版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
35.240CCS
L
70
DB36江 西 省 地 方 標(biāo) 準(zhǔn)DB36/T
1892—2023電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)技術(shù)規(guī)范Technical
specifications
extranet
security
platform2023-12-11
發(fā)布 2024-06-01
實(shí)施江西省市場(chǎng)監(jiān)督管理局 發(fā)
布DB36/T
1892—2023 前言
.............................................................................II1
范圍
................................................................................ 12
規(guī)范性引用文件
...................................................................... 13
術(shù)語(yǔ)和定義
.......................................................................... 14
縮略語(yǔ)
.............................................................................. 35
監(jiān)測(cè)范圍
........................................................................... 46
部署架構(gòu)
............................................................................ 47
通用技術(shù)要求
........................................................................ 58
擴(kuò)展技術(shù)要求
........................................................................ 59
數(shù)據(jù)共享要求........................................................................ 1210
平臺(tái)級(jí)聯(lián)要求
...................................................................... 13附錄
A(資料性)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)典型部署...................................... 15附錄
B(資料性)數(shù)據(jù)總線結(jié)構(gòu).......................................................... 17IDB36/T
1892—2023 本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由江西省發(fā)展和改革委員會(huì)提出并歸口。本文件起草單位:江西省信息中心。王博瓊、袁小樂(lè)、賴敬坤、王禎浩、潘志安、潘偉華、涂琳、謝冬、饒榮、嚴(yán)時(shí)晗。IIDB36/T
1892—2023電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)技術(shù)規(guī)范1范圍要求。本文件適用于電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)的設(shè)計(jì)、建設(shè)和運(yùn)維。2 規(guī)范性引用文件文件。GB/Z
20986
GB/T
網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南GB/T
22239
GB/T
18336
安全技術(shù)
信息技術(shù)安全性評(píng)估準(zhǔn)則GB/T
42583
政務(wù)網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)技術(shù)規(guī)范DB36/T
979 電子政務(wù)外網(wǎng)安全接入平臺(tái)技術(shù)規(guī)范DB36/T
1093 電子政務(wù)外網(wǎng)網(wǎng)絡(luò)接入規(guī)范DB36/T
1099 電子政務(wù)云平臺(tái)安全規(guī)范DB36/T
1179 政務(wù)數(shù)據(jù)共享技術(shù)規(guī)范DB36/T
1712 政務(wù)區(qū)塊鏈平臺(tái)技術(shù)規(guī)范DB36/T
1713 公共數(shù)據(jù)分類(lèi)分級(jí)指南3 術(shù)語(yǔ)和定義GB/T
術(shù)語(yǔ)》中規(guī)定內(nèi)容以及下列術(shù)語(yǔ)和定義適用于本文件。3.1信息安全事件
security
incident由單個(gè)或一系列意外或有害的信息安全事態(tài)所組成的,極有可能危害業(yè)務(wù)運(yùn)行和威脅信息安全。[來(lái)源:GB/T
