DB4105 T 196-2022 政务网络安全监测规范.pdf

1、ICS 35.240.20 CCS L 67 DB4105安阳市地方标准 DB 4105/T 1962022 政务网络安全监测规范 2022-08-29 发布2022-10-01 实施安阳市市场监督管理局 发 布 DB4105/T 1962022 I 目 次 前言.II1 范围.12 规范性引用文件.13 术语和定义.14 基本要求.25 数据采集.26 数据分析.37 数据研判.48 事件响应.4参考文献.6 DB4105/T 1962022 II 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由安阳市政务服务和大数据管理局提

2、出并归口。本文件起草单位：安阳市信息中心。本文件主要起草人：马靳鲜、王海龙、常明华、朱旭、杜都、王亦军、温梦佳、范馨丹、郭帅、任帅、赵子龙、王和平、李慧玲。DB4105/T 1962022 1 政务网络安全监测规范 1 范围 本文件规定了政务网络安全监测的主要内容，包括安全监测数据采集、数据分析和数据研判等。本文件适用于安阳市行政区域内的非涉密政务网络，指导并规范本市及各县（市、区）政务网络安全监测的数据采集、数据分析、数据研判和事件通报。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文

3、件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069 信息安全技术 术语 GW 0203 国家电子政务外网安全监测体系技术规范与实施指南 3 术语和定义 GB/T 25069和GW 0203界定的以及下列术语和定义适用于本文件。3.1 安全监测 以信息安全事件为核心，通过对网络和安全设备日志、系统运行数据等信息的实时采集，以关联分析等方式，实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。3.2 网络安全事件 是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息

4、破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。3.3 威胁情报 主要是指收集、评估和应用关于安全威胁、威胁分析、攻击利用、恶意软件、漏洞和漏洞指标的数 据集合。3.4 脆弱性 资产中能被威胁所利用的弱点。3.5 政务网络 承载非涉密政务业务的专用网络。主要划分为政务广域网、政务城域网和政务局域网。DB4105/T 1962022 2 4 基本要求 4.1 监测的范围与政务部门或政务网络运营者管理的网络边界范围保持一致。承载跨地区、跨部门应用的政务网络，其监测范围包括本地区（本部门）政务网络，以及与之连接的政务广域网、政务城域网和政务局域网。4.2 监测的对象包括基础网络、政务

5、云、政务应用等信息技术设施和系统。4.3 政务部门托管或部署在公有云上的业务监测由托管单位或云服务商等部门提供相应监测服务。4.4 监测的内容包括且不限于：数据采集包括政务网络的流量和日志信息以及威胁情报、第三方数据等；数据分析包括资产分析、威胁分析、场景分析等；对监测数据进行告警研判、调查分析和联动处置；及时通知被监测单位并对事件进行处置。5 数据采集 5.1 对象 数据采集包括且不限于：政务网络的流量及日志信息；自有情报数据、第三方通报和情报数据。5.2 内容 5.2.1 流量数据 5.2.1.1 告警 对网络流量中常见的攻击行为进行威胁检测，采集告警信息。5.2.1.2 元数据 对网络流

6、量进行还原解析生成TCP流量日志、UDP流量日志、Web访问日志、DNS解析日志等类型流量元数据并进行采集，在发生网络安全事件时可基于流量元数据进行事件回溯分析。5.2.2 设备日志 包括且不限于网络设备、安全设备、操作系统、数据库、中间件、应用系统等日志类型。5.2.3 威胁情报 包括且不限于失陷类情报、IP情报、域名情报等内容。5.2.4 第三方数据 5.2.4.1 第三方平台通报的告警数据。5.2.4.2 第三方脆弱性报告，如安全厂家漏洞扫描和配置核查扫描结果。5.3 方式 5.3.1 流量采集 DB4105/T 1962022 3 部署流量采集设备，通过流量镜像的方式获取流量并进行还原

7、、检测、告警。5.3.2 日志采集 通过 Syslog、WMI、JDBC、FTP、SFTP 等方式。5.3.3 威胁情报采集 通过自定义威胁情报、网络升级、第三方导入等方式。5.3.4 第三方数据 通过第三方数据本地导入、网络更新等方式。5.4 数据预处理 视采集内容的流量或数据格式的不同，配置相关规则达到日志信息归一化。6 数据分析 6.1 资产管理及风险分析 6.1.1 资产管理 对主机设备、网络设备、安全设备、应用系统进行管理。能够展现资产基础信息（资产名称、IP地址和分组等）和服务信息（端口、协议和服务等），也能够自定义资产属性标签，按照资产组、地理位置、业务、组织结构等维度对资产进行

