DB14-T 2840-2023 電子政務(wù)外網(wǎng)安全監(jiān)測平臺技術(shù)規(guī)范

ICS35.240.01

CCSL67

14

山西省地方標(biāo)準(zhǔn)

DB14/T2840—2023

電子政務(wù)外網(wǎng)安全監(jiān)測平臺技術(shù)規(guī)范

2023-10-10發(fā)布2024-01-10實(shí)施

山西省市場監(jiān)督管理局??發(fā)布

DB14/T2840—2023

電子政務(wù)外網(wǎng)安全監(jiān)測平臺技術(shù)規(guī)范

1范圍

本文件規(guī)定了電子政務(wù)外網(wǎng)安全監(jiān)測平臺監(jiān)測的范圍和對象、平臺架構(gòu)、平臺功能等。

本文件適用于電子政務(wù)外網(wǎng)安全監(jiān)測平臺的設(shè)計(jì)、建設(shè)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T32924信息安全技術(shù)網(wǎng)絡(luò)安全預(yù)警指南

3術(shù)語和定義

GB/T25069、GB/T32924界定的以及下列術(shù)語和定義適用于本文件。

電子政務(wù)外網(wǎng)E-governmentextranet

運(yùn)行政務(wù)部門非涉密業(yè)務(wù)應(yīng)用的專用網(wǎng)絡(luò)。

城域網(wǎng)metropolitanareanetwork

同城各政務(wù)部門間實(shí)現(xiàn)互聯(lián)互通的電子政務(wù)外網(wǎng)。

廣域網(wǎng)wideareanetwork

連接不同地區(qū)局域網(wǎng)或城域網(wǎng)，實(shí)現(xiàn)遠(yuǎn)程通信的電子政務(wù)外網(wǎng)。

安全監(jiān)測平臺securitymonitoringplatform

通過對網(wǎng)絡(luò)流量、安全日志、威脅情報(bào)等數(shù)據(jù)進(jìn)行實(shí)時采集、監(jiān)測和分析，動態(tài)識別網(wǎng)絡(luò)風(fēng)險，發(fā)

現(xiàn)攻擊威脅、資產(chǎn)脆弱性以及安全事件，并進(jìn)行預(yù)警通報(bào)和可視化展示的系統(tǒng)。

告警alert

對網(wǎng)絡(luò)安全要素進(jìn)行分析，發(fā)現(xiàn)攻擊或入侵時，平臺自動向相關(guān)人員發(fā)出的通知。

預(yù)警warning

針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時發(fā)出的安全警示。

探針probe

從被觀察的信息系統(tǒng)中，通過感知、監(jiān)測等收集事態(tài)數(shù)據(jù)的一種部件或代理。

3

DB14/T2840—2023

數(shù)據(jù)總線databus

實(shí)現(xiàn)平臺中數(shù)據(jù)采集探針、存儲、分析、展示與應(yīng)用等各模塊之間，以及與第三方平臺之間數(shù)據(jù)共

享和交換的功能模塊。

威脅情報(bào)threatintelligence

一種基于證據(jù)的知識，用于描述網(wǎng)絡(luò)威脅信息、研判安全態(tài)勢，支持安全事件響應(yīng)和處置決策。

電子政務(wù)外網(wǎng)安全監(jiān)測平臺（以下簡稱平臺）E-governmentextranetsecuritymonitoring

platform

部署在政務(wù)部門非涉密業(yè)務(wù)應(yīng)用專用網(wǎng)絡(luò)中的系統(tǒng)，對網(wǎng)絡(luò)流量、安全日志、威脅情報(bào)等數(shù)據(jù)進(jìn)行

實(shí)時采集、監(jiān)測和分析，動態(tài)識別網(wǎng)絡(luò)風(fēng)險，發(fā)現(xiàn)攻擊威脅、資產(chǎn)脆弱性以及安全事件，并進(jìn)行預(yù)警通

報(bào)和可視化展示。

4縮略語

下列縮略語適用于本文件。

DNS：域名系統(tǒng)(DomainNameSystem)

