DB36 T 1892-2023 电子政务外网安全监测平台技术规范.pdf

1、ICS 35.240 CCS L 70 DB36 江西省地方标准 DB36/T 18922023 电子政务外网安全监测平台技术规范 Technical specifications forE-government extranet security monitoring platform 2023-12-11 发布 2024-06-01 实施 江西省市场监督管理局 发 布 DB36/T 18922023 I 目 次 前 言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.3 5 监测范围.4 6 部署架构.4 7 通用技术要求.5 8 扩展技术要求.5 9 数据共享

2、要求.12 10 平台级联要求.13 附录 A（资料性）电子政务外网安全监测平台典型部署.15 附录 B（资料性）数据总线结构.17 DB36/T 18922023 II 前 言 本文件按照GB/T1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江西省发展和改革委员会提出并归口。本文件起草单位：江西省信息中心。本文件主要起草人：杜军龙、钱军、何黎明、周剑涛、温小雨、刘嘉、涂烨、刘浪、龙映辉、张茜、王博琼、袁小乐、赖敬坤、王祯浩、潘志安、潘伟华、涂琳、谢冬、饶荣、严时晗。DB36/T

3、 18922023 1 电子政务外网安全监测平台技术规范 1 范围 本文件规定了电子政务外网安全监测平台的通用技术要求、扩展技术要求、数据共享以及平台级联要求。本文件适用于电子政务外网安全监测平台的设计、建设和运维。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/T 36635信息安全技术 网络安全监测基本要求与实施指南 GB/T 22239 信息安全技术 网络安全等级保护

4、基本要求 GB/T 18336 信息技术 安全技术 信息技术安全性评估准则 GB/T 42583 信息安全技术 政务网络安全监测平台技术规范 DB36/T 979 电子政务外网安全接入平台技术规范 DB36/T 1093 电子政务外网网络接入规范 DB36/T 1099 电子政务云平台安全规范 DB36/T 1179 政务数据共享技术规范 DB36/T 1712 政务区块链平台技术规范 DB36/T 1713 公共数据分类分级指南 3 术语和定义 GB/T 25069信息安全 术语中规定内容以及下列术语和定义适用于本文件。3.1 信息安全事件 information security inci

5、dent 由单个或一系列意外或有害的信息安全事态所组成的，极有可能危害业务运行和威胁信息安全。来源：GB/T 25069-2010，2.1.53 3.2 电子政务外网安全监测平台 E-government extranetsecurity monitoring platform DB36/T 18922023 2 以预防信息安全事件为核心，通过对网络流量、安全设备日志、威胁情报等数据信息进行实时采集、监测和分析，实现网络风险识别、威胁发现、安全事件预判和实时告警及可视化展示的系统。3.3 政务城域网 government metropolitan area network 同城各政务部门间实现

6、互联互通的政务网络。来源：GB/T 42583-2023，3.2 3.4 政务广域网 government wide area network 连接不同地区政务局域网或政务城域网，实现远程通信的政务网络。来源：GB/T 42583-2023，3.3 3.5 管理网 managementnetwork 承载安全统一运维、预警通告、安全数据传输等业务的基础网络。3.6 探针 probe 从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。来源：GB/T 25069-2010，2.2.1.27 3.7 数据总线 databus 实现平台中数据采集探针、存储、分析、展示与应用等各模块之

7、间，以及第三方平台之间数据共享和交换的功能模块。来源：GB/T 42583-2023，3.8 3.8 威胁情报 threatintelligence 一种基于证据的知识，用于描述网络威胁信息、研判安全态势，支持安全事件响应和处置决策。包括事件情报、漏洞情报。3.9 专项监测 special monitoring 云平台安全监测、移动应用安全监测、终端安全监测、数据安全监测等。DB36/T 18922023 3 3.10 电子政务共享数据统一交换平台 E-government shared data exchange platform 电子政务共享数据统一交换平台（简称：交换平台）为异构、同构系

8、统提供多种数据共享与交换模式，通过在线、实时、定时数据采集和数据交换，实现跨部门、跨地域、跨业务、多层级、多业务应用域的数据交换。来源：DB36/T 11792019，3.15 3.11 前置节点 front node 江西省各级政务部门接入交换平台的前置机及相关软件，对接部门共享资源，实现政务部门间政务信息资源的共享交换。3.12 节点 node 用于连接不同网络设备或程序。3.13 政务区块链 blockchain for governmental affairs 利用区块链技术，通过透明和可信规则，实现政务数据跨部门、跨区域共同维护和使用，促进业务协同办理，提高政务服务效率。来源：DB3

