【儀表網 行業(yè)標準】近日，由北京賽西科技發(fā)展有限責任公司 、公安部第三研究所 、中國移動通信集團有限公司 、深信服科技股份有限公司等單位起草， TC260(全國信息安全標準化技術委員會)歸口的國家標準計劃《信息安全技術 網絡安全產品互聯互通框架》征求意見稿已編制完成，現公開征求意見。
 

　　智能化、自動化的協(xié)同防護能力建設依賴于不同網絡安全產品的互聯互通。然而，當前我國網絡安全產品互聯互通仍在起步階段。一方面，安全廠商產品類型復雜、不同產品的數據融合難、實現差異明顯。大量研發(fā)成本用于實現不同安全廠商、安全產品之間的適配，同質化競爭嚴重，技術創(chuàng)新投入不足，創(chuàng)新能力有待提高，長期來看影響網絡安全產業(yè)做大做強。另一方面，政務、電信、金融等行業(yè)用戶單位通過研制數據、安全功能相關標準，研發(fā)定制化產品和安全管理平臺等方式，初步實現在特定業(yè)務場景下的網絡安全產品互聯互通，但由于缺少統(tǒng)一技術框架和配套標準規(guī)范，用戶單位網絡安全產品互聯互通工作改造成本高、效果不明顯，難以形成規(guī)模化、可復制的應用推廣經驗?；诖?，急需出臺統(tǒng)一技術框架指導相關工作開展。
 

　　本文件擬提出統(tǒng)一的互聯互通功能和互聯互通信息框架，指導廠商、用戶單位等開展網絡安全產品互聯互通建設工作，解決當前互聯互通建設成本高，應用范圍僅限于特定業(yè)務場景，難以復制推廣的問題。
 

　　本文件按照GB/T 1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。
 

　　本文件給出了網絡安全產品互聯互通框架，包括互聯互通功能和互聯互通信息。本文件適用于指導網絡安全產品互聯互通的設計、開發(fā)和應用。
 

　　識別功能：
 

　　識別功能通過對軟硬件、數據、網絡等信息的采集與分析，識別潛在的網絡安全風險。識別功能主要包括：
 

　　a) 資產識別：檢查、發(fā)現網絡、軟硬件和數據等資產，形成資產信息；
 

　　b) 脆弱性識別：發(fā)現已識別資產中可能存在的脆弱性，包括漏洞掃描、代碼審計、配置核查等，形成脆弱性信息；
 

　　c) 威脅識別：通過分析網絡流量、安全日志、威脅情報等，識別威脅，形成威脅信息；
 

　　d) 網絡流量采集：通過流量鏡像等方式，獲取并記錄網絡行為，形成行為信息；
 

　　e) 終端信息采集：對終端進程、流量特征、文件等信息進行采集，獲取并記錄終端行為，形成行為信息。
 

　　防護功能：
 

　　防護功能通過實施防護措施，防范網絡安全風險。防護功能主要包括：
 

　　a) 身份管理與鑒別：標識和鑒別軟硬件、數據、網絡等訪問者身份合法性的過程，形成行為信息，對于存在非授權訪問的情況，還應形成告警信息；
 

　　b) 網絡訪問控制：按照網絡訪問控制策略對訪問行為進行阻斷或授權，形成行為信息，當發(fā)生阻斷時，還應形成告警信息；
 

　　c) 網絡入侵防御：通過協(xié)議解碼、內容檢測、規(guī)則匹配及威脅情報分析等技術手段，檢測和阻斷網絡入侵行為，形成行為信息、告警信息；
 

　　d) 網絡隔離交換：通過終止網絡連接、分離網絡協(xié)議等方式，將數據以專有數據塊的形式在不同網絡間進行擺渡，實現網絡隔離環(huán)境下數據交換的過程，形成行為信息、告警信息；
 

　　e) 網絡行為控制：通過行為模式識別、規(guī)則匹配等方式分析網絡行為，進行隔離、過濾、放行等操作，形成行為信息、告警信息；
 

　　f) 網絡流量控制：基于流量控制策略對網絡流量進行監(jiān)測、分類、整形、帶寬限速、帶寬保障等操作，優(yōu)化帶寬資源使用，避免網絡擁塞，形成行為信息、告警信息；
 

　　g) 拒絕服務攻擊防護：通過 TCP 代理、源 IP 驗證等方式，發(fā)現網絡流量的拒絕服務攻擊行為，對匹配抗拒絕服務策略的網絡流量進行阻斷，形成行為信息、告警信息；
 

