资源描述
网络安全态势感知技术 标准化白皮书 2020年版 2020年11月 全国信息安全标准化技术委员会 信息安全评估标准工作组 1 网络安全态势感知技术标准化白皮书2020 组长:李京春 副组长:顾健、李斌、李嵩 秘书:李健、刘楠 全国信息安全标准化技术委员会信息安全评估标准工作组 编写单位 编写人员 公安部第三研究所 新华三技术有限公司 北京神州绿盟科技有限公司 上海观安信息技术股份有限公司 三六零科技集团有限公司 中国信息安全测评中心 中国民航大学 北京锐安科技有限公司 陈 妍 李京春 李 斌 顾 健 上官晓丽 刘贤刚 王 龑 孙松儿 刘玉岭 叶晓虎 陆 臻 孙 彦 郭 旭 陈宇耀 万 可 杨洪起 吴天昊 张文科 谢 江 张 屹 李 旋 周景贤 刘慧芳 杨 璐 李 健 刘星材 李 宁 吴 槟 郑新华 北京天融信网络安全技术有限公司 中国电子技术标准化研究院 中国科学院信息工程研究所 工业信息安全创新中心有限公司 中移动信息技术有限公司 国家信息中心 中国南方电网有限责任公司 北京威努特技术有限公司 版权声明:如需转载或引用,请注明出处 2 网络安全态势感知技术标准化白皮书 2020 全书组织如下: 前言 PREFACE 网络安全态势感知平台作为网络安全的实时守护者,是实现“全天候全方位感知网络安全 态势”的主要手段。为了更好地引导网络安全态势感知技术标准化工作的有序开展,全国信息 安全标准化技术委员会(TC260)信息安全评估标准工作组(WG5工作组)集众多成员单位 之合力,由公安部第三研究所牵头,联合业界的主流安全厂商、典型行业用户、科研院所一起 努力,最终形成本版白皮书。此外,为了更好地帮助不同行业的用户了解行业内的网络安全风险、 网络安全态势感知系统的建设需求和标准需求等,由具有该行业实践经验的参编单位提供了“附 录 A 行业案例”,用于给网络安全态势感知相关的研发、生产、建设和部署单位提供参考,这 是参编单位的实践结果,不代表本白皮书的立场。附录B给出了网络安全态势感知相关的已发 布及在研标准。 第1章 介绍了本白皮书的背景。 第2章 介绍了网络安全态势感知的典型模型,并给出了系统架构。 第3章 分析了网络安全态势感知的标准化需求以及国内外标准化现状。 第4章 以问题导向为原则,给出了网络安全态势感知的标准架构并对架构中的各组成部分进 行描述。 第5章 以前面各章为依据,给出了网络安全态势感知标准化工作建议。 附录 A 介绍了政务行业、网络运营服务行业及汽车行业的网络安全态势感知案例,主要分为 网络安全风险分析、建设需求分析、标准现状与需求分析三部分。 附录 B 给出与网络安全态势感知相关的已发布及在研标准列表。 参考资料部分列出了本白皮书编写过程中参考的相关资料。由于编制时间仓促,编制组水平 有限,错误疏漏在所难免,针对此版白皮书如有任何意见或建议,敬请联系 chenyanmctc. 。 3 网络安全态势感知技术标准化白皮书2020 目录 CONTENTS 前言 2 第一章 背景 5 第二章 网络安全态势感知技术框架 8 第三章 网络安全态势感知标准化需求和现状 14 第四章 网络安全态势感知标准架构 19 典型模型 系统架构 - 前端数据源 - 核心态势感知 - 影响态势感知的要素 8 11 12 12 13 14 14 14 16 19 20 22 22 22 23 24 25 26 标准化需求 标准化现状 - 国外标准 - 国内标准 基本原则 总体架构 组成部分 - 总体框架标准 - 前端数据源类标准 - 数据标准 - 应用标准 - 数据共享标准 - 业务支撑标准 4 网络安全态势感知技术标准化白皮书 2020 第五章 网络安全态势感知标准化工作建议 28 附录A:行业案例 29 附录B:已发布及在研的标准 37 参考资料 41 统筹规划网络安全态势感知标准 加快开展亟需标准的制定进程 积极推进态势感知标准的应用 政务行业 - 网络安全风险现状 - 建设需求分析 - 标准现状与需求分析 网络运营服务行业 - 网络安全风险现状 - 建设需求分析 - 标准现状与需求分析 汽车行业 - 网络安全风险现状 - 建设需求分析 - 标准现状与需求分析 28 28 28 29 29 29 30 31 31 32 33 34 34 35 35 5 网络安全态势感知技术标准化白皮书2020 第一章 背景 随着组织信息化建设规模的扩大,安全架 构日趋复杂,各种类型的安全设备、安全数据 越来越多,组织自身的安全运维压力不断加大。 