SOC：安全運(yùn)營中心（SecurityOperationsCenter）

CPU：中央處理器（CentralProcessingUnit）

IP：網(wǎng)際互聯(lián)協(xié)議（InternetProtocol）

5平臺監(jiān)測范圍和對象

平臺監(jiān)測范圍

平臺的監(jiān)測范圍應(yīng)涵蓋下述網(wǎng)絡(luò)區(qū)域，并以各市、縣落地路由為責(zé)任邊界。一般包含如下網(wǎng)絡(luò)區(qū)域

（見附錄A）：

——廣域網(wǎng)：各級政務(wù)部門通過接入設(shè)備接入廣域骨干網(wǎng)鏈路，實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)；

——城域網(wǎng)：同級政務(wù)部門通過接入設(shè)備接入城域網(wǎng)鏈路，實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)；

——政務(wù)云平臺區(qū)：包含互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心和公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)中心，區(qū)域內(nèi)兩個數(shù)據(jù)中心通過安

全隔離與信息交換系統(tǒng)實(shí)現(xiàn)邏輯隔離；

——互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心：是政務(wù)部門安全接入、開展社會化服務(wù)的網(wǎng)絡(luò)區(qū)域，滿足政務(wù)部門利用

互聯(lián)網(wǎng)開展公共服務(wù)、社會管理、經(jīng)濟(jì)調(diào)節(jié)和市場監(jiān)管的電子政務(wù)業(yè)務(wù)需要；

——公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)中心：是各部門、各地區(qū)互聯(lián)互通的網(wǎng)絡(luò)區(qū)域，為政務(wù)部門公共服務(wù)及開展

跨部門、跨地區(qū)的業(yè)務(wù)應(yīng)用、協(xié)同和數(shù)據(jù)共享提供支撐平臺；

——互聯(lián)網(wǎng)出口區(qū)：同級政務(wù)部門實(shí)現(xiàn)統(tǒng)一互聯(lián)網(wǎng)資源訪問的邏輯功能區(qū)域；

——安管網(wǎng)管區(qū)：承擔(dān)本級電子政務(wù)外網(wǎng)安全審計(jì)、網(wǎng)絡(luò)監(jiān)控、運(yùn)維管理的邏輯功能區(qū)域；

——企業(yè)單位接入?yún)^(qū)：為需要訪問電子政務(wù)外網(wǎng)業(yè)務(wù)的企業(yè)，提供指定訪問權(quán)限的接入功能區(qū)域。

平臺監(jiān)測對象

監(jiān)測的對象包括基礎(chǔ)網(wǎng)絡(luò)，以及部署在上述網(wǎng)絡(luò)區(qū)域的政務(wù)云平臺、政務(wù)應(yīng)用和政務(wù)數(shù)據(jù)等信息技

術(shù)設(shè)施和資源。當(dāng)電子政務(wù)外網(wǎng)的邊界或結(jié)構(gòu)發(fā)生變化時，應(yīng)及時調(diào)整監(jiān)測范圍和平臺設(shè)備的部署。

4

DB14/T2840—2023

6平臺架構(gòu)

平臺技術(shù)架構(gòu)

平臺技術(shù)架構(gòu)包括數(shù)據(jù)采集與預(yù)處理、數(shù)據(jù)存儲、數(shù)據(jù)總線、數(shù)據(jù)分析、展示與應(yīng)用、威脅情報(bào)、

平臺安全管理等基本功能模塊，如圖1所示。

——數(shù)據(jù)采集與預(yù)處理：根據(jù)平臺的監(jiān)測范圍和監(jiān)測對象確定數(shù)據(jù)采集范圍、采集對象和采集方

式，并對采集的數(shù)據(jù)進(jìn)行解析預(yù)處理，以供進(jìn)一步深度關(guān)聯(lián)分析；

——數(shù)據(jù)存儲：對平臺中不同類型和結(jié)構(gòu)的安全數(shù)據(jù)進(jìn)行存儲；

——數(shù)據(jù)總線：實(shí)現(xiàn)平臺中數(shù)據(jù)采集、存儲、分析、展示與應(yīng)用等各模塊之間，以及與第三方平

臺之間數(shù)據(jù)共享和交換；

——數(shù)據(jù)分析：通過特征碼匹配、關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等數(shù)據(jù)分析技術(shù)識別網(wǎng)絡(luò)攻擊行為，分析