9、6/T 1712-2022，3.3 4 缩略语 下列缩略语适用于本文件。API：应用程序接口（Application Programming Interface）GIS：地理信息系统（Geographic Information System）JSON：JS对象简谱（JavaScript Object Notation）SMTP：简单邮件传输协议（Simple Mail Transfer Protocol）VPC：虚拟私有云（VirtualPrivateCloud）DNS：域名系统（DomainNameSystem）DGA：域名生成算法（DomainGenerateAlgorithm）URL：

10、统一资源定位系统（Uniform Resource Locator）IP：互联网协议（Internet Protocol）IPv6:互联网协议第六版（Internet Protocol Version 6）IT：信息产业（Information Technology）HTTP：超文本传输协议（HyperText Transfer Protocol）HTTPS：超文本传输安全协议（HyperText Transfer Protocol Secure）DB36/T 18922023 4 5 监测范围 电子政务外网安全监测平台监测范围包括本地区/本部门政务网络，以及与之连接的政务广域网、政务城域网与

11、政务云，与政务部门或政务网络运营者管理的网络边界范围保持一致。当电子政务外网边界或结构发生变化时，应及时调整监测范围和电子政务外网安全监测平台设备的部署。监测范围如图 1所示。图 1 监测范围 6 部署架构 电子政务外网安全监测平台采用省市两级部署，通过级联系统对接。级联系统为省市两级电子政务外网安全监测平台对接的系统，为打通各节点之间的数据互联互通提供支撑，实现数据上报、下发、共享、预警通报、协同处置及数据展示查询功能。级联系统部署在省市两级电子政务外网安全监测平台。省级电子政务外网安全监测平台通过省级平台级联系统向市级电子政务外网安全监测平台下发安全事件、预警通报、威胁情报及通报处置等，提

12、供远程知识库、威胁情报库、漏洞库、通知通告的查询；市级电子政务外网安全监测平台通过市级平台级联系统向省级电子政务外网安全监测平台上报系统运行状态、安全事件、威胁情报，反馈处置结果。原则上，县级单位不部署电子政务外网安全监测平台，通过部署多元数据采集点上传数据至市级电子政务外网安全监测平台形成市县联动。电子政务外网安全监测平台部署架构如图 2 所示。图7 通用技术要求 电子政务外网安全监测平台a）省级电子政务外网安全监测平台为省级政务部门提供监测服务，将威胁情报、案例、安全事件通告与数据安全治理结果等资源共享到市级b）省级电子政务外网安全监测平台应通过网络安全等级保护三级测评，市级测平台宜按照省

13、级标准进行建设；c）市级电子政务外网安全监测平台为市安全监测平台下发的安全事件进行整改，及时上报市级电子政务外网安全态势、告警信息、风险状况、案例、安全事件等内容；d）市级电子政务外网安全监测平台应通过平台级联系统与联对接；e）电子政务外网安全监测平台展示与应用、平台管理、数据存储等功能；f)可集成不同厂商的各类 ITg)安全日志存储时间至少为志检索功能；h)采用国产自主可控安全产品，支持国密算法i)电子政务外网安全监测平台应满足8 扩展技术要求 电子政务外网安全监测平台图 2 电子政务外网安全监测平台部署架构 电子政务外网安全监测平台基于省电子政务外网建设，基本要求包括但不限于：省级电子政务

14、外网安全监测平台为省级政务部门提供监测服务，将威胁情报、案例、安全事件等资源共享到市级电子政务外网安全监测平台；安全监测平台应通过网络安全等级保护三级测评，市级省级标准进行建设；市级电子政务外网安全监测平台为市县级政务部门提供监测服务，按要求对省级下发的安全事件进行整改，及时上报市级电子政务外网安全态势、告警信息、风险状况、案例、安全事件等内容；级电子政务外网安全监测平台应通过平台级联系统与省级电子政务外网安全监测平台电子政务外网安全监测平台应具备数据采集、威胁情报、数据安全治理、数据总线、数据分析、展示与应用、平台管理、数据存储等功能；IT 资产，实现各类设备日志信息的实时采集与统一监测；安

