信息安全技术政务网络安全监测平台技术规范-标准文本.doc

1、ICS35.040CCS L 71中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 政务网络安全监测平台技术规范Information security technology -Technical specifications for Government network security monitoring platform（征求意见稿）（本稿完成日期：2021年1月21日）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目录1 范围32 规范性引用文件33 术语和定义3

2、4 缩略语45 概述55.1 政务网络面临的主要安全威胁55.2 监测范围55.3 监测内容65.4 平台部署结构65.5 平台技术架构65.6 数据总线结构75.7 技术要求分类86 安全监测通用要求86.1 数据采集预处理86.2 数据存储96.3 数据总线96.4 数据分析106.5 展示与应用116.6 威胁情报126.7 平台运行管理127 安全监测扩展要求147.1 政务云安全监测147.2 政务数据安全监测157.3 DNS安全监测157.4 政务应用安全监测168 通用要求测试评价方法188.1 数据采集预处理188.2 数据存储188.3 数据总线198.4 数据分析218.

3、5 展示与应用228.6 威胁情报238.7 平台运行管理249 扩展要求测试评价方法289.1 政务云安全监测289.2 政务数据安全监测299.3 DNS安全监测309.4 政务应用安全监测30附录A （资料性） 政务网络安全监测平台技术要求划分34附录B （资料性） 政务网络安全监测平台威胁情报数据格式36前言本文件按照GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规则起草。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：国家信息中心、国家信息技术安全研究中心、中国信息安全测评中心、公安部第三研究所、中国科学院信息工

4、程研究所、恒安嘉新（北京）科技股份公司、北京安信天行科技有限公司、新华三技术有限公司、北京山石网科信息技术有限公司、杭州安恒信息技术股份有限公司、浪潮云信息技术股份公司、启明星辰信息技术集团股份有限公司、北京天融信网络安全技术有限公司、远江盛邦（北京）网络安全科技股份有限公司、北京奇虎科技有限公司、陕西省信息化工程研究院、陕西省网络与信息安全测评中心、深信服科技股份有限公司、北京微步在线科技有限公司、亚信科技（成都）有限公司、广东盈世计算机科技有限公司、华为技术有限公司、奇安信科技集团股份有限公司。本文件主要起草人：禄凯、刘蓓、闫桂勋、程浩、赵睿斌、吴阿明、文博、袁志千、李娟、吴宪、姚佳明、任

5、卫红、马红霞、王振蕾、叶润国、薛锋、张宽、史帅、钟金鑫、万晓兰、薛剑飞、苏启波、董树、刘晓鑫、杜宇、安高峰、王晶、张屹、潘正泰、杨京、林延中、王伟、张二明。IGB/T XXXXXXXXX信息安全技术 政务网络安全监测平台技术规范1 范围本文件规定了政务网络安全监测平台的技术架构、通用技术要求、扩展技术要求以及测试评价方法。本文件适用于政务网络安全监测平台的设计、建设，以及测试评价。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对于的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/Z 20

6、986-2007 信息安全技术 信息安全事件分类分级指南GB/T 25069-2010 信息安全技术 术语GB/T 36643-2018 信息安全技术 网络安全威胁情报格式规范GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求3 术语和定义GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1政务网络 goverment network运行政务部门非涉密业务应用的专用网络。分为广域网、城域网和局域网，与互联网之间逻辑隔离。3.2安全监测平台 security monitoring platform以信息安全事件为核心，通过对网络流量、安全设备日志、威胁情

7、报等数据信息进行实时采集、监测和分析，实现网络风险识别、威胁发现、安全事件实时告警及可视化展现的系统。3.3信息安全事件 information security incident由单个或一系列意外或有害的信息安全事态所组成的，极有可能危害业务运行和威胁情报安全。来源：GB/T 25069-2010 2.1.533.4告警 alert当攻击或入侵发生时，平台向相关人员发出的紧急通知。3.5响应（不测事件响应或入侵响应） response(incident response or intrusion response)当攻击或入侵发生时，为了保护和恢复信息系统正常运行的条件以及存储在其中的信息而

