《電子政務(wù)外網(wǎng)安全監(jiān)測平臺技術(shù)規(guī)范》

DB/TXXXXX—2023DB/TXXXXX—2023ICSFORMTEXT點(diǎn)擊此處添加ICS號CCSFORMTEXT點(diǎn)擊此處添加CCS號14山西省地方標(biāo)準(zhǔn)FORMTEXTDB14/TXXXX—2023FORMTEXT?????電子政務(wù)外網(wǎng)安全監(jiān)測平臺技術(shù)規(guī)范FORMTEXT點(diǎn)擊此處添加標(biāo)準(zhǔn)英文譯名FORMTEXT(點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識)FORMDROPDOWNFORMDROPDOWNFORMTEXT（本草案完成時(shí)間：2023年4月）FORMTEXT在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上FORMTEXT2023-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXT2023-FORMTEXTXX-FORMTEXTXX實(shí)施山西省市場監(jiān)督管理局??發(fā)布 II信息安全技術(shù)電子政務(wù)外網(wǎng)安全監(jiān)測平臺技術(shù)規(guī)范范圍本文件規(guī)定了電子政務(wù)外網(wǎng)安全監(jiān)測平臺的平臺架構(gòu)、平臺功能。本文件適用于電子政務(wù)外網(wǎng)安全監(jiān)測平臺的設(shè)計(jì)、建設(shè)。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/Z20986信息安全技術(shù)信息安全事件分類分級指南GB/T25069信息安全技術(shù)術(shù)語GB/T32924信息安全技術(shù)網(wǎng)絡(luò)安全預(yù)警指南術(shù)語和定義GB/T25069、GB/T32924界定的以及下列術(shù)語和定義適用于本文件。電子政務(wù)外網(wǎng)E-governmentextranet運(yùn)行政務(wù)部門非涉密業(yè)務(wù)應(yīng)用的專用網(wǎng)絡(luò)。城域網(wǎng)metropolitanareanetwork同城各政務(wù)部門間實(shí)現(xiàn)互聯(lián)互通的電子政務(wù)外網(wǎng)。廣域網(wǎng)wideareanetwork連接不同地區(qū)局域網(wǎng)或城域網(wǎng)，實(shí)現(xiàn)遠(yuǎn)程通信的電子政務(wù)外網(wǎng)。安全監(jiān)測平臺securitymonitoringplatform通過對網(wǎng)絡(luò)流量、安全日志、威脅情報(bào)等數(shù)據(jù)進(jìn)行實(shí)時(shí)采集、監(jiān)測和分析，動態(tài)識別網(wǎng)絡(luò)風(fēng)險(xiǎn)，發(fā)現(xiàn)攻擊威脅、資產(chǎn)脆弱性以及安全事件，并進(jìn)行預(yù)警通報(bào)和可視化展示的系統(tǒng)。告警alert對網(wǎng)絡(luò)安全要素進(jìn)行分析，發(fā)現(xiàn)攻擊或入侵時(shí)，平臺自動向相關(guān)人員發(fā)出的通知。預(yù)警warning針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時(shí)發(fā)出的安全警示。[來源:GB/T329243.5]探針probe從被觀察的信息系統(tǒng)中，通過感知、監(jiān)測等收集事態(tài)數(shù)據(jù)的一種部件或代理。