网络安全技术 网络安全运维实施指南

GB/TXXXXX—XXXX 网络安全技术网络安全运维实施指南 Cybersecurity technology-Implementation guide of cybersecurity operation andmaintenance （征求意见稿） 2024-04-15 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 目次 前言.................................................................................II1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................15概述...............................................................................2网络安全运维参考框架...........................................................2网络安全运维模式...............................................................3网络安全运维目标...............................................................36网络安全运维具备的条件.............................................................3网络安全运维提供方.............................................................3网络安全运维人员...............................................................37网络安全运维业务建立...............................................................4网络安全运维实施内容...........................................................4网络安全运维业务建立过程.......................................................68网络安全运维实施...................................................................7运维管理.......................................................................7识别...........................................................................7防御...........................................................................9监测..........................................................................11响应..........................................................................13协同..........................................................................159网络安全运维效果评估模型..........................................................16评估模型......................................................................16评估内容......................................................................17评估过程......................................................................18评估方法......................................................................18持续改进......................................................................20附录A（资料性）网络安全运维中心建设................................................21参考文献.............................................................................30 前言 本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国信息安全测评中心、杭州安恒信息技术股份有限公司、国家信息中心、绿盟科技集团股份有限公司、北京长亭科技有限公司、奇安信科技集团股份有限公司、北京梆梆安全科技有限公司、中国信息通信研究院、北京天融信网络安全技术有限公司、三六零数字安全科技集团有限公司、清华大学、深信服科技股份有限公司、中国联合网络通信集团有限公司、中国科学院信息工程研究所、广州中软信息技术有限公司、新长城科技有限公司、上交所技术有限责任公司、杭州迪普科技股份有限公司、北京知其安科技有限公司、国网网安（北京）科技有限公司、上海三零卫士信息安全有限公司、中福彩科技发展（北京）有限公司、罗克佳华科技集团股份有限公司、安天科技集团股份有限公司、华能信息技术有限公司、北京威努特技术有限公司、北京升鑫网络科技有限公司、北京赛西科技发展有限责任公司、深圳市博通智能技术有限公司、北京灰度科技有限公司、天翼云科技有限公司、广东网安科技有限公司、宁波和利时信息安全研究院有限公司、黑龙江安信与诚科技开发有限公司。 本文件主要起草人：王琰、杨婧婧、袁明坤、陈星、田丽丹、刘蓓、杨莹、杨家海、曹嘉、李昀磊、许玉娜、陈祥喜、方宁、代杭旅、耿贵宁、杨坤、张龙、马玉、云瀚、卫世光、申东胜、田宝松、房慧丽、刘吉林、聂君、王喜伟、刘彪、周凯、谢美程、郭建林、王馨茹、潘中英、周森、白峻、程度、卢志刚、周灵军、吕丰丰、辛晨、魏书山、崔馨、杨亮。 网络安全技术网络安全运维实施指南 1范围 本文件提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评估模型，给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容。 本文件适用于网络安全运维提供方、网络安全运维需求方。可为网络安全运维的实施提供指导，也可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20984信息安全技术信息安全风险评估规范GB/T 20986-2023信息安全技术网络安全事件分类分级指南GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 25069-2022信息安全技术术语GB/T 28827.3-2012信息技术服务运行维护第3部分：应急响应规范GB/T 32914-2023信息安全技术网络安全服务能力要求GB/T 42446信息安全技术网络安全从业人员能力基本要求GB/T 42461信息安全技术网络安全服务成本度量指南 3术语和定义 GB/T 25069-2022界定的以及下列术语和定义适用于本文件。 组织为抵御网络空间安全威胁，控制网络安全风险，确保业务持续、稳定运行，保证业务承载数据的保密性、完整性和可用性，统筹技术、流程、人员和管理等要素，持续开展识别、防御、监测、响应、协同等工作的一种网络安全服务方式。 [来源：GB/T 30283-2022，3.10有修改] 4缩略语 下列缩略语适用于本文件：DDOS：分布式拒绝服务攻击（distributed denial of service attack）DNS：域名系统（domain name system）IT：信息技术（information technology）MSS：托管安全服务（managed security service） SaaS：软件即服务（Software as a Service）SLA：服务级别协议（service level agreement）SOC：网络安全运维中心(security operations center) 5概述 网络安全运维参考框架 网络安全运维包括运维管理、识别、防御、监测、响应和协同六个环节。运维管理对网络安全运维的整体活动进行管理和规划，考虑组织网络安全长期改进和投入需要做出的决策，提出网络安全运维整体方案。运维管理、识别、防御和监测四个环节是针对网络安全风险防范的常态化持续性工作，在整个网络安全运维活动中是一个长循环过程。同时，识别、防御、监测和响应这四个环节又是针对网络安全事件处置的应急性工作，在整个网络安全运维活动中是一个相对较短的循环过程。协同包括了组织内外部的协调与协作，目的是提高组织的安全运维的效能与防护水平。网络安全运维的模式、内容需与运维需求方协商一致，并在网络安全运维过程中，基于服务级别协议（SLA）和运维实际效果进行评估，评估的结果用于进一步改进网络安全运维的管理和实施水平。 网络安全运维活动存在长循环、短循环两种工作方式。在短循环内分配的资源（人员、预算、系统、跨部门、外部第三方）内，需要持续改进以解决安全响应与处置的业务过程中出现的问题。例如，任务的简单自动化，用于事件或数据分析平台工具的改进，以及报告事项的审查等。而长循环需要从长期的观点和规划角度来考虑持续改进网络安全事件的发现、响应与处置的效能，例如，引入新的安全产品、对安全策略的审查以及针对安全系统进行的大规模配置更改与升级。针对网络安全运维效果的评估既是长循环的驱动力，也是短循环的驱动力。 网络安全运维参考框架如图1所示。 网络安全运维模式 网络安全运维模式主要包括以下三类： a)全自建网络安全运维模式。对安全性和数据保护的要求较高，具备足够的安全资源投入，能够持续有效网络安全运维的网络安全运维需求方，选择自主建设安全运维中心。此类组织、机构和设施具备完善的安全运维人员配置、管理机制和人才培养机制，自主建立安全运维中心（SOC），整合安全防护技术、安全运维工具与平台和人员等要素，建立网络安全监测、分析、处置、应急等网络安全运维流程；b