8、采取的行动。来源：GB/T 25069-2010 2.3.983.6探针 probe从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。来源：GB/T 25069-2010 2.2.1.273.7数据总线 data bus实现平台中数据采集、存储、分析、展示与应用等各模块之间，以及与外部平台之间规范化数据共享和交换的协议和接口集。4 缩略语下列缩略语适用于本文件。API：应用程序接口（Application Programming Interface）B/S：浏览器/服务器（Browser/Server）C&C：命令和控制（Command and Control）CPU：中央处

9、理器（Central Processing Unit）DDoS：分布式拒绝服务攻击（Distributed Denial of Service Attack）DGA：域名生成算法（Domain Generation Algorithm）DNS：域名系统（Domain Name System）FTP：文件传送协议（File Transfer Protocol）GIS：地理信息系统（Geographic Information System）HTTP：超文本传输协议（Hypertext Transfer Protocol）JDBC：Java数据库连接（Java Database Connectiv

10、ity）JSON：JS对象简谱（JavaScript Object Notation）SFTP：安全文件传送协议（Secure File Transfer Protocol）SMTP：简单邮件传输协议（Simple Mail Transfer Protocol）SNMP：简单网络管理协议(Simple Network Management Protocol)SOAR：安全编排、自动化和响应（Security Orchestration,Automation and Response）SOC：安全运营中心（Security Operation Center）SYSLOG：系统日志（System

11、Log）TCP：传输控制协议（Transmission Control Protocol）UDP：用户数据报协议（User Datagram Protocol）URL：统一资源定位系统（Uniform Resource Locator）VM：虚拟机（Virtual Machine）VPC：虚拟私有云（Virtual Private Cloud）WAF：Web应用防护系统（Web Application Firewall）5 概述5.1 政务网络面临的主要安全威胁政务网络面临的安全威胁涉及基础网络、政务云、政务数据、政务应用等方面，主要安全威胁见表1。表1 政务网络面临的主要安全威胁主要安全威胁

12、基础网络网络区域结构复杂，网络范围大，接入点多，攻击面暴露多，容易遭受来自互联网或其他政务部门网络的安全威胁，包括漏洞攻击、敏感数据泄露、篡改和不可用等威胁。政务云网络安全边界模糊，面临网络攻击的同时，云平台内部缺乏重点防护，难以防范VPC内、跨VPC横向攻击等。政务数据数据种类多样且敏感，包括个人隐私数据、政府敏感数据等，容易成为攻击者的目标，造成敏感信息泄露、数据违规操作等。政务应用网络承载大量政务应用，如邮件、网站、业务系统等，应用众多且复杂，部分业务设备老化、安全措施不到位，一旦被攻击者攻击成功则可能导致系统瘫痪、数据泄露，对政务部门造成不良影响。5.2 监测范围政务网络安全监测平台的

13、监测范围应与政务部门负责安全管理的网络边界范围保持一致，一般应覆盖如下政务网络区域，如图1所示。a) 广域网：各级政务部门实现上下互联互通的网络。各级政务网络通过接入设备接入广域骨干网链路，实现上下级政务部门的互联互通；b) 城域网：同级政务部门实现互联互通的网络。各政务部门通过接入设备接入城域网链路，实现互联互通；c) 局域网：承载政务部门自身业务和托管业务的网络。按照分区分域管理原则，局域网又可分为如下两个安全区域：1) 互联网接入区：政务部门通过逻辑隔离安全接入互联网的网络区域，承载政务部门利用互联网开展的公共服务、社会管理、经济调节和市场监管等业务应用；2) 公用网络区：与互联网接入区

14、逻辑隔离，承载政务部门（非互联网）公共服务，以及跨部门、跨地区的业务协同和数据共享等业务应用。图1 政务网络安全监测平台监测范围5.3 监测内容对不同的网络区域，平台监测的内容宜包括但不限于以下内容：a) 互联网接入区：针对基础网络、政务云、政务数据、政务应用的网络攻击，异常流量、资产威胁、资产脆弱性；b) 公用网络区：针对基础网络、政务云、政务数据、政务应用的网络攻击，针对政务数据的异常操作、异常流量、违规外联、违规接入、资产威胁、资产脆弱性；c) 城域网：针对政务数据的异常操作、城域网范围内的跨部门横向攻击、异常流量、资产威胁、资产脆弱性；d) 广域网：针对政务数据的异常操作、广域网范围内