[來源:GB/T250697]數(shù)據(jù)總線databus實(shí)現(xiàn)平臺中數(shù)據(jù)采集探針、存儲、分析、展示與應(yīng)用等各模塊之間，以及與第三方平臺之間數(shù)據(jù)共享和交換的功能模塊。威脅情報(bào)threatintelligence一種基于證據(jù)的知識，用于描述網(wǎng)絡(luò)威脅信息、研判安全態(tài)勢，支持安全事件響應(yīng)和處置決策?？s略語下列縮略語適用于本文件。API:應(yīng)用程序接口(ApplicationProgrammingInterface)DNS:域名系統(tǒng)(DomainNameSystem)HTTP:超文本傳輸協(xié)議(HypertextTransferProtocol)JSON:JS對象簡譜(JavaScriptObjectNotation)URL:統(tǒng)一資源定位系統(tǒng)(UniformResourceLocator)VPC:虛擬私有云(VirtualPrivateCloud)

安全監(jiān)測平臺架構(gòu)平臺技術(shù)架構(gòu)電子政務(wù)外網(wǎng)安全監(jiān)測平臺包括數(shù)據(jù)采集與預(yù)處理、數(shù)據(jù)存儲、數(shù)據(jù)總線、數(shù)據(jù)分析、展示與應(yīng)用、威脅情報(bào)、平臺安全管理等基本功能模塊，其技術(shù)架構(gòu)如圖1所示。電子政務(wù)外網(wǎng)安全監(jiān)測平臺技術(shù)架構(gòu)數(shù)據(jù)采集與預(yù)處理：根據(jù)電子政務(wù)外網(wǎng)安全監(jiān)測平臺的監(jiān)測范圍和監(jiān)測對象確定數(shù)據(jù)采集范圍、采集對象和采集方式，并對采集的數(shù)據(jù)進(jìn)行解析預(yù)處理，以供進(jìn)一步深度關(guān)聯(lián)分析；數(shù)據(jù)存儲：對平臺中不同類型和結(jié)構(gòu)的安全數(shù)據(jù)進(jìn)行存儲；數(shù)據(jù)總線：實(shí)現(xiàn)平臺中數(shù)據(jù)采集、存儲、分析、展示與應(yīng)用等各模塊之間，以及與平臺上下級之間級聯(lián)對接；數(shù)據(jù)分析：通過特征碼匹配、關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)等數(shù)據(jù)分析技術(shù)識別網(wǎng)絡(luò)攻擊行為，分析風(fēng)險(xiǎn)態(tài)勢;展示與應(yīng)用：根據(jù)決策者、管理人員和運(yùn)維人員不同的需求和關(guān)注重點(diǎn)，進(jìn)行多維度的態(tài)勢展示，并且支持預(yù)警通報(bào)和應(yīng)急處置;威脅情報(bào)：為數(shù)據(jù)分析和事件處置提供決策支持信息，實(shí)現(xiàn)威脅情報(bào)數(shù)據(jù)組織、生成、使用和共享交換;平臺安全管理：包括平臺的用戶管理、配置管理、運(yùn)行監(jiān)控、安全審計(jì)等，為平臺其他功能模塊提供集中管控機(jī)制。平臺部署架構(gòu)電子政務(wù)外網(wǎng)安全監(jiān)測平臺采用省、地市、區(qū)縣三級架構(gòu)（見附錄A），省級和地市級單獨(dú)建設(shè)安全監(jiān)測平臺，具備完整的數(shù)據(jù)采集與預(yù)處理、數(shù)據(jù)存儲、數(shù)據(jù)總線、數(shù)據(jù)分析、展示與應(yīng)用、威脅情報(bào)、平臺安全管理等功能，省級和地市級平臺按照本級安全監(jiān)測需求建設(shè)專項(xiàng)監(jiān)測。區(qū)縣級按照實(shí)際需求可不單獨(dú)建設(shè)監(jiān)測分析平臺，應(yīng)按需部署監(jiān)測探針或者監(jiān)測系統(tǒng)。