25069-2010,2.1.53]3.2電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)
E-government
monitoring
platform1DB36/T
1892—2023監(jiān)測(cè)和分析,實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別、威脅發(fā)現(xiàn)、安全事件預(yù)判和實(shí)時(shí)告警及可視化展示的系統(tǒng)。3.3政務(wù)城域網(wǎng)
metropolitan
area
同城各政務(wù)部門(mén)間實(shí)現(xiàn)互聯(lián)互通的政務(wù)網(wǎng)絡(luò)。[來(lái)源:GB/T
42583-2023,3.2]3.4政務(wù)廣域網(wǎng)
wide
area
network連接不同地區(qū)政務(wù)局域網(wǎng)或政務(wù)城域網(wǎng),實(shí)現(xiàn)遠(yuǎn)程通信的政務(wù)網(wǎng)絡(luò)。[來(lái)源:GB/T
42583-2023,3.3]3.5管理網(wǎng)
承載安全統(tǒng)一運(yùn)維、預(yù)警通告、安全數(shù)據(jù)傳輸?shù)葮I(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)。3.63.7
探針
probe從被觀察的信息系統(tǒng)中,通過(guò)感知、監(jiān)測(cè)等收集事態(tài)數(shù)據(jù)的一種部件或代理。[來(lái)源:GB/T
25069-2010,7]數(shù)據(jù)總線
databus和交換的功能模塊。[來(lái)源:GB/T
42583-2023,3.8]3.8威脅情報(bào)
括事件情報(bào)、漏洞情報(bào)。3.9專項(xiàng)監(jiān)測(cè)
special
云平臺(tái)安全監(jiān)測(cè)、移動(dòng)應(yīng)用安全監(jiān)測(cè)、終端安全監(jiān)測(cè)、數(shù)據(jù)安全監(jiān)測(cè)等。2DB36/T
1892—20233.10電子政務(wù)共享數(shù)據(jù)統(tǒng)一交換平臺(tái)
E-government
data
exchange
platform域的數(shù)據(jù)交換。[來(lái)源:DB36/T
3.11前置節(jié)點(diǎn)
front
信息資源的共享交換。3.12節(jié)點(diǎn) node用于連接不同網(wǎng)絡(luò)設(shè)備或程序。3.13政務(wù)區(qū)塊鏈
governmental
協(xié)同辦理,提高政務(wù)服務(wù)效率。[來(lái)源:DB36/T
1712-2022,3.3]4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。API:應(yīng)用程序接口(Application
Programming
GIS:地理信息系統(tǒng)(Geographic
Information
JSON:JS對(duì)象簡(jiǎn)譜(JavaScript
Object
SMTP:簡(jiǎn)單郵件傳輸協(xié)議(Simple
Transfer
Protocol)VPC:虛擬私有云(VirtualPrivateCloud)DNS:域名系統(tǒng)(DomainNameSystem)DGA:域名生成算法(DomainGenerateAlgorithm)URL:統(tǒng)一資源定位系統(tǒng)(Uniform
Resource
Protocol)IPv6:
互聯(lián)網(wǎng)協(xié)議第六版(Internet
Protocol
IT:信息產(chǎn)業(yè)(Information
Technology)HTTP:超文本傳輸協(xié)議(HyperText
Transfer
HTTPS:超文本傳輸安全協(xié)議(HyperText
Transfer
Protocol
Secure)3DB36/T
1892—20235 監(jiān)測(cè)范圍電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)監(jiān)測(cè)范圍包括本地區(qū)/本部門(mén)政務(wù)網(wǎng)絡(luò),以及與之連接的政務(wù)廣域網(wǎng)、
1所示。圖
1
監(jiān)測(cè)范圍6 部署架構(gòu)享、預(yù)警通報(bào)、協(xié)同處置及數(shù)據(jù)展示查詢功能。級(jí)聯(lián)系統(tǒng)部署在省市兩級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)。省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)通過(guò)省級(jí)平臺(tái)級(jí)聯(lián)系統(tǒng)向市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)下發(fā)安市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)通過(guò)市級(jí)平臺(tái)級(jí)聯(lián)系統(tǒng)向省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)上報(bào)系統(tǒng)運(yùn)行狀態(tài)、安全事件、威脅情報(bào),反饋處置結(jié)果。原則上,縣級(jí)單位不部署電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái),監(jiān)測(cè)平臺(tái)部署架構(gòu)如圖
