DB32T 3514.5-2019電子政務(wù)外網(wǎng)建設(shè)規(guī)范 第5部分安全綜合管理平臺技術(shù)要求與接口規(guī)范

ICS35.240.01L67江蘇省地DB32方標(biāo)準(zhǔn)DBT514.5—2019structionSpecificationsofEGovernmentNetworkPartTechnicalrequirementsandinterfacespecificationsofsafetyintegratedmanagementplatform江蘇省市場監(jiān)督管理局發(fā)布IDB32/T3514.5—2019前言 DB32/T3514.5—2019 8.2.1省級安全綜合管理平臺性能要求 8理平臺性能 8 IDB32/T3514.5—2019 4附錄A(規(guī)范性附錄)電子政務(wù)外網(wǎng)安全綜合管理平臺接口規(guī)范 15DB32/T3514.5—2019前言DB32/T3514-2018《電子政務(wù)外網(wǎng)建設(shè)規(guī)范》分為八個部分：——第1部分：網(wǎng)絡(luò)平臺；——第2部分：IPv4地址、路由規(guī)劃；——第4部分：安全實(shí)施指南；——第5部分：安全綜合管理平臺技術(shù)要求與接口規(guī)范；——第6部分：安全接入平臺技術(shù)要求；機(jī)構(gòu)建設(shè)；——第8部分：運(yùn)維服務(wù)。本部分為DB32/T3514-2018《電子政務(wù)外網(wǎng)建設(shè)規(guī)范》第5部分。本部分按照GB/T1.1-2009給出的規(guī)則起草。本部分由江蘇省人民政府辦公廳電子政務(wù)辦公室提出并歸口。本部分起草單位：江蘇省人民政府辦公廳電子政務(wù)辦公室。本部分起草人：吳中東、李強(qiáng)、錢俊、朱德宇、王泉、葉紀(jì)華、杭欣竹、熊章遠(yuǎn)。1DB32/T3514.5—2019電子政務(wù)外網(wǎng)建設(shè)規(guī)范第5部分:安全綜合管理平臺技術(shù)要求與接口規(guī)范1范圍本標(biāo)準(zhǔn)規(guī)定了電子政務(wù)外網(wǎng)安全綜合管理平臺技術(shù)要求與接口規(guī)范的術(shù)語和定義、縮略語、建設(shè)原則與目標(biāo)、系統(tǒng)總體架構(gòu)、系統(tǒng)功能要求、系統(tǒng)性能要求、自身安全性、安全綜合管理平臺接口。本部分適用于全省電子政務(wù)外網(wǎng)安全綜合管理平臺的功能、性能、安全性、部署方式、接口等技術(shù)要求，指導(dǎo)全省電子政務(wù)外網(wǎng)安全綜合管理平臺規(guī)劃、設(shè)計和建設(shè)，也可作為各級電子政務(wù)外網(wǎng)管理部門進(jìn)行指導(dǎo)、監(jiān)督和檢查的依據(jù)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T2260中華人民共和國行政區(qū)劃代碼GB/T18030信息技術(shù)中文編碼字符集GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/Z20986-2007信息安全技術(shù)信息安全事件分類分級指南GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南GB/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求3術(shù)語和定義3.1安全管理系統(tǒng)SecurityOperationCenter(SOC)采用多種技術(shù)手段，收集和整合各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等安全事件，并運(yùn)用關(guān)聯(lián)分析技術(shù)、智能推理技術(shù)和風(fēng)險管理技術(shù)，實(shí)現(xiàn)對安全事件信息的深度分析和識別，能快速做出報警響應(yīng)，實(shí)現(xiàn)對安全事件進(jìn)行統(tǒng)一監(jiān)控分析和預(yù)警處理。3.2網(wǎng)絡(luò)管理系統(tǒng)NetworkManagementSystem(NMS)提供拓?fù)涔芾?、設(shè)備配置、故障告警、性能監(jiān)測和報表管理功能，實(shí)現(xiàn)對網(wǎng)絡(luò)運(yùn)行的集中統(tǒng)一管理。3.32DB32/T3514.5—2019信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷，這些缺陷以不同形式存在于信息系統(tǒng)的各個層次和環(huán)節(jié)之中，一旦被惡意主體所利用，就會對信息系統(tǒng)的安全造成損害，從而影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息系統(tǒng)及信息的安全。脆弱性又稱為安全漏洞。3.4安全威脅SecurityThreat某個人、物、事件或概念對某一資源的保密性、完整性、可用性、真實(shí)性或可控性所造成的危害。3.5信息安全事態(tài)InformationSecurityEvent系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。3.6信息安全事件InformationSecurityIncident采集的單個或一系列的安全事態(tài)，包括各類日志、操作和其他系統(tǒng)或設(shè)備報送的報警信息。3.7告警Alarm針對收集到的各種安全事件進(jìn)行綜合關(guān)聯(lián)分析后形成的報警事件。3.8gTCP/IP網(wǎng)絡(luò)中用于傳輸系統(tǒng)日志的標(biāo)準(zhǔn)，設(shè)備和系統(tǒng)在記錄和轉(zhuǎn)發(fā)日志時應(yīng)遵循該標(biāo)準(zhǔn)。3.9Webservice基于網(wǎng)絡(luò)的、分布式的模塊化組件，它執(zhí)行特定的任務(wù)，遵守具體的技術(shù)規(guī)范，其它應(yīng)用通過使用相應(yīng)的規(guī)范，可與它進(jìn)行互操作。3.10BUGTRAQ一個公告計算機(jī)安全問題的列表，包括安全漏洞相關(guān)公告和利用這些漏洞的方法，以及如何修復(fù)它們。4縮略語SOA面向服務(wù)的體系結(jié)構(gòu)(Service-OrientedArchitecture)3DB32/T3514.5—2019CVE公共漏洞和暴露(CommonVulnerabilities&Exposures)WSDL網(wǎng)絡(luò)服務(wù)描述語言(WebServiceDescriptionLanguage)5建設(shè)原則與目標(biāo)5.1建設(shè)原則安全綜合管理平臺按照以下原則進(jìn)行建設(shè)：a)按照電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，省、市政務(wù)外網(wǎng)應(yīng)分別建成安全綜合管理平臺，與國家政務(wù)外網(wǎng)形成三級系統(tǒng)級聯(lián)；縣級政務(wù)外網(wǎng)可根據(jù)自身情況建設(shè)安全綜合管理平臺，與上級系統(tǒng)級聯(lián)；b)各級安全綜合管理平臺應(yīng)部署于本級政務(wù)外網(wǎng)的安全管理區(qū)域，跨區(qū)的安全相關(guān)信息的采集可通過帶外管理方式發(fā)送到安全綜合管理平臺；c)已建和在建的安全綜合管理平臺按照本規(guī)范要求實(shí)現(xiàn)級聯(lián)，納入政務(wù)外網(wǎng)統(tǒng)一的安全管理體系中；d)部門接入網(wǎng)的邊界安全由各部門按照相應(yīng)等級保護(hù)防護(hù)等級進(jìn)行安全防護(hù)，各級部門接入網(wǎng)終端安全由各級城域網(wǎng)管理部門負(fù)責(zé)統(tǒng)一管理。