附件3：电力系统网络安全态势感知平台通用技术要求 2019.docx

电力系统网络平安态势感知平台通用技术要求II6,1、预处理本项要求包括：4 应支持对异构系统或产品的数据进行统一接入和归一化；b 应支持实时展示各异构数据源健康监控，包括但不限于：各个数据源每秒日志接入量、相关 错误信息等；a 应支持实时展示数据处理过程，包括但不限于：各数据源归一化处理速度、数量、入库性能、 存储数据总量等；a 应支持实时展示数据分析任务信息，包括但不限于：已消耗时间、消耗资源、预计结束时间 等a 归一化数据应满足分析平台深度挖掘、归并、统计等多维分析需求；。 应支持动态管理数据处理任务，包括但不限于：增加/减少计算资源、新增/修改/启动/取消 任务。62、持久化本项要求包括但不限于：5 应支持不低于6个月数据存储能力；t） 应满足存储数据量不低于千亿级；a 应支持在线扩展数据处理服务器；a 应支持存储空间预警处置动作，当可用存储空间低于预设定阈值时应支持滚动写入能力。7平台分析要求网络威胁分析7.1.1 攻击检测分析本项要求包括：a）应能使用特征匹配、关联分析、统计分析等技术分析攻击行为；b）应能针对存在关联关系的网络攻击行为通过时间顺序、攻击路径等进行分析；c）应能对病毒、蠕虫、木马、僵尸程序等恶意程序传播总体情况的统计，分析当前恶意程序传 播的影响范围及趋势变化；d）应能分析网络中发生的漏洞利用的攻击行为，包括利用时间、攻击来源、存在漏洞的设备、 利用的漏洞、漏洞类型、漏洞利用频次等；e）应能识别各类网络攻击的攻击链阶段；f）应能从网络攻击和异常类型、攻击链阶段等维度对网络威胁进行统计计算和分析。7.1.2 流量异常分析本项要求包括：a）应能基于日志数据，识别网络DDOS攻击事件，并进行流量数据的统计分析和归并，日志如： DDoS告警、流量日志等；b）应能应用平安分析技术，分析网络行为异常，异常包括但不限于资产流量异常、协议流量异 常、端口流量异常。7.1.3 1.3攻击画像应能从资产角度和攻击者角度对攻击进行画像，分析资产受到的攻击，并分析攻击者的攻击历史 数据、攻击方式、攻击时间、攻击频次、行为特点等。7.2、 威胁情报关联分析总体要求本项要求包括：a）应能将实时平安事件与威胁情报中的IP威胁库、域名威胁库、漏洞信息等进行关联分析；力 应能将实时流量数据、日志数据与威胁情报中的IP威胁库、域名威胁库、漏洞信息等进行 关联分析；C）应能将历史流量数据，各类历史日志中的源IP、URL等数据与威胁情报中的恶意IP、恶意 URL等进行比对分析；4 应支持发现命中恶意IP、恶意URL、漏洞利用等时间即为高危事件；3应支持发现命中恶意IP、恶意URL、漏洞利用的平安事件进行自动处置。7. 2. 2威胁情报分析内容本项要求包括：a）应支持将情报内容中影响IP/URL等数据与资产信息进行比照分析，筛选出与情报匹配的需 要关注的资产数据；b 应能提取平安设备告警日志和Web访问日志中的源IP地址与IP情报数据进行比照，筛选识 别出所有恶意访问请求，产生告警，并对访问目标进行资产关联；d 应能基于漏洞情报对资产进行漏洞分析，可以对从合规平台获取的资产漏洞结果进行补充和 验证；6 应能基于威胁情报对历史流量数据及日志数据进行分析，发现遗漏攻击行为，并对情报中出 现且历史出现次数较多的外部攻击源信息进行统计； 应能基于威胁情报比照内部网络行为特征对感染木马病毒、访问挂马或僵尸网络相关的恶意 URL等高风险网络行为进行分析。7、3、脆弱性分析本项要求包括：a）应具备检测20类以上常见协议的弱密码，包括FTP、LDAP、VMWARE、ORACLE> REDIS> Elasticsearch 等协议，检测信息包含账号、密码、 服务器、所属分支和业务、类型、最近发现时间等；支持筛选管理员账号与是否登录成功，并 支持导出弱密码报告B 应具备检测web流量中是否存在可截获的口令信息，检测信息包括对应域名/URL、服务器IP,所属分支等，防止因明文传输导致信息泄露的风险a 应具备检测业务服务器的风险端口开放情况，检测内容包括服务器、所属分支、协议与端口、 总流量、流入流量、外网源IP T0P3、更新时间等；并支持导出风险端口报告。