需要進(jìn)行級聯(lián)對接的上級平臺和下級平臺通過數(shù)據(jù)總線接口規(guī)范（見附錄B）實(shí)現(xiàn)總體態(tài)勢、告警日志、認(rèn)證、報(bào)表等數(shù)據(jù)的級聯(lián)對接。與網(wǎng)絡(luò)安全等級保護(hù)工作相銜接，電子政務(wù)外網(wǎng)安全監(jiān)測平臺應(yīng)滿足等級保護(hù)三級要求、國家密碼安全管理要求，同時(shí)適用本文安全監(jiān)測要求。省級平臺部署省級電子政務(wù)外網(wǎng)安全監(jiān)測平臺應(yīng)部署在帶外管理網(wǎng)中，主要對地市級廣域網(wǎng)接入、城域網(wǎng)接入、政務(wù)云平臺區(qū)、省屬企業(yè)省直單位區(qū)等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集處理。地市級平臺部署地市級電子政務(wù)外網(wǎng)安全監(jiān)測平臺應(yīng)部署在帶外管理網(wǎng)中，主要對區(qū)縣級廣域網(wǎng)接入、城域網(wǎng)接入、政務(wù)云平臺區(qū)、市屬企業(yè)市直單位等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集處理。地市級電子政務(wù)外網(wǎng)安全監(jiān)測平臺應(yīng)按照要求和省級電子政務(wù)外網(wǎng)安全監(jiān)測平臺進(jìn)行數(shù)據(jù)的級聯(lián)對接。區(qū)縣級平臺部署區(qū)縣級電子政務(wù)外網(wǎng)可不單獨(dú)建設(shè)電子政務(wù)外網(wǎng)安全監(jiān)測平臺，應(yīng)按需部署相應(yīng)的監(jiān)測系統(tǒng)或者在關(guān)鍵網(wǎng)絡(luò)邊界部署探針。主要針對區(qū)縣廣域網(wǎng)接入、區(qū)縣城域網(wǎng)接入等區(qū)域進(jìn)行流量、日志等維度信息的數(shù)據(jù)采集預(yù)處理。區(qū)縣級網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)或監(jiān)測探針應(yīng)按要求和地市級安全監(jiān)測平臺進(jìn)行所需數(shù)據(jù)的級聯(lián)對接。安全監(jiān)測平臺功能平臺監(jiān)測范圍和對象山西省電子政務(wù)外網(wǎng)主要承載山西省各級政務(wù)部門的辦公類應(yīng)用、公眾服務(wù)類應(yīng)用，以及跨地區(qū)、跨部門業(yè)務(wù)協(xié)同和數(shù)據(jù)共享類應(yīng)用。山西省電子政務(wù)外網(wǎng)一般包含如下網(wǎng)絡(luò)區(qū)域（見附錄C）：廣域網(wǎng)：各級政務(wù)部門實(shí)現(xiàn)上下互聯(lián)互通的網(wǎng)絡(luò)。各級電子政務(wù)外網(wǎng)通過接入設(shè)備接入廣域骨干網(wǎng)鏈路；城域網(wǎng)：同級政務(wù)部門實(shí)現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)。