5.2建設(shè)目標(biāo)安全綜合管理平臺建設(shè)應(yīng)實(shí)現(xiàn)如下目標(biāo)：a)集成不同廠商的安全設(shè)備，實(shí)現(xiàn)各類安全設(shè)備日志信息的實(shí)時采集、統(tǒng)一監(jiān)測和集中管理，并具備較強(qiáng)的擴(kuò)展能力；b)具備大數(shù)據(jù)處理能力，通過對各類安全數(shù)據(jù)的加工、存儲、分析,實(shí)現(xiàn)安全態(tài)勢感知，為安全決策提供依據(jù)；c)具備完整、可定制的可視化展示界面，實(shí)現(xiàn)安全監(jiān)測與管理、事件告警與預(yù)警、流程化事件處理等功能；d)支持多級系統(tǒng)的級聯(lián)管理和分級部署，對外實(shí)現(xiàn)與第三方管理系統(tǒng)的互聯(lián)互通，可通過接口開發(fā)擴(kuò)展系統(tǒng)功能。6系統(tǒng)總體架構(gòu)6.1總體功能架構(gòu)安全綜合管理平臺監(jiān)測和管理安全設(shè)備的運(yùn)行狀態(tài)，對安全事件、脆弱性、配置、可用性與安全相關(guān)的數(shù)據(jù)進(jìn)行統(tǒng)一采集、集中分析，并進(jìn)行宏觀可視化展現(xiàn)，發(fā)現(xiàn)事件或安全風(fēng)險時可實(shí)時觸發(fā)告警。安全綜合管理平臺提供標(biāo)準(zhǔn)的外部通信與數(shù)據(jù)接口，與上下級平臺和第三方系統(tǒng)實(shí)現(xiàn)連接。詳見圖1。4DB32/T3514.5—2019圖1安全綜合管理平臺整體功能框架圖6.1.1掃描采集層掃描采集層采集安全設(shè)備及核心設(shè)備的運(yùn)行狀態(tài)信息、安全事件信息、脆弱性信息、安全配置信息和流量信息，并將所采集的安全事件信息轉(zhuǎn)化為安全綜合管理平臺內(nèi)部統(tǒng)一的數(shù)據(jù)格式。6.1.2安全管理層通過綜合分析方法對采集數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析以識別判斷安全事件或事態(tài)，生成風(fēng)險信息、事件信息、告警信息，由監(jiān)測與事件處理模塊、系統(tǒng)管理與配置模塊、基礎(chǔ)信息庫等組成。監(jiān)測與事件處理模塊主要包括資產(chǎn)管理、可用性監(jiān)測、事件管理、告警管理、風(fēng)險管理、安全審計、安全響應(yīng)、安全通告、脆弱性管理、合規(guī)性管理、關(guān)聯(lián)分析、統(tǒng)計分析、態(tài)勢分析、策略管理、工單管理；系統(tǒng)管理與配置模塊主要包括報表管理、權(quán)限管理、存儲管理、級聯(lián)管理；基礎(chǔ)信息庫主要包括規(guī)則庫、案例庫、漏洞庫、策略庫。6.1.3分析展現(xiàn)層通過可視化的方式將資產(chǎn)信息、網(wǎng)絡(luò)拓?fù)?、監(jiān)測對象的運(yùn)行狀態(tài)、設(shè)備可用性、安全風(fēng)險、安全事件、安全告警等信息展現(xiàn)給用戶，并用工單的形式管理安全風(fēng)險、事件和告警，采用Portal技術(shù)統(tǒng)一展現(xiàn)。6.1.4對外接口層在安全綜合管理平臺中應(yīng)構(gòu)建標(biāo)準(zhǔn)化接口服務(wù)層，實(shí)現(xiàn)與上下級安全監(jiān)測系統(tǒng)、外部系統(tǒng)接口連接。安全綜合管理平臺對外接口應(yīng)具有良好的兼容性，可方便地與第三方系統(tǒng)進(jìn)行連接，支持Syslog事件轉(zhuǎn)發(fā)、SNMPTrap事件轉(zhuǎn)發(fā)、WebService接口調(diào)用等常用標(biāo)準(zhǔn)接口。6.2總體技術(shù)要求6.2.1系統(tǒng)技術(shù)架構(gòu)系統(tǒng)技術(shù)架構(gòu)應(yīng)采用面向服務(wù)的體系架構(gòu)(SOA)，具備跨平臺、可伸縮和高可靠的特性。系統(tǒng)采用B/S訪問方式。5DB32/T3514.5—20196.2.2系統(tǒng)運(yùn)行環(huán)境支持主流操作系統(tǒng)部署，支持主流網(wǎng)絡(luò)瀏覽器。6.2.3部署方式具備靈活的部署方式，支持集中部署、多級部署、集群部署等方式。6.2.4數(shù)據(jù)庫支持主流數(shù)據(jù)庫(含國產(chǎn)數(shù)據(jù)庫)。7系統(tǒng)功能要求7.1資產(chǎn)管理實(shí)現(xiàn)對網(wǎng)絡(luò)中設(shè)備和系統(tǒng)對象的管理，按照安全域、系統(tǒng)歸屬等方式管理資源。提供自動掃描網(wǎng)絡(luò)、手工錄入和批量導(dǎo)入等數(shù)據(jù)采集功能，獲取相關(guān)信息和映射關(guān)系。資產(chǎn)記錄中應(yīng)包括資產(chǎn)名稱、IP地址、類型、責(zé)任人、業(yè)務(wù)價值，以及其安全性、完整性、可用性等資產(chǎn)屬性，可根據(jù)需要添加資產(chǎn)屬性?？赏ㄟ^多種方式查看IP、名稱、編號等設(shè)備和系統(tǒng)的安全信息。7.2可用性監(jiān)測通過監(jiān)測各類安全設(shè)備，實(shí)時了解設(shè)備的可用性狀態(tài)，出現(xiàn)異常時可根據(jù)預(yù)先設(shè)定的閾值產(chǎn)生告警。7.3事件管理對安全設(shè)備產(chǎn)生的安全事件信息進(jìn)行統(tǒng)一的實(shí)時監(jiān)控和關(guān)聯(lián)分析，對來自外部的入侵和內(nèi)部的違規(guī)和誤操作行為進(jìn)行監(jiān)控、審計分析、調(diào)查取證，實(shí)現(xiàn)IT資源的合規(guī)性管理。信息安全事件管理包括事件的采集、標(biāo)準(zhǔn)化、集中存儲、實(shí)時展現(xiàn)、關(guān)聯(lián)分析和應(yīng)急響應(yīng)。7.4脆弱性管理通過漏洞信息采集并與潛在安全事件進(jìn)行關(guān)聯(lián)，提供可視化展示。7.5關(guān)聯(lián)分析安全綜合管理平臺應(yīng)內(nèi)置關(guān)聯(lián)分析規(guī)則庫，提供關(guān)聯(lián)分析功能。將來自不同事件源的安全事件進(jìn)行分析，從海量事件中過濾出有邏輯關(guān)系的事件序列并匹配告警策略，依據(jù)最佳實(shí)踐原則結(jié)合資產(chǎn)的業(yè)務(wù)價值和資產(chǎn)的脆弱性，形成相應(yīng)的告警，以及針對關(guān)聯(lián)分析產(chǎn)生的安全告警可追溯其關(guān)聯(lián)事件。7.6態(tài)勢分析對指定時間段內(nèi)滿足指定條件的事件進(jìn)行態(tài)勢分析，以風(fēng)險分析、威脅分析、脆弱性分析等為基礎(chǔ)生成態(tài)勢分析結(jié)果。7.7統(tǒng)計分析指針對一段時間內(nèi)的歷史信息進(jìn)行統(tǒng)計和呈現(xiàn)?？蓮牟煌S度對歷史信息進(jìn)行統(tǒng)計，包括信息發(fā)生數(shù)量、信息排行、疑似攻擊和違規(guī)事件、不同狀態(tài)的統(tǒng)計分布和趨勢分析；分析人員也可自定義策略進(jìn)行統(tǒng)計分析，從宏觀上掌握指定時間范圍內(nèi)某類事件的趨勢。6DB32/T3514.5—20197.8安全響應(yīng)當(dāng)安全綜合管理平臺監(jiān)測到安全事件時，觸發(fā)預(yù)先設(shè)定的告警或事件響應(yīng)規(guī)則，執(zhí)行預(yù)定義的響應(yīng)動作。