d应具备检测业务服务器的配置不当，检测内容包括服务器、所属业务、所属分支、配置不当类型、风险等级、发现时间等；支持配置不当类型下钻，展示配置不当详情，提供解决方案 和数据包举证，并支持导出配置不当报告。 应具备流量实时分析漏洞功能，漏洞类型包括配置错误漏洞、OpenSSH漏洞、OpenLDAP、数 据库、Web应用等；支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建 议，并支持导出脆弱性感知报告。7.4、 网络空间资产风险分析本项要求包括：a）应具备支持对全网资产总览分析，包括资产概览、服务器运行状态、资产统计，其中资产概 览包括7天即将退库资产、全部资产数、核心资产数、资产组数、服务器数、终端数；服务器 运行包括服务器离线TOP5、服务器开放端口 TOP1O、服务器应用TOP5；资产统计包括资产组 TOP5、资产来源TOP5、设备类型TOP5、操作系统分布、7天内即将退库资产。B 应具备支持对资产信息查询、编辑与管理，资产信息包括资产类型，地理位置、责任人、审 核状态、主机名、操作系统、域名、服务与端口、应用、制造商、设备型号、厂商序列号、 来源设备等d 应具备流量实时识别与主动扫描资产，可联动扫描器定期或立即扫描资产，支持自定义扫描 IP地址、网段、URLo6 应具备支持第三方资产数据源对接，接入方式支持Webservice、SQL Server等方式，同时 可手工导出与导入资产。7.5、 用户行为分析本项要求包括：a）应能通过对历史数据进行行为分析以自动形成正常行为基线，利用基线与实时数据进行比拟 以发现异常行为；b）应能针对用户或实体进行行为基线分析或其他平安分析技术，以发现用户或实体异常行为， 如：登录异常、访问异常、操作异常等；c）应能建立内部用户行为画像，包括用户个体行为特征画像和群体特征画像。76平安事件回溯分析本项要求包括：a）应能回溯网络威胁的上下文信息，如威胁源、威胁路径、威胁过程、攻击手法等；b）应能结合威胁情报（如IP信誉、域名信誉、URL信誉、IOC情报等）对攻击源进行信誉分析；c）应能针对发现的平安事件，基于相关数据（如日志、流量、资产、脆弱性等）的查询、导出;d）应能支持溯源快速搜索功能，通过输入攻击者IP和受害者IP即可检索失陷主机溯源结果和 攻击者画像信息，其中攻击者画像以攻击者视角整合多源数据，对攻击者的攻击过程、攻击 手段、攻击工具、攻击趋势等信息进行展示，以及以时间轴的方式展示攻击者的所有入侵/ 访问历史痕迹等。7.7、态势评估分析本项要求基于平安总览形式，展示整体的平安情况，包括：a）接入设备情况b）总体平安评级，并可自定义评级规那么c）业务风险总览、资产风险总览d）资产感知情况、脆弱性信息e）热点事件发生情况、服务器EBA学习情况等f）每个展示内容均可作为导航，下钻到详情分析页面进行细化展示。78 Al智能分析本项要求包括：A 应具备智能分析技术，包括机器学习、关联分析、UEBA等技术，能智能检测APT攻击、网络 内部的潜伏威胁等高级威胁；B 应支持无需更新检测规那么亦能发现最新威胁；a 应支持在线、离线方式升级智能分析引擎，快速更新现有检测能力、持续集成新的检测技术。8平安态势展示要求整体态势展示本项要求包括但不限于：a）应具备整体态势展示和专题态势展示效果。b）应具备威胁态势、脆弱性态势、运维态势和环境感知态势中两种以上专题态势展示效果；c）应能通过仪表盘给出风险评价的评分以及其相关的威胁指数和脆弱性指数评分；d）应能在展示界面中间以地图形式展示整体攻击态势，支持世界-中国-省三级展示，展示攻击 的源目和方向。e）应能直观展示当前网络的健康状态，包括网络健康指数计算的当前环境中的各种元素，包括 接入设备、资产、漏洞的统计数据，用来辅助说明健康状态。8.1, 资产态势展示本项要求包括但不限于：a）应能识别发现电力网络中的典型电力设备，包括智能电表、用户用电采集系统、用电信息采 集终端、专变采集终端、集中抄表终端、分布式能源监控终端、电网负载预测系统、gis系 统、营销系统、供应链相关设备和系统等；b）应能以多维度的视图展示资产信息内容，包括但不限于资产总量、分类统计数量、资产问题 分析概况等；c）应能展示资产的脆弱性历史记录，支持以脆弱性信息进行全文检索。