DB32T 3514.5-2019電子政務(wù)外網(wǎng)建設(shè)規(guī)范 第5部分安全綜合管理平臺(tái)技術(shù)要求與接口規(guī)范

ICS35.240.01L67江蘇省地DB32方標(biāo)準(zhǔn)DBT514.5—2019structionSpecificationsofEGovernmentNetworkPartTechnicalrequirementsandinterfacespecificationsofsafetyintegratedmanagementplatform江蘇省市場(chǎng)監(jiān)督管理局發(fā)布IDB32/T3514.5—2019前言 DB32/T3514.5—2019 8.2.1省級(jí)安全綜合管理平臺(tái)性能要求 8理平臺(tái)性能 8 IDB32/T3514.5—2019 4附錄A(規(guī)范性附錄)電子政務(wù)外網(wǎng)安全綜合管理平臺(tái)接口規(guī)范 15DB32/T3514.5—2019前言DB32/T3514-2018《電子政務(wù)外網(wǎng)建設(shè)規(guī)范》分為八個(gè)部分：——第1部分：網(wǎng)絡(luò)平臺(tái)；——第2部分：IPv4地址、路由規(guī)劃；——第4部分：安全實(shí)施指南；——第5部分：安全綜合管理平臺(tái)技術(shù)要求與接口規(guī)范；——第6部分：安全接入平臺(tái)技術(shù)要求；機(jī)構(gòu)建設(shè)；——第8部分：運(yùn)維服務(wù)。本部分為DB32/T3514-2018《電子政務(wù)外網(wǎng)建設(shè)規(guī)范》第5部分。本部分按照GB/T1.1-2009給出的規(guī)則起草。本部分由江蘇省人民政府辦公廳電子政務(wù)辦公室提出并歸口。本部分起草單位：江蘇省人民政府辦公廳電子政務(wù)辦公室。本部分起草人：吳中東、李強(qiáng)、錢俊、朱德宇、王泉、葉紀(jì)華、杭欣竹、熊章遠(yuǎn)。1DB32/T3514.5—2019電子政務(wù)外網(wǎng)建設(shè)規(guī)范第5部分:安全綜合管理平臺(tái)技術(shù)要求與接口規(guī)范1范圍本標(biāo)準(zhǔn)規(guī)定了電子政務(wù)外網(wǎng)安全綜合管理平臺(tái)技術(shù)要求與接口規(guī)范的術(shù)語和定義、縮略語、建設(shè)原則與目標(biāo)、系統(tǒng)總體架構(gòu)、系統(tǒng)功能要求、系統(tǒng)性能要求、自身安全性、安全綜合管理平臺(tái)接口。本部分適用于全省電子政務(wù)外網(wǎng)安全綜合管理平臺(tái)的功能、性能、安全性、部署方式、接口等技術(shù)要求，指導(dǎo)全省電子政務(wù)外網(wǎng)安全綜合管理平臺(tái)規(guī)劃、設(shè)計(jì)和建設(shè)，也可作為各級(jí)電子政務(wù)外網(wǎng)管理部門進(jìn)行指導(dǎo)、監(jiān)督和檢查的依據(jù)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T2260中華人民共和國行政區(qū)劃代碼GB/T18030信息技術(shù)中文編碼字符集GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/Z20986-2007信息安全技術(shù)信息安全事件分類分級(jí)指南GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求3術(shù)語和定義3.1安全管理系統(tǒng)SecurityOperationCenter(SOC)采用多種技術(shù)手段，收集和整合各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等安全事件，并運(yùn)用關(guān)聯(lián)分析技術(shù)、智能推理技術(shù)和風(fēng)險(xiǎn)管理技術(shù)，實(shí)現(xiàn)對(duì)安全事件信息的深度分析和識(shí)別，能快速做出報(bào)警響應(yīng)，實(shí)現(xiàn)對(duì)安全事件進(jìn)行統(tǒng)一監(jiān)控分析和預(yù)警處理。3.2網(wǎng)絡(luò)管理系統(tǒng)NetworkManagementSystem(NMS)提供拓?fù)涔芾?、設(shè)備配置、故障告警、性能監(jiān)測(cè)和報(bào)表管理功能，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)運(yùn)行的集中統(tǒng)一管理。3.32DB32/T3514.5—2019信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷，這些缺陷以不同形式存在于信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，一旦被惡意主體所利用，就會(huì)對(duì)信息系統(tǒng)的安全造成損害，從而影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息系統(tǒng)及信息的安全。脆弱性又稱為安全漏洞。3.4安全威脅SecurityThreat某個(gè)人、物、事件或概念對(duì)某一資源的保密性、完整性、可用性、真實(shí)性或可控性所造成的危害。3.5信息安全事態(tài)InformationSecurityEvent系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。3.6信息安全事件InformationSecurityIncident采集的單個(gè)或一系列的安全事態(tài)，包括各類日志、操作和其他系統(tǒng)或設(shè)備報(bào)送的報(bào)警信息。3.7告警Alarm針對(duì)收集到的各種安全事件進(jìn)行綜合關(guān)聯(lián)分析后形成的報(bào)警事件。3.8gTCP/IP網(wǎng)絡(luò)中用于傳輸系統(tǒng)日志的標(biāo)準(zhǔn)，設(shè)備和系統(tǒng)在記錄和轉(zhuǎn)發(fā)日志時(shí)應(yīng)遵循該標(biāo)準(zhǔn)。3.9Webservice基于網(wǎng)絡(luò)的、分布式的模塊化組件，它執(zhí)行特定的任務(wù)，遵守具體的技術(shù)規(guī)范，其它應(yīng)用通過使用相應(yīng)的規(guī)范，可與它進(jìn)行互操作。3.10BUGTRAQ一個(gè)公告計(jì)算機(jī)安全問題的列表，包括安全漏洞相關(guān)公告和利用這些漏洞的方法，以及如何修復(fù)它們。4縮略語SOA面向服務(wù)的體系結(jié)構(gòu)(Service-OrientedArchitecture)3DB32/T3514.5—2019CVE公共漏洞和暴露(CommonVulnerabilities&Exposures)WSDL網(wǎng)絡(luò)服務(wù)描述語言(WebServiceDescriptionLanguage)5建設(shè)原則與目標(biāo)5.1建設(shè)原則安全綜合管理平臺(tái)按照以下原則進(jìn)行建設(shè)：a)按照電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，省、市政務(wù)外網(wǎng)應(yīng)分別建成安全綜合管理平臺(tái)，與國家政務(wù)外網(wǎng)形成三級(jí)系統(tǒng)級(jí)聯(lián)；縣級(jí)政務(wù)外網(wǎng)可根據(jù)自身情況建設(shè)安全綜合管理平臺(tái)，與上級(jí)系統(tǒng)級(jí)聯(lián)；b)各級(jí)安全綜合管理平臺(tái)應(yīng)部署于本級(jí)政務(wù)外網(wǎng)的安全管理區(qū)域，跨區(qū)的安全相關(guān)信息的采集可通過帶外管理方式發(fā)送到安全綜合管理平臺(tái)；c)已建和在建的安全綜合管理平臺(tái)按照本規(guī)范要求實(shí)現(xiàn)級(jí)聯(lián)，納入政務(wù)外網(wǎng)統(tǒng)一的安全管理體系中；d)部門接入網(wǎng)的邊界安全由各部門按照相應(yīng)等級(jí)保護(hù)防護(hù)等級(jí)進(jìn)行安全防護(hù)，各級(jí)部門接入網(wǎng)終端安全由各級(jí)城域網(wǎng)管理部門負(fù)責(zé)統(tǒng)一管理。