ICS 35. 030 GB CCS L 80 中华人民共和国国家标准 GB/T XXXXX—XXXX 网络安全技术网络安全运维实施指南 Cybersecurity technology - Implementation guide of cybersecurity operation and maintenance (征求意见稿) 2024-03-19 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX -XX- XX 发布 XXXX - XX- XX 实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T XXXXX—XXXX 目 次 前言 II 范围 1 规范性引用文件 2 3术语和定义 缩略语 4 5概述 5.1网络安全运维参考框架 5.2网络安全运维模式 5.3网络安全运维目标 6网络安全运维具备的条件 6.1网络安全运维提供方 6.2网络安全运维人员. 7网络安全运维业务建立 7.1网络安全运维实施内容. 7.2网络安全运维业务建立过程 8网络安全运维实施 8.1运维管理 8.2 识别 8.3 防御. 8.4监测.. 11 8. 5 响应 13 8. 6 协同 15 9网络安全运维效果评估模型 16 9.1评估模型 16 9.2评估内容. 17 9.3评估过程， 9.4评估方法， 18 9. 5 持续改进 20 附录A（资料性） 网络安全运维中心建设 21 参考文献. GB/T XXXXX—XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国信息安全测评中心、杭州安恒信息技术股份有限公司、国际信息中心、绿盟 科技集团股份有限公司、北京长亭科技有限公司、奇安信科技集团股份有限公司、北京郴安全科技有 限公司、中国信息通信研究院、北京天融信网络安全技术有限公司、三六零数字安全科技集团有限公司、 清华大学、深信服科技股份有限公司、中国联合网络通信集团有限公司、中国科学院信息工程研究所、 广州中软信息技术有限公司、新长城科技有限公司、上交所技术有限责任公司、杭州迪普科技股份有 限公司、北京知其安科技有限公司、国网网安（北京）科技有限公司、上海三零卫士信息安全有限公司、 中福彩科技发展（北京）有限公司、罗克佳华科技集团股份有限公司、安天科技集团股份有限公司、华 能信息技术有限公司、杭州网易智企科技有限公司、北京威努特技术有限公司、北京升鑫网络科技有限 公司、北京赛西科技发展有限责任公司、上海七牛信息技术有限公司、深圳市博通智能技术有限公司、 北京灰度科技有限公司、天翼云科技有限公司、广东网安科技有限公司、宁波和利时信息安全研究院有 限公司、黑龙江安信与诚科技开发有限公司。 本文件主要起草人：王琰、杨婧婧、袁明坤、陈星、田丽丹、刘蓓、杨莹、杨家海、曹嘉、李昀磊、 许玉娜、陈祥喜、方宁、代杭旅、耿贵宁、杨坤、张龙、马玉、云瀚、卫世光、申东胜、田宝松、房慧 丽、刘吉林、聂君、任磊、刘彪、周凯、谢美程、郭建林、王馨茹、潘中英、周森、陈祥喜、白峻、程 度、卢志刚、朱士贺、周灵军、吕丰丰、辛晨、魏书山、崔馨、杨亮。 II GB/T XXXXX—XXXX 网络安全技术网络安全运维实施指南 1范围 本文件提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评 估模型，给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容。 本文件适用于网络安全运维提供方、网络安全运维需求方。可为网络安全运维的实施提供指导，也 可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T20984信息安全技术信息安全风险评估规范 GB/T20986-2023信息安全技术网络安全事件分类分级指南 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25069-2022信息安全技术术语 GB/T28827.3-2012信息技术服务运行维护第3部分：应急响应规范 GB/T32914-2023信息安全技术网络安全服务能力要求 GB/T42446信息安全技术网络安全从业人员能力基本要求 GB/T42461信息安全技术网络安全服务成本度量指南 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件。 3. 