关键信息基础设施安全监测预警能要求（征求意见稿）

本文件确立了关键信息基础设施监测预警的总体要求和能力模型，规定了关键信息基础设施运营者和网络安全服务机构从事关键信息基础设施监测预警工作应具备的基本能力要求和评本文件适用于指导关键信息基础设施运营者、网络安全服务机构开展关键信息基础设施监测预警测预警中的数据采集、威胁识别、预警生成、响应联动等特通过部署监测设备、采集多源数据、运用技影响范围、应对建议等内容的预警信息，并通过指定渠道及时推送至相关责任方的活动。3.6数据关联分析datacorr学、零日漏洞等多种攻击手段，旨在窃取敏感信息或破坏CII：关键信息基础设施（CriticalInformationInfrastrucSLA：服务水平协议（ServiceLeveSOAR：安全编排自动化与响应（SecurityOrchestration,AutomationandUEBA：用户和实体行为分析（UserandEntityBehaviorAnalytics)SOC：安全运营中心（SecurityOperatioATT&CK：对抗战术、技术与常识（AdversarialTactics,Techniques,andCommonKnowledge)MTTD：检测平均时间（MeanTimetoDetect)MTTR：响应平均时间（MeanTimetoRespond)EDR：端点检测与响应（EndpointDetectionandRespoIoCs：威胁指标（IndicatorsofCompromise)RACI：职责分配矩阵（Responsible,Accountable,Consulted,InformBAS：攻击与破坏模拟（BreachandAttackSimulatiCMDB：配置管理数据库（ConfigurationManagementDatabITSM：IT服务管理（ITSerAPT：高级持续性威胁（AdvancedPersistentThreat)a)全空间监测覆盖:监测视野应触达信息系统的每一个角落，构建从后端到前端、从边界到内部的1)核心环境监测:深度覆盖核心业务系统、数据库、中间件及云平台数据中心2)泛终端监测:覆盖范围延伸至办公终端、运维终端、移动设备及工业控制主机，重点监控进程行3)全路径通信监测:整合互联网出口、专网边界及内部横向流量，确保对通信特征识别与异常连接b)全要素资产映射:在全空间监测的基础上，通过动态资产测绘技术，确保监测对象无遗漏。覆盖安装植入、指挥控制（C2)及横向移动等攻击阶段，构建闭环的监测逻辑，确保对潜在威胁从萌芽到演报的深度关联研判，精准识别并过滤因扫描、误读或正常业务波动产生的无效告警。4)验证与闭环优化：应利用威胁情报库对疑似攻击进行画像验证，并建立监测预警机制的定合评估制度，根据实战反馈及时优化告警策略与过b)情境化告警:告警信息应自动富化上下文，内容应包括受影响资产的重要性、关联的业务、攻击者画像、历史相关事件等，而非孤立的技术指标。c)可验证性:所有预a)情报驱动协同:建立外部威胁情报与内部监测规则的动态映射机制，实现“情报—监测—防御”息共享通道，实现跨层级、跨地域的联防联控2)针对主机/终端，应具备EDR日志、系统日志（Syslog)及文件完整性监位置、威胁情报)和关联的能力，为上层分析提供高质量的数a)基础检测能力：应内置高质量的规则引擎，集成最新的威胁情报（IoCs)，实现对已知b)高级检测能力：应具备基于机器学习的用户和实体行为分析（UEBA)引擎，用于发现偏离基线的a)攻击链可视化：应能将孤立的告警自动关联成完整的攻击事件（Incident)，并以可视化的b)能力联动接口：应具备与防火墙、EDR、IAM等各类安全工具和IT运维系统（如CMDB、ITSM)联动a)安全运营中心（SOC)章程：明确定义监测预警团f)绩效与度量体系：建立一套关键绩效指标（KPIs)，如MTTD、MTTR、告警误报率等，应确保所有部署的技术措施是有效且持续优化的，而不是“部署即完c)能力指标：为每个能力项提供具体的、可衡量的成熟度标准，是能力评估等等级名称UEBA能力。