5.2建設(shè)目標(biāo)安全綜合管理平臺(tái)建設(shè)應(yīng)實(shí)現(xiàn)如下目標(biāo)：a)集成不同廠商的安全設(shè)備，實(shí)現(xiàn)各類安全設(shè)備日志信息的實(shí)時(shí)采集、統(tǒng)一監(jiān)測(cè)和集中管理，并具備較強(qiáng)的擴(kuò)展能力；b)具備大數(shù)據(jù)處理能力，通過對(duì)各類安全數(shù)據(jù)的加工、存儲(chǔ)、分析,實(shí)現(xiàn)安全態(tài)勢(shì)感知，為安全決策提供依據(jù)；c)具備完整、可定制的可視化展示界面，實(shí)現(xiàn)安全監(jiān)測(cè)與管理、事件告警與預(yù)警、流程化事件處理等功能；d)支持多級(jí)系統(tǒng)的級(jí)聯(lián)管理和分級(jí)部署，對(duì)外實(shí)現(xiàn)與第三方管理系統(tǒng)的互聯(lián)互通，可通過接口開發(fā)擴(kuò)展系統(tǒng)功能。6系統(tǒng)總體架構(gòu)6.1總體功能架構(gòu)安全綜合管理平臺(tái)監(jiān)測(cè)和管理安全設(shè)備的運(yùn)行狀態(tài)，對(duì)安全事件、脆弱性、配置、可用性與安全相關(guān)的數(shù)據(jù)進(jìn)行統(tǒng)一采集、集中分析，并進(jìn)行宏觀可視化展現(xiàn)，發(fā)現(xiàn)事件或安全風(fēng)險(xiǎn)時(shí)可實(shí)時(shí)觸發(fā)告警。安全綜合管理平臺(tái)提供標(biāo)準(zhǔn)的外部通信與數(shù)據(jù)接口，與上下級(jí)平臺(tái)和第三方系統(tǒng)實(shí)現(xiàn)連接。詳見圖1。4DB32/T3514.5—2019圖1安全綜合管理平臺(tái)整體功能框架圖6.1.1掃描采集層掃描采集層采集安全設(shè)備及核心設(shè)備的運(yùn)行狀態(tài)信息、安全事件信息、脆弱性信息、安全配置信息和流量信息，并將所采集的安全事件信息轉(zhuǎn)化為安全綜合管理平臺(tái)內(nèi)部統(tǒng)一的數(shù)據(jù)格式。6.1.2安全管理層通過綜合分析方法對(duì)采集數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析以識(shí)別判斷安全事件或事態(tài)，生成風(fēng)險(xiǎn)信息、事件信息、告警信息，由監(jiān)測(cè)與事件處理模塊、系統(tǒng)管理與配置模塊、基礎(chǔ)信息庫等組成。監(jiān)測(cè)與事件處理模塊主要包括資產(chǎn)管理、可用性監(jiān)測(cè)、事件管理、告警管理、風(fēng)險(xiǎn)管理、安全審計(jì)、安全響應(yīng)、安全通告、脆弱性管理、合規(guī)性管理、關(guān)聯(lián)分析、統(tǒng)計(jì)分析、態(tài)勢(shì)分析、策略管理、工單管理；系統(tǒng)管理與配置模塊主要包括報(bào)表管理、權(quán)限管理、存儲(chǔ)管理、級(jí)聯(lián)管理；基礎(chǔ)信息庫主要包括規(guī)則庫、案例庫、漏洞庫、策略庫。6.1.3分析展現(xiàn)層通過可視化的方式將資產(chǎn)信息、網(wǎng)絡(luò)拓?fù)洹⒈O(jiān)測(cè)對(duì)象的運(yùn)行狀態(tài)、設(shè)備可用性、安全風(fēng)險(xiǎn)、安全事件、安全告警等信息展現(xiàn)給用戶，并用工單的形式管理安全風(fēng)險(xiǎn)、事件和告警，采用Portal技術(shù)統(tǒng)一展現(xiàn)。6.1.4對(duì)外接口層在安全綜合管理平臺(tái)中應(yīng)構(gòu)建標(biāo)準(zhǔn)化接口服務(wù)層，實(shí)現(xiàn)與上下級(jí)安全監(jiān)測(cè)系統(tǒng)、外部系統(tǒng)接口連接。安全綜合管理平臺(tái)對(duì)外接口應(yīng)具有良好的兼容性，可方便地與第三方系統(tǒng)進(jìn)行連接，支持Syslog事件轉(zhuǎn)發(fā)、SNMPTrap事件轉(zhuǎn)發(fā)、WebService接口調(diào)用等常用標(biāo)準(zhǔn)接口。6.2總體技術(shù)要求6.2.1系統(tǒng)技術(shù)架構(gòu)系統(tǒng)技術(shù)架構(gòu)應(yīng)采用面向服務(wù)的體系架構(gòu)(SOA)，具備跨平臺(tái)、可伸縮和高可靠的特性。系統(tǒng)采用B/S訪問方式。5DB32/T3514.5—20196.2.2系統(tǒng)運(yùn)行環(huán)境支持主流操作系統(tǒng)部署，支持主流網(wǎng)絡(luò)瀏覽器。6.2.3部署方式具備靈活的部署方式，支持集中部署、多級(jí)部署、集群部署等方式。6.2.4數(shù)據(jù)庫支持主流數(shù)據(jù)庫(含國產(chǎn)數(shù)據(jù)庫)。7系統(tǒng)功能要求7.1資產(chǎn)管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中設(shè)備和系統(tǒng)對(duì)象的管理，按照安全域、系統(tǒng)歸屬等方式管理資源。提供自動(dòng)掃描網(wǎng)絡(luò)、手工錄入和批量導(dǎo)入等數(shù)據(jù)采集功能，獲取相關(guān)信息和映射關(guān)系。資產(chǎn)記錄中應(yīng)包括資產(chǎn)名稱、IP地址、類型、責(zé)任人、業(yè)務(wù)價(jià)值，以及其安全性、完整性、可用性等資產(chǎn)屬性，可根據(jù)需要添加資產(chǎn)屬性。可通過多種方式查看IP、名稱、編號(hào)等設(shè)備和系統(tǒng)的安全信息。7.2可用性監(jiān)測(cè)通過監(jiān)測(cè)各類安全設(shè)備，實(shí)時(shí)了解設(shè)備的可用性狀態(tài)，出現(xiàn)異常時(shí)可根據(jù)預(yù)先設(shè)定的閾值產(chǎn)生告警。7.3事件管理對(duì)安全設(shè)備產(chǎn)生的安全事件信息進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控和關(guān)聯(lián)分析，對(duì)來自外部的入侵和內(nèi)部的違規(guī)和誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證，實(shí)現(xiàn)IT資源的合規(guī)性管理。信息安全事件管理包括事件的采集、標(biāo)準(zhǔn)化、集中存儲(chǔ)、實(shí)時(shí)展現(xiàn)、關(guān)聯(lián)分析和應(yīng)急響應(yīng)。7.4脆弱性管理通過漏洞信息采集并與潛在安全事件進(jìn)行關(guān)聯(lián)，提供可視化展示。7.5關(guān)聯(lián)分析安全綜合管理平臺(tái)應(yīng)內(nèi)置關(guān)聯(lián)分析規(guī)則庫，提供關(guān)聯(lián)分析功能。將來自不同事件源的安全事件進(jìn)行分析，從海量事件中過濾出有邏輯關(guān)系的事件序列并匹配告警策略，依據(jù)最佳實(shí)踐原則結(jié)合資產(chǎn)的業(yè)務(wù)價(jià)值和資產(chǎn)的脆弱性，形成相應(yīng)的告警，以及針對(duì)關(guān)聯(lián)分析產(chǎn)生的安全告警可追溯其關(guān)聯(lián)事件。7.6態(tài)勢(shì)分析對(duì)指定時(shí)間段內(nèi)滿足指定條件的事件進(jìn)行態(tài)勢(shì)分析，以風(fēng)險(xiǎn)分析、威脅分析、脆弱性分析等為基礎(chǔ)生成態(tài)勢(shì)分析結(jié)果。7.7統(tǒng)計(jì)分析指針對(duì)一段時(shí)間內(nèi)的歷史信息進(jìn)行統(tǒng)計(jì)和呈現(xiàn)?？蓮牟煌S度對(duì)歷史信息進(jìn)行統(tǒng)計(jì)，包括信息發(fā)生數(shù)量、信息排行、疑似攻擊和違規(guī)事件、不同狀態(tài)的統(tǒng)計(jì)分布和趨勢(shì)分析；分析人員也可自定義策略進(jìn)行統(tǒng)計(jì)分析，從宏觀上掌握指定時(shí)間范圍內(nèi)某類事件的趨勢(shì)。6DB32/T3514.5—20197.8安全響應(yīng)當(dāng)安全綜合管理平臺(tái)監(jiān)測(cè)到安全事件時(shí)，觸發(fā)預(yù)先設(shè)定的告警或事件響應(yīng)規(guī)則，執(zhí)行預(yù)定義的響應(yīng)動(dòng)作。告警響應(yīng)動(dòng)作應(yīng)涵蓋常見的響應(yīng)方式，包括電子郵件告警、手機(jī)短信告警、創(chuàng)建工單、通過Syslog或SNMPTrap向第三方系統(tǒng)轉(zhuǎn)發(fā)告警事件等。7.9風(fēng)險(xiǎn)管理安全綜合管理平臺(tái)需實(shí)現(xiàn)被保護(hù)資產(chǎn)的風(fēng)險(xiǎn)計(jì)算功能，展現(xiàn)當(dāng)前被保護(hù)資產(chǎn)的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)，并進(jìn)一步計(jì)算安全域或所屬業(yè)務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)，應(yīng)能以圖形化的方式展現(xiàn)當(dāng)前資產(chǎn)和安全域的風(fēng)險(xiǎn)級(jí)別、當(dāng)前風(fēng)險(xiǎn)的排名統(tǒng)計(jì)。