新解读《GB_T 42453 - 2023信息安全技术 网络安全态势感知通用技术要求》最新解读.pptxVIP

《GB/T42453-2023信息安全技术网络安全态势感知

通用技术要求》最新解读

一、标准核心要点直击

（一）为何出台此标准

在数字化浪潮下，网络攻击手段层出不穷，传统安全防御体系渐显疲态。企业和组织面临着APT攻击、数据泄露、供应链攻击等复杂威胁。据统计，2024年因网络安全事件造成的经济损失高达数十亿。在此背景下，GB/T42453-2023出台，旨在统一规范网络安全态势感知技术，提升整体防御能力，减少损失。它为行业提供了清晰的技术路径，填补了国内在该领域技术要求的空白。

（二）标准适用范围广;

该标准适用于网络安全态势感知产品、系统或平台的全

生命周期，从规划构思阶段，为决策者提供技术方向指引；到设计开发环节，规范技术细节，确保产品符合行业标准；再到建设实施和测评验收阶段，提供明确的衡量指标，保障系统稳定运行。无论是大型企业构建内部安全体系，还是安全厂商研发相关产品，亦或是监管部门进行安全评估，都能依据此标准开展工作。

二、技术框架深度剖析

（一）前端数据源多元采集

1.网络流量采集：网络流量蕴含大量安全信息，通过专用采集设备，如网络探针，实时捕获网络数据包。依据标准，采集设备需支持多种协议，如TCP/IP、UDP等，全面获取流量数据。例如，在金融行业，通过对网;

络流量的分析，能及时发现异常交易流量，防范金融诈

骗。

2.日志采集：系统日志、安全设备日志记录了系统运

行状态和安全事件线索。标准要求支持Syslog、

HTTP/HTTPS等多种日志采集协议，涵盖服务器、防火墙、入侵检测系统等各类设备日志。以某电商平台为例，通过对服务器日志分析，成功追溯到一次恶意攻击的源头。

3.其他数据源：包括漏洞信息、资产信息、威胁情报等。漏洞扫描工具定期扫描系统漏洞，将结果纳入数据源；资产信息明确网络中的关键资产，为风险评估提供基础；威胁情报从外部专业机构获取，补充安全分析视角。;

（二）核心组件协同运作

1.数据汇聚：负责整合前端采集的各类数据。支持多种采集协议，对数据进行筛选、转换、补全与标记???预处理，再存储至数据库。如在大型企业网络中，数据汇聚模块将来自不同区域、不同设备的数据统一整合，为后续分析做准备。

2.数据分析：基于多种分析模型，实现网络攻击分析、资产风险评估、异常行为识别和安全事件分析。运用特征匹配、关联分析、机器学习等技术，结合威胁信息库、资产信息库等知识数据库，精准定位安全威胁。例如，

通过机器学习算法，能从海量数据中识别出新型攻击模式。;

3.态势展示：以直观易懂的方式呈现网络安全态势。

支持雷达图、地理信息图、趋势图等可视化方式，提供整体态势、资产态势、流量态势等多维度展示。企业管理者通过态势展示界面，可快速掌握网络安全状况，做出决策。

4.监测预警：实时监测网络安全状况，依据预设规则和分析结果，及时发出预警。预警信息包括攻击类型、威胁等级、受影响资产等。如某能源企业，通过监测预警模块，在遭受勒索软件攻击前及时采取措施，避免生产中断。

50.数据服务接口：提供数据交换接口、数据分析接口、联动处置接口等，保障系统与外部系统的交互。同时，

强调接口安全性，防止数据泄露和非法访问。例如，安;

全运营中心通过数据服务接口，与其他安全设备实现联

动，协同防御。

60.系统管理：涵盖策略管理、预处理规则管理、分析模型管理、资产管理、安全事件管理、威胁信息管理等。确保系统按照既定策略运行，及时更新规则和模型，优化系统性能。

三、数据汇聚的关键环节

（一）高效的数据采集

1.多协议支持的意义：网络环境复杂多样，不同设备和系统使用不同协议。支持多种采集协议，能确保全面采集各类数据。例如，在工业互联网场景中，既有传统的TCP/IP协议设备，也有Modbus等工业协议设备，多协议采集可保障数据完整性。;

2.实时采集的实现：采用高性能采集设备和优化的采

集算法，降低数据采集延迟。通过实时采集，能及时获

取最新安全信息，为快速响应提供保障。如互联网企业

对用户行为数据的实时采集，可及时发现异常登录行为。

3.采集设备的选择与部署：根据网络规模和架构，合理选择采集设备类型和数量。在大型园区网络中，可在核心交换机、边界路由器等关键节点部署采集设备，确保采集全面且高效。

（二）精准的数据预处理

1.数据筛选去除冗余：从海量原始数据中筛选出有价值信息，去除重复、无效数据。如在安全设备日志中，大量正常连接日志会干扰分析，通过