GB/T 42583-2023
基本信息
标准号: GB/T 42583-2023
中文名称:信息安全技术 政务网络安全监测平台技术规范
标准类别:国家标准(GB)
标准状态:现行
发布日期:2023-05-23
实施日期:2023-12-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:14449644
标准分类号
关联标准
出版信息
出版社:中国标准出版社
标准价格:70.0
相关单位信息
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
标准图片预览
标准内容
ICS35.030
CCSL80
中华人民共和国国家标准
GB/T42583—2023
信息安全技术
政务网络安全监测平台技术规范Information security technology-Technical specifications for governmentnetwork securitymonitoringplatform2023-05-23发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
规范性引用文件
术语和定义
缩略语
平台技术架构
平台监测范围和对象
技术要求分类
安全监测通用要求
数据采集与预处理
数据存储
数据总线
数据分析
展示与应用
威胁情报
平台安全管理
7安全监测扩展要求
政务云安全监测
政务应用安全监测
政务数据安全监测
通用要求测试评价方法·
数据采集与预处理·
数据存储
数据总线:
数据分析
展示与应用
威胁情报
平台安全管理
扩展要求测试评价方法·
政务云安全监测
政务应用安全监测
政务数据安全监测
GB/T42583—2023bZxz.net
GB/T42583—2023
附录A(资料性)
附录B(资料性)
附录C(资料性)
附录D(资料性)
附录E(资料性)
附录F(资料性)
参考文献
政务网络面临的主要安全威胁
.........
政务网络安全监测平台技术要求划分平台部署结构
数据总线结构
接口示例
政务网络安全监测平台威胁情报数据格式........................
GB/T42583-2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:国家信息中心、北京国信京宁信息安全科技有限公司、公安部第三研究所、国家信息技术安全研究中心、中国信息安全测评中心、中国科学院信息工程研究所、亚信科技(成都)有限公司、华为技术有限公司、奇安信科技集团股份有限公司、北京微步在线科技有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、杭州安恒信息技术股份有限公司、北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司、恒安嘉新(北京)科技股份公司、广东盈世计算机科技有限公司、浪潮云信息技术股份公司、北京中科全安技术有限公司、北京中测安华科技有限公司。
本文件主要起草人:禄凯、刘蓓、闫桂勋、程浩、赵睿斌、吴阿明、文博、袁志千、任卫红、吴宪、姚佳明、李娟、马红霞、王振蕾、杨清泽、王伟、张二明、薛锋、张宽、叶润国、安高峰、万晓兰、苏启波、张屹、杜宇、史帅、林延中、董树、贾博超、姚原岗。1范围
信息安全技术
政务网络安全监测平台技术规范GB/T42583—2023
本文件规定了政务网络安全监测平台的通用技术要求、扩展技术要求以及测试评价方法,本文件适用于政务网络安全监测平台的设计、建设、运维和测试评价。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069
GB/T32924
术语和定义
信息安全技术术语
信息安全技术
网络安全预警指南
GB/T25069和GB/T32924界定的以及下列术语和定义适用于本文件。3.1
政务网络
government network
承载非涉密政务业务的专用网络。注:包含基础网络,以及部署在基础网络之上的政务云、政务应用和政务数据等信息技术设施和资源,主要划分为政务广域网、政务城域网和政务局域网。3.2
政务城域网
governmentmetropolitanareanetwork同城各政务部门间实现互联互通的政务网络3.3
政务广域网
government wide area network连接不同地区政务局域网或政务城域网,实现远程通信的政务网络。3.4
安全监测平台
securitymonitoringplatform
通过对网络流量、安全日志、威胁情报等数据进行实时采集、监测和分析,动态识别网络风险,发现攻击威胁、资产脆弱性以及安全事件,并进行预警通报和可视化展示的系统。3.5