15、全日志存储时间至少为 6 个月，采用密码技术保证日志记录的完整性；采用国产自主可控安全产品，支持国密算法；电子政务外网安全监测平台应满足 IPv6 功能要求。电子政务外网安全监测平台扩展技术要求分为基本要求和增强要求，网络安全等级保护三级以下的DB36/T 18922023 5 基本要求包括但不限于：省级电子政务外网安全监测平台为省级政务部门提供监测服务，将威胁情报、案例、安全事件 安全监测平台应通过网络安全等级保护三级测评，市级电子政务外网安全监级政务部门提供监测服务，按要求对省级电子政务外网下发的安全事件进行整改，及时上报市级电子政务外网安全态势、告警信息、风险状省级电子政务外网安全监测平

16、台进行级、数据总线、数据分析、资产，实现各类设备日志信息的实时采集与统一监测；安全监测平台应支持日技术要求分为基本要求和增强要求，网络安全等级保护三级以下的DB36/T 18922023 6 电子政务外网安全监测平台适用基本要求，网络安全等级保护三级（含）以上电子政务外网安全监测平台适用基本要求和增强要求。在本文件中，电子政务外网安全监测平台全治理子系统、数据总线子系统、系统，电子政务外网安全监测平台技术架构如图图8.1 数据采集子系统 8.1.1 监测数据采集 本项要求包括：a)采集范围。应覆盖监测范围内的通信网络、区域边界以及计算环境。采集点部署在核心交换节点、核心汇聚节点和移动接入点等关

17、键节点；b)采集对象。应实时监测采集范围内各网络区域的网络流量、资产信息、威胁情报、脆弱性信息、知识数据、级联/第三方平台数据、各类安全基础资源审计日志，实现资产梳理；c)采集方式。应支持通过流量采集系统、标准协议、不同的方式采集流量、日志、资产信息、威胁情报等信息。8.1.2 监测数据预处理 本项要求包括：a)应通过配置相关解析规则，过滤规则，富化规则，日志类型来达到归一化，过滤、丰富、分类日志信息的目的；b)应支持自定义预处理解析规则文件，可根据应用场景，通过配置选择插件，正则表达式、分隔符、JSON 等方法定义解析规则。电子政务外网安全监测平台适用基本要求，网络安全等级保护三级（含）以上

18、电子政务外网安全监测平台适用基本要求和增强要求。在本文件中，黑体字部分表示增强要求。电子政务外网安全监测平台架构分为八个部分，分别为数据采集子系统、威胁情报子系统数据总线子系统、数据分析子系统、展示与应用子系统、平台管理子系统电子政务外网安全监测平台技术架构如图 3 所示。图3电子政务外网安全监测平台技术架构 采集范围。应覆盖监测范围内的通信网络、区域边界以及计算环境。采集点部署在核心交换节点、核心汇聚节点和移动接入点等关键节点；监测采集范围内各网络区域的网络流量、资产信息、威胁情报、脆弱性信息、第三方平台数据、各类安全基础资源/服务等产生的告警数据、与安全相关的审计日志，实现资产梳理；采集方

19、式。应支持通过流量采集系统、标准协议、API 接口、手动导入、扫描、第三方导入等集流量、日志、资产信息、威胁情报等信息。应通过配置相关解析规则，过滤规则，富化规则，日志类型来达到归一化，过滤、丰富、分类应支持自定义预处理解析规则文件，可根据应用场景，通过配置选择插件，正则表达式、分隔等方法定义解析规则。电子政务外网安全监测平台适用基本要求，网络安全等级保护三级（含）以上电子政务外网安全监测平威胁情报子系统、数据安平台管理子系统和数据存储子 采集范围。应覆盖监测范围内的通信网络、区域边界以及计算环境。采集点部署在核心交换节监测采集范围内各网络区域的网络流量、资产信息、威胁情报、脆弱性信息、服务等

20、产生的告警数据、与安全相关的接口、手动导入、扫描、第三方导入等应通过配置相关解析规则，过滤规则，富化规则，日志类型来达到归一化，过滤、丰富、分类应支持自定义预处理解析规则文件，可根据应用场景，通过配置选择插件，正则表达式、分隔DB36/T 18922023 7 8.2 威胁情报子系统 8.2.1 威胁情报组织 本项要求包括：a)应支持威胁情报分类存储和情报置信度评价分级，分类包括但不限于域名类、IP 类、文件类等；b)应支持威胁情报数据手动更新或者在线更新，威胁情报来源包括但不限于第三方威胁情报服务商、省级电子政务外网安全监测平台等。根据不同的威胁等级，配置不同的更新频率，对于高风险或紧急情报