告警響應(yīng)動作應(yīng)涵蓋常見的響應(yīng)方式，包括電子郵件告警、手機(jī)短信告警、創(chuàng)建工單、通過Syslog或SNMPTrap向第三方系統(tǒng)轉(zhuǎn)發(fā)告警事件等。7.9風(fēng)險管理安全綜合管理平臺需實(shí)現(xiàn)被保護(hù)資產(chǎn)的風(fēng)險計算功能，展現(xiàn)當(dāng)前被保護(hù)資產(chǎn)的風(fēng)險值和風(fēng)險等級，并進(jìn)一步計算安全域或所屬業(yè)務(wù)信息系統(tǒng)的風(fēng)險，應(yīng)能以圖形化的方式展現(xiàn)當(dāng)前資產(chǎn)和安全域的風(fēng)險級別、當(dāng)前風(fēng)險的排名統(tǒng)計。對于單個資產(chǎn)的風(fēng)險計算建議符合GB/T20984-2007的要求，依據(jù)資產(chǎn)價值、資產(chǎn)當(dāng)前的脆弱性及資產(chǎn)面臨的安全威脅，采用矩陣法或相乘法。7.10安全審計安全綜合管理平臺可根據(jù)合規(guī)的要求，采集所需的數(shù)據(jù)，根據(jù)預(yù)置的策略或定制規(guī)則模版，生成相應(yīng)的審計結(jié)果數(shù)據(jù)，對危害信息系統(tǒng)運(yùn)行及不合規(guī)的行為進(jìn)行報告。分析人員可自行設(shè)定查詢條件進(jìn)行人工審計，獲得所需的審計查詢結(jié)果，并可將結(jié)果以文件形式導(dǎo)出。7.11安全通告安全綜合管理平臺提供安全通告功能，可創(chuàng)建或?qū)氚踩L(fēng)險通告，通告中一般包括通告內(nèi)容、描述信息、CVE、BUGTRAQ編號、影響的操作系統(tǒng)及其他信息。安全綜合管理平臺可根據(jù)通告提示受安全風(fēng)險影響的操作系統(tǒng)，提供受影響的被保護(hù)資產(chǎn)列表。安全管理人員可據(jù)此采取相應(yīng)的保護(hù)措施。7.12合規(guī)性管理a)安全綜合管理平臺提供依照GB/T22240-2008管理備案單位信息，確定系統(tǒng)等級和保護(hù)基線；依照GB/T22239-2008對系統(tǒng)能夠進(jìn)行差距評估，自動生成《差距評估報告》和《整改建議報告》，跟蹤整改任務(wù)執(zhí)行情況；依據(jù)GB/T28448-2012建立不同等級的測評項(xiàng)基礎(chǔ)庫，提供測評機(jī)構(gòu)和測評專家管理。b)安全綜合管理平臺提供集中管理檢查工作的任務(wù)執(zhí)行，實(shí)現(xiàn)檢查工作的集中管理，對檢查中不同系統(tǒng)不同階段的工作底稿及成果提供統(tǒng)一管理，而且可實(shí)現(xiàn)檢查任務(wù)集中管理，以及不同業(yè)務(wù)系統(tǒng)、不同級別系統(tǒng)之間的交叉管理。通過一系列安全檢測工具，實(shí)現(xiàn)主機(jī)配置檢查、主機(jī)病毒檢查、主機(jī)木馬檢查、網(wǎng)站惡意代碼檢查、弱口令檢查等，依照GB/T22239-2008對被檢查系統(tǒng)進(jìn)行差距評估，自動生成《差距評估報告》。7.13策略管理安全綜合管理平臺提供對安全設(shè)備進(jìn)行集中管理，包括基本參數(shù)配置、安全策略管理、安全環(huán)境設(shè)置、故障檢測等，可協(xié)助用戶制定各種級別，針對不同對象(人員、設(shè)備、應(yīng)用)的安全策略，實(shí)現(xiàn)企業(yè)安全策略的快速導(dǎo)入以及安全策略的集中分級管理。同時支持安全策略的數(shù)據(jù)導(dǎo)出、版本控制、發(fā)布功能，實(shí)現(xiàn)企業(yè)內(nèi)所有安全策略的全流程管理。7.14工單管理安全綜合管理平臺提供工單管理的功能。管理員可手工創(chuàng)建和派發(fā)工單，也可設(shè)定規(guī)則由系統(tǒng)在一定條件下自動創(chuàng)建/派發(fā)工單。系統(tǒng)支持選擇一個或多個安全事件創(chuàng)建工單，通過郵件提醒或短信提醒7DB32/T3514.5—2019功能以及工單超時處理的功能來提高工單處理的及時性；提供通過圖形化的方式展示工單的處理階段的監(jiān)控功能。7.15報表管理安全綜合管理平臺應(yīng)內(nèi)置常用統(tǒng)計報表的報表模版，并提供界面友好的報表編輯器以使用戶可自定義報表。生成的報表可多種格式導(dǎo)出，包括PDF、HTML、CSV、XLS。應(yīng)支持報表調(diào)度任務(wù)，可在指定時間內(nèi)一次或周期性執(zhí)行報表任務(wù)。還應(yīng)支持報表投遞功能，可將生成的報表以電子郵件方式直接發(fā)送給指定接收人。7.16權(quán)限管理安全綜合管理平臺在權(quán)限管理上應(yīng)做到系統(tǒng)管理員、安全管理員和安全審計員三權(quán)分立。權(quán)限的分配采取基于角色的訪問控制機(jī)制，根據(jù)需要創(chuàng)建角色和用戶，為角色賦予權(quán)限，為用戶賦予所需的角色。系統(tǒng)中不設(shè)置超級管理員角色。7.17存儲管理安全綜合管理平臺應(yīng)能夠存儲海量數(shù)據(jù)，提供自動的數(shù)據(jù)備份歸檔功能，可根據(jù)預(yù)設(shè)的策略定時自動歸檔數(shù)據(jù)。對于已歸檔的數(shù)據(jù)，可根據(jù)需要重新導(dǎo)入系統(tǒng)以進(jìn)行查詢和統(tǒng)計分析。7.18級聯(lián)管理安全綜合管理平臺提供松耦合的級聯(lián)功能，實(shí)現(xiàn)跨市事件協(xié)同處理；上級系統(tǒng)可監(jiān)測下級系統(tǒng)的運(yùn)行狀態(tài)；下級系統(tǒng)的安全風(fēng)險、安全告警和安全統(tǒng)計報表可根據(jù)需要定期上報給上級系統(tǒng)；下級系統(tǒng)可按要求將滿足條件的事件轉(zhuǎn)發(fā)給上級系統(tǒng)；省級節(jié)點(diǎn)建立知識庫，下級節(jié)點(diǎn)可訪問并可上傳案例；上級節(jié)點(diǎn)可向下級節(jié)點(diǎn)推送安全通告，內(nèi)容包含但不限于安全風(fēng)險和安全告警。7.19知識庫管理安全綜合管理平臺提供知識庫管理功能，知識庫類別包括但不限于規(guī)則庫、案例庫、預(yù)案庫、策略庫、漏洞庫。用戶可根據(jù)需要擴(kuò)展知識庫的類別，知識庫的內(nèi)容可導(dǎo)入、導(dǎo)出，支持對知識庫的全文檢索和按關(guān)鍵字檢索。對于規(guī)則庫、案例庫及其他知識庫內(nèi)容，可通過提供離線升級包的方式實(shí)現(xiàn)增量式升級。7.20綜合展現(xiàn)安全綜合管理平臺提供多種可視化的數(shù)據(jù)展現(xiàn)方式，包括：事件統(tǒng)計圖、趨勢分析圖、可用性統(tǒng)計圖、業(yè)務(wù)系統(tǒng)健康統(tǒng)計圖、資產(chǎn)及業(yè)務(wù)系統(tǒng)風(fēng)險統(tǒng)計圖，也可通過最新的計算機(jī)圖形技術(shù)，基于最佳表現(xiàn)形式建立綜合的安全管理可視化平臺，比如：事件GIS圖、通過3D技術(shù)實(shí)現(xiàn)對數(shù)據(jù)中心的真實(shí)展現(xiàn)，構(gòu)建數(shù)據(jù)中心物理環(huán)境、機(jī)房環(huán)境、管線、安防監(jiān)控、網(wǎng)絡(luò)、主機(jī)、存儲、安全監(jiān)控等系統(tǒng)的可視化管理平臺，實(shí)現(xiàn)所有資產(chǎn)對象及監(jiān)控信息清晰直觀的一站式管理。