網絡安全監測基本要求與實施指南
本文件規定了網絡安全監測的基本要求,給出了網絡安全監測框架和實施指南。適用于系統或網絡安全監測的實施,網絡安全監測產品的設計開發,網絡安全監測服務的提供等。
網絡安全監測:通過對網絡和安全設備日志、系統運行數據等信息進行實時采集,以關聯分析等方式對監測對象進行風險識別、威脅發現、安全事件實時告警及可視化展示。
安全策略:用于治理組織及其系統內在安全上如何管理、保護和分發資產(包括敏感信息)的一組規則、指導和實踐,特別是那些對系統安全及相關元素具有影響的資產。
網絡安全監測基本要求與實施指南
網絡安全監測通過對網絡或系統的基礎環境以一定的接口方式采集日志等相關
數據,關聯分析并識別發現安全事件和威脅風險,進行可視化展示和告警,并存儲產生的數據,從而掌握整體網絡安全態勢。
網絡安全監測主要由監測對象、監測活動兩部分組成。監測對象,為網絡安全監測過程與活動提供數據源,主要包括物理環境、通信環境、區域邊界、計算存儲環境、安全環境。
監測活動,是網絡安全監測行為的要素與流程,通過數據分析的方法識別與發現信息安全問題與狀況,包括以下環節 :
a)接口連接:實現與監測對象或監測數據源的連通和數據交互,接口類型主要有網絡協議接口、數據庫訪問接口、文件接口、代理組件等;
b)采集:獲取監測對象的數據,并將采集到的源數據轉化為標準格式數據,為分析提供數據支持,采集數據主要包括流數據與包數據、日志數據與性能數據、威脅數據、策略數據與配置數據及其他數據等;
c)存儲:對網絡安全監測過程中的數據分類存儲,數據類型包括結構化、非結構化或半結構化;
d)分析:對采集或存儲數據按照一定規則或模型進行處理,發現安全事件,識別安全風險,分析的內容主要有信息安全事件分析、運行狀態分析、威脅分析、策略與配置分析等;
e)展示與告警:對分析的結果進行實時可視化展示,并按重要級別發布告警。