21、，宜实时更新；中低风险情报，宜每日更新；c）宜支持威胁情报质量评估机制，支持根据评估结果标注威胁情报等级。8.2.2 威胁情报生成 本项要求包括:a)应支持获取原始样本或数据，并对其进行归类、分析、加工、处理后生成威胁情报；b)应支持自定义威胁情报标签；c)应支持手动增加或删除威胁情报。8.2.3 威胁情报共享与使用 本项要求包括：a)应支持提供威胁情报数据查询和比对接口，供数据实时分析和批量查询；b)应支持通过接口方式或文件导入/导出方式，实现数据共享平台或第三方平台的威胁情报共享交换和使用。8.3 数据安全治理子系统 数据安全治理子系统汇聚各种数据资源，完成从数据的采集、质量稽核、清洗、比

22、对、加工、转换、融合到服务发布等全流程的数据治理工作，为安全监测平台提供数据资源支撑的数据集合。本项要求包括：a)应支持基于最大化归集、一数一源、同义项归并、归集码表等数据归集原则，结合统一的分类编码规则，按照流量元数据、资产数据、日志数据、告警数据、漏洞数据、规则数据、威胁情报数据等数据内容属性类型进行一级分类，覆盖已归集数据，形成数据安全治理结果；b)应支持可伸缩的数据存储架构，满足数据量持续增长需求；c)应支持业务相关敏感数据加密存储；d)应支持与省、市级电子政务共享数据统一交换平台对接；e)应支持在主题目录下面创建数据安全治理结果二级分类并注册目录，支持将数据治理形成的接口服务数据挂接

23、到该目录中，支持治理结果数据资源的共享。8.4 数据总线子系统 8.4.1 数据类型 本项要求包括：应支持根据数据类型定义数据格式、数据协议和接口调用。数据类型包括但不限于流量元数据、日志数据、资产信息、安全告警、威胁情报、安全事件、工单报表等。8.4.2 内部数据交换接口 DB36/T 18922023 8 本项要求包括：应支持平台内部基本功能模块之间，通过接口进行数据调用、存储、分析、展示与应用。8.4.3 数据采集接口 本项要求包括：应支持从不同类型的数据采集探针采集流量元数据、日志数据、资产信息、威胁情报等数据。8.4.4 平台级联接口 省、市级平台级联系统之间通过级联接口进行数据共享

24、和交换，本项要求包括：a)数据交互内容包括但不限于安全告警、预警信息、安全事件、威胁情报、工单报表、统计数据、知识案例等；b)接口类型包括但不限于级联注册接口、数据上传接口、数据下发接口和数据查询接口等；c)应支持在数据传输过程中采用密码技术保证数据的完整性和保密性。8.4.5 第三方接口 本项要求包括：a)应支持与横向协同单位平台的数据交互和对接，能够通过必要的定制或使用内置的接口服务，实现与第三方平台的信息交换和管理协同；b)应支持通过共享接口向第三方平台发送/接受数据，包括但不限于：安全告警、预警信息、安全事件、威胁情报、统计数据等。8.5 数据分析子系统 8.5.1 攻击行为分析 本项

25、要求包括：a)应支持特征码匹配分析，能够识别恶意流量特征、恶意文件特征、恶意代码特征等；b)应支持场景化分析，包括但不限于资产违规外连、账号异地登陆、弱口令、数据库敏感操作等典型场景；c)应支持基于攻击阶段、攻击特征相似度等维度的关联分析；d)应支持通过机器学习算法进行数据分析；e)应支持对多源异构的安全大数据进行聚合或关联分析，发现攻击行为；f)宜支持利用沙箱对可疑文件及 URL 进行静态或动态的分析检测；g)宜支持关联威胁情报进行网络攻击行为特征分析和溯源分析；h)宜支持 DNS 威胁检测，包括但不限于 DNS 协议漏洞检测、恶意域名解析检测、DGA 域名检测、DNS 隐蔽通道检测等。8.