对网络安全要素进行分析,发现攻击或入侵时,平台自动向相关人员发出的通知。3.6
warning
针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出的安全警示。[来源:GB/T32924—2016,3.5]1
GB/T42583—2023
从被监测的网络或系统中,采集流量、日志等数据的一种部件或代理。3.8
数据总线
databus
实现平台中数据采集探针、存储、分析、展示与应用等各模块之间,以及与第三方平台之间数据共享和交换的功能模块。
威胁情报
threat intelligence
一种基于证据的知识,用于描述网络威胁信息、研判安全态势,支持安全事件响应和处置决策。缩略语
下列缩略语适用于本文件。
API:应用程序接口(ApplicationProgrammingInterface)DNS:域名系统(DomainNameSystem)GIS:地理信息系统(GeographicInformationSystem)HTTP:超文本传输协议(HypertextTransferProtocol)JSON:JS对象简谱(JavaScriptObjectNotation)SMTP:简单邮件传输协议(SimpleMailTransferProtocol)URL:统一资源定位系统(UniformResourceLocator)VPC:虚拟私有云(VirtualPrivateCloud)5
平台技术架构
政务网络安全监测平台包括数据采集与预处理、数据存储、数据总线、数据分析、展示与应用、威胁情报和平台安全管理等基本功能模块,其技术架构如图1所示。平台安企管理
用产管理
资产管理
配置管理
运行监控
身份鉴别
访问控制
安全中计
数据分析
政山行为分析
风险态势分析
数据总线|内部数据交换接口
数据采集与预处理
数据采集
数据预处理
数据采集接口
展示与应用
监测视图
预警通报
级联接口
成胁情报
应急处置
数据共享接口
威胁情报组织
威胁情报使用
威胁情报生成
政务网络安全监测平台技术架构数据存储
流量元数据
资产数据
口志数据
安全省警
规则数据
威胁情报数据
平台各功能模块实现的功能如下:GB/T42583—2023
数据采集与预处理:根据政务网络安全监测平台的监测范围和监测对象确定数据采集范围、采a)
集对象和采集方式,并对采集的数据进行解析预处理,以供进一步深度关联分析;b)
数据存储:对平台中不同类型和结构的数据进行存储c)
数据总线:实现平台中数据采集、存储、分析、展示与应用等各模块之间,以及与第三方平台之间数据共享和交换;
数据分析:通过特征码匹配、关联分析、机器学习等数据分析技术识别网络攻击行为,分析风险态势;
展示与应用:根据决策者、管理人员和运维人员不同的需求和关注重点,进行多维度的态势展e)
示,并且支持预警通报和应急处置:f)
威胁情报:为数据分析和事件处置提供决策支持信息,实现威胁情报数据组织、生成、使用和共享交换;
平台安全管理:包括平台的用户管理、配置管理、运行监控、安全审计等,为平台其他功能模块g)
提供集中管控机制。
5.2平台监测范围和对象
政务网络安全监测平台的监测范围与政务部门或政务网络运营者管理的网络边界范围保持一致。承载跨地区、跨部门应用的政务网络,其监测范围包括本地区/本部门政务网络,以及与之连接的政务广域网和政务城域网。
政务网络安全监测平台的监测对象包括基础网络、政务云、政务应用和政务数据等信息技术设施和资源。
注:政务部门托管或部署在公有云上的业务监测由托管单位或云服务商提供相应监测服务,政务网络安全监测平台通过数据共享接口获取相应监测数据进行分析、展示和应用。5.3技术要求分类
由于基础网络、政务云、政务应用以及政务数据等不同监测对象所面临的威胁不同(见附录A),安全监测需求和采用的技术不同,为便于实现对不同监测对象的共性化和个性化监测,安全监测技术要求分为通用要求和扩展要求。
通用要求针对监测对象的共性化监测需求提出,包括数据采集与预处理、数据存储、数据总线、数据分析、展示与应用、威胁情报、平台安全管理等。扩展要求针对政务云、政务应用或政务数据的个性化监测需求提出,是平台应进一步满足的技术要求。通用要求和扩展要求共同构成了政务网络安全监测平台的技术要求。
与网络安全等级保护工作相衔接,安全监测平台技术要求进一步分为基本要求和增强要求。等级保护三级以下的政务网络安全监测平台适用基本要求,等级保护三级(含)以上政务网络安全监测平台适用基本要求和增强要求。基本要求和增强要求的选择见附录B。在本文件中,黑体字部分表示增强要求。6
安全监测通用要求
数据采集与预处理
6.1.1数据采集
本项要求包括。
GB/T42583—2023