数据驱动、可度量：对监测预警活动进行量化管理和评估，能力水平稳定可预测。b)一致性：评价标准和流程应保持一致，确保不同时间、不同评价员的结果具有可比性。a)文档审查：不仅要审查制度是否存在，更要审查其适用性和更新频率。例如，审查SOP是否与当c)技术验证与测试：这是评价的核心。应通过实战化的方式进1)注入测试：在确保安全的前提下，注入模拟攻击流量（如E2)配置核查：抽查SIEM的监测规则配置运营者应建设关键信息基础设施安全监测预a)具备一体化管理能力：应建设监测预警状态趋势、安全趋势、威胁情报、攻击画像、响应状态和处置c)实现工作闭环管理：应从安全事件的事前、事中、事后三个维度综合布局，形成d)建立威胁感知机制：应开展风险威胁建模e)支撑7×24小时运行：应配备专门人员和技术力量，利用多种手段、渠道与自动化工具，开展运营者应具备采用多种技术手段进行数据采集的能力，并满足以下用系统等网络资产的安全性，以及其运行状态、脆弱性、数据、性能数据、策略数据、配置数据、威胁数据等例如：隔离网、办公内网、互联网、电子政务网、工业控制网在互联网边界出入口，隔离网、工业控制网络监测点位可选c)应根据业务系统的部署模式，选取主要云节点、关键服务器、核心运维终端作为运营者应具备对关键信息基础设施进行全面安全监测的能力，监测范围应至少覆盖以下内容：b)应监测机房的人员访问和设备进出情况，如门禁记录、视a)运行状态精细化监测:应实时监控重要资产的运行状态与健康指标，监测内容应至少包括CPU利用率、内存利用率、磁盘空间利用率、电源状态，以及网络接口的端口流量、丢包率等性能2)网络行为:网络连接的建立、端口监听状态及异常d)攻击行为特征识别:应基于异常行为分析模型或专家规则，实现对主流攻击手段的有效识别与告2)反弹Shell（ReverseS3)非法提权（PrivilegeEsca)恶意文件高阶监测:应监测网络传输中的文件对象，采用静态特征检测与动态沙箱行为分析相结b)邮件安全深度监测:应具备对邮件协议的c)APT与高级威胁监测:应针对高级持续性威胁（APT)开展全流量深度检测，具备对0day/Nday漏洞利用、隐蔽信道通信、边界突破及内网横向渗透等攻击链路的挖掘与关联分析能1)DDoS精细化检测:应能识别并区分多种类型的拒绝服务攻击，包括SYNFlood、UDP2)DNS异常检测:应监测DNS协议通信，具备识别DGA（域名生成算法)域名请求、C&C（命令与控制)3)应监测非信任主机的新建连接及使用非常规端a)应监测应用的可用性和性能，包括运行状态、响应时间与延迟、吞吐量与负载b)应监测应用的业务流程，包括业务逻辑完整性、接口调用等。b)应监测供应商异常的访问流量、可疑的数据传输等情况。d)应动态监测供应商部署在保护范围内的资产变e)应监测供应商已存在的恶意代码植入、a)应监测重要数据采集行为，及时发现被入侵b)应监测重要数据使用加工过程，包括访问权限变动、超范围授权d)应监测重要数据提供和共享情况，及时发现数据泄露、终端、移动应用、物联网平台、工控终端、云平台、数据中心等重点目标开展a)攻击路径预测:应采集涵盖系统层、网络层和应用层的多维日志数据，支持基于攻击链（Killb)攻击溯源分析:应利用数据挖掘或图计算等技术对各类安全日志进行深度关联分析；应具备以时致的日志中断、恶意删除及伪造，保障监测数据的连续性与不可抵运营者应具备对海量、异构数据进行深度关联分析的能力，并满足以下c)应能采用单点特征去重、多源合并、白名d)应能通过关联匹配攻击源所属地域信息、被攻击资产信息、业务负责人信息、攻击源所属APT组c)应能针对被保护资产开展钓鱼邮件、账号异常操作、网络异常访问等场景b)应能构建攻击者画像与深度溯源体系建立多维度的攻击者画像能力，结合威胁情报库与本地安行详细的信息提取，验证疑似攻击并支持快c)应能完善数据标准化与丰富化流程建立严格的大数据预处理流程以支撑智能化分析。