風(fēng)險態(tài)勢；

——展示與應(yīng)用：根據(jù)決策者、管理人員和運(yùn)維人員不同的需求和關(guān)注重點(diǎn)，進(jìn)行多維度的態(tài)勢

展示，并且支持預(yù)警通報(bào)和應(yīng)急處置；

——威脅情報(bào)：為數(shù)據(jù)分析和事件處置提供決策支持信息，實(shí)現(xiàn)威脅情報(bào)數(shù)據(jù)組織、生成、使用

和共享交換；

——平臺安全管理：包括平臺的用戶管理、配置管理、運(yùn)行監(jiān)控、安全審計(jì)等，為平臺其他功能

模塊提供集中管控機(jī)制。

圖1平臺技術(shù)架構(gòu)圖

平臺部署架構(gòu)

6.2.1平臺部署要求

平臺的部署采用省、市、縣三級架構(gòu)，如圖2所示，省級和市級單獨(dú)建設(shè)平臺，具備完整的數(shù)據(jù)采

集與預(yù)處理、數(shù)據(jù)存儲、數(shù)據(jù)總線、數(shù)據(jù)分析、展示與應(yīng)用、威脅情報(bào)、平臺安全管理等功能，省級和

市級平臺按照本級安全監(jiān)測需求建設(shè)專項(xiàng)監(jiān)測?？h級按照實(shí)際需求可不單獨(dú)建設(shè)平臺，應(yīng)按需部署監(jiān)測

探針（見附錄B）或者監(jiān)測系統(tǒng)。需要進(jìn)行級聯(lián)對接的上級平臺和下級平臺通過數(shù)據(jù)總線結(jié)構(gòu)（見附錄

C）實(shí)現(xiàn)總體態(tài)勢、告警日志、認(rèn)證、報(bào)表等數(shù)據(jù)的級聯(lián)對接。

5

DB14/T2840—2023

與網(wǎng)絡(luò)安全等級保護(hù)工作相銜接，平臺應(yīng)滿足等級保護(hù)三級要求、國家密碼安全管理要求，同時適

用本文安全監(jiān)測要求。

圖2平臺部署架構(gòu)圖

省級平臺部署

省級平臺應(yīng)部署在帶外管理網(wǎng)中，主要對市級廣域網(wǎng)接入、城域網(wǎng)接入、政務(wù)云平臺區(qū)、省屬企業(yè)

省直單位區(qū)等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集處理。

市級平臺部署

市級平臺應(yīng)部署在帶外管理網(wǎng)中，主要對縣級廣域網(wǎng)接入、城域網(wǎng)接入、政務(wù)云平臺區(qū)、市屬企業(yè)

市直單位等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集處理。市級平臺應(yīng)按照要求和省級平臺進(jìn)行數(shù)據(jù)

的級聯(lián)對接。

縣級平臺部署

縣級電子政務(wù)外網(wǎng)可不單獨(dú)建設(shè)平臺，應(yīng)按需部署相應(yīng)的監(jiān)測系統(tǒng)或者在關(guān)鍵網(wǎng)絡(luò)邊界部署探針。

主要針對縣廣域網(wǎng)接入、縣城域網(wǎng)接入等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集預(yù)處理。縣級網(wǎng)絡(luò)

安全監(jiān)測系統(tǒng)或監(jiān)測探針應(yīng)按要求和市級平臺進(jìn)行所需數(shù)據(jù)的級聯(lián)對接。

7平臺功能

數(shù)據(jù)采集與預(yù)處理

7.1.1數(shù)據(jù)采集

7.1.1.1采集范圍

采集范圍應(yīng)覆蓋監(jiān)測范圍內(nèi)的通信網(wǎng)絡(luò)、區(qū)域邊界以及計(jì)算環(huán)境。采集點(diǎn)部署在核心交換節(jié)點(diǎn)、核