15、的跨部门/跨区域攻击、异常流量、资产威胁、资产脆弱性。5.4 平台部署结构政务网络安全监测平台一般采用前端数据采集探针和后台分析与展现系统分别部署的方式。其中，分析与展现系统应部署在政务部门的公用网络区。探针的类型及其部署方式为：a) 流量探针：旁路部署在核心交换或者重要业务区域汇聚交换，通过流量镜像进行数据采集；b) 日志探针：对安全设备、主机、业务系统等日志信息进行采集；1) 安全设备日志：与平台之间网络路由可达，采集安全设备的设备日志数据、告警数据等信息，可对接SOC等统一日志存储平台；2) 主机日志：部署在主机系统内，采集主机防恶意软件事件、防火墙事件、入侵防御事件、完整性监控、系统事

16、件等日志信息；3) 业务系统日志：与平台之间网络路由可达，采集业务系统的登录日志、系统操作日志等信息；c) 资产探针：路由可达部署在网络环境中，采集网络中的资产信息；d) 脆弱性扫描探针：路由可达部署在网络环境中，采集网络中资产、业务的脆弱性信息。5.5 平台技术架构政务网络安全监测平台通过实时采集网络流量、安全日志、资产信息、威胁情报等数据，并进行综合分析，识别网络中的攻击行为和安全威胁事件，并及时进行预警、通报和可视化展现。平台应具备数据采集预处理、数据存储、数据总线、数据分析、威胁情报、展示与应用和平台运行管理等基本功能，其技术架构如图2所示。图2 政务网络安全监测平台技术架构a) 数据

17、采集预处理：依照确定的平台的采集范围、采集方式、采集对象以及预处理方式进行数据采集和预处理，数据经过采集预处理后进一步进行数据分析；b) 数据存储：对平台中不同类型和结构的数据进行存储；c) 数据总线：实现平台中数据采集、存储、分析、展示与应用等各模块之间，以及与外部平台之间规范化数据共享和交换；d) 数据分析：通过机器学习、数据挖掘、关联分析等数据分析技术对网络的综合态势、威胁态势、资产态势等进行分析；e) 展示与应用：根据决策者、管理人员和运维人员不同的需求和关注重点，进行多维度的态势展示，并且支持预警通告和应急处置；f) 威胁情报：为事件响应提供决策需要的上下文，提供本地威胁情报以及威胁

18、情报数据共享交换能力；g) 平台运行管理：包括平台的用户管理、配置管理、运维管理、安全管理等，为平台的正常运行管理提供支撑。5.6 数据总线结构数据总线实现：a) 内部各功能模块之间的数据交互；b) 不同类型的数据采集探针的数据格式统一标准化；c) 上下级平台之间的数据级联对接；d) 与第三方平台之间的数据对接。数据总线结构如图3所示。图3 数据总线结构数据总线共享和交换的数据主要包括流量元数据、设备日志、资产数据、告警数据、威胁情报、安全事件、工单报表等。数据接口包括内部数据交换接口、数据采集接口、级联接口和外部接口。5.7 技术要求分类本文件针对基础网络、政务云、政务数据或者政务应用等不同

19、的监测目标和重点，将平台技术要求分为通用要求和扩展要求。通用要求为平台针对基础网络开展安全监测应符合的技术要求，包括数据采集预处理、数据存储、数据总线、数据分析、展示与应用、威胁情报、平台运行管理等，扩展要求是平台针对政务云、政务数据、政务应用等场景进一步开展监测应符合的技术要求。在通用要求和扩展要求中，本文件针对政务网络安全监测平台提出的技术要求进一步分为基本要求和增强要求。基本要求适用于等级保护三级以下的政务网络安全监测平台，增强要求适用于等级保护三级（含）以上的政务网络安全监测平台。技术要求划分参见附录A。在本文件中，黑体字部分表示增强要求。6 安全监测通用要求6.1 数据采集预处理6.