另一方面,以高级可持续威胁攻击(Advanced Persistent Threat,APT)为代表的新型威胁 的兴起,随着内控与合规的深入,越来越需要 组织充分利用更多的安全数据进行分析检测, 对基础架构安全、应用安全、数据安全乃至 业务安全中面临的各类高级威胁做出判定和响 应,以支撑业务持续稳定、安全运行。 独立分割的安全防护体系已经很难应对如 此复杂的安全环境。高级恶意程序已经逐渐成 为主流,隐秘通道也已经开始向组织内部逐渐 渗透。当前网络环境中部署的各类安全设备主 要实现单点检测,检测能力受限,导致安全问 题依然频繁发生,诸如勒索病毒、APT 攻击, 敏感数据泄露等。特别值得注意的是,当这些 安全事件发生时,单点安全设施只能给出有限、 甚至无法给出相关检测信息,更有甚者有些安 全威胁在网络内部发生、潜伏、破坏了数天乃 至数月的时间,都难以察觉。总的来说,很多 时候组织常常对自身网络安全中的各类威胁看 不到、看不清、看不及时,从而给组织日常的 安全保障工作带来各方面的危害和影响。 态势感知的概念最早在军事领域提出, 覆盖感知、理解和预测三个层次,随着计 算机网络的发展又提出了“网络态势感知 (Cyberspace Situation Awareness, CSA)”,即在大规模网络环境中对引起网络 态势发生变化的要素进行获取、理解、展示以 及对发展趋势进行预测,从而帮助决策和行动。 随着网络安全复杂性的凸显,态势感知在网络 安全领域得到高度重视和广泛应用。 网络安全态势感知是一种基于环境动态 地、整体地洞悉安全风险的能力,它利用数据 融合、数据挖掘、智能分析和可视化等技术, 直观显示网络环境的实时安全状况,为网络安 全保障提供技术支撑。网络安全态势感知系统 的工作过程大致分为安全要素采集、安全数据 处理、安全数据分析和分析结果展示这几个关 键阶段。安全要素采集是获取与安全紧密关联 的海量基础数据,包括流量数据、各类日志、 漏洞、木马和病毒样本等;安全数据处理是通 过对采集到的安全要素数据进行清洗、分类、 标准化、关联补齐、添加标签等操作,将标准 数据加载到数据存储中;安全数据分析和分析 结果展示是利用数据挖掘、智能分析等技术, 提取系统安全特征和指标,发现网络安全风险, 汇总成有价值的情报,并将网络安全风险通过 可视化技术直观地展示出来。 借助网络安全态势感知,运维人员可以及 时了解网络状态、受攻击情况、攻击来源以及 哪些服务易受到攻击等情况;用户单位可以清 楚地掌握所在网络的安全状态和趋势,做好相 应的防范准备,减少甚至避免网络中病毒和恶 意攻击带来的损失;应急响应组织也可以从网 络安全态势中了解所服务网络的安全状况和发 展趋势,为制定有预见性的应急预案提供基础。 6 网络安全态势感知技术标准化白皮书 2020 1999 年,美国人 Tim Bass 提出网络态 势感知的概念;2000年,他将该技术应用于 多个网络入侵检测系统检测结果的数据融合分 析,开启了网络安全态势感知技术蓬勃发展的 序幕。美国将网络安全态势感知作为其国家安 全防御体系中的重要组成部分,从国家安全的 整体高度进行统一规划和部署。根据2002年 的国土安全法案和联邦信息安全管理法 案,美国联邦政府于2003年开始启动爱因 斯坦计划,建设大规模信息安全监控系统,自 动收集、关联分析和共享政府机构间的安全信 息,快速感知和应对网络安全面临的威胁,增 强美国政府的网络安全态势感知能力和网络安 全防御能力。自2003年开始启动“爱因斯坦-1” 计划,到2007年的“爱因斯坦-2”,再到 2012年开始“爱因斯坦-3”,截至2019年9月, 在104个联邦民事机构中,已有76个已经完 全实现了“爱因斯坦-3”计划的基本能力。 美国政府期望通过爱因斯坦计划的实施,保护 美国国内重要的网络信息资产,同时,还能感 知监控他国互联网应用,使其成为主动防御甚 至反制的工具,最终成为美国国家安全战略体 系中的重要组成部分。另外,美国军方出于网 络战等方面的考虑,也在积极发展网络安全态 势感知能力。这些网络安全态势感知系统的建 设使美军在网络空间战场中的态势感知能力和 作战能力得到极大提升,也给全球网络空间的 安全带来重大影响。 我国高度重视网络安全态势感知能力建 设。在国家层面上,通过制定相关政策方针对 网络安全态势感知能力建设和发展制定了战略 规划,从而带动了“产学研用”各方面的协同 发展。