文档介绍：该【电力系统网络安全态势感知平台通用技术要求（行标） 】是由【书籍1243595614】上传分享，文档一共【24】页，该文档可以免费在线阅读，需要了解更多关于【电力系统网络安全态势感知平台通用技术要求（行标） 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。Q/LB.□XXXXX-XXXX2ICS点击此处添加ICS号CCSS号中华人民共和国电力行业标准DL/TXXXXX—XXXX?????DL电力系统网络安全态势感知平台通用技术要求workSecuritySituationAwarenessPlatformofPowerSystems(点击此处添加与国际标准一致性程度的标识)(征求意见稿)XXXX-XX-XX发布XXXX-XX-XX实施???????发布DL/TXXXXX—XXXXIDL/TXXXXX—XXXXIIDL/TXXXXX—XXXXIIDL/TXXXXX—XXXXIIDL/TXXXXX—XXXXIIDL/TXXXXX—XXXX电力系统网络安全态势感知平台通用技术要求范围本文件规定了电力系统网络安全态势感知平台的基本组成框架、数据采集、数据处理和转化、平台分析、安全态势展示、数据共享、安全事件响应处理的要求,以及安全资源管理、平台安全管理、数据安全要求、性能要求和灾备要求等。本文件适用于电力系统网络安全态势感知平台的设计、开发和应用。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/Z20986信息安全技术?信息安全事件分类分级指南GB/T20988信息系统灾难恢复规范术语和定义下列术语和定义适用于本文件。态势感知 situationawareness认知大量时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态,以实现决策优势。网络安全态势感知 cybersecuritysituationawareness在大规模的网络环境中,对大量时间和空间中的能够引起网络安全态势发生变化的要素进行获取、理解、显示,并预测它们在不久将来的状态,以实现决策优势。威胁情报threatintelligence一种基于证据的知识,包含了上下文、攻击机制、攻击指标、启示和可行建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。安全设备securitydevice为保护网络空间安全使用的硬件设备。基本的安全设备有:防火墙,IDS(入侵检测系统),IPS(入侵防护系统),安全隔离网闸,WAF(WEB应用防火墙)等。安全探针securityprobe为安全分析平台提供各类分析数据的软件或者硬件产品。传统安全设备如:防火墙,IDS(入侵检测系统),IPS(入侵防护系统),WAF(WEB应用防火墙),DPI(深度包分析系统)在具备安全分析平台联动时可以视作为安全探针。一些新兴的产品:如终端数据采集器、全流量采集器等也是安全探针。安全探针收集各类安全类数据,为安全分析平台做进一步分析研判和处置提供基础数据来源。IIDL/TXXXXX—XXXXIIIDL/TXXXXX—XXXX日志Log网络设备、系统及服务程序等,在运作时产生的事件记录。每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。事件Incident任何违反系统或服务安全性规则的行为。这包括尝试获得未经授权的访问,未经授权使用系统来处理或存储数据,恶意破坏或拒绝服务以及未经所有者同意而更改系统的固件,软件或硬件。警报Alert关于已检测到或正在进行信息系统网络安全威胁的通知。事件数每秒Eventpersecond系统每秒钟能够收集的日志条数,~1k字节数为基准。一般而言,EPS数值越高,表示系统性能越好。灾难backupfordisaster由于人为或自然原因,造成信息系统严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。灾难恢复backupfordisaster为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行的状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。灾难备份backupfordisaster为了灾难恢复对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程。灾难备份系统backupfordisaster用于灾难恢复,由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。