采集范围应覆盖监测范围内的通信网络、区域边界以及计算环境。采集点部署在核心交换节点、核心汇聚节点和移动接人点等关键节点。如果监测范围包括政务广域网或政务城域网,数据采集点应部署在政务广域网和政务城域网的核心交换节点、核心汇聚节点等关键节点。采集对象宜包括:网络流量、资产信息、威胁情报、脆弱性信息、知识案例数据、安全设备告警、b)
安全日志等
平台应支持通过不同的方式采集流量、日志、资产、威胁情报等信息(探针部署可见附录C):1)
应支持部署流量探针,通过流量镜像的方式获取被监测的流量;2)
应支持主动或被动采集日志;
应支持主动扫描或网络流量检测方式发现资产,并支持手动或第三方导人、补全资产信息;
应支持通过级联接口或数据共享接口采集第三方平台数据;4)
应支持主动扫描、手动或第三方导入,获取资产的脆弱性信息;6)
应支持接口更新或第三方导入威胁情报数据。6.1.2数据预处理
本项要求包括:
应具备数据解析规则、过滤规则和补全规则等,用于过滤、富化日志信息;a
应支持自定义数据预处理规则。6.2数据存储
本项要求包括:
应支持对平台采集以及处理产生的数据进行分类存储,包括但不限于流量元数据、资产信息、a
日志数据、安全告警、威胁情报、安全事件、案例知识等数据;b)
应支持对结构化数据、半结构化数据和非结构化数据进行存储;c)
应支持自定义数据存储时间;
应支持对身份鉴别、数据分析结果等重要数据进行加密存储:应支持配置数据保护策略,防止数据遭未经授权的读取、删除或修改:f)
应支持数据迁移、数据的备份及恢复;g
应支持数据存储节点扩展和负载均衡:h)
应支持当数据存储达到阐值时,发出报警信息。6.3数据总线
6.3.1数据类型
应支持根据数据类型定义数据格式、数据协议和接口调用(见附录D)。数据类型包括但不限于流量元数据、日志数据、资产信息、安全告警、威胁情报、安全事件、工单报表等。6.3.2内部数据交换接口
应支持平台内部基本功能模块之间,通过接口进行数据调用、存储、分析、展示与应用。6.3.3数据采集接口
应支持从不同类型的数据采集探针采集流量元数据、日志数据、资产信息、威胁情报等数据。4
6.3.4级联接口
GB/T42583—2023
具有上下级联关系的平台之间通过级联接口进行数据共享和交换,本项要求包括:数据交互内容包括但不限于安全告警、预警信息、安全事件、威胁情报、工单报表、统计数据、知a)
识案例等;
接口类型包括但不限于级联注册接口、数据上传接口、数据下发接口和数据查询接口等,相关示例见附录E;
应支持在数据传输过程中采用密码技术保证数据的完整性和保密性。6.3.5数据共享接口
宜支持向第三方平台发送/接收数据,包括但不限于:安全告警、安全事件、预警信息、威胁情报等。6.4
数据分析
6.4.1攻击行为分析
本项要求包括:
应支持特征码匹配分析,能够识别恶意流量特征、恶意文件特征、恶意代码特征等;a)
应支持场景化分析,包括但不限于资产违规外连、账号异地登录、弱口令、数据库敏感操作等典型场景;
宜支持基于攻击阶段、攻击特征相似度等维度的关联分析;应支持通过机器学习算法进行数据分析;应支持对多源异构的安全大数据进行聚合或关联分析,发现攻击行为;宜支持利用沙箱对可疑文件及URL进行静态或动态的分析检测;宜支持关联威胁情报进行网络攻击行为特征分析和溯源分析;宜支持DNS威胁检测,包括但不限于DNS协议漏洞检测、恶意域名解析检测、DGA域名检测、h)
DNS隐蔽通道检测等。
6.4.2风险态势分析
本项要求包括:
应支持基于资产、威胁和脆弱性监测数据,对网络的整体安全态势进行分析;a)
应支持基于安全事件的威胁态势分析,安全事件包括但不限于有害程序事件、网络攻击事件、数据攻击事件、违规操作事件等;应支持基于资产的类型、分布、重要程度、资产脆弱性等信息,综合分析资产安全态势e)
6.5展示与应用
6.5.1监测视图
本项要求包括:
应支持对网络整体安全态势的展示,展示方式包括GIS地图、雷达图、拓扑图、路径图等至少a)
两种表现形式;
应支持基于威胁类型、攻击次数、威胁来源、威胁目标、攻击路径等信息的威胁视图展示;b)
应支持基于资产类型、分布、资产脆弱性、相关攻击事件等信息的资产安全视图展示;c
应支持基于事件类型、源IP、目的IP、受攻击资产、威胁等级、处置情况等信息的安全事件视图展示;
GB/T42583—2023
应支持基于统计信息、实时信息、历史信息和变化趋势的展示方式,以及分角色展示方式。6.5.2预警通报
本项要求包括:
应支持基于数据分析结果和告警规则,实时产生分级别安全告警;a)
应支持按照设定的预警级别和预警流程发布预警信息,预警内容包括但不限于:预警类型、预警级别、威胁方式、涉及对象、影响程度、防范对策等;c)