26、5.2 风险态势分析 本项要求包括：a)应支持基于资产、威胁和脆弱性监测数据，对网络的整体安全态势进行分析；b)应支持基于安全事件的威胁态势分析，安全事件包括但不限于有害程序事件、网络攻击事件、数据攻击事件、违规操作事件等；c)应支持基于资产的类型、分布、重要程度、资产脆弱性等信息，综合分析资产安全态势。8.5.3 安全专项分析 DB36/T 18922023 9 安全专项分析包括政务云分析、政务终端分析、政务数据分析、政务应用分析四类。各级电子政务外网安全监测平台情况，按照本级实际需求进行专项能力建设。8.5.3.1 政务云分析 本项要求包括：a）应支持对政务云平台南北向流量采集分析，包括攻

27、击行为分析、风险态势分析；b）宜支持对政务云平台 VPC 东西向流量、VPC 内部流量采集分析，包括攻击行为分析、风险态势分析；c）宜支持访问平台管理界面，具备政务云平台维度、租户维度和 VPC 维度的态势展示功能。8.5.3.2 政务终端分析 本项要求包括：a）应支持终端状态分析，包括：终端上线、终端违规外联、终端离线等；b）应支持政务终端总体态势、威胁态势的展示。8.5.3.3 政务数据分析 本项要求包括：a）应采取流量分析技术对数据采集、传输、处理、分析等关键节点进行监测；b）应支持采用主动或被动方式采集数据库安全审计日志、数据安全设备日志、API 数据访问流量等；c）应支持数据资产识别

28、分析，包括自动发现数据资产、识别敏感业务信息、数据分类分级标记等；d）应支持根据数据的敏感程度、保密性要求和重要性，将数据进行分类分级，并基于数据分类分级结果，分析数据访问行为，动态侦测数据资产生命周期的变化情况；e）应支持数据异常行为分析，包括对数据库异常访问、异常操作行为、接口异常调用等进行分析；f）应支持数据接口及数据库脆弱性分析，发现数据库漏洞、数据库基线问题、数据库弱口令；监测发现接口的未授权访问、参数可遍历、接口未鉴权、登陆弱口令、口令明文传输、脚本命令执行、访问权限等问题；g）应支持个人信息泄露分析，对个人信息泄露情况进行识别和分析；h）应支持对数据泄露情况进行溯源分析和取证，支

29、持以泄露数据为线索，建立对数据事件记录尽心检索溯源的机制，支持对接口、IP、账号、时间进行溯源集中度分析，定位追踪到相关责任人。8.5.3.4 政务应用行为分析 此项要求包括：a）应支持业务行为分析，包括敏感信息页面调用异常、查询数据异常、账号使用异常等行为；b）应支持操作行为分析，包括同一业务高频操作、异常时间操作、数据库异常操作等行为；c）应支持访问行为分析，包括异常 IP 地址登陆、非正常时间段登陆、短时多 IP 登陆、异常端口访问、未授权的数据访问、高风险的数据下载、异常的数据库操作等行为；d）应支持资产变动分析，对业务系统资产的端口或服务变化情况进行监测分析，分析数据资产脆弱性，识别

30、应用系统风险问题并及时处置；e）应支持资产漏洞风险分析，支持识别漏洞扫描设备报告，识别业务系统漏洞情况 f）应支持对风险关联 API 接口、风险事件描述、风险事件等级、风险 IP、风险事件进行记录分析。8.6 展示与应用子系统 DB36/T 18922023 10 8.6.1 监测视图 本项要求包括：a)应支持对网络整体安全态势的展示，展示方式包括 GIS 地图、雷达图、拓扑图、路径等至少两种表现形式；b)应支持基于威胁类型、攻击次数、威胁来源、威胁目标、攻击路径等信息的威胁视图展示；c)应支持基于资产类型、分布、资产脆弱性、相关攻击事件等信息的资产安全视图展示；d)应支持基于事件类型、源 I

31、P、目的 IP、受攻击资产、威胁等级、处置情况等信息的安全事件视图展示；e)应支持基于统计信息、实时信息、历史信息和变化趋势的展示方式，以及分角色展示方式；f)应支持政务云平台整体安全态势展示，支持各租户的业务安全态势展示；g)应支持政务云边界区域、政务云南北向和管理区的威胁态势和资产安全态势展示；h)应支持与政务云安全设备或云安全服务组件进行联动，自动完成应急处置任务；i)应支持根据数据分析结果进行实时告警，告警内容包括但不限于告警类型、告警级别、受威胁的业务资产信息、网站标识、网站地址等；j)应支持对数据流转或数据访问时序的展示。8.6.2 预警通报 本项要求包括：a)应支持基于数据分析结