2
所示。4DB36/T
1892—2023圖
2
電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)部署架構(gòu)7 通用技術(shù)要求電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)基于省電子政務(wù)外網(wǎng)建設(shè),基本要求包括但不限于:a)省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)為省級(jí)政務(wù)部門(mén)提供監(jiān)測(cè)服務(wù),將威脅情報(bào)、案例、安全事件通告與數(shù)據(jù)安全治理結(jié)果等資源共享到市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái);b)省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)應(yīng)通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)測(cè)評(píng),市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)宜按照省級(jí)標(biāo)準(zhǔn)進(jìn)行建設(shè);c)市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)為市縣級(jí)政務(wù)部門(mén)提供監(jiān)測(cè)服務(wù),按要求對(duì)省級(jí)電子政務(wù)外網(wǎng)況、案例、安全事件等內(nèi)容;d)市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)應(yīng)通過(guò)平臺(tái)級(jí)聯(lián)系統(tǒng)與省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)進(jìn)行級(jí)聯(lián)對(duì)接;展示與應(yīng)用、平臺(tái)管理、數(shù)據(jù)存儲(chǔ)等功能;f)可集成不同廠商的各類(lèi)
IT
資產(chǎn),實(shí)現(xiàn)各類(lèi)設(shè)備日志信息的實(shí)時(shí)采集與統(tǒng)一監(jiān)測(cè);g)安全日志存儲(chǔ)時(shí)間至少為
6
;志檢索功能;h)
采用國(guó)產(chǎn)自主可控安全產(chǎn)品,支持國(guó)密算法;i)
IPv6
8擴(kuò)展技術(shù)要求電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)5DB36/T
1892—2023臺(tái)適用基本要求和增強(qiáng)要求。在本文件中,黑體字部分表示增強(qiáng)要求。電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)系統(tǒng),電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)技術(shù)架構(gòu)如圖
3
所示。圖3電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)技術(shù)架構(gòu)8.1 數(shù)據(jù)采集子系統(tǒng)8.1.1 監(jiān)測(cè)數(shù)據(jù)采集本項(xiàng)要求包括:a)
采集范圍。應(yīng)覆蓋監(jiān)測(cè)范圍內(nèi)的通信網(wǎng)絡(luò)、區(qū)域邊界以及計(jì)算環(huán)境。采集點(diǎn)部署在核心交換節(jié)點(diǎn)、核心匯聚節(jié)點(diǎn)和移動(dòng)接入點(diǎn)等關(guān)鍵節(jié)點(diǎn);b)
知識(shí)數(shù)據(jù)、級(jí)聯(lián)/第三方平臺(tái)數(shù)據(jù)、各類(lèi)安全基礎(chǔ)資源
服務(wù)等產(chǎn)生的告警數(shù)據(jù)、與安全相關(guān)的審計(jì)日志,實(shí)現(xiàn)資產(chǎn)梳理;c)
采集方式。應(yīng)支持通過(guò)流量采集系統(tǒng)、標(biāo)準(zhǔn)協(xié)議、、API
接口、手動(dòng)導(dǎo)入、掃描、第三方導(dǎo)入等不同的方式采集流量、日志、資產(chǎn)信息、威脅情報(bào)等信息。8.1.2 監(jiān)測(cè)數(shù)據(jù)預(yù)處理本項(xiàng)要求包括:a)
應(yīng)通過(guò)配置相關(guān)解析規(guī)則,過(guò)濾規(guī)則,富化規(guī)則,日志類(lèi)型來(lái)達(dá)到歸一化,過(guò)濾、豐富、分類(lèi)日志信息的目的;b)
應(yīng)支持自定義預(yù)處理解析規(guī)則文件,可根據(jù)應(yīng)用場(chǎng)景,通過(guò)配置選擇插件,正則表達(dá)式、分隔符、JSON
等方法定義解析規(guī)則。6DB36/T
1892—20238.2 威脅情報(bào)子系統(tǒng)8.2.1 威脅情報(bào)組織本項(xiàng)要求包括:a)
b)
