《信息安全技术信息系统安全运维管理指南(GB-T 36626-2018).pdf》由会员分享,可在线阅读,更多相关《信息安全技术信息系统安全运维管理指南(GB-T 36626-2018).pdf(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、CS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/TXXXXXXXXX信息安全技术信息系统安全运维管理指南Information security technology Management guide for secure operation andmaintenance of information systems(报批稿)(本稿完成日期:2017-11-24)XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.II引言.III1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 信息系统安
2、全运维体系.25.1 安全运维模型.25.2 安全运维活动分类.35.3 安全运维活动要素.35.4 安全运维管理原则.36 安全运维策略.36.1 安全运维策略制定.36.2 安全运维策略评审.47 安全运维组织.47.1 安全运维的角色和责任.47.2 聘用前审查.57.3 工作履责.57.4 聘用终止和变更.68 安全运维规程.68.1 资产管理.68.2 日志管理.78.3 访问控制.78.4 密码管理.88.5 漏洞管理.98.6 备份.98.7 安全事件管理.98.8 应急响应.119 安全运维支撑系统.119.1 信息系统安全服务台.119.2 资产管理系统.119.3 漏洞管理
3、系统.129.4 入侵检测系统.129.5 异常行为监测系统.129.6 关联分析系统.13参考文献.14GB/T XXXXXXXXXII前言本标准按照GB/T 1.12009标准化工作导则第1部分:标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:浙江远望信息股份有限公司、中电长城网际系统应用有限公司、中国电子技术标准化研究院、国家信息中心、北京立思辰新技术有限公司、西安未来国际信息股份有限公司、广州赛宝认证中心服务有限公司。本标准主要起草人:傅如
4、毅、蒋行杰、上官晓丽、马洪军、闵京华、王惠莅、刘蓓、傅刚、白峰、邵森龙、金江焕、姚龙飞、刘京玲、赵伟、赵拓、陈盈、刘海迪。GB/T XXXXXXXXXIII引言信息系统及其运行环境都存在着脆弱性,易受到各种安全威胁,影响业务正常运行。有效的安全运维管理,可以规范组织的安全运维行为,降低系统受攻击的概率,提升安全事件的应对效率,保障信息系统的安全运行。GB/T 220812016信息技术安全技术信息安全控制实践指南、GB/T 28827.12012信息技术服务运行维护第1部分:通用要求、GB/T 28827.32012 信息技术服务运行维护第3部分:应急响应规范、GB/T 250582010信息
5、安全技术信息系统安全等级保护实施指南、GB/T317222015信息技术安全技术信息安全风险管理(ISO/IEC 27005:2008,IDT)等国家标准对信息系统安全运维都有所涉及,但每个标准只给出了安全运维的部分内容,系统性不够。为有效指导信息系统安全运维,本标准从安全运维策略、安全运维组织、安全运维规程和安全运维支撑系统四个方面,系统性的描述了信息系统安全运维管理体系,给出了安全运维活动的目的、要求和实施指南。本标准为政府部门和企事业单位在安全运维领域实施GB/T220812016信息技术安全技术信息安全控制实践指南、GB/T 202692006信息安全技术信息系统安全管理要求、GB/T
6、 24405.12009信息技术服务管理第1部分:规范和GB/T 24405.22010信息技术服务管理第2部分:实践规则以及COBIT 5等标准提供指导。GB/T XXXXXXXXX1信息安全技术信息系统安全运维管理指南1范围本标准描述了信息系统安全运维管理体系,给出了安全运维策略、安全运维组织、安全运维规程和安全运维支撑系统等方面相关活动的目的、要求和实施指南。本标准可用于指导政府部门和企事业单位信息系统安全运维管理体系的建立和运行。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)
