DB14-T 2840-2023 電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)技術(shù)規(guī)范

ICS35.240.01CCSL6714IDB14/T2840—2023前言 32規(guī)范性引用文件 33術(shù)語(yǔ)和定義 34縮略語(yǔ) 45平臺(tái)監(jiān)測(cè)范圍和對(duì)象 46平臺(tái)架構(gòu) 57平臺(tái)功能 6附錄A（資料性）山西省電子政務(wù)外網(wǎng)邏輯架構(gòu) 附錄B（資料性）探針類(lèi)型及部署方式 附錄C（資料性）數(shù)據(jù)總線(xiàn)結(jié)構(gòu) 14參考文獻(xiàn) DB14/T2840—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由山西省政務(wù)信息管理局提出、組織實(shí)施和監(jiān)督檢查。本文件由山西省市場(chǎng)監(jiān)督管理局對(duì)標(biāo)準(zhǔn)的組織實(shí)施情況進(jìn)行監(jiān)督檢查。本文件由山西省電子政務(wù)信息標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本文件起草單位：山西省數(shù)字政府服務(wù)中心、山西云時(shí)代政務(wù)云技術(shù)有限公司、山西省數(shù)字政府建設(shè)運(yùn)營(yíng)有限公司、北京國(guó)信新網(wǎng)通訊技術(shù)有限公司。本文件主要起草人：閻彩英、賈岷峰、李華、鄭亮、趙進(jìn)延、王可強(qiáng)、劉桂楠、史明雪、李偉豪。3DB14/T2840—2023電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)技術(shù)規(guī)范本文件規(guī)定了電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)監(jiān)測(cè)的范圍和對(duì)象、平臺(tái)架構(gòu)、平臺(tái)功能等。本文件適用于電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)的設(shè)計(jì)、建設(shè)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T32924信息安全技術(shù)網(wǎng)絡(luò)安全預(yù)警指南3術(shù)語(yǔ)和定義GB/T25069、GB/T32924界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1電子政務(wù)外網(wǎng)E-governmentextranet運(yùn)行政務(wù)部門(mén)非涉密業(yè)務(wù)應(yīng)用的專(zhuān)用網(wǎng)絡(luò)。3.2城域網(wǎng)metropolitanareanetwork同城各政務(wù)部門(mén)間實(shí)現(xiàn)互聯(lián)互通的電子政務(wù)外網(wǎng)。3.3廣域網(wǎng)wideareanetwork連接不同地區(qū)局域網(wǎng)或城域網(wǎng)，實(shí)現(xiàn)遠(yuǎn)程通信的電子政務(wù)外網(wǎng)。3.4安全監(jiān)測(cè)平臺(tái)securitymonitoringplatform通過(guò)對(duì)網(wǎng)絡(luò)流量、安全日志、威脅情報(bào)等數(shù)據(jù)進(jìn)行實(shí)時(shí)采集、監(jiān)測(cè)和分析，動(dòng)態(tài)識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)，發(fā)現(xiàn)攻擊威脅、資產(chǎn)脆弱性以及安全事件，并進(jìn)行預(yù)警通報(bào)和可視化展示的系統(tǒng)。3.5告警alert對(duì)網(wǎng)絡(luò)安全要素進(jìn)行分析，發(fā)現(xiàn)攻擊或入侵時(shí)，平臺(tái)自動(dòng)向相關(guān)人員發(fā)出的通知。3.6預(yù)警warning針對(duì)即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時(shí)發(fā)出的安全警示。3.7探針probe從被觀察的信息系統(tǒng)中，通過(guò)感知、監(jiān)測(cè)等收集事態(tài)數(shù)據(jù)的一種部件或代理。