基础电信企业网络安全态势感知系统建设指南网络安全态势感知系统对网络中的网络流量、网络设备、安全设备以及主机日志进行信息收集,通过统计分析和数据挖掘等方法,对网络中的安全态势进行感知和告警
网络安全态势感知系统可提升应对安全风险的能力,为保障基础电信企业网络安全,制定本指南
本指南可应用于网络安全态势感知系统的设计、开发及考核
1 网络安全态势感知系统功能要求1
1数据管理要求1
1数据采集1
1 采集能力a)具有采集基础电信企业 IT 资产日志的能力,采集范围应仅包含场景需求所需要的特定 IT 资产日志;b)具有接收外部文档、流量等数据导入的能力;c)具备基于不同采集策略,实现对采集源、规则、输出目标等方面的管理能力
2 采集方式a)具备主动和被动两种采集方式;b)主动米集:支持米集节点通过 Ftp/Sftp、Kafka、file、JDBC/ODBC 等协议主动米集数据;c)被动米集:支持米集节点通过 Syslog 等协议被动接收数据
3 数据源类型a)支持对不同类型数据源的米集,并对数据源进行增加、删除和修改等管理;b)日志数据的类型应包括但不限于以下几种:主机日志、网络设备日志、安全设备日志等;c)外部导入数据的类型可包括但不限于以下一种或多种:漏洞库、恶意 IP 库、恶意域名库、文件 HASH 库、流量
2数据处理1
1 元数据模型a)安全事件元数据信息应包含事件特征、事件来源、事件等级、发现时间等;b)安全事件元数据信息应包含可以手动确认安全事件有效性状态标记属性,状态应至少包含:未确认,已确认
2 数据预处理数据处理预处理应对采集到的数据进行标准化、归并去重等处理
3 数据挖掘a) 可通过数据挖掘技术对不同类型的数据进行模型化分析;b) 支持包括但不限于聚类分析、关联分析、决策树分析、回归
