GB/T 38561-2020 信息安全技术 网络安全管理支撑系统技术要求

1 范围

      本标准规定了网络安全管理支撑系统的技术要求，包括系统功能要求、自身安全性要求和安全保障要求。

      本标准适用于网络安全管理工作的支撑系统的规划、设计、开发和测试。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南

3 术语和定义

      GB/Z 20986-2007界定的以及下列术语和定义适用于本文件。

3.1

      网络安全管理支撑系统 cybersecurity management support system

      基于组织的安全目标、对象、流程等，支撑组织开展网络安全管理工作的系统。

3.2

      对象 object

      网络安全管理中的实体。

      注：主要包括硬件资产、软件资产、数据资产、组织人员等。

4 缩略语

      下列缩略语适用于本文件。

      CPU：中央处理器（Central Processing Unit）

      DB：数据库（Data Base）

      FTP：文件传输协议（File Transfer Protocol）

      HTTP：超文本传输协议（HyperText Transfer Protocol）

      IP：互联网协议（Internet Protocol）

      MAC：媒体访问控制（Media Access Control 或 Medium Access Control）

      SNMP：简单网络管理协议（Simple Network Management Protocol）

5 概述

      网络安全管理支撑系统（以下简称支撑系统）是支撑组织开展网络安全管理工作的系统，实现对组

织的安全目标、对象、流程等进行信息化管理。本标准将支撑系统的技术要求分为系统功能要求、自身安全性要求和安全保障要求三类。

      系统功能要求主要包括安全目标管理、应急预案管理、对象管理、信息安全事件监测、运行监测、流程处理、统计分析、考核管理、发布与展示、采集与处理、数据交换、备份与恢复等。

      自身安全性要求主要包括身份鉴别、访问控制、权限管理、数据安全、安全审计等。

      安全保障要求主要包括配置管理保障、开发、测试保障、交付与运维保障、指导性文档、脆弱性分析、生命周期支持等。

6 系统功能要求

6.1 安全目标管理

      支撑系统具备组织安全目标管理功能，应满足以下要求：

      a）新增、删除、查询和修改安全目标；

      b）对安全目标进行分类管理；

      c）对安全目标进行发布与展示。

6.2 应急预案管理

      支撑系统具备应急预案管理功能，应满足以下要求：

      a）新增、删除、查询和修改应急预案信息；

      b）对应急预案进行分类、分级管理。

6.3 对象管理

      支撑系统具备对象管理功能，应满足以下要求：

      a）修改、删除和查询对象的信息；

      b）支持自动和人工方式采集对象的信息；

      c）对硬件资产、软件资产、数据资产、组织人员等信息进行管理，其中：

      1）对硬件资产信息进行管理，包括但不限于IP地址、MAC地址、硬件型号等；注1：硬件资产主要包括计算机、网络设备、安全设备、存储设备、安防设备及办公设备等。

      2）对软件资产信息进行管理，包括但不限于软件版本、安装位置、安装时间等；注2：软件资产主要包括安全系统、操作系统、工具软件、业务系统、网站等。

      3）对数据资产信息进行管理，包括但不限于文件位置、文件发布者等；

      注3：数据资产主要包括数据库文件、文档文件、音视频文件、图片等。

      4）对组织人员信息进行管理，包括但不限于账号、权限等。

      注4：组织人员主要包括管理人员、使用人员等。

6.4 信息安全事件监测

      支撑系统具备信息安全事件监测功能，应满足以下要求：

      a）参照GB/Z 20986-2007，对信息安全事件进行分类、分级管理；

      b）具备自动和人工两种方式采集信息安全事件；

      c）对信息安全事件进行处置管理，包括事件告警和流程处置等。

6.5 运行监测

      支撑系统具备运行监测管理功能，应满足以下要求：

      a）对接入的安全系统的基本信息、运维情况等进行管理；

      b）对安全系统的运行状态进行监测与日志记录，并提供异常日志的查询和导出；

      c）对安全系统的运行指标进行监测，并进行有效性评估。

6.6 流程处理

      支撑系统具备流程处理功能，对信息安全事件、对象、运行监测等数据进行处置，应满足以下要求：

      a）支持告警流程处理；

      b）支持告警的自动触发功能；

      c）支持对产生的告警进行清除、确认和转换流程等处理；

      d）支持自动和人工方式发起流程；

      e）流程支持签收、反馈、审核/审批、归档等处理；

      f）配置流程模板、内容模版与回执模板等。

6.7 统计分析

      支撑系统具备统计分析功能，应满足以下要求：

      a）根据组织、部门、类型、状态等，对硬件、软件、数据和人员等资产进行统计；

      b）根据组织、部门、类型、威胁级别等，对信息安全事件数据进行统计；

      c）根据组织、部门、正常率等，对运行监测数据进行统计；

      d）根据组织、部门、类型、状态、等级等，对告警数据进行统计；

      e）根据组织、部门、类型、状态等，对流程数据进行统计；

      f）对软硬件资产、信息安全事件进行关联分析；

      g）对数据进行综合性分析，提供安全报告，为决策提供数据支持。

6.8 考核管理

      支撑系统具备考核管理功能，应满足以下要求：

      a）考核项的配置和修改；

      b）支持对考核项进行人工和自动评测；

      c）输出完整的考核报告，并提供报告导出。

6.9 发布与展示

      支撑系统具备发布与展示功能，对应急预案、信息安全事件、运行监测等进行发布和安全态势展示，应满足以下要求：

      a）发布内容包括但不限于安全目标、通知通报及法律法规等；

      b）安全态势展示内容包括但不限于对象、信息安全事件、运行监测等，可采用地图展示、趋势图和比重图等表现形式。

6.10 采集与处理

      支撑系统具备采集与处理功能，应满足以下要求：

      a）对信息安全事件数据和运行监测数据等进行采集；

      b）对第三方系统的检查结果数据、评估结果数据等进行采集，并支持多种数据采集方式和协议，包括但不仅限于DB、HTTP、FTP和SNMP等；

      c）对采集的数据进行处理和存储。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。