2016年4月19日,习近平总书记在 网络安全和信息化工作座谈会上提出要“全天 候全方位感知网络安全态势”。2016年11月 发布的网络安全法第五章提出将网络安全 监测预警与应急处置工作制度化、法制化,为 深化网络安全防护体系、实现“全天候全方位 感知网络安全态势”提供了法律依据和保障。 2016年12月,国务院发布的“十三五”国 家信息化规划对实现“全天候全方位感知网 络安全态势”提出了具体要求:要求“加强网 络安全态势感知、监测预警和应急处置能力建 设。建立统一高效的网络安全风险报告机制、 情报共享机制、研判处置机制,准确把握网络 安全风险发生的规律、动向、趋势。建立政府 和企业网络安全信息共享机制,加强网络安全 大数据挖掘分析,更好地感知网络安全态势, 做好风险防范工作。”该规划还要求部署建设 “网络安全监测预警和应急处置工程”,包括: “建立国家网络安全态势感知平台,利用大数 据技术对网络安全态势信息进行关联分析、数 据挖掘和可视化展示,绘制关键信息基础设施 网络安全态势地图。建设工业互联网网络安全 监测平台,感知工业互联网网络安全态势,为 保障工业互联网安全提供有力支持。”该规划 还同时提出了要建立国家网络安全态势感知平 台和党政机关网络安全态势感知系统。 国内的高校和科研院所很早就开始了态势 感知相关理论和基础技术的科学研究工作,并 取得了一定的成果,搭建了多个原型系统、发 表了大量的学术论文;各监管机构和主管部门 积极响应国家政策,从组织、策略、技术、运 维等各方面为建设和应用网络安全态势感知提 7 网络安全态势感知技术标准化白皮书2020 供了保障和支撑;多个省、市、地区、行业以 及大型企事业单位进行了网络安全态势感知系 统的建设;旺盛的市场需求调动了广大安全厂 商的积极性,出现了很多有特色的网络安全态 势感知产品。 然而不同于传统防火墙、入侵检测、安全 审计等功能相对固化的产品,网络安全态势感 知的概念及应用则复杂很多。虽然很多产品和 平台都宣称具备网络安全态势感知的三要素: 态势获取、态势理解和态势预测,但一方面缺 乏网络安全态势感知技术、框架、功能等标准, 另一方面也缺少业界公认的针对网络安全态势 感知的综合评价指标,导致实际部署后的应用 效果千差万别,没有给用户带来实际的网络安 全监测与防护效果,反而造成了资源浪费,同 时给市场和监管带来了一定的混乱。另外,网 络安全态势感知系统需要从多种数据源进行数 据采集,并与多个其他安全产品和系统进行联 动,存在较多需要定义的数据接口,目前各产 品厂商、各平台建设单位各自为政,缺乏统一 的数据接口,数据对接、威胁情报共享工作的 实际落地较为困难。解决这些问题需要有配套 的态势感知标准来对相关系统和产品的功能进 行规范,保障相关产品和系统的质量;对态势 感知的评价指标进行构建,保证系统输出结果 的一致性;对系统间数据采集、数据共享、协 同联动的接口进行统一,促进不同厂商产品和 系统之间的互联互通。 网络安全态势感知标准能对态势感知能力 的建设起到规范和指导作用,主要体现在如下 方面:一是通过规范态势感知产品开发者、平 台建设者的设计、开发和建设流程,统一系统 框架,提升系统的技术水平;二是通过规范态 势感知服务组织的基础安全管理、数据安全管 理、系统安全管理和安全运维等,提升系统防 范安全风险的能力;三是规范行业体系,对系 统的数据采集、数据共享、协同联动的接口进 行统一,促进不同厂商产品和系统之间的互联 互通,从而进一步支撑网络安全态势感知的快 速发展。为此,亟待从技术和产业发展角度加 快推进网络安全态势感知的标准化工作,为我 国网络安全态势感知的健康发展提供有力保障。 本白皮书对网络安全态势感知的概念和发 展历史进行了分析梳理,基于相关典型模型给 出了网络安全态势感知的技术框架,基于标准 化需求和现状给出网络安全态势感知的标准架 构,并提出开展态势感知标准化工作建议,为 各级监管部门和企事业单位在进行网络安全态 势感知能力建设和管理时提供标准化思路,为 各系统生产厂商在进行网络安全态势感知系统 设计、开发、部署和应用过程中提供标准化指导。 8 网络安全态势感知技术标准化白皮书 2020 321 本章将调研网络安全态势感知的典型模型,并在此基础上给出网络安全态势感知系统架构和 主要组成部分。 在对态势感知的研究中,学术界和行业界提出了多种相关的模型和技术,比较著名的有 Endsley、JDL 和 Tim Bass 三个经典模型,这些模型为网络安全态势感知理论和技术的发展提 供了参考和借鉴。 