系统架构态势感知平台概述本标准用于指导电力总部-省(直辖市)两级网络安全态势感知系统(以下简称:系统)的建设,总部系统是由总部用于开展电力行业内的网络安全态势感知的信息系统;省级系统是由各省级电力主管部门建设的用于开展本省网络安全态势感知的信息系统。系统主要用于采集电力监控系统、各级实时监控与预警类应用、调度管理类应用、关键网络节点和重要业务系统等的安全运行数据,如能量管理系统、电能量记录系统、电力二次系统及安全防护设备、电力监控系统网络安全管理平台、网络与信息安全风险监控预警平台等,实现资产识别、安全评估、监测预警、态势感知、威胁情报和信息通报等功能。通过智能决策,辅助分析人员开展监测分析、处置工作,提供决策建议;通过联动处置,实现告警的一键处置;通过溯源反制,建立反击能力。同时,总部系统对接中央网信办、公安部等国家机构网络安全监测预警及态势感知平台,共享国家网络安全监测数据;对接各省级系统,形成网络安全事件预警通报机制,并共享知识库、情报库数据。IIDL/TXXXXX—XXXXIIIDL/TXXXXX—XXXX态势感知平台总体框架网络运营者要建立网络安全态势感知能力,既需要采集多源异构的数据,也需要相应系统进行检测分析,同时也离不开数据(包括事件、威胁情报等)共享、人工辅助分析。本标准在电力系统中部署安全态势感知系统,分别采集生产控制大区及信息管理大区的安全数据进行分析,态势感知系统与电力系统的交互图建图1。电力系统安全态势感知交互图态势感知系统层次划分见图2。系统划分为安全数据层、数据分析层、监测预警层和态势展示层。安全数据层包括数据采集、数据预处理、数据存储,将根据不同数据对象采用不同的采集方式获得原始安全数据并存储。数据分析层包括网络威胁分析、软件安全分析、数据安全分析、脆弱性分析、资产风险分析、用户行为分析、安全事件回溯分析、态势评估分析。监测预警层包括安全告警、态势预警、联动处置、风险预警、整改通知、事件上报。态势展示层包括整体态势展示、专题态势展示、数据查询、统计报表、分析报告。另外,通过系统资源管理实现对系统各种策略和知识库的管理。系统内各组成部分之间及系统与外部通过数据服务接口实现统一对接。IIDL/TXXXXX—XXXXIVDL/TXXXXX—XXXX态势感知系统层次框架图数据采集要求数据来源本项要求包括但不限于:安全防护设备:如防火墙、Web应用防火墙、入侵防护系统等;安全检测设备:如入侵检测系统、各安全探针(全流量采集器、终端安全采集器等)、***系统等;电力业务系统:如用户用电采集系统、电网负载预测系统、gis系统、营销系统、供应链相关设备和系统等;电力业务终端:如用电信息采集终端、专变采集终端、集中抄表终端、分布式能源监控终端等;IIDL/TXXXXX—XXXXVDL/TXXXXX—XXXX共享数据:如共享的资产类数据、威胁情报数据,应支持人工录入/第三方共享/关联设备生成等方式进行提供。数据分类本项要求包括但不限于:心跳/存活类数据:传统安全设备(防火墙、Web应用防火墙、入侵防护系统、入侵检测系统等),各安全探针(全流量采集器、终端安全采集器等)等主动周期性进行上报;基本信息类数据:传统安全设备(防火墙、Web应用防火墙、入侵防护系统、入侵检测系统等),各安全探针(全流量采集器、终端安全采集器等)等主动周期性上报;安全监控告警数据:传统安全设备(防火墙、Web应用防火墙、入侵防护系统、入侵检测系统、***系统等),各安全探针(全流量采集器、终端安全采集器等)等实时上报;流量数据:各安全探针(全流量采集器、终端安全采集器等)按需实时上报;业务监控告警数据:电力业务系统(用户用电采集系统、用电信息采集终端、专变采集终端、集中抄表终端、分布式能源监控终端等)等实时上报;资产类数据:由人工录入/主动探测/被动识别等技术或产品进行填报或上报;威胁情报数据:由人工录入/第三方共享/关联设备生成等方式进行提供。采集工具本项要求数据采集应支持主动数据采集、被动数据采集等工具或方式。主动数据采集工具或方式包括:被采集设备或系统应能支持主动方式,可实时、或周期性向上级分析平台或系统上报本设备或系统的运行状态、监控告警等数据;上级分析平台或系统应支持Web用户接口、或开放接口(syslog,RESTful,WebService等)。用于人工录入、或外部系统调用的方式进行共享数据导入;被动数据采集工具或方式包括;应能在核心交换机处部署流量分析系统进行采集和上报,如全流量采集器。全流量采集器应具备基于交换机原始镜像流量对相关流量进行数据采集和上报,或提供开放接口,由上级分析平台或系统进行全流量采集器的接口调用的方式完成信息采集;应能支持在被监控设备或系统安装第三方监控软件进行采集和上报,由第三方监控软件替代被采集设备或系统进行数据采集和上报。数据服务接口本项要求包括但不限于:数据接收方应提供通用开放接口,包括但不限于:syslog、RESTful、WebService等,用于外部系统调用,进行数据的读取或写入;数据来源方应能支持通用数据共享接口syslog。