32、构和告警规则，实施产生分级别安全告警；b)应支持按照设定的预警级别和预警流程发布预警信息，预警内容包括但不限于：预警类型、预警级别、威胁方式、涉及对象、影响程度、防范对策等；c)应支持按照设定的安全事件通报流程进行事件通报，通报内容包括但不限于事件类型、攻击源IP、目标 IP、事件级别、事件分析、影响程度和处置建议等；d)应支持平台、邮件、短信、即时通讯、文件等两种及以上预警和通报方式。8.6.3 攻击行为展示 本项要求包括：a)应支持在重要或特殊时期通过安全探测等方式对重要资产的威胁进行持续发现、排序和监控；b)应支持对重要资产的攻击行为信息进行详细展示，包括但不限于：攻击故事线、影响资产、

33、攻击源、历史攻击、攻击行为分析、网络连接行为、文件行为、域名访问行为、模块加载行为、进程操作行为等；c)应支持以图形化的方式展现电子政务外网各类重要资产的分布状况、相互关系、潜在攻击路径等。8.6.4 应急处置联动 本项要求包括：a)应支持在规定时间内将安全告警或安全事件形成处置任务，并进行记录、跟踪和归档；b)应支持对安全告警或安全事件进行调查取证，包含告警溯源信息和关联的原始日志；c)应支持与第三方设备或平台联动，根据监测结果，协助实施动态访问控制等安全处置行动；d)应支持与政务云安全设备或云安全服务组件进行联动，自动完成应急处置任务。8.7 平台管理子系统 8.7.1 用户管理 DB36

34、/T 18922023 11 本项要求包括：a)应支持用户、用户组的增加、禁用、删除、修改、查询及分组管理；b)应支持分权使用，即支持划分不同的角色，并为不同角色分配权限。8.7.2 资产管理 本项要求包括：a)应支持记录资产的属性信息包括但不限于资产名称、资产类型、资产 IP、所属业务系统、部署位置、资产负责人等信息；b)应支持按照类型、部署位置、所属业务系统等属性对资产进行分组管理；c)应支持资产信息的增加、删除、查询、标记；d)应支持资产信息的批量导入、导出。8.7.3 配置管理 本项要求包括：a)应支持对于用户账号和口令的配置管理，包括但不限于初次登录口令修改、账号锁定时间、口令有效期

35、、登录尝试次数、口令长度和复杂度限制等；b)应支持时间自动同步，并且可自定义同步间隔时间；c)应支持对安全策略、特征库、补丁等进行升级。8.7.4 运行监控 应支持实时监控平台设备运行状态、包括但不限于 CPU 使用率、内存使用情况、磁盘使用情况、网络流量情况、设备产生的异常报警等。8.7.5 身份鉴别 本项要求包括：a)应对平台登录用户进行身份鉴别，身份鉴别信息应具有复杂度和定期更换要求；b）应采用密码技术保证身份鉴别信息在传输、存储过程中的完整性和保密性；c）应采用不少于两种组合的鉴别技术对用户进行身份鉴别，且其中至少一种鉴别技术应使用国产密码技术来实现。8.7.6 访问控制 本项要求包括

36、：a)应向授权用户提供配置、查询和修改各种安全策略的功能；b)应向授权用户提供管理日志的功能，包括日志的存储、导出和备份等；c)应支持在用户远程管理方式下，限定远程管理端 IP 地址范围，并采取措施保证管理端与平台之间数据传输的保密性。8.7.7 安全审计 本项要求包括：a)应支持对每个用户的操作行为进行安全审计，包括但不限于：1)管理员的登录成功和失败；2）因身份鉴别尝试失败次数达到设定值导致的会话连接终止；3）对安全策略进行配置的操作；DB36/T 18922023 12 4）对管理用户进行增加、删除和属性修改的操作；b)审计记录应至少包括事件发生日期、时间、用户标识、事件类型、操作结果等