心匯聚節(jié)點(diǎn)和移動接入點(diǎn)等關(guān)鍵節(jié)點(diǎn)。如果監(jiān)測范圍包括廣域網(wǎng)或城域網(wǎng)，數(shù)據(jù)采集點(diǎn)應(yīng)部署在廣域網(wǎng)

和城域網(wǎng)的核心交換節(jié)點(diǎn)、核心匯聚節(jié)點(diǎn)等關(guān)鍵節(jié)點(diǎn)。

7.1.1.2采集對象

6

DB14/T2840—2023

采集對象應(yīng)包括網(wǎng)絡(luò)流量、資產(chǎn)信息、威脅情報(bào)、脆弱性信息、知識案例數(shù)據(jù)、安全設(shè)備告警、安

全日志等。

7.1.1.3采集方式

平臺應(yīng)支持通過不同的方式采集流量、日志、資產(chǎn)、威脅情報(bào)等信息，包括但不限于：

——部署流量探針，通過流量鏡像的方式獲取被監(jiān)測的流量；

——主動或被動采集日志；

——主動掃描或網(wǎng)絡(luò)流量檢測方式發(fā)現(xiàn)資產(chǎn)，并支持手動或第三方導(dǎo)入、補(bǔ)全資產(chǎn)信息；

——主動掃描、手動或第三方導(dǎo)入，獲取資產(chǎn)的脆弱性信息；

——通過級聯(lián)接口等方式采集第三方平臺數(shù)據(jù)；

——接口更新或第三方導(dǎo)入威脅情報(bào)數(shù)據(jù)；

——通過采集流量、日志、資產(chǎn)、威脅情報(bào)等信息采集方法或?qū)诱?wù)云安全管理平臺采集政務(wù)

云的日志、資產(chǎn)等數(shù)據(jù)；

——主動或被動采集業(yè)務(wù)系統(tǒng)安全日志數(shù)據(jù)；

——在關(guān)鍵節(jié)點(diǎn)部署流量探針，進(jìn)行政務(wù)數(shù)據(jù)流量采集。

7.1.2數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理應(yīng)遵循不同的規(guī)則對采集的數(shù)據(jù)進(jìn)行預(yù)處理，包括但不限于：

——數(shù)據(jù)解析規(guī)則、過濾規(guī)則和補(bǔ)全規(guī)則等，用于過濾、富化日志信息；

——對網(wǎng)站的采集數(shù)據(jù)進(jìn)行網(wǎng)站安全數(shù)據(jù)預(yù)處理；

——自定義數(shù)據(jù)預(yù)處理規(guī)則。

數(shù)據(jù)存儲

數(shù)據(jù)儲存應(yīng)支持對不同類型和不同結(jié)構(gòu)的數(shù)據(jù)進(jìn)行存儲，包括但不限于：

——對平臺采集以及處理產(chǎn)生的數(shù)據(jù)進(jìn)行分類存儲，包括但不限于流量元數(shù)據(jù)、資產(chǎn)信息、日志

數(shù)據(jù)、安全告警、威脅情報(bào)、安全事件、案例知識庫等數(shù)據(jù)；

——對結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行存儲；

——自定義數(shù)據(jù)存儲時間；

——對身份鑒別、數(shù)據(jù)分析結(jié)果等重要數(shù)據(jù)進(jìn)行加密存儲；

——配置數(shù)據(jù)保護(hù)策略，防止數(shù)據(jù)遭受未經(jīng)授權(quán)的讀取、刪除或修改；

——數(shù)據(jù)遷移、數(shù)據(jù)的備份及恢復(fù)；

——數(shù)據(jù)存儲節(jié)點(diǎn)擴(kuò)展和負(fù)載均衡；

——當(dāng)數(shù)據(jù)存儲達(dá)到閾值時，發(fā)出報(bào)警信息。

數(shù)據(jù)總線

7.3.1內(nèi)部數(shù)據(jù)交換接口

應(yīng)支持平臺內(nèi)部基本功能模塊之間，通過接口進(jìn)行數(shù)據(jù)調(diào)用、存儲、分析、展示與應(yīng)用。

7.3.2數(shù)據(jù)采集接口

應(yīng)支持從不同的數(shù)據(jù)類型的數(shù)據(jù)采集探針采集流量元數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)信息、威脅情報(bào)等數(shù)據(jù)。