20、1.1 数据采集a) 采集范围和对象平台宜在政务部门网络互联网区和公用网络区的网络核心节点交换、移动接入点等关键节点采集数据，如果政务部门有对广域网或者城域网的管理职责，监测范围应相应扩展到广域网和城域网的相关节点。采集数据宜包括：网络流量、资产信息、威胁情报、脆弱性信息、知识数据、级联/第三方平台数据、各类安全基础资源/服务等产生的告警数据、与安全相关的审计日志等。b) 采集方式平台应通过不同的方式采集流量、日志、资产信息、威胁情报等信息。即：1) 应支持部署流量探针，通过流量镜像的方式获取被监测的流量，包括但不限于FTP/SFTP、DNS、HTTP等网络流量；2) 应支持Syslog、JD

21、BC、SNMP、FTP、SFTP等一种或多种方式被动采集设备日志，支持插件代理主动采集日志；3) 应支持API接口方式采集级联或者第三方数据；4) 应支持本地手动导入资产信息、网络流量发现资产、主动探测发现资产；5) 应支持通过扫描或者第三方导入获取资产、业务的脆弱性信息；6) 应支持自定义威胁情报、在线升级、第三方导入等方式进行威胁情报采集。6.1.2 数据预处理平台应对采集到的数据进行预处理。即：a) 应通过配置相关解析规则、过滤规则、富化规则来达到标准化、过滤、丰富日志信息的目的；b) 应支持自定义预处理解析规则文件，可根据应用场景，通过配置选择插件、正则表达式、分隔符、关键值、JSON

22、等方法定义解析规则。6.2 数据存储6.2.1 存储要求a) 应支持建立相应的流量数据、日志数据、告警数据、资产数据、威胁情报数据、规则知识数据等数据库；b) 应支持对结构化数据、半结构化数据和非结构化数据进行存储，支持文本、关键值、对象等多种数据类型的存储，支持可伸缩的分布式数据存储架构，满足数据量持续增长需求；c) 业务相关的敏感数据加密存储；d) 数据存储时间按照网络安全法以及行业主管部门的规定来确定；e) 应支持数据迁移，支持存储数据的备份及异常恢复；f) 应支持节点扩展。6.2.2 存储方式a) 应支持对数据文件进行集中式/分布式存储，按照使用场景对热数据、冷数据等进行不同方式的存储

23、，方便后续高效查询使用；b) 应支持对数据要使用压缩算法进行压缩，可采用纠删码存储策略，在保障数据可靠性的前提下，降低数据存储冗余度。6.3 数据总线6.3.1 内部数据交换接口应支持平台内部模块/子系统之间数据的规范化交换，通过定义的流量元数据、设备日志、威胁情报、告警等各类数据的标准格式进行内部数据的交互。6.3.2 数据采集接口a) 应支持从数据采集探针采集流量元、日志、资产信息、威胁情报等数据；b) 应支持从各种数据采集探针中收集预处理后的数据进行规范化传输。6.3.3 级联接口a) 应支持有上下级关系的平台之间进行总体态势、通知通告、安全事件、统计类数据、报表数据、案例数据、威胁情报

24、等数据的交互；b) 级联接口应按RESTful API标准对外提供服务，通信过程中请求和响应的数据采用标准JSON格式来封装。对于开放的接口函数，需发布相应的文档，用于描述JSON的接口信息；c) 级联接口函数应包含两类函数：一类是同步调用函数，函数的返回值为结果；另一类是利用消息通道，进行异步数据传输；d) 接口格式定义包括接口URL、接口描述、参数列表及接口返回信息。参数与返回值的具体JSON格式由接口提供者根据具体业务的实际情况制定，应层次简单、结构清晰；e) 为保证各级平台之间的通信安全，平台之间在进行通信前应采用上级平台下发的证书进行有效的认证与授权。级联认证接口包括级联注册接口和级

25、联注销接口。级联注册接口完成下级平台至上级平台的注册功能，保证上下级平台之间通信的安全性。由上级平台进行平台间级联的注销，上级平台在注销后，停止与下级平台的通信。6.3.4 外部接口应支持与第三方系统/平台之间进行数据交互。平台应建立开放式的架构，能够通过必要的定制或使用内置的接口服务实现与第三方平台的信息交换和管理协同。a) 数据传输内容1) 宜支持向第三方平台提供信息，包括但不限于：告警信息、安全事件信息；2) 宜支持从第三方平台接收信息，包括但不限于：告警信息、安全事件信息。b) 外部接口功能1) 应支持数据文档导入/导出：提供数据的导出功能，提供格式化文档的数据导入处理；2) 应支持使

