YDT 2387-2011 网络安全监控系统技术要求

5.3.4资源占用情况

资源占用情况应从网络安全监控系统的CPU占用率、内存占用率和带宽占用率3个方面综合考虑。在 同等有效性下，资源占用率越低越好。

5.3.5其它性能要求

网络安全监控系统应具有高的可靠性，保证能够防御一定程度的网络攻击焊接标准，需要考虑各种失效 括单点失效、通信失效等。

6网络安全监控系统技术要求

6.1数据采集技术要求

数据采集系统是网络安全监控系统的基础，数据采集应遵循准确性、完备性、实时性、可兼容性等 要求

数据采集系统应从时间、空间、事件3个维度综合考虑数据采集的实施： 一一从时间维度来说，数据采集不但应满足网络安全监控系统对实时性的要求，而且应采集到被监 控网络每一个时刻的网络安全数据： 一一从空间维度来说，针对大规模、国家级的网络，数据采集应采集到关键网络、关键节点、核心 设施乃至整个网络的数据； 一一从事件维度来说，数据采集应采集到包括流量数据、拓扑数据、服务状态数据、漏洞脆弱性数 据以及各种网络攻击威胁数据。

6.2网络安全事件集成与分析技术要求

数据采集部分由于采用的是分布式可扩展的数据集成技术，因此从各数据点传输过来的数据来自不 司的网络节点和不同的安全设备，其收集的数据可能存在很大的重合性，必须对收集到的数据进行过滤 去重，便于还原出数据的原来面貌。除此之外，需要对收到的数据按照不同的类型进行分类，这样便于 后续数据做进一步的处理。

事故定义应详细描述清楚如何由网络安全事件产生网络安全事故，为后面的安全事故发现和挖掘提 供详细的专家知识，事故定义应由网络安全专家通过分析网络攻击行为特征和网络攻击原理综合给出。

6.2.3网络安全事故发现技术

网络安全事故的发现应采取关联分析技术对不同地点、不同时间、不同层次的网络安全告警进行多 维度的关联分析，从而挖掘出真实安全事故，识别真实的安全风险。网络安全事件关联分析技术应该具 有从最大限度上降低系统误报率和漏报率的能力。网络安全事件通过关联分析产生网络安全事故至少应 完成下述的关联分析： 一事件与资产的关联； 一事件与事件的关联； 一事件与漏洞脆弱性的关联。

事故报告应能够存储网络安全事故的产生过程，通过事故报告能够反映出该网络安全事故是日 网络安全事件作用于哪些资产的哪些漏洞产生的

事故响应应根据产生的安全事故生成相对应的事故响应数据，根据不同的响应策略由网络安全告警 莫块将生成的事故响应数据定向发布给特定的网络安全管理人员。发布的信息应该包括： 一网络安全事件开始的时间： 一网络安全事件的类型、名称： 一网络安全事件源地址、目的地址、源端口、目的端口： 一网络安全事件的关联过程： 网络安全事件的处理措施及防护建议

安全预警在网络安全监控系统历史数据的基础上，通过综合分析，对下一步的网络安全态势做出一 个预期的判断，便于给管理者对未来所面临的安全状况做出一个预先的准备，尽可能减少网络攻击等行 为给整体网络运行带来的危害。安全预警至少应从以下几个粒度进行： 一应支持短期预测（分钟级）： 一应支持中期预测（小时级）；

6.3网络态势展示技术要求

网络态势展示应从事件维度对各种不同的网络事件态势进行展示，需要根据用户的需求展示出具体 某一种网络安全事件的态势情况，事件维度宜覆盖以下几类事件。 一分布式拒绝服务攻击事件：

网络态势展示应从不同时间刻度对网络安全态势进行展示，具体应支持以下几个时间维度： 一应支持实时级、小时级、天级的网络安全态势展示； 一应支持现有数据同往年同期的数据比较展示； 一应支持现有数据同上几个月的数据比较展示： 应支持分钟级、小时级、周级的网络安全态势预测展示。

对于一个大规模的、国家级的网络安全监控系统，应按照网络的层次结构对不同规模的网络态 展示，应支持国家级、省级及市县级的网络安全态势展示。

6.4安全告警技术要求

安全告警就是要对网络安全事件分析产生的重大安全警报进行实时的告警，应支持以下的儿种告箸 方式： 一通过铃声、指示灯产生报警信号； 一通过电子邮件的方式产生报警信号： 一通过手机短消息的方式产生报警信号

网络安全监控系统的知识库 洞等识别的基础市政工艺、技术，应具备完整性、可靠性等特 口对现有的一些知识库进行转换。

漏洞库存放标准的漏洞信息，包括漏洞的名称、威胁级别、建议的处置方式等。 漏洞库应支持实时的更新，包括人工更新和网络更新。 漏洞库应支持对现有漏漏库的转换集成。

威胁库存放标准的威胁信息，包括威胁的名称、危害性的大小、建议的处置方式等。

7网络安全监控系统接口要求

电力标准7.1.1数据采集接口

表1网络安全事件格式

7.1.2网络告警接口