7、适用于本文件。GB/T 220812016信息技术安全技术信息安全控制实践指南(ISO/IEC 27002:2016,IDT)GB/T 28827.32012信息技术服务运行维护第3部分:应急响应规范GB/T 29246XXXX信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC 27000:2016,IDT)GB/T 317222015 信息技术安全技术信息安全风险管理(ISO/IEC 27005:2008,IDT)3术语和定义GB/T 29246-XXXX 界定的以及下列的术语和定义适用于本文件。3.1信息系统安全威胁information system security threa
8、t信息系统可能遭受到的内外部攻击。3.2信息系统安全运维secure operation and maintenance of information systems在信息系统经过授权投入运行之后,确保信息系统免受各种安全威胁所采取的一系列运维活动。3.3信息系统安全运维策略secure operation strategy of information systems信息系统安全运维的目标、实现方法。3.4信息系统安全运维规程secure operation procedureof information systems明确信息系统安全运维管理人员对系统安全运维的操作步骤和对安全事件的处置方
9、法。GB/T XXXXXXXXX23.5信息系统安全运维支撑系统support system for secure operation and maintenance ofinformation systems用于支撑信息系统安全运维的辅助性系统工具(SIEM系统)。包括但不限于资产自动发现系统、配置管理系统、脆弱性扫描系统、补丁管理系统、入侵检测系统、异常行为监测系统、日志管理系统及大数据安全系统等。4缩略语下列缩略语适用于本文件。ITIL:信息技术基础架构库(Information Technology Infrastructure Library)SIEM:安全信息和事件管理(Secur
10、ity Information and Event Management)5信息系统安全运维体系5.1安全运维模型信息系统安全运维体系是一个以业务安全为目的的信息系统安全运行保障体系。通过该体系,能够及时发现并处置信息资产及其运行环境存在的脆弱性、入侵行为和异常行为。信息系统安全运维模型如图1所示。图1 信息系统安全运维模型GB/T XXXXXXXXX35.2安全运维活动分类安全运维体系涉及安全运维策略确定、安全运维组织、安全运维规程制定和安全运维支撑系统建设等四类活动。安全运维策略明确了安全运维的目的和方法,主要包括策略制定和策略评审两个活动。安全运维组织明确了安全运维团队的管理,包括运维的
11、角色和责任、聘用前审查、工作履责、聘用终止和变更。安全运维规程明确了安全运维的实施活动,包括资产管理、日志管理、访问控制、密码管理、漏洞管理、安全事件管理、安全事件应急响应及安全审计等。安全运维支撑系统给出了主要的安全运维辅助性系统的工具。5.3安全运维活动要素本标准从目的、要求和实施指南三个方面对每个安全运维活动进行了描述。目的部分描述了安全运维活动的意义。要求部分描述了安全运维活动的指标要求。实施指南描述了达成安全运维活动目标、实现安全运维要求的方法和手段。5.4安全运维管理原则为了保证运维体系的可靠性和有效性,安全运维体系建设应遵循以下内容:a)应基于策划、实施、检查和改进的过程进行持续
12、完善。可以根据信息系统的安全保护等级要求,对控制实施情况进行定期评估;b)安全运维体系建设应兼顾成本与安全。应根据业务安全需要,制定相应的安全运维策略、建立相应的安全运维组织、制订相应的安全运维规程及建设相应的安全运维支撑系统。6安全运维策略6.1安全运维策略制定6.1.1目的依据业务要求和相关法律法规,为信息系统安全运维提供原则与指导。6.1.2要求信息系统安全运维策略制定完成后,宜由管理者批准,并发布、传达给安全运维团队和其他相关人员。6.1.3实施指南在最高层面应定义“信息系统安全运维策略”,用以明确信息系统安全运维的目标和方法。该策略由管理层批准,并指定机构管理其信息系统安全运维的目标