7.3.3級聯(lián)接口

7

DB14/T2840—2023

具有上下級聯(lián)關(guān)系的平臺之間通過級聯(lián)接口進(jìn)行數(shù)據(jù)共享和交換，包括但不限于：

——數(shù)據(jù)交互內(nèi)容包括但不限于安全告警、預(yù)警信息、安全事件、威脅情報(bào)、工單報(bào)表、統(tǒng)計(jì)數(shù)

據(jù)、知識案例等；

——接口類型包括但不限于級聯(lián)注冊接口、數(shù)據(jù)上傳接口、數(shù)據(jù)下發(fā)接口和數(shù)據(jù)查詢接口等；

——應(yīng)支持在數(shù)據(jù)傳輸過程中采用密碼技術(shù)保證數(shù)據(jù)的完整性和保密性。

數(shù)據(jù)分析

7.4.1攻擊行為分析

攻擊行為分析應(yīng)支持對不同的特征和場景攻擊行為進(jìn)行分析，包括但不限于：

——特征碼匹配分析，能夠識別惡意流量特征、惡意文件特征、惡意代碼特征等；

——場景化分析，包括但不限于資產(chǎn)違規(guī)外連、賬號異地登錄、弱口令、數(shù)據(jù)庫敏感操作等典型

場景；

——通過機(jī)器學(xué)習(xí)算法進(jìn)行數(shù)據(jù)分析；

——對多源異構(gòu)的安全大數(shù)據(jù)進(jìn)行聚合或關(guān)聯(lián)分析，發(fā)現(xiàn)攻擊行為；

——對政務(wù)云邊界區(qū)域和管理區(qū)的南北向流量的攻擊行為分析。

注：本文所指南北向?yàn)榉?wù)器與外部用戶、業(yè)務(wù)應(yīng)用等之間交互的流量，下同。

7.4.2風(fēng)險態(tài)勢分析

風(fēng)險態(tài)勢分析應(yīng)支持對多種數(shù)據(jù)類型的態(tài)勢分析，包括但不限于：

——基于資產(chǎn)、威脅和脆弱性監(jiān)測數(shù)據(jù)，對網(wǎng)絡(luò)的整體安全態(tài)勢進(jìn)行分析；

——基于安全事件的威脅態(tài)勢分析，安全事件包括但不限于有害程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)

攻擊事件、違規(guī)操作事件等；

——基于資產(chǎn)的類型、分布、重要程度、資產(chǎn)脆弱性等信息，綜合分析資產(chǎn)安全態(tài)勢；

——對政務(wù)云邊界區(qū)域和管理區(qū)的南北向流量的風(fēng)險態(tài)勢分析。

7.4.3安全專項(xiàng)分析

7.4.3.1網(wǎng)站監(jiān)測分析

網(wǎng)站監(jiān)測分析應(yīng)支持對網(wǎng)站的可用性、安全性進(jìn)行分析，包括但不限于：

——對網(wǎng)站可用性進(jìn)行監(jiān)測分析；

——對網(wǎng)站DNS解析服務(wù)進(jìn)行監(jiān)測，及時發(fā)現(xiàn)域名劫持，域名解析失敗等問題；

——對網(wǎng)站攻擊行為進(jìn)行分析，包括但不限于網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等事件；

