基础电信企业网络安全态势感知系统建设指南网络安全态势感知系统对网络中的网络流量、网络设备、安全设备以及主机日志进行信息收集,通过统计分析和数据挖掘等方法,对网络中的安全态势进行感知和告警。网络安全态势感知系统可提升应对安全风险的能力,为保障基础电信企业网络安全,制定本指南。本指南可应用于网络安全态势感知系统的设计、开发及考核。1 网络安全态势感知系统功能要求1.1数据管理要求1.1.1数据采集1.1.1.1 采集能力a)具有采集基础电信企业 IT 资产日志的能力,采集范围应仅包含场景需求所需要的特定 IT 资产日志;b)具有接收外部文档、流量等数据导入的能力;c)具备基于不同采集策略,实现对采集源、规则、输出目标等方面的管理能力。1.1.1.2 采集方式a)具备主动和被动两种采集方式;b)主动米集:支持米集节点通过 Ftp/Sftp、Kafka、file、JDBC/ODBC 等协议主动米集数据;c)被动米集:支持米集节点通过 Syslog 等协议被动接收数据。1.1.1.3 数据源类型a)支持对不同类型数据源的米集,并对数据源进行增加、删除和修改等管理;b)日志数据的类型应包括但不限于以下几种:主机日志、网络设备日志、安全设备日志等;c)外部导入数据的类型可包括但不限于以下一种或多种:漏洞库、恶意 IP 库、恶意域名库、文件 HASH 库、流量。1.1.2数据处理1.1.2.1 元数据模型a)安全事件元数据信息应包含事件特征、事件来源、事件等级、发现时间等;b)安全事件元数据信息应包含可以手动确认安全事件有效性状态标记属性,状态应至少包含:未确认,已确认。1.1.2.2 数据预处理数据处理预处理应对采集到的数据进行标准化、归并去重等处理。1.1.2.3 数据挖掘a) 可通过数据挖掘技术对不同类型的数据进行模型化分析;b) 支持包括但不限于聚类分析、关联分析、决策树分析、回归分析等常用分析算法。1.1.2.4 数据搜索a)具备对已采集的日志数据进行快速检索的能力;b)支持一种或多种关键字的组合查询检索方法;c)具备对搜索结果进行表格展示和分类统计,具备结果可视化能力;d)具备多个筛选条件输入的数据检索能力;e)具备数据检索条件保存、最近查询条件自动记录的能力。1.1.3数据存储a)具备结构化数据的存储能力,可支持半结构化数据和非结构化数据的存储;b)支持将数据采集层和数据处理层获取的数据进行存储;c)支持对系统安全分析规则策略、名单进行存储;d)支持对资产数据、用户信息数据进行存储;e)支持威胁情报库、地理信息库等数...