1、 ICS 35.020 CCS L 67 34 安徽省地方标准 DB34/T 42822022 电子政务外网安全监测平台技术规范 Specification for the security monitoring platform technology of e-government network 2022-08-31 发布 2022-09-30 实施 安徽省市场监督管理局 发 布 DB34/T 42822022 I 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任
2、。本文件由安徽省大数据中心提出。本文件由安徽省数据资源管理局归口。本文件起草单位:安徽省大数据中心、六安市大数据中心、滁州市数据资源管理局、六安市数据资源管理局、阜阳市数据资源管理局、马鞍山市大数据中心、中国联合网络通信有限公司安徽省分公司、深信服科技股份有限公司、天融信科技集团股份有限公司、奇安信科技集团股份有限公司、上海汉邦京泰数码技术有限公司、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司。本文件主要起草人:朱典、张明阳、张静、陈先才、邹莉强、杨阳、陶峰、顾纺、李晓飞、龚政、戴国建、潘磊、宋康、江涛、姚远、张佳桐、王彦翔、龙飞、柏光华、陈向军、徐纪虎、吴松、王书生。DB34/T
3、42822022 1 电子政务外网安全监测平台技术规范 1 范围 本文件规定了电子政务外网安全监测平台的基本要求、平台架构和平台功能。本文件适用于电子政务外网安全监测平台的建设。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 3 术语和定义 GB/T 25069 界定的以及下列术语和定义适用于本文件。电子政务外网安全监测平台 extran
4、et security monitoring platform for e-government 以信息安全事件为核心,通过对网络流量、安全设备日志、威胁情报等数据信息进行实时采集、监测和分析,实现网络风险识别、威胁发现、安全事件实时告警及可视化展示的系统。多元数据 multivariate data 流量数据、日志数据、资产数据、威胁情报的总称。威胁情报 threat intelligence 收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。4 基本要求 电子政务外网安全监测平台基本要求包括但不限于:a)可快速集成不同厂商的各类 IT 资产,实现各类设备
5、日志信息的实时采集与统一监测;b)可实现安全日志的存储与检索;c)具有关联分析、趋势分析、风险评估及事件管理能力;d)可提供定制化展示工作界面、报表和数据展现视图;e)可实现日常监测、事件告警与预警、应急处理与响应;f)可提供决策辅助与态势分析;g)支持多级系统的级联管理和分级部署。DB34/T 42822022 2 5 平台架构 平台架构图 平台架构见图1。图1 电子政务外网安全监测平台架构图 平台部署图 平台部署示例见图2。数据协同对接子系统 威胁情报子系统 网络安全监测管理子系统 综合业务审计 子系统 安全威胁异构 检测子系统 多元数据采集子系统 安全大数据中心 DB34/T 42822
6、022 3 图2 平台部署示意图 6 平台功能 监测范围和内容 6.1.1 检测范围 电子政务外网安全监测平台监测范围涵盖广域网、城域网、局域网与政务云,并与政务部门负责安全管理职责的网络边界范围保持一致。当电子政务外网边界或结构发生变化时,应及时调整监测范围和监测平台设备的部署。电子政务外网安全监测平台如图3所示。图3 电子政务外网安全监测平台监测范围 DB34/T 42822022 4 6.1.2 广域网 政务部门实现上下互联互通的网络,政务网络通过接入设备接入广域骨干网链路。监测内容如下:a)路由器:配置监测、设备状态监测、设备故障监测、运维操作审计监测、脆弱性监测;b)广域网链路:异常