26、用通用协议进行数据动态交换：通过SYSLOG或SNMP实现平台与其他平台的信息交换；3) 应支持通过FTP或HTTP方式获取数据文件，并提供导入解析接口。6.4 数据分析平台应支持对采集预处理过的数据进行深度分析。即：a) 应支持特征码匹配，支持将待检测内容与恶意流量特征、恶意文件特征、恶意代码特征等特征值进行匹配，然后根据匹配结果判断待检测的内容是否被感染；b) 应支持事件关联分析，支持提供不同大量复杂事件的关联分析。提供至少一百条预定义的关联规则，包括但不限于网络异常、暴力破解、账号异常等多种场景的规则，并支持预定义和修改关联规则；c) 应支持数据挖掘，支持从大量的数据中通过特征码识别、统

27、计报表、在线分析处理和信息检索等诸多方法，搜索隐藏于其中的信息；d) 应支持场景化分析，包括但不限于：流量异常、业务资产主动外连、账号异地登录、弱口令、数据库敏感操作检测等；e) 应支持综合态势分析，支持对网络的整体安全态势进行分析，从受威胁业务/资产和攻击源的角度分析网络安全风险，分析网络整体的安全现状和趋势；f) 应支持威胁态势分析，支持基于威胁的分析，包含对网络攻击行为和安全事件的分析，包括但不限于C&C攻击、隐蔽通道、网络扫描、DDoS攻击、漏洞利用攻击、信息泄露等，支持从被攻击资产角度或攻击者角度对威胁行为进行分析，展示攻击路径，同时结合威胁情报对攻击者进行分析；g) 应支持资产态势

28、分析，宜支持针对网络中资产的漏洞和配置弱点进行分析，自动计算出相关的风险指数，宜支持基于资产的按照区域、类型、重要程度等信息，结合安全事件、漏洞信息进行多维度分析，包括但不限于：资产类型分布、资产脆弱性、资产风险分布等；h) 应支持机器学习，支持通过机器学习算法进行数据分析，算法应能够涵盖有监督或无监督学习模型；i) 应支持沙箱安全分析，支持接收来自联动安全设备的可疑威胁对象，自动执行针对可疑文件及URL的分析检测，支持静态、动态可疑文件的分析检测。6.5 展示与应用6.5.1 态势展示平台应对安全监测数据进行多维度多类型的展示及应用。即：a) 应支持B/S结构对综合态势、威胁态势、资产态势等

29、多种态势进行展示；b) 应支持GIS地图、饼图、柱状图、折线图、3D图、雷达图等形式中的两种及以上表现形式进行各安全态势展示；c) 应支持在态势展示页面通过信息钻取查看安全事件的详情，可以多层钻取；d) 应具备灵活的规则编辑器，可以基于预先定义的模板，实现各类报告数据的统计和展示，并支持报表的结果输出；e) 应支持对不同资产设备类型、不同业务区域等进行安全状态和趋势评估，包括但不限于脆弱性、风险、事件等；f) 支持基于资产类型分布、资产脆弱性、资产风险分布等分析数据，进行态势展示；g) 应支持对不同的角色展示不同维度、不同视图的网络安全状况的能力；h) 应支持安全事件的追溯分析展示。6.5.2

30、 预警通报平台应在监测到安全事件时，自动采取相应动作以发出安全警告。具体要求如下：a) 应支持预警分级，将接收到的预警信息按照重要程度、影响范围等进行分级，支持进一步的预警处理；b) 应支持预警流程自定义，发生预警事件时，支持依照设定的流程发布信息通报，通报内容包括但不限于：告警名称、告警时间、告警类型、告警级别、告警对象、所属部门、告警描述、公布人员/部门、影响范围、建议解决方案等；c) 应支持平台告警、邮件告警、短信告警等告警方式；d) 预警信息宜包括但不限于以下两种及以上的预警信息类型：1) 攻击预警信息应包括但不限于：告警时间、告警内容、风险级别、告警类型、攻击源IP、被攻击资产IP、

