性，包括漏洞扫描、代码审计、配置核查等，形成脆弱性信息；
 

　　c) 威胁识别：通过分析网络流量、安全日志、威胁情报等，识别威胁，形成威胁信息；
 

　　d) 网络流量采集：通过流量镜像等方式，获取并记录网络行为，形成行为信息；
 

　　e) 终端信息采集：对终端进程、流量特征、文件等信息进行采集，获取并记录终端行为，形成行为信息。
 

　　防护功能：
 

　　防护功能通过实施防护措施，防范网络安全风险。防护功能主要包括：
 

　　a) 身份管理与鉴别：标识和鉴别软硬件、数据、网络等访问者身份合法性的过程，形成行为信息，对于存在非授权访问的情况，还应形成告警信息；
 

　　b) 网络访问控制：按照网络访问控制策略对访问行为进行阻断或授权，形成行为信息，当发生阻断时，还应形成告警信息；
 

　　c) 网络入侵防御：通过协议解码、内容检测、规则匹配及威胁情报分析等技术手段，检测和阻断网络入侵行为，形成行为信息、告警信息；
 

　　d) 网络隔离交换：通过终止网络连接、分离网络协议等方式，将数据以专有数据块的形式在不同网络间进行摆渡，实现网络隔离环境下数据交换的过程，形成行为信息、告警信息；
 

　　e) 网络行为控制：通过行为模式识别、规则匹配等方式分析网络行为，进行隔离、过滤、放行等操作，形成行为信息、告警信息；
 

　　f) 网络流量控制：基于流量控制策略对网络流量进行监测、分类、整形、带宽限速、带宽保障等操作，优化带宽资源使用，避免网络拥塞，形成行为信息、告警信息；
 

　　g) 拒绝服务攻击防护：通过 TCP 代理、源 IP 验证等方式，发现网络流量的拒绝服务攻击行为，对匹配抗拒绝服务策略的网络流量进行阻断，形成行为信息、告警信息；
 

　　h) 数据库防护：通过数据库审计等方式，发现并阻断针对数据库系统的攻击，形成行为信息、告警信息；
 

　　i) 恶意代码防范：通过漏洞扫描、注册表查找等方式，检测发现僵尸、木马、蠕虫等恶意代码，并对其进行清除或隔离等操作，形成行为信息、告警信息；
 

　　j) 应用安全防护：分析 Web 应用、主机设备等的访问流量，实现 Web 应用攻击防护、非授权访问防护、恶意代码防护、邮件安全防护、网页防篡改等功能，形成行为信息、告警信息；
 

　　k) 终端访问控制：通过终端访问控制规则对终端操作和访问行为进行管控，形成行为信息、告警信息。终端操作和访问行为包括且不限于网络访问、文件访问、系统指令访问、进程创建、移动存储介质访问、办公设备访问等；
 

　　l) 终端入侵防护：通过获取终端行为、系统日志或其他终端上的信息，发现违反安全策略的行为并加以阻断，形成行为信息、告警信息；
 

　　m) 终端防病毒：在终端设备上实现的恶意代码防范功能，形成行为信息、告警信息；
 

　　n) 终端行为控制：依据访问控制规则对终端操作和访问行为进行控制，终端操作和访问行为包括但不限于网络访问、文件访问、系统指令访问、进程创建、移动存储介质访问、办公设备访问等，形成行为信息、告警信息。
 

　　监测功能：
 

　　监测功能通过持续监测目标网络与系统，发现网络安全事件并触发预警或响应。监测功能主要包括：
 

　　a) 入侵检测：通过嗅探网络流量、行为、安全日志及其他相关信息，分析计算终端和网络资源的恶意使用行为，包括但不限于入侵行为、非授权访问等，形成行为信息、告警信息，处理后形成事件信息；
 

　　b) 高级持续性威胁(APT)检测：通过技术手段检测或监视高级持续性威胁，包括但不限于未知恶意代码检测、嵌套式攻击检测、木马蠕虫病毒检测、隐蔽信道检测等，形成行为信息、告警信息，处理后形成事件信息；
 

　　c) 终端安全检测：对受保护终端的终端进程、流量特征、文件、系统性能等进行监测，发现安全风险，形成行为信息、告警信息，处理后形成事件信息；
 

　　d) 域名解析安全监测：对域名系统(Domain Name System，DNS)节点上的流量进行监测，发现因拒绝服务攻击等造成的域名异常，形成行为信息、告警信息，处理后形成事件信息；
 

　　e) 用户与实体行为监测：采用规则匹配、安全基线、机器学习等方式，监测、分析用户与实体的异常行为，形成行为信息、告警信息，处理后形成事件信息；
 

　　f) 网络行为监测：监控网络流量，采用深度检测等技术发现因拒绝服务攻击、恶意程序等造成的网络异常行为，形成行为信息或告警信息，处理后形成事件信息；
 

　　g) 互联网信息监测：通过互联网信息采集技术、智能处理技术等对互联网信息进行汇集、分类、整合、筛选，实现对互联网信息收集与整理。形成行为信息、告警信息，处理后形成事件信息；
 

　　h) 安全审计：记录并存储网络、软硬件及其组件的活动，产生各类审计日志，包括但不限于主机审计日志、网络审计日志、数据库审计日志、应用审计日志、运维审计日志等，形成行为信息、告警信息、威胁信息，处理后形成事件信息。
 

　　处置功能：
 

　　处置功能是发现网络安全事件、安全威胁等情况时，通过相应的响应手段应对网络安全风险，减缓网络安全事件带来的影响。处置功能主要包括：
 

　　a) 事件自动化处置：通过漏洞加固、封堵 IP、自动化编排等方式，对安全分析结果进行自动化应用、联动处置；
 

　　b) 攻击抑制：采用病毒查杀、进程终止、蜜罐诱捕等方式，对攻击流量和可疑行为进行阻断、限制；
 

　　c) 备份恢复：基于已备份的信息，实现对业务系统数据和功能的恢复；
 

　　d) 通报预警：对监测过程中获取的行为信息、脆弱性信息、事件信息、威胁信息等在一定范围内进行预警或告知，形成告警信息和威胁信息；
 

　　e) 攻击溯源：通过对攻击信息片段进行综合分析和场景还原，重构攻击者的攻击路径、攻击手法、攻击意图等，形成事件信息。
 

　　详情请见附件。