應(yīng)支持威脅情報(bào)數(shù)據(jù)手動(dòng)更新或者在線更新,威脅情報(bào)來(lái)源包括但不限于第三方威脅情報(bào)服務(wù)商、省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)等。根據(jù)不同的威脅等級(jí),配置不同的更新頻率,對(duì)于高風(fēng)險(xiǎn)或緊急情報(bào),宜實(shí)時(shí)更新;中低風(fēng)險(xiǎn)情報(bào),宜每日更新;c)宜支持威脅情報(bào)質(zhì)量評(píng)估機(jī)制,支持根據(jù)評(píng)估結(jié)果標(biāo)注威脅情報(bào)等級(jí)。8.2.2 威脅情報(bào)生成本項(xiàng)要求包括:a)
應(yīng)支持獲取原始樣本或數(shù)據(jù),并對(duì)其進(jìn)行歸類(lèi)、分析、加工、處理后生成威脅情報(bào);b)
應(yīng)支持自定義威脅情報(bào)標(biāo)簽;c)
應(yīng)支持手動(dòng)增加或刪除威脅情報(bào)。8.2.3 威脅情報(bào)共享與使用本項(xiàng)要求包括:a)
應(yīng)支持提供威脅情報(bào)數(shù)據(jù)查詢和比對(duì)接口,供數(shù)據(jù)實(shí)時(shí)分析和批量查詢;b)
應(yīng)支持通過(guò)接口方式或文件導(dǎo)入/導(dǎo)出方式,實(shí)現(xiàn)數(shù)據(jù)共享平臺(tái)或第三方平臺(tái)的威脅情報(bào)共享交換和使用。8.3 數(shù)據(jù)安全治理子系統(tǒng)融合到服務(wù)發(fā)布等全流程的數(shù)據(jù)治理工作,為安全監(jiān)測(cè)平臺(tái)提供數(shù)據(jù)資源支撐的數(shù)據(jù)集合。本項(xiàng)要求包括:a)
應(yīng)支持基于最大化歸集、一數(shù)一源、同義項(xiàng)歸并、歸集碼表等數(shù)據(jù)歸集原則,結(jié)合統(tǒng)一的分類(lèi)編碼規(guī)則,按照流量元數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、日志數(shù)據(jù)、告警數(shù)據(jù)、漏洞數(shù)據(jù)、規(guī)則數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)等數(shù)據(jù)內(nèi)容屬性類(lèi)型進(jìn)行一級(jí)分類(lèi),覆蓋已歸集數(shù)據(jù),形成數(shù)據(jù)安全治理結(jié)果;b)
應(yīng)支持可伸縮的數(shù)據(jù)存儲(chǔ)架構(gòu),滿足數(shù)據(jù)量持續(xù)增長(zhǎng)需求;c)
應(yīng)支持業(yè)務(wù)相關(guān)敏感數(shù)據(jù)加密存儲(chǔ);d)
應(yīng)支持與省、市級(jí)電子政務(wù)共享數(shù)據(jù)統(tǒng)一交換平臺(tái)對(duì)接;e)
應(yīng)支持在主題目錄下面創(chuàng)建數(shù)據(jù)安全治理結(jié)果二級(jí)分類(lèi)并注冊(cè)目錄,支持將數(shù)據(jù)治理形成的接口服務(wù)數(shù)據(jù)掛接到該目錄中,支持治理結(jié)果數(shù)據(jù)資源的共享。8.4 數(shù)據(jù)總線子系統(tǒng)8.4.1 數(shù)據(jù)類(lèi)型流量元數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)信息、安全告警、威脅情報(bào)、安全事件、工單報(bào)表等。8.4.2 內(nèi)部數(shù)據(jù)交換接口7DB36/T
1892—2023應(yīng)用。8.4.3 數(shù)據(jù)采集接口報(bào)等數(shù)據(jù)。8.4.4 平臺(tái)級(jí)聯(lián)接口省、市級(jí)平臺(tái)級(jí)聯(lián)系統(tǒng)之間通過(guò)級(jí)聯(lián)接口進(jìn)行數(shù)據(jù)共享和交換,本項(xiàng)要求包括:a)
知識(shí)案例等;b)
接口類(lèi)型包括但不限于級(jí)聯(lián)注冊(cè)接口、數(shù)據(jù)上傳接口、數(shù)據(jù)下發(fā)接口和數(shù)據(jù)查詢接口等;c)
應(yīng)支持在數(shù)據(jù)傳輸過(guò)程中采用密碼技術(shù)保證數(shù)據(jù)的完整性和保密性。8.4.5 第三方接口本項(xiàng)要求包括:a)
應(yīng)支持與橫向協(xié)同單位平臺(tái)的數(shù)據(jù)交互和對(duì)接,能夠通過(guò)必要的定制或使用內(nèi)置的接口服務(wù),實(shí)現(xiàn)與第三方平臺(tái)的信息交換和管理協(xié)同;b)
事件、威脅情報(bào)、統(tǒng)計(jì)數(shù)據(jù)等。8.5 數(shù)據(jù)分析子系統(tǒng)8.5.1攻擊行為分析本項(xiàng)要求包括:a)
應(yīng)支持特征碼匹配分析,能夠識(shí)別惡意流量特征、惡意文件特征、惡意代碼特征等;b)
應(yīng)支持場(chǎng)景化分析,包括但不限于資產(chǎn)違規(guī)外連、賬號(hào)異地登陸、弱口令、數(shù)據(jù)庫(kù)敏感操作等典型場(chǎng)景;c)
應(yīng)支持基于攻擊階段、攻擊特征相似度等維度的關(guān)聯(lián)分析;d)
