网络安全监测系统技术要求.pdfVIP

网络安全监测系统技术要求 1 范围 本文件规定了网络安全监测系统的功能要求、性能要求、技术要求以及接口要求。 本文件适用于计算机网络应急响应组织的网络安全监测系统，也可供其他相关部门参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 28517-2012 网络安全事件描述和交换格式 YD/T 1039.1-2005 900/1800MHz TDMA数字蜂窝移动通信网短消息中心设备技术要求 第一部分： 点对点短消息业务部分 YD/T 2251-2011 国家网络安全应急处理平台安全信息获取接口要求 YD/T 2388-2022 网络脆弱性指数评估方法 YD/T 2389-2022 网络威胁指数评估方法 IETF RFC 2821 简单邮件传输协议 3 术语和定义 下列术语和定义适用于本文件。 3.1 安全事件 security event 计算机信息系统或网络中单一或一系列非预期的，可能损害业务运行和威胁信息安全的信息安全 事态。 3.2 安全事故 security incident 计算机信息系统或网络中的硬件、软件、数据因直接或间接攻击事件而遭受非预期的破坏、更改、 占用、泄露等现象。 注：安全事故由一个或多个安全事件构成。 3.3 入侵检测 intrusion detection 1 通过对计算机信息系统或网络中的实时信息进行分析，感知是否存在违反安全策略或被攻击的异 常情况发生。 3.4 告警 alert 当管理系统检测到安全事件或由此引发的安全事故后，向相关人员发出的紧急通知。 3.5 响应 response 当管理系统检测到安全事件或由此引发的安全事故后，按照预设向相关人员发出的紧急通知及处 理策略，以期保护或恢复资产的后续行为。 4 网络安全监测系统结构 网络安全监测系统主要由数据采集模块、信息仓库、事件分析模块、事故处理模块、安全告警模 块和可视化模块6大模块组成，网络安全监测系统结构如图1所示，其各模块功能如下。 a) 数据采集模块：按照所建立的指标体系对网络设备状态信息、网络流量信息、日志信息、传 感器报警信息等原始数据进行收集存储。 b) 信息仓库：包含数据库、知识库和规则库，分别存放采集后的网络安全关键数据，网络威胁 指标、系统漏洞指标和基础资产指标等信息，以及网络安全事故的定义和相应响应规则信息。 c) 事件分析模块：用于对融合数据进行特征提取和事件层面的关联分析。 d) 事故处理模块：用于在网络安全事件层次的基础上发现网络安全事故并生成报告、触发响应、 进行态势评估和态势预测。 e) 安全告警模块：对网络安全事件分析后产生的重大安全警报进行实时告警。 f) 可视化模块：用于对当前安全态势的实时状况以及预测结果展示。 分三个层次，数据层、 分析层、决策层 网络安全态势预测展示 可视化模块 按照构建完的指标体系进行收集，主要是： 网络安全态势可视化 1数据采集 网络设备状态信息、网络流量信息、日志信 信息仓库 息、传感器报警信息等等 由于数据的缺失，记录的重复等问题， 2数据预处理 对数据进行处理，除噪 规则库 安全预警