對(duì)于單個(gè)資產(chǎn)的風(fēng)險(xiǎn)計(jì)算建議符合GB/T20984-2007的要求，依據(jù)資產(chǎn)價(jià)值、資產(chǎn)當(dāng)前的脆弱性及資產(chǎn)面臨的安全威脅，采用矩陣法或相乘法。7.10安全審計(jì)安全綜合管理平臺(tái)可根據(jù)合規(guī)的要求，采集所需的數(shù)據(jù)，根據(jù)預(yù)置的策略或定制規(guī)則模版，生成相應(yīng)的審計(jì)結(jié)果數(shù)據(jù)，對(duì)危害信息系統(tǒng)運(yùn)行及不合規(guī)的行為進(jìn)行報(bào)告。分析人員可自行設(shè)定查詢條件進(jìn)行人工審計(jì)，獲得所需的審計(jì)查詢結(jié)果，并可將結(jié)果以文件形式導(dǎo)出。7.11安全通告安全綜合管理平臺(tái)提供安全通告功能，可創(chuàng)建或?qū)氚踩L(fēng)險(xiǎn)通告，通告中一般包括通告內(nèi)容、描述信息、CVE、BUGTRAQ編號(hào)、影響的操作系統(tǒng)及其他信息。安全綜合管理平臺(tái)可根據(jù)通告提示受安全風(fēng)險(xiǎn)影響的操作系統(tǒng)，提供受影響的被保護(hù)資產(chǎn)列表。安全管理人員可據(jù)此采取相應(yīng)的保護(hù)措施。7.12合規(guī)性管理a)安全綜合管理平臺(tái)提供依照GB/T22240-2008管理備案單位信息，確定系統(tǒng)等級(jí)和保護(hù)基線；依照GB/T22239-2008對(duì)系統(tǒng)能夠進(jìn)行差距評(píng)估，自動(dòng)生成《差距評(píng)估報(bào)告》和《整改建議報(bào)告》，跟蹤整改任務(wù)執(zhí)行情況；依據(jù)GB/T28448-2012建立不同等級(jí)的測(cè)評(píng)項(xiàng)基礎(chǔ)庫，提供測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)專家管理。b)安全綜合管理平臺(tái)提供集中管理檢查工作的任務(wù)執(zhí)行，實(shí)現(xiàn)檢查工作的集中管理，對(duì)檢查中不同系統(tǒng)不同階段的工作底稿及成果提供統(tǒng)一管理，而且可實(shí)現(xiàn)檢查任務(wù)集中管理，以及不同業(yè)務(wù)系統(tǒng)、不同級(jí)別系統(tǒng)之間的交叉管理。通過一系列安全檢測(cè)工具，實(shí)現(xiàn)主機(jī)配置檢查、主機(jī)病毒檢查、主機(jī)木馬檢查、網(wǎng)站惡意代碼檢查、弱口令檢查等，依照GB/T22239-2008對(duì)被檢查系統(tǒng)進(jìn)行差距評(píng)估，自動(dòng)生成《差距評(píng)估報(bào)告》。7.13策略管理安全綜合管理平臺(tái)提供對(duì)安全設(shè)備進(jìn)行集中管理，包括基本參數(shù)配置、安全策略管理、安全環(huán)境設(shè)置、故障檢測(cè)等，可協(xié)助用戶制定各種級(jí)別，針對(duì)不同對(duì)象(人員、設(shè)備、應(yīng)用)的安全策略，實(shí)現(xiàn)企業(yè)安全策略的快速導(dǎo)入以及安全策略的集中分級(jí)管理。同時(shí)支持安全策略的數(shù)據(jù)導(dǎo)出、版本控制、發(fā)布功能，實(shí)現(xiàn)企業(yè)內(nèi)所有安全策略的全流程管理。7.14工單管理安全綜合管理平臺(tái)提供工單管理的功能。管理員可手工創(chuàng)建和派發(fā)工單，也可設(shè)定規(guī)則由系統(tǒng)在一定條件下自動(dòng)創(chuàng)建/派發(fā)工單。系統(tǒng)支持選擇一個(gè)或多個(gè)安全事件創(chuàng)建工單，通過郵件提醒或短信提醒7DB32/T3514.5—2019功能以及工單超時(shí)處理的功能來提高工單處理的及時(shí)性；提供通過圖形化的方式展示工單的處理階段的監(jiān)控功能。7.15報(bào)表管理安全綜合管理平臺(tái)應(yīng)內(nèi)置常用統(tǒng)計(jì)報(bào)表的報(bào)表模版，并提供界面友好的報(bào)表編輯器以使用戶可自定義報(bào)表。生成的報(bào)表可多種格式導(dǎo)出，包括PDF、HTML、CSV、XLS。應(yīng)支持報(bào)表調(diào)度任務(wù)，可在指定時(shí)間內(nèi)一次或周期性執(zhí)行報(bào)表任務(wù)。還應(yīng)支持報(bào)表投遞功能，可將生成的報(bào)表以電子郵件方式直接發(fā)送給指定接收人。7.16權(quán)限管理安全綜合管理平臺(tái)在權(quán)限管理上應(yīng)做到系統(tǒng)管理員、安全管理員和安全審計(jì)員三權(quán)分立。權(quán)限的分配采取基于角色的訪問控制機(jī)制，根據(jù)需要?jiǎng)?chuàng)建角色和用戶，為角色賦予權(quán)限，為用戶賦予所需的角色。系統(tǒng)中不設(shè)置超級(jí)管理員角色。7.17存儲(chǔ)管理安全綜合管理平臺(tái)應(yīng)能夠存儲(chǔ)海量數(shù)據(jù)，提供自動(dòng)的數(shù)據(jù)備份歸檔功能，可根據(jù)預(yù)設(shè)的策略定時(shí)自動(dòng)歸檔數(shù)據(jù)。對(duì)于已歸檔的數(shù)據(jù)，可根據(jù)需要重新導(dǎo)入系統(tǒng)以進(jìn)行查詢和統(tǒng)計(jì)分析。7.18級(jí)聯(lián)管理安全綜合管理平臺(tái)提供松耦合的級(jí)聯(lián)功能，實(shí)現(xiàn)跨市事件協(xié)同處理；上級(jí)系統(tǒng)可監(jiān)測(cè)下級(jí)系統(tǒng)的運(yùn)行狀態(tài)；下級(jí)系統(tǒng)的安全風(fēng)險(xiǎn)、安全告警和安全統(tǒng)計(jì)報(bào)表可根據(jù)需要定期上報(bào)給上級(jí)系統(tǒng)；下級(jí)系統(tǒng)可按要求將滿足條件的事件轉(zhuǎn)發(fā)給上級(jí)系統(tǒng)；省級(jí)節(jié)點(diǎn)建立知識(shí)庫，下級(jí)節(jié)點(diǎn)可訪問并可上傳案例；上級(jí)節(jié)點(diǎn)可向下級(jí)節(jié)點(diǎn)推送安全通告，內(nèi)容包含但不限于安全風(fēng)險(xiǎn)和安全告警。7.19知識(shí)庫管理安全綜合管理平臺(tái)提供知識(shí)庫管理功能，知識(shí)庫類別包括但不限于規(guī)則庫、案例庫、預(yù)案庫、策略庫、漏洞庫。用戶可根據(jù)需要擴(kuò)展知識(shí)庫的類別，知識(shí)庫的內(nèi)容可導(dǎo)入、導(dǎo)出，支持對(duì)知識(shí)庫的全文檢索和按關(guān)鍵字檢索。對(duì)于規(guī)則庫、案例庫及其他知識(shí)庫內(nèi)容，可通過提供離線升級(jí)包的方式實(shí)現(xiàn)增量式升級(jí)。7.20綜合展現(xiàn)安全綜合管理平臺(tái)提供多種可視化的數(shù)據(jù)展現(xiàn)方式，包括：事件統(tǒng)計(jì)圖、趨勢(shì)分析圖、可用性統(tǒng)計(jì)圖、業(yè)務(wù)系統(tǒng)健康統(tǒng)計(jì)圖、資產(chǎn)及業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)統(tǒng)計(jì)圖，也可通過最新的計(jì)算機(jī)圖形技術(shù)，基于最佳表現(xiàn)形式建立綜合的安全管理可視化平臺(tái)，比如：事件GIS圖、通過3D技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)中心的真實(shí)展現(xiàn)，構(gòu)建數(shù)據(jù)中心物理環(huán)境、機(jī)房環(huán)境、管線、安防監(jiān)控、網(wǎng)絡(luò)、主機(jī)、存儲(chǔ)、安全監(jiān)控等系統(tǒng)的可視化管理平臺(tái)，實(shí)現(xiàn)所有資產(chǎn)對(duì)象及監(jiān)控信息清晰直觀的一站式管理。針對(duì)不同的角色，可根據(jù)其工作職責(zé)和關(guān)注重點(diǎn)，提供不同的數(shù)據(jù)展現(xiàn)視圖，視圖的內(nèi)容可靈活定制。