應(yīng)支持通過(guò)機(jī)器學(xué)習(xí)算法進(jìn)行數(shù)據(jù)分析;e)
應(yīng)支持對(duì)多源異構(gòu)的安全大數(shù)據(jù)進(jìn)行聚合或關(guān)聯(lián)分析,發(fā)現(xiàn)攻擊行為;f)
宜支持利用沙箱對(duì)可疑文件及
URL
進(jìn)行靜態(tài)或動(dòng)態(tài)的分析檢測(cè);g)
宜支持關(guān)聯(lián)威脅情報(bào)進(jìn)行網(wǎng)絡(luò)攻擊行為特征分析和溯源分析;h)
宜支持
DNS
威脅檢測(cè),包括但不限于
DNS
協(xié)議漏洞檢測(cè)、惡意域名解析檢測(cè)、DGA
域名檢測(cè)、DNS
隱蔽通道檢測(cè)等。8.5.2 風(fēng)險(xiǎn)態(tài)勢(shì)分析本項(xiàng)要求包括:a)
應(yīng)支持基于資產(chǎn)、威脅和脆弱性監(jiān)測(cè)數(shù)據(jù),對(duì)網(wǎng)絡(luò)的整體安全態(tài)勢(shì)進(jìn)行分析;b)
應(yīng)支持基于安全事件的威脅態(tài)勢(shì)分析,安全事件包括但不限于有害程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)攻擊事件、違規(guī)操作事件等;c)
應(yīng)支持基于資產(chǎn)的類(lèi)型、分布、重要程度、資產(chǎn)脆弱性等信息,綜合分析資產(chǎn)安全態(tài)勢(shì)。8.5.3 安全專項(xiàng)分析8DB36/T
1892—2023外網(wǎng)安全監(jiān)測(cè)平臺(tái)情況,按照本級(jí)實(shí)際需求進(jìn)行專項(xiàng)能力建設(shè)。 政務(wù)云分析本項(xiàng)要求包括:a)應(yīng)支持對(duì)政務(wù)云平臺(tái)南北向流量采集分析,包括攻擊行為分析、風(fēng)險(xiǎn)態(tài)勢(shì)分析;b)宜支持對(duì)政務(wù)云平臺(tái)
VPC
東西向流量、VPC
內(nèi)部流量采集分析,包括攻擊行為分析、風(fēng)險(xiǎn)態(tài)勢(shì)分析;c)宜支持訪問(wèn)平臺(tái)管理界面,具備政務(wù)云平臺(tái)維度、租戶維度和
VPC
維度的態(tài)勢(shì)展示功能。 政務(wù)終端分析本項(xiàng)要求包括:a)應(yīng)支持終端狀態(tài)分析,包括:終端上線、終端違規(guī)外聯(lián)、終端離線等;b)應(yīng)支持政務(wù)終端總體態(tài)勢(shì)、威脅態(tài)勢(shì)的展示。 政務(wù)數(shù)據(jù)分析本項(xiàng)要求包括:a)應(yīng)采取流量分析技術(shù)對(duì)數(shù)據(jù)采集、傳輸、處理、分析等關(guān)鍵節(jié)點(diǎn)進(jìn)行監(jiān)測(cè);b)應(yīng)支持采用主動(dòng)或被動(dòng)方式采集數(shù)據(jù)庫(kù)安全審計(jì)日志、數(shù)據(jù)安全設(shè)備日志、API
數(shù)據(jù)訪問(wèn)流量等;d)應(yīng)支持根據(jù)數(shù)據(jù)的敏感程度、保密性要求和重要性,將數(shù)據(jù)進(jìn)行分類(lèi)分級(jí),并基于數(shù)據(jù)分類(lèi)分級(jí)結(jié)果,分析數(shù)據(jù)訪問(wèn)行為,動(dòng)態(tài)偵測(cè)數(shù)據(jù)資產(chǎn)生命周期的變化情況;f)應(yīng)支持?jǐn)?shù)據(jù)接口及數(shù)據(jù)庫(kù)脆弱性分析,發(fā)現(xiàn)數(shù)據(jù)庫(kù)漏洞、數(shù)據(jù)庫(kù)基線問(wèn)題、數(shù)據(jù)庫(kù)弱口令;監(jiān)測(cè)發(fā)現(xiàn)接口的未授權(quán)訪問(wèn)、參數(shù)可遍歷、接口未鑒權(quán)、登陸弱口令、口令明文傳輸、腳本命令執(zhí)行、訪問(wèn)權(quán)限等問(wèn)題;g)應(yīng)支持個(gè)人信息泄露分析,對(duì)個(gè)人信息泄露情況進(jìn)行識(shí)別和分析;h)應(yīng)支持對(duì)數(shù)據(jù)泄露情況進(jìn)行溯源分析和取證,支持以泄露數(shù)據(jù)為線索,建立對(duì)數(shù)據(jù)事件記錄盡 政務(wù)應(yīng)用行為分析此項(xiàng)要求包括:a)應(yīng)支持業(yè)務(wù)行為分析,包括敏感信息頁(yè)面調(diào)用異常、查詢數(shù)據(jù)異常、賬號(hào)使用異常等行為;b)應(yīng)支持操作行為分析,包括同一業(yè)務(wù)高頻操作、異常時(shí)間操作、數(shù)據(jù)庫(kù)異常操作等行為;c)應(yīng)支持訪問(wèn)行為分析,包括異常
IP
地址登陸、非正常時(shí)間段登陸、短時(shí)多
IP
登陸、異常端口訪問(wèn)、未授權(quán)的數(shù)據(jù)訪問(wèn)、高風(fēng)險(xiǎn)的數(shù)據(jù)下載、異常的數(shù)據(jù)庫(kù)操作等行為;d)應(yīng)支持資產(chǎn)變動(dòng)分析,對(duì)業(yè)務(wù)系統(tǒng)資產(chǎn)的端口或服務(wù)變化情況進(jìn)行監(jiān)測(cè)分析,分析數(shù)據(jù)資產(chǎn)脆弱性,識(shí)別應(yīng)用系統(tǒng)風(fēng)險(xiǎn)問(wèn)題并及時(shí)處置;e)應(yīng)支持資產(chǎn)漏洞風(fēng)險(xiǎn)分析,支持識(shí)別漏洞掃描設(shè)備報(bào)告,識(shí)別業(yè)務(wù)系統(tǒng)漏洞情況
