ICS 35.240 YD CCSL67 中华人民共和国通信行业标准 YD/T 42082023 面向云计算的安全运营中心能力要求 Capability requirements of security operation center based on cloud computing 2023-07-28发布 2023-11-01实施 中华人民共和国工业和信息化部 发布 YD/T4208—2023 目 次 前言 范围， 2 规范性引用文件 3 术语和定义 4面向云计算的安全运营中心能力要求参考框架， 5安全运营中心平台能力要求 5.1通用模块. 52云资产管理. 5.3安全策略管控.. 5.4安全风险评估.. 5.5安全漏洞和补丁要求. 5.6安全事件分析和告警要求. 5.7安全编排与自动化响应.. 5.8安全运营知识库， 5.9实时监控和可视化展示. 6安全运营中心人员能力要求 7安全运营中心运营管理能力要求. 7.1安全运营流程管理 6 72安全运营考核管理. YD/T4208—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、华为技术有限公司、腾讯云计算（北京）有限责任公司、 深信服科技股份有限公司、天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、新华三技 术有限公司、京东科技信息技术有限公司、网神信息技术（北京)股份有限公司、北京知道创宇信息技 术股份有限公司、北银金融科技有限责任公司、北京贝斯平云科技有限公司、深圳华大生命科学研究院、 杭州数梦工场科技有限公司。 本文件主要起草人：吴江伟、郭雪、孔松、韩非、刘迎曦、齐恒、陶夏激、黄超、袁明坤、杨方宇、 蔡成志、童铃、霍纪中、杨文保、李焕波、刘晨、万晓兰、陈桐乐、肖志康、毛帅、黄承开、闫晴、查 浩奇、陈霄、张鹏。 II YD/T 4208—2023 面向云计算的安全运营中心能力要求 1范围 本文件规定了面向云计算的安全运营中心的能力要求，分为安全运营中心技术平台能力要求、运营 流程管控能力要求及人员服务能力要求三大部分，从平台、人员、运营三方面对于面向云计算的安全运 营中心能力进行规范。 本文件适用于云服务厂商、安全厂商在公有云、私有云、混合云等场景下开发、设计和建设安全运 营中心，也可为第三方机构对于面向云计算的安全运营中心能力审查和评估提供依据。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单)适用于本 文件。 GB/T29246一2017信息技术安全技术信息安全管理体系概述与词汇 3术语和定义 GB/T29246一2017界定的及下列术语和定义适用于本文件。 3.1 安全运营securityoperation 在数字化活动中的计划、组织、实施和控制等一系列网络安全相关工作，是与产品生产、服务创造、 业务运行密切相关的各项网络安全管理的总称，也是对信息系统进行设计、运行、评价和改进的各项网 络安全活动的总称。 3.2 安全运营中心 security operation center 为保证信息资产的安全，基于安全策略实现各项安全管理工作常态化，通过采用集中管理方式统一 管理相关安全活动，为安全管理工作提供有效的技术支撑手段。 YD/T 4208—2023 3.3 风险评估riskassessment 风险识别、风险分析和风险评价的整个过程。 [来源：GB/T29246—2017，定义2.71] 3.4 攻击 attack 企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。 [来源：GB/T29246—2017，定义2.3] 3.5 信息安全事件 information securityincident 单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全的信息安全事态。 [来源：GB/T29246—2017，定义2.36] 3.6 联动处理linkageprocess 在服务范围之内，各厂商、岗位通过一定联系方式，在服务各环节进行相互协调、合作相应、联动 协作。 1面向云计算的安全运营中心能力要求参考框架 安全运营中心能力要求参考框架如图1所示，安全运营中心能力要求由以下三个维度构成。 a）平台能力指安全运营中心应具备的平台能力要求，具体包括运资产管理模块、安全策略管控模 块、安全风险评估模块、安全漏洞和补丁要求模块、安全事件分析和告警要求模块、安全编排 与自动化响应模块、安全运营知识库模块与实时监控和可视化展示模块。 b）人员能力指安全运维人员具备的安全类技能要求，要求安全运维人员能做到对安全事件的事前 防护，事中响应和事后分析。 c) 运营能力指安全运营团队具备的安全运营流程管理规范与对安全运维人员的量化考核管理 制度。 YD/T 4208—2023 平台能力 实时监控与可视化展示 人 安全 事前防护 能 安全 安全 安全 漏 编 件 洞 非排 策 岚 运 和 营知识 略 事中响应 险 管控 评 补 和 理 估 告 要 化响应 求 事后分析 通用能力 运营！ 能力 运营流程管理 安全运营考核管理 图1安全运营中心能力要求参考框架 5安全运营中心平台能力要求 5.1通用模块 通用模块是安全运营中心应具备的基础功能，以此来保证平台功能的正常运行。 a）应具备云计算平台安全运营中心管理流量与业务流量分离的能力。 b）应具备对运营中心的身份鉴别、特权控制。 应具备操作审计的能力。 1）应实时对安全运营中心所有的操作行为进行审计，审计内容应包括操作人员、时间、行为 操作等信息。 2)应设立独立的审计角色，根据职责划分对审计记录进行集中分析并处理，包括审计数据存 储、管理和查询等。 d）应具备唯一且确定的时钟，保证各种数据的管理和分析在时间上的一致性。 e）应具备全面的数据采集能力，保证相关数据接口的开放，包括但不限于： 1)应具备对第三方组件的数据采集能力； 2)应具备对安全设备检测或告警日志、网络流量数据的采集能力； 3)应具备对云基础设施信息数据、云平台和用户资产和组织人员数据的采集能力： 4)应具备对漏洞扫描数据的采集能力； 5)应具备威胁情报数据、安全策略数据的采集和汇总能力； 6)应具备对网络设备、操作系统、应用日志数据的采集能力 应具备数据的隔离存储、隔离处理的能力。 g）对原始数据、备份数据、日志等数据的存储期限应满足法律法规要求。