4DB14/T2840—20233.8數(shù)據(jù)總線(xiàn)databus實(shí)現(xiàn)平臺(tái)中數(shù)據(jù)采集探針、存儲(chǔ)、分析、展示與應(yīng)用等各模塊之間，以及與第三方平臺(tái)之間數(shù)據(jù)共享和交換的功能模塊。3.9威脅情報(bào)threatintelligence一種基于證據(jù)的知識(shí)，用于描述網(wǎng)絡(luò)威脅信息、研判安全態(tài)勢(shì)，支持安全事件響應(yīng)和處置決策。3.10電子政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)（以下簡(jiǎn)稱(chēng)平臺(tái)）E-governmentextranetsecuritymonitoring部署在政務(wù)部門(mén)非涉密業(yè)務(wù)應(yīng)用專(zhuān)用網(wǎng)絡(luò)中的系統(tǒng)，對(duì)網(wǎng)絡(luò)流量、安全日志、威脅情報(bào)等數(shù)據(jù)進(jìn)行實(shí)時(shí)采集、監(jiān)測(cè)和分析，動(dòng)態(tài)識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)，發(fā)現(xiàn)攻擊威脅、資產(chǎn)脆弱性以及安全事件，并進(jìn)行預(yù)警通報(bào)和可視化展示。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。DNS：域名系統(tǒng)(DomainNameSystem)SOC：安全運(yùn)營(yíng)中心（SecurityOperationsCenter）CPU：中央處理器（CentralProcessingUnit）IP：網(wǎng)際互聯(lián)協(xié)議（InternetProtocol）5平臺(tái)監(jiān)測(cè)范圍和對(duì)象5.1平臺(tái)監(jiān)測(cè)范圍平臺(tái)的監(jiān)測(cè)范圍應(yīng)涵蓋下述網(wǎng)絡(luò)區(qū)域，并以各市、縣落地路由為責(zé)任邊界。一般包含如下網(wǎng)絡(luò)區(qū)域（見(jiàn)附錄A）：——廣域網(wǎng)：各級(jí)政務(wù)部門(mén)通過(guò)接入設(shè)備接入廣域骨干網(wǎng)鏈路，實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)；——城域網(wǎng)：同級(jí)政務(wù)部門(mén)通過(guò)接入設(shè)備接入城域網(wǎng)鏈路，實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)；——政務(wù)云平臺(tái)區(qū)：包含互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心和公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)中心，區(qū)域內(nèi)兩個(gè)數(shù)據(jù)中心通過(guò)安全隔離與信息交換系統(tǒng)實(shí)現(xiàn)邏輯隔離；——互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心：是政務(wù)部門(mén)安全接入、開(kāi)展社會(huì)化服務(wù)的網(wǎng)絡(luò)區(qū)域，滿(mǎn)足政務(wù)部門(mén)利用互聯(lián)網(wǎng)開(kāi)展公共服務(wù)、社會(huì)管理、經(jīng)濟(jì)調(diào)節(jié)和市場(chǎng)監(jiān)管的電子政務(wù)業(yè)務(wù)需要；——公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)中心：是各部門(mén)、各地區(qū)互聯(lián)互通的網(wǎng)絡(luò)區(qū)域，為政務(wù)部門(mén)公共服務(wù)及開(kāi)展跨部門(mén)、跨地區(qū)的業(yè)務(wù)應(yīng)用、協(xié)同和數(shù)據(jù)共享提供支撐平臺(tái)；——互聯(lián)網(wǎng)出口區(qū)：同級(jí)政務(wù)部門(mén)實(shí)現(xiàn)統(tǒng)一互聯(lián)網(wǎng)資源訪問(wèn)的邏輯功能區(qū)域；——安管網(wǎng)管區(qū)：承擔(dān)本級(jí)電子政務(wù)外網(wǎng)安全審計(jì)、網(wǎng)絡(luò)監(jiān)控、運(yùn)維管理的邏輯功能區(qū)域；——企業(yè)單位接入?yún)^(qū)：為需要訪問(wèn)電子政務(wù)外網(wǎng)業(yè)務(wù)的企業(yè)，提供指定訪問(wèn)權(quán)限的接入功能區(qū)域。