ICS 35.240 CCS: L67 YD 中华人民共和国通信行业标准 YD/T [×××××] —[××××] [代替YD/T] 面向云计算的安全运营中心能力要求 Capability requirements of security operation center based on cloud computing [点击此处添加与国际标准一致性程度的标识 ] （报批稿） 2021.10 [××××] -[××]-[××]发布 [××××] -[××]-[××]实施 中华人民共和国工业和信息化部 发 布 YD/T ×××××—×××× I 目　　次 前　　言 ............................................................................................................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 面向云计算的安全运营中心能力要求参考框架 ............................................. 2 5 安全运营中心技术平台能力要求 ......................................................... 3 5.1 通用模块 ...................................................................... 3 5.2 云资产管理 .................................................................... 4 5.3 安全策略管控 .................................................................. 4 5.4 安全风险评估 .................................................................. 4 5.5 安全漏洞和补丁要求 ............................................................ 4 5.6 安全事件分析和告警要求 ........................................................ 4 5.7 安全编排与自动化响应 .......................................................... 5 5.8 安全运营知识库 ................................................................ 5 5.9 实时监控和可视化展示 .......................................................... 5 6 安全运营中心人员能力要求 ............................................................. 5 7 安全运营中心运营管理能力要求 ......................................................... 6 7.1 安全运营流程管理 .............................................................. 6 7.2 安全运营考核管理 .............................................................. 6 YD/T ×××××—×××× II 前　　言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规则 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院， 华为技术有限公司，腾讯云计算（北京）有限责任 公司， 深信服科技股份有限公司，天融信网络安全技术有限公司，杭州安恒信息技术股份有限公司， 新华三 技术有限公司，京东科技信息技术有限公司，网神信息技术（北京）股份有限公司， 北京知道创宇信 息技术股份有限公司，北银金融科技有限责任公司，北京贝斯平云科技有限公司 ，深圳华大生命科学 研究院，杭州数梦工场科技有限公司。 本文件主要起草人： 吴江伟，郭雪，孔松，韩非，刘迎曦，齐恒，陶夏溦，黄超， 袁明坤，杨方 宇，蔡成志，童铃，霍纪中，杨文保，李焕波，刘晨，万晓兰，陈桐乐，肖志康，毛帅，黄承开， 闫 晴，查浩奇，陈霄，张鹏。 YD/T ×××××—×××× 1 1　范围 本文件规定了面向云计算的安全运营中心的能力要求，分为安全运营中心技术平台能力要求、运 营流程管控能力要求及人员服务能力要求三大部分，从平台、人员、运营三方面对于面向云计算的安 全运营中心能力进行规范。 本文件适用于云服务厂商、安全厂商在公有云、私有云、混合云等场景下开发、设计和建设安全 运营中心，也可为第三方机构对于面向云计算的安全运营中心能力审查和评估提供依据。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述与词汇 3　术语和定义 GB/T 29246-201 7界定的以及下列术语和定义适用于本文件。 3.1　 安全运营 security operation 在数字化活动中的计划、组织、实施和控制等一系列网络安全相关工作，是与产品生产、服务创 造、业务运行密切相关的各项网络安全管理的总称，也是对信息系统进行设计、运行、评价和改进的 各项网络安全活动的总称。 3.2　 安全运营中心 security operation center 为保证信息资产的安全，基于安全策略实现各项安全管理工作常态化，通过采用集中管理方式统 一管理相关安全活动，为安全管理工作提供有效的技术支撑手段。 3.3　 风险评估 risk assessment 风险识别、风险分析和风险评价的整个过程。 [来源：GB/T 29246-2017 ，定义2.71] 面向云计算的安全运营中心能力要求 YD/T ×××××—×××× 23.4　 攻击 attack 企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。 [来源：GB/T 29246-2017 ，定义2.3] 3.5　 信息安全事件 information security incident 单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全的信息安全事态。 [来源：GB/T 29246-2017 ，定义2.36] 3.6　 联动处理 linkage process 在服务范围之内，各厂商、岗位通过一定联系方式，在服务各环节进行相互协调、合作相应、联 动协作。 4　面向云计算的安全运营中心能力要求参考 框架 安全运营中心能力要求参考框架如图 1所示，安全运营中心能力要求由以下三个维度构成： a) 平台能力指安全运营中心应具备的平台能力要求，具体包括：运资产管理模块，安全策略管 控模块，安全风险评估模块，安全漏洞和补丁要求模块，安全事件分析和告警要求模块，安 全编排与自动化响应模块，安全运营知识库模块与实时监控和可视化展示模块； b) 人员能力指安全运维人员具备的安全类技能要求，要求安全运维人员能做到对安全事件的事 前防护，事中响应和事后分析； c) 运营能力 指安全运营团队具备的安全运营流程管理规范与对安全运维人员的量化考核管理制 度。 YD/T ×××××—×××× 3 图1 安全运营中心能力要求参考框架 5　安全运营中心平台能力 要求 5.1　通用模块 通用模块是安全运营中心应具备的基础功能，以此来保证平台功能的正常运行： a) 应具备云计算平台安全运营中心管理流量与业务流量分离的能力。 b) 应具备对运营中心的身份鉴别、特权控制。 c) 应具备操作审