針對不同的角色，可根據(jù)其工作職責(zé)和關(guān)注重點(diǎn)，提供不同的數(shù)據(jù)展現(xiàn)視圖，視圖的內(nèi)容可靈活定制。7.21數(shù)據(jù)采集與預(yù)處理安全綜合管理平臺支持主動和被動兩種形式的數(shù)據(jù)采集方式，支持常見的標(biāo)準(zhǔn)協(xié)議，包括Syslog、SNMP、SNMPTrap等協(xié)議。支持對采集的數(shù)據(jù)進(jìn)行過濾、歸并、將數(shù)據(jù)轉(zhuǎn)換為內(nèi)部統(tǒng)一格式。原始數(shù)據(jù)8DB32/T3514.5—2019應(yīng)單獨(dú)保存在一個獨(dú)立的數(shù)據(jù)庫或便于檢索的文件中，其保存期應(yīng)滿足合規(guī)要求，數(shù)據(jù)的存儲需要有序、歸類并適當(dāng)建立索引，在查詢時能夠及時響應(yīng)，能夠滿足對歷史數(shù)據(jù)進(jìn)行追溯。7.22時間同步安全綜合管理平臺支持時間同步功能，要求被采集對象使用相同的NTP時間源。7.23自動運(yùn)維安全綜合管理平臺支持自動運(yùn)維功能，在告警規(guī)則中關(guān)聯(lián)案例庫，當(dāng)平臺出現(xiàn)安全告警時，系統(tǒng)可對安全設(shè)備或網(wǎng)絡(luò)設(shè)備自動下發(fā)策略或半自動下發(fā)策略屏蔽威脅，而且新的告警處置經(jīng)審核可保存到知識庫中。7.24網(wǎng)絡(luò)流量行為分析安全綜合管理平臺支持對網(wǎng)絡(luò)流量進(jìn)行全數(shù)據(jù)采集與監(jiān)測，通過對網(wǎng)絡(luò)流量數(shù)據(jù)包的分析處理，可收集網(wǎng)絡(luò)數(shù)據(jù)流行為特征，通過對網(wǎng)絡(luò)流量進(jìn)行行為分析，分析出網(wǎng)絡(luò)異常流量數(shù)據(jù)，從而發(fā)現(xiàn)網(wǎng)絡(luò)中存在的未知威脅。7.25安全監(jiān)控安全綜合管理平臺提供對全網(wǎng)絡(luò)IT資產(chǎn)、業(yè)務(wù)系統(tǒng)和安全域的實(shí)時監(jiān)測，通過平臺部署的各個監(jiān)測設(shè)備能夠第一時間發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的安全事件。對于下級區(qū)域流竄的攻擊，平臺也可及時發(fā)現(xiàn)并根據(jù)通告模板下發(fā)通告預(yù)警，針對網(wǎng)絡(luò)中的核心系統(tǒng)、核心數(shù)據(jù)庫、核心區(qū)域、核心資產(chǎn)進(jìn)行重點(diǎn)監(jiān)控。對于網(wǎng)絡(luò)中的安全設(shè)備和網(wǎng)絡(luò)設(shè)備，平臺可通過API、下發(fā)指令、WEB操作等手段進(jìn)行管控。8系統(tǒng)性能要求8.1穩(wěn)定性指標(biāo)要求具體包括：a)支持系統(tǒng)主要組件7*24小時運(yùn)行；b)系統(tǒng)年正常運(yùn)行時間不低于99.9%；c)對被采集對象的內(nèi)存資源占用率不超過5%，對網(wǎng)絡(luò)帶寬占用率不超過10%。8.2數(shù)據(jù)處理性能8.2.1省級安全綜合管理平臺性能要求具體包括：a)原始數(shù)據(jù)并發(fā)采集能力不低于6000條/s；b)事件分析處理能力不低于5000條/s；c)事件告警延遲不超過5min；d查詢1000萬條數(shù)據(jù)時間小于10s；e30s。8.2.2市/縣級安全綜合管理平臺性能具體包括：a)原始數(shù)據(jù)并發(fā)采集能力不低于4000條/s；9DB32/T3514.5—2019b)事件分析處理能力不低于2000條/s；c)事件告警延遲不超過5min；d查詢1000萬條數(shù)據(jù)時間小于20s；e60s。8.3數(shù)據(jù)存儲要求具體包括：a)數(shù)據(jù)的保存期限不少于6個月；b)系統(tǒng)數(shù)據(jù)可保存在安全綜合管理平臺所在服務(wù)器的硬盤中，也可保存在專用的存儲設(shè)備中。9自身安全性9.1等級保護(hù)合規(guī)性要求依據(jù)信息安全等級保護(hù)的相關(guān)制度和標(biāo)準(zhǔn)要求，確定安全綜合管理平臺的安全保護(hù)等級。原則上地市級以上系統(tǒng)安全保護(hù)等級不低于第三級，縣級系統(tǒng)安全保護(hù)等級不低于第二級。9.2系統(tǒng)安全要求在遵循等級保護(hù)合規(guī)性要求的基礎(chǔ)上，安全綜合管理平臺應(yīng)重點(diǎn)滿足以下安全要求：a)網(wǎng)絡(luò)通信應(yīng)采用加密協(xié)議；b)重要數(shù)據(jù)應(yīng)加密存儲；c)系統(tǒng)應(yīng)提供對其自身運(yùn)行狀態(tài)的監(jiān)測，并可產(chǎn)生告警；d)對系統(tǒng)的操作應(yīng)記錄日志，日志不可刪除，系統(tǒng)自身的操作日志查看權(quán)限僅授予審計員；e)提供系統(tǒng)配置信息和數(shù)據(jù)的備份功能，系統(tǒng)崩潰時可通過已備份的配置信息和數(shù)據(jù)快速恢復(fù)系10安全綜合管理平臺接口10.1總體框架安全綜合管理平臺的接口主要有三部分組成：數(shù)據(jù)采集接口、級聯(lián)接口和外部接口?？傮w框架如圖2所示：DB32/T3514.5—2019圖2安全綜合管理平臺接口總體框架圖a)數(shù)據(jù)采集接口：是安全綜合管理平臺從各種監(jiān)測對象中采集日志數(shù)據(jù)、脆弱性數(shù)據(jù)、配置數(shù)據(jù)和狀態(tài)數(shù)據(jù)的接口。b)級聯(lián)接口：是處于不同管理層次上的上下級之間進(jìn)行管理信息和安全運(yùn)行數(shù)據(jù)交互的接口。建立級聯(lián)關(guān)系的安全綜合管理平臺之間，應(yīng)采用基于可靠的身份認(rèn)證手段實(shí)現(xiàn)可靠的訪問控制。c)外部接口：安全綜合管理平臺通過各種外部接口與其他應(yīng)用系統(tǒng)(日志審計系統(tǒng)、數(shù)據(jù)網(wǎng)絡(luò)管理系統(tǒng)、4A系統(tǒng))之間實(shí)現(xiàn)集成和數(shù)據(jù)交互。本標(biāo)準(zhǔn)著重說明安全綜合管理平臺與外部系統(tǒng)接口的工作方式，以及由安全綜合管理平臺提供接口的方式和數(shù)據(jù)規(guī)范。10.2數(shù)據(jù)采集接口10.2.1接口描述數(shù)據(jù)采集接口應(yīng)實(shí)現(xiàn)安全綜合管理平臺從安全對象采集日志數(shù)據(jù)、脆弱性數(shù)據(jù)、配置數(shù)據(jù)和狀態(tài)數(shù)據(jù)信息。10.2.2數(shù)據(jù)采集方式要求通過下述手段實(shí)現(xiàn)數(shù)據(jù)的主動或被動采集，包括但不限于：a)應(yīng)啟動SNMPService服務(wù)，使用統(tǒng)一的團(tuán)體串在默認(rèn)或自定義端口上監(jiān)聽，以獲取安全設(shè)備發(fā)來的SNMPTrap信息；b)應(yīng)啟動SYSLOG服務(wù)，使用默認(rèn)或自定義端口監(jiān)聽，以獲取安全設(shè)備發(fā)來的SYSLOG信息；c)應(yīng)具備網(wǎng)絡(luò)文件、本地文件的定期或觸發(fā)提取功能，獲取其中的日志信息；d)應(yīng)具備網(wǎng)絡(luò)數(shù)據(jù)庫、本地數(shù)據(jù)庫的定期或觸發(fā)提取功能，獲取其中的日志信息；e)對于特殊的、缺乏共性的信息存儲方式，應(yīng)支持通過編寫代理程序方式獲取其中的日志信息，代理程序應(yīng)支持與目標(biāo)數(shù)據(jù)部署在一起，也支持遠(yuǎn)程部署。