5.2平臺(tái)監(jiān)測(cè)對(duì)象監(jiān)測(cè)的對(duì)象包括基礎(chǔ)網(wǎng)絡(luò)，以及部署在上述網(wǎng)絡(luò)區(qū)域的政務(wù)云平臺(tái)、政務(wù)應(yīng)用和政務(wù)數(shù)據(jù)等信息技術(shù)設(shè)施和資源。當(dāng)電子政務(wù)外網(wǎng)的邊界或結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)及時(shí)調(diào)整監(jiān)測(cè)范圍和平臺(tái)設(shè)備的部署。5DB14/T2840—20236平臺(tái)架構(gòu)6.1平臺(tái)技術(shù)架構(gòu)平臺(tái)技術(shù)架構(gòu)包括數(shù)據(jù)采集與預(yù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)總線(xiàn)、數(shù)據(jù)分析、展示與應(yīng)用、威脅情報(bào)、平臺(tái)安全管理等基本功能模塊，如圖1所示?！獢?shù)據(jù)采集與預(yù)處理：根據(jù)平臺(tái)的監(jiān)測(cè)范圍和監(jiān)測(cè)對(duì)象確定數(shù)據(jù)采集范圍、采集對(duì)象和采集方式，并對(duì)采集的數(shù)據(jù)進(jìn)行解析預(yù)處理，以供進(jìn)一步深度關(guān)聯(lián)分析；——數(shù)據(jù)存儲(chǔ)：對(duì)平臺(tái)中不同類(lèi)型和結(jié)構(gòu)的安全數(shù)據(jù)進(jìn)行存儲(chǔ)；——數(shù)據(jù)總線(xiàn)：實(shí)現(xiàn)平臺(tái)中數(shù)據(jù)采集、存儲(chǔ)、分析、展示與應(yīng)用等各模塊之間，以及與第三方平臺(tái)之間數(shù)據(jù)共享和交換；——數(shù)據(jù)分析：通過(guò)特征碼匹配、關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等數(shù)據(jù)分析技術(shù)識(shí)別網(wǎng)絡(luò)攻擊行為，分析風(fēng)險(xiǎn)態(tài)勢(shì)；——展示與應(yīng)用：根據(jù)決策者、管理人員和運(yùn)維人員不同的需求和關(guān)注重點(diǎn)，進(jìn)行多維度的態(tài)勢(shì)展示，并且支持預(yù)警通報(bào)和應(yīng)急處置；——威脅情報(bào)：為數(shù)據(jù)分析和事件處置提供決策支持信息，實(shí)現(xiàn)威脅情報(bào)數(shù)據(jù)組織、生成、使用和共享交換；——平臺(tái)安全管理：包括平臺(tái)的用戶(hù)管理、配置管理、運(yùn)行監(jiān)控、安全審計(jì)等，為平臺(tái)其他功能模塊提供集中管控機(jī)制。圖1平臺(tái)技術(shù)架構(gòu)圖6.2平臺(tái)部署架構(gòu)6.2.1平臺(tái)部署要求平臺(tái)的部署采用省、市、縣三級(jí)架構(gòu)，如圖2所示，省級(jí)和市級(jí)單獨(dú)建設(shè)平臺(tái)，具備完整的數(shù)據(jù)采集與預(yù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)總線(xiàn)、數(shù)據(jù)分析、展示與應(yīng)用、威脅情報(bào)、平臺(tái)安全管理等功能，省級(jí)和市級(jí)平臺(tái)按照本級(jí)安全監(jiān)測(cè)需求建設(shè)專(zhuān)項(xiàng)監(jiān)測(cè)。縣級(jí)按照實(shí)際需求可不單獨(dú)建設(shè)平臺(tái)，應(yīng)按需部署監(jiān)測(cè)探針（見(jiàn)附錄B）或者監(jiān)測(cè)系統(tǒng)。