各政務(wù)部門通過接入設(shè)備接入城域網(wǎng)鏈路；政務(wù)云平臺區(qū)/信創(chuàng)云平臺區(qū)：包含互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心和公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)中心，區(qū)域內(nèi)兩個(gè)數(shù)據(jù)中心通過安全隔離與信息交換系統(tǒng)實(shí)現(xiàn)邏輯隔離；互聯(lián)網(wǎng)區(qū)數(shù)據(jù)中心：是政務(wù)部門安全接入、開展社會化服務(wù)的網(wǎng)絡(luò)區(qū)域，滿足政務(wù)部門利用互聯(lián)網(wǎng)開展公共服務(wù)、社會管理、經(jīng)濟(jì)調(diào)節(jié)和市場監(jiān)管的電子政務(wù)業(yè)務(wù)需要；公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)中心：是各部門、各地區(qū)互聯(lián)互通的網(wǎng)絡(luò)區(qū)域，為政務(wù)部門公共服務(wù)及開展跨部門、跨地區(qū)的業(yè)務(wù)應(yīng)用、協(xié)同和數(shù)據(jù)共享提供支撐平臺；互聯(lián)網(wǎng)出口區(qū)：同級政務(wù)部門實(shí)現(xiàn)統(tǒng)一互聯(lián)網(wǎng)資源訪問的邏輯功能區(qū)域；安管網(wǎng)管區(qū)：承擔(dān)本級電子政務(wù)外網(wǎng)安全審計(jì)、網(wǎng)絡(luò)監(jiān)控、運(yùn)維管理的邏輯功能區(qū)域；企業(yè)單位接入?yún)^(qū)：為需要訪問電子政務(wù)外網(wǎng)業(yè)務(wù)的企業(yè)，提供指定訪問權(quán)限的接入功能區(qū)域。電子政務(wù)外網(wǎng)安全監(jiān)測平臺的監(jiān)測范圍應(yīng)涵蓋上述網(wǎng)絡(luò)區(qū)域，并以各地市、縣落地路由為各級責(zé)任邊界。監(jiān)測的對象包括基礎(chǔ)網(wǎng)絡(luò)，以及部署在上述網(wǎng)絡(luò)區(qū)域的政務(wù)云平臺、政務(wù)應(yīng)用和政務(wù)數(shù)據(jù)等信息技術(shù)設(shè)施和資源。當(dāng)電子政務(wù)外網(wǎng)的邊界或結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)及時(shí)調(diào)整監(jiān)測范圍和監(jiān)測平臺設(shè)備的部署。數(shù)據(jù)采集與預(yù)處理數(shù)據(jù)采集采集范圍應(yīng)覆蓋監(jiān)測范圍內(nèi)的通信網(wǎng)絡(luò)、區(qū)域邊界以及計(jì)算環(huán)境。采集點(diǎn)部署在核心交換節(jié)點(diǎn)、核心匯聚節(jié)點(diǎn)和移動接入點(diǎn)等關(guān)鍵節(jié)點(diǎn)。如果監(jiān)測范圍包括廣域網(wǎng)或城域網(wǎng)，數(shù)據(jù)采集點(diǎn)應(yīng)部署在廣域網(wǎng)和城域網(wǎng)的核心交換節(jié)點(diǎn)、核心匯聚節(jié)點(diǎn)等關(guān)鍵節(jié)點(diǎn)；采集對象包括：網(wǎng)絡(luò)流量、資產(chǎn)信息、威脅情報(bào)、脆弱性信息、知識案例數(shù)據(jù)、安全設(shè)備告警、安全日志等；平臺應(yīng)支持通過不同的方式采集流量、日志、資產(chǎn)、威脅情報(bào)等信息：應(yīng)支持部署流量探針，通過流量鏡像的方式獲取被監(jiān)測的流量；應(yīng)支持主動或被動采集日志；應(yīng)支持主動掃描或網(wǎng)絡(luò)流量檢測方式發(fā)現(xiàn)資產(chǎn)，并支持手動或第三方導(dǎo)入、補(bǔ)全資產(chǎn)信息；應(yīng)支持主動掃描、手動或第三方導(dǎo)入，獲取資產(chǎn)的脆弱性信息；應(yīng)支持通過級聯(lián)接口等方式采集第三方平臺數(shù)據(jù)；應(yīng)支持接口更新或第三方導(dǎo)入威脅情報(bào)數(shù)據(jù)；應(yīng)支持通過采集流量、日志、資產(chǎn)、威脅情報(bào)等信息采集方法或?qū)诱?wù)云安全管理平臺采集政務(wù)云的日志、資產(chǎn)等數(shù)據(jù)；應(yīng)支持主動或被動采集業(yè)務(wù)系統(tǒng)安全日志數(shù)據(jù)；應(yīng)支持在關(guān)鍵節(jié)點(diǎn)部署流量探針，進(jìn)行政務(wù)數(shù)據(jù)流量采集。