1) Endsley 模型 Endsley 模型是在 1995 年由前美国空军首席科学家 Mica R. Endsley 仿照人的认知过程建 立,主要分为核心态势感知与影响态势感知的要素两部分,其中核心态势感知包括:态势要素感 知、态势理解和态势预测,如图 2.1 所示。 核心态势感知: 第 1 级态势要素提取:提取环境中态势要素的位置和特征等信息; 第 2 级态势理解:关注信息融合以及信息与预想目标之间的联系; 第 3 级态势预测:主要预测未来的态势演化趋势以及可能发生的安全事件。 影响态势感知的要素主要分为任务和系统要素以及个人因素,实现态势感知能力依赖于各影 响要素提供的服务。态势感知系统最终的执行效果将反馈给核心态势感知,形成正反馈,不断提 升态势感知的总体能力。 第二章 网络安全态势感知技术框架 典型模型 图 2.1Endsley 模型 9 网络安全态势感知技术标准化白皮书2020 0 1 2 3 4 2) JDL 模型 面向数据融合的 JDL(Joint Directors of Laboratories)模型体系,是在 1984 年,由美 国国防部成立的数据融合联合指挥实验室提出,经过逐步改进和推广使用而形成。它将来自不同 数据源的数据和信息综合分析,根据它们之间的相互关系,进行目标识别、身份估计、态势评估 和威胁评估,通过不断的精炼评估结果来提高评估的准确性。该模型已成为美国国防信息融合系 统的一种实际标准。该模型的具体结构如图 2.2 所示: 第 0 级数据预处理:负责过滤、精简、归并来自信息源的数据,如入侵检测警报、操作系 统及应用程序日志、防火墙日志、弱点扫描结果等; 第 1 级对象精炼:负责数据的分类、校准、关联及聚合,精炼后的数据被纳入统一的规范 框架中,多分类器的融合决策也在此级进行; 第 2 级态势精炼:综合各方面信息,评估当前的安全状况; 第 3 级威胁精炼:侧重于影响评估,既评估当前面临的威胁,也预测威胁的演变趋势以及 未来可能发生的攻击; 第 4 级过程精炼:动态监控融合过程,依据反馈信息优化融合过程。 图 2.2 JDL 模型 10 网络安全态势感知技术标准化白皮书 2020 3 2 4 1 0 3) Tim Bass 模型 1999年,Tim Bass等人在态势感知三级模型的基础上提出了从空间上进行异构传感器管 理的功能模型,模型中采用大量传感器对异构网络进行安全态势基础数据的采集,并对数据进行 融合,对知识信息进行比对。该模型以底层的安全事件收集为出发点,通过数据精炼和对象精炼 提取出对象基,然后通过态势评估和威胁评估提炼出高层的态势信息,并做出相应的决策,该框 架将数据由低到高分为数据、信息和知识三个层面。该模型具有很好的理论意义,为后续的研究 提供了指导,但最终并未给出成型的系统实现。该方法的缺点是当网络系统很复杂时,威胁和传 感器的数量以及数据流会变得非常巨大而使得模型不可控制。该模型的具体结构如图 2.3 所示: 第 0 级数据精炼:负责提取、过滤和校准原始数据; 第 1 级对象精炼:将数据规范化,做时空关联,按相对重要性赋予权重; 第 2 级态势评估:负责抽象及评定当前的安全状况; 第 3 级威胁评估:基于当前状况评估可能产生的影响; 第 4 级资源管理:负责整个过程的管理。 图 2.3 Tim Bass 模型 11 网络安全态势感知技术标准化白皮书2020 基于以上对典型模型的分析和行业调研 (详见“附录 A 行业案例”),可知网络安全 态势感知能力高低主要由核心态势感知和影响 态势感知的要素决定,也与前端数据源密不可 分。 本文提出了网络安全态势感知系统架构如 图2.4所示,包括:1)各类前端数据源,如 流量探针、服务器探针、监测平台等;2)核 心态势感知:包括数据采集、数据处理、数据 存储、数据分析、监测预警、数据展示、数据 服务接口和系统资源管理;3)影响态势感知 的要素:包括人工辅助、应急处置、安全决策 和数据共享。 