13、和方法。信息系统安全运维策略主要关注来自业务安全战略、安全运维目标、法律法规和合同、当前和预期的信息系统安全威胁环境等方面产生的要求。信息系统安全运维策略主要涉及以下内容:.信息系统安全运维目标和原则的定义。先确定利益相关者的安全需求,再确定企业的安全目标,然后进一步确定信息系统的安全目标,最终确定信息系统安全运维目标。根据已确定的信息系统安全运GB/T XXXXXXXXX4维目标,制定相应的安全运维原则,包括分层防护、失效安全、最小特权、分区隔离、保护隐私和日志记录等;.把信息系统安全运维管理方面的一般和特定责任分配给已定义的角色;.处理偏差和意外的过程。在较低层面,信息系统安全运维策略由特
14、定主题策略予以支持,这些主题策略进一步强制性地规定了信息系统及其运行环境的安全运维控制。特定主题策略包括:资产管理;信息系统安全分级;访问控制;物理和环境安全;备份;信息传输;恶意软件防范;脆弱性管理;入侵管理;异常行为管理;密码控制;通信安全。这些策略宜采用适合的、可访问和可理解的形式传达给安全运维团队、员工和外部相关方。6.2安全运维策略评审6.2.1目的确保安全运维策略的适宜性、充分性和有效性。6.2.2要求基于一定的时间间隔或当信息系统、信息系统环境或业务安全需求发生重大改变时,宜对信息系统安全运维策略进行评审。6.2.3实施指南指定专人负责策略的制定、评审和评价。评估安全策略和信息系
15、统安全运维方法的持续改进,以适应组织环境、业务状况、法律法规或技术环境发生的变化。策略的修订由管理层批准。7安全运维组织7.1安全运维的角色和责任7.1.1目的明确运维团队中的角色和责任。7.1.2要求GB/T XXXXXXXXX5定义和分配信息系统安全运维的所有责任。7.1.3实施指南信息系统安全运维责任的分配与信息系统安全运维策略相一致。定义信息系统运行安全风险管理活动的责任,特别是接受残余风险的责任。定义信息系统保护和执行特定安全过程的责任。指明运维人员个体负责的领域,特别是下列工作:a)识别和定义信息系统面临的风险;b)指定信息系统安全责任主体,并且该主体的责任细节要形成文件;c)被指
16、定人员要具备信息系统安全运维的能力,且能持续跟进相关领域的发展,使其能够履行信息系统安全运维责任;d)参照ITIL提出的运维团队组织模式,建立三线安全运维组织体系。一线负责安全事件处理,快速恢复系统正常运行;二线负责安全问题查找,彻底解决存在的安全问题;三线负责修复设备存在的深层漏洞。7.2聘用前审查7.2.1目的确保聘用人员具有符合其角色的要求和技能。7.2.2要求按照岗位职责要求,宜对被任用者进行审查。7.2.3实施指南审查应考虑以下内容:a)有效的可接受的推荐材料(例如,企业出具和个人出具的文字材料等);b)申请人履历的验证(针对该履历的完备性和准确性);c)声称的学历、专业资质的证实;
17、d)独立的个人身份验证(护照或类似文件);e)更多细节的验证,例如信用核查或犯罪记录核查等。7.3工作履责7.3.1目的确保信息系统安全运维人员理解并履行信息系统安全运维责任。7.3.2要求安全运维人员宜按照已建立的策略、规程和工具进行安全运维工作。7.3.3实施指南宜建立岗位手册作为安全运维指南。岗位手册内容宜包括:岗位职责;工作模板;工作流程;GB/T XXXXXXXXX6支撑工具。宜进行信息安全意识教育和培训。信息安全意识教育和培训宜包括:信息安全意识培训旨在使安全运维人员,适当时,包括合同方,了解他们的信息系统安全运维责任法;信息安全意识教育和技能培训方案应按照组织的信息安全策略和相关
18、规程建立。岗位技能培训旨在使安全运维人员和团队具备相应的岗位技能。宜有正式的违规处理过程对违规的安全运维人员进行处罚。内容包括:在没有最终确定违规之前,不能开始违规处理过程;正式的违规处理过程宜确保对运维工程师给予了正确和公平的对待。无论违规是第一次或是已发生过,无论违规者是否经过适当地培训;违规处理过程对运维工程师也是一种威慑,防止他们违反组织的信息系统安全运维策略和规程。7.4聘用终止和变更7.4.1目的在聘用变更或终止过程中保护组织的利益。7.4.2要求确定聘用终止或变更后不会导致出现信息系统安全事件。7.4.3实施指南聘用终止或变更意味着相应人员岗位职责和法律责任的终止。为了保护双方的
