书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３６６３５ — ２０１８ /G21 /G22 /G23 /G24 /G25 /G26 　 /G27 /G28 /G23 /G24 /G29 /G2A /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G33 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犅犪狊犻犮狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱犻犿狆犾犲犿犲狀狋犪狋犻狅狀犵狌犻犱犲狅犳狀犲狋狑狅狉犽狊犲犮狌狉犻狋狔犿狅狀犻狋狅狉犻狀犵 ２０１８  ０９  １７ /G34 /G35 ２０１９  ０４  ０１ /G30 /G31 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G21 /G27 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G34 /G35目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 网络安全监测框架 ２ ……………………………………………………………………………………… 　 ５．１ 　 概述 ２ ………………………………………………………………………………………………… 　 ５．２ 　 监测组成 ３ …………………………………………………………………………………………… 　 ５．３ 　 监测分类 ３ …………………………………………………………………………………………… ６ 　 网络安全监测基本要求 ４ ………………………………………………………………………………… 　 ６．１ 　 接口连接 ４ …………………………………………………………………………………………… 　 ６．２ 　 采集 ４ ………………………………………………………………………………………………… 　 ６．３ 　 存储 ４ ………………………………………………………………………………………………… 　 ６．４ 　 分析 ４ ………………………………………………………………………………………………… 　 ６．５ 　 展示与告警 ５ ………………………………………………………………………………………… 　 ６．６ 　 自身安全保护 ５ ……………………………………………………………………………………… ７ 　 网络安全监测实施指南 ５ ………………………………………………………………………………… 　 ７．１ 　 接口连接 ５ …………………………………………………………………………………………… 　 ７．２ 　 采集 ６ ………………………………………………………………………………………………… 　 ７．３ 　 存储 ６ ………………………………………………………………………………………………… 　 ７．４ 　 分析 ６ ………………………………………………………………………………………………… 　 ７．５ 　 展示与告警 ７ ………………………………………………………………………………………… 犌犅 ／ 犜 ３６６３５ — ２０１８ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 国家信息中心 、 国家信息技术安全研究中心 、 北京启明星辰信息技术股份有限公司 、 北京天融信科技股份有限公司 、 东软集团股份有限公司 、 亚信科技 （ 成都 ） 有限公司 。 本标准主要起草人 ： 周民 、 罗海宁 、 任飞 、 焦迪 、 李森 、 曹虎 、 蔡景怡 、 曾辉 、 张锐卿 、 吴大明 、 肖彪 、 刘增益 、 郑伟 。 Ⅰ 犌犅 ／ 犜 ３６６３５ — ２０１８ 信息安全技术 　 网络安全监测基本要求与实施指南 １ 　 范围 本标准规定了网络安全监测的基本要求 ， 给出了网络安全监测框架和实施指南 。 