8.2, 统计报表本项要求包括但不限于：a）应能基于威胁事件的运维情况生成统计报表，包括被攻击最严重的IP信息列表、攻击者IP 列表，攻击源地域统计信息、，高风险资产详细分析、高危事件详细分析和高危威胁源详细分 析等；b）应能在报表创立时配置时间范围，资产和事件数据；c）应能按HTML、WORD、PDF格式导出统计报表。8.3, 析报告本项要求包括但不限于：a）应能基于大数据处理引擎，从海量数据中挖掘，量化平安风险事件，提取系统平安特征和指 标，汇总成有价值的分析报告，直观展示出网络平安风险；b）应能从漏洞维度按照漏洞等级、漏洞影响系统、威胁类型、时间等维度进行统计分析；c）应能从资产维度按照风险影响的资产组、地理位置、业务系统、部门、责任人等维度进行统 计分析。9数据共享要求数据共享机制各平台数据共享通过定义好的数据接口及数据格式，进行平台间数据传输，同时为保障平安性及 连续性，需规定相应的认证方式、状态查询机制等。认证机制共享数据的平台间应协商认证机制以互认身份，保障平安性。对应认证请求应包括： pl at formName （平台名称）、userName （认证账号）、password （认证密码）等信息。状态查询机制在数据拉取前，第三方系统需与本平台进行认证，认证后生成认证token,后续数据传输采用本 token进行交互。token中包含超时时间，超时时间与平台管理员登录设置的超时时间一致，当时间超 时那么需要重新进行认证。9.1. 数据共享内容9. 2.1资产信息资产信息为本地在线发现及离线导入的设备详细信息，其中至少包括：IP、主机名、MAC地址、操 作系统、服务与端口、在线状态、责任人、所属业务、应用类型等。脆弱性信息脆弱性信息为资产当前所存在可被利用的弱点，包括弱密码、漏洞及明文传输等。平安事件平安事件为己判断为真实攻击对网络造成危害的攻击事件。平安事件数据格包括通过syslog上报的方式和第三方平台通过restful api拉取的方式。9. 2. 4威胁情报威胁情报数据是监测平台收集或者分析产生的威胁情报，包括域名类、IP类、文件类等类型 的威胁情报。流量元数据流量元数据为通过流量采集分析等设备处理过后的数据包字段，以便于上级平台进一步的检测、 分析。流量元数据按照收集到的流量网络协议进行分类，分类包括 dns> ftp> > sql、imap> pop3> smtp> smb ssh> ssl、telnet等。9.3.数据共享接口109.3.1 数据交换接口通过9. 2章节定义的资产信息、脆弱性信息、平安事件、流量元数据、威胁情报等各类数据的标准 格式进行内部数据的交互。9.3.2 平台间级联接口系统级联接口应按RESTful API标准对外提供服务，通讯过程中请求和响应的数据砒旗son格式 来封装。为保证各级平台之间的通讯平安，平台之间在进行通讯前应进行有效的认证与授权。10平安事件响应处理平安告警管理应能对平安状况进行监测告警：a）具备资产平安监测能力，并进行告警，监测告警内容应包括：基础硬件、应用软件、业务系 统等资产的运行状态，访问日志、流量数据等信息，资产被黑、挂马、篡改等威胁行为，网 站平安漏洞，第三方组件的漏洞、弱口令、框架漏洞等脆弱性；b）具备异常行为监测告警能力，监测告警内容应包括：权限异常提升、账户异常更改、文件外 发、非法外联等异常访问行为，端口扫描、木马后门攻击、缓冲区溢出攻击、平安漏洞利用 等攻击行为；c）具备平安事件监测告警能力，监测告警内容应包括：网络攻击事件、有害程序感染事件、信 息破坏事件、数据平安泄露事件、内网网络横向平移和攻击渗透事件、遭遇未知攻击等类型 平安事件；d）提供平安监测数据关联分析能力，能对关键业务所涉及信息系统的监测信息进行整合分析；e）支持监测数据的统计分析，包括时空、频度等维度；f）支持平安监测规那么和范围的自定义。10.1. 