信息安全技术政务网络安全监测平台技术规范

ICS35.030 CCS L 80 中中华华人人民民共共和和国国国国家家标标准准 GB/T XXXXX—XXXX 信息安全技术政务网络安全监测平台技术规范 Ination security technology -Technical specifications for Government network security monitoring plat （征求意见稿）（本稿完成日期：2021 年 4 月 12 日）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX - XX - XX 发布XXXX - XX - XX 实施 GB/T XXXXX—XXXX 目录前言.I 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.2 5 概述.2 5.1 政务网络安全监测范围和对象.3 5.2 政务网络面临的主要安全威胁.3 5.3 政务网络安全监测平台技术架构.3 5.4 技术要求分类.4 6 安全监测通用要求.4 6.1 数据采集预处理.5 6.2 数据存储.5 6.3 数据总线.6 6.4 数据分析.7 6.5 展示与应用.7 6.6 威胁情报.8 6.7 安全管理中心.9 7 安全监测扩展要求.11 7.1 政务云安全监测.11 7.2 政务数据安全监测.11 7.3 域名系统安全监测.12 7.4 政务应用安全监测.12 8 安全保障要求.14 8.1 开发.14 8.2 指导性文档.14 8.3 生命周期支持.15 8.4 测试.15 8.5 脆弱性评定.16 9 通用要求测试评价方法.16 9.1 数据采集预处理.16 9.2 数据存储.17 9.3 数据总线.17 9.4 数据分析.19 9.5 展示与应用.20 9.6 威胁情报.22 9.7 安全管理中心.23 10 扩展要求测试评价方法.26 GB/T XXXXX—XXXX II 10.1 政务云安全监测.26 10.2 政务数据安全监测.27 10.3 域名系统安全监测.28 10.4 政务应用安全监测.29 11 安全保障要求测试评价方法.32 11.1 开发.32 11.2 指导性文档.33 11.3 生命周期支持.34 11.4 测试.36 11.5 脆弱性评定.37 附录A （资料性）政务网络安全监测平台技术要求划分38 附录B （规范性）政务网络安全监测平台一般性说明40 附录C （资料性）政务网络安全监测平台威胁情报数据格式42 GB/T XXXXX—XXXX I 前言本文件按照GB/T 1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则起草。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：国家信息中心、国家信息技术安全研究中心、中国信息安全测评中心、公安部第三研究所、中国科学院信息工程研究所、亚信科技（成都）有限公司、华为技术有限公司、奇安信科技集团股份有限公司、新华三技术有限公司、杭州安恒信息技术股份有限公司、北京奇虎科技有限公司、深信服科技股份有限公司、浪潮云信息技术股份公司、启明星辰信息技术集团股份有限公司、北京天融信网络安全技术有限公司、恒安嘉新（北京）科技股份公司、北京微步在线科技有限公司、广东盈世计算机科技有限公司、北京中科全安技术有限公司、北京山石网科信息技术有限公司、远江盛邦（北京）网络安全科技股份有限公司、陕西省信息化工程研究院、陕西省网络与信息安全测评中心、北京安信天行科技有限公司、北京中测安华科技有限公司。本文件主要起草人：禄凯、刘蓓、闫桂勋、程浩、赵睿斌、吴阿明、文博、袁志千、李娟、吴宪、姚佳明、任卫红、马红霞、王振蕾、王伟、张二明、万晓兰、叶润国、张屹、苏启波、董树、刘晓鑫、薛锋、张宽、史帅、贾博超、钟金鑫、薛剑飞、杜宇、安高峰、王晶、潘正泰、杨京、林延中、姚原岗。 GB/T XXXXX—XXXX II GB/T XXXXX—XXXX 1 信息安全技术政务网络安全监测平台技术规范 1范围本文件规定了政务网络安全监测平台的技术架构、通用技术要求、扩展技术要求、安全保障要求以及测试评价方法。本文件适用于政务网络安全监测平台的设计、建设，以及测试评价。 2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术术语 GB/T 36643-2018 信息安全技术网络安全威胁情报格式规范 GB/T 22239-2019 信息安全技术网络安全等级保护基本要求 3术语和定义 GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 政务网络goverment network 运行政务部门非涉密业务应用的专用网络。注：主要分为广域网、城域网和局域网，与互联网之间逻辑隔离。 3.2 安全监测平台security monitoring plat 以信息安全事件为核心，通过对网络流量、安全设备日志、威胁情报等数据信息进行实时采集、监测和分析，实现网络风险识别、威胁发现、安全事件实时告警及可视化展现的系统。 3.3 信息安全事件 ination security incident 由单个或一系列意外或有害的信息安全事态所组成的，极有可能危害业务运行和威胁情报安全。 [来源：GB/T 25069-2010 2.1.53] 3.4 告警 alert 当攻击或入侵发生时，平台向相关人员发出的紧急通知。 GB/T XXXXX—XXXX 2 3.5 响应（不测事件响应或入侵响应）response(incident response or intrusion response) 当攻击或入侵发生时，为了保护和恢复信息系统正常运行的条件以及存储在其中的信息而采取的行动。 [来源：GB/T 25069-2010 2.3.98] 3.6 探针probe 从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。 [来源：GB/T 25069-2010 2.2.1.27] 3.7 数据总线data bus 实现平台中数据采集、存储、分析、展示与应用等各模块之间，以及与外部平台之间规范化数据共享和交换的协议和接口集。 4缩略语下列缩略语适用于本文件。 API：应用程序接口（Application Programming Interface） B/S：浏览器/服务器（Browser/Server） C ; e)e)配置管理文档包括一个配置管理计划，描述用来接受修改过的或新建的作为平台组成部分的配置管理文档包括一个配置管理计划，描述用来接受修改过的或新建的作为平台组成部分的配置项的程序。配置管理计划描述应描述如何使用配置管理系统开发平台，开发者实施的配配置项的程序。配置管理计划描述应描述如何使用配置管理系统开发平台，开发者实施的配置管理应与配置管理计划相一致。置管理应与配置管