API
8.6 展示與應(yīng)用子系統(tǒng)9DB36/T
1892—20238.6.1監(jiān)測(cè)視圖本項(xiàng)要求包括:a)
GIS
地圖、雷達(dá)圖、拓?fù)鋱D、路徑等至少兩種表現(xiàn)形式;b)
應(yīng)支持基于威脅類(lèi)型、攻擊次數(shù)、威脅來(lái)源、威脅目標(biāo)、攻擊路徑等信息的威脅視圖展示;c)
應(yīng)支持基于資產(chǎn)類(lèi)型、分布、資產(chǎn)脆弱性、相關(guān)攻擊事件等信息的資產(chǎn)安全視圖展示;d)
圖展示;e)
應(yīng)支持基于統(tǒng)計(jì)信息、實(shí)時(shí)信息、歷史信息和變化趨勢(shì)的展示方式,以及分角色展示方式;f)
應(yīng)支持政務(wù)云平臺(tái)整體安全態(tài)勢(shì)展示,支持各租戶的業(yè)務(wù)安全態(tài)勢(shì)展示;g)
應(yīng)支持政務(wù)云邊界區(qū)域、政務(wù)云南北向和管理區(qū)的威脅態(tài)勢(shì)和資產(chǎn)安全態(tài)勢(shì)展示;h)
應(yīng)支持與政務(wù)云安全設(shè)備或云安全服務(wù)組件進(jìn)行聯(lián)動(dòng),自動(dòng)完成應(yīng)急處置任務(wù);i)
應(yīng)支持根據(jù)數(shù)據(jù)分析結(jié)果進(jìn)行實(shí)時(shí)告警,告警內(nèi)容包括但不限于告警類(lèi)型、告警級(jí)別、受威脅的業(yè)務(wù)資產(chǎn)信息、網(wǎng)站標(biāo)識(shí)、網(wǎng)站地址等;j)
應(yīng)支持對(duì)數(shù)據(jù)流轉(zhuǎn)或數(shù)據(jù)訪問(wèn)時(shí)序的展示。8.6.2 預(yù)警通報(bào)本項(xiàng)要求包括:a)
應(yīng)支持基于數(shù)據(jù)分析結(jié)構(gòu)和告警規(guī)則,實(shí)施產(chǎn)生分級(jí)別安全告警;b)
應(yīng)支持按照設(shè)定的預(yù)警級(jí)別和預(yù)警流程發(fā)布預(yù)警信息,預(yù)警內(nèi)容包括但不限于:預(yù)警類(lèi)型、預(yù)警級(jí)別、威脅方式、涉及對(duì)象、影響程度、防范對(duì)策等;c)
應(yīng)支持按照設(shè)定的安全事件通報(bào)流程進(jìn)行事件通報(bào),通報(bào)內(nèi)容包括但不限于事件類(lèi)型、攻擊源IP、目標(biāo)
IP、事件級(jí)別、事件分析、影響程度和處置建議等;d)
應(yīng)支持平臺(tái)、郵件、短信、即時(shí)通訊、文件等兩種及以上預(yù)警和通報(bào)方式。8.6.3 攻擊行為展示本項(xiàng)要求包括:a)
應(yīng)支持在重要或特殊時(shí)期通過(guò)安全探測(cè)等方式對(duì)重要資產(chǎn)的威脅進(jìn)行持續(xù)發(fā)現(xiàn)、排序和監(jiān)控;b)
應(yīng)支持對(duì)重要資產(chǎn)的攻擊行為信息進(jìn)行詳細(xì)展示,包括但不限于:攻擊故事線、影響資產(chǎn)、攻擊源、歷史攻擊、攻擊行為分析、網(wǎng)絡(luò)連接行為、文件行為、域名訪問(wèn)行為、模塊加載行為、進(jìn)程操作行為等;c)
應(yīng)支持以圖形化的方式展現(xiàn)電子政務(wù)外網(wǎng)各類(lèi)重要資產(chǎn)的分布狀況、相互關(guān)系、潛在攻擊路徑等。8.6.4 應(yīng)急處置聯(lián)動(dòng)本項(xiàng)要求包括:a)
應(yīng)支持在規(guī)定時(shí)間內(nèi)將安全告警或安全事件形成處置任務(wù),并進(jìn)行記錄、跟蹤和歸檔;b)
應(yīng)支持對(duì)安全告警或安全事件進(jìn)行調(diào)查取證,包含告警溯源信息和關(guān)聯(lián)的原始日志;c)
應(yīng)支持與第三方設(shè)備或平臺(tái)聯(lián)動(dòng),根據(jù)監(jiān)測(cè)結(jié)果,協(xié)助實(shí)施動(dòng)態(tài)訪問(wèn)控制等安全處置行動(dòng);d)
應(yīng)支持與政務(wù)云安全設(shè)備或云安全服務(wù)組件進(jìn)行聯(lián)動(dòng),自動(dòng)完成應(yīng)急處置任務(wù)。8.7 平臺(tái)管理子系統(tǒng)8.7.1 用戶管理10DB36/T
1892—2023本項(xiàng)要求包括:a)
應(yīng)支持用戶、用戶組的增加、禁用、刪除、修改、查詢及分組管理;b)
應(yīng)支持分權(quán)使用,即支持劃分不同的角色,并為不同角色分配權(quán)限。8.7.2 資產(chǎn)管理本項(xiàng)要求包括:a)
位置、資產(chǎn)負(fù)責(zé)人等信息;b)
應(yīng)支持按照類(lèi)型、部署位置、所屬業(yè)務(wù)系統(tǒng)等屬性對(duì)資產(chǎn)進(jìn)行分組管理;c)
應(yīng)支持資產(chǎn)信息的增加、刪除、查詢、標(biāo)記;d)
應(yīng)支持資產(chǎn)信息的批量導(dǎo)入、導(dǎo)出。8.7.3 配置管理本項(xiàng)要求包括:a)