首先实施数据过滤，通过清洗和修改剔除不符合质量要求的数据匹配规则和函数计算，生成目标字段值并转换为序a)应能采用分析攻击流量上下文、情报联b)应能建立定位受害资产信息及系统失陷判定能力，开展攻击IP和回连IP溯源分析。运营者应具备自动生成准确、低误报的安全告警能力，并满足以下a)当发现可能危害关键业务的安全威胁时，应能支持采用自动化的方式向本组织网络安全管理机b)当发现可能危害关键业务的迹象时，应能自动进行告警报送。7.3.1预警分级要求a)应按照GB/T32924确定的分级要素、级别及判定，确定网络安全预c)当内部预警信息发出后，出现新的情况变化时，应能及时补发最新内d)当安全隐患得以控制或消除时，应能执行a)应建立信息共享渠道，确定共享信息的范围，包括漏洞信息、威胁信息、防护措施b)宜采用标准化的网络安全威胁信息格式，与相关网络安全威胁信息共享平台进行对接。d)应严格限制共享信息的使用范围，仅用于网络b)应能分析、研判相关事件或威胁对关键信息基础设施可能造成的损害程度。a)业务流程闭环:应将监测预警活动与分析识别、安全防护、检测评估、主动防御、事件处置等环c)效能反馈机制:应能通过监测预警结果，分析评估安全措施和安全策略的有效性，为安全防护环d)威胁情报共享:应能将攻防演习、威胁情报等主动防御环节分析识别的网络威胁与攻击行为信息e)应急响应联动:应能与事件处置环节联动，对网络安全息化运维部门在信息共享、威胁研判及协同处置上的即时同步a)应与国家相关部门、行业保护工作部门c)在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，应依据法律规定向7.5.1组织机构要求b)应明确网络安全监测预警的责任人，全面负责网络安全监测预警工作。c)应明确负责安全监测、安全预警、安全联动等方面的具1)监测对象:应覆盖物理环境、通信环境、区域边界、计算存储环境、安全环2)监测流程:应明确包括接口连接、数据采集、存储、分析、展示、告警等全流程环节，通过数据2)工作流程:应规范开展信息的搜集、汇总、分析、研判、上报、报告等通报预警工作，确保通报1)内部联动:建立内部沟通合作机制，加强网络安全管理机构与内部其他部门2)外部协作:建设外部协作处置机制，建立并维护外联单位联系表（包含单位名称、合作内容、联3)预警响应:针对发生的网络安全事件或发现的威胁，应能通过联防联控机制提前或及时发出安全1)合作对象:应建立与保护工作部门、同一关键信息基础设施的其他运营者、2)共享内容:共享信息可包括威胁情报、3)合规要求:当涉及漏洞信息共享时，应严格符合国家关于漏洞管理c)应组建安全监测预警专家队伍，协助开展安全网络运营者在开展关键信息基础设施监测预警工作时，应选择可信可靠的网络安全服务机构提供外部合作单位联系列表，确保合作内容和联系人信息发生变化总、分析，协助开展网络安全威胁分析、安全漏络安全事件中涉及的流量及日志数据进行信息提取与攻a)应具备为多个客户提供远程或驻场监测b)应拥有成熟、稳定、可扩展的多租户监测分析平台，并能实现客户间数据的严格隔离。c)应拥有一支专业、分工明确的安全分析师团队，具备对高级威胁的分d)应拥有自主或多源的威胁情报获取、生产e)提供的监测服务内容应能满足7.1.1和7.1.2a)应具备向客户提供及时、准确、可操作的预警信息和处置建议b)应按照与客户约定的SLA，满足7.2中关c)应有严格的制度和技术措施确保客户数据的机密性、完d)应具备与客户内部团队、以及其他外部机构高（规范性附录)针对尚未公开补丁或特征码的未知漏洞攻击，应采取以下多维深度分析研判依据：重点监测非标准协议实现的堆栈溢出特征、未知API接口的非预期调用、以及在加密特定WebLogic版本）的非特征码请求时，自动提升风险社工攻击侧重于突破人的防御线，应建立基于人员行为偏离和情报关联的监测深度细节：利用自然语言处理（NLP）识别钓鱼邮件中的诱导性