31、攻击阶段等；2) 威胁预警信息应包括但不限于：告警时间、告警内容、风险级别、威胁类型、威胁描述等；3) 异常流量预警信息应包括但不限于：预警类型、目标资产IP、开始时间、结束时间、持续时间、区间网络流量、预警等级等；4) 弱口令预警信息应包括但不限于：登录时间、登录资产IP、弱口令类型、口令信息等；5) 漏洞预警信息应包括但不限于：漏洞发现时间、漏洞名称、漏洞影响的资产、漏洞等级等；支持自定义查询，查询条件包括不限于IP、时间、业务系统等。6.5.3 应急处置a) 应支持将各类安全告警信息基于其安全告警等级、分级分类结果结合相应的处置策略形成处置任务，通告相关机构的责任人进行后续操作和处理，并

32、进行记录和归档；b) 应支持对安全告警信息中的攻击源IP添加白名单操作；c) 应支持对安全告警信息进行调查取证，包含告警溯源信息和关联的原始日志；d) 应支持与防护类产品或平台的联动，对形成的处置任务实施相应动作。6.6 威胁情报6.6.1 威胁情报类型应支持在本地集成威胁情报，对威胁情报进行分级分类，根据信息类型进行存储和查询，威胁情报分类及格式参见附录B。6.6.2 威胁情报管理a) 应支持不超过24小时的日常升级频率，紧急情况要提供小时级更新；b) 应支持手动升级威胁情报方式，或者通过代理等安全可控方式在线更新；c) 应支持根据运营需要，导入自身或者其它相关方提供的威胁情报，导入的威胁情

33、报可以通过统一的API接口查询使用；d) 应支持对本地威胁情报增加自定义标记；e) 应支持自定义增加或删除威胁情报；f) 应支持对威胁情报的失效管理，可对失效信息数据的标签进行修改，并持续监控。6.6.3 威胁情报集成应支持提供开放接口，以标准接口的方式来集成第三方威胁情报平台。6.6.4 威胁情报共享a) 应支持以GB/T 36643-2018规定的标准格式来开展威胁情报的传输共享；b) 应支持有上下级关系的平台之间，下级平台通过查询接口方式和上级平台的威胁情报进行比对。6.6.5 威胁情报生产应支持获取内部或外部原始样本或数据，并对其进行归类、分析、加工、处理后生产威胁情报。并能够将自生产

34、信息纳入威胁情报日常更新与管理体系。6.7 平台运行管理6.7.1 用户管理用户管理要求包括但不限于：a) 应支持用户、用户组的增加、删除、修改、查询及权限归属分组管理；b) 应支持统一集中的用户管理，支持用户的创建、编辑、删除、查询等基本功能；c) 应支持具备权限的用户查看平台中目前已创建的角色；d) 应对登录的用户分配权限，能够划分为不同角色；e) 应及时删除或停用多余的、过期的用户，避免共享用户的存在；f) 应授予管理用户所需的最小权限，实现管理用户的权限分离。6.7.2 配置管理配置管理要求包括但不限于：a) 应支持对平台运行状态阈值的配置；b) 应支持对采集对象地址的配置；c) 应支

35、持对平台参数的配置，包括数据采集参数、数据接口参数等内容；d) 应支持对数据存储时间的配置,根据业务需要，满足数据存储时长需求；e) 应支持标准时间自动同步，每天至少同步一次；f) 应支持对用户账号和口令的配置，包括帐号锁定时间、口令有效周期、口令错误次数、口令最小长度、口令复杂度的配置等。6.7.3 运维管理运维管理要求包括但不限于：a) 应支持对平台进行统一监控，监视整体平台的运行状态，保证平台能够安全可靠地运行；b) 应支持平台运维人员实时获取采集设备、服务器等设备的运行现状，以便进行维护。包括但不限于设备名称、设备IP、CPU使用率、内存使用情况、磁盘容量、平台性能监控过程中产生的异常

36、事件告警。6.7.4 安全管理安全管理要求包括但不限于：a） 应向授权用户提供设置、查询和修改各种安全策略的功能；b） 应向授权用户提供管理日志的功能，包括日志的存储、导出和备份等；c） 应具备更新自身平台的能力，包括对软件系统的升级以及各种特征库的升级；d） 若支持通过网络接口进行远程管理，应能够限定进行远程管理的IP地址范围；e） 若支持通过网络接口进行远程管理，应采取措施保证管理端与平台之间数据传输的保密性。6.7.5 身份标识与鉴别身份标识与鉴别要求包括但不限于：a） 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性；b） 应保证身份鉴别信息在存储过程中的完整性和保密性；c） 应保