7.21數(shù)據(jù)采集與預(yù)處理安全綜合管理平臺(tái)支持主動(dòng)和被動(dòng)兩種形式的數(shù)據(jù)采集方式，支持常見的標(biāo)準(zhǔn)協(xié)議，包括Syslog、SNMP、SNMPTrap等協(xié)議。支持對(duì)采集的數(shù)據(jù)進(jìn)行過濾、歸并、將數(shù)據(jù)轉(zhuǎn)換為內(nèi)部統(tǒng)一格式。原始數(shù)據(jù)8DB32/T3514.5—2019應(yīng)單獨(dú)保存在一個(gè)獨(dú)立的數(shù)據(jù)庫或便于檢索的文件中，其保存期應(yīng)滿足合規(guī)要求，數(shù)據(jù)的存儲(chǔ)需要有序、歸類并適當(dāng)建立索引，在查詢時(shí)能夠及時(shí)響應(yīng)，能夠滿足對(duì)歷史數(shù)據(jù)進(jìn)行追溯。7.22時(shí)間同步安全綜合管理平臺(tái)支持時(shí)間同步功能，要求被采集對(duì)象使用相同的NTP時(shí)間源。7.23自動(dòng)運(yùn)維安全綜合管理平臺(tái)支持自動(dòng)運(yùn)維功能，在告警規(guī)則中關(guān)聯(lián)案例庫，當(dāng)平臺(tái)出現(xiàn)安全告警時(shí)，系統(tǒng)可對(duì)安全設(shè)備或網(wǎng)絡(luò)設(shè)備自動(dòng)下發(fā)策略或半自動(dòng)下發(fā)策略屏蔽威脅，而且新的告警處置經(jīng)審核可保存到知識(shí)庫中。7.24網(wǎng)絡(luò)流量行為分析安全綜合管理平臺(tái)支持對(duì)網(wǎng)絡(luò)流量進(jìn)行全數(shù)據(jù)采集與監(jiān)測(cè)，通過對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)包的分析處理，可收集網(wǎng)絡(luò)數(shù)據(jù)流行為特征，通過對(duì)網(wǎng)絡(luò)流量進(jìn)行行為分析，分析出網(wǎng)絡(luò)異常流量數(shù)據(jù)，從而發(fā)現(xiàn)網(wǎng)絡(luò)中存在的未知威脅。7.25安全監(jiān)控安全綜合管理平臺(tái)提供對(duì)全網(wǎng)絡(luò)IT資產(chǎn)、業(yè)務(wù)系統(tǒng)和安全域的實(shí)時(shí)監(jiān)測(cè)，通過平臺(tái)部署的各個(gè)監(jiān)測(cè)設(shè)備能夠第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的安全事件。對(duì)于下級(jí)區(qū)域流竄的攻擊，平臺(tái)也可及時(shí)發(fā)現(xiàn)并根據(jù)通告模板下發(fā)通告預(yù)警，針對(duì)網(wǎng)絡(luò)中的核心系統(tǒng)、核心數(shù)據(jù)庫、核心區(qū)域、核心資產(chǎn)進(jìn)行重點(diǎn)監(jiān)控。對(duì)于網(wǎng)絡(luò)中的安全設(shè)備和網(wǎng)絡(luò)設(shè)備，平臺(tái)可通過API、下發(fā)指令、WEB操作等手段進(jìn)行管控。8系統(tǒng)性能要求8.1穩(wěn)定性指標(biāo)要求具體包括：a)支持系統(tǒng)主要組件7*24小時(shí)運(yùn)行；b)系統(tǒng)年正常運(yùn)行時(shí)間不低于99.9%；c)對(duì)被采集對(duì)象的內(nèi)存資源占用率不超過5%，對(duì)網(wǎng)絡(luò)帶寬占用率不超過10%。8.2數(shù)據(jù)處理性能8.2.1省級(jí)安全綜合管理平臺(tái)性能要求具體包括：a)原始數(shù)據(jù)并發(fā)采集能力不低于6000條/s；b)事件分析處理能力不低于5000條/s；c)事件告警延遲不超過5min；d查詢1000萬條數(shù)據(jù)時(shí)間小于10s；e30s。8.2.2市/縣級(jí)安全綜合管理平臺(tái)性能具體包括：a)原始數(shù)據(jù)并發(fā)采集能力不低于4000條/s；9DB32/T3514.5—2019b)事件分析處理能力不低于2000條/s；c)事件告警延遲不超過5min；d查詢1000萬條數(shù)據(jù)時(shí)間小于20s；e60s。8.3數(shù)據(jù)存儲(chǔ)要求具體包括：a)數(shù)據(jù)的保存期限不少于6個(gè)月；b)系統(tǒng)數(shù)據(jù)可保存在安全綜合管理平臺(tái)所在服務(wù)器的硬盤中，也可保存在專用的存儲(chǔ)設(shè)備中。9自身安全性9.1等級(jí)保護(hù)合規(guī)性要求依據(jù)信息安全等級(jí)保護(hù)的相關(guān)制度和標(biāo)準(zhǔn)要求，確定安全綜合管理平臺(tái)的安全保護(hù)等級(jí)。原則上地市級(jí)以上系統(tǒng)安全保護(hù)等級(jí)不低于第三級(jí)，縣級(jí)系統(tǒng)安全保護(hù)等級(jí)不低于第二級(jí)。9.2系統(tǒng)安全要求在遵循等級(jí)保護(hù)合規(guī)性要求的基礎(chǔ)上，安全綜合管理平臺(tái)應(yīng)重點(diǎn)滿足以下安全要求：a)網(wǎng)絡(luò)通信應(yīng)采用加密協(xié)議；b)重要數(shù)據(jù)應(yīng)加密存儲(chǔ)；c)系統(tǒng)應(yīng)提供對(duì)其自身運(yùn)行狀態(tài)的監(jiān)測(cè)，并可產(chǎn)生告警；d)對(duì)系統(tǒng)的操作應(yīng)記錄日志，日志不可刪除，系統(tǒng)自身的操作日志查看權(quán)限僅授予審計(jì)員；e)提供系統(tǒng)配置信息和數(shù)據(jù)的備份功能，系統(tǒng)崩潰時(shí)可通過已備份的配置信息和數(shù)據(jù)快速恢復(fù)系10安全綜合管理平臺(tái)接口10.1總體框架安全綜合管理平臺(tái)的接口主要有三部分組成：數(shù)據(jù)采集接口、級(jí)聯(lián)接口和外部接口。總體框架如圖2所示：DB32/T3514.5—2019圖2安全綜合管理平臺(tái)接口總體框架圖a)數(shù)據(jù)采集接口：是安全綜合管理平臺(tái)從各種監(jiān)測(cè)對(duì)象中采集日志數(shù)據(jù)、脆弱性數(shù)據(jù)、配置數(shù)據(jù)和狀態(tài)數(shù)據(jù)的接口。b)級(jí)聯(lián)接口：是處于不同管理層次上的上下級(jí)之間進(jìn)行管理信息和安全運(yùn)行數(shù)據(jù)交互的接口。建立級(jí)聯(lián)關(guān)系的安全綜合管理平臺(tái)之間，應(yīng)采用基于可靠的身份認(rèn)證手段實(shí)現(xiàn)可靠的訪問控制。c)外部接口：安全綜合管理平臺(tái)通過各種外部接口與其他應(yīng)用系統(tǒng)(日志審計(jì)系統(tǒng)、數(shù)據(jù)網(wǎng)絡(luò)管理系統(tǒng)、4A系統(tǒng))之間實(shí)現(xiàn)集成和數(shù)據(jù)交互。本標(biāo)準(zhǔn)著重說明安全綜合管理平臺(tái)與外部系統(tǒng)接口的工作方式，以及由安全綜合管理平臺(tái)提供接口的方式和數(shù)據(jù)規(guī)范。10.2數(shù)據(jù)采集接口10.2.1接口描述數(shù)據(jù)采集接口應(yīng)實(shí)現(xiàn)安全綜合管理平臺(tái)從安全對(duì)象采集日志數(shù)據(jù)、脆弱性數(shù)據(jù)、配置數(shù)據(jù)和狀態(tài)數(shù)據(jù)信息。10.2.2數(shù)據(jù)采集方式要求通過下述手段實(shí)現(xiàn)數(shù)據(jù)的主動(dòng)或被動(dòng)采集，包括但不限于：a)應(yīng)啟動(dòng)SNMPService服務(wù)，使用統(tǒng)一的團(tuán)體串在默認(rèn)或自定義端口上監(jiān)聽，以獲取安全設(shè)備發(fā)來的SNMPTrap信息；b)應(yīng)啟動(dòng)SYSLOG服務(wù)，使用默認(rèn)或自定義端口監(jiān)聽，以獲取安全設(shè)備發(fā)來的SYSLOG信息；c)應(yīng)具備網(wǎng)絡(luò)文件、本地文件的定期或觸發(fā)提取功能，獲取其中的日志信息；d)應(yīng)具備網(wǎng)絡(luò)數(shù)據(jù)庫、本地?cái)?shù)據(jù)庫的定期或觸發(fā)提取功能，獲取其中的日志信息；e)對(duì)于特殊的、缺乏共性的信息存儲(chǔ)方式，應(yīng)支持通過編寫代理程序方式獲取其中的日志信息，代理程序應(yīng)支持與目標(biāo)數(shù)據(jù)部署在一起，也支持遠(yuǎn)程部署。10.2.3數(shù)據(jù)采集內(nèi)容要求DB32/T3514.5—2019具體包括：a)應(yīng)采集政務(wù)外網(wǎng)中的安全設(shè)備，以及核心的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備所產(chǎn)生的日志信息。