平安态势预警应能对平安态势进行预警，主要包括：a）建立平安态势预警模型，对全网的平安趋势、潜在的平安风险进行分析和预警；b）平安态势预警类型包括平安通告、攻击行为预警、异常流量预警、平安漏洞预警、平安配置 隐患预警等；c）预警内容至少包括预警级别及其事件性质、威胁方式、影响范围、涉及对象、影响程度、防 范对策等信息等；d）支持预警信息关联到受影响的资产，包含资产名称、资产IP、资产类型、责任人等信息；e）支持通过外部威胁情报，关联分析出本地平安威胁事件进行预警；f）支持态势预警分级管理机制，按照重要程度、影响范围等确定不同级别的风险预警；g）支持平台、短信、邮件或即时通信等预警方式；h）支持预警规那么自定义，包括预警指标、指标阈值、预警对象、预警周期等；i）支持预警流程自定义，发生预警事件时，支持依照设定的流程发布预警。10.2. 联动处置应能对平安预警、告警进行联动处置，主要包括: a）建立联动处置机制；11b）支持处置情况的记录，包括但不限于：联动处置类型、时间、IP地址、端口等信息；C）支持联动处置事件的查询及上报，内容包括但不限于：源IP地址和端口、目标IP地址和端口、 攻击类型和触发事件；d）支持联动处置规那么在联网状态下的动态更新管理机制。10.3. 数据平安治理数据平安治理应满足以下要求：a）应建立一套符合实际业务需求，涵盖定义、操作、应用多层次数据的标准化体系，包括基础 标准和指标标准，能够对数据类型编码、数据格式规范和接口规范进行定义；b）应建立数据质量的管理流程，涵盖数据产生、数据处理、数据存储、数据展示等各个阶段， 并确定包括准确性和完整性的数据评估方法；c）应保证数据整个生命周期的平安：1）数据采集平安：应具备数据源鉴别、应用数据接口访问控制能力；2）数据传输平安：应具备数据传输加解密、网络平安控制等能力；3）数据存储平安：应具备数据存储加解密、数据备份恢复、存储访问控制及平安审计等能 力；4）数据处理平安：应具备数据操作审计、重要数据加密、接口访问控制等能力；5）数据共享平安：应具备用户身份认证、第三方用户的数据访问控制、重要数据加密、数 据防泄漏等能力；6）数据销毁平安：应具备数据销毁机制、数据销毁操作审计等能力。d）应对数据的生命周期进行管理，包括建立合理的数据类别，针对不同类别的数据制定各个阶 段的保存时间、存储介质、清理规那么和方式等。10.4. 业务接口应提供数据服务接口，为电力系统网络平安态势感知平台的数据交换、数据分析、威胁处置提供 数据访问调用服务。11平安资源管理要求11. K平安策略管理本项要求包括但不限于：a）采集策略、平安事件告警策略、监控策略等平安策略的集中管理；b）对平安策略的自定义设置。11.2. 平安事件管理本项要求包括但不限于：a）参考GB/Z 20986对网络平安事件进行分类、分级；b）应能提供事件处置过程中需要的基础数据信息；c）应能通知网络平安事件发生单位执行处置工作；d）应能接受通知，协助处置网络平安事件。11.3. 威胁情报管理12应能结合威胁情报进行态势告警，包括但不限于：高危漏洞被利用、设备被攻击事件等。12平台平安管理标识与鉴别能力本项要求包括但不限于：a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求并定 期更换；b）应提供并启用登录失败处理功能，屡次登录失败后应采取必要的保护措施；c）应强制用户首次登录时修改初始口令；d）用户身份鉴别信息丧失或失效时，应采用技术措施确保鉴别信息重置过程的平安。122角色管理能力本项要求包括但不限于：a）系统应为每个管理员规定与之相关的平安属性，包括：管理角色标识、鉴别信息、隶属组、 权限等。b）系统应提供使用默认值对创立的每个管理角色的属性进行初始化的能力。12.3. 远程管理能力本项要求包括但不限于：a）应能通过加密的方式来保护远程管理会话内容不被非授权获取；b）对远程管理信息进行保密传输；c）设定可远程登录的可信主机。12.4. 系统平安防范本项要求包括但不限于：a）应遵循最小安装的原那么，仅安装需要的组件和应用程序；b）应关闭不需要的服务、端口，关闭默认共享和高危端口；c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d）应保护态势感知系统免受恶意代码攻击，例如采用免受恶意代码攻击的技术措施或可信验证 机制。12.5. 