37、证身份鉴别信息在传输过程中的完整性和保密性；d） 应具有登录失败处理功能，如限制连续的非法登录尝试次数等相关措施；e） 应具有登录连接超时自动退出功能；f） 当采用基于口令的身份鉴别时，应对用户口令具有复杂度要求并定期更换；g） 当平台中存在默认口令时，应在用户首次登录时提示用户对默认口令进行修改；h） 应采用符合国家密码管理局或相关行业主管部门规定的数字证书/密码算法作为登录措施；i） 应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中至少一种鉴别技术应使用密码技术来实现。6.7.6 安全审计安全审计要求包括但不限于：a) 应具备安全审计功能，审计覆盖到每个用户，对重要的用户行为和

38、重要安全事件进行审计，包括但不限于：1) 管理员的登录成功和失败；2) 因鉴别尝试失败次数达到设定值导致的会话连接终止；3) 对安全策略进行配置的操作；4) 对管理用户进行增加、删除和属性修改的操作；b) 审计记录中至少应包括事件发生的日期、时间、用户标识、事件描述和结果。日期应包含年、月、日，时间应包括时、分、秒。事件类型定义应遵照GB/Z 20986-2007的规定，并可根据事件的具体性质扩展相应子类；c) 审计记录应易于理解，无歧义；d) 审计记录应存储于掉电非易失性存储介质中，审计记录留存时间应满足相关的要求时限；e) 应对审计记录进行保护，避免受到删除、修改或覆盖；f) 应对审计进程

39、进行保护，防止未经授权的中断；g) 应支持按条件或条件组合对审计记录进行查询，如按时间、事件类型等条件进行查询。6.7.7 数据安全传输若平台模块间通过网络进行通讯，平台应对模块间相互传输的数据采用加密或其他手段进行保护，保证数据在传送过程中的保密性和完整性。6.7.8 存储数据保护a) 应能够保护存储的数据免遭未经授权的读取、删除或修改。b) 应提供防止存储数据的丢失能力，如：1) 各类数据存储于掉电非易失性存储介质中；2) 当存储容量达到阈值时，发出报警信息；3) 在存储空间耗尽前采取措施，避免数据受到未预期的删除、修改或覆盖等。7 安全监测扩展要求7.1 政务云安全监测7.1.1 数据采

40、集预处理a) 采集范围和对象应支持通过探针或代理方式采集云平台业务区的VPC内部、VPC之间和管理区出口的流量、资产、日志、漏洞数据。b) 采集方式VPC内部采集租户流量时，不应过多占用租户业务资源，不过多占用租户网络带宽，要求如下：1) 应支持在政务云租户业务区的计算节点上部署流探针，镜像流量数据；2) 应支持按照VM、协议等多个维度弹性、按需选择镜像的流量；3) 应支持弹性、按需部署流量探针；4) 应支持将租户区采集的数据通过隧道或者云专线传递到后台分析与展现系统。7.1.2 数据分析平台应支持在政务云VPC场景下的威胁识别，即：a) 应支持VPC内部的边缘检测，在VPC内部运用签名、AI

41、技术支持已知威胁、恶意文件、未知威胁检测；b) 应支持VPC之间的加密流量识别，运用AI技术识别VPC间互访的恶意加密流量威胁。7.1.3 展示与应用a) 态势展示应支持VPC场景的态势展示，支持VPC之间和VPC内部的VM风险、攻击链、渗透路径、态势展示，支持从VPC之间、VPC内部、VM的三级钻取。b) 应急处置应支持智能调查取证，支持运用SOAR技术整合不同的安全产品和云服务，实现威胁的取证、溯源自动化闭环。在事件分析过程中，通过图形化的编排界面和灵活的编排引擎编写剧本，形成丰富的案例集；在平台发现威胁时，自动匹配相似的案例，与虚拟防火墙、WAF、边界防火墙等设备、云服务联动，执行指定的