b)應(yīng)采集政務(wù)外網(wǎng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)的脆弱性、補(bǔ)丁信息。安全綜合管理平臺(tái)可直接采集脆弱性數(shù)據(jù)，也可支持將其他相關(guān)設(shè)備的脆弱性數(shù)據(jù)導(dǎo)入到安全綜合管理平臺(tái)。c)應(yīng)采集政務(wù)外網(wǎng)中的安全設(shè)備，以及核心的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備的賬號(hào)安全策略、口令安全策略、授權(quán)安全策略和日志安全策略信息。安全綜合管理平臺(tái)可直接采集配置數(shù)據(jù)，也可支持第三方的配置數(shù)據(jù)導(dǎo)入。d)應(yīng)采集政務(wù)外網(wǎng)中的安全設(shè)備，以及核心的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備的運(yùn)行狀態(tài)、性能相關(guān)數(shù)據(jù)。10.3系統(tǒng)級(jí)聯(lián)接口10.3.1接口協(xié)議系統(tǒng)級(jí)聯(lián)接口按WebService標(biāo)準(zhǔn)對(duì)外提供服務(wù)，通訊過程中請(qǐng)求和響應(yīng)的數(shù)據(jù)采用標(biāo)準(zhǔn)XML格式來封裝。對(duì)于開放的接口函數(shù)，廠商需發(fā)布相應(yīng)的WSDL文檔，用于描述WebService的接口信息。系統(tǒng)級(jí)聯(lián)接口函數(shù)分為兩類。一類是同步調(diào)用函數(shù)，即函數(shù)的返回值就是結(jié)果；另一類是異步調(diào)用函數(shù)，返回結(jié)果通過回調(diào)函數(shù)發(fā)送至調(diào)用方。異步類函數(shù)的返回值只表示“是/否接受命令”，調(diào)用方應(yīng)提供滿足標(biāo)準(zhǔn)的回調(diào)函數(shù)。10.3.2接口格式定義定義接口格式定義包括函數(shù)名稱、參數(shù)列表及返回值類型，參與交互數(shù)據(jù)的編碼應(yīng)符合GB/T18030-2005的要求。參數(shù)與返回值的具體XML格式由接口提供者根據(jù)具體業(yè)務(wù)的實(shí)際情況制定，應(yīng)層次簡(jiǎn)單、結(jié)構(gòu)清晰，接口提供者需提供相應(yīng)的WSDL文檔及接口的詳細(xì)說明文檔。函數(shù)基本格式publicStringmethodName(Stringxml)；注1：methodName為函數(shù)名，由接口提供者根據(jù)具體業(yè)務(wù)確定；注2：XML為調(diào)用參數(shù)，應(yīng)采用XML標(biāo)準(zhǔn)描述；注3：返回結(jié)果為XML標(biāo)準(zhǔn)格式數(shù)據(jù)。10.3.3系統(tǒng)級(jí)聯(lián)認(rèn)證接口接口規(guī)范建設(shè)包括：a)為保證各級(jí)安全綜合管理平臺(tái)之間的通訊安全，系統(tǒng)之間在進(jìn)行通訊前應(yīng)進(jìn)行有效的認(rèn)證與授權(quán)，系統(tǒng)級(jí)聯(lián)認(rèn)證接口主要包括系統(tǒng)級(jí)聯(lián)注冊(cè)接口和系統(tǒng)級(jí)聯(lián)注銷接口。b)系統(tǒng)級(jí)聯(lián)注冊(cè)接口完成下級(jí)系統(tǒng)至上級(jí)系統(tǒng)的注冊(cè)功能，保證上下級(jí)系統(tǒng)之間通信的安全性。c)系統(tǒng)級(jí)聯(lián)注銷接口用于上下級(jí)系統(tǒng)之間的認(rèn)證注銷，當(dāng)上下級(jí)系統(tǒng)出現(xiàn)變更或廢止時(shí)，由上級(jí)系統(tǒng)進(jìn)行系統(tǒng)間級(jí)聯(lián)的注銷。注1：系統(tǒng)級(jí)聯(lián)注冊(cè)接口規(guī)范詳見附件A.1注2：系統(tǒng)級(jí)聯(lián)注銷接口規(guī)范詳見附件A.2。10.3.4系統(tǒng)運(yùn)行狀態(tài)上報(bào)接口接口規(guī)范建設(shè)包括：DB32/T3514.5—2019a)上級(jí)安全綜合管理平臺(tái)需要對(duì)下級(jí)系統(tǒng)的上報(bào)接口實(shí)施周期檢測(cè)，及時(shí)發(fā)現(xiàn)接口異常，減少上報(bào)數(shù)據(jù)的丟失。b)下級(jí)安全綜合管理平臺(tái)周期性上報(bào)自己狀態(tài)的心跳消息，上級(jí)系統(tǒng)根據(jù)是否能周期收到下級(jí)狀態(tài)的心跳消息，來判斷下級(jí)系統(tǒng)上報(bào)是否正常。c)上報(bào)接口狀態(tài)分為：正常(用1表示)，上級(jí)系統(tǒng)收到下級(jí)系統(tǒng)的上報(bào)消息后，將下級(jí)的上報(bào)接口判斷為正常；離線(用0表示)，當(dāng)上級(jí)系統(tǒng)在一個(gè)上報(bào)周期內(nèi)未收到上報(bào)信息，則判斷下級(jí)系統(tǒng)的上報(bào)接口離線，同時(shí)產(chǎn)生該下級(jí)安全綜合管理平臺(tái)上報(bào)接口離線告警。d)上報(bào)頻率為10分鐘一次。注1：系統(tǒng)運(yùn)行狀態(tài)上報(bào)接口規(guī)范詳見附件A.3。10.3.5風(fēng)險(xiǎn)上報(bào)接口接口規(guī)范建設(shè)包括：a)下級(jí)安全綜合管理平臺(tái)需要向上級(jí)系統(tǒng)上報(bào)本級(jí)系統(tǒng)的安全域的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)。上報(bào)頻率b)風(fēng)險(xiǎn)的上報(bào)由上級(jí)安全綜合管理平臺(tái)進(jìn)行請(qǐng)求。下級(jí)安全綜合管理平臺(tái)按照請(qǐng)求的內(nèi)容進(jìn)行風(fēng)險(xiǎn)的實(shí)時(shí)上報(bào)。c)風(fēng)險(xiǎn)上報(bào)的內(nèi)容包括：系統(tǒng)所屬行政區(qū)編碼，安全域名稱，風(fēng)險(xiǎn)值，風(fēng)險(xiǎn)等級(jí)。注1：風(fēng)險(xiǎn)上報(bào)接口規(guī)范詳見附件A.4。10.3.6告警上報(bào)接口告警上報(bào)接口規(guī)范建設(shè)包括：a)下級(jí)安全綜合管理平臺(tái)將本系統(tǒng)發(fā)現(xiàn)的告警信息通過告警上報(bào)接口向上級(jí)安全綜合管理平臺(tái)進(jìn)行上報(bào)。b)告警的上報(bào)由上級(jí)安全綜合管理平臺(tái)進(jìn)行訂閱，訂閱信息中包含是否上報(bào)、上報(bào)的時(shí)間范圍和級(jí)別信息。下級(jí)安全綜合管理平臺(tái)按照請(qǐng)求的內(nèi)容進(jìn)行告警的實(shí)時(shí)上報(bào)或停止上報(bào)。c)本級(jí)安全綜合管理平臺(tái)將本級(jí)發(fā)生的告警進(jìn)行實(shí)時(shí)上報(bào)，傳輸采用面向連接的方式。相同的告警信息僅發(fā)送一次。若本級(jí)安全綜合管理平臺(tái)的告警清除，應(yīng)向上級(jí)發(fā)送該告警消除的消息，上級(jí)安全綜合管理平臺(tái)進(jìn)行相應(yīng)的處置。d)告警上報(bào)的內(nèi)容應(yīng)包括：告警的ID、系統(tǒng)所屬行政區(qū)編碼、告警名稱、告警內(nèi)容描述、告警的級(jí)別、告警發(fā)生的時(shí)間、告警涉及的IP地址、告警清除標(biāo)志和預(yù)留字段信息。注1：告警上報(bào)接口規(guī)范詳見附件A.5。10.3.7案例上報(bào)接口接口規(guī)范建設(shè)包括：a)下級(jí)安全綜合管理平臺(tái)應(yīng)將本系統(tǒng)發(fā)生的典型案例進(jìn)行上報(bào)，以便上級(jí)系統(tǒng)對(duì)各種典型案例進(jìn)行匯總。下級(jí)安全綜合管理平臺(tái)從本系統(tǒng)數(shù)據(jù)庫中將本系統(tǒng)發(fā)生的典型案例取出，調(diào)用案例上報(bào)接口，將本系統(tǒng)發(fā)生的案例上報(bào)給上級(jí)系統(tǒng)，上級(jí)系統(tǒng)獲取到案例后可根據(jù)知識(shí)庫的類別(規(guī)則庫、案例庫、預(yù)案庫、策略庫、漏洞庫)對(duì)案例進(jìn)行分類匯總并存儲(chǔ)在數(shù)據(jù)庫中，以便下級(jí)系統(tǒng)查詢并為處置類似事件提供技術(shù)支撐。