需要進(jìn)行級(jí)聯(lián)對(duì)接的上級(jí)平臺(tái)和下級(jí)平臺(tái)通過(guò)數(shù)據(jù)總線(xiàn)結(jié)構(gòu)（見(jiàn)附錄C）實(shí)現(xiàn)總體態(tài)勢(shì)、告警日志、認(rèn)證、報(bào)表等數(shù)據(jù)的級(jí)聯(lián)對(duì)接。6DB14/T2840—2023與網(wǎng)絡(luò)安全等級(jí)保護(hù)工作相銜接，平臺(tái)應(yīng)滿(mǎn)足等級(jí)保護(hù)三級(jí)要求、國(guó)家密碼安全管理要求，同時(shí)適用本文安全監(jiān)測(cè)要求。圖2平臺(tái)部署架構(gòu)圖6.3省級(jí)平臺(tái)部署省級(jí)平臺(tái)應(yīng)部署在帶外管理網(wǎng)中，主要對(duì)市級(jí)廣域網(wǎng)接入、城域網(wǎng)接入、政務(wù)云平臺(tái)區(qū)、省屬企業(yè)省直單位區(qū)等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集處理。6.4市級(jí)平臺(tái)部署市級(jí)平臺(tái)應(yīng)部署在帶外管理網(wǎng)中，主要對(duì)縣級(jí)廣域網(wǎng)接入、城域網(wǎng)接入、政務(wù)云平臺(tái)區(qū)、市屬企業(yè)市直單位等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集處理。市級(jí)平臺(tái)應(yīng)按照要求和省級(jí)平臺(tái)進(jìn)行數(shù)據(jù)的級(jí)聯(lián)對(duì)接。6.5縣級(jí)平臺(tái)部署縣級(jí)電子政務(wù)外網(wǎng)可不單獨(dú)建設(shè)平臺(tái)，應(yīng)按需部署相應(yīng)的監(jiān)測(cè)系統(tǒng)或者在關(guān)鍵網(wǎng)絡(luò)邊界部署探針。主要針對(duì)縣廣域網(wǎng)接入、縣城域網(wǎng)接入等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集預(yù)處理。縣級(jí)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)或監(jiān)測(cè)探針應(yīng)按要求和市級(jí)平臺(tái)進(jìn)行所需數(shù)據(jù)的級(jí)聯(lián)對(duì)接。7平臺(tái)功能7.1數(shù)據(jù)采集與預(yù)處理7.1.1數(shù)據(jù)采集7.1.1.1采集范圍采集范圍應(yīng)覆蓋監(jiān)測(cè)范圍內(nèi)的通信網(wǎng)絡(luò)、區(qū)域邊界以及計(jì)算環(huán)境。采集點(diǎn)部署在核心交換節(jié)點(diǎn)、核心匯聚節(jié)點(diǎn)和移動(dòng)接入點(diǎn)等關(guān)鍵節(jié)點(diǎn)。如果監(jiān)測(cè)范圍包括廣域網(wǎng)或城域網(wǎng)，數(shù)據(jù)采集點(diǎn)應(yīng)部署在廣域網(wǎng)和城域網(wǎng)的核心交換節(jié)點(diǎn)、核心匯聚節(jié)點(diǎn)等關(guān)鍵節(jié)點(diǎn)。7.1.1.2采集對(duì)象7DB14/T2840—2023采集對(duì)象應(yīng)包括網(wǎng)絡(luò)流量、資產(chǎn)信息、威脅情報(bào)、脆弱性信息、知識(shí)案例數(shù)據(jù)、安全設(shè)備告警、安全日志等。7.1.1.3采集方式平臺(tái)應(yīng)支持通過(guò)不同的方式采集流量、日志、資產(chǎn)、威脅情報(bào)等信息，包括但不限于：——部署流量探針，通過(guò)流量鏡像的方式獲取被監(jiān)測(cè)的流量；——主動(dòng)或被動(dòng)采集日志；——主動(dòng)掃描或網(wǎng)絡(luò)流量檢測(cè)方式發(fā)現(xiàn)資產(chǎn)，并支持手動(dòng)或第三方導(dǎo)入、補(bǔ)全資產(chǎn)信息；——主動(dòng)掃描、手動(dòng)或第三方導(dǎo)入，獲取資產(chǎn)的脆弱性信息；——通過(guò)級(jí)聯(lián)接口等方式采集第三方平臺(tái)數(shù)據(jù)；——接口更新或第三方導(dǎo)入威脅情報(bào)數(shù)據(jù)；——通過(guò)采集流量、日志、資產(chǎn)、威脅情報(bào)等信息采集方法或?qū)诱?wù)云安全管理平臺(tái)采集政務(wù)云的日志、資產(chǎn)等數(shù)據(jù)；——主動(dòng)或被動(dòng)采集業(yè)務(wù)系統(tǒng)安全日志數(shù)據(jù)；——在關(guān)鍵節(jié)點(diǎn)部署流量探針，進(jìn)行政務(wù)數(shù)據(jù)流量采集。