應(yīng)支持對(duì)于用戶賬號(hào)和口令的配置管理,包括但不限于初次登錄口令修改、賬號(hào)鎖定時(shí)間、口令有效期、登錄嘗試次數(shù)、口令長(zhǎng)度和復(fù)雜度限制等;b)
應(yīng)支持時(shí)間自動(dòng)同步,并且可自定義同步間隔時(shí)間;c)
應(yīng)支持對(duì)安全策略、特征庫(kù)、補(bǔ)丁等進(jìn)行升級(jí)。8.7.4 運(yùn)行監(jiān)控
絡(luò)流量情況、設(shè)備產(chǎn)生的異常報(bào)警等。8.7.5 身份鑒別本項(xiàng)要求包括:a)
應(yīng)對(duì)平臺(tái)登錄用戶進(jìn)行身份鑒別,身份鑒別信息應(yīng)具有復(fù)雜度和定期更換要求;b)應(yīng)采用密碼技術(shù)保證身份鑒別信息在傳輸、存儲(chǔ)過(guò)程中的完整性和保密性;c)應(yīng)采用不少于兩種組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中至少一種鑒別技術(shù)應(yīng)使用國(guó)產(chǎn)密碼技術(shù)來(lái)實(shí)現(xiàn)。8.7.6 訪問(wèn)控制本項(xiàng)要求包括:a)
應(yīng)向授權(quán)用戶提供配置、查詢和修改各種安全策略的功能;b)
應(yīng)向授權(quán)用戶提供管理日志的功能,包括日志的存儲(chǔ)、導(dǎo)出和備份等;c)
應(yīng)支持在用戶遠(yuǎn)程管理方式下,限定遠(yuǎn)程管理端
IP
地址范圍,并采取措施保證管理端與平臺(tái)之間數(shù)據(jù)傳輸?shù)谋C苄浴?.7.7 安全審計(jì)本項(xiàng)要求包括:a)
應(yīng)支持對(duì)每個(gè)用戶的操作行為進(jìn)行安全審計(jì),包括但不限于:1)
管理員的登錄成功和失??;2)因身份鑒別嘗試失敗次數(shù)達(dá)到設(shè)定值導(dǎo)致的會(huì)話連接終止;3)對(duì)安全策略進(jìn)行配置的操作;11DB36/T
1892—20234)對(duì)管理用戶進(jìn)行增加、刪除和屬性修改的操作;b)
審計(jì)記錄應(yīng)至少包括事件發(fā)生日期、時(shí)間、用戶標(biāo)識(shí)、事件類(lèi)型、操作結(jié)果等信息。日期應(yīng)精確到日,時(shí)間應(yīng)精確到秒,審計(jì)數(shù)據(jù)存儲(chǔ)時(shí)間不少于六個(gè)月;c)
應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)并定期備份,避免受到刪除、修改或覆蓋。8.7.8 運(yùn)維管理本項(xiàng)要求包括:a)運(yùn)維管理責(zé)任方應(yīng)為國(guó)家黨政機(jī)關(guān)、事業(yè)單位或具備國(guó)家認(rèn)證認(rèn)可的相關(guān)資質(zhì)要求;b)運(yùn)維管理人員應(yīng)做好安全監(jiān)測(cè)、威脅監(jiān)測(cè)、平臺(tái)對(duì)接、預(yù)警通報(bào)等工作;
IP
d)應(yīng)定期組織運(yùn)營(yíng)例會(huì)和運(yùn)維人員相關(guān)培訓(xùn),總結(jié)運(yùn)營(yíng)情況,編制運(yùn)營(yíng)報(bào)告;e)應(yīng)制定應(yīng)急預(yù)案,組織開(kāi)展應(yīng)急演練及攻防演練,承擔(dān)應(yīng)急值守與響應(yīng)處置,強(qiáng)化重點(diǎn)時(shí)期安全保障;f)運(yùn)維管理人員應(yīng)協(xié)助電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)合規(guī)管理,開(kāi)展電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、密碼應(yīng)用安全性評(píng)估等合規(guī)性測(cè)評(píng)工作,并將結(jié)果錄入電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)。8.8 數(shù)據(jù)存儲(chǔ)子系統(tǒng)數(shù)據(jù)存儲(chǔ)子系統(tǒng)對(duì)平臺(tái)中不同類(lèi)型和結(jié)構(gòu)的數(shù)據(jù)進(jìn)行存儲(chǔ)。本項(xiàng)要求包括:a)
應(yīng)支持對(duì)平臺(tái)采集以及處理產(chǎn)生的數(shù)據(jù)進(jìn)行分類(lèi)存儲(chǔ),包括但不限于流量元數(shù)據(jù)、資產(chǎn)信息、日志數(shù)據(jù)、安全告警、安全事件、規(guī)則數(shù)據(jù)、威脅情報(bào)、知識(shí)案例等數(shù)據(jù);b)
應(yīng)支持對(duì)結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行存儲(chǔ);c)
應(yīng)支持?jǐn)?shù)據(jù)遷移,支持存儲(chǔ)數(shù)據(jù)的備份及異?;謴?fù),應(yīng)根據(jù)國(guó)家規(guī)定的災(zāi)難恢復(fù)能力等級(jí)要求進(jìn)行數(shù)據(jù)恢復(fù)工作;d)
應(yīng)支持對(duì)身份鑒別、數(shù)據(jù)分析結(jié)果等重要數(shù)據(jù)進(jìn)行加密存儲(chǔ);e)