37、信息。日期应精确到日，时间应精确到秒，审计数据存储时间不少于六个月；c)应对审计记录进行保护并定期备份，避免受到删除、修改或覆盖。8.7.8 运维管理 本项要求包括：a）运维管理责任方应为国家党政机关、事业单位或具备国家认证认可的相关资质要求；b）运维管理人员应做好安全监测、威胁监测、平台对接、预警通报等工作；c）应支持定期对电子政务外网安全监测平台资产和 IP 地址对应信息进行更新；d）应定期组织运营例会和运维人员相关培训，总结运营情况，编制运营报告；e）应制定应急预案，组织开展应急演练及攻防演练，承担应急值守与响应处置，强化重点时期安全保障；f）运维管理人员应协助电子政务外网安全监测平台合

38、规管理，开展电子政务外网安全监测平台网络安全等级保护测评、密码应用安全性评估等合规性测评工作，并将结果录入电子政务外网安全监测平台。8.8 数据存储子系统 数据存储子系统对平台中不同类型和结构的数据进行存储。本项要求包括：a)应支持对平台采集以及处理产生的数据进行分类存储，包括但不限于流量元数据、资产信息、日志数据、安全告警、安全事件、规则数据、威胁情报、知识案例等数据；b)应支持对结构化数据、半结构化数据和非结构化数据进行存储；c)应支持数据迁移，支持存储数据的备份及异常恢复，应根据国家规定的灾难恢复能力等级要求进行数据恢复工作；d)应支持对身份鉴别、数据分析结果等重要数据进行加密存储；e)

39、应支持数据存储节点扩展和负载均衡；f)应支持自定义数据存储时间；g)应支持配置数据保护策略，防止数据遭未经授权的读取、删除或修改；h)应支持当数据存储达到阈值时，发出报警信息。9 数据共享要求 电子政务外网安全监测平台与本级电子政务共享数据统一交换平台对接，将威胁情报、案例、数据安全治理结果与常态化工作结果等数据共享至同级各级政务部门。信息共享由资源提供方、资源需求方、交换平台三类要素组成。本项要求包括：a)应支持共享数据桥接到安全监测平台前置节点的交换库或文件夹中，将前置节点中的数据进行资源发布；b)应支持前置节点认证，并提供数据传输加密措施；c）应支持通过电子政务共享数据统一交换平台共享数

40、据；d)应支持以不同的方式进行数据交换，包括库表、文件及服务接口；e)服务代理应支持 HTTP/HTTPS 协议；DB36/T 18922023 13 f）应支持与政务区块链平台对接，将监测数据、级联数据安全上链；g)应支持对数据操作按照最小授权原则进行权限控制。10 平台级联要求 10.1 功能要求 10.1.1 数据交互 数据通信支持通过 API 等多种方式进行数据上报和数据下发，数据上报下发服务端需返回状态码，告知客户端是否进行重传。10.1.2 加密传输 各节点在数据传输时，须根据省级节点下发的密钥对传输的数据内容进行加密传输，并支持国密算法，加密的数据包括请求参数与返回的数据内容。1

41、0.1.3 级联认证 为保证平台级联系统之间的数据传输安全，电子政务外网安全监测平台之间在进行通讯前应进行有效的认证与授权。级联认证接口包括级联注册接口和级联注销接口。级联注册接口完成市级电子政务外网安全监测平台至省级电子政务外网安全监测平台的注册功能，保证通信安全。级联注销接口用于平台之间的认证注销，当平台出现变更或废止时，由省级电子政务外网安全监测平台进行平台间级联的注销，市级电子政务外网安全监测平台接收到注销指令后，停止与省级电子政务外网安全监测平台进行通信。10.1.4 上报 10.1.4.1 总体态势上报 市级电子政务外网安全监测平台每日定时向省级电子政务外网安全监测平台上报本级电子

42、政务外网安全监测平台的态势状态，上报内容包含监控资产数、采集日志量、告警日志量、发现的攻击总量、漏洞事件数、病毒事件数。10.1.4.2 告警统计上报 市级电子政务外网安全监测平台每日定时向省级电子政务外网安全监测平台上报本级电子政务外网安全监测平台发现的告警统计数据信息，统计内容包含告警总量、攻击告警总量、病毒告警总量、漏洞告警总量。10.1.4.3 风险状况上报 市级电子政务外网安全监测平台每日定时向省级电子政务外网安全监测平台上报本级的风险情况。10.1.4.4 案例上报 市级电子政务外网安全监测平台向省级电子政务外网安全监测平台提交案例信息，案例内容包DB36/T 18922023 1