7.1.2數(shù)據(jù)預(yù)處理數(shù)據(jù)預(yù)處理應(yīng)遵循不同的規(guī)則對(duì)采集的數(shù)據(jù)進(jìn)行預(yù)處理，包括但不限于：——數(shù)據(jù)解析規(guī)則、過(guò)濾規(guī)則和補(bǔ)全規(guī)則等，用于過(guò)濾、富化日志信息；——對(duì)網(wǎng)站的采集數(shù)據(jù)進(jìn)行網(wǎng)站安全數(shù)據(jù)預(yù)處理；——自定義數(shù)據(jù)預(yù)處理規(guī)則。7.2數(shù)據(jù)存儲(chǔ)數(shù)據(jù)儲(chǔ)存應(yīng)支持對(duì)不同類(lèi)型和不同結(jié)構(gòu)的數(shù)據(jù)進(jìn)行存儲(chǔ)，包括但不限于：——對(duì)平臺(tái)采集以及處理產(chǎn)生的數(shù)據(jù)進(jìn)行分類(lèi)存儲(chǔ)，包括但不限于流量元數(shù)據(jù)、資產(chǎn)信息、日志數(shù)據(jù)、安全告警、威脅情報(bào)、安全事件、案例知識(shí)庫(kù)等數(shù)據(jù)；——對(duì)結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行存儲(chǔ)；——自定義數(shù)據(jù)存儲(chǔ)時(shí)間；——對(duì)身份鑒別、數(shù)據(jù)分析結(jié)果等重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)；——配置數(shù)據(jù)保護(hù)策略，防止數(shù)據(jù)遭受未經(jīng)授權(quán)的讀取、刪除或修改；——數(shù)據(jù)遷移、數(shù)據(jù)的備份及恢復(fù)；——數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)擴(kuò)展和負(fù)載均衡；——當(dāng)數(shù)據(jù)存儲(chǔ)達(dá)到閾值時(shí)，發(fā)出報(bào)警信息。7.3數(shù)據(jù)總線(xiàn)7.3.1內(nèi)部數(shù)據(jù)交換接口應(yīng)支持平臺(tái)內(nèi)部基本功能模塊之間，通過(guò)接口進(jìn)行數(shù)據(jù)調(diào)用、存儲(chǔ)、分析、展示與應(yīng)用。7.3.2數(shù)據(jù)采集接口應(yīng)支持從不同的數(shù)據(jù)類(lèi)型的數(shù)據(jù)采集探針采集流量元數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)信息、威脅情報(bào)等數(shù)據(jù)。7.3.3級(jí)聯(lián)接口8DB14/T2840—2023具有上下級(jí)聯(lián)關(guān)系的平臺(tái)之間通過(guò)級(jí)聯(lián)接口進(jìn)行數(shù)據(jù)共享和交換，包括但不限于：——數(shù)據(jù)交互內(nèi)容包括但不限于安全告警、預(yù)警信息、安全事件、威脅情報(bào)、工單報(bào)表、統(tǒng)計(jì)數(shù)據(jù)、知識(shí)案例等；——接口類(lèi)型包括但不限于級(jí)聯(lián)注冊(cè)接口、數(shù)據(jù)上傳接口、數(shù)據(jù)下發(fā)接口和數(shù)據(jù)查詢(xún)接口等；——應(yīng)支持在數(shù)據(jù)傳輸過(guò)程中采用密碼技術(shù)保證數(shù)據(jù)的完整性和保密性。7.4數(shù)據(jù)分析7.4.1攻擊行為分析攻擊行為分析應(yīng)支持對(duì)不同的特征和場(chǎng)景攻擊行為進(jìn)行分析，包括但不限于：——特征碼匹配分析，能夠識(shí)別惡意流量特征、惡意文件特征、惡意代碼特征等；——場(chǎng)景化分析，包括但不限于資產(chǎn)違規(guī)外連、賬號(hào)異地登錄、弱口令、數(shù)據(jù)庫(kù)敏感操作等典型場(chǎng)景；——通過(guò)機(jī)器學(xué)習(xí)算法進(jìn)行數(shù)據(jù)分析；——對(duì)多源異構(gòu)的安全大數(shù)據(jù)進(jìn)行聚合或關(guān)聯(lián)分析，發(fā)現(xiàn)攻擊行為；——對(duì)政務(wù)云邊界區(qū)域和管理區(qū)的南北向流量的攻擊行為分析。