审计能力本项要求包括但不限于：a）应提供平安审计功能，审计覆盖到每个用户，对重要的用户行为和重要平安事件进行审计；b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信 息；c）应对审计记录进行保护，定期备份，防止受到未预期的删除、修改或覆盖等；d）应确保审计记录的留存时间符合法律法规要求。12.6. 系统报警能力本项要求包括但不限于:13a）应建立电力行业网络平安态势预警模型，对全网的平安趋势、潜在的平安风险进行趋势分析 和预警；b）应能支持自定义预警规那么，包括预警指标、指标阈值、预警对象、预警周期等；c）应提供对外预警接口，同步预警信息至国家级网络平安态势感知系统。13数据平安要求总体要求应建立一套符合实际业务需求，涵盖定义、操作、应用多层次数据的标准化体系，包括基础标准 和指标标准，能够对数据类型编码、数据格式规范和接口规范进行定义。13.1. 数据采集平安本项要求包括但不限于：a）应具备数据源鉴别、应用数据接口访问控制能力；b）采集数据时，应标记数据的敏感度等级。13.2. 数据传输平安本项要求包括但不限于：a）应具备数据传输加解密、网络平安控制等能力；b）应采用技术措施保证鉴别信息（指用于鉴定用户身份是否合法的信息，如用户登录各种业务 系统的账号和密码、服务密码等）传输的保密性；c）应支持用户实现对关键业务数据和管理数据传输的保密性；d）应能够检测到数据在传输过程中完整性受到破坏。13.3. 数据存储平安本项要求包括但不限于：a）应具备数据存储加解密、数据备份恢复、存储访问控制及平安审计等能力；b）应能够检测到数据在存储过程中完整性受到破坏，防止数据被篡改、删除和插入等操作。在 数据完整性遭到破坏时，应提供授权用户可发觉的告警信息；c）备份数据应与原数据具有相同的访问控制权限和平安存储要求。13.4. 数据处理平安本项要求包括但不限于：a）应具备数据操作审计、重要数据加密、接口访问控制等能力。b）应支持数据使用过程中的动态脱敏。13.5. 数据共享平安本项要求包括但不限于：应具备用户身份认证、第三方用户的数据访问控制、重要数据加密、数据防泄漏等能力。13.6. 数据销毁平安本项要求包括但不限于：14a）应具备数据销毁机制、数据销毁操作审计等能力；b）应建立数据销毁审批机制，设置销毁相关监督角色，监督操作过程；c）应能够提供手段协助清除因业务终止、自然灾害、合同终止等而遗留的数据;设备销毁日志的留存时间不少于6个月。14性能要求本项要求包括：a）单节点应支持亿级实时日志分析；b） 单节点应支持20000+ EPS入库；c）单节点应支持100000+ EPS分析；d）支持10亿+日志秒级查询；e）单进程数据清洗条数230万eps；f）单节点平安分析模型算子并发数250个；g）单节点支持接入流量采集器2500个；h）单节点支持平台级联层数25层；i）单节点支持第三方设备日志接入类型2700款；j）单节点文件静态查杀数2150万/天；k）单节点支持平安告警数据存储年。15灾备要求总体要求电力系统网络平安态势感知平台应具有一定的冗余容错能力和面对灾难的灾难恢复能力，同时满 足GB/T 20988的相关要求。15.1、 冗余电力系统网络平安态势感知平台的关键部件或模块，应采用冗余设计，在发生硬件故障或软件错 误时，能够自动切换，保证系统的可考性。15.2、 容错能力电力系统网络平安态势感知平台应具有容错功能，在发生局部服务硬件故障或软件运行错误时， 能够及时退出运行，能够自动切换，保证剩余功能的可用性。15.3、 数据备份系统应根据态势感知系统部署地可能遭遇的灾难及相应恢复目标，使态势感知系统满足以下要求：a）完全数据备份每天一次；b）备份介质场外存放；c）每天屡次利用通信网络将关键数据定时批量传送至备用场地用数据处理系统应为态势感知系统建设备用数据处理系统以应对灾难实现灾难恢复。备用数据处理系统应配备灾 难恢复所需的全部数据处理设备，并处于就绪或运行的状态。16范围12规范性引用文件13术语和定义14系统架构21.1 态势感知平台概述21.2 态势感知平台总体框架35数据采集要求45.1 数据来源45.2 数据分类55. 3采集工具55.4数据服务接口 56数据处理要求561预处理56. 