10.2.3數(shù)據(jù)采集內(nèi)容要求DB32/T3514.5—2019具體包括：a)應(yīng)采集政務(wù)外網(wǎng)中的安全設(shè)備，以及核心的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備所產(chǎn)生的日志信息。b)應(yīng)采集政務(wù)外網(wǎng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)的脆弱性、補(bǔ)丁信息。安全綜合管理平臺可直接采集脆弱性數(shù)據(jù)，也可支持將其他相關(guān)設(shè)備的脆弱性數(shù)據(jù)導(dǎo)入到安全綜合管理平臺。c)應(yīng)采集政務(wù)外網(wǎng)中的安全設(shè)備，以及核心的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備的賬號安全策略、口令安全策略、授權(quán)安全策略和日志安全策略信息。安全綜合管理平臺可直接采集配置數(shù)據(jù)，也可支持第三方的配置數(shù)據(jù)導(dǎo)入。d)應(yīng)采集政務(wù)外網(wǎng)中的安全設(shè)備，以及核心的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備的運(yùn)行狀態(tài)、性能相關(guān)數(shù)據(jù)。10.3系統(tǒng)級聯(lián)接口10.3.1接口協(xié)議系統(tǒng)級聯(lián)接口按WebService標(biāo)準(zhǔn)對外提供服務(wù)，通訊過程中請求和響應(yīng)的數(shù)據(jù)采用標(biāo)準(zhǔn)XML格式來封裝。對于開放的接口函數(shù)，廠商需發(fā)布相應(yīng)的WSDL文檔，用于描述WebService的接口信息。系統(tǒng)級聯(lián)接口函數(shù)分為兩類。一類是同步調(diào)用函數(shù)，即函數(shù)的返回值就是結(jié)果；另一類是異步調(diào)用函數(shù)，返回結(jié)果通過回調(diào)函數(shù)發(fā)送至調(diào)用方。異步類函數(shù)的返回值只表示“是/否接受命令”，調(diào)用方應(yīng)提供滿足標(biāo)準(zhǔn)的回調(diào)函數(shù)。10.3.2接口格式定義定義接口格式定義包括函數(shù)名稱、參數(shù)列表及返回值類型，參與交互數(shù)據(jù)的編碼應(yīng)符合GB/T18030-2005的要求。參數(shù)與返回值的具體XML格式由接口提供者根據(jù)具體業(yè)務(wù)的實(shí)際情況制定，應(yīng)層次簡單、結(jié)構(gòu)清晰，接口提供者需提供相應(yīng)的WSDL文檔及接口的詳細(xì)說明文檔。函數(shù)基本格式publicStringmethodName(Stringxml)；注1：methodName為函數(shù)名，由接口提供者根據(jù)具體業(yè)務(wù)確定；注2：XML為調(diào)用參數(shù)，應(yīng)采用XML標(biāo)準(zhǔn)描述；注3：返回結(jié)果為XML標(biāo)準(zhǔn)格式數(shù)據(jù)。10.3.3系統(tǒng)級聯(lián)認(rèn)證接口接口規(guī)范建設(shè)包括：a)為保證各級安全綜合管理平臺之間的通訊安全，系統(tǒng)之間在進(jìn)行通訊前應(yīng)進(jìn)行有效的認(rèn)證與授權(quán)，系統(tǒng)級聯(lián)認(rèn)證接口主要包括系統(tǒng)級聯(lián)注冊接口和系統(tǒng)級聯(lián)注銷接口。b)系統(tǒng)級聯(lián)注冊接口完成下級系統(tǒng)至上級系統(tǒng)的注冊功能，保證上下級系統(tǒng)之間通信的安全性。c)系統(tǒng)級聯(lián)注銷接口用于上下級系統(tǒng)之間的認(rèn)證注銷，當(dāng)上下級系統(tǒng)出現(xiàn)變更或廢止時，由上級系統(tǒng)進(jìn)行系統(tǒng)間級聯(lián)的注銷。注1：系統(tǒng)級聯(lián)注冊接口規(guī)范詳見附件A.1注2：系統(tǒng)級聯(lián)注銷接口規(guī)范詳見附件A.2。10.3.4系統(tǒng)運(yùn)行狀態(tài)上報接口接口規(guī)范建設(shè)包括：DB32/T3514.5—2019a)上級安全綜合管理平臺需要對下級系統(tǒng)的上報接口實(shí)施周期檢測，及時發(fā)現(xiàn)接口異常，減少上報數(shù)據(jù)的丟失。b)下級安全綜合管理平臺周期性上報自己狀態(tài)的心跳消息，上級系統(tǒng)根據(jù)是否能周期收到下級狀態(tài)的心跳消息，來判斷下級系統(tǒng)上報是否正常。c)上報接口狀態(tài)分為：正常(用1表示)，上級系統(tǒng)收到下級系統(tǒng)的上報消息后，將下級的上報接口判斷為正常；離線(用0表示)，當(dāng)上級系統(tǒng)在一個上報周期內(nèi)未收到上報信息，則判斷下級系統(tǒng)的上報接口離線，同時產(chǎn)生該下級安全綜合管理平臺上報接口離線告警。d)上報頻率為10分鐘一次。注1：系統(tǒng)運(yùn)行狀態(tài)上報接口規(guī)范詳見附件A.3。10.3.5風(fēng)險上報接口接口規(guī)范建設(shè)包括：a)下級安全綜合管理平臺需要向上級系統(tǒng)上報本級系統(tǒng)的安全域的風(fēng)險值和風(fēng)險等級。上報頻率b)風(fēng)險的上報由上級安全綜合管理平臺進(jìn)行請求。下級安全綜合管理平臺按照請求的內(nèi)容進(jìn)行風(fēng)險的實(shí)時上報。c)風(fēng)險上報的內(nèi)容包括：系統(tǒng)所屬行政區(qū)編碼，安全域名稱，風(fēng)險值，風(fēng)險等級。注1：風(fēng)險上報接口規(guī)范詳見附件A.4。10.3.6告警上報接口告警上報接口規(guī)范建設(shè)包括：a)下級安全綜合管理平臺將本系統(tǒng)發(fā)現(xiàn)的告警信息通過告警上報接口向上級安全綜合管理平臺進(jìn)行上報。b)告警的上報由上級安全綜合管理平臺進(jìn)行訂閱，訂閱信息中包含是否上報、上報的時間范圍和級別信息。下級安全綜合管理平臺按照請求的內(nèi)容進(jìn)行告警的實(shí)時上報或停止上報。c)本級安全綜合管理平臺將本級發(fā)生的告警進(jìn)行實(shí)時上報，傳輸采用面向連接的方式。相同的告警信息僅發(fā)送一次。若本級安全綜合管理平臺的告警清除，應(yīng)向上級發(fā)送該告警消除的消息，上級安全綜合管理平臺進(jìn)行相應(yīng)的處置。d)告警上報的內(nèi)容應(yīng)包括：告警的ID、系統(tǒng)所屬行政區(qū)編碼、告警名稱、告警內(nèi)容描述、告警的級別、告警發(fā)生的時間、告警涉及的IP地址、告警清除標(biāo)志和預(yù)留字段信息。注1：告警上報接口規(guī)范詳見附件A.5。10.3.7案例上報接口接口規(guī)范建設(shè)包括：a)下級安全綜合管理平臺應(yīng)將本系統(tǒng)發(fā)生的典型案例進(jìn)行上報，以便上級系統(tǒng)對各種典型案例進(jìn)行匯總。下級安全綜合管理平臺從本系統(tǒng)數(shù)據(jù)庫中將本系統(tǒng)發(fā)生的典型案例取出，調(diào)用案例上報接口，將本系統(tǒng)發(fā)生的案例上報給上級系統(tǒng)，上級系統(tǒng)獲取到案例后可根據(jù)知識庫的類別(規(guī)則庫、案例庫、預(yù)案庫、策略庫、漏洞庫)對案例進(jìn)行分類匯總并存儲在數(shù)據(jù)庫中，以便下級系統(tǒng)查詢并為處置類似事件提供技術(shù)支撐。