——定期對網(wǎng)站系統(tǒng)漏洞進(jìn)行掃描分析。

7.4.3.2業(yè)務(wù)系統(tǒng)分析

業(yè)務(wù)系統(tǒng)分析應(yīng)支持不同的行為分析和資產(chǎn)威脅分析，包括但不限于：

——業(yè)務(wù)行為分析，包括敏感信息頁面調(diào)用異常、查詢數(shù)據(jù)異常、賬號使用異常等行為；

——操作行為分析，包括同一業(yè)務(wù)高頻操作、異常時間操作、數(shù)據(jù)庫異常操作等行為；

——訪問行為分析，包括異常IP地址登錄、非正常時間段登錄、短時多IP登錄、異常端口訪問

等行為；

——資產(chǎn)變動分析，對業(yè)務(wù)系統(tǒng)資產(chǎn)的端口或服務(wù)變化情況進(jìn)行監(jiān)測分析；

——7*24小時的技術(shù)分析與人工研判，健全電子政務(wù)外網(wǎng)主動防控、云地協(xié)同的聯(lián)防聯(lián)控保障能

力。

8

DB14/T2840—2023

展示與應(yīng)用

7.5.1監(jiān)測視圖

監(jiān)測視圖應(yīng)支持不同類型、緯度的安全態(tài)勢展示及告警，包括但不限于：

——對網(wǎng)絡(luò)整體安全態(tài)勢的展示，展示方式包括安全告警圖、資產(chǎn)態(tài)勢圖、拓?fù)鋱D、路徑等至少

兩種表現(xiàn)形式；

——基于威脅類型、攻擊次數(shù)、威脅來源、威脅目標(biāo)、攻擊路徑等信息的威脅視圖展示；

——基于資產(chǎn)類型、分布、資產(chǎn)脆弱性、相關(guān)攻擊事件等信息的資產(chǎn)安全視圖展示；

——基于事件類型、源IP、目的IP、受攻擊資產(chǎn)、威脅等級、處置情況等信息的安全事件視圖展

示；

——基于統(tǒng)計(jì)信息、實(shí)時信息、歷史信息和變化趨勢的展示方式，以及分角色展示方式；

——基于政務(wù)云平臺維度、租戶維度的態(tài)勢展示；

——政務(wù)云邊界區(qū)域、政務(wù)云南北向和管理區(qū)的威脅態(tài)勢和資產(chǎn)安全態(tài)勢展示；

——與政務(wù)云邊界安全設(shè)備或云安全服務(wù)組件進(jìn)行聯(lián)動，自動完成應(yīng)急處置任務(wù)；

——對安全態(tài)勢的展示，包括威脅統(tǒng)計(jì)、資產(chǎn)統(tǒng)計(jì)和脆弱性統(tǒng)計(jì)等；

——對安全事件的告警，內(nèi)容包括但不限于告警類型、告警級別、受影響數(shù)據(jù)資產(chǎn)信息等；

——根據(jù)分析結(jié)果進(jìn)行實(shí)時告警，告警內(nèi)容包括但不限于告警類型、告警級別、受威脅的業(yè)務(wù)資

產(chǎn)信息、網(wǎng)站標(biāo)識、網(wǎng)站地址等。

7.5.2攻擊面展示

攻擊面展示應(yīng)支持在不同時期對資產(chǎn)威脅的可視化展示，包括但不限于：

——在重要或特殊時期通過安全探測等方式對重要資產(chǎn)的威脅進(jìn)行持續(xù)發(fā)現(xiàn)、排序和監(jiān)控；

——對重要資產(chǎn)的攻擊面信息進(jìn)行詳細(xì)展示，包括但不限于：攻擊故事線、影響資產(chǎn)、攻擊源、

歷史攻擊、攻擊面分析、網(wǎng)絡(luò)連接行為、文件行為、域名訪問行為、模塊加載行為、進(jìn)程操

作行為等；

——以圖形化的方式展現(xiàn)電子政務(wù)外網(wǎng)各類重要資產(chǎn)的分布狀況、相互關(guān)系、潛在攻擊路徑等。

7.5.3預(yù)警通報(bào)