7、流量监测。6.1.3 城域网 同级政务部门实现互联互通的网络,各政务部门通过接入设备接入城域网链路。监测内容如下:a)城域网核心网络设备和安全设备、接入单位的接入设备:配置监测、设备状态监测、设备故障检测、运维操作审计监测、脆弱性监测;b)城域网链路:异常流量、病毒木马监测。6.1.4 局域网 承载政务部门自身业务和托管业务的网络。按照分区分域管理原则,局域网又可分为如下两个安全区域:a)互联网区:政务部门通过逻辑隔离安全接入互联网的网络区域,承载政务部门利用互联网开展的公共服务、社会管理、经济调节和市场监管等业务应用;b)外网公用区:与互联网接入区逻辑隔离,承载政务部门(非互联网)公共服务,
8、以及跨部门、跨地区的业务协同和数据共享等业务应用;c)监测内容:用户接入电子政务外网的局域网络和信息系统的安全防护与监测,由接入单位按照信息安全等级保护相关要求和国家标准进行自主建设和管理。6.1.5 政务云 包括互联网区和外网公用区。监测内容包含网络边界流量、云主机审计日志和虚拟网络设备日志。多元数据采集 6.2.1 采集范围 应符合 GB/T 22239 的相关规定。涵盖政务部门网络互联网接入区和外网公用区的网络核心节点交换、移动接入点等关键节点。如果政务部门有对广域网或者城域网的管理职责,监测范围应相应扩展到广域网和城域网的相关节点。6.2.2 采集内容 应监测采集范围内各网络区域的网络
9、流量、资产信息、威胁情报、脆弱性信息、知识数据、级联/第三方平台数据、各类安全基础资源/服务等产生的告警数据、与安全相关的审计日志,实现资产梳理。6.2.3 采集方式 应支持通过流量采集系统、标准协议、API接口、手动导入、扫描、第三方导入等不同的方式采集流量、日志、资产信息、威胁情报等信息。安全威胁异构检测 6.3.1 已知威胁检测 DB34/T 42822022 5 应支持针对已知威胁的检测,通过特征码匹配、关联分析、规则库匹配、威胁情报比对等技术对已知威胁进行分析检测。6.3.2 未知威胁检测 应支持针对未知威胁的检测,通过机器学习、沙箱安全分析、用户和实体行为分析等技术对未知威胁、高级
10、持续性威胁进行分析检测。综合业务审计 6.4.1 行为审计 应具备行为审计功能,审计覆盖到每个用户,对重要的用户行为进行审计,以便于开展责任认定。6.4.2 事件审计 应具备事件审计功能,对监测范围内发生的关键事件进行审计,以便于开展事件溯源。6.4.3 记录留存 审计记录应采用密码技术保证重要数据在存储过程中的完整性,留存时间应不少于 6 个月。安全数据治理 应具备数据治理能力,支持通过配置相关解析规则、过滤规则来达到标准化、过滤、丰富日志信息的目的,相关规则应支持自定义。安全数据主题库 应支持建立相应的流量元数据、资产数据、日志数据、告警数据、规则数据、威胁情报数据等安全主题库,支持可伸缩
11、的数据存储架构,满足数据量持续增长需求。业务相关的敏感数据加密存储,数据存储时间按照网络安全法及行业主管部门的规定来确定。安全数据总线 应具备数据总线,数据总线应包含内部数据交换接口、数据采集接口、平台级联接口和外部接口。网络安全监测管理 6.8.1 网络安全监测态势展示 应支持对综合态势、威胁态势、资产态势等多种态势进行展示,支持通过多种表现形式对各维度安全态势进行展示。6.8.2 通报预警 应支持通报预警功能,将接收到的预警信息分级,当发生预警事件时,支持依照设定的流程发布信息通报。6.8.3 应急处置 应支持应急处置功能,通过安全事件处置流程编排,联动相关安全产品,统一调度相关人员完成应
12、急处置。DB34/T 42822022 6 6.8.4 平台管理 应支持平台管理功能,对平台的用户、身份、权限、配置、运行状态等进行统一管理,平台支持分级管理功能。威胁情报 6.9.1 生成 应支持获取内部或外部原始样本或数据,并对其进行归类、分析、加工、处理后生成威胁情报,可对生成的情报进行日常更新与管理。并支持提供开放接口,以标准接口的方式来集成第三方威胁情报平台。6.9.2 存储查询 应支持在本地对威胁情报进行分类和信誉度评价分级,并根据分类分级进行存储和查询。6.9.3 管理 应支持对威胁情报生成、更新、使用、失效的全生命周期进行管理,支持自定义管理。6.9.4 共享使用 应支持提供统一的API接口,供威胁情报实时分析使用和批量查询使用。并支持通过查询接口方式来开展威胁情报的对外共享使用。数据协同对接 6.10.1 纵向对接 应支持与上下级平台的数据交互和对接,能够通过必要的定制或使用内置的接口服务,实现与上下级平台的信息交换和管理协同。6.10.2 横向对接 应支持与横向协同单位平台的数据交互和对接,能够通过必要的定制或使用内置的接口服务,实现与第三方平台的信息交换和管理协同。