电信网络安全中台技术要求

■制定 □修订

□IDT □MOD □NEQ

□FTP

01.040.33

中国电信集团有限公司、中兴通讯股份有限公司

中国信息通信研究院,中国移动通信集团有限公司,中国联合网络通信集团有限公司,杭州安恒信息技术股份有限公司,北京神州绿盟科技有限公司,北京奇虎科技有限公司,北京东方通网信科技有限公司,北京天融信网络安全技术有限公司,恒安嘉新（北京）科技股份公司,北京启明星辰信息安全技术有限公司,四川天邑康和通信股份有限公司,北京神州泰岳信息安全技术有限公司,上海观安信息技术股份有限公司

1、 安全中台发展背景 （1）数字化转型带来了新的挑战 数字化时代的到来已经成为必然趋势。随着国家新基建的建设、企业上云、数字化转型、企业信息化的发展步伐的加快，同时也带来新安全需求。  内在需求：运营商自身的数字化转型的战略，网络、业务、应用逐渐上云，云网不断融合，已有系统打破系统壁垒建设新的架构，传统的安全体系已经无法满足云网融合时代的需求。需迫切需要新的安全防御体系，为转型落地保驾护航。  外在需求：运营商全面开展5G网络、MEC应用、物联网和工业互联网等新型网络和业务的建设，新型网络技术带来新的安全风险和挑战，新型终端类型、新攻击手段、新监管要求都在不断增加, 随着信息技术的创新和发展，推动了企业业务的多元化，新的安全需求不断被激发，相对固化的安全手段难以跟上日新月异的个性化安全需求。 （2）目前安全体系存在若干弊端，成为数字转型发展的障碍  各业务条线建设的大量安全平台系统，功能重复性高，难以复用。  大量设备性的安全防护措施难以在云环境下，面向用户提供灵活弹性按需的安全能力。  数据采集点与系统接口众多、安全协同与关联分析能力不强  安全防护设备相对独立部署,能力分散,无法形成合力，安全能力的联动性不足，消耗大量的处置响应时间。 基于以上分析，数字化转型带来融合、弹性、开放的网络环境，以及多元化、专业化的业务场景，安全风险涉及面更广，安全检测精度、响应时限要求更高，安全运营更为复杂。目前的安全体系难以适应数字化转型安全防护与运营需求，安全体系亟待重构，基于“安全中台”的架构的应运而生。随着网络安全需要全息化、服务化和实效化，构建以安全中台为核心的，具备积极、主动、弹性、快速响应的安全防御体系，实现从安全监测、全局态势、能力调度到编排响应的防护理念，成为网络安全发展的一个新趋势。 2、安全中台的概念 （1）中台 中台和前台、后台对应，在应用系统中指的是在一些系统中，被共用中间件的集合。常见于网站架构、金融系统等。中台的催生基石是能力共享。如果中台所提供的能力无法被共享，那就不是中台能力。如果中台只服务于一个前端业务，那也不是中台。中台一定是服务于能力比较通用且拥有多个共性需求的前台业务。中台是为前台业务服务的，当前台业务有所更改时，中台需要随需而变。这就要求中台具有很好的灵活性来支撑业务的开拓和发展。例如数据模型或解决方案需要根据前台业务要求实现可扩展性；业务流程可根据场景和需求重新定义和编排，并结合实际情况进行定制。“大中台、小前台”，前台业务足够灵活，配套支撑足够快捷，资源还能够高效复用。 （2）安全中台 安全中台是指基于标准的协议和流程，将后台的安全资源和专业服务，共享给前台的各个业务管理平台，实现对前务变化及创新的快速响应，并能够按需集成新的安全能力。 安全中台本质通过“中台”整合资源、沉淀能力，为“前台” 业务开展提供底层的技术、数据等资源和能力的支持。 安全中台是底层安全数据资源与上层安全业务之间的安全服务中台，它向下能够集成、治理和分析安全数据，向上能够封装安全服务，提供业务接口。安全中台整合各类后台安全资源，集中企业安全运行数据，对内外部不同用户群体、业务应用、基础资源提供智能随需和高效集中的安全能力，发挥中台组织管理作用。 安全中台的核心目标是提升安全效能、数据化运营服务、更好地保障客户业务持续、规模化地创新发展。利用安全中台一方面可以有效的整合已建设的各种安全能力，另一方面也可以真正做到自身安全能力与业务需求的持续对接，更好地服务于产业互联网。 安全中台包括安全业务中台和安全数据中台。 （1）安全数据中台 安全数据中台实现采集前台任务列表和后台安全资源的安全日志，经过分析和加工之后，形成价值信息，传递给业务中台，支撑安全资源的运作与执行。 （2）安全业务中台 安全业务中台实现与前台和后台的对接，以及网络策略和安全策略的统一管理和调度。业务中台将后台各种不同形态的安全资源进行整合和封装，形成可共享的安全资源，形成安全能力服务封装，交付给前台的各种应用，如智慧城市、安全运营中心等。除此以外，安全业务中台基于标准API接口，可快速集成和丰富新的安全能力，满足业务安全需求。 3、安全中台的目标 是建设以安全中台为核心的，具备积极、主动、弹性、快速响应的纵深防御体系。安全中台的能力目标至少包括如下方面： （1）异构集成，满足安全能力无缝对接 异构集成是安全中台的核心能力之一，也是降低创新成本的关键。异构集成能够快速融合新安全能力，提高兼容性，同时提供南向和北向两类接口，分别实现安全能力的快速集成和前台应用的快速调用。 (2)安全服务链，实现智能编排和按需调度 安全服务链是安全中台实现安全按需服务的关键，它基于SOAR技术，实现安全编排的自动化响应。 (3)智能算法辅助决策，构建有效安全闭环 智能算法通过广泛采集后台安全资源日志和流量中的安全事件，经过去重和归类合并，优秀的安全中台可以基于资产测绘、UEBA、追踪溯源等各类分析引擎和技术，结合威胁情报，判断安全事件的影响，识别攻击源，并形成分结果辅助完成动态策略调整，形成安全闭环。 (4)安全策略管理，统一安全管理入口 安全策略管理可以为管理员提供统一监控和统一配置的入口，或通过智能算法辅助决策和安全编排技术，完成安全策略自动初始化和动态调整。 4、安全中台的业界发展情况及标准建设意义 安全中台的概念在兴起之前，态势感知系统、SIEM系统就开始践行安全中台的防护理念，作为安全中台的初级版呈蓬勃发展之势。业界领先互联网、安全公司及运营商正在构建符合 互联网大数据时代具有灵活性的“大中台、小前台” 的机制。但安全中台的功能架构、部署架构、以及南北向接口，没有统一的行业标准，急需制定安全中台技术规范，为安全中台的建设提供有效参考，进一步推动安全能力内聚，安全服务解耦，以安全中台作为核心，拉通底层安全能力和上层安全应用，打造企业数字化安全底座，赋能企业智慧化运营。

适用范围：本标准适用于电信网络安全中台的设计、开发、部署、运维等。 主要内容： 电信网络安全中台的设计原则、整体功能架构、部署架构、演进建议等

1、国外：无 2、国内：无 3、该标准无知识产权的问题。