网络安全态势感知技术标准化白皮书2020年版
背景
随着信息化建设规模扩大,安全架构日趋复杂,安全设备、数据增多,安全运维压力加大。新型威胁(如APT攻击)兴起,合规要求提高,组织需要利用更多安全数据进行分析检测,应对高级威胁。独立的安全防护体系难以应对复杂安全环境,单点检测能力受限,安全问题频发。
典型模型与系统架构
- 典型模型:介绍了Endsley、JDL和Tim Bass三个经典模型,为网络安全态势感知理论和技术发展提供参考。
- 系统架构:提出了网络安全态势感知系统架构,包括前端数据源(流量探针、服务器探针、监测平台等)、核心态势感知(数据采集、处理、存储、分析、监测预警、数据展示、数据服务接口、系统资源管理)和影响态势感知的要素(人工辅助、应急处置、安全决策、数据共享)。
标准化需求和现状
- 标准化需求:由于缺乏标准和统一接口,导致态势感知系统建设无序,能力参差不齐,数据对接、威胁情报共享困难。
- 标准化现状:国外标准如ISO/IEC JTC1、ITU-T、OASIS、IETF、NIST等制定了相关标准;国内标准如TC260、TC28、CCSA、公共安全行业标准等也开展了相关标准研究制定。
网络安全态势感知标准架构
- 总体框架标准:规范术语定义、安全体系架构和基本安全要求。
- 前端数据源类标准:规范各类前端数据源的功能和输出格式。
- 数据标准:包括数据处理标准、数据存储标准和数据服务接口标准。
- 应用标准:包括安全功能类标准、态势指标体系类标准和网络安全可视化要素类标准。
- 数据共享标准:规范网络安全态势感知平台共享的数据格式和接口。
- 业务支撑标准:包括基础标准(元数据、漏洞、威胁、安全事件)和管理标准(通报预警、应急响应、安全保卫、威胁处置)。
标准化工作建议
- 统筹规划网络安全态势感知标准。
- 加快开展亟需标准的制定进程。
- 积极推进态势感知标准的应用。
行业案例
- 政务行业:面临网络复杂难监管、安全保障能力参差不齐、业务众多易遭受攻击、内部资产难以摸清等风险,建设需求包括数据采集、信息转化、知识发现、智慧形成等,标准现状有一定基础,但需完善数据交换、服务规范等方面。
- 网络运营服务行业:面临网络安全环境变化、防御体系不协调、数据泄漏等挑战,建设需求包括政策合规、运维、决策、增值等方面,标准现状缺乏完备的标准体系,需统一建设标准,打通数据孤岛。
- 汽车行业:面临系统分散、工控设备漏洞修复困难、缺乏统一安全管理平台等风险,建设需求包括覆盖全生命周期的感知能力,标准现状缺乏针对性标准,需制定通用标准、行业标准、术语标准和评价标准。
已发布及在研的标准
附录B列出了与网络安全态势感知相关的已发布及在研标准,包括总体框架标准、前端数据源类标准、数据标准、应用标准、数据共享标准和业务支撑标准。