注：本文所指南北向?yàn)榉?wù)器與外部用戶(hù)、業(yè)務(wù)應(yīng)用等7.4.2風(fēng)險(xiǎn)態(tài)勢(shì)分析風(fēng)險(xiǎn)態(tài)勢(shì)分析應(yīng)支持對(duì)多種數(shù)據(jù)類(lèi)型的態(tài)勢(shì)分析，包括但不限于：——基于資產(chǎn)、威脅和脆弱性監(jiān)測(cè)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的整體安全態(tài)勢(shì)進(jìn)行分析；——基于安全事件的威脅態(tài)勢(shì)分析，安全事件包括但不限于有害程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)攻擊事件、違規(guī)操作事件等；——基于資產(chǎn)的類(lèi)型、分布、重要程度、資產(chǎn)脆弱性等信息，綜合分析資產(chǎn)安全態(tài)勢(shì)；——對(duì)政務(wù)云邊界區(qū)域和管理區(qū)的南北向流量的風(fēng)險(xiǎn)態(tài)勢(shì)分析。7.4.3安全專(zhuān)項(xiàng)分析7.4.3.1網(wǎng)站監(jiān)測(cè)分析網(wǎng)站監(jiān)測(cè)分析應(yīng)支持對(duì)網(wǎng)站的可用性、安全性進(jìn)行分析，包括但不限于：——對(duì)網(wǎng)站可用性進(jìn)行監(jiān)測(cè)分析；——對(duì)網(wǎng)站DNS解析服務(wù)進(jìn)行監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)域名劫持，域名解析失敗等問(wèn)題；——對(duì)網(wǎng)站攻擊行為進(jìn)行分析，包括但不限于網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等事件；——定期對(duì)網(wǎng)站系統(tǒng)漏洞進(jìn)行掃描分析。7.4.3.2業(yè)務(wù)系統(tǒng)分析業(yè)務(wù)系統(tǒng)分析應(yīng)支持不同的行為分析和資產(chǎn)威脅分析，包括但不限于：——業(yè)務(wù)行為分析，包括敏感信息頁(yè)面調(diào)用異常、查詢(xún)數(shù)據(jù)異常、賬號(hào)使用異常等行為；——操作行為分析，包括同一業(yè)務(wù)高頻操作、異常時(shí)間操作、數(shù)據(jù)庫(kù)異常操作等行為；——訪問(wèn)行為分析，包括異常IP地址登錄、非正常時(shí)間段登錄、短時(shí)多IP登錄、異常端口訪問(wèn)等行為；——資產(chǎn)變動(dòng)分析，對(duì)業(yè)務(wù)系統(tǒng)資產(chǎn)的端口或服務(wù)變化情況進(jìn)行監(jiān)測(cè)分析；——7*24小時(shí)的技術(shù)分析與人工研判，健全電子政務(wù)外網(wǎng)主動(dòng)防控、云地協(xié)同的聯(lián)防聯(lián)控保障能9DB14/T2840—20237.5展示與應(yīng)用7.5.1監(jiān)測(cè)視圖監(jiān)測(cè)視圖應(yīng)支持不同類(lèi)型、緯度的安全態(tài)勢(shì)展示及告警，包括但不限于：——對(duì)網(wǎng)絡(luò)整體安全態(tài)勢(shì)的展示，展示方式包括安全告警圖、資產(chǎn)態(tài)勢(shì)圖、拓?fù)鋱D、路徑等至少兩種表現(xiàn)形式；——基于威脅類(lèi)型、攻擊次數(shù)、威脅來(lái)源、威脅目標(biāo)、攻擊路徑等信息的威脅視圖展示；——基于資產(chǎn)類(lèi)型、分布、資產(chǎn)脆弱性、相關(guān)攻擊事件等信息的資產(chǎn)安全視圖展示；——基于事件類(lèi)型、源IP、目的IP、受攻擊資產(chǎn)、威脅等級(jí)、處置情況等信息的安全事件視圖展示；——基于統(tǒng)計(jì)信息、實(shí)時(shí)信息、歷史信息和變化趨勢(shì)的展示方式，以及分角色展示方式；——基于政務(wù)云平臺(tái)維度、租戶(hù)維度的態(tài)勢(shì)展示；——政務(wù)云邊界區(qū)域、政務(wù)云南北向和管理區(qū)的