电子政务云平台安全监测预警技术规范
电子政务云平台安全监测预警技术规范
1范围
本指导性文件为电子政务云平台在网络安全监测预警方面提供指导。
本指导性文件适用于电子政务云平台网络安全监测预警的实施和云平台及网络安全监测预警服务的提供。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069-2022信息安全技术术语
GB/Z20986-2007信息安全技术信息安全事件分类分级指南
GB/T32924-2016信息安全技术网络安全预警指南
3术语和定义
下列术语和定义适用于本文件。
3.1
告警alert
当攻击或入侵发生时,平台向相关人员发出的紧急通知。
3.2
安全监测security monitoring
通过实时分析网上数据流来监测非法入侵活动,并根据监测结果实时报警、响应,达到主动发现入侵活动、确保网络安全目的。
3.3
安全预警security warning
指当网络上发生特大事件时,网络安全监测系统会提前预警或提出预警,让相关工作人员可以及时处理。
4监测预警分类
4.1监测分类
a)有害程序事件:有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导
致的信息安全事件。
b)网络攻击事件:网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议
缺陷程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
c)信息破坏事件:信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、
假冒、泄漏、窃取等而导致的信息安全事件。
d)信息内容安全事件:信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定
和公共利益的内容的安全事件。
e)设备设施故障:设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安
全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
f)灾害性事件:灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
灾害性事件包括水灾、台风、地、雷击、坍塌、火灾、、战争等导致的信息安全事件。
4.2预警分类
4.2.1红预警(Ⅰ级预警)
当发生极其严重的网络安全事件或威胁,可能极大威胁国家安全、引起社会动荡、对经济建设有极其恶劣的负面影响,或严重损害公众利益,应发布红预警。即可能对特别重要的网络安全保护对象产生特别严重的损害。
4.2.2橙预警(Ⅱ级预警)
当发生严重的网络安全事件或威胁,可能威胁国家安全、引起社会恐慌、对经济建设有重大的负面影
响,或损害公众利益,应发布橙预警。包括以下情况;
a)可能对特别重要的网络安全保护对象产生严重的损害;
b)可能对重要的网络安全保护对象产生特别严重的损害。
4.2.3黄预警(Ⅲ级预警)
当发生较严重的网络安全事件或威胁,可能影响国家安全、扰乱社会秩序、对经济建设有一定的负面影响,或影响公众利益,应发布黄预警。包括以下情况:
c)可能对特别重要的网络安全保护对象产生较大或一般的损害;
d)可能对重要的网络安全保护对象产生严重或较大的损害;
e)可能对一般的网络安全保护对象产生特别严重或严重的损害。
4.2.4蓝预警(Ⅳ级预警)
当发生一般的网络安全事件或威胁,对国家安全、社会秩序、经济建设和公众利益基本没有影响,但可能对个别公民、法人或其他组织的利益会造成损害,应发布蓝预警,特别轻微的可以不发预警。
包括以下情况:
f)可能对重要的网络安全保护对象产生一般的损害;
g)可能对一般的网络安全保护对象产生较大或一般的损害。
4.2.5网络安全预警分级表
表1网络安全预警分级表
网络安全保护对象的重要程度
网络安全保护对象可能受到损害的程度
特别严重严重较大一般
特别重要红预警(Ⅰ级)橙预警(Ⅱ级)黄预警(Ⅲ级)黄预警(Ⅲ级)重要橙预警(Ⅱ级)黄预警(Ⅲ级)黄预警(Ⅲ级)蓝预警(Ⅳ级)