应支持按照设定的安全事件通报流程进行事件通报,通报内容包括但不限于事件类型、攻击源IP、目标IP、事件级别、事件分析、影响程度和处置建议等:应支持平台、邮件、短信、即时通信、文件等两种及以上预警和通报方式,d)
6.5.3应急处置
本项要求包括:
应支持将安全告警或安全事件形成处置任务,并进行记录、跟踪和归档a
应支持对安全告警或安全事件进行调查取证,包含告警溯源信息和关联的原始日志;应支持与第三方设备或平台联动,根据监测结果,协助实施动态访问控制等安全处置行动。c)
6.6威胁情报
6.6.1威胁情报组织
本项要求包括:
应支持威胁情报分类存储和情报置信度评价分级,分类包括但不限于域名类、IP类、文件类等(格式见附录F);
应支持威胁情报数据手动更新或者在线更新,更新频率不超过24h。b)
6.6.2威胁情报共享使用
本项要求包括:
应支持提供威胁情报数据查询和比对接口,供数据实时分析和批量查询:b)
应支持通过接口方式或文件导入/导出方式,实现与第三方平台的威胁情报共享交换和使用6.6.3威胁情报生成
本项要求包括:
应支持获取原始样本或数据,并对其进行归类、分析、加工、处理后生成威胁情报b)
应支持自定义威胁情报标签:
应支持手动增加和删除威胁情报6.7平台安全管理
6.7.1用户管理
本项要求包括:
应支持用户、用户组的增加、删除、修改、查询及分组管理;a)
应支持划分不同的角色,并为不同角色分配权限。6
6.7.2资产管理
本项要求包括:
GB/T42583—2023
应支持记录资产的属性信息包括不限于资产名称、资产类型、资产IP、所属业务系统、部署位a)
置、资产负责人等信息;
应支持按照类型、部署位置、所属业务系统等属性对资产进行分组管理;应支持资产信息的增加、删除、查询、标记;c)
应支持资产信息的批量导人、导出。6.7.3配置管理
本项要求包括:
应支持对用户账号和口令的配置管理,包括初次登录口令修改、账号锁定时间、口令有效期、登a)
录尝试次数、口令长度和复杂度限制等;b))
应支持平台各基本功能模块与唯一确定时钟进行自动同步,每天至少同步一次:应支持对平台安全策略、特征库、补丁等进行升级)
6.7.4运行监控
应支持实时监控平台设备运行状态,包括但不限于CPU使用率、内存使用情况、磁盘使用情况、网络流量情况、设备产生的异常报警等。6.7.5身份鉴别
本项要求包括:
应对平台登录用户进行身份鉴别,身份鉴别信息应具有复杂度和定期更换要求;a)
应采用密码技术保证身份鉴别信息在传输过程中的完整性和保密性;c)
应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中至少一种鉴别技术应使用密码技术来实现
访问控制
本项要求包括:
应向授权用户提供配置、查询和修改各种安全策略的功能;a)
应向授权用户提供管理日志的功能,包括日志的存储、导出和备份等;应支持在用户远程管理方式下,限定远程管理端IP地址范围,并采取措施保证管理端与平台之间数据传输的保密性。
6.7.7安全审计
本项要求包括。
应支持对每个用户的操作行为进行安全审计,包括但不限于:a)
管理员的登录成功和失败;
因身份鉴别尝试失败次数达到设定值导致的会话连接终止;2)
对安全策略进行配置的操作;
对管理用户进行增加、删除和属性修改的操作。b)
审计记录应至少包括事件发生日期、时间、用户标识、事件类型、操作结果等信息。日期应精确到日,时间应精确到秒。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSL80
中华人民共和国国家标准
GB/T42583—2023
信息安全技术
政务网络安全监测平台技术规范Information security technology-Technical specifications for governmentnetwork securitymonitoringplatform2023-05-23发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
规范性引用文件
术语和定义
缩略语
平台技术架构
平台监测范围和对象
技术要求分类
安全监测通用要求
数据采集与预处理
数据存储
数据总线
数据分析
展示与应用
威胁情报
平台安全管理
7安全监测扩展要求
政务云安全监测
政务应用安全监测
政务数据安全监测
通用要求测试评价方法·
数据采集与预处理·
数据存储
数据总线:
数据分析
展示与应用
威胁情报
平台安全管理
扩展要求测试评价方法·
政务云安全监测
政务应用安全监测
政务数据安全监测
GB/T42583—2023bZxz.net
GB/T42583—2023
附录A(资料性)
附录B(资料性)
附录C(资料性)
附录D(资料性)
附录E(资料性)
附录F(资料性)
参考文献
政务网络面临的主要安全威胁
.........