本标准适用于系统或网络安全监测的实施 ， 网络安全监测产品的设计开发 ， 网络安全监测服务的提供等 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｚ２０９８６ — ２００７ 　 信息安全技术 　 信息安全事件分类分级指南 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ２８４５８ — ２０１２ 　 信息安全技术 　 安全漏洞标识与描述规范 ＧＢ ／ Ｔ３１５０９ — ２０１５ 　 信息安全技术 　 信息安全风险评估实施指南 ３ 　 术语和定义 ＧＢ ／ Ｔ２８４５８ — ２０１２ 和 ＧＢ ／ Ｔ２５０６９ — ２０１０ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 网络安全监测 　 狀犲狋狑狅狉犽狊犲犮狌狉犻狋狔犿狅狀犻狋狅狉犻狀犵 通过对网络和安全设备日志 、 系统运行数据等信息进行实时采集 ， 以关联分析等方式对监测对象进行风险识别 、 威胁发现 、 安全事件实时告警及可视化展示 。 ３ ． ２ 信息安全事件 　 犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犻狀犮犻犱犲狀狋 由单个或一系列意外或有害的信息安全事态所组成的 ， 极有可能危害业务运行和威胁信息安全 。 ［ ＧＢ ／ Ｔ２５０６９ — ２０１０ ， 定义 ２．１．５３ ］ ３ ． ３ 安全漏洞 　 狏狌犾狀犲狉犪犫犻犾犻狋狔 计算机信息系统在需求 、 设计 、 实现 、 配置 、 运行等过程中 ， 有意或无意产生的缺陷 。 这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中 ， 一旦被恶意主体所利用 ， 就会对计算机信息系统的安全造成损害 ， 从而影响计算机信息系统的正常运行 。 ［ ＧＢ ／ Ｔ２８４５８ — ２０１２ ， 定义 ３．２ ］ ３ ． ４ 风险管理 　 狉犻狊犽犿犪狀犪犵犲犿犲狀狋 识别 、 控制 、 消除或最小化可能影响系统资源的不确定因素的过程 。 ［ ＧＢ ／ Ｔ２５０６９ — ２０１０ ， 定义 ２．３．３９ ］ １ 犌犅 ／ 犜 ３６６３５ — ２０１８ ３ ． ５ 安全攻击 　 狊犲犮狌狉犻狋狔犪狋狋犪犮犽 信息系统中 ， 对系统或信息进行破坏 、 泄漏 、 更改或使其丧失功能的行为 。 ３ ． ６ 安全策略 　 狊犲犮狌狉犻狋狔狆狅犾犻犮狔 用于治理组织及其系统内在安全上如何管理 、 保护和分发资产 （ 包括敏感信息 ） 的一组规则 、 指导和实践 ， 特别是那些对系统安全及相关元素具有影响的资产 。 ［ ＧＢ ／ Ｔ２５０６９ — ２０１０ ， 定义 ２．３．２ ］ ４ 　 缩略语 下列缩略语适用于本文件 。 ＦＴＰ ： 文件传送协议 （ ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＪＤＢＣ ： Ｊａｖａ 数据库连接 （ ＪａｖａＤａｔａｂａｓｅＣｏｎｎｅｃｔｉｖｉｔｙ ） ＯＤＢＣ ： 开放数据库互连 （ ＯｐｅｎＤａｔａｂａｓｅＣｏｎｎｅｃｔｉｖｉｔｙ ） ＰＣＡＰ ： 过程特性分析软件包 （ ＰｒｏｃｅｓｓＣｈａｒａｃｔｅｒｉｚａｔｉｏｎＡｎａｌｙｓｉｓＰａｃｋａｇｅ ） ＳＦＴＰ ： 安全文件传送协议 （ ＳｅｃｕｒｅＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＳＮＭＰ ： 简单网络管理协议 （ ＳｉｍｐｌｅＮｅｔｗｏｒｋＭａｎａｇｅｍｅｎｔＰｒｏｔｏｃｏｌ ） ＳＹＳＬＯＧ ： 系统日志 （ ＳｙｓｔｅｍＬｏｇ ） ＴＥＬＮＥＴ ： 远程登录协议 （ ＴｅｌｅｔｙｐｅＮｅｔｗｏｒｋ ） ＷＭＩ ： Ｗｉｎｄｏｗｓ 管理规范 （ ＷｉｎｄｏｗｓＭａｎａｇｅｍｅｎｔＩｎｓｔｒｕｍｅｎｔａｔｉｏｎ ） ＸＭＬ ： 可扩展标记语言 （ ＥｘｔｅｎｓｉｂｌｅＭａｒｋｕｐＬａｎｇｕａｇｅ ） ５ 　 网络安全监测框架 ５ ． １ 　 概述 网络安全监测框架如图 １ 所示 。 通过对网络或系统的基础环境以一定的接口方式采集日志等相关数据 ， 关联分析并识别发现安全事件和威胁风险 ， 进行可视化展示和告警 ， 并存储产生的数据 ， 从而掌握整体网络安全态势 。 ２ 犌犅 ／ 犜 ３６６３５ — ２０１８ 图 １ 　 网络安全监测框架 ５ ． ２ 　 监测组成 网络安全监测主要由监测对象 、 监测活动两部分组成 。 监测对象 ， 为网络安全监测过程与活动提供数据源 ， 主要包括物理环境 、 通信环境 、 区域边界 、 计算存储环境 、 安全环境 。 监测活动 ， 是网络安全监测行为的要素与流程 ， 通过数据分析的方法识别与发现信息安全问题与状态 。 包括以下环节 ： ａ ） 　 接口连接 ： 实现与监测对象