数据采集层主要关注采集什么数据,通过 什么方式采集;数据处理主要关注如何处理采 需要注意的是图2.4给出的是网络安全态 势感知的总体框图,该框图将数据能力、分析 能力和应用能力充分解耦,有利于应用单位更 多地接入不同前端数据,更好地使用多样化的 分析模型,这样的框架更适用于大型单位的网 络安全态势感知能力建设,这时候形成网络安 系统架构 集到的数据,如何将采集到的数据进行有效融 合;数据存储主要关注如何存储以及存储数据 的类型;数据分析主要关注系统应具备何种数 据分析能力,从而进行安全事件辨别、定级、 关联分析等;监测预警主要关注监测内容和预 警方式,甚至包括通过预警进行主动防御;数 据展示主要关注如何进行安全态势展示、统计 分析和安全告警等;数据服务接口主要关注支 持的数据服务接口及格式;系统资源管理主要 关注系统的安全管理要求。而在影响态势感知 的要素中,可知利用系统结果进行决策和处置 以及数据共享是构建网络安全态势感知能力的 关键环节。此外,网络安全态势感知系统也要 保证自身的安全,使其不成为网络中的安全风 险点。 全态势感知能力的是一个系统或多个系统。对 于规模较小的单位,其也希望建立网络安全态 势感知的能力,可以选择具有高度集成的网络 安全态势感知产品,即对外不再展现数据服务 接口等功能,而是将其封装在产品中,使用的 是一家单位的全部能力。 图2.4 网络安全态势感知系统架构 12 网络安全态势感知技术标准化白皮书 2020 1) 前端数据源 前端数据源输出的数据是网络安全态势感 知系统得以有效运行的基础。前端数据源有不 同的类型,典型的包括流量探针、服务器探针、 监测平台、第三方机构上报等。此外,由于工 业互联网、云计算、移动互联网、物联网等新 技术的应用,其前端数据源也需要重点考虑。 不同的前端数据源有不同的业务处理能力及不 同的数据输出格式,目前各前端数据源输出数 据格式不一,导致每个网络安全态势感知系统 都需要与前端数据源进行适配,另外对数据质 量进行统一把控是业界的要点、难点和痛点。 2) 核心态势感知 数据采集层 针对不同的网络环境和业务应用,网络安 全态势感知系统的前端数据源会有所区别,前 端数据源是大数据分析的基础与前提,准确高 质量的数据能保证安全分析效果。针对用户对 态势感知的场景需求,依托数据采集对象和采 集内容,定义分析场景和建模。采集包括网络 设备、主机、应用、安全设备等记录的日志数 据和告警信息;异常流量数据和按规则匹配的 网络流量数据;以及整个网络中所有的资产信 息、相关的人员信息、账号信息以及与资产相 关的漏洞信息、脆弱性信息和威胁情报信息等 辅助信息数据,为进一步场景化的态势感知分 析需求提供数据支撑。 数据处理层 数据处理层主要对多源、异构数据进行清 洗和过滤、归一化、标识等操作,从而提高安 全分析的可信度,降低误报率。其中数据清洗 和过滤是将大量的重复数据进行归并,并将无 效数据进行剔除;归一化是将原始数据转换为 统一格式和内容的数据,为后续分析处理提供 统一的标准化数据结构;数据标识是对海量数 据环境下的不明数据流量进行识别,利用模式 识别、深度学习、大数据分析技术和人工智能 技术,识别和分离不明数据。 数据存储层 数据存储层主要是网络安全态势感知系统 对采集的不同类型数据进行分级分类存储,以 满足数据分析的要求。采用分级、分类、分层 的模式,汇聚资源数据、网络运行数据、网络 安全事件、威胁情报等重要数据,实现各类网 络安全数据的统一融合,为数据分析、数据共 享提供数据基础。该层需要实现对不同数据源 同一类型的数据进行汇聚,并根据数据存储需 求,对数据存储的类型、内容、方式和周期等 进行约定。 数据分析层 网络安全态势感知的数据分析层是利用流 量识别、协议分析、文件还原等手段,通过特 征检测、规则分析、算法分析、行为分析等方法, 结合人工智能、深度学习、行为建模、场景构 建等技术,采用数据整理分类、对比统计、重 点识别、趋势归纳、关联分析、挖掘预测的数 据处置策略,从海量数据中自动挖掘出有价值 的信息,最大的发挥数据的价值。数据分析是 态势感知能力建设的核心,而分析模型、分析 技术的正确使用是网络安全态势感知建设的关 键。因此该层的重点在于数据分析模型的设计, 从而实现风险、威胁和异常行为的分析,并给 出其评价指标和方法。 监测预警层 网络安全态势感知的监测预警是数据分析 13 网络安全态势感知技术标准化白皮书2020 的应用,是依据数据分析结果,实现网络安全 事件告警、态势评估、安全预警、追踪溯源等 应用。通过利用态势感知,实现对采集数据的 统计分析、能力评估、关联分析、数据挖掘等 操作,生成态势感知平台所需的安全运行态势、 安全风险态势、网络威胁态势等基础态势信息。 