數(shù)據(jù)預(yù)處理應(yīng)具備數(shù)據(jù)解析規(guī)則、過濾規(guī)則和補(bǔ)全規(guī)則等，用于過濾、富化日志信息；應(yīng)支持對網(wǎng)站的采集數(shù)據(jù)進(jìn)行網(wǎng)站安全數(shù)據(jù)預(yù)處理；應(yīng)支持自定義數(shù)據(jù)預(yù)處理規(guī)則。數(shù)據(jù)存儲本項(xiàng)要求包括：應(yīng)支持對平臺采集以及處理產(chǎn)生的數(shù)據(jù)進(jìn)行分類存儲，包括但不限于流量元數(shù)據(jù)、資產(chǎn)信息、日志數(shù)據(jù)、安全告警、威脅情報(bào)、安全事件、案例知識庫等數(shù)據(jù)；應(yīng)支持對結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行存儲；應(yīng)支持自定義數(shù)據(jù)存儲時(shí)間；應(yīng)支持對身份鑒別、數(shù)據(jù)分析結(jié)果等重要數(shù)據(jù)進(jìn)行加密存儲；應(yīng)支持配置數(shù)據(jù)保護(hù)策略，防止數(shù)據(jù)遭受未經(jīng)授權(quán)的讀取、刪除或修改；應(yīng)支持?jǐn)?shù)據(jù)遷移、數(shù)據(jù)的備份及恢復(fù)；應(yīng)支持?jǐn)?shù)據(jù)存儲節(jié)點(diǎn)擴(kuò)展和負(fù)載均衡；應(yīng)支持當(dāng)數(shù)據(jù)存儲達(dá)到閾值時(shí)，發(fā)出報(bào)警信息。數(shù)據(jù)總線數(shù)據(jù)類型應(yīng)支持根據(jù)數(shù)據(jù)類型定義數(shù)據(jù)格式、數(shù)據(jù)協(xié)議和接口調(diào)用。數(shù)據(jù)類型包括但不限于流量元數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)信息、安全告警、威脅情報(bào)、安全事件、工單報(bào)表等。內(nèi)部數(shù)據(jù)交換接口應(yīng)支持平臺內(nèi)部基本功能模塊之間，通過接口進(jìn)行數(shù)據(jù)調(diào)用、存儲、分析、展示與應(yīng)用。數(shù)據(jù)采集接口應(yīng)支持從不同類型的數(shù)據(jù)采集探針采集流量元數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)信息、威脅情報(bào)等數(shù)據(jù)。級聯(lián)接口具有上下級聯(lián)關(guān)系的平臺之間通過級聯(lián)接口進(jìn)行數(shù)據(jù)共享和交換，本項(xiàng)要求包括：數(shù)據(jù)交互內(nèi)容包括但不限于安全告警、預(yù)警信息、安全事件、威脅情報(bào)、工單報(bào)表、統(tǒng)計(jì)數(shù)據(jù)、知識案例等；接口類型包括但不限于級聯(lián)注冊接口、數(shù)據(jù)上傳接口、數(shù)據(jù)下發(fā)接口和數(shù)據(jù)查詢接口等；應(yīng)支持在數(shù)據(jù)傳輸過程中采用密碼技術(shù)保證數(shù)據(jù)的完整性和保密性。