預(yù)警通報(bào)應(yīng)支持不同安全威脅的預(yù)警與通報(bào)，包括但不限于：

——基于數(shù)據(jù)分析結(jié)構(gòu)和告警規(guī)則，實(shí)時產(chǎn)生分級別安全告警；

——按照設(shè)定的預(yù)警級別和預(yù)警流程發(fā)布預(yù)警信息，預(yù)警內(nèi)容包括但不限于：預(yù)警類型、預(yù)警級

別、威脅方式、涉及對象、影響程度、防范對策等；

——按照設(shè)定的安全事件通報(bào)流程進(jìn)行事件通報(bào)，通報(bào)內(nèi)容包括但不限于事件類型、攻擊源IP、

目標(biāo)IP、事件級別、事件分析、影響程度和處置建議等；

——平臺、郵件、短信、即時通訊、文件等兩種及以上預(yù)警和通報(bào)方式。

7.5.4應(yīng)急處置

應(yīng)急處置應(yīng)支持對安全告警或安全事件的溯源、聯(lián)動處置，包括但不限于：

——將安全告警或安全事件形成處置任務(wù)，并進(jìn)行記錄、跟蹤和歸檔；

——對安全告警或安全事件進(jìn)行調(diào)查取證，包含告警溯源信息和關(guān)聯(lián)的原始日志；

——與第三方設(shè)備或平臺聯(lián)動，根據(jù)監(jiān)測結(jié)果，協(xié)助實(shí)施動態(tài)訪問控制等安全處置行動；

——與政務(wù)云邊界安全設(shè)備或云安全服務(wù)組件進(jìn)行聯(lián)動，自動完成應(yīng)急處置任務(wù)。

9

DB14/T2840—2023

威脅情報(bào)

7.6.1威脅情報(bào)組織

威脅情報(bào)組織應(yīng)支持情報(bào)的歸類與更新，包括但不限于：

——威脅情報(bào)分類、存儲，包括但不限于域名類、IP類、文件類等；

——威脅情報(bào)數(shù)據(jù)手動更新或者在線更新，更新頻率不超過24小時。

7.6.2威脅情報(bào)使用

威脅情報(bào)使用應(yīng)支持情報(bào)的查詢與導(dǎo)入/導(dǎo)出，包括但不限于：

——提供威脅情報(bào)數(shù)據(jù)查詢和比對接口，供數(shù)據(jù)實(shí)時分析和批量查詢；

——通過接口方式或文件導(dǎo)入/導(dǎo)出方式，實(shí)現(xiàn)與第三方平臺的威脅情報(bào)共享交換和使用。

7.6.3威脅情報(bào)生成

應(yīng)支持情報(bào)的生成、自定義及管理，包括但不限于：

——獲取原始樣本或數(shù)據(jù)，并對其進(jìn)行歸類、分析、加工、處理后生成威脅情報(bào)；

——自定義威脅情報(bào)標(biāo)簽；

——手動增加或刪除威脅情報(bào)。

平臺安全管理

7.7.1用戶管理

用戶管理應(yīng)支持用戶賬號及角色的管理，包括但不限于：

——用戶、用戶組的增加、刪除、修改、查詢及分組管理；

——劃分不同的角色，并為不同角色分配權(quán)限。

7.7.2資產(chǎn)管理

資產(chǎn)管理應(yīng)支持資產(chǎn)指紋及詳細(xì)信息的管理，包括但不限于：

——記錄資產(chǎn)的屬性信息包括但不限于資產(chǎn)名稱、資產(chǎn)類型、資產(chǎn)IP、所屬業(yè)務(wù)系統(tǒng)、部署位置、

資產(chǎn)負(fù)責(zé)人等信息；

——按照類型、部署位置、所屬業(yè)務(wù)系統(tǒng)等屬性對資產(chǎn)進(jìn)行分組管理；

——資產(chǎn)信息的增加、刪除、查詢、標(biāo)記；

——資產(chǎn)信息的批量導(dǎo)入、導(dǎo)出。

7.7.3配置管理

配置管理應(yīng)支持平臺基線配置的管理，包括但不限于：

——對用戶賬號和口令的配置管理，包括初次登錄口令修改、賬號鎖定時間、口令有效期、登錄

嘗試次數(shù)、口令長度和復(fù)雜度限制等；

——平臺各基本功能模塊與唯一確定時鐘進(jìn)行自動同步，每天至少同步一次；

——對平臺安全策略、特征庫、補(bǔ)丁等進(jìn)行升級。

7.7.4運(yùn)行監(jiān)控

應(yīng)支持實(shí)時監(jiān)控平臺設(shè)備運(yùn)行狀態(tài)，包括但不限于CPU使用率、內(nèi)存使用情況、磁盤使用情況、網(wǎng)

