ICS 35.030 CCS L80 中华人民共和国国家标准 GB/T XXXXX—XXXX ` 信息安全技术 网络安全产品互联互通框架 Information security technology— Interconnection of security products framework (点击此处添加与国际标准一致性程度的标识) （工作组讨论稿） （本草案完成时间：2022 年 12 月 5 日） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX - XX - XX 发布 XXXX - XX - XX 实施 GB/T XXXXX—XXXX 目 次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 1 5 互联互通框架 ....................................................................... 2 概述 ........................................................................... 2 互联互通功能 ................................................................... 3 互联互通信息 ................................................................... 5 附录 A（资料性） 网络安全产品互联互通典型应用场景 ..................................... 7 附录 B（资料性） 网络安全产品互联互通功能与 GB/T 25066-2020 之间的关系 ................. 9 附录 C（资料性） 网络安全产品互联互通功能输入/输出的互联互通信息内容 ................. 13 参考文献 ............................................................................. 15 I GB/T XXXXX—XXXX 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。 本文件起草单位： 本文件主要起草人： II GB/T XXXXX—XXXX 信息安全技术 网络安全产品互联互通框架 1 范围 本文件提出了网络安全产品互联互通框架，包括互联互通功能和互联互通信息。 本文件适用于指导网络安全产品互联互通的设计、开发和应用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20986-XXXX 信息安全技术 网络安全事件分类分级指南（报批稿） GB/T 25066-2020 信息安全技术 信息安全产品类别与代码 GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南 3 术语和定义 GB/T 25066-2020界定的以及下列术语和定义适用于本文件。 网络安全产品 network security product 专门用于保障信息安全的软件、硬件或其组合体。 [来源：GB/T 25066-2020 3.1，有修改] 网络安全产品互联互通 network security product interconnect 通过统一的网络安全信息描述方式和安全功能实现，高效协同不同产品，支撑网络安全监测预警、 信息共享、应急响应、态势感知等应用需求，以提升整体网络安全防护能力的一种机制。 互联互通功能 interconnect function 网络安全产品实现互联互通所应用的安全功能及其实现方式。 互联互通信息 interconnect information 网络安全产品支撑互联互通功能实现所提供数据的类型、结构和数据格式。 4 缩略语 下列缩略语适用本文件。 APT：高级持续性威胁（Advanced Persistent Threat） DDoS：分布式拒绝服务攻击（Distributed Denial of Service） IP：网际互联协议（Internet Protocol） Web：万维网（World Wide Web） 1 GB/T XXXXX—XXXX 5 互联互通框架 概述 网络安全产品互联互通框架包括网络安全产品的互联互通功能和互联互通信息，具体见图1。网络 安全产品互联互通典型应用场景见附录A。 