數(shù)據(jù)分析攻擊行為分析應(yīng)支持特征碼匹配分析，能夠識別惡意流量特征、惡意文件特征、惡意代碼特征等；應(yīng)支持場景化分析，包括但不限于資產(chǎn)違規(guī)外連、賬號異地登錄、弱口令、數(shù)據(jù)庫敏感操作等典型場景；應(yīng)支持通過機(jī)器學(xué)習(xí)算法進(jìn)行數(shù)據(jù)分析；應(yīng)支持對多源異構(gòu)的安全大數(shù)據(jù)進(jìn)行聚合或關(guān)聯(lián)分析，發(fā)現(xiàn)攻擊行為；應(yīng)支持對政務(wù)云邊界區(qū)域和管理區(qū)的南北向流量的攻擊行為分析。風(fēng)險(xiǎn)態(tài)勢分析應(yīng)支持基于資產(chǎn)、威脅和脆弱性監(jiān)測數(shù)據(jù)，對網(wǎng)絡(luò)的整體安全態(tài)勢進(jìn)行分析；應(yīng)支持基于安全事件的威脅態(tài)勢分析，安全事件包括但不限于有害程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)攻擊事件、違規(guī)操作事件等；應(yīng)支持基于資產(chǎn)的類型、分布、重要程度、資產(chǎn)脆弱性等信息，綜合分析資產(chǎn)安全態(tài)勢；應(yīng)支持對政務(wù)云邊界區(qū)域和管理區(qū)的南北向流量的風(fēng)險(xiǎn)態(tài)勢分析。安全專項(xiàng)分析應(yīng)支持對網(wǎng)站可用性進(jìn)行監(jiān)測分析；應(yīng)支持對網(wǎng)站DNS解析服務(wù)進(jìn)行監(jiān)測，及時(shí)發(fā)現(xiàn)域名劫持，域名解析失敗等問題；應(yīng)支持對網(wǎng)站攻擊行為進(jìn)行分析，包括但不限于網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等事件；應(yīng)支持定期對網(wǎng)站系統(tǒng)漏洞進(jìn)行掃描分析。應(yīng)支持業(yè)務(wù)行為分析，包括敏感信息頁面調(diào)用異常、查詢數(shù)據(jù)異常、賬號使用異常等行為；應(yīng)支持操作行為分析，包括同一業(yè)務(wù)高頻操作、異常時(shí)間操作、數(shù)據(jù)庫異常操作等行為；應(yīng)支持訪問行為分析，包括異常IP地址登錄、非正常時(shí)間段登錄、短時(shí)多IP登錄、異常端口訪問等行為；應(yīng)支持資產(chǎn)變動分析，對業(yè)務(wù)系統(tǒng)資產(chǎn)的端口或服務(wù)變化情況進(jìn)行監(jiān)測分析；應(yīng)支持7*24小時(shí)的技術(shù)分析與人工研判，健全電子政務(wù)外網(wǎng)主動防控、云地協(xié)同的聯(lián)防聯(lián)控保障能力。展示與應(yīng)用監(jiān)測視圖本項(xiàng)要求包括：應(yīng)支持對網(wǎng)絡(luò)整體安全態(tài)勢的展示，展示方式包括安全告警圖、資產(chǎn)態(tài)勢圖、拓?fù)鋱D、路徑等至少兩種表現(xiàn)形式；應(yīng)支持基于威脅類型、攻擊次數(shù)、威脅來源、威脅目標(biāo)、攻擊路徑等信息的威脅視圖展示；應(yīng)支持基于資產(chǎn)類型、分布、資產(chǎn)脆弱性、相關(guān)攻擊事件等信息的資產(chǎn)安全視圖展示；應(yīng)支持基于事件類型、源IP、目的IP、受攻擊資產(chǎn)、威脅等級、處置情況等信息的安全事件視圖展示；應(yīng)支持基于統(tǒng)計(jì)信息、實(shí)時(shí)信息、歷史信息和變化趨勢的展示方式，以及分角色展示方式；應(yīng)支持基于政務(wù)云平臺維度、租戶維度的態(tài)勢展示；應(yīng