絡(luò)流量情況、設(shè)備產(chǎn)生的異常報(bào)警等。

10

DB14/T2840—2023

7.7.5身份鑒別

身份鑒別應(yīng)支持多種身份鑒別方式，包括但不限于：

——對平臺登錄用戶進(jìn)行身份鑒別，身份鑒別信息應(yīng)具有復(fù)雜度和定期更換要求；

——應(yīng)采用密碼技術(shù)保證身份鑒別信息在傳輸過程中的完整性和保密性；

——應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中至少一種鑒別技術(shù)應(yīng)使

用密碼技術(shù)來實(shí)現(xiàn)。

7.7.6訪問控制

應(yīng)支持多種權(quán)限的訪問控制，包括但不限于：

——向授權(quán)用戶提供配置、查詢和修改各種安全策略的功能；

——向授權(quán)用戶提供管理日志的功能，包括日志的存儲、導(dǎo)出和備份等；

——在用戶遠(yuǎn)程管理方式下，限定遠(yuǎn)程管理端IP地址范圍，并采取措施保證管理端與平臺之間數(shù)

據(jù)傳輸?shù)谋Ｃ苄浴?/p>

7.7.7安全審計(jì)

應(yīng)支持對平臺日常操作的安全審計(jì)，包括但不限于：

——對每個用戶的操作行為進(jìn)行安全審計(jì)，包括但不限于：

管理員的登錄成功和失??；

因身份鑒別嘗試失敗次數(shù)達(dá)到設(shè)定值導(dǎo)致的會話連接終止；

對安全策略進(jìn)行配置的操作；

對管理用戶進(jìn)行增加、刪除和屬性修改的操作。

——審計(jì)記錄應(yīng)至少包括事件發(fā)生日期、時間、用戶標(biāo)識、事件類型、操作結(jié)果等信息。日期應(yīng)

精確到日，時間應(yīng)精確到秒；

——應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到刪除、修改或覆蓋。

A

11

DB14/T2840—2023

附錄A

（資料性）

山西省電子政務(wù)外網(wǎng)邏輯架構(gòu)

A.1山西省電子政務(wù)外網(wǎng)邏輯架構(gòu)主要包括省廣域網(wǎng)、市廣域網(wǎng)、省城域網(wǎng)、市城域網(wǎng)、政務(wù)云平臺

區(qū)、互聯(lián)網(wǎng)出口區(qū)、安管網(wǎng)管區(qū)、企業(yè)單位接入?yún)^(qū)等邏輯功能區(qū)域。政務(wù)外網(wǎng)邏輯架構(gòu)如圖A.1所示。

圖A.1山西省電子政務(wù)外網(wǎng)邏輯架構(gòu)圖

12

DB14/T2840—2023

B

B

附錄B

（資料性）

探針類型及部署方式

平臺一般由前端數(shù)據(jù)采集探針、后臺分析與展現(xiàn)系統(tǒng)以及可實(shí)現(xiàn)相關(guān)技術(shù)要求的軟硬件系統(tǒng)組成。

其中，探針的類型及其部署方式為：

——流量探針：旁路部署在核心交換或者重要業(yè)務(wù)區(qū)域匯聚交換，通過流量鏡像進(jìn)行數(shù)據(jù)采集；

——日志探針：對安全設(shè)備、主機(jī)、業(yè)務(wù)系統(tǒng)等日志信息進(jìn)行采集；

安全設(shè)備日志：與平臺之間網(wǎng)絡(luò)路由可達(dá)，采集安全設(shè)備的設(shè)備日志數(shù)據(jù)、告警數(shù)據(jù)等信

息，可對接SOC等統(tǒng)一日志存儲平臺；

主機(jī)日志：部署在主機(jī)系統(tǒng)內(nèi)，采集主