网络安全监测基本要求与实施指南
本文件规定了网络安全监测的基本要求,给出了网络安全监测框架和实施指南。适用于系统或网络安全监测的实施,网络安全监测产品的设计开发,网络安全监测服务的提供等。
网络安全监测:通过对网络和安全设备日志、系统运行数据等信息进行实时采集,以关联分析等方式对监测对象进行风险识别、威胁发现、安全事件实时告警及可视化展示。
安全策略:用于治理组织及其系统内在安全上如何管理、保护和分发资产(包括敏感信息)的一组规则、指导和实践,特别是那些对系统安全及相关元素具有影响的资产。
网络安全监测基本要求与实施指南
网络安全监测通过对网络或系统的基础环境以一定的接口方式采集日志等相关
数据,关联分析并识别发现安全事件和威胁风险,进行可视化展示和告警,并存储产生的数据,从而掌握整体网络安全态势。
网络安全监测主要由监测对象、监测活动两部分组成。监测对象,为网络安全监测过程与活动提供数据源,主要包括物理环境、通信环境、区域边界、计算存储环境、安全环境。
监测活动,是网络安全监测行为的要素与流程,通过数据分析的方法识别与发现信息安全问题与状况,包括以下环节 :
a)接口连接:实现与监测对象或监测数据源的连通和数据交互,接口类型主要有网络协议接口、数据库访问接口、文件接口、代理组件等;
b)采集:获取监测对象的数据,并将采集到的源数据转化为标准格式数据,为分析提供数据支持,采集数据主要包括流数据与包数据、日志数据与性能数据、威胁数据、策略数据与配置数据及其他数据等;
c)存储:对网络安全监测过程中的数据分类存储,数据类型包括结构化、非结构化或半结构化;
d)分析:对采集或存储数据按照一定规则或模型进行处理,发现安全事件,识别安全风险,分析的内容主要有信息安全事件分析、运行状态分析、威胁分析、策略与配置分析等;
e)展示与告警:对分析的结果进行实时可视化展示,并按重要级别发布告警。