在基础态势分析基础上,充分结合态势关联、 威胁情报等,并对其进行科学、合理的组合, 得出网络安全指数,调用各类基础数据和知识 库信息,提炼攻击手段,还原攻击过程,溯源 攻击者,为事件预警和应急指挥提供参考依据, 以全面支撑安全事件快速响应和应急处置工 作。监测预警有利于更好、更快地发现网络中 的风险,从而支撑安全决策。 数据展示层 网络安全态势感知的数据展示层主要通过 展示界面展示网络运行状态、网络攻击行为、 安全事件、整体安全态势等,并能够持续的、 多维度的监测信息资产和相关的威胁、脆弱性、 安全事件、安全风险等分类态势指标变化情况, 同时展示告警信息。目前各个产品和系统对安 全的展示五花八门,让用户看不懂、看不明白, 很多时候会忽略重点,因此该层的重点在于展 示的内容要规范、合理,从而让用户快速了解 网络安全状况。 数据服务接口 数据服务接口主要为网络安全态势感知系 统的数据交换、数据分析、威胁处置提供数据 访问调用服务。能够支持数据的推送服务,如 数据汇聚/下发、数据交换和推送;能够支持 模型分析服务,该服务根据业务需要,对数据 进行统计、分析、规律性探索、预测等,并返 回结果,以支撑应用层业务场景复杂、多变的 需求,包括数据集碰撞类服务、分析类服务和 预测类服务等。将数据作为服务提供给分析模 型、第三方应用和其他单位能提升平台的可扩 展性和能力。 系统资源管理 为保证网络安全态势感知系统的正常运 行,需要能够对各类系统资源进行管理、对各 种过程进行控制,因此系统资源管理应该是通 过人工或自动化的方式对各种安全策略、数据 分析过程、数据质量、知识库、上下级部署等 进行管理,以支撑系统的有效运转。合理、有 效的系统资源管理将提升系统的运转效率和实 际效果。 自身安全 网络安全态势感知系统需要接入到信息系 统的网络中进行数据采集,因此其自身安全也 非常重要,包括标识与鉴别、角色管理、远程 管理、自身审计等。 3) 影响态势感知的要素 网络安全态势感知的能力建设除需要前端 数据源及核心态势感知的支撑外,影响态势感 知的要素,如人工辅助、应急处置、安全决策、 数据共享等内容也需要重点关注和研究。比如, 人工辅助需要考虑不同等级、不同能力的人员 如何支撑网络安全态势感知的工作;应急处置 是明确应对应急事件和安全事件的处置方法、 处置流程、处置具体内容;安全决策基于网络 安全态势感知系统的输出结果进行研判和决 策,包括明确决策的组成要素和决策流程的统 一;数据共享是实现网络安全态势感知协同防 御的基础,主要实现安全事件及威胁情报等的 共享。 14 网络安全态势感知技术标准化白皮书 2020 第三章 网络安全态势感知标准化需求和现状 本章将对网络安全态势感知的标准化需求进行调研和分析,对国内外组织的网络安全态势感 知的标准化现状进行梳理。 在传统的网络安全防护体系建设中,更多 依靠的是单个设备的能力、强调的是单点防护, 缺少整体协同。网络安全态势感知系统基于多 源数据从整体上对网络中的安全风险进行识别 和预测,但其建设需要从不同数据源进行数据 采集,并与其它安全产品和系统进行联动,因 此存在较多需要定义的数据接口,包括前端采 集接口、数据分析接口、数据共享接口等。目 前各网络安全态势感知产品的开发厂商、各平 台建设单位缺乏统一的数据接口,给平台对接、 数据交换和威胁情报共享等增加了工作量、带 来了困难。此外,网络安全态势感知系统建设 单位在建设时由于没有统一的标准,导致对态 势感知的认识不到位,系统架构设计不合理, 在后期无法对系统能力进行扩展;导致态势感 1) 国外标准 ISO/IEC JTC1 ISO/IEC JTC1/SC27(信息 技术委员会 / 安全技术分委员会)开展了信息安全标准化工 作,制定了脆弱性的披露标准 ISO/IEC 29147 信息技术 安全技术 脆弱性披露(Information Technology - Security Techniques - Vulnerability Disclosure),用于实现脆弱性 相关信息的规范化发布。这可以作为基础类标 标准化需求 标准化现状 知功能模糊不清、能力参差不齐,无法真正实 现网络安全态势感知;导致前端采集源与平台、 平台内部高度融合,无法与其他优秀的前端采 集源、分析能力进行异构兼容。 随着发布网络安全态势感知产品厂商的增 多,以及各级网络安全态势感知系统的建设和 实践,需要有配套的网络安全态势感知标准来 对相关功能进行规范;对态势感知的评价体系 进行构建;对平台间数据采集、数据共享、协 同联动的接口进行统一,促进不同产品和平台 之间的互联互通,从而进一步增强网络安全态 势感知能力,最终形成国家的网络安全态势感 知能力。 