b)案例上報(bào)接口僅為下級(jí)系統(tǒng)使用，接口要求的相關(guān)字段需按照字段類型、是否必填信息傳遞給上級(jí)系統(tǒng)，接口參數(shù)為XML格式。c)接口返回值為XML格式，應(yīng)說明調(diào)用該接口返回成功或失敗的狀態(tài)，返回值為失敗時(shí)應(yīng)給出失敗原因提示。DB32/T3514.5—2019注1：案例上報(bào)接口規(guī)范詳見附錄A.6。10.3.8遠(yuǎn)程知識(shí)庫查詢接口接口規(guī)范建設(shè)包括：a)下級(jí)安全綜合管理平臺(tái)可查詢上級(jí)系統(tǒng)的知識(shí)庫共享內(nèi)容。b)下級(jí)系統(tǒng)調(diào)用知識(shí)庫查詢接口，根據(jù)傳遞的接口參數(shù)獲取相應(yīng)的知識(shí)庫案例內(nèi)容，如該案例存在附件，則附件文檔可供下載導(dǎo)出。c)知識(shí)庫查詢接口為下級(jí)系統(tǒng)使用，下級(jí)系統(tǒng)可調(diào)用本接口，以觸發(fā)查詢功能；根據(jù)接口的參數(shù)，獲取知識(shí)庫內(nèi)容，本接口為觸發(fā)調(diào)用。d)本接口的參數(shù)可為空，如為空則表明要查詢所有知識(shí)庫內(nèi)容，知識(shí)庫標(biāo)題為模糊匹配，開始時(shí)間、結(jié)束時(shí)間可按時(shí)間段查詢，結(jié)束時(shí)間需大于開始時(shí)間。注1：遠(yuǎn)程知識(shí)庫查詢接口規(guī)范詳見附錄A.7。10.3.9報(bào)表上報(bào)接口接口規(guī)范建設(shè)包括：a)下級(jí)安全綜合管理平臺(tái)應(yīng)按要求向上級(jí)系統(tǒng)匯報(bào)本系統(tǒng)的月報(bào)報(bào)表匯總信息。b)下級(jí)安全綜合管理平臺(tái)將本系統(tǒng)產(chǎn)生的月報(bào)定期自動(dòng)上報(bào)給上級(jí)安全綜合管理平臺(tái)，報(bào)表以文件方式傳送，文件類型包括DOC、DOCX、XLS、XLSX、PDF、HTML、CSV等。文件名稱遵循一定格式要求，報(bào)表文件上傳方式采用SFTP加密傳輸方式。c)報(bào)表上報(bào)內(nèi)容應(yīng)包括系統(tǒng)所屬行政區(qū)編碼、報(bào)表名稱、內(nèi)容。注1：報(bào)表上報(bào)接口規(guī)范詳見附錄A.8。10.3.10安全通告接口接口規(guī)范建設(shè)包括：a)上級(jí)安全綜合管理平臺(tái)發(fā)現(xiàn)下級(jí)管理的資產(chǎn)或業(yè)務(wù)系統(tǒng)中存在安全風(fēng)險(xiǎn)、安全告警等安全事件，由上級(jí)系統(tǒng)向下級(jí)系統(tǒng)發(fā)送安全通告，提醒下級(jí)系統(tǒng)防范和處理。b)安全通告接口僅為上級(jí)系統(tǒng)使用，接口要求的相關(guān)字段需按照字段類型、是否必填信息傳遞給下級(jí)系統(tǒng)，接口參數(shù)為XML格式。c)接口返回值為XML格式，應(yīng)說明調(diào)用該接口返回成功或失敗的狀態(tài)，返回值為失敗時(shí)應(yīng)給出失敗原因提示。注1：安全通告接口規(guī)范詳見附錄A.10。10.4外部接口10.4.1接口描述安全綜合管理平臺(tái)應(yīng)建立開放式的架構(gòu)，能夠通過必要的定制或使用內(nèi)置的接口服務(wù)實(shí)現(xiàn)與IT運(yùn)維管理平臺(tái)等第三方平臺(tái)的信息交換和管理協(xié)同。10.4.2外部接口要求安全綜合管理平臺(tái)的外部接口應(yīng)包括但不限于：a)安全綜合管理平臺(tái)向第三方系統(tǒng)提供的信息：告警信息；b)安全綜合管理平臺(tái)從第三方系統(tǒng)接收的信息：資產(chǎn)信息、告警信息。10.4.3外部接口方式DB32/T3514.5—2019接口方式包括：a)數(shù)據(jù)文檔導(dǎo)入/導(dǎo)出：提供數(shù)據(jù)的導(dǎo)出功能，提供格式化文檔的數(shù)據(jù)導(dǎo)入處理；b)使用通用協(xié)議進(jìn)行數(shù)據(jù)動(dòng)態(tài)交換：通過SYSLOG、SNMPtrap實(shí)現(xiàn)安全綜合管理平臺(tái)與其他平臺(tái)的信息交換；c)提供Socket或WebService接口實(shí)現(xiàn)不同系統(tǒng)之間的同步或異步的數(shù)據(jù)交互。10.4.4外部數(shù)據(jù)導(dǎo)入接口導(dǎo)入數(shù)據(jù)包括：資產(chǎn)信息、告警信息。接口方式包括：a)安全綜合管理平臺(tái)通過文件方式，獲取并導(dǎo)入資產(chǎn)信息；b)安全綜合管理平臺(tái)通過Syslog或SNMPTrap的接口方式從第三方系統(tǒng)獲取其告警信息；c)安全綜合管理平臺(tái)通過FTP或HTTP方式獲取數(shù)據(jù)文件，并提供導(dǎo)入解析接口。10.4.5內(nèi)部數(shù)據(jù)導(dǎo)出接口安全綜合管理平臺(tái)提供安全告警信息內(nèi)容的導(dǎo)出功能，可導(dǎo)出為Excel、TXT、RTF、PDF、HTML等標(biāo)準(zhǔn)格式。具體內(nèi)容的組織和文檔格式根據(jù)業(yè)務(wù)需要確定，本標(biāo)準(zhǔn)不作進(jìn)一步的限定。10.4.6與其他系統(tǒng)動(dòng)態(tài)數(shù)據(jù)接口安全綜合管理平臺(tái)可根據(jù)需要與其他系統(tǒng)建立接口，將告警和事件信息傳送給其他系統(tǒng)，如事件處理系統(tǒng)，集中告警管理系統(tǒng)，實(shí)現(xiàn)相關(guān)安全信息的動(dòng)態(tài)交換。并可將工單和運(yùn)維信息傳送給第三方運(yùn)維管理系統(tǒng)，通過工單流程化處理，實(shí)現(xiàn)告警和事件的應(yīng)急響應(yīng)。也可將資產(chǎn)信息傳送給資源管理系統(tǒng)或網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)資產(chǎn)信息交互。接口方式可采用WebService或Socket協(xié)議。具體的數(shù)據(jù)格式根據(jù)業(yè)務(wù)需要確定，本標(biāo)準(zhǔn)不作進(jìn)一步的限定。DB32/T3514.5—2019AA附錄A(規(guī)范性附錄)電子政務(wù)外網(wǎng)安全綜合管理平臺(tái)接口規(guī)范A.1系統(tǒng)級(jí)聯(lián)注冊(cè)接口規(guī)范A.1.1功能描述系統(tǒng)級(jí)聯(lián)注冊(cè)時(shí)采用上級(jí)主動(dòng)添加下級(jí)信息的方式注冊(cè)，下級(jí)提供接口接收上級(jí)通知。接口函數(shù)定義為：publicStringplatformRegister(Stringxml);a)請(qǐng)求參數(shù)xml格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo><Higher><!--上級(jí)信息節(jié)點(diǎn)--><PlatformCode></PlatformCode><IP></IP><Port></Port></Higher><Lower><!--下級(jí)信息節(jié)點(diǎn)--><PlatformCode></PlatformCode><IP></IP><Port></Port></Lower></PlatformInfo>字段說明(*表示必選)，詳見表A.1。表A.1系統(tǒng)級(jí)聯(lián)注冊(cè)接口的字段說明表標(biāo)簽名名稱備注類型必選PlatformCode系統(tǒng)所屬行政區(qū)編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*IP地址Web訪問地址char(128)Port端口Web訪問端口char(32)b)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo>DB32/T3514.5—2019<Desc></Desc></PlatformInfo>詳見表A.2。表A.2系統(tǒng)級(jí)聯(lián)注冊(cè)接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選Status狀態(tài)1-注冊(cè)成功；0-注冊(cè)失敗*Desc描述返回出錯(cuò)信息，調(diào)試用char(128)A.2系統(tǒng)級(jí)聯(lián)注銷接口規(guī)范A.2.1功能描述系統(tǒng)級(jí)聯(lián)注銷時(shí)采用上級(jí)主動(dòng)注銷下級(jí)的方式，下級(jí)提供接口接收上級(jí)通知。