19、权益,聘用终止或变更后应及时终止或变更相关人员的相应职责、权限和内容。终止或变更的职责、权限和内容包括但不限于以下事项:a)岗位合同;b)信息系统访问权限;c)安全运维支撑系统访问权限。8安全运维规程8.1资产管理8.1.1目的识别与信息系统相关的所有资产,构建以资产为核心的安全运维机制。8.1.2要求及时识别资产及资产之间的关系。8.1.3实施指南将信息系统相关软硬件资产进行登记,形成资产清单文件并持续维护。资产清单要准确,实时更新并与其他清单一致。为每项已识别的资产指定所属关系并分级。明确资产(包括软硬件、数据等)之间的关系,包括部署关系、支撑关系、依赖关系。GB/T XXXXXXXXX7
20、确保实现及时分配资产所属关系的过程。资产在创立或转移到组织时分配其所有权并指定责任者。资产责任者宜对资产的整个生命周期负有适当的管理责任。基于资产对业务的重要性,按照GB/T 31722-2015中的“附录B 资产识别和估价以及影响评估”的方法计算资产的价值。基于已发现的安全漏洞或已发生的安全事件,总结并形成每一个设备或系统的安全检查清单。安全检查清单需要动态维护。建立介质安全处置的正式规程,减小保密信息泄露给未授权人员的风险。包含保密信息介质的安全处置规程要与信息的敏感性相一致。宜考虑下列条款:a)包含有保密信息的介质被安全地存储和处置,例如,利用焚化或粉碎的方法,或者将数据擦除,供组织内其
21、他应用使用;b)有规程识别可能需要安全处置的项目;c)将所有介质部件收集起来并进行安全处置,可能比试图分离出敏感部件更容易;d)许多组织提供介质收集和处置服务;注意选择具有足够控制和经验的合适的外部方;e)对处置的敏感项作记录,以便维护审核踪迹。当大量处置介质时,考虑可导致大量不敏感信息成为敏感信息的集聚效应。可能需要对包含敏感数据的已损坏设备进行风险评估以确定其部件是否宜进行物理销毁,而不是被送修或废弃。8.2日志管理8.2.1目的发现攻击线索,用作内部纪律处罚依据或司法证据。8.2.2要求全面收集并管理信息系统及相关设备的运行日志,包括系统日志、操作日志、错误日志等。8.2.3实施指南全面
22、收集信息系统的运行日志,并进行归一化预处理,以便后续存储和处理。原始日志信息和归一化处理后的日志信息分别进行存储。原始日志信息存储应进行防篡改签名,以便可以作为司法证据;已归一化的日志进行结构化存储,以便检索和深度处理。对日志信息进行多种分析:一是攻击线索查找分析。在系统受到攻击后,需要通过日志分析找到攻击源和攻击路径,以便清除木马和病毒,并恢复系统正常运行;二是日志交叉深度分析。通过定期的交叉分析,以发现并阻断潜在攻击;三是对攻击日志进行历史分析,发现攻击趋势,以实现早期防御。8.3访问控制8.3.1目的按照业务要求限制对信息和信息系统的访问。8.3.2要求基于业务和信息系统安全要求,建立物
23、理环境、设备、信息系统的访问控制策略,形成文件并进行评审。8.3.3实施指南GB/T XXXXXXXXX8信息系统安全责任者需要为特定用户角色确定适当的访问控制规则、访问权及限制,其详细程度和控制的严格程度反映相关的信息安全风险。访问控制包括逻辑和物理的。应为用户和服务提供商提供一份清晰的说明书,其中陈述了访问控制所要满足的业务要求。访问控制应考虑到下列内容:业务应用的安全要求;信息传播和授权的策略,例如:“需要知道”的原则和信息安全级别以及信息分级的需要;系统和网络的访问权限和信息分级策略之间的一致性;关于限制访问数据或服务的相关法律和合同业务;在了解各种可用的连接类型的分布式和网络化环境中
24、,访问权的管理;访问控制角色的分离,例如访问请求、访问授权、访问管理;访问请求的正式授权要求。制定一个有关网络和网络服务使用的策略。该策略包括:允许被访问的网络和网络服务;确定允许哪些人访问哪些网络和网络服务的授权规程;保护访问网络连接和网络服务的管理控制和规程;访问网络和网络服务使用的手段;访问各种网络服务的用户鉴别要求;监视网络服务的使用。实现正式的用户注册及注销过程,以便分配访问权。管理用户ID过程包括:使用唯一用户ID,使得用户与其行为链接起来,并对其行为负责,在对于业务或操作而言,必要时,才允许使用共享ID,并经过批准和形成文件;立即禁用已离开组织的用户ID,并在禁用一段时间后视情况