应用场景 监测预警 信息共享 应急响应 态势感知 网络安全产品互联互通应用范围 互联互通功能 功能分类 功能接口 标准化的信息描述 互联互通信息 信息分类 信息描述 安全产品的功能和信息 网络安全产品 防火墙 入侵检测 系统 入侵防御 系统 终端检测 与响应 网络检测 与响应 漏洞扫描 器 图1 网络安全产品互联互通框架 5.1.1 互联互通功能主要包括功能分类和功能接口。功能分类规定了网络安全产品互联互通时涉及的 功能，包括识别、防护、监测和处置四类。功能接口支撑功能分类实现，规范互联互通功能对应接口的 实现方式和参数格式，以及应满足的安全机制。 注： 附录B给出了网络安全产品互联互通功能与GB/T 25066-2020规定的网络安全产品类别和功能关系。 5.1.2 互联互通信息主要包括信息分类和信息描述。信息分类规定了网络安全产品互联互通时涉及的 各类信息，包括行为信息、告警信息、资产信息、脆弱性信息、威胁信息和事件信息六类。信息描述按 照信息分类规范互联互通信息的结构和数据格式。 5.1.3 互联互通功能与互联互通信息的关系见图 2，附录 C 给出了网络安全产品互联互通功能输入/输 出的互联互通信息内容。 2 GB/T XXXXX—XXXX 图2 互联互通功能与互联互通信息的关系 互联互通功能 5.2.1 识别功能 识别功能提供对组织进行安全风险识别的能力，通过对组织相关业务、资产、数据、人员、网络结 构进行调查分析，完成组织网络安全风险的认定和确认。典型识别功能主要包括： a) 资产识别：发现并识别组织中的网络、软硬件和数据等资产，形成网络结构、设备、操作系统、 应用软件、数据等相关资产信息； b) 脆弱性识别：扫描和发现已识别资产中可能存在的脆弱性，包括漏洞扫描、代码审计、配置核 查等，形成脆弱性信息； c) 威胁识别：通过分析流量、安全日志、威胁情报等，识别出相关威胁，形成威胁信息，包括但 不限于受威胁资产、威胁来源、攻击主体、种类、动机、时机和频率、攻击工具等； d) 网络流量采集：通过流量镜像等方式，获取并记录网络行为信息； e) 终端信息采集：对终端进程、流量特征、文件、系统行为等信息进行采集，获取并记录终端行 为信息。 5.2.2 防护功能 防护功能是通过制定并实施适当的防护措施，限制或遏制潜在安全风险的影响。互联互通应用场景 下的网络安全产品防护功能根据互联互通信息触发相应活动。典型防护功能主要包括： a) 身份管理与鉴别：识别验证网络、系统、应用等访问者的身份，以建立对其身份的信任，发现 与身份不相符的未被授权行为； b) 数据库防护：发现并阻断针对数据库系统的攻击，保护数据库系统的安全； c) 恶意代码防范：识别检测僵尸、木马、蠕虫等类型恶意代码，并对其进行检测、清除或隔离等； d) 网络访问控制：按照预定义的网络访问控制策略对数据包进行阻断和放行； e) 网络入侵防御：通过协议解码、内容检测，结合规则匹配及威胁情报等技术手段，检测和阻断 网络入侵行为； f) 网络隔离交换：通过切断网络连接、剥离网络协议等方式，将数据以专有数据块的形式在不同 网络间进行摆渡，实现网络隔离环境下的数据交换； 3 GB/T XXXXX—XXXX g) h) i) j) k) l) m) n) 网络行为控制：基于网络行为分析，通过匹配规则、行为模式等方式对网络行为进行隔离、过 滤、转发和放行； 应用安全防护：分析 Web 应用、主机设备等的访问流量，实现 Web 应用攻击防护、非授权访问 防护、恶意代码防护、邮件安全防护、网页防篡改等功能； 网络流量控制：基于流量控制策略对网络流量进行监测、分类、流量整形、带宽限速、带宽保 障等操作，优化带宽资源使用，避免网络拥塞； 抗 DDoS 攻击：识别网络流量的 DDoS 攻击行为，对匹配预定义的抗 DDoS 策略的网络流量进行 阻断； 终端访问控制：利用终端访问控制规则对终端操作和访问行为进行管控，终端操作和访问行为 包括且不限于网络访问、文件访问、系统指令访问、进程创建、移动介质访问、办公设备访问 等； 终端入侵防护：通过对终端上的网络行为、系统日志或其它终端上可以获得的信息，检测出违 反安全策略的行为； 终端防病毒：收集并分析网络和计算机系统中若干关键点的信息，发现其中是否存在违反安全 策略的行为以及被攻击的痕迹； 终端行为控制：利用终端访问控制规则对终端操作和访问行为进行管控，终端操作和访问行为 包括且不限于网络访问、文件访问、系统指令访问、进程创建、移动介质访问、办公设备访问 等。 5.2.3 监测功能 监测功能是通过制定和实施适当的网络安全策略，从而发现网络安全事件。典型监测功能主要包括： a) 入侵检测：通过对网络行为、安全日志或其它网络上可以获得的信息，检测出违反安全策略的 行为，包括系统外部的入侵、内部用户的非授权访问等，形成告警信息； b)