42、取证动作。7.2 政务数据安全监测7.2.1 数据采集预处理7.2.1.1 数据采集a) 应支持部署探针采集数据流转相关的流量；b) 应支持采用6.1.1b)2)的方式采集数据库审计、数据安全监控等设备的日志以及数据库操作日志。7.2.1.2 数据预处理应支持从非加密流量中筛选政务数据相关的流量信息。7.2.2 数据分析a) 应支持对数据访问流量波动异常监测；b) 应支持对数据跨区域访问异常监测；c) 应支持影响数据库运行安全的操作行为进行监测，包括但不限于root账号频繁使用、频繁删除操作等；d) 应支持影响数据安全的操作行为进行监测，频繁查询操作等。7.3 DNS安全监测7.3.1 数据采

43、集预处理应支持DNS流量采集、DNS流量解析，支持生成并上报以下解析内容：a) DNS返回的状态码 DNSReplyCodeb) 请求的域名 DNSQueryNamec) DNS请求RR类型 DNSRequestTyped) DNS请求RR类别 DNSRequestClasse) DNS响应数目 DNSAnswerNumberf) DNS授权数量 DNSAuthorityNumberg) DNS附件数量 DNSAttachedNumberh) DNS请求与第一次响应之间的时间间隔 DNSDelayi) 资源记录包含的域名 DNSReplyNamej) 资源记录可以缓存的时间 DNSReplyT

44、TLk) 资源记录中的IPv4地址 l) 资源记录中的IPv6地址m) DNS应答RR类型n) DNS请求包内容（UDP或者TCP的payload，最长取256字节）o) DNS请求长度（不带UDP/TCP头）p) DNS请求无法解析的内容的长度（DNS请求长度DNS请求能解析部分的长度）q) DNS应答长度（不带UDP/TCP头）r) DNS应答无法解析的内容的长度（DNS应答长度DNS应答能解析部分的长度）7.3.2 数据分析应支持进行DNS威胁检测，包括DNS协议漏洞检测、恶意域名解析检测、DGA域名检测、DNS Tunnel隐蔽通道检测等。7.4 政务应用安全监测7.4.1 邮件监测7

45、.4.1.1 数据采集预处理应支持旁路部署邮件监测类探针，采集SMTP等流量，进行邮件安全分析。7.4.1.2 数据分析应支持对邮件安全进行专项分析，即：a) 应支持垃圾邮件识别，支持通过邮件头标识、非法发件域、垃圾主题、发件人黑名单、Received字段缺失、IP黑名单等方式识别垃圾邮件；b) 应支持对邮件主题、正文内容通过语义识别进行检测；c) 应支持账号异常行为分析，支持对境内异地登录、境外异地登录、高频登录尝试、异常时间登录等行为发现；d) 应支持对内部邮箱账号弱口令的识别，包含但不限于内置规则、密码字典、机器学习等检测方式，并具备弱口令账号导出功能；e) 应支持业务诈骗邮件分析，支持

46、结合专家规则和机器学习等分析手段，通过寻找攻击标识和邮件意图来识别欺诈邮件；f) 应支持嵌入式URL分析，支持多级嵌入式URL分析应支持通过web信誉检查、内容分析和沙箱模拟，识别嵌入在社交工程邮件以及文档附件中的恶意URL，支持对目标内容进行扫描和沙箱分析，能够分析发现隐蔽下载中使用的重定向、高级恶意软件和漏洞；g) 应支持邮件附件分析，支持使用多个检测引擎和定制化沙箱检测附件，支持的附件类型包括Windows可执行文件、PDF、Zip、Web内容和压缩文件等其中一种或多种。7.4.1.3 展示与应用a) 预警通报1) 应支持恶意邮件、垃圾邮件实时告警，告警内容应包括但不限于告警时间、邮件风险级别、邮件接收时间、邮件发送人、邮件标题。b) 应急处置1) 应支持对识别到的恶意邮件、垃圾邮件进行拦截、隔离、删除或带标记转发处理；2) 经确认为正常邮件的拦截/隔离邮件，应支持释放相关邮件；3) 应支持根据邮件标题、正文中的内容、附件文件类型、附件大小、附件数量等条件对邮件进行过滤；4) 应支持对发件人进行白名单/黑名单设置。7.4.2 网站监测7.4.