　　h) 數據庫防護：通過數據庫審計等方式，發(fā)現并阻斷針對數據庫系統(tǒng)的攻擊，形成行為信息、告警信息；
 

　　i) 惡意代碼防范：通過漏洞掃描、注冊表查找等方式，檢測發(fā)現僵尸、木馬、蠕蟲等惡意代碼，并對其進行清除或隔離等操作，形成行為信息、告警信息；
 

　　j) 應用安全防護：分析 Web 應用、主機設備等的訪問流量，實現 Web 應用攻擊防護、非授權訪問防護、惡意代碼防護、郵件安全防護、網頁防篡改等功能，形成行為信息、告警信息；
 

　　k) 終端訪問控制：通過終端訪問控制規(guī)則對終端操作和訪問行為進行管控，形成行為信息、告警信息。終端操作和訪問行為包括且不限于網絡訪問、文件訪問、系統(tǒng)指令訪問、進程創(chuàng)建、移動存儲介質訪問、辦公設備訪問等；
 

　　l) 終端入侵防護：通過獲取終端行為、系統(tǒng)日志或其他終端上的信息，發(fā)現違反安全策略的行為并加以阻斷，形成行為信息、告警信息；
 

　　m) 終端防病毒：在終端設備上實現的惡意代碼防范功能，形成行為信息、告警信息；
 

　　n) 終端行為控制：依據訪問控制規(guī)則對終端操作和訪問行為進行控制，終端操作和訪問行為包括但不限于網絡訪問、文件訪問、系統(tǒng)指令訪問、進程創(chuàng)建、移動存儲介質訪問、辦公設備訪問等，形成行為信息、告警信息。
 

　　監(jiān)測功能：
 

　　監(jiān)測功能通過持續(xù)監(jiān)測目標網絡與系統(tǒng)，發(fā)現網絡安全事件并觸發(fā)預警或響應。監(jiān)測功能主要包括：
 

　　a) 入侵檢測：通過嗅探網絡流量、行為、安全日志及其他相關信息，分析計算終端和網絡資源的惡意使用行為，包括但不限于入侵行為、非授權訪問等，形成行為信息、告警信息，處理后形成事件信息；
 

　　b) 高級持續(xù)性威脅(APT)檢測：通過技術手段檢測或監(jiān)視高級持續(xù)性威脅，包括但不限于未知惡意代碼檢測、嵌套式攻擊檢測、木馬蠕蟲病毒檢測、隱蔽信道檢測等，形成行為信息、告警信息，處理后形成事件信息；
 

　　c) 終端安全檢測：對受保護終端的終端進程、流量特征、文件、系統(tǒng)性能等進行監(jiān)測，發(fā)現安全風險，形成行為信息、告警信息，處理后形成事件信息；
 

　　d) 域名解析安全監(jiān)測：對域名系統(tǒng)(Domain Name System，DNS)節(jié)點上的流量進行監(jiān)測，發(fā)現因拒絕服務攻擊等造成的域名異常，形成行為信息、告警信息，處理后形成事件信息；
 

　　e) 用戶與實體行為監(jiān)測：采用規(guī)則匹配、安全基線、機器學習等方式，監(jiān)測、分析用戶與實體的異常行為，形成行為信息、告警信息，處理后形成事件信息；
 

　　f) 網絡行為監(jiān)測：監(jiān)控網絡流量，采用深度檢測等技術發(fā)現因拒絕服務攻擊、惡意程序等造成的網絡異常行為，形成行為信息或告警信息，處理后形成事件信息；
 

　　g) 互聯網信息監(jiān)測：通過互聯網信息采集技術、智能處理技術等對互聯網信息進行匯集、分類、整合、篩選，實現對互聯網信息收集與整理。形成行為信息、告警信息，處理后形成事件信息；
 

　　h) 安全審計：記錄并存儲網絡、軟硬件及其組件的活動，產生各類審計日志，包括但不限于主機審計日志、網絡審計日志、數據庫審計日志、應用審計日志、運維審計日志等，形成行為信息、告警信息、威脅信息，處理后形成事件信息。
 

　　處置功能：
 

　　處置功能是發(fā)現網絡安全事件、安全威脅等情況時，通過相應的響應手段應對網絡安全風險，減緩網絡安全事件帶來的影響。處置功能主要包括：
 

　　a) 事件自動化處置：通過漏洞加固、封堵 IP、自動化編排等方式，對安全分析結果進行自動化應用、聯動處置；
 

　　b) 攻擊抑制：采用病毒查殺、進程終止、蜜罐誘捕等方式，對攻擊流量和可疑行為進行阻斷、限制；
 

　　c) 備份恢復：基于已備份的信息，實現對業(yè)務系統(tǒng)數據和功能的恢復；
 

　　d) 通報預警：對監(jiān)測過程中獲取的行為信息、脆弱性信息、事件信息、威脅信息等在一定范圍內進行預警或告知，形成告警信息和威脅信息；
 

　　e) 攻擊溯源：通過對攻擊信息片段進行綜合分析和場景還原，重構攻擊者的攻擊路徑、攻擊手法、攻擊意圖等，形成事件信息。
 

　　詳情請見附件。