35.110CCS

L

7812 DB12/T

1297—2023電子政務(wù)云平臺(tái)安全監(jiān)測(cè)預(yù)警技術(shù)指南Warning

guide

of

security

electronic

platform 天津市市場(chǎng)監(jiān)督管理委員會(huì) 發(fā)

布DB12/T

1297—2023 本文件按照GB/T

—《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由天津市互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位：天津市大數(shù)據(jù)管理中心。高博、李瑞、陳馨、王瑞雪、張磊、康美玲、朱婷婷、張偉。DB12/T

1297—20231 范圍本文件規(guī)定了電子政務(wù)云平臺(tái)網(wǎng)絡(luò)安全預(yù)警的監(jiān)測(cè)、分類(lèi)和實(shí)施。本文件適用于電子政務(wù)云平臺(tái)網(wǎng)絡(luò)安全的監(jiān)測(cè)預(yù)警。2 規(guī)范性引用文件文件。GB/T

25069—2022 信息安全技術(shù)

術(shù)語(yǔ)GB/Z

20986—2007 信息安全技術(shù)

信息安全事件分類(lèi)分級(jí)指南GB/T

32924—2016信息安全技術(shù)

網(wǎng)絡(luò)安全預(yù)警指南GB/T

36635—2018 信息安全技術(shù)

網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南3 術(shù)語(yǔ)和定義GB/T

25069—2022、GB/T

32924—2016和GB/T

36635—2018界定的術(shù)語(yǔ)和定義適用于本文件。4 監(jiān)測(cè)預(yù)警分類(lèi)4.1 監(jiān)測(cè)分類(lèi)監(jiān)測(cè)分類(lèi)應(yīng)按照GB/Z

—2007中的要求。4.2 預(yù)警分類(lèi)預(yù)警分類(lèi)應(yīng)按照GB/T

—2016中的要求。5 安全監(jiān)測(cè)實(shí)施指南5.1 采集5.1.1采集范圍點(diǎn)等關(guān)鍵節(jié)點(diǎn)。5.1.2 采集內(nèi)容與安全相關(guān)的安全審計(jì)日志等。DB12/T

1297—20235.1.3 采集方式對(duì)于不同的數(shù)據(jù)源，可采用以下方式：a)

被動(dòng)獲?。罕粍?dòng)接收數(shù)據(jù)源發(fā)送的數(shù)據(jù)，數(shù)據(jù)采集頻率可由數(shù)據(jù)源的發(fā)送頻率決定；b)

主動(dòng)采集：主動(dòng)發(fā)起獲取網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)，數(shù)據(jù)采集頻率可設(shè)置；c)

手動(dòng)導(dǎo)入：本地手動(dòng)導(dǎo)入的數(shù)據(jù)。5.2存儲(chǔ)應(yīng)實(shí)現(xiàn)安全存儲(chǔ)，安全存儲(chǔ)可包括以下方式：a)

建立相應(yīng)的流量元數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、日志數(shù)據(jù)、告警數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)等數(shù)據(jù)庫(kù)；b)

對(duì)結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行存儲(chǔ)，支持文本、關(guān)鍵值、對(duì)象等多種數(shù)據(jù)類(lèi)型的存儲(chǔ)，支持可伸縮的分布式數(shù)據(jù)存儲(chǔ)架構(gòu)，滿(mǎn)足數(shù)據(jù)量持續(xù)增長(zhǎng)需求；c)

業(yè)務(wù)相關(guān)的敏感數(shù)據(jù)加密存儲(chǔ)；d)

數(shù)據(jù)存儲(chǔ)時(shí)間符合相關(guān)規(guī)定；e)

數(shù)據(jù)遷移、異?；謴?fù)的存儲(chǔ)機(jī)制；f)

節(jié)點(diǎn)擴(kuò)展和數(shù)據(jù)均衡應(yīng)用下的存儲(chǔ)機(jī)制。5.3 分析分析，可采用以下方法：a)

特征碼匹配法：將待檢測(cè)內(nèi)容與惡意流量特征、惡意文件特征、惡意代碼特征等特征值進(jìn)行匹配，然后根據(jù)匹配結(jié)果判斷待檢測(cè)的內(nèi)容是否被感染；b)