接口函數(shù)定義為：publicStringplatformLogout(Stringxml);a)請(qǐng)求參數(shù)xml格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo><PlatformCode></PlatformCode></PlatformInfo>字段說明(*表示必選)，詳見A.3表A.3系統(tǒng)級(jí)聯(lián)注銷接口的字段說明表標(biāo)簽名名稱備注類型必選PlatformCode上級(jí)系統(tǒng)所屬行政區(qū)編碼從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*b)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo><Desc></Desc></PlatformInfo>字段說明(*表示必選)，詳見表A.4。表A.4系統(tǒng)級(jí)聯(lián)注銷接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選Status狀態(tài)1-注銷成功；0-注銷失敗*Desc描述返回出錯(cuò)信息，調(diào)試用char(128)DB32/T3514.5—2019A.3系統(tǒng)運(yùn)行狀態(tài)上報(bào)接口規(guī)范A.3.1功能描述上級(jí)安全綜合管理平臺(tái)對(duì)下級(jí)安全綜合管理平臺(tái)的運(yùn)行狀態(tài)進(jìn)行查詢，下級(jí)安全綜合管理平臺(tái)向上級(jí)系統(tǒng)上報(bào)本系統(tǒng)的運(yùn)行狀態(tài)信息。接口函數(shù)定義為：publicStringsystemStatusQuery();a)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><SystemStatus><PlatformCode></PlatformCode><IP></IP><Status></Status></SystemStatus>字段說明(*表示必選)，詳見表A.5。表A.5系統(tǒng)運(yùn)行狀態(tài)上報(bào)接口的字段說明表標(biāo)簽名名稱備注類型必選PlatformCode系統(tǒng)所屬行政區(qū)編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*被查詢安全綜合管理平臺(tái)IP。char(128)*Status狀態(tài)1-正常，0-離線*A.4風(fēng)險(xiǎn)上報(bào)接口規(guī)范A.4.1功能描述上級(jí)安全綜合管理平臺(tái)向下級(jí)安全綜合管理平臺(tái)下發(fā)風(fēng)險(xiǎn)上報(bào)請(qǐng)求，下級(jí)安全綜合管理平臺(tái)向上級(jí)系統(tǒng)上報(bào)本系統(tǒng)的風(fēng)險(xiǎn)信息。接口函數(shù)定義為：publicStringriskInformationQuery(StringXML);<?xmlversion=”1.0”encoding=”UTF-8”?><RiskRequest><Enable></Enable><RiskLevel></RiskLevel></RiskRequest>字段說明(*表示必選)，詳見表A.6。表A.6風(fēng)險(xiǎn)上報(bào)接口的字段說明表標(biāo)簽名名稱備注類型必選Enable使能發(fā)送1-允許上報(bào)風(fēng)險(xiǎn)；0-禁止上報(bào)風(fēng)險(xiǎn)*DB32/T3514.5—2019RiskLevel風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)等級(jí)，分為5級(jí)(1-5)，數(shù)字越大表示風(fēng)險(xiǎn)越高*b)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><RiskInformationRespone><PlatformCode></PlatformCode><Domain><DomainName></DomainName><RiskValue></RiskValue><RiskLevel></RiskLevel></Domain></RiskInformationRespone>字段說明(*表示必選)，詳見表A.7。表A.7風(fēng)險(xiǎn)上報(bào)接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選PlatformCode系統(tǒng)所屬行政區(qū)編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*DomainName安全域名稱并可根據(jù)情況增加“專用網(wǎng)絡(luò)區(qū)”char(64)*RiskValue風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值*RiskLevel風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)等級(jí)，分為5級(jí)(1-5)，數(shù)字越大表示風(fēng)險(xiǎn)越高*參照GB/T20984-2007，風(fēng)險(xiǎn)等級(jí)由各監(jiān)管節(jié)點(diǎn)系統(tǒng)自行計(jì)算，風(fēng)險(xiǎn)等級(jí)的編碼詳見表A.8。表A.8風(fēng)險(xiǎn)等級(jí)編碼表名稱等級(jí)編碼描述很高風(fēng)險(xiǎn)五級(jí)5風(fēng)險(xiǎn)一定會(huì)對(duì)政務(wù)外網(wǎng)全網(wǎng)造成影響。該風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)產(chǎn)生嚴(yán)重的影響，影響惡劣。高風(fēng)險(xiǎn)四級(jí)4風(fēng)險(xiǎn)可能會(huì)對(duì)全政務(wù)外網(wǎng)造成影響。該風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)產(chǎn)生較大影響，在一定范圍內(nèi)給系統(tǒng)造成損壞。中等風(fēng)險(xiǎn)三級(jí)3風(fēng)險(xiǎn)只會(huì)對(duì)監(jiān)管節(jié)點(diǎn)外網(wǎng)造成影響。該風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)產(chǎn)生一定的影響，但影響面和影響程度不大。低風(fēng)險(xiǎn)二級(jí)2風(fēng)險(xiǎn)只可能會(huì)對(duì)監(jiān)管節(jié)點(diǎn)外網(wǎng)造成影響，且對(duì)系統(tǒng)造成的影響程度較低，通過一定手段很快能解決。很低風(fēng)險(xiǎn)一級(jí)1風(fēng)險(xiǎn)對(duì)監(jiān)管節(jié)點(diǎn)外網(wǎng)基本沒有影響，通過簡(jiǎn)單的措施就能彌補(bǔ)。A.5告警上報(bào)接口規(guī)范DB32/T3514.5—2019A.5.1功能描述告警上報(bào)接口信息。在有告警發(fā)生時(shí)，下級(jí)安全綜合管理平臺(tái)需要向上級(jí)系統(tǒng)進(jìn)行通報(bào)。上級(jí)安全綜合管理平臺(tái)向下級(jí)系統(tǒng)下發(fā)“訂閱”指令，指定下級(jí)系統(tǒng)將符合訂閱要求的告警上報(bào)給上級(jí)安全綜合管理平臺(tái)。下級(jí)安全綜合管理平臺(tái)依據(jù)訂閱指令開始或停止告警信息的上報(bào)。接口函數(shù)定義為：publicStringalarmsInformationQuery(Stringxml);<?xmlversion=”1.0”encoding=”UTF-8”?><AlarmsInformationRequest><Enable></Enable><Starttime></Starttime><Endtime></Endtime><Level></Level><Type></Type></AlarmsInformationRequest>見表A.9。表A.9告警上報(bào)接口的字段說明表標(biāo)簽名名稱備注類型必選Enable使能發(fā)送1-允許上報(bào)告警；0-禁止上報(bào)告警*Starttime告警發(fā)生時(shí)間警。時(shí)間格式Y(jié)YYY-MM-DDHH24:MM:SS。