2持久化67平台分析要求67. 1网络威胁分析68. 2威胁情报关联分析77. 3脆弱性分析77. 4网络空间资产风险分析 775用户行为分析87.6平安事件回溯分析87.7态势评估分析878AI智能分析88平安态势展示要求91 .1整体态势展示98 . 2资产态势展示99 . 3统计报表99数据共享要求910 1数据共享机制911 2数据共享内容1012 3数据共享接口 1010 平安事件响应处理1010.1 平安告警管理1113 . 2平安态势预警1114 .3联动处置1115 .4数据平安治理1116 .5 业务接口 1211平安资源管理要求1215. 6备用网络系统6、应根据态势感知系统中的关键功能的灾难恢复对网络容量及切换时间的要求，按照本钱风险平衡 原那么，选择备用数据通信的技术和线路带宽，确定网络通信设备的功能和容量，保证灾难恢复时，态 势感知系统能正常运作。应配备灾难恢复所需的通信线路；配备灾难恢复所需的网络设备，并处于就绪状态。15.7. 备用基础设施备用基础设施应能够存放备用数据处理系统和备用网络系统，且保持7*24h运行。15.8. 灾备支持能力要求灾备场地应满足以下要求：a） 7*24h专职计算机房管理人员b）专职数据备份技术支持人员c）专职硬件网络技术支持人员灾备场地运行维护管理能力应明确态势感知系统灾备场地的运行维护管理组织架构、人员数量、管理制度等，具体应满足下 列要求：a）有截止存取、验证、存储管理制度b）按介质特性对备份数据进行定期的有效性验证c）有备用计算机房运行管理制度d）有硬件和网络运行管理制度e）有电子传输数据备份系统运行管理制度f）有相应的经过测试和演练的灾难恢复预案15.5.15IL 1平安策略管理12IL 2平安事件管理121L 3威胁情报管理1212 平台平安管理121 2.1标识与鉴别能力1212 . 2角色管理能力1212. 3远程管理能力 1312.4系统平安防范1312.5 审计能力1312.6系统报警能力1313数据平安要求1313. 1 总体要求1313. 2数据采集平安1313 . 3数据传输平安 1414 .4数据存储平安1413. 5数据处理平安 1413. 6数据共享平安1414. 7数据销毁平安14性能要求1414 灾备要求151.1 1 总体要求151.2 冗余151.3 容错能力151.4 数据备份系统151.5 5备用数据处理系统1515. 6备用网络系统1515.7备用基础设施 1515. 8灾备支持能力要求 1515. 9灾备场地运行维护管理能力 15II电力系统网络平安态势感知平台通用技术要求1范围本文件规定了电力系统网络平安态势感知平台的基本组成框架、数据采集、数据处理和转化、平 台分析、平安态势展示、数据共享、平安事件响应处理的要求，以及平安资源管理、平台平安管理、 数据平安要求、性能要求和灾备要求等。本文件适用于电力系统网络平安态势感知平台的设计、开发和应用。2规范性引用文件以下文件中的内容通过文中的规范性引用而构本钱文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。GB/Z 20986信息平安技术信息平安事件分类分级指南GB/T 20988信息系统灾难恢复规范3术语和定义以下术语和定义适用于本文件。35、态势感知 s i tuat i on awareness认知大量时间和空间中的环境要素，理解它们的意义，并预测它们在不久将来的状态，以实现决 策优势。32网络平安态势感知 cyber secur ity situation awareness在大规模的网络环境中，对大量时间和空间中的能够引起网络平安态势发生变化的要素进行获取、 理解、显示，并预测它们在不久将来的状态，以实现决策优势。3,3、威胁情报 threat i nte I I i gence一种基于证据的知识，包含了上下文、攻击机制、攻击指标、启示和可行建议。威胁情报描述了 现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种 响应。3.4、平安设备 security device为保护网络空间平安使用的硬件设备。