威脅態(tài)勢(shì)和資產(chǎn)安全態(tài)勢(shì)展示；——與政務(wù)云邊界安全設(shè)備或云安全服務(wù)組件進(jìn)行聯(lián)動(dòng)，自動(dòng)完成應(yīng)急處置任務(wù)；——對(duì)安全態(tài)勢(shì)的展示，包括威脅統(tǒng)計(jì)、資產(chǎn)統(tǒng)計(jì)和脆弱性統(tǒng)計(jì)等；——對(duì)安全事件的告警，內(nèi)容包括但不限于告警類(lèi)型、告警級(jí)別、受影響數(shù)據(jù)資產(chǎn)信息等；——根據(jù)分析結(jié)果進(jìn)行實(shí)時(shí)告警，告警內(nèi)容包括但不限于告警類(lèi)型、告警級(jí)別、受威脅的業(yè)務(wù)資產(chǎn)信息、網(wǎng)站標(biāo)識(shí)、網(wǎng)站地址等。7.5.2攻擊面展示攻擊面展示應(yīng)支持在不同時(shí)期對(duì)資產(chǎn)威脅的可視化展示，包括但不限于：——在重要或特殊時(shí)期通過(guò)安全探測(cè)等方式對(duì)重要資產(chǎn)的威脅進(jìn)行持續(xù)發(fā)現(xiàn)、排序和監(jiān)控；——對(duì)重要資產(chǎn)的攻擊面信息進(jìn)行詳細(xì)展示，包括但不限于：攻擊故事線(xiàn)、影響資產(chǎn)、攻擊源、歷史攻擊、攻擊面分析、網(wǎng)絡(luò)連接行為、文件行為、域名訪問(wèn)行為、模塊加載行為、進(jìn)程操作行為等；——以圖形化的方式展現(xiàn)電子政務(wù)外網(wǎng)各類(lèi)重要資產(chǎn)的分布狀況、相互關(guān)系、潛在攻擊路徑等。7.5.3預(yù)警通報(bào)預(yù)警通報(bào)應(yīng)支持不同安全威脅的預(yù)警與通報(bào)，包括但不限于：——基于數(shù)據(jù)分析結(jié)構(gòu)和告警規(guī)則，實(shí)時(shí)產(chǎn)生分級(jí)別安全告警；——按照設(shè)定的預(yù)警級(jí)別和預(yù)警流程發(fā)布預(yù)警信息，預(yù)警內(nèi)容包括但不限于：預(yù)警類(lèi)型、預(yù)警級(jí)別、威脅方式、涉及對(duì)象、影響程度、防范對(duì)策等；——按照設(shè)定的安全事件通報(bào)流程進(jìn)行事件通報(bào)，通報(bào)內(nèi)容包括但不限于事件類(lèi)型、攻擊源IP、目標(biāo)IP、事件級(jí)別、事件分析、影響程度和處置建議等；——平臺(tái)、郵件、短信、即時(shí)通訊、文件等兩種及以上預(yù)警和通報(bào)方式。7.5.4應(yīng)急處置應(yīng)急處置應(yīng)支持對(duì)安全告警或安全事件的溯源、聯(lián)動(dòng)處置，包括但不限于：——將安全告警或安全事件形成處置任務(wù)，并進(jìn)行記錄、跟蹤和歸檔；——對(duì)安全告警或安全事件進(jìn)行調(diào)查取證，包含告警溯源信息和關(guān)聯(lián)的原始日志；——與第三方設(shè)備或平臺(tái)聯(lián)動(dòng)，根據(jù)監(jiān)測(cè)結(jié)果，協(xié)助實(shí)施動(dòng)態(tài)訪問(wèn)控制等安全處置行動(dòng)；——與政務(wù)云邊界安全設(shè)備或云安全服務(wù)組件進(jìn)行聯(lián)動(dòng)，自動(dòng)完成應(yīng)急處置任務(wù)。DB14/T2840—20237.6威脅情報(bào)7.6.1威脅情報(bào)組織威脅情報(bào)組織應(yīng)支持情報(bào)的歸類(lèi)與更新，包括但不限于：——威脅情報(bào)分類(lèi)、存儲(chǔ)，包括但不限于域名類(lèi)、IP類(lèi)、文件類(lèi)等；——威脅情報(bào)數(shù)據(jù)手動(dòng)更新或者在線(xiàn)更新，更新頻率不超過(guò)24小時(shí)。7.6.2威脅情報(bào)使用威脅情報(bào)使用應(yīng)支持情報(bào)的查詢(xún)與導(dǎo)入/導(dǎo)出，包括但不限于：——提供威脅情報(bào)數(shù)據(jù)查詢(xún)和比對(duì)接口，供數(shù)據(jù)實(shí)時(shí)分析和批量查詢(xún)；——通過(guò)接口方式或文件導(dǎo)入/導(dǎo)出方式，實(shí)現(xiàn)與第三方平臺(tái)的威脅情報(bào)共享交換和使用。