【标准解读】网络安全产品互联互通框架解读

前言

2023年5月1日，GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》正式实施，对关键信息基础设施安全保护要求更加严格，提出要以攻击行为的监测发现为基础，主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施，开展攻防演习和威胁情报工作，提升对网络威胁与攻击行为的识别、分析和主动防御能力，而重点在于确保不同安全厂商的网络安全产品能够有效互联互通。

当前，各安全厂商产品类型复杂、同质化竞争严重，不同厂商产品的数据融合难，很难实现主动防御的需求；同时，在金融、电信等行业用户通过大量的投入初步实现特定场景下的网络安全产品互联互通，但是投入大、效果不明显，难以复制推广经验。

国家就此现状，着手开展网络安全产品互联互通相关政策、规范和技术的研究，旨在指导网络安全产品互联互通的设计、开发和应用，降低安全厂商、安全产品之间的适配成本，降低用户单位互联互通工作改造成本，提高互联互通效果。本文将向大家介绍网络安全产品互联互通框架的内容和应用场景，旨在明确不同厂家安全产品互联互通内容、安全产品后续设计方向以及国家对于网络安全建设的重视度。

框架介绍

2023年7月19日，全国信息安全标准化技术委员会发布《信息安全技术网络安全产品互联互通框架（征求意见稿）》（以下简称“互联互通框架”），规范网络安全产品互联互通功能和信息类型，打破多厂商网络安全产品信息无法共享的现状，加速中国网络安全建设。

互联互通框架主要从4个功能类型和6个信息类型介绍网络安全产品互联互通内容，通过统一的网络安全信息描述和安全功能实现，有效共享网络安全产品感知或产生的信息，协同不同网络安全产品的功能，支撑监测预警、信息共享、应急响应、态势感知等应用，提升网络安全防护能力和网络安全事件处置效率。详细框架如下图所示。

图1 网络安全产品互联互通框架

四大功能类型

3.1

识别功能

通过主动、被动方式识别网络、软硬件和数据等资产，分析终端和网络行为，形成资产、终端行为、网络行为、脆弱性和威胁信息。

可通过资产测绘、漏洞扫描、终端检测、设备管理等方式主动识别信息；可通过流量检测、日志分析等方式被动识别信息。

图2 四大功能类型-识别功能

3.2

防护功能

从身份鉴别、网络防护、应用防护、终端防护等层面实现安全防护，形成行为信息、告警信息。

图3 四大功能类型-防护功能

3.3

监测功能

对终端的进程、流量、文件及性能等重要信息；对网络流量进行入侵检测、APT检测、网络行为监测、域名解析检测和互联网信息监测，形成行为信息、告警信息；并存储和记录各类终端审计日志、网络审计日志、数据库审计日志、运维审计日志等。

图4 四大功能类型-监测功能

3.4

处置功能

当发现网络攻击、安全威胁时，通过事件自动化处置、攻击抑制、攻击溯源、通报预警和备份恢复等手段减缓网络风险。

图5 四大功能类型-处置功能

六大信息类型

4.1

行为信息

行为信息是对网络行为和终端行为的汇总，有助于组织识别可能面临的威胁和攻击模式，通常采用日志审计对各类原始日志统一收集、存储和分析。

图6 六大信息类型-行为信息

4.2

告警信息

告警信息是对各种网络安全告警进行分类，有助于组织更好地理解和响应不同类型的安全事件，提高安全防护和响应的效率。

在互联互通框架中，告警信息包括：恶意程序告警信息、网络攻击告警信息、数据安全告警信息、异常行为告警信息和其他告警。

图7 六大信息类型-告警信息

4.3

资产信息

资产信息在网络安全建设中扮演着关键角色，有助于组织更好的了解其风险、优化安全策略，并更有效地应对潜在的安全威胁，当各类网络安全的资产信息保持一致，将大幅度降低互联互通的难度。

在互联互通框架中，资产信息包括但不限于硬件设备、业务系统、操作系统、数据库、中间件、应用软件等。

图8 六大信息类型-资产信息

4.4

脆弱性信息

脆弱性是指系统、网络或应用程序中存在的潜在安全漏洞，可能被攻击者利用，从而导致安全风险。对脆弱性信息进行分类可以帮助确定其优先级和危险级，有助于组织在有限的资源下更有效地应对高危脆弱性。

描述系统软件、应用中间件、应用系统的脆弱性信息，可按照GB/T 30279-2020《信息安全技术网络安全漏洞分类分级指南》进行分类。

图9 六大信息类型-脆弱性信息

4.5

威胁信息

威胁信息是一种基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应和预防。威胁信息可分为域名类、IP类和文件类，威胁信息的要素包括但不限于网络安全事件、攻击指标、攻击方法、攻击活动等，参考GB/T 36643-2018《信息安全技术网络安全威胁信息格式规范》进行描述。

图10 六大信息类型-威胁信息

4.6

事件信息

事件信息是由于自然或人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的描述。事件信息按照GB/T 20986-2023《信息安全技术网络安全事件分类分级指南》的5.2进行分类。

图11 六大信息类型-事件信息

应用场景介绍

5.1

安全管理系统与网络安全产品互联互通

不同的网络安全产品通过与安全管理系统进行信息交互，安全管理系统对上报的各类信息进行规则匹配、归并和分析，生成相应的告警信息并调用各网络安全产品的相应功能模块实现互联互通。

威努特自主研发6大类40余款产品，提供全套网络安全产品，为用户网络提供全方位的安全保护；威努特态势分析与安全运营管理平台具备策略统一管理、资产管理、行为分析、告警管理、脆弱性管理、威胁管理、事件管理等功能，并结合威努特入侵检测/防御系统、威努特高级威胁检测系统、威努特漏洞扫描系统、威努特网络准入系统、威努特第二代防火墙系统、威努特终端检测与响应系统等，支撑安全事件的自动化处置和响应。以威努特产品为例，互联互通应用场景如下图所示。

图12 安全管理系统与网络安全产品互联互通

威努特态势分析与安全运营管理平台按照互联互通框架六大信息类型对采集到的各类信息存储和分析，并通过联动处置接口，实现边界防护类产品网络访问控制功能调用，脆弱性扫描类产品资产识别、脆弱性识别等功能调用，终端防护类产品攻击抑制等功能的调用，入侵防范类产品入侵检测等功能的调用。

5.2

防火墙与相关网络安全产品互联互通

威努特推出的防火墙系列产品有：工业防火墙、工业互联防火墙、第二代防火墙、WEB应用防火墙等。防火墙系列产品可根据终端防护类、脆弱性扫描类、入侵防范类等产品上报的资产信息、行为信息和告警信息更新访问控制策略，防范恶意攻击入侵。防火墙与相关网络安全产品互联互通应用场景如下图所示。

图13 防火墙与相关网络安全产品互联互通应用场景

总结

网络安全产品的互联互通对于构建综合性的安全防御体系至关重要，通过不同厂家安全产品之间的有效整合和协同工作，可以提高整体安全性，更好地检测、防御和应对威胁，降低安全厂商、安全产品的之间的适配成本，降低用户单位互联互通工作改造成本。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!