准对网络安全态势感知系统进行业务上的支撑。 ITU-T ITU-T 的 SG17(安全研究组)负责安全 标准的制定,其中 Q4 关注网络空间安全,Q7 关注安全应用,Q8关注云计算和大数据安全。 Q4 制定了 X.1500-X.1599 网络安全信 息交换系列标准(Cybersecurity information exchange),包括 ITU-T 针对网络安全信 15 网络安全态势感知技术标准化白皮书2020 息制定了相关的交换标准,如X.1500网 络安全信息交换概述标准(Overview of Cybersecurity Information Exchange)、 X.1520通用漏洞和暴露风险(Common Vulnerabilities and Exposures)、X.1521通 用漏洞评分系统(Common Vulnerability Scoring System)、X.1524通用缺陷列表 (Common Weakness Enumeration)、 X.1525通用缺陷评分系统(Common Weakness Scoring System)、X.1526 用于漏洞的公开定义和系统状态评价的语 言(Language for the Open Definition of Vulnerabilities and for the Assessment of a System State)、X.1528通用平台列举 (Common Platform Enumeration)、X.1541 事件对象描述交换格式(Incident Object Description Exchange Format)、X.1544 常 见攻击模式枚举与分类(Common Attack Pattern Enumeration and Classification)、 X.1570网络安全信息交换发现机制 (Discovery Mechanisms in the Exchange of Cybersecurity Information)等。这些标 准可以用于网络安全态势的数据共享,也可以 作为基础标准支撑态势感知业务。 Q7 在 2017 年新立项了 X.tfss 运营 商提供的安全服务技术框架(Technical Framework for Security Services Provided by Operators),其中提及的网络安全态势感 知相关章节,可指导运营商提供网络安全态势 感知服务。 Q8 在 2019 年 新 立 项 了 X.nssacc 云计算网络安全态势感知平台要求 (Requirements of Network Security Situational Awareness Platform for Cloud Computing),主要针对云计算网络,从数据 采集、计算存储、分析、感知、可视化等方面 提出了态势感知平台基本功能要求。 OASIS OASIS(结构化信息标准促进组织, Organization for the Advancement of Structured Information Standards)是一个 推进电子商务标准的发展、融合与采纳的非盈 利性国际化组织。相比其他组织,OASIS在 形成了较多Web服务标准的同时也提出了面 向安全的标准,同时在针对公众领域和特定应 用市场的标准化方面也付出了很多的努力。 OASIS制定了结构化威胁信息表达 式 (Structured Threat Information eXpression,STIX)、情报信息的可信自 动化交换(Trusted Automated Exchange of Intelligence Information,TAXII)、 网络可观察表达式(Cyber Observable eXpression,CybOX)等标准,规范了用于 交换威胁情报的格式、语法和协议,可用于网 络安全态势感知系统对威胁情报数据的采集和 交换。 IETF 国际互联网工程任务组(The Internet 16 网络安全态势感知技术标准化白皮书 2020 Engineering Task Force,IETF) 的 主 要 任务是负责互联网相关技术标准的研发和制 定。