7.6.3威脅情報(bào)生成應(yīng)支持情報(bào)的生成、自定義及管理，包括但不限于：——獲取原始樣本或數(shù)據(jù)，并對(duì)其進(jìn)行歸類(lèi)、分析、加工、處理后生成威脅情報(bào)；——自定義威脅情報(bào)標(biāo)簽；——手動(dòng)增加或刪除威脅情報(bào)。7.7平臺(tái)安全管理7.7.1用戶(hù)管理用戶(hù)管理應(yīng)支持用戶(hù)賬號(hào)及角色的管理，包括但不限于：——用戶(hù)、用戶(hù)組的增加、刪除、修改、查詢(xún)及分組管理；——?jiǎng)澐植煌慕巧?，并為不同角色分配?quán)限。7.7.2資產(chǎn)管理資產(chǎn)管理應(yīng)支持資產(chǎn)指紋及詳細(xì)信息的管理，包括但不限于：——記錄資產(chǎn)的屬性信息包括但不限于資產(chǎn)名稱(chēng)、資產(chǎn)類(lèi)型、資產(chǎn)IP、所屬業(yè)務(wù)系統(tǒng)、部署位置、資產(chǎn)負(fù)責(zé)人等信息；——按照類(lèi)型、部署位置、所屬業(yè)務(wù)系統(tǒng)等屬性對(duì)資產(chǎn)進(jìn)行分組管理；——資產(chǎn)信息的增加、刪除、查詢(xún)、標(biāo)記；——資產(chǎn)信息的批量導(dǎo)入、導(dǎo)出。7.7.3配置管理配置管理應(yīng)支持平臺(tái)基線(xiàn)配置的管理，包括但不限于：——對(duì)用戶(hù)賬號(hào)和口令的配置管理，包括初次登錄口令修改、賬號(hào)鎖定時(shí)間、口令有效期、登錄嘗試次數(shù)、口令長(zhǎng)度和復(fù)雜度限制等；——平臺(tái)各基本功能模塊與唯一確定時(shí)鐘進(jìn)行自動(dòng)同步，每天至少同步一次；——對(duì)平臺(tái)安全策略、特征庫(kù)、補(bǔ)丁等進(jìn)行升級(jí)。7.7.4運(yùn)行監(jiān)控應(yīng)支持實(shí)時(shí)監(jiān)控平臺(tái)設(shè)備運(yùn)行狀態(tài)，包括但不限于CPU使用率、內(nèi)存使用情況、磁盤(pán)使用情況、網(wǎng)絡(luò)流量情況、設(shè)備產(chǎn)生的異常報(bào)警等。DB14/T2840—20237.7.5身份鑒別身份鑒別應(yīng)支持多種身份鑒別方式，包括但不限于：——對(duì)平臺(tái)登錄用戶(hù)進(jìn)行身份鑒別，身份鑒別信息應(yīng)具有復(fù)雜度和定期更換要求；——應(yīng)采用密碼技術(shù)保證身份鑒別信息在傳輸過(guò)程中的完整性和保密性；——應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別，且其中至少一種鑒別技術(shù)應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。7.7.6訪問(wèn)控制應(yīng)支持多種權(quán)限的訪問(wèn)控制，包括但不限于：——向授權(quán)用戶(hù)提供配置、查詢(xún)和修改各種安全策略的功能；——向授權(quán)用戶(hù)提供管理日志的功能，包括日志的存儲(chǔ)、導(dǎo)出和備份等；——在用戶(hù)遠(yuǎn)程管理方式下，限定遠(yuǎn)程管理端IP地址范圍，并采取措施保證管理端與平臺(tái)之間數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?.7.7安全審計(jì)應(yīng)支持對(duì)平臺(tái)日常操作的安全審計(jì)，包括但不限于：——對(duì)每個(gè)用戶(hù)的操作行為進(jìn)行安全審計(jì)，包括但不限于：.管理員的登錄成功和失敗；.因身份鑒別嘗試失敗次數(shù)達(dá)到設(shè)定值導(dǎo)致的會(huì)話(huà)連接終止；.對(duì)安全策略進(jìn)行配置的操作；.對(duì)管理用戶(hù)進(jìn)行增加、刪除和屬性修改的操作?！獙徲?jì)記錄應(yīng)至少包括事件發(fā)生日期、時(shí)間、用戶(hù)標(biāo)識(shí)、事件類(lèi)型、操作結(jié)果等信息。日期應(yīng)精確到日，時(shí)間應(yīng)精確到秒；——應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到刪除、修改或覆蓋。DB14/T2840—2023（資料性）山西省電子政務(wù)外網(wǎng)邏輯架構(gòu)A.1山西省電子政務(wù)外網(wǎng)邏輯架構(gòu)主要包括