b)案例上報接口僅為下級系統(tǒng)使用，接口要求的相關(guān)字段需按照字段類型、是否必填信息傳遞給上級系統(tǒng)，接口參數(shù)為XML格式。c)接口返回值為XML格式，應(yīng)說明調(diào)用該接口返回成功或失敗的狀態(tài)，返回值為失敗時應(yīng)給出失敗原因提示。DB32/T3514.5—2019注1：案例上報接口規(guī)范詳見附錄A.6。10.3.8遠(yuǎn)程知識庫查詢接口接口規(guī)范建設(shè)包括：a)下級安全綜合管理平臺可查詢上級系統(tǒng)的知識庫共享內(nèi)容。b)下級系統(tǒng)調(diào)用知識庫查詢接口，根據(jù)傳遞的接口參數(shù)獲取相應(yīng)的知識庫案例內(nèi)容，如該案例存在附件，則附件文檔可供下載導(dǎo)出。c)知識庫查詢接口為下級系統(tǒng)使用，下級系統(tǒng)可調(diào)用本接口，以觸發(fā)查詢功能；根據(jù)接口的參數(shù)，獲取知識庫內(nèi)容，本接口為觸發(fā)調(diào)用。d)本接口的參數(shù)可為空，如為空則表明要查詢所有知識庫內(nèi)容，知識庫標(biāo)題為模糊匹配，開始時間、結(jié)束時間可按時間段查詢，結(jié)束時間需大于開始時間。注1：遠(yuǎn)程知識庫查詢接口規(guī)范詳見附錄A.7。10.3.9報表上報接口接口規(guī)范建設(shè)包括：a)下級安全綜合管理平臺應(yīng)按要求向上級系統(tǒng)匯報本系統(tǒng)的月報報表匯總信息。b)下級安全綜合管理平臺將本系統(tǒng)產(chǎn)生的月報定期自動上報給上級安全綜合管理平臺，報表以文件方式傳送，文件類型包括DOC、DOCX、XLS、XLSX、PDF、HTML、CSV等。文件名稱遵循一定格式要求，報表文件上傳方式采用SFTP加密傳輸方式。c)報表上報內(nèi)容應(yīng)包括系統(tǒng)所屬行政區(qū)編碼、報表名稱、內(nèi)容。注1：報表上報接口規(guī)范詳見附錄A.8。10.3.10安全通告接口接口規(guī)范建設(shè)包括：a)上級安全綜合管理平臺發(fā)現(xiàn)下級管理的資產(chǎn)或業(yè)務(wù)系統(tǒng)中存在安全風(fēng)險、安全告警等安全事件，由上級系統(tǒng)向下級系統(tǒng)發(fā)送安全通告，提醒下級系統(tǒng)防范和處理。b)安全通告接口僅為上級系統(tǒng)使用，接口要求的相關(guān)字段需按照字段類型、是否必填信息傳遞給下級系統(tǒng)，接口參數(shù)為XML格式。c)接口返回值為XML格式，應(yīng)說明調(diào)用該接口返回成功或失敗的狀態(tài)，返回值為失敗時應(yīng)給出失敗原因提示。注1：安全通告接口規(guī)范詳見附錄A.10。10.4外部接口10.4.1接口描述安全綜合管理平臺應(yīng)建立開放式的架構(gòu)，能夠通過必要的定制或使用內(nèi)置的接口服務(wù)實(shí)現(xiàn)與IT運(yùn)維管理平臺等第三方平臺的信息交換和管理協(xié)同。10.4.2外部接口要求安全綜合管理平臺的外部接口應(yīng)包括但不限于：a)安全綜合管理平臺向第三方系統(tǒng)提供的信息：告警信息；b)安全綜合管理平臺從第三方系統(tǒng)接收的信息：資產(chǎn)信息、告警信息。10.4.3外部接口方式DB32/T3514.5—2019接口方式包括：a)數(shù)據(jù)文檔導(dǎo)入/導(dǎo)出：提供數(shù)據(jù)的導(dǎo)出功能，提供格式化文檔的數(shù)據(jù)導(dǎo)入處理；b)使用通用協(xié)議進(jìn)行數(shù)據(jù)動態(tài)交換：通過SYSLOG、SNMPtrap實(shí)現(xiàn)安全綜合管理平臺與其他平臺的信息交換；c)提供Socket或WebService接口實(shí)現(xiàn)不同系統(tǒng)之間的同步或異步的數(shù)據(jù)交互。10.4.4外部數(shù)據(jù)導(dǎo)入接口導(dǎo)入數(shù)據(jù)包括：資產(chǎn)信息、告警信息。接口方式包括：a)安全綜合管理平臺通過文件方式，獲取并導(dǎo)入資產(chǎn)信息；b)安全綜合管理平臺通過Syslog或SNMPTrap的接口方式從第三方系統(tǒng)獲取其告警信息；c)安全綜合管理平臺通過FTP或HTTP方式獲取數(shù)據(jù)文件，并提供導(dǎo)入解析接口。10.4.5內(nèi)部數(shù)據(jù)導(dǎo)出接口安全綜合管理平臺提供安全告警信息內(nèi)容的導(dǎo)出功能，可導(dǎo)出為Excel、TXT、RTF、PDF、HTML等標(biāo)準(zhǔn)格式。具體內(nèi)容的組織和文檔格式根據(jù)業(yè)務(wù)需要確定，本標(biāo)準(zhǔn)不作進(jìn)一步的限定。10.4.6與其他系統(tǒng)動態(tài)數(shù)據(jù)接口安全綜合管理平臺可根據(jù)需要與其他系統(tǒng)建立接口，將告警和事件信息傳送給其他系統(tǒng)，如事件處理系統(tǒng)，集中告警管理系統(tǒng)，實(shí)現(xiàn)相關(guān)安全信息的動態(tài)交換。并可將工單和運(yùn)維信息傳送給第三方運(yùn)維管理系統(tǒng)，通過工單流程化處理，實(shí)現(xiàn)告警和事件的應(yīng)急響應(yīng)。也可將資產(chǎn)信息傳送給資源管理系統(tǒng)或網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)資產(chǎn)信息交互。接口方式可采用WebService或Socket協(xié)議。具體的數(shù)據(jù)格式根據(jù)業(yè)務(wù)需要確定，本標(biāo)準(zhǔn)不作進(jìn)一步的限定。DB32/T3514.5—2019AA附錄A(規(guī)范性附錄)電子政務(wù)外網(wǎng)安全綜合管理平臺接口規(guī)范A.1系統(tǒng)級聯(lián)注冊接口規(guī)范A.1.1功能描述系統(tǒng)級聯(lián)注冊時采用上級主動添加下級信息的方式注冊，下級提供接口接收上級通知。接口函數(shù)定義為：publicStringplatformRegister(Stringxml);a)請求參數(shù)xml格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo><Higher><!--上級信息節(jié)點(diǎn)--><PlatformCode></PlatformCode><IP></IP><Port></Port></Higher><Lower><!--下級信息節(jié)點(diǎn)--><PlatformCode></PlatformCode><IP></IP><Port></Port></Lower></PlatformInfo>字段說明(*表示必選)，詳見表A.1。表A.1系統(tǒng)級聯(lián)注冊接口的字段說明表標(biāo)簽名名稱備注類型必選PlatformCode系統(tǒng)所屬行政區(qū)編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*IP地址Web訪問地址char(128)Port端口Web訪問端口char(32)b)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo>DB32/T3514.5—2019<Desc></Desc></PlatformInfo>詳見表A.2。表A.2系統(tǒng)級聯(lián)注冊接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選Status狀態(tài)1-注冊成功；0-注冊失敗*Desc描述返回出錯信息，調(diào)試用char(128)A.2系統(tǒng)級聯(lián)注銷接口規(guī)范A.2.1功能描述系統(tǒng)級聯(lián)注銷時采用上級主動注銷下級的方式，下級提供接口接收上級通知。