基本的平安设备有：防火墙，IDS （入侵检测系统）， IPS （入侵防护系统），平安隔离网闸，WAF （WEB应用防火墙）等。3.5、平安探针 security probe为平安分析平台提供各类分析数据的软件或者硬件产品。传统平安设备如：防火墙，IDS （入侵检 测系统），IPS （入侵防护系统），WAF （WEB应用防火墙）,DPI （深度包分析系统）在具备平安分析 平台联动时可以视作为平安探针。一些新兴的产品：如终端数据采集器、全流量采集器等也是平安探 针。平安探针收集各类平安类数据，为平安分析平台做进一步分析研判和处置提供基础数据来源。3.6、日志Log网络设备、系统及服务程序等，在运作时产生的事件记录。每一行日志都记载着日期、时间、使 用者及动作等相关操作的描述。37事件 I nc i dent任何违反系统或服务平安性规那么的行为。这包括尝试获得未经授权的访问，未经授权使用系统来 处理或存储数据，恶意破坏或拒绝服务以及未经所有者同意而更改系统的固件，软件或硬件。3.8、警报Alert关于已检测到或正在进行信息系统网络平安威胁的通知。3.9、事件数每秒Event per second系统每秒钟能够提供的日志条数，通常以每条日志0.5Klk字节数为基准。一般而言，EPS数值越 高，表示系统性能越好。3.10、灾难 backup for d i saster由于人为或自然原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水 平不可接受、到达特定的时间的突发性事件。3.11、灾难恢复 backup for d i saster为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行的状态、并将其支持的业务功能 从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。3.12、灾难备份 backup for d i saster为了灾难恢复对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力 进行备份的过程。3.13、灾难备份系统backup for d i saster用于灾难恢复，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。4系统架构4.1、态势感知平台概述本标准用于指导电力总部-省（直辖市）两级网络平安态势感知系统（以下简称：系统）的建设， 总部系统是由总部用于开展电力行业内的网络平安态势感知的信息系统；省级系统是由各省级电力主 管部门建设的用于开展本省网络平安态势感知的信息系统。系统主要用于采集电力监控系统、各级实 时监控与预警类应用、调度管理类应用、关键网络节点和重要业务系统等的平安运行数据，如能量管理系统、电能量记录系统、电力二次系统及平安防护设备、电力监控系统网络平安管理平台、网络与 信息平安风险监控预警平台等，实现资产识别、平安评估、监测预警、态势感知、威胁情报和信息通 报等功能。通过智能决策，辅助分析人员开展监测分析、处置工作，提供决策建议；通过联动处置， 实现告警的一键处置；通过溯源反制，建立还击能力。同时，总部系统对接中央网信办、公安部等国 家机构网络平安监测预警及态势感知平台，共享国家网络平安监测数据；对接各省级系统，形成网络 平安事件预警通报机制，并共享知识库、情报库数据。42、态势感知平台总体框架网络运营者要建立网络平安态势感知能力，既需要采集多源异构的数据，也需要相应系统进行检 测分析，同时也离不开数据（包括事件、威胁情报等）共享、人工辅助分析。本标准在电力系统中部 署平安态势感知系统，分别采集生产控制大区及信息管理大区的平安数据进行分析，态势感知系统与 电力系统的交互图建图1。生产控制大区电力 态势感知系统信息管理大区电力 态势感知系统数据采集、传输图1电力系统平安态势感知交互图态势感知系统层次划分见图2。系统划分为平安数据层、数据分析层、监测预警层和态势展示层。 平安数据层包括数据采集、数据预处理、数据存储，将根据不同数据对象采用不同的采集方式获得原 始平安数据并存储。