GB/T 36635-2018 信息安全技术 网络安全监测基本要求与实施指南

ICS35.040

L80

国

中华人民共和国国家标准

GB/T36635-2018

信息安全技术网络安全监测

基本要求与实施指南

Informationsecuritytechnology-Basicrequirementsand

implementationguideofnetworksecuritymonitoring

2019-04-01实施

2018-09-17发布

国家市场监督管理总局峪非

中国国家标准化管理委员会0(..'I(J

GB/T36635-2018

目次

l

1范围－

2规范性引用文件－

3术语和定义…·

4缩略i吾…………………………·…2

5网络安全监测框架………….2

5.1概述…………………2

5.2监测组成

5.3监测分类

6网络安全监测基本要求…………………4

6.1接口连接………………….….4

6.2采集．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．……4

6.3存储…………………·………4

6.4分析………………………4

6.5展示与告警

6.6自身安全保护

7网络安全监测实施指南…·

7.1接口连接

7.2采集…………………·…………6

7.3存储…………………6

7.4分析…………………6

7.5展示与告警…………………………7

GB/T36635-2018

目lj昌

本标准按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。

本标准起草单位：国家信息中心、国家信息技术安全研究中心、北京启明星辰信息技术股份有限公

司、北京天融信科技股份有限公司、东软集团股份有限公司、亚信科技（成都）有限公司。

本标准主要起草人：用民、罗海宁、任飞、焦迪、李森、曹虎、蔡景怡、曾辉、张锐卿、吴大明、肖彪、

刘增益、郑伟。

I

GB/T36635-2018

信息安全技术网络安全监测

基本要求与实施指南

1范围

本标准规定了网络安全监测的基本要求，给出了网络安全监测框架和实施指南。

本标准适用于系统或网络安全监测的实施，网络安全监测产品的设计开发，网络安全监测服务的提

供等。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/Z20986-2007信息安全技术信息安全事件分类分级指南

GB/T250692010信息安全技术术语

GB/T284582012信息安全技术安全漏洞标识与描述规范

GB/T31509-2015信息安全技术信息安全风险评估实施指南

3术语和定义

GB/T28458-2012和GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1

网络安全监测networksecuritymonitoring

通过对网络和安全设备日志、系统运行数据等信息进行实时采集，以关联分析等方式对监测对象进

行风险识别、威胁发现、安全事件实时告警及可视化展示。

3.2

信息安全事件informationsecurityincident

由单个或一系列意外或有害的信息安全事态所组成的，极有可能危害业务运行和威胁信息安全。

[GB/T250692010，定义2.1.53]

3.3

安全漏洞vulnerability

计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不

同形式存在于计算机信息系统的各个层次和环节之中，一且被恶意主体所利用，就会对计算机信息系统

的安全造成损害，从而影响计算机信息系统的正常运行。

[GB/T284582012，定义3.2]

3.4

凤险管理riskmanagement

识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。

[GB/T25069-2010，定义2.3.39]

GB/T36635-2018

3.5

安全攻击securityattack

信息系统中，对系统或信息进行破坏、泄漏、更改或使其丧失功能的行为。

3.6

安全策略securitypolicy

用于治理组织及其系统内在安全上如何管理、保护和分发资产（包括敏感信息）的一组规则、指导和

实践，特别是那些对系统安全及相关元素具有影响的资产。

[GB/T25069-2010，定义2.3.2]

4缩暗语

下列缩略语适用于本文件。

FTP：文件传送协议（FileTransferProtocol)

JDBC:Java数据库连接(JavaDatabaseConnectivity)

ODBC：开放数据库互连（OpenDatabaseConnectivity)

PCAP：过程特性分析软件包（ProcessCharacterizationAnalysisPackage)

SFTP：安全文件传送协议（SecureFileTransferProtocol)

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol)

SYSLOG：系统日志（SystemLog)

TELNET：远程登录协议（TeletypeNetwork)

WMI:Windows管理规范（WindowsManagementInstrumentation)

XML：可扩展标记语言（ExtensibleMarkupLanguage)

5网络安全监测框架