一般黄预警(Ⅲ级)黄预警(Ⅲ级)蓝预警(Ⅳ级)蓝预警(Ⅳ级)
/无预警
5安全监测实施指南
5.1采集
5.1.1采集范围
应符合GB/T22239的相关规定。涵盖电子政务云平台互联网业务区和公用业务区的网络核心节点交换、移动接入点等关键节点。如果政务部门有对广域网或者城域网的管理职责,监测范围可相应扩展到广域网和城域网的相关节点。
5.1.2采集内容
采集内容宜包括网络流量、资产信息、威胁情报、脆弱性信息、知识数据、各类安全基础资源/服务等产生的告警数据、与安全相关的安全审计日志。
5.1.3采集方式
对于不同的数据源,宜支持以下采集方式:
a)被动获取:被动接收数据源发送的数据,数据采集频率可由数据源的发送频率决定。
b)主动采集:在合规授权下,主动发起获取网络安全设备的的数据,数据采集频率可设置。
台风蓝预警有多严重c)手动导入:本地手动导入的数据。
5.2存储
为实现监测预警能力所必要进行采集的数据,及对采集数据进行分析过程中形成的过程数据,应需要实现安全存储。
包括但不限于以下方式:
a)建立相应的流量元数据、资产数据、日志数据、告警数据、规则知识数据、威胁情报数据等数据库;
b)对结构化数据、半结构化数据和非结构化数据进行存储,支持文本、关键值、对象等多种数据类型的存储,支持可伸缩的分布式数据存储架构,满足数据量持续增长需求;
c)业务相关的敏感数据加密存储;
d)数据存储时间按照网络安全法以及行业主管部门的规定来确定;
e)数据迁移,存储数据的备份及异常恢复;
f)节点扩展和负载均衡。
5.3分析
对采集的数据通过机器学习、数据挖掘、关联分析等数据分析技术,对政务云平台的信息安全事件分析、漏洞威胁分析、运行状态进行监测,以发现网络安全问题。
分析宜支持以下能力:
a)支持特征码匹配,支持将待检测内容与恶意流量特征、恶意文件特征、恶意代码特征等特征值进行匹配,然后根据匹配结果判断待检测的内容是否被感染;
b)支持事件关联分析,支持提供不同大量复杂事件的关联分析。提供预定义的关联规则,包括但不限于网络异常、暴力破解、账号异常等多种场景的规则,并支持预定义和修改关联规则;
c)支持数据挖掘,支持从大量的数据中通过特征码识别、统计报表、在线分析处理和信息检索等诸多方法,搜索隐藏于其中的信息;
d)支持场景化分析,包括但不限于:流量异常、业务资产主动外连、账号异地登录、弱口令、数据库敏感操作检测等;
e)支持综合态势分析,支持对网络的整体安全态势进行分析,从受威胁业务/资产和攻击源的角度分析网络安全风险,分析网络整体的安全现状和趋势;
f)支持威胁态势分析,支持基于威胁的分析,包含对网络攻击行为和安全事件的分析,包括但不限于C&C攻击、隐蔽通道、网络扫描、DDoS攻击、漏洞利用攻击、信息泄露等,支持从被攻击资产角度或攻击者角度对威胁行为进行分析,展示攻击路径,同时结合威胁情报对攻击者进行分析;
g)支持资产态势分析,支持针对网络中资产的漏洞和配置弱点进行分析,自动计算出相关的风险指数,支持基于资产的区域、类型、重要程度等信息,结合安全事件、漏洞信息进行多维度分析,包括但不限于:资产类型分布、资产脆弱性、资产风险分布等;
h)支持机器学习,支持通过机器学习算法进行数据分析,算法应能够涵盖有监督或无监督学习模型;
5.4展示与告警
当发生网络安全事件、漏洞、隐患、恶意木马病毒时,有针对性的发出通报告警,信息通报是下发重要信息、强制性要求的信息通报途径,结合安全监测系统监测数据、上级安全事件通报、第三方情报
来源进行安全事件通报告警。
告警宜支持以下能力:
a)支持将各类安全告警信息基于其安全告警等级、分级分类结果结合相应的处置策略形成处置任务,通报相关机构的责任人进行后续操作和处理,并进行记录和归档;
b)支持将安全告警信息中的攻击源IP添加黑白名单操作;
c)支持对安全告警信息进行调查取证,包含告警溯源信息和关联的原始日志;
d)支持与防护类产品或平台的联动,对形成的处置任务实施相应动作。
6安全预警实施指南
6.1威胁情报
6.1.1威胁情报来源
a)本地安全事件:
宜基于政务云平台本地安全事件监测结果,针对重要威胁事件、漏洞信息进行预警通报。
b)威胁情报共享

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。