数据分析层包括网络威胁分析、软件平安分析，数据平安分析、脆弱性分析、资 产风险分析、用户行为分析、平安事件回溯分析、态势评估分析。监测预警层包括平安告警、态势预 警、联动处置、风险预警、整改通知、事件上报。态势展示层包括整体态势展示、专题态势展示、数 据查询、统计报表、分析报告。另外，通过系统资源管理实现对系统各种策略和知识库的管理。系统 内各组成局部之间及系统与外部通过数据服务接口实现统一对接。态势展示层整体态势感知专题态势展示数据查询统计报表分析报告联动处置态势预警平安告警 风险预警整改通知事件上报系统资源管理数据分析层网络威胁分析数据平安分析软件平安分析用户行为分析脆弱性分析资产风险分析平安风险回溯态势评估分析网络资产分析战备分析平安数据层数据采集数据预处理数据存储采集方式WebserviceSyslogAgentSNMP数据服务接口平安子系统主机和终端网络和平安设备电力业务系统桌面终端主机网络设备运行管理采网络特征分析数据库防火墙调度管理集东综合审计中间件IDS/IPS通信网络管理对象数据库审计接入平台在线平安分析ISS交互平台电力市场交易隔离装置电能量计量网络流量内网流量外网出口流量工控系统流量JDBC监测预警层图2态势感知系统层次框架图5数据采集要求55、数据来源本项要求包括但不限于：a）平安防护设备：如防火墙、Web应用防火墙、入侵防护系统等；B 平安检测设备：如入侵检测系统、各平安探针（全流量采集器、终端平安采集器等）、漏洞 扫描系统等；a 电力业务系统：如用户用电采集系统、电网负载预测系统、gis系统、营销系统、供应链相 关设备和系统等；d电力业务终端：如用电信息采集终端、专变采集终端、集中抄表终端、分布式能源监控终端等；日 共享数据：如共享的资产类数据、威胁情报数据，应支持人工录入/第三方共享/关联设备生 成等方式进行提供。5、2、数据分类本项要求包括但不限于：a）心跳/存活类数据：传统平安设备（防火墙、Web应用防火墙、入侵防护系统、入侵检测系统 等），各平安探针（全流量采集器、终端平安采集器等）等主动周期性进行上报；B 基本信息类数据：传统平安设备（防火墙、Web应用防火墙、入侵防护系统、入侵检测系统 等），各平安探针（全流量采集器、终端平安采集器等）等主动周期性上报；0 平安监控告警数据：传统平安设备（防火墙、Web应用防火墙、入侵防护系统、入侵检测系 统、漏洞扫描系统等），各平安探针（全流量采集器、终端平安采集器等）等实时上报； 流量数据：各平安探针（全流量采集器、终端平安采集器等）按需实时上报；a 业务监控告警数据：电力业务系统（用户用电采集系统、用电信息采集终端、专变采集终端、 集中抄表终端、分布式能源监控终端等）等实时上报；a 资产类数据：由人工录入/主动探测/被动识别等技术或产品进行填报或上报； 威胁情报数据：由人工录入/第三方共享/关联设备生成等方式进行提供。5.3、 米集工具本项要求数据采集应支持主动数据采集、被动数据采集等工具或方式。主动数据采集工具或方式 包括：a）被采集设备或系统应能支持主动方式，可实时、或周期性向上级分析平台或系统上报本设备 或系统的运行状态、监控告警等数据；N 上级分析平台或系统应支持Web用户接口、或开放接口 （syslog, RESTful, WebService等） O用于人工录入、或外部系统调用的方式进行共享数据导入；a 被动数据采集工具或方式包括；a 应能在核心交换机处部署流量分析系统进行采集和上报，如全流量采集器。全流量采集器应 具备基于交换机原始镜像流量对相关流量进行数据采集和上报，或提供开放接口，由上级分 析平台或系统进行全流量采集器的接口调用的方式完成信息采集；a 应能支持在被监控设备或系统安装第三方监控软件进行采集和上报，由第三方监控软件替代 被采集设备或系统进行数据采集和上报。5.4、 数据服务接口本项要求包括但不限于：A 数据接收方应提供通用开放接口，包括但不限于：syslog> RESTful> WebService等，用于 外部系统调用，进行数据的读取或写入；B 数据来源方应能支持通用数据共享接口 syslogo主动向上级平台或系统进行数据上报，包括 但不限于 syslog> RESTful、WebService 等；a 数据来源方应支持通用开