43、4 含案例名称、案例描述、案例相关附件信息。10.1.4.5 安全事件上报 市级电子政务外网安全监测平台通过数据分析发现后确认的安全事件需通过平台级联系统进行安全事件上报。10.1.4.6 报表上报 市级电子政务外网安全监测平台需定时将本平台生产的报告通过平台级联系统上传至省级电子政务外网安全监测平台。10.1.4.7 运行状态上报 省级电子政务外网安全监测平台对市级电子政务外网安全监测平台的上报接口实施周期检测，及时发现接口异常，减少上报数据的丢失。市级安全监测平台通过平台级联系统周期性上报自身状态消息，省级电子政务外网安全监测平台根据是否能周期收到市级状态消息，判断市级电子政务外网安全监测

44、平台是否正常。10.1.5 下发 10.1.5.1 案例 省级电子政务外网安全监测平台通过平台级联系统下发案例给市级电子政务外网安全监测平台，市级电子政务外网安全监测平台可通过平台级联系统向省级电子政务外网安全监测平台提交案例查询请求，由平台级联系统反馈。10.1.5.2 安全事件 省级电子政务外网安全监测平台通过平台级联系统向市级电子政务外网安全监测平台发起安全事件通告，市级电子政务外网安全监测平台应定时向省级平台级联系统请求安全事件通告情况，由平台级联系统进行数据请求提交和反馈。10.1.5.3 预警通报 省级电子政务外网安全监测平台通过平台级联系统向市级电子政务外网安全监测平台发起预警通

45、报，市级电子政务外网安全监测平台应定时向省级平台级联系统请求预警通报情况，由平台级联系统进行数据请求提交和反馈。10.1.5.4 威胁情报及通报处置 省级电子政务外网安全监测平台通过平台级联系统向市级电子政务外网安全监测平台发起威胁情报及通报处置结果，市级电子政务外网安全监测平台应定时向省级平台级联系统请求威胁情报及通报处置情况，由平台级联系统进行数据请求提交和反馈。10.1.5.5 知识库 省级电子政务外网安全监测平台下发共享远程知识、漏洞库至市级电子政务外网安全监测平台，市级电子政务外网安全监测平台通过平台级联系统向省级电子政务外网安全监测平台提起远程知识、漏洞库查询请求，由平台级联系统反

46、馈。电子政务外网安全监测平台的典型部署如图图 A.1 电子政务外网安全监测平台a）安全数据可以由管理网统一外网安全监测平台进行分析处理附 录 A（资料性）电子政务外网安全监测平台典型部署 平台的典型部署如图A.1所示：A.1 电子政务外网安全监测平台典型部署示意图 政务外网安全监测平台的部署参考如下：管理网统一聚合采集，也可以通过采集设备进行采集，将安全监测平台进行分析处理；DB36/T 18922023 15 可以通过采集设备进行采集，将数据汇集到电子政务DB36/T 18922023 16 b）将流量、日志、资产等维度的安全数据采集处理后，通过必要的定制或使用内置的接口服务，实现与省、市级

47、电子政务外网安全监测平台的信息交换和管理协同。数据总线实现：a)内部各功能模块之间的数据交互；b)不同类型的数据采集探针的数据格式统一标准化；c)省、市级电子政务外网安全监测平台d)与第三方平台之间的数据对接。数据总线结构如图 B.1 所示。数据总线共享和交换的数据主要包括流量元数据、设备日志、资产数据、告警数据、威胁情报、安全事件、工单报表等。数据接口包括内部数据交换接口、数据采集接口、级联接口和数据共享接口。附 录 B（资料性）数据总线结构 内部各功能模块之间的数据交互；不同类型的数据采集探针的数据格式统一标准化；电子政务外网安全监测平台之间的数据级联对接；与第三方平台之间的数据对接。所示。图 B.1 数据总线结构 数据总线共享和交换的数据主要包括流量元数据、设备日志、资产数据、告警数据、威胁情报、安全事件、工单报表等。数据接口包括内部数据交换接口、数据采集接口、级联接口和数据共享接口。_ DB36/T 18922023 17 数据总线共享和交换的数据主要包括流量元数据、设备日志、资产数据、告警数据、威胁情报、安全事件、工单报表等。数据接口包括内部数据交换接口、数据采集接口、级联接口和数据共享接口。