)支持政務(wù)云邊界區(qū)域、政務(wù)云南北向和管理區(qū)的威脅態(tài)勢和資產(chǎn)安全態(tài)勢展示；應(yīng)支持與政務(wù)云邊界安全設(shè)備或云安全服務(wù)組件進(jìn)行聯(lián)動，自動完成應(yīng)急處置任務(wù)；應(yīng)支持對安全態(tài)勢的展示，包括威脅統(tǒng)計(jì)、資產(chǎn)統(tǒng)計(jì)和脆弱性統(tǒng)計(jì)等；應(yīng)支持對安全事件的告警，內(nèi)容包括但不限于告警類型、告警級別、受影響數(shù)據(jù)資產(chǎn)信息等；應(yīng)支持根據(jù)分析結(jié)果進(jìn)行實(shí)時(shí)告警，告警內(nèi)容包括但不限于告警類型、告警級別、受威脅的業(yè)務(wù)資產(chǎn)信息、網(wǎng)站標(biāo)識、網(wǎng)站地址等。攻擊面展示本項(xiàng)要求包括：應(yīng)支持在重要或特殊時(shí)期通過安全探測等方式對重要資產(chǎn)的威脅進(jìn)行持續(xù)發(fā)現(xiàn)、排序和監(jiān)控；應(yīng)支持對重要資產(chǎn)的攻擊面信息進(jìn)行詳細(xì)展示，包括但不限于：攻擊故事線、影響資產(chǎn)、攻擊源、歷史攻擊、攻擊面分析、網(wǎng)絡(luò)連接行為、文件行為、域名訪問行為、模塊加載行為、進(jìn)程操作行為等；應(yīng)支持以圖形化的方式展現(xiàn)電子政務(wù)外網(wǎng)各類重要資產(chǎn)的分布狀況、相互關(guān)系、潛在攻擊路徑等。預(yù)警通報(bào)本項(xiàng)要求包括：應(yīng)支持基于數(shù)據(jù)分析結(jié)構(gòu)和告警規(guī)則，實(shí)時(shí)產(chǎn)生分級別安全告警；應(yīng)支持按照設(shè)定的預(yù)警級別和預(yù)警流程發(fā)布預(yù)警信息，預(yù)警內(nèi)容包括但不限于：預(yù)警類型、預(yù)警級別、威脅方式、涉及對象、影響程度、防范對策等；應(yīng)支持按照設(shè)定的安全事件通報(bào)流程進(jìn)行事件通報(bào)，通報(bào)內(nèi)容包括但不限于事件類型、攻擊源IP、目標(biāo)IP、事件級別、事件分析、影響程度和處置建議等；應(yīng)支持平臺、郵件、短信、即時(shí)通訊、文件等兩種及以上預(yù)警和通報(bào)方式。應(yīng)急處置本項(xiàng)要求包括：應(yīng)支持將安全告警或安全事件形成處置任務(wù)，并進(jìn)行記錄、跟蹤和歸檔；應(yīng)支持對安全告警或安全事件進(jìn)行調(diào)查取證，包含告警溯源信息和關(guān)聯(lián)的原始日志；應(yīng)支持與第三方設(shè)備或平臺聯(lián)動，根據(jù)監(jiān)測結(jié)果，協(xié)助實(shí)施動態(tài)訪問控制等安全處置行動；應(yīng)支持與政務(wù)云邊界安全設(shè)備或云安全服務(wù)組件進(jìn)行聯(lián)動，自動完成應(yīng)急處置任務(wù)。威脅情報(bào)威脅情報(bào)組織本項(xiàng)要求包括：應(yīng)支持威脅情報(bào)分類存儲和情報(bào)置信度評價(jià)分級，分類包括但不限于域名類、IP類、文件類等；應(yīng)支持威脅情報(bào)數(shù)據(jù)手動更新或者在線更新，更新頻率不超過24小時(shí)。威脅情報(bào)共享和使用本項(xiàng)要求包括：應(yīng)支持提供威脅情報(bào)數(shù)據(jù)查詢和比對接口，供數(shù)據(jù)實(shí)時(shí)分析和批量查詢；應(yīng)支持通過接口方式或文件導(dǎo)入/導(dǎo)出方式，實(shí)現(xiàn)與第三方平臺的威脅情報(bào)共享交換和使用。