8、分组管理。6.1.2 漏洞管理 6.1.2.1 能够对资产的漏洞信息进行管理，包括且不限于：a)能够导入并识别漏洞扫描器输出的漏洞报告；b)按照漏洞报告模板手工撰写的漏洞报告。6.1.2.2 导入的漏洞信息可以和资产自动关联匹配。6.1.3 资产分析及风险展示 6.1.3.1 单一资产 按照单一资产对资产进行风险评估、列表展示。内容包括资产名称、资产风险值、资产告警数、资产漏洞数和资产失陷状态标识等信息。可按照单一资产图形化展示资产告警及漏洞数量，也可按照趋势、等级、处置状态等信息进行展示。6.1.3.2 资产分组 按照资产分组对资产进行风险评估、列表展示。内容包括资产组名称、资产组风险值、资

9、产组告警数、资产组漏洞数和资产组失陷主机识等信息。可按照资产分组图形化展示资产告警及漏洞数量，也可按照趋势、等级、处置状态等信息进行展示。6.1.3.3 条件查询 DB4105/T 1962022 4 单一资产及资产分组的风险条件查询，查询条件包括资产IP地址、资产名称、资产风险值和资产风险等维度。6.2 威胁分析 6.2.1 特征码匹配 将待检测内容与恶意流量特征、恶意文件特征、恶意代码特征等特征值进行匹配，然后根据匹配结果判断待检测的内容是否被感染。6.2.2 威胁情报 能够基于证据来描述威胁的知识信息，包括威胁相关的上下文信息、威胁所使用的方法机制、威胁相关指标、攻击影响以及应对行动建议

10、等。也能够进行自定义告警匹配、批量情报导入以及威胁情报的在线查询能力，包括地址、域名、URL、端口等。6.2.3 关联分析 在分布式部署情况下提供复杂事件的关联分析。提供预定义和自定义的关联规则，包括网络异常、暴力破解、账号异常等多种场景的规则，预定义规则具有手动更新能力。6.3 场景分析 场景化模型能够对海量应用类日志通过大数据分析技术，进行模式匹配、异常发现。基于关联分析技术提供丰富的场景化分析、使用图表等可视化手段，展示特定主体场景下的可疑行为。包括业务资产外联、异地账号登录、弱口令检测等。7 数据研判 7.1 告警研判 能够对已产生的威胁信息（情报信息、漏洞信息、资产信息和日志信息等）

11、进行分析研判，并结合相关安全设备的能力，进行人工分析研判，确认是否形成网络安全事件。7.2 调查分析 7.2.1 调查线索 基于多种证据线索启动调查任务，包括日志线索、关联事件线索、告警线索、漏洞等。7.2.2 调查取证 提供调查工作台，通过对需要调查的安全事件创建实例，将调查相关的告警、日志、文本、关联事件、漏洞、图片信息等都录入调查实例。7.3 联动处置 能够与监测范围内各政务部门的安全设备进行产品联动，在发生安全事件时向安全设备下发处置阻断命令，及时阻断安全威胁的活动。8 事件响应 DB4105/T 1962022 5 8.1 事件通报 政务管理部门将发现或未解决的安全事件，根据事件的等

12、级程度形成网络安全事件通报,并发送至事件涉及的单位。8.2 整改反馈 政务部门收到网络安全事件通报时，需按通报内容、要求和建议及时整改与反馈。8.3 事件跟踪 政务管理部门需持续跟踪网络安全事件处置情况，强化网络安全事件的闭环管理，若有未按时解决安全事件的情况，可协同相关部门做好网络安全事件处置。DB4105/T 1962022 6 参 考 文 献 1 GB/T 5271.8 信息技术 词汇 第 8 部分：安全 2 GB/T 36635 信息安全技术 网络安全监测基本要求与实施指南 3 GB/T 36643 信息安全技术 网络安全威胁信息格式规范 4 GW 0204 国家电子政务外网安全管理系统技术要求与接口规范 5 T/CIIA 005 政务网络安全监测平台总体技术要求 6 T/CIIA 007 政务网络安全监测平台数据总线结构规范 _