25、进行删除;定期识别并删除或禁用冗余的用户ID;确保冗余的用户ID不会分发给其他用户。用于对用户ID访问权进行分配或撤销的配置过程包括:针对信息系统或服务的使用,从系统或服务的责任者那里获得授权;验证所授予的访问程度是否与访问策略相适宜,是否与职责分离等要求相一致;确保授权过程完成之前,访问权未被激活;维护一份集中式的访问权记录,记载所授予的用户ID要访问的信息系统和服务。对访问的限制基于各个业务应用要求,并符合已制定的组织访问控制策略。8.4密码管理8.4.1目的使用适当的和有效的密码技术,以保护信息的保密性、真实性和完整性。8.4.2要求基于信息资产的重要性,选用不同复杂度密码。8.4.3实
26、施指南GB/T XXXXXXXXX9在密码算法方面,支持国家密码管理主管部门批准使用的密码算法,使用国家密码管理主管部门认证核准的密码产品,遵循相关密码国家标准和行业标准。符合GB/T 220812016中的“10.1.1密码控制的使用策略”要求。8.5漏洞管理8.5.1目的防止信息系统及其支撑软硬件系统的脆弱性被利用。8.5.2要求全面了解信息系统及其支撑软硬件系统存在的脆弱性或漏洞,获取相关信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。8.5.3实施指南可通过两种方式获取信息系统及其支撑软硬件系统存在的脆弱性或漏洞:一是借助漏洞扫描工具对信息系统及其软硬件系统存在的漏
27、洞进行扫描,以发现存在的脆弱性;二是通过官方渠道及时了解信息系统及其支撑软硬件系统存在的脆弱性。及时更新信息系统和相应的支撑软硬件设备,以保持系统处于安全状态。先对更新进行测试,以避免更新出现问题导致业务中断;测试成功后,再正式部署系统更新包。8.6备份8.6.1目的防止信息丢失。8.6.2要求基于信息安全策略,制定备份策略,并保证备份的有效性和可靠性。8.6.3实施指南可根据业务数据的重要程度设定相应的备份策略。可选择的备份方式有完全备份、差异备份或增量备份;可选择的备份地点有同城备份或异地备份等。对已备份的数据每月进行一次恢复演练,以保证备份的可用性和灾难恢复系统的可靠性。8.7安全事件管
28、理8.7.1目的确保快速、有效和有序地响应信息系统安全事件。8.7.2要求采用一致和有效的方法对信息系统安全事件进行管理,包括对安全事态和弱点的通告。8.7.3实施指南信息系统安全事件管理责任和规程考虑下列指南:a)建立管理责任以确保以下规程被制定并在组织内得到充分的交流:GB/T XXXXXXXXX101)规划和准备事件响应的规程;2)监视、发现、分析和报告信息安全事态和事件的规程;3)记录事件管理活动的规程;4)处理司法证据的规程;5)评估和决断信息系统安全事态以及评估安全弱点的规程;6)包括升级、事件的受控恢复、与内外部人员或组织沟通在内的响应的规程。b)所建立的规程确保:1)胜任的人员
29、处理组织内的信息系统安全事件相关问题;2)建立安全事件发现和报告的联络点。c)报告规程包含:1)准备信息系统安全事态报告表格,以便在信息系统安全事态发生时支持报告行动和帮助人员在报告时记住所有必要的行动;2)在信息安全事态发生时所采取的规程,例如立刻注意到所有细节(诸如不合规或违规的类型、发生的故障、屏幕上的消息),并立刻向联络点报告和仅采取协调行动;3)参考已建立的正式纪律处罚过程来处理安全违规的员工;4)适宜的反馈过程,以确保信息系统安全事态报告人员在问题被处理并关闭后得到结果的通知。运维团队知道他们有责任尽可能快地报告信息系统安全事态。他们还知道报告信息系统安全事态的规程和联络点。可进行
30、信息系统安全事态报告的情况如下:无效的安全控制;违背信息完整性、保密性或可用性的预期;人为差错;不符合策略或指南;物理安全安排的违规;不受控的系统变更;软件或硬件的故障;非法访问。服务台使用已商定文件化的信息系统安全事态和事件分级尺度评估每个信息系统安全事态,并决定该事态是否该归于信息系统安全事件。事件的分级和优先级有助于标识事件的影响和程度。详细记录评估和决策的结果,供日后参考和验证。对信息系统安全事件的严重程度予以不同的响应,甚至启动应急响应。响应包括:事件发生后尽快收集证据;按要求进行信息安全取证分析;按要求升级;确保所有涉及的响应活动被适当记录,便于日后分析;处理发现的导致或促使事件发