在安全领域的安全事件轻量级交换工作 组,研究和制定了支持计算机和网络安全事 件管理的标准。已发布的RFC 7970安全 事件描述交换格式(版本 2)(Incident Object Description and Exchange Format Version 2,IODEF v2)、RFC8134管理 安全事件轻量级交换实现报告、RFC8274 安全事件描述和交换格式使用指南 (Incident Object Description Exchange Format Usage Guidance)、RFC 8600使 用 XMPP 协议进行安全信息交换(Using Extensible Messaging and Presence Protocol (XMPP) for Security Information Exchange)等系列标准定义了在不同计算机 安全事件响应小组之间交换信息安全事件可使 用的数据格式,可以用于指导网络安全态势感 知系统对安全事件的采集和交换。 NIST 美国国家标准与技术研究院(NIST) 在2017年发布了电力行业态势感知系统实 施指南 NIST SP 1800-7电力设施态势感 知 (Situational Awareness for Electric Utilities),该指南结合电力行业的实例给出了 态势感知系统的参考设计,有助于我们更好地 理解态势感知系统的功能、架构和解决方案, 对制定更为通用的态势感知系统技术要求类标 准具有很高的指导和参考价值。 美国国家标准技术研究所还曾发布NIST SP 800-150网络威胁信息共享指南(Guide to Cyber Threat Information Sharing),为 组织建立和参与网络威胁信息共享提供指导方 针,涉及了信息源的选择,威胁情报类型,数 据源的选择,威胁指标等内容,可为网络安全 态势感知系统进行数据共享提供有效指导。 2) 国内标准 TC260 全国信息安全标准化技术委员会(TC260) 开展过信息安全技术 网络安全态势感知通用 技术要求和信息安全技术 网络安全态势感 知数据规范两个标准研究项目,对网络安全 态势感知的总体框架、组成部分和各部分的要 求以及数据预处理进行了深入的研究并提出了 后续的标准化建议。基于这些研究结果和建议, TC260于2020年新立项了信息安全技术 网络安全态势感知通用技术要求、信息安 全技术 政务网络安全监测平台技术规范、信 息安全技术 网络安全信息报送与态势研判指 南、信息安全技术 网络安全信息共享指南 等与态势感知的总体框架和功能要求、行业应 用、安全决策、数据共享相关的标准制定项目 以及研究如何进行网络安全态势评价的信息 安全技术 网络安全态势感知评价指标标准研 究项目。 此 外,TC260 制 定 的 GB/T 20985.1- 2017信息安全事件管理 第1部分:事件管 理原理、GB/Z 20986-2007信息安全技 术 信息安全事件分类分级指南(目前修订中)、 GB/T 24363-2009信息安全应急响应计划 规范、GB/T 28458-2012信息安全技术 17 网络安全态势感知技术标准化白皮书2020 安全漏洞标识与描述规范、GB/T 28517- 2012网络安全事件描述和交换格式、GB/ T 30276-2013信息安全技术 信息安全漏洞 管理规范、GB/T 30279-2013信息安全 技术 安全漏洞等级划分指南(该标准正在修 订,目前处于报批稿状态,且标准名称更改为 信息安全技术 网络安全漏洞分类分级指南)、 GB/T 32924-2016信息安全技术 网络安全 预警指南、GB/T 33561-2017信息安全 技术 安全漏洞分类、GB/T 36643-2018信 息安全技术 网络安全威胁信息格式规范、 GB/T 37027-2018信息安全技术 网络攻击 定义及描述规范、信息技术 安全技术 信 息安全事件管理 第 2 部分:事件响应规划和准 备指南(在研)等标准可以用于指导网络安 全态势感知系统中的态势评估、共享交换、应 急管理等过程。 TC28 全国信息技术标准化技术委员会(TC28) 信标委的工作范围是信息技术领域的标准化, 涉及信息采集、处理、传输、交换、描述、管理、 组织、存储、检索等的标准化工作,其制定的 GB/T 37722-2019信息技术 大数据存储与 处理系统功能要求和GB/T 38676-2020信 息技
展开阅读全文