dateEndtime告警結(jié)束時(shí)間Level告警安全級(jí)別整型，分5級(jí)(1-5)，數(shù)字越大表示級(jí)別別的告Type告警分類告警所屬類型Char(64)b)上報(bào)采用WebService方法，接口函數(shù)為：publicStringalarmsInformationReport(Stringxml);<?xmlversion=”1.0”encoding=”UTF-8”?><AlarmsInformationReport><Alarm><DeviceIP></DeviceIP><DeviceName></DeviceName><ID></ID><ClearFlag></ClearFlag>20DB32/T3514.5—2019<PlatformCode></PlatformCode><Name></Name><Desc></Desc><Type></Type><Level></Level><OccurTime></OccurTime><IP></IP><Reserved></Reserved></Alarm></AlarmsInformationReport>選)，詳見表A.10。表A.10告警上報(bào)接口參數(shù)xml的字段說明表標(biāo)簽名名稱備注類型必選Alarm告警信息元素告警信息的元素，可為多個(gè)DeviceIP設(shè)備(系統(tǒng))IPIP，格式支持IPv4/IPv6char(128)*DeviceName設(shè)備(系統(tǒng))名稱發(fā)送告警的安全綜合管理平臺(tái)的名稱char(64)告警的ID，標(biāo)識(shí)該告警的唯一標(biāo)識(shí)，*ClearFlag告警清除標(biāo)志標(biāo)識(shí)當(dāng)前消息是告警報(bào)文還是恢復(fù)報(bào)文，1：告警報(bào)文；0：恢復(fù)報(bào)文*PlatformCode系統(tǒng)所屬行政區(qū)遵從GB/T2260《中華人民共和國行char(32)*Name告警名稱告警名稱char(256)*Desc告警描述告警描述的詳細(xì)內(nèi)容char(256)*Type告警分類編碼告警所屬分類編碼char(64)Level告警等級(jí)告警嚴(yán)重性等級(jí)(1-5)，數(shù)字越大級(jí)別OccurTime發(fā)生時(shí)間告警發(fā)生的時(shí)間，采用長整型long(8)*告警涉及的IP告警涉及的IPchar(128)Reserved保留保留字段，供后期使用char(256)d)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo><Desc></Desc></PlatformInfo>字段說明(*表示必選)，詳見表A.11。21DB32/T3514.5—2019表A.11告警上報(bào)接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選Status上報(bào)結(jié)果狀態(tài)1-成功；0-失敗t*Desc描述返回出錯(cuò)信息char(128)參考GB/Z20986-2007、GA/Z1254-2015國家標(biāo)準(zhǔn)對(duì)安全事件分類的定義，安全告警分類按照行業(yè)慣例分為5種類型，詳見表A.12。表A.12告警分類編碼表告警分類編碼描述狀態(tài)STA設(shè)備自身運(yùn)行狀態(tài)告警，例如設(shè)備宕機(jī)、網(wǎng)絡(luò)設(shè)備中斷等配置CFG設(shè)備的配置信息變更的告警，例如核心網(wǎng)絡(luò)設(shè)備的配置策略惡意篡改等性能PFM設(shè)備自身的性能告警，例如CPU、內(nèi)存利用率過高等安全SEC通過網(wǎng)絡(luò)或其他技術(shù)手段對(duì)信息系統(tǒng)進(jìn)行的攻擊事件告警，例如入侵、暴力破解、DDOS等攻擊告警信息其他OTH上述告警未包括的其他告警類型參照GB/T22240-2008、YD/T1729-2008、GB/Z20986-2007國標(biāo)對(duì)安全事件等級(jí)的定義，對(duì)安全告警等級(jí)按行業(yè)慣例分為5級(jí)，詳見表A.13。表A.13告警等級(jí)編碼表名稱等級(jí)編碼描述緊急五級(jí)5該告警一定會(huì)對(duì)政務(wù)外網(wǎng)全網(wǎng)造成影響。該告警會(huì)使業(yè)務(wù)中斷并需要立即進(jìn)行故障檢修嚴(yán)重4該告警可能會(huì)對(duì)政務(wù)外網(wǎng)全網(wǎng)造成影響。該告警會(huì)影響業(yè)務(wù)并需要立即進(jìn)行故障檢修重要三級(jí)3該告警只會(huì)對(duì)監(jiān)管節(jié)點(diǎn)外網(wǎng)造成影響。該告警影響現(xiàn)有業(yè)務(wù)，需要進(jìn)行檢修以阻止惡化一般二級(jí)2該告警只可能對(duì)監(jiān)管節(jié)點(diǎn)外網(wǎng)造成影響。該告警不影響現(xiàn)有業(yè)務(wù)，如不進(jìn)行處理可能會(huì)影響業(yè)務(wù)，可視為需要采取措施的告警無一級(jí)1正常狀態(tài)A.6遠(yuǎn)程知識(shí)庫查詢接口規(guī)范A.7案例上報(bào)接口規(guī)范22DB32/T3514.5—2019A.7.1功能描述下級(jí)安全綜合管理平臺(tái)通過本接口將本級(jí)系統(tǒng)的案例上報(bào)給上級(jí)系統(tǒng)。接口函數(shù)定義為：publicStringlowerDataSyn(Stringxml);a)請(qǐng)求參數(shù)xml格式如下：<?xmlversion="1.0"encoding="UTF-8"?><CaseAnalyselist><PlatformCode></PlatformCode><CaseAnalyse><Id></Id><Casetitle></Casetitle><Createtime></Createtime><Content></Content><Keyproperty></Keyproperty><Createman></Createman><Attachflag></Attachflag><Attachment></Attachment>......<Attachment></Attachment><Reserved></Reserved></CaseAnalyse>......</CaseAnalyselist>字段說明(*表示必選)，詳見表A.14。表A.14案例上報(bào)接口的字段說明表標(biāo)簽名名稱備注類型必選PlatformCode編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*案例標(biāo)識(shí)案例標(biāo)識(shí)，用以區(qū)分案例及類別*Casetitle案例標(biāo)題案例標(biāo)題char(32)*Createtime創(chuàng)建時(shí)間案例創(chuàng)建時(shí)間,格式Y(jié)YYY-MM-DDHH24:MM:SSdate*Content案例內(nèi)容案例內(nèi)容char(512)*Keyproperty關(guān)鍵字案例關(guān)鍵字說明，用于關(guān)鍵字索引char(32)*Createman案例創(chuàng)建人案例創(chuàng)建人姓名、單位和聯(lián)系方式char(32)*23DB32/T3514.5—2019表A.14案例上報(bào)接口的字段說明表(續(xù))Attachflag是否帶附件標(biāo)識(shí)1-有附件；0-無附件*Attachment附件文件上傳的URL，采用FTP方char(256)Reserved保留字段保留字段，供系統(tǒng)使用char(256)b)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><CaseAnalyseStatus><PlatformCode></PlatformCode><CaseAnalyse><Id></Id><Status></Status><Desc></Desc></CaseAnalyse>......</CaseAnalyseStatus>字段說明(*表示必選)，詳見表A.15。表A.15案例上報(bào)接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選PlatformCode系統(tǒng)所屬行政區(qū)編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*案例標(biāo)識(shí)案例標(biāo)識(shí)*Status案例上報(bào)狀態(tài)成功或失敗，1-成功，0-失敗*描述成功失敗描述，失敗需寫明失敗A.7.2功能描述下級(jí)系統(tǒng)應(yīng)能夠共享上級(jí)系統(tǒng)的知識(shí)庫內(nèi)容。接口函數(shù)定義為：publicStringqueryDocument