YD-T 2387-2023 網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)技術(shù)要求

2023-07-28發(fā)布2023-11-01實(shí)施I前言 Ⅱ 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)結(jié)構(gòu) 25網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)整體功能要求 36網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)整體性能要求 36.1有效性要求 36.2響應(yīng)時(shí)間要求 46.3資源占用要求 46.4其他要求 47網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)實(shí)現(xiàn)要求 47.1開(kāi)發(fā)配置要求 47.2數(shù)據(jù)采集技術(shù)要求 5 57.4網(wǎng)絡(luò)態(tài)勢(shì)可視化技術(shù)要求 67.5安全告警技術(shù)要求 77.6知識(shí)庫(kù)的管理 78網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)接口要求 88.1內(nèi)部接口 88.2外部接口 8Ⅱ 更改了功能架構(gòu)，將“功能架構(gòu)”改為“系統(tǒng)結(jié)構(gòu)”(見(jiàn)圖1,2011年版的圖1)。 更改了對(duì)術(shù)語(yǔ)“安全事件”的相關(guān)描述(見(jiàn)3.1,2011年版的3.3)。 123事故處理模塊安全告警模塊4響應(yīng)時(shí)間為2秒，那么從事件發(fā)現(xiàn)記錄生成到用戶接收告警的時(shí)間間隔不能超過(guò)2秒)。資源占用情況應(yīng)從網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的CPU占用率、內(nèi)存占用率和帶寬占用率3個(gè)方面綜合考56a)應(yīng)支持短期預(yù)測(cè)(分鐘級(jí));b)應(yīng)支持中期預(yù)測(cè)(小時(shí)級(jí));c)應(yīng)支持長(zhǎng)期預(yù)測(cè)(周級(jí))。下7類事件：788網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)接口要求8.1內(nèi)部接口8.1.1數(shù)據(jù)采集接口網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)應(yīng)遵循GB/T28517—2012的要求，通過(guò)規(guī)定的事件描述和交換格式來(lái)集成分布式的網(wǎng)絡(luò)安全檢測(cè)工具。數(shù)據(jù)采集為了滿足分布式異構(gòu)集成技術(shù)的要求，應(yīng)符合一定的接口要求，網(wǎng)絡(luò)安全事件格式見(jiàn)表1。表1網(wǎng)絡(luò)安全事件格式數(shù)據(jù)類型說(shuō)明時(shí)間戳是用來(lái)標(biāo)示事件發(fā)生的時(shí)間是設(shè)備類型是用來(lái)標(biāo)示是哪個(gè)設(shè)備類型是否目的地址否源端口否檢測(cè)到威脅發(fā)生的源端口目的端口否檢測(cè)到威脅發(fā)生的目的端口否該事件的優(yōu)先級(jí)否危險(xiǎn)級(jí)別否該事件的危險(xiǎn)級(jí)別原始信息否注：設(shè)備類型參見(jiàn)YD/T2251—2011附錄A.3設(shè)8.1.2網(wǎng)絡(luò)告警接口網(wǎng)絡(luò)安全告警的數(shù)據(jù)接口應(yīng)按照具體使用者提供的告警接口進(jìn)行實(shí)現(xiàn)。電子郵件接口應(yīng)符合IETFRFC2821,用于網(wǎng)絡(luò)安全告警的電子郵件通知。短信息告警應(yīng)符合YD/T1039.1—2005。8.2外部接口為了實(shí)現(xiàn)大規(guī)模、層次式的網(wǎng)絡(luò)安全監(jiān)測(cè)，各個(gè)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)的IODE