應(yīng)支持?jǐn)?shù)據(jù)存儲(chǔ)節(jié)點(diǎn)擴(kuò)展和負(fù)載均衡;f)
應(yīng)支持自定義數(shù)據(jù)存儲(chǔ)時(shí)間;g)
應(yīng)支持配置數(shù)據(jù)保護(hù)策略,防止數(shù)據(jù)遭未經(jīng)授權(quán)的讀取、刪除或修改;h)應(yīng)支持當(dāng)數(shù)據(jù)存儲(chǔ)達(dá)到閾值時(shí),發(fā)出報(bào)警信息。9 數(shù)據(jù)共享要求交換平臺(tái)三類(lèi)要素組成。本項(xiàng)要求包括:a)
應(yīng)支持共享數(shù)據(jù)橋接到安全監(jiān)測(cè)平臺(tái)前置節(jié)點(diǎn)的交換庫(kù)或文件夾中,將前置節(jié)點(diǎn)中的數(shù)據(jù)進(jìn)行資源發(fā)布;b)
c)應(yīng)支持通過(guò)電子政務(wù)共享數(shù)據(jù)統(tǒng)一交換平臺(tái)共享數(shù)據(jù);d)
應(yīng)支持以不同的方式進(jìn)行數(shù)據(jù)交換,包括庫(kù)表、文件及服務(wù)接口;e)服務(wù)代理應(yīng)支持
協(xié)議;12DB36/T
1892—2023f)應(yīng)支持與政務(wù)區(qū)塊鏈平臺(tái)對(duì)接,將監(jiān)測(cè)數(shù)據(jù)、級(jí)聯(lián)數(shù)據(jù)安全上鏈;g)
應(yīng)支持對(duì)數(shù)據(jù)操作按照最小授權(quán)原則進(jìn)行權(quán)限控制。10 平臺(tái)級(jí)聯(lián)要求10.1 功能要求10.1.1 數(shù)據(jù)交互數(shù)據(jù)通信支持通過(guò)
等多種方式進(jìn)行數(shù)據(jù)上報(bào)和數(shù)據(jù)下發(fā),數(shù)據(jù)上報(bào)下發(fā)服務(wù)端需返回狀態(tài)碼,告知客戶端是否進(jìn)行重傳。10.1.2 加密傳輸密算法,加密的數(shù)據(jù)包括請(qǐng)求參數(shù)與返回的數(shù)據(jù)內(nèi)容。10.1.3 級(jí)聯(lián)認(rèn)證行有效的認(rèn)證與授權(quán)。信。10.1.4 上報(bào) 總體態(tài)勢(shì)上報(bào)市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)每日定時(shí)向省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)上報(bào)本級(jí)電子政擊總量、漏洞事件數(shù)、病毒事件數(shù)。 告警統(tǒng)計(jì)上報(bào)市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)每日定時(shí)向省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)上報(bào)本級(jí)電子政總量、漏洞告警總量。 風(fēng)險(xiǎn)狀況上報(bào)市級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)每日定時(shí)向省級(jí)電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)上報(bào)本級(jí)的風(fēng)險(xiǎn)情況。 案例上報(bào)13DB36/T
1892—2023含案例名稱、案例描述、案例相關(guān)附件信息。 安全事件上報(bào)市
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024分布式電站云邊協(xié)同技術(shù)規(guī)范
- 《機(jī)械制造基礎(chǔ)》課件 模塊8 機(jī)械裝配工藝的基礎(chǔ)知識(shí)
- 邏輯推斷題馬于玲
- 國(guó)內(nèi)外相似案例研究:錦薈PARK及碧桂園·森林城市
- 勾股定理復(fù)習(xí)課課件
- 16.2《登泰山記》課件 2024-2025學(xué)年統(tǒng)編版高中語(yǔ)文必修上冊(cè)-9
- 江蘇省南京市第29中2025屆高考仿真卷語(yǔ)文試卷含解析
- 浙江省寧波市咸祥中學(xué)2025屆高考沖刺模擬數(shù)學(xué)試題含解析
- 山東省鄒平縣黃山中學(xué)2025屆高考語(yǔ)文倒計(jì)時(shí)模擬卷含解析
- 河南省許昌市重點(diǎn)中學(xué)2025屆高考英語(yǔ)押題試卷含解析
- 勞動(dòng)關(guān)系協(xié)調(diào)員測(cè)試題及答案
- 交警高清監(jiān)控系統(tǒng)施工方案
- 體彩三人合伙協(xié)議書(shū)模板
- 新公司法修訂要點(diǎn)和解讀
- 法社會(huì)學(xué)教程(第三版)教學(xué)
- 幼兒園課件天氣的變化
- 麗水市初中學(xué)業(yè)水平考試?yán)砘鷮?shí)驗(yàn)操作考試標(biāo)準(zhǔn)化考點(diǎn)建設(shè)方案
- 《26. 詩(shī)詞五首-赤壁》 課件 課件-2024-2025學(xué)年八年級(jí)語(yǔ)文上冊(cè) (統(tǒng)編版)
- 期末檢測(cè)卷(試題)-2024-2025學(xué)年人教PEP版英語(yǔ)六年級(jí)上冊(cè)
- 幼兒園中班我變成一只噴火龍了課件
- 2024三年級(jí)英語(yǔ)下冊(cè)閱讀理解課件人教精通版三起
評(píng)論
0/150
提交評(píng)論