政务网络安全监测平台技术要求划分平台部署结构
数据总线结构
接口示例
政务网络安全监测平台威胁情报数据格式........................
GB/T42583-2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:国家信息中心、北京国信京宁信息安全科技有限公司、公安部第三研究所、国家信息技术安全研究中心、中国信息安全测评中心、中国科学院信息工程研究所、亚信科技(成都)有限公司、华为技术有限公司、奇安信科技集团股份有限公司、北京微步在线科技有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、杭州安恒信息技术股份有限公司、北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司、恒安嘉新(北京)科技股份公司、广东盈世计算机科技有限公司、浪潮云信息技术股份公司、北京中科全安技术有限公司、北京中测安华科技有限公司。
本文件主要起草人:禄凯、刘蓓、闫桂勋、程浩、赵睿斌、吴阿明、文博、袁志千、任卫红、吴宪、姚佳明、李娟、马红霞、王振蕾、杨清泽、王伟、张二明、薛锋、张宽、叶润国、安高峰、万晓兰、苏启波、张屹、杜宇、史帅、林延中、董树、贾博超、姚原岗。1范围
信息安全技术
政务网络安全监测平台技术规范GB/T42583—2023
本文件规定了政务网络安全监测平台的通用技术要求、扩展技术要求以及测试评价方法,本文件适用于政务网络安全监测平台的设计、建设、运维和测试评价。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069
GB/T32924
术语和定义
信息安全技术术语
信息安全技术
网络安全预警指南
GB/T25069和GB/T32924界定的以及下列术语和定义适用于本文件。3.1
政务网络
government network
承载非涉密政务业务的专用网络。注:包含基础网络,以及部署在基础网络之上的政务云、政务应用和政务数据等信息技术设施和资源,主要划分为政务广域网、政务城域网和政务局域网。3.2
政务城域网
governmentmetropolitanareanetwork同城各政务部门间实现互联互通的政务网络3.3
政务广域网
government wide area network连接不同地区政务局域网或政务城域网,实现远程通信的政务网络。3.4
安全监测平台
securitymonitoringplatform
通过对网络流量、安全日志、威胁情报等数据进行实时采集、监测和分析,动态识别网络风险,发现攻击威胁、资产脆弱性以及安全事件,并进行预警通报和可视化展示的系统。3.5
对网络安全要素进行分析,发现攻击或入侵时,平台自动向相关人员发出的通知。3.6
warning
针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出的安全警示。[来源:GB/T32924—2016,3.5]1
GB/T42583—2023
从被监测的网络或系统中,采集流量、日志等数据的一种部件或代理。3.8
数据总线
databus
实现平台中数据采集探针、存储、分析、展示与应用等各模块之间,以及与第三方平台之间数据共享和交换的功能模块。
威胁情报
threat intelligence
一种基于证据的知识,用于描述网络威胁信息、研判安全态势,支持安全事件响应和处置决策。缩略语
下列缩略语适用于本文件。
API:应用程序接口(ApplicationProgrammingInterface)DNS:域名系统(DomainNameSystem)GIS:地理信息系统(GeographicInformationSystem)HTTP:超文本传输协议(HypertextTransferProtocol)JSON:JS对象简谱(JavaScriptObjectNotation)SMTP:简单邮件传输协议(SimpleMailTransferProtocol)URL:统一资源定位系统(UniformResourceLocator)VPC:虚拟私有云(VirtualPrivateCloud)5