事件關(guān)聯(lián)分析法：提供不同大量復(fù)雜事件的關(guān)聯(lián)分析，提供預(yù)定義的關(guān)聯(lián)規(guī)則，包括網(wǎng)絡(luò)異常、暴力破解、賬號(hào)異常等多種場(chǎng)景規(guī)則，并支持預(yù)定義和修改關(guān)聯(lián)規(guī)則；c)

數(shù)據(jù)挖掘法：從大量的數(shù)據(jù)中通過(guò)特征碼識(shí)別、統(tǒng)計(jì)報(bào)表、在線(xiàn)分析處理和信息檢索等諸多方法，揭示隱藏于其中的信息；d)

場(chǎng)景化分析法：包括流量異常、業(yè)務(wù)資產(chǎn)主動(dòng)外連、賬號(hào)異地登錄、弱口令、數(shù)據(jù)庫(kù)敏感操作檢測(cè)等；e)

綜合態(tài)勢(shì)分析法：對(duì)網(wǎng)絡(luò)的整體安全態(tài)勢(shì)進(jìn)行分析，包括業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)、攻擊源等；f)

DDoS

漏洞利用攻擊、信息泄露等，結(jié)合威脅情報(bào)進(jìn)行分析；g)

資產(chǎn)態(tài)勢(shì)分析法：針對(duì)網(wǎng)絡(luò)中資產(chǎn)的漏洞和配置進(jìn)行分析，自動(dòng)計(jì)算出相關(guān)的風(fēng)險(xiǎn)指數(shù)，基于資產(chǎn)的區(qū)域、類(lèi)型、重要程度等信息，結(jié)合安全事件、漏洞信息進(jìn)行多維度風(fēng)險(xiǎn)分析。5.4 告警a)

將各類(lèi)安全告警信息基于等級(jí)分類(lèi)，形成相應(yīng)處置任務(wù)，通報(bào)相關(guān)責(zé)任人進(jìn)行處置，并記錄歸檔；b)

將安全告警信息中的攻擊源

IP

添加黑名單操作；c)

對(duì)安全告警信息進(jìn)行調(diào)查記錄，包含告警溯源信息和關(guān)聯(lián)的原始日志等；d)

與防護(hù)類(lèi)產(chǎn)品或平臺(tái)的聯(lián)動(dòng)，對(duì)形成的處置任務(wù)實(shí)施相應(yīng)措施。6 安全預(yù)警實(shí)施指南DB12/T

1297—20236.1 威脅情報(bào)6.1.1 威脅情報(bào)來(lái)源6.1.1.1 本地安全事件基于政務(wù)云平臺(tái)本地安全事件監(jiān)測(cè)結(jié)果，對(duì)威脅事件和漏洞信息等進(jìn)行預(yù)警通報(bào)。6.1.1.2 威脅情報(bào)共享按照相關(guān)標(biāo)準(zhǔn)與國(guó)家級(jí)、省級(jí)情報(bào)平臺(tái)進(jìn)行數(shù)據(jù)情報(bào)共享。6.1.2 威脅情報(bào)分析對(duì)威脅情報(bào)信息中的數(shù)據(jù)源，如IOC類(lèi)型、網(wǎng)絡(luò)屬性、惡意屬性、威脅類(lèi)型等進(jìn)行分析和審核。6.2 預(yù)警通報(bào)流程6.2.1 預(yù)警發(fā)布政務(wù)云平臺(tái)安全預(yù)警通報(bào)應(yīng)由政務(wù)云平臺(tái)主管部門(mén)授權(quán)日常管理部門(mén)發(fā)布。6.2.2 預(yù)警響應(yīng)與處置政務(wù)云平臺(tái)服務(wù)部門(mén)或云上信息系統(tǒng)主管部門(mén)接到安全預(yù)警通報(bào)后，進(jìn)行如下操作：a)

分析、研判相關(guān)事件或威脅對(duì)自身網(wǎng)絡(luò)安全保護(hù)對(duì)象可能造成損害的程度；b)

將研判結(jié)果向上級(jí)及主管部門(mén)匯報(bào)；c)

根據(jù)情況啟動(dòng)應(yīng)急預(yù)案；d)

消除安全預(yù)警并反饋預(yù)警發(fā)布部