基础电信企业网络安全态势感知系统建设指南
网络安全态势感知系统对网络中的网络流量、网络设备、安全设备以及主机日志进行信息收集,通过统计分析数据挖掘等方法,对网络中的安全态势进行感知和告警。网络安全态势感知系统可提升应对安全风险的能力,为保障基础电信企业网络安全,制定本指南
本指南可应用于网络安全态势感知系统的设计、开发及考核
1 网络安全态势感知系统功能要求
1.1 数据管理要求
1.1.1 数据采集
1.1.1.1 采集能力
a)具有采集基础电信企业IT资产日志的能力,采集范围应仅包含场景需求所需要的特定IT资产日志;
b)具有接收外部文档、流量等数据导入的能力
c)具备基于不同采集策略,实现对采集源、规则、输出目标等方面的管理能力。
1.1.1.2 采集方式
a)具备主动和被动两种采集方式;
b)主动采集:支持采集节点通过Ftp/Sftp、Kafka、file、JDBC/ODBC等协议主动采集数据;
c)被动采集:支持采集节点通过Syslog等协议被动接收数据。
1.1.1.3 数据源类型
a)支持对不同类型数据源的采集,并对数据源进行增加、删除和修改等管理;
b)日志数据的类型应包括但不限于以下几种:主机日志、网络设备日志、安全设备日志等;
c)外部导入数据的类型可包括但不限于以下一种或多种:漏洞库、恶意IP库、恶意域名库、文件HASH库、流量。
1.1.2 数据处理
1.1.2.1 元数据模型
a)安全事件元数据信息应包含事件特征、事件来源、事件等级、发现时间等;
b)安全事件元数据信息应包含可以手动确认安全事件有效性状态标记属性,状态应至少包含:未确认,已确认。
1.1.2.2 数据预处理
数据处理预处理应对采集到的数据进行标准化、归并去重等处理
1.1.2.3 数据挖掘
a)通过数据挖掘技术对不同类型的数据进行模型化分析;
b)支持包括但不限于聚类分析、关联分析、决策树分析、回归分析等常用分析算法
1.1.2.4 数据搜索
a)具备对已采集的日志数据进行快速检索的能力;
b)支持一种或多种关键字的组合查询检索方法
c)具备对搜索结果进行表格展示分类统计,具备结果可视化能力;
d)具备多个筛选条件输入的数据检索能力;
e)具备数据检索条件保存、最近查询条件自动记录的能力。
1.1.3 数据存储
a)具备结构化数据的存储能力,可支持半结构化数据和非结构化数据的存储;
b)支持将数据采集层和数据处理层获取的数据进行存储;
c)支持系统安全分析规则策略、名单进行存储;
d)支持对资产数据、用户信息数据进行存储;
e)支持威胁情报库、地理信息库等数据的存储;
1.2 安全态势分析要求
1.2.1 场景分析能力
场景分析能力应包括实时计算分析能力和离线计算分析能力。实时计算分析能力基于实时计算框架,通过丰富的API调用和高速的内存执行操作,实现数据的实时处理,满足时效性要求。离线计算分析能力基于HADOOP等成熟的大数据计算框架,利用其高性能组件实现对全量数据的分析处理和持久化存储。
分析场景应支持但不仅限于以下两种或多种:网络威胁分析、系统安全分析、用户行为分析、资产脆弱性分析等,可根据应用场景不同进行自定义。
1.2.1.1 网络威胁分析
应支持以同一来源事件、同类事件、影响的同一目标,对网络攻击进行灵活归并,在此基础上对网络中攻击的整体情况进行统计和分析,输出明确的告警信息和网络威胁态势信息。网络威胁分析主要包括网络攻击和异常流量检测:
a)网络攻击应包括但不限于以下一种或多种:密码猜测攻击、WEB攻击、恶意扫描、恶意程序、Webshell检测、WEB异常访问分析、DNS异常检测等;
b)异常流量检测应包括但不限于以下一种或多种:DOS/DDOS攻击、其它异常流量攻击等;
c)数据来源:安全设备日志、服务器日志
1.2.1.2 系统安全分析
能对访问IT资产和业务系统的企业内部终端操作用户,所使用的终端设备安全状况分析,包括终端基础信息、安全状态等。系统安全分析主要包括系统攻击分析和脆弱性分析:
a)系统攻击分析应包括但不限于以下一种或多种:日志破坏检测、系统提权检测、错误日志检测等;
b)脆弱性分析应包括但不限于以下一种或多种:漏洞利用分析、配置合规分析、弱口令分析等;
c)数据来源:安全设备日志、主机日志、系统扫描结果
1.2.1.3 用户行为分析
能对访问IT资产和业务系统的企业内部用户,所进行的运维或业务操作进行风险行为分析,利用分析模型展示内部操作用户行为画像、体画像特性、以及账户本身的安全性等。用户行为分析主要包括用户异常行为分析和用户画像:
a)用户异常行为分析应包括但不限于以下一种或多种:批量业务办理、已过期账户登录、账号权限变更、只查询不办理等;
b)用户画像应该包括但不限于以下一种:个体特征画像、体特征画像等;
c)数据来源:4A日志、业务系统操作日志
1.2.1.4 安全威胁情报分析
应能利用各种类型的威胁情报,识别出潜在的外部攻击行为,并对相应的IT资产和漏洞进行分析。安全威胁情报分析主要包括外部攻击识别、漏洞情报分析、历史攻击回溯、内部高风险网络行为分析。
a)数据来源:安全设备告警日志、WEB访问日志、流量数据、IP情报数据、漏洞情报数据、C&C服务器威胁情报数据
1.2.2 安全态势告警
应建立完整的安全态势告警和处置流程,至少包括生成、审核、派单、处理、关闭等步骤。告警由安全态势系统分析产生,由安全告警监控人员在本系统内进行告警的处理。告警处理包括告警的清除、确认以及工单派发。安全告警监控人员在本系统中进行告警的确认或清除,由安全监控人员在本系统内进行告警工单派发。
1.3 可视化展示要求
a)系统应支持安全态势总览,可视化展示安全态势总体状态,包括以下一种或多种内容:资产安全状态、漏洞状态、攻击状态、事件发生和处置状态、业务访问行为状态、趋势预测状态等;
b)系统支持以资产、漏洞、攻击、事件等为维度自定义过滤条件,并对过滤后数据进行列表或图形展示;
c)电信查流量应采用多样化的视图展示形式,展示不同维度的安全态势细节,包括但不限于以下几种:趋势图、地理信息图、柱状图、散点图等。
2 网络安全态势感知系统安全要求
2.1 安全功能要求
2.1.1 身份鉴别
a)应对数据采集终端或导入服务组件实施身份鉴别;
b)应对数据导出的终端或者导出服务组件实施身份鉴别;
c)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
d)应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现;
e)应确保用户初次登录口令的唯一性
f)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;