平台技术架构
政务网络安全监测平台包括数据采集与预处理、数据存储、数据总线、数据分析、展示与应用、威胁情报和平台安全管理等基本功能模块,其技术架构如图1所示。平台安企管理
用产管理
资产管理
配置管理
运行监控
身份鉴别
访问控制
安全中计
数据分析
政山行为分析
风险态势分析
数据总线|内部数据交换接口
数据采集与预处理
数据采集
数据预处理
数据采集接口
展示与应用
监测视图
预警通报
级联接口
成胁情报
应急处置
数据共享接口
威胁情报组织
威胁情报使用
威胁情报生成
政务网络安全监测平台技术架构数据存储
流量元数据
资产数据
口志数据
安全省警
规则数据
威胁情报数据
平台各功能模块实现的功能如下:GB/T42583—2023
数据采集与预处理:根据政务网络安全监测平台的监测范围和监测对象确定数据采集范围、采a)
集对象和采集方式,并对采集的数据进行解析预处理,以供进一步深度关联分析;b)
数据存储:对平台中不同类型和结构的数据进行存储c)
数据总线:实现平台中数据采集、存储、分析、展示与应用等各模块之间,以及与第三方平台之间数据共享和交换;
数据分析:通过特征码匹配、关联分析、机器学习等数据分析技术识别网络攻击行为,分析风险态势;
展示与应用:根据决策者、管理人员和运维人员不同的需求和关注重点,进行多维度的态势展e)
示,并且支持预警通报和应急处置:f)
威胁情报:为数据分析和事件处置提供决策支持信息,实现威胁情报数据组织、生成、使用和共享交换;
平台安全管理:包括平台的用户管理、配置管理、运行监控、安全审计等,为平台其他功能模块g)
提供集中管控机制。
5.2平台监测范围和对象
政务网络安全监测平台的监测范围与政务部门或政务网络运营者管理的网络边界范围保持一致。承载跨地区、跨部门应用的政务网络,其监测范围包括本地区/本部门政务网络,以及与之连接的政务广域网和政务城域网。
政务网络安全监测平台的监测对象包括基础网络、政务云、政务应用和政务数据等信息技术设施和资源。
注:政务部门托管或部署在公有云上的业务监测由托管单位或云服务商提供相应监测服务,政务网络安全监测平台通过数据共享接口获取相应监测数据进行分析、展示和应用。5.3技术要求分类
由于基础网络、政务云、政务应用以及政务数据等不同监测对象所面临的威胁不同(见附录A),安全监测需求和采用的技术不同,为便于实现对不同监测对象的共性化和个性化监测,安全监测技术要求分为通用要求和扩展要求。
通用要求针对监测对象的共性化监测需求提出,包括数据采集与预处理、数据存储、数据总线、数据分析、展示与应用、威胁情报、平台安全管理等。扩展要求针对政务云、政务应用或政务数据的个性化监测需求提出,是平台应进一步满足的技术要求。通用要求和扩展要求共同构成了政务网络安全监测平台的技术要求。
与网络安全等级保护工作相衔接,安全监测平台技术要求进一步分为基本要求和增强要求。等级保护三级以下的政务网络安全监测平台适用基本要求,等级保护三级(含)以上政务网络安全监测平台适用基本要求和增强要求。基本要求和增强要求的选择见附录B。在本文件中,黑体字部分表示增强要求。6
安全监测通用要求
数据采集与预处理
6.1.1数据采集
本项要求包括。
GB/T42583—2023
采集范围应覆盖监测范围内的通信网络、区域边界以及计算环境。采集点部署在核心交换节点、核心汇聚节点和移动接人点等关键节点。如果监测范围包括政务广域网或政务城域网,数据采集点应部署在政务广域网和政务城域网的核心交换节点、核心汇聚节点等关键节点。采集对象宜包括:网络流量、资产信息、威胁情报、脆弱性信息、知识案例数据、安全设备告警、b)
安全日志等
