态势感知平台国标通用要求

GB/T&nbsp;25069——2022界定的以及下列术语和定义适用于本文件。<br>

3.1威胁threat<br>可能对系统或组织造成危害的不期望事件的潜在因素。[来源:GB/T&nbsp;25069——2022,3.628]<br>

3.2威胁信息threat&nbsp;information<br>基于证据的知识,用于描述现有或可能出现的威胁,从而实现对威胁的响应和预防。<br>注:威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。[来源:GB/T&nbsp;36643——2018,3.3,有修改]<br>

3.3网络安全态势感知network&nbsp;security&nbsp;situation&nbsp;awareness<br>通过采集网络流量、资产信息、日志、漏洞信息﹑、告警信息﹑威胁信息等数据,分析和处理网络行为及用户行为等因素,<br>掌握网络安全状态,预测网络安全趋势,并进行展示和监测预警的活动。<br>

3.4前端数据源front-end&nbsp;data&nbsp;source<br>向网络安全态势感知核心组件提供数据的软硬件。

3.5画像profiling<br>针对某类对象,在多维度上构建其描述性标签属性,并利用这些标签属性,分析对象多方面的特征,抽象概括其全貌的过程。<br>

3.6预警warning<br>针对即将或正在发生的网络安全事件或威胁,提前或及时发出的警示。[来源:GB/T&nbsp;25069——2022,3.739]

网络安全态势感知技术框架主要包括前端数据源、核心组件和其他要素三部分。<br>其中网络安全态势感知的核心组件是实现网络安全态势感知能力的重要技术手段,表现形式可为产品,系统或平台,也可以是不同的功能组件;<br>实现网络安全态势感知也依赖于应急处置、安全决策、数据共享等其他要素。<br><br>为能更好地进行网络安全态势感知,<b>前端数据源</b>需能覆盖网络安全态势感知范围内的<b>通信网络,区域边界和计算环境</b>。<br><font color="#000000">本文件规定了网络安全态势感知技术框架中</font><font color="#e74f4c">核心组件的通用技术要求,不包括技术框架中相对独立的前端数据源和其他要素的要求</font>。<br>依据通用性并保证网络安全态势感知功能完整性原则,本文件所指的网络安全态势感知<font color="#000000"><b>核心组件由</b></font><font color="#e74f4c"><b>数据汇聚﹑数据分析,态势展示、监测预警﹑数据服务接口﹑系统管理等构成</b></font>,见图l,其中虚线框不在本文件规定的技术要求中。数据汇聚组件依据业务需求从相应的前端数据源采集数据,经过筛选、转换、补全.标记等预处理后进行存储,用于后续的数据分析;<font color="#e74f4c">数据分析组件基于不同的数据分析模型通过数据服务接口调用相关数据</font>,进行<b>网络攻击分析、资产风险分析、异常行为分析和安全事件分析</b>;根据应用场景不同,态势展示组件可通过数据服务接口调用相关数据进行多维度评估和展示,包括<b>整体态势展示,专题态势展示和态势报告</b>﹔监测预警组件支持<font color="#e74f4c">基于设定的监测策略和预警规则进行预警</font>,便于后续的应急处置、安全决策等;此外,为方便用户接入不同类型的前端数据、更好地使用多样化的分析模型,该技术框架将数据采集、交换、分析和应用等数据处理活动充分解耦,通过数据服务接口组件,进行前端数据源、内部不同模块以及其他外部系统的数据交互,包括了数据交换接口,数据分析接口,联动处置接口等;数据服务接口也便于与其他系统进行数据共享。系统管理组件主要进行策略管理﹑预处理规则管理、分析模型管理、资产管理、安全事件管理和威胁信息管理。<br>

数据汇聚要求

数据分析要求

态势展示要求

监测预警要求

数据服务接口要求

系统管理要求