接口函數(shù)定義為：publicStringplatformLogout(Stringxml);a)請求參數(shù)xml格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo><PlatformCode></PlatformCode></PlatformInfo>字段說明(*表示必選)，詳見A.3表A.3系統(tǒng)級聯(lián)注銷接口的字段說明表標(biāo)簽名名稱備注類型必選PlatformCode上級系統(tǒng)所屬行政區(qū)編碼從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*b)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo><Desc></Desc></PlatformInfo>字段說明(*表示必選)，詳見表A.4。表A.4系統(tǒng)級聯(lián)注銷接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選Status狀態(tài)1-注銷成功；0-注銷失敗*Desc描述返回出錯信息，調(diào)試用char(128)DB32/T3514.5—2019A.3系統(tǒng)運(yùn)行狀態(tài)上報接口規(guī)范A.3.1功能描述上級安全綜合管理平臺對下級安全綜合管理平臺的運(yùn)行狀態(tài)進(jìn)行查詢，下級安全綜合管理平臺向上級系統(tǒng)上報本系統(tǒng)的運(yùn)行狀態(tài)信息。接口函數(shù)定義為：publicStringsystemStatusQuery();a)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><SystemStatus><PlatformCode></PlatformCode><IP></IP><Status></Status></SystemStatus>字段說明(*表示必選)，詳見表A.5。表A.5系統(tǒng)運(yùn)行狀態(tài)上報接口的字段說明表標(biāo)簽名名稱備注類型必選PlatformCode系統(tǒng)所屬行政區(qū)編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*被查詢安全綜合管理平臺IP。char(128)*Status狀態(tài)1-正常，0-離線*A.4風(fēng)險上報接口規(guī)范A.4.1功能描述上級安全綜合管理平臺向下級安全綜合管理平臺下發(fā)風(fēng)險上報請求，下級安全綜合管理平臺向上級系統(tǒng)上報本系統(tǒng)的風(fēng)險信息。接口函數(shù)定義為：publicStringriskInformationQuery(StringXML);<?xmlversion=”1.0”encoding=”UTF-8”?><RiskRequest><Enable></Enable><RiskLevel></RiskLevel></RiskRequest>字段說明(*表示必選)，詳見表A.6。表A.6風(fēng)險上報接口的字段說明表標(biāo)簽名名稱備注類型必選Enable使能發(fā)送1-允許上報風(fēng)險；0-禁止上報風(fēng)險*DB32/T3514.5—2019RiskLevel風(fēng)險等級風(fēng)險等級，分為5級(1-5)，數(shù)字越大表示風(fēng)險越高*b)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><RiskInformationRespone><PlatformCode></PlatformCode><Domain><DomainName></DomainName><RiskValue></RiskValue><RiskLevel></RiskLevel></Domain></RiskInformationRespone>字段說明(*表示必選)，詳見表A.7。表A.7風(fēng)險上報接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選PlatformCode系統(tǒng)所屬行政區(qū)編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*DomainName安全域名稱并可根據(jù)情況增加“專用網(wǎng)絡(luò)區(qū)”char(64)*RiskValue風(fēng)險值風(fēng)險值*RiskLevel風(fēng)險等級風(fēng)險等級，分為5級(1-5)，數(shù)字越大表示風(fēng)險越高*參照GB/T20984-2007，風(fēng)險等級由各監(jiān)管節(jié)點(diǎn)系統(tǒng)自行計算，風(fēng)險等級的編碼詳見表A.8。表A.8風(fēng)險等級編碼表名稱等級編碼描述很高風(fēng)險五級5風(fēng)險一定會對政務(wù)外網(wǎng)全網(wǎng)造成影響。該風(fēng)險會對系統(tǒng)產(chǎn)生嚴(yán)重的影響，影響惡劣。高風(fēng)險四級4風(fēng)險可能會對全政務(wù)外網(wǎng)造成影響。該風(fēng)險會對系統(tǒng)產(chǎn)生較大影響，在一定范圍內(nèi)給系統(tǒng)造成損壞。中等風(fēng)險三級3風(fēng)險只會對監(jiān)管節(jié)點(diǎn)外網(wǎng)造成影響。該風(fēng)險會對系統(tǒng)產(chǎn)生一定的影響，但影響面和影響程度不大。低風(fēng)險二級2風(fēng)險只可能會對監(jiān)管節(jié)點(diǎn)外網(wǎng)造成影響，且對系統(tǒng)造成的影響程度較低，通過一定手段很快能解決。很低風(fēng)險一級1風(fēng)險對監(jiān)管節(jié)點(diǎn)外網(wǎng)基本沒有影響，通過簡單的措施就能彌補(bǔ)。A.5告警上報接口規(guī)范DB32/T3514.5—2019A.5.1功能描述告警上報接口信息。在有告警發(fā)生時，下級安全綜合管理平臺需要向上級系統(tǒng)進(jìn)行通報。上級安全綜合管理平臺向下級系統(tǒng)下發(fā)“訂閱”指令，指定下級系統(tǒng)將符合訂閱要求的告警上報給上級安全綜合管理平臺。下級安全綜合管理平臺依據(jù)訂閱指令開始或停止告警信息的上報。接口函數(shù)定義為：publicStringalarmsInformationQuery(Stringxml);<?xmlversion=”1.0”encoding=”UTF-8”?><AlarmsInformationRequest><Enable></Enable><Starttime></Starttime><Endtime></Endtime><Level></Level><Type></Type></AlarmsInformationRequest>見表A.9。表A.9告警上報接口的字段說明表標(biāo)簽名名稱備注類型必選Enable使能發(fā)送1-允許上報告警；0-禁止上報告警*Starttime告警發(fā)生時間警。時間格式Y(jié)YYY-MM-DDHH24:MM:SS。dateEndtime告警結(jié)束時間Level告警安全級別整型，分5級(1-5)，數(shù)字越大表示級別別的告Type告警分類告警所屬類型Char(64)b)上報采用WebService方法，接口函數(shù)為：publicStringalarmsInformationReport(Stringxml);<?xmlversion=”1.0”encoding=”UTF-8”?