31、生的信息系统安全弱点;一旦事件被成功处理,正式将其关闭并记录。制定内部规程,并在收集与处理用于纪律和法律目的的证据时遵守。这些规程考虑:监管链;证据的安全;人员的安全;所涉及人员的角色和责任;人员的能力;GB/T XXXXXXXXX11文件化,并有数字签名;简报。8.8应急响应8.8.1目的正确、高效、快速响应重大或灾难性安全事件。8.8.2要求快速恢复业务运行。8.8.3实施指南依据GB/T 28827.3-2012实施。9安全运维支撑系统9.1信息系统安全服务台9.1.1目的对信息系统安全事件进行统一监控与处理。9.1.2要求建立一个集中的信息系统运行状态收集、处理、显示及报警的系统,并统
32、一收集与处理信息系统用户问题反馈。9.1.3实施指南服务台具备以下功能:a)能够收集并处理信息系统运行信息;b)能够显示信息系统安全状态和安全事件;c)能够对信息系统安全事件进行报警。可采用信息化工具或人工方式收集用户的问题反馈并进行统一处理。9.2资产管理系统9.2.1目的发现、管理所有与信息系统运行相关的软硬件系统,建立资产清单和资产配置清单。9.2.2要求手工或借助自动化工具发现所有与信息系统运行相关的软硬件系统。9.2.3实施指南可以利用商业或开源系统自动发现资产。该系统应具备以下功能:a)资产特征库应持续更新;GB/T XXXXXXXXX12b)应具有较高的自动发现率;c)支持手工录
33、入未能自动发现的软硬件系统;d)能够输出资产清单及资产配置清单;e)能够对资产及其配置信息进行查询、增加、修改和删除;f)能够与其他信息化工具进行信息共享。9.3漏洞管理系统9.3.1目的及时修补信息系统存在的漏洞。9.3.2要求定时扫描信息系统相关资产脆弱性,并对发现的漏洞进行及时加固。9.3.3实施指南系统应具备以下能力:a)能够及时更新漏洞库;b)能够发现系统存在的1day漏洞;c)能够发现不合规定的弱口令;d)能够对发现的问题进行告警提醒;e)能够对发现的漏洞进行补丁加固;f)能够对脆弱性进行查询、增加、修改和删除等操作;g)能够与其他系统共享信息。9.4入侵检测系统9.4.1目的及时
34、发现并阻断入侵攻击,降低业务损失。9.4.2要求可以检测和阻断多种入侵方式。9.4.3实施指南系统应具有以下能力:a)通过防火墙、IPS、IDS、WAF等系统构建一个全方位入侵检测体系;b)应与权威入侵模式库互换信息;c)能否有效检测并处置网络入侵、主机入侵、无线入侵和云入侵;d)能够对发生的入侵事件进行查询;e)能够与其他系统进行信息共享。9.5异常行为监测系统9.5.1目的及时发现存在的异常行为,以降低业务损失。GB/T XXXXXXXXX139.5.2要求及时发现存在的异常操作及行为。9.5.3实施指南系统应具备能力包括:a)能够及时更新异常行为特征库;b)能够监测异常行为,并报警提醒;
35、c)能够对异常行为进行必要的阻断;d)能够对已发生的异常行为进行查询;e)能够与其他系统进行信息共享。9.6关联分析系统9.6.1目的对安全信息与安全事件进行关联分析,以此发现单一安全设备发现不了的安全问题。9.6.2要求应能够收集、管理和分析安全大数据。9.6.3实施指南关联分析系统应具有以下能力:a)能够对关联模式进行建模;b)能够收集各种日志、事件等信息,形成安全大数据;c)能够基于关联模型对安全大数据进行有效分析,以发现潜在威胁与攻击;d)能够定时生成等保等相关标准符合度报告;e)能够与其他系统共享信息。AGB/T XXXXXXXXX14参考文献1GB/T 202692006信息技术信息系统安全管理要求2GB/T 24405.12009信息技术服务管理第 1 部分:规范(ISO/IEC 20000-1:2005,IDT)3GB/T 24405.22010信息技术服务管理第 2 部分:实践规则(ISO/IEC 20000-2:2005,IDT)4GB/T 28827.12012信息技术服务运行维护第 1 部分:通用要求5GB/T 28827.22012信息技术服务运行维护第 2 部分:交付规范_