1 网络安全运维 cybersecurity operation and maintenance 组织为抵御网络空间安全威胁，控制网络安全风险，确保业务持续、稳定运行，保证业务承载数据 的保密性、完整性和可用性，统筹技术、流程、人员和管理等要素，持续开展识别、防御、监测、响应、 协同等工作的一种网络安全服务方式。 [来源：GB/T30283-2022，3.10有修改] 4缩略语 下列缩略语适用于本文件： DDOS：分布式拒绝服务攻击（distributed denial of service attack） DNS：域名系统（domain name system） IT：信息技术（information technology） MSS：托管安全服务（managed security service） 1 GB/T XXXXX—XXXX SaaS：软件即服务（Software as a Service) SLA：服务级别协议（service level agreement） SoC：网络安全运维中心(security operations center) 5概述 5.1网络安全运维参考框架 网络安全运维包括运维管理、识别、防御、监测、响应和协同六个环节。运维管理对网络安全运维 的整体活动进行管理和规划，考虑组织网络安全长期改进和投入需要做出的决策，提出网络安全运维整 体方案。运维管理、识别、防御和监测四个环节是针对网络安全风险防范的常态化持续性工作，在整个 网络安全运维活动中是一个长循环过程。同时，识别、防御、监测和响应这四个环节又是针对网络安全 事件处置的应急性工作，在整个网络安全运维活动中是一个相对较短的循环过程。协同包括了组织内外 部的协调与协作，目的是提高组织的安全运维的效能与防护水平。网络安全运维的模式、内容需与运维 需求方协商一致，并在网络安全运维过程中，基于服务级别协议（SLA）和运维实际效果进行评估，评 估的结果用于进一步改进网络安全运维的管理和实施水平。 网络安全运维活动存在长循环、短循环两种工作方式。在短循环内分配的资源（人员、预算、系统、 跨部门、外部第三方）内，需要持续改进以解决安全响应与处置的业务过程中出现的问题。例如，任务 的简单自动化，用于事件或数据分析平台工具的改进，以及报告事项的审查等。而长循环需要从长期的 观点和规划角度来考虑持续改进网络安全事件的发现、响应与处置的效能，例如，引入新的安全产品、 对安全策略的审查以及针对安全系统进行的大规模配置更改与升级。针对网络安全运维效果的评估既 是长循环的驱动力，也是短循环的驱动力。 网络安全运维参考框架如图1所示。 长循环 短循环 只别 运维 响应 管理 防御 监测 效果 评估 标引号序号说明： 活动 长循环 短循环 图1网络安全运维参考框架 2 GB/TXXXXXXXXX 5.2网络安全运维模式 网络安全运维模式主要包括以下三类： a）全自建网络安全运维模式。对安全性和数据保护的要求较高，具备足够的安全资源投入，能够 持续有效网络安全运维的网络安全运维需求方，选择自主建设安全运维中心。此类组织、机构 和设施具备完善的安全运维人员配置、管理机制和人才培养机制，自主建立安全运维中心 （SOC），整合安全防护技术、安全运维工具与平台和人员等要素，建立网络安全监测、分析、 处置、应急等网络安全运维流程； b) 联合网络安全运维模式。网络安全运维需求方联合网络安全运维提供方共同建立安全运维中 心（SOC），并为网络安全运维需求方提供驻场托管式网络安全运维； 全托管网络安全运维模式。MSS主要依靠网络安全运维提供方建立的企业安全运维中心（SOC）， c） 通过云平台或远程管理系统，管理组织IT资产的安全信息、管理安全工具、监测和改善组织 的安全状况，识别、检测、分析和响应组织所面临的网络安全事件。以满足对安全人员、技术 和流程外包的需要。 5.3网络安全运维目标 网络安全运维的目标是为组织提供高效、全面的安全保障，确保组织的信息系统能够抵御各种形式 的网络攻击，提高用户和员工的安全意识，以实现更高水平的网络安全防护，具体包括： a) 保障业务持续发展：确保系统的连续性和稳定性，在面临挑战和威胁时保障业务的正常运行； b) 使安全能力达到组织、机构和设施的需求：不同的组织、机构和设施对安全能力的要求有所不 满足要求； c） 使组织、机构和设施的信息安全风险处于可接受的范围：网络安全运维提供方帮助组织、机构 和设施识别、评估和管理所面临的信息安全风险，并采取必要的措施来降低风险： 确保网络安全能力持续有效：通过网络安全运维，防范各种网络安全威胁，确保网络的安全性 d) 和可用性，使网络系统的安全性得到持续维护和提升； 满足安全监管要求：网络安全运维提供方帮助组织、机构和设施满足各种安全监管要求，并提 e）