平台应支持通过不同的方式采集流量、日志、资产、威胁情报等信息(探针部署可见附录C):1)
应支持部署流量探针,通过流量镜像的方式获取被监测的流量;2)
应支持主动或被动采集日志;
应支持主动扫描或网络流量检测方式发现资产,并支持手动或第三方导人、补全资产信息;
应支持通过级联接口或数据共享接口采集第三方平台数据;4)
应支持主动扫描、手动或第三方导入,获取资产的脆弱性信息;6)
应支持接口更新或第三方导入威胁情报数据。6.1.2数据预处理
本项要求包括:
应具备数据解析规则、过滤规则和补全规则等,用于过滤、富化日志信息;a
应支持自定义数据预处理规则。6.2数据存储
本项要求包括:
应支持对平台采集以及处理产生的数据进行分类存储,包括但不限于流量元数据、资产信息、a
日志数据、安全告警、威胁情报、安全事件、案例知识等数据;b)
应支持对结构化数据、半结构化数据和非结构化数据进行存储;c)
应支持自定义数据存储时间;
应支持对身份鉴别、数据分析结果等重要数据进行加密存储:应支持配置数据保护策略,防止数据遭未经授权的读取、删除或修改:f)
应支持数据迁移、数据的备份及恢复;g
应支持数据存储节点扩展和负载均衡:h)
应支持当数据存储达到阐值时,发出报警信息。6.3数据总线
6.3.1数据类型
应支持根据数据类型定义数据格式、数据协议和接口调用(见附录D)。数据类型包括但不限于流量元数据、日志数据、资产信息、安全告警、威胁情报、安全事件、工单报表等。6.3.2内部数据交换接口
应支持平台内部基本功能模块之间,通过接口进行数据调用、存储、分析、展示与应用。6.3.3数据采集接口
应支持从不同类型的数据采集探针采集流量元数据、日志数据、资产信息、威胁情报等数据。4
6.3.4级联接口
GB/T42583—2023
具有上下级联关系的平台之间通过级联接口进行数据共享和交换,本项要求包括:数据交互内容包括但不限于安全告警、预警信息、安全事件、威胁情报、工单报表、统计数据、知a)
识案例等;
接口类型包括但不限于级联注册接口、数据上传接口、数据下发接口和数据查询接口等,相关示例见附录E;
应支持在数据传输过程中采用密码技术保证数据的完整性和保密性。6.3.5数据共享接口
宜支持向第三方平台发送/接收数据,包括但不限于:安全告警、安全事件、预警信息、威胁情报等。6.4
数据分析
6.4.1攻击行为分析
本项要求包括:
应支持特征码匹配分析,能够识别恶意流量特征、恶意文件特征、恶意代码特征等;a)
应支持场景化分析,包括但不限于资产违规外连、账号异地登录、弱口令、数据库敏感操作等典型场景;
宜支持基于攻击阶段、攻击特征相似度等维度的关联分析;应支持通过机器学习算法进行数据分析;应支持对多源异构的安全大数据进行聚合或关联分析,发现攻击行为;宜支持利用沙箱对可疑文件及URL进行静态或动态的分析检测;宜支持关联威胁情报进行网络攻击行为特征分析和溯源分析;宜支持DNS威胁检测,包括但不限于DNS协议漏洞检测、恶意域名解析检测、DGA域名检测、h)
DNS隐蔽通道检测等。
6.4.2风险态势分析
本项要求包括:
应支持基于资产、威胁和脆弱性监测数据,对网络的整体安全态势进行分析;a)
应支持基于安全事件的威胁态势分析,安全事件包括但不限于有害程序事件、网络攻击事件、数据攻击事件、违规操作事件等;应支持基于资产的类型、分布、重要程度、资产脆弱性等信息,综合分析资产安全态势e)
6.5展示与应用
6.5.1监测视图
本项要求包括:
应支持对网络整体安全态势的展示,展示方式包括GIS地图、雷达图、拓扑图、路径图等至少a)
两种表现形式;
应支持基于威胁类型、攻击次数、威胁来源、威胁目标、攻击路径等信息的威胁视图展示;b)
应支持基于资产类型、分布、资产脆弱性、相关攻击事件等信息的资产安全视图展示;c
应支持基于事件类型、源IP、目的IP、受攻击资产、威胁等级、处置情况等信息的安全事件视图展示;
GB/T42583—2023