威脅情報(bào)生成本項(xiàng)要求包括:應(yīng)支持獲取原始樣本或數(shù)據(jù)，并對其進(jìn)行歸類、分析、加工、處理后生成威脅情報(bào)；應(yīng)支持自定義威脅情報(bào)標(biāo)簽；應(yīng)支持手動增加或刪除威脅情報(bào)。平臺安全管理用戶管理本項(xiàng)要求包括:應(yīng)支持用戶、用戶組的增加、刪除、修改、查詢及分組管理；應(yīng)支持劃分不同的角色，并為不同角色分配權(quán)限。資產(chǎn)管理本項(xiàng)要求包括:應(yīng)支持記錄資產(chǎn)的屬性信息包括但不限于資產(chǎn)名稱、資產(chǎn)類型、資產(chǎn)IP、所屬業(yè)務(wù)系統(tǒng)、部署位置、資產(chǎn)負(fù)責(zé)人等信息；應(yīng)支持按照類型、部署位置、所屬業(yè)務(wù)系統(tǒng)等屬性對資產(chǎn)進(jìn)行分組管理；應(yīng)支持資產(chǎn)信息的增加、刪除、查詢、標(biāo)記；應(yīng)支持資產(chǎn)信息的批量導(dǎo)入、導(dǎo)出。配置管理本項(xiàng)要求包括:應(yīng)支持對用戶賬號和口令的配置管理，包括初次登錄口令修改、賬號鎖定時(shí)間、口令有效期、登錄嘗試次數(shù)、口令長度和復(fù)雜度限制等；應(yīng)支持平臺各基本功能模塊與唯一確定時(shí)鐘進(jìn)行自動同步，每天至少同步一次；應(yīng)支持對平臺安全策略、特征庫、補(bǔ)丁等進(jìn)行升級。運(yùn)行監(jiān)控應(yīng)支持實(shí)時(shí)監(jiān)控平臺設(shè)備運(yùn)行狀態(tài)，包括但不限于CPU使用率、內(nèi)存使用情況、磁盤使用情況、網(wǎng)絡(luò)流量情況、設(shè)備產(chǎn)生的異常報(bào)警等。身份鑒別本項(xiàng)要求包括：應(yīng)對平臺登錄用戶進(jìn)行身份鑒別，身份鑒別信息應(yīng)具有復(fù)雜度和定期更換要求；應(yīng)采用密碼技術(shù)保證身份鑒別信息在傳輸過程中的完整性和保密性；應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中至少一種鑒別技術(shù)應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。訪問控制本項(xiàng)要求包括：應(yīng)向授權(quán)用戶提供配置、查詢和修改各種安全策略的功能；應(yīng)向授權(quán)用戶提供管理日志的功能，包括日志的存儲、導(dǎo)出和備份等；應(yīng)支持在用戶遠(yuǎn)程管理方式下，限定遠(yuǎn)程管理端IP地址范圍，并采取措施保證管理端與平臺之間數(shù)據(jù)傳輸?shù)谋Ｃ苄?。安全審?jì)本項(xiàng)要求包括：應(yīng)支持對每個(gè)用戶的操作行為進(jìn)行安全審計(jì)，包括但不限于：管理員的登錄成功和失??；因身份鑒別嘗試失敗次數(shù)達(dá)到設(shè)定值導(dǎo)致的會話連接終止；對安全策略進(jìn)行配置的操作；對管理用戶進(jìn)行增加、刪除和屬性修改的操作。審計(jì)記錄應(yīng)至少包括事件發(fā)生日期、時(shí)間、用戶標(biāo)識、事件類型、操作結(jié)果等信息。日期應(yīng)精確到日，時(shí)間應(yīng)精確到秒；應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到刪除、修改或覆蓋。

（規(guī)范性）平臺部署結(jié)構(gòu)電子政務(wù)外網(wǎng)安全監(jiān)測平臺一般由前端數(shù)據(jù)采集探針、后臺分析與展現(xiàn)系統(tǒng)以及可實(shí)