><AlarmsInformationReport><Alarm><DeviceIP></DeviceIP><DeviceName></DeviceName><ID></ID><ClearFlag></ClearFlag>20DB32/T3514.5—2019<PlatformCode></PlatformCode><Name></Name><Desc></Desc><Type></Type><Level></Level><OccurTime></OccurTime><IP></IP><Reserved></Reserved></Alarm></AlarmsInformationReport>選)，詳見表A.10。表A.10告警上報接口參數(shù)xml的字段說明表標(biāo)簽名名稱備注類型必選Alarm告警信息元素告警信息的元素，可為多個DeviceIP設(shè)備(系統(tǒng))IPIP，格式支持IPv4/IPv6char(128)*DeviceName設(shè)備(系統(tǒng))名稱發(fā)送告警的安全綜合管理平臺的名稱char(64)告警的ID，標(biāo)識該告警的唯一標(biāo)識，*ClearFlag告警清除標(biāo)志標(biāo)識當(dāng)前消息是告警報文還是恢復(fù)報文，1：告警報文；0：恢復(fù)報文*PlatformCode系統(tǒng)所屬行政區(qū)遵從GB/T2260《中華人民共和國行char(32)*Name告警名稱告警名稱char(256)*Desc告警描述告警描述的詳細(xì)內(nèi)容char(256)*Type告警分類編碼告警所屬分類編碼char(64)Level告警等級告警嚴(yán)重性等級(1-5)，數(shù)字越大級別OccurTime發(fā)生時間告警發(fā)生的時間，采用長整型long(8)*告警涉及的IP告警涉及的IPchar(128)Reserved保留保留字段，供后期使用char(256)d)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><PlatformInfo><Desc></Desc></PlatformInfo>字段說明(*表示必選)，詳見表A.11。21DB32/T3514.5—2019表A.11告警上報接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選Status上報結(jié)果狀態(tài)1-成功；0-失敗t*Desc描述返回出錯信息char(128)參考GB/Z20986-2007、GA/Z1254-2015國家標(biāo)準(zhǔn)對安全事件分類的定義，安全告警分類按照行業(yè)慣例分為5種類型，詳見表A.12。表A.12告警分類編碼表告警分類編碼描述狀態(tài)STA設(shè)備自身運(yùn)行狀態(tài)告警，例如設(shè)備宕機(jī)、網(wǎng)絡(luò)設(shè)備中斷等配置CFG設(shè)備的配置信息變更的告警，例如核心網(wǎng)絡(luò)設(shè)備的配置策略惡意篡改等性能PFM設(shè)備自身的性能告警，例如CPU、內(nèi)存利用率過高等安全SEC通過網(wǎng)絡(luò)或其他技術(shù)手段對信息系統(tǒng)進(jìn)行的攻擊事件告警，例如入侵、暴力破解、DDOS等攻擊告警信息其他OTH上述告警未包括的其他告警類型參照GB/T22240-2008、YD/T1729-2008、GB/Z20986-2007國標(biāo)對安全事件等級的定義，對安全告警等級按行業(yè)慣例分為5級，詳見表A.13。表A.13告警等級編碼表名稱等級編碼描述緊急五級5該告警一定會對政務(wù)外網(wǎng)全網(wǎng)造成影響。該告警會使業(yè)務(wù)中斷并需要立即進(jìn)行故障檢修嚴(yán)重4該告警可能會對政務(wù)外網(wǎng)全網(wǎng)造成影響。該告警會影響業(yè)務(wù)并需要立即進(jìn)行故障檢修重要三級3該告警只會對監(jiān)管節(jié)點(diǎn)外網(wǎng)造成影響。該告警影響現(xiàn)有業(yè)務(wù)，需要進(jìn)行檢修以阻止惡化一般二級2該告警只可能對監(jiān)管節(jié)點(diǎn)外網(wǎng)造成影響。該告警不影響現(xiàn)有業(yè)務(wù)，如不進(jìn)行處理可能會影響業(yè)務(wù)，可視為需要采取措施的告警無一級1正常狀態(tài)A.6遠(yuǎn)程知識庫查詢接口規(guī)范A.7案例上報接口規(guī)范22DB32/T3514.5—2019A.7.1功能描述下級安全綜合管理平臺通過本接口將本級系統(tǒng)的案例上報給上級系統(tǒng)。接口函數(shù)定義為：publicStringlowerDataSyn(Stringxml);a)請求參數(shù)xml格式如下：<?xmlversion="1.0"encoding="UTF-8"?><CaseAnalyselist><PlatformCode></PlatformCode><CaseAnalyse><Id></Id><Casetitle></Casetitle><Createtime></Createtime><Content></Content><Keyproperty></Keyproperty><Createman></Createman><Attachflag></Attachflag><Attachment></Attachment>......<Attachment></Attachment><Reserved></Reserved></CaseAnalyse>......</CaseAnalyselist>字段說明(*表示必選)，詳見表A.14。表A.14案例上報接口的字段說明表標(biāo)簽名名稱備注類型必選PlatformCode編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*案例標(biāo)識案例標(biāo)識，用以區(qū)分案例及類別*Casetitle案例標(biāo)題案例標(biāo)題char(32)*Createtime創(chuàng)建時間案例創(chuàng)建時間,格式Y(jié)YYY-MM-DDHH24:MM:SSdate*Content案例內(nèi)容案例內(nèi)容char(512)*Keyproperty關(guān)鍵字案例關(guān)鍵字說明，用于關(guān)鍵字索引char(32)*Createman案例創(chuàng)建人案例創(chuàng)建人姓名、單位和聯(lián)系方式char(32)*23DB32/T3514.5—2019表A.14案例上報接口的字段說明表(續(xù))Attachflag是否帶附件標(biāo)識1-有附件；0-無附件*Attachment附件文件上傳的URL，采用FTP方char(256)Reserved保留字段保留字段，供系統(tǒng)使用char(256)b)返回格式如下：<?xmlversion="1.0"encoding="UTF-8"?><CaseAnalyseStatus><PlatformCode></PlatformCode><CaseAnalyse><Id></Id><Status></Status><Desc></Desc></CaseAnalyse>......</CaseAnalyseStatus>字段說明(*表示必選)，詳見表A.15。表A.15案例上報接口的返回格式字段說明表標(biāo)簽名名稱備注類型必選PlatformCode系統(tǒng)所屬行政區(qū)編碼遵從GB/T2260《中華人民共和國行政區(qū)劃代碼》char(32)*案例標(biāo)識案例標(biāo)識*Status案例上報狀態(tài)成功或失敗，1-成功，0-失敗*描述成功失敗描述，失敗需寫明失敗A.7.2功能描述下級系統(tǒng)應(yīng)能夠共享上級系統(tǒng)的知識庫內(nèi)容。接口函數(shù)定義為：publicStringqueryDocument