应支持基于统计信息、实时信息、历史信息和变化趋势的展示方式,以及分角色展示方式。6.5.2预警通报
本项要求包括:
应支持基于数据分析结果和告警规则,实时产生分级别安全告警;a)
应支持按照设定的预警级别和预警流程发布预警信息,预警内容包括但不限于:预警类型、预警级别、威胁方式、涉及对象、影响程度、防范对策等;c)
应支持按照设定的安全事件通报流程进行事件通报,通报内容包括但不限于事件类型、攻击源IP、目标IP、事件级别、事件分析、影响程度和处置建议等:应支持平台、邮件、短信、即时通信、文件等两种及以上预警和通报方式,d)
6.5.3应急处置
本项要求包括:
应支持将安全告警或安全事件形成处置任务,并进行记录、跟踪和归档a
应支持对安全告警或安全事件进行调查取证,包含告警溯源信息和关联的原始日志;应支持与第三方设备或平台联动,根据监测结果,协助实施动态访问控制等安全处置行动。c)
6.6威胁情报
6.6.1威胁情报组织
本项要求包括:
应支持威胁情报分类存储和情报置信度评价分级,分类包括但不限于域名类、IP类、文件类等(格式见附录F);
应支持威胁情报数据手动更新或者在线更新,更新频率不超过24h。b)
6.6.2威胁情报共享使用
本项要求包括:
应支持提供威胁情报数据查询和比对接口,供数据实时分析和批量查询:b)
应支持通过接口方式或文件导入/导出方式,实现与第三方平台的威胁情报共享交换和使用6.6.3威胁情报生成
本项要求包括:
应支持获取原始样本或数据,并对其进行归类、分析、加工、处理后生成威胁情报b)
应支持自定义威胁情报标签:
应支持手动增加和删除威胁情报6.7平台安全管理
6.7.1用户管理
本项要求包括:
应支持用户、用户组的增加、删除、修改、查询及分组管理;a)
应支持划分不同的角色,并为不同角色分配权限。6
6.7.2资产管理
本项要求包括:
GB/T42583—2023
应支持记录资产的属性信息包括不限于资产名称、资产类型、资产IP、所属业务系统、部署位a)
置、资产负责人等信息;
应支持按照类型、部署位置、所属业务系统等属性对资产进行分组管理;应支持资产信息的增加、删除、查询、标记;c)
应支持资产信息的批量导人、导出。6.7.3配置管理
本项要求包括:
应支持对用户账号和口令的配置管理,包括初次登录口令修改、账号锁定时间、口令有效期、登a)
录尝试次数、口令长度和复杂度限制等;b))
应支持平台各基本功能模块与唯一确定时钟进行自动同步,每天至少同步一次:应支持对平台安全策略、特征库、补丁等进行升级)
6.7.4运行监控
应支持实时监控平台设备运行状态,包括但不限于CPU使用率、内存使用情况、磁盘使用情况、网络流量情况、设备产生的异常报警等。6.7.5身份鉴别
本项要求包括:
应对平台登录用户进行身份鉴别,身份鉴别信息应具有复杂度和定期更换要求;a)
应采用密码技术保证身份鉴别信息在传输过程中的完整性和保密性;c)
应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中至少一种鉴别技术应使用密码技术来实现
访问控制
本项要求包括:
应向授权用户提供配置、查询和修改各种安全策略的功能;a)
应向授权用户提供管理日志的功能,包括日志的存储、导出和备份等;应支持在用户远程管理方式下,限定远程管理端IP地址范围,并采取措施保证管理端与平台之间数据传输的保密性。
6.7.7安全审计
本项要求包括。
应支持对每个用户的操作行为进行安全审计,包括但不限于:a)
管理员的登录成功和失败;
因身份鉴别尝试失败次数达到设定值导致的会话连接终止;2)
对安全策略进行配置的操作;
对管理用户进行增加、删除和属性修改的操作。b)
审计记录应至少包括事件发生日期、时间、用户标识、事件类型、操作结果等信息。日期应精确到日,时间应精确到秒。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。