主动向上级平台或系统进行数据上报,包括但不限于syslog、RESTful、WebService等;数据来源方应支持通用开放接口接收上级平台或系统下发的数据采集命令,包括但不限于:RESTful、WebService等。数据处理要求预处理IIDL/TXXXXX—XXXXVIDL/TXXXXX—XXXX本项要求包括:应支持对异构系统或产品的数据进行统一接入和归一化;应支持实时展示各异构数据源健康监控,包括但不限于:各个数据源每秒日志接入量、相关错误信息等;应支持实时展示数据处理过程,包括但不限于:各数据源归一化处理速度、数量、入库性能、存储数据总量等;应支持实时展示数据分析任务信息,包括但不限于:已消耗时间、消耗资源、预计结束时间等归一化数据应满足分析平台深度挖掘、归并、统计等多维分析需求;应支持动态管理数据处理任务,包括但不限于:增加/减少计算资源、新增/修改/启动/取消任务。持久化本项要求包括但不限于:应支持不低于6个月数据存储能力;应满足存储数据量不低于千亿级;应支持在线扩展数据处理服务器;应支持存储空间预警处置动作,当可用存储空间低于预设定阈值时应支持滚动写入能力。平台分析要求网络威胁分析攻击检测分析本项要求包括:应能使用特征匹配、关联分析、统计分析等技术分析攻击行为;应能针对存在关联关系的网络攻击行为通过时间顺序、攻击路径等进行分析;应能对病毒、蠕虫、木马、僵尸程序等恶意程序传播总体情况的统计,分析当前恶意程序传播的影响范围及趋势变化;应能分析网络中发生的漏洞利用的攻击行为,包括利用时间、攻击来源、存在漏洞的设备、利用的漏洞、漏洞类型、漏洞利用频次等;应能识别各类网络攻击的攻击链阶段;应能从网络攻击和异常类型、攻击链阶段等维度对网络威胁进行统计计算和分析。流量异常分析本项要求包括:应能基于日志数据,识别网络DDOS攻击事件,并进行流量数据的统计分析和归并,日志如:DDoS告警、流量日志等;应能应用安全分析技术,分析网络行为异常,异常包括但不限于资产流量异常、协议流量异常、端口流量异常。攻击画像IIDL/TXXXXX—XXXXVIIDL/TXXXXX—XXXX应能从资产角度和攻击者角度对攻击进行画像,分析资产受到的攻击,并分析攻击者的攻击历史数据、攻击方式、攻击时间、攻击频次、行为特点等。威胁情报关联分析总体要求本项要求包括:应能将实时安全事件与威胁情报中的IP威胁库、域名威胁库、漏洞信息等进行关联分析;应能将实时流量数据、日志数据与威胁情报中的IP威胁库、域名威胁库、漏洞信息等进行关联分析;应能将历史流量数据,各类历史日志中的源IP、URL等数据与威胁情报中的恶意IP、恶意URL等进行比对分析;应支持发现命中恶意IP、恶意URL、漏洞利用等时间即为高危事件;应支持发现命中恶意IP、恶意URL、漏洞利用的安全事件进行自动处置。威胁情报分析内容本项要求包括:应支持将情报内容中影响IP/URL等数据与资产信息进行对比分析,筛选出与情报匹配的需要关注的资产数据;应能提取安全设备告警日志和Web访问日志中的源IP地址与IP情报数据进行对比,筛选识别出所有恶意访问请求,产生告警,并对访问目标进行资产关联;应能基于漏洞情报对资产进行漏洞分析,可以对从合规平台获取的资产漏洞结果进行补充和验证;应能基于威胁情报对历史流量数据及日志数据进行分析,发现遗漏攻击行为,并对情报中出现且历史出现次数较多的外部攻击源信息进行统计;应能基于威胁情报对比内部网络行为特征对感染木马病毒、访问***或僵尸网络相关的恶意URL等高风险网络行为进行分析。脆弱性分析本项要求包括:应具备检测20类以上常见协议的弱密码,包括FTP、LDAP、VMWARE、ORACLE、REDIS、Elasticsearch等协议,检测信息包含账号、密码、服务器、所属分支和业务、类型、最近发现时间等;支持筛选管理员账号与是否登录成功,并支持导出弱密码报告应具备检测web流量中是否存在可截获的口令信息,检测信息包括对应域名/URL、服务器IP,所属分支等,避免因明文传输导致信息泄露的风险应具备检测业务服务器的风险端口开放情况,检测内容包括服务器、所属分支、协议与端口、总流量、流入流量、外网源IPTOP3、更新时间等;并支持导出风险端口报告。应具备检测业务服务器的配置不当,检测内容包括服务器、所属业务、所属分支、配置不当类型、风险等级、发现时间等;支持配置不当类型下钻,展示配置不当详情,提供解决方案和数据包举证,并支持导出配置不当报告。应具备流量实时分析漏洞功能,漏洞类型包括配置错误漏洞、OpenSSH漏洞、OpenLDAP、数据库、Web应用等;支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议,并支持导出脆弱性感知报告。II