电子政务外网 安全大数据和运维保障平台接入规范 第1部分：安全大数据平台.docx

1

电子政务外网安全大数据和运维保障平台接入规范第1部分：安全大数据平台

1范围

本文件规定了电子政务外网安全大数据平台（以下简称“省平台”）与设区市电子政务外网安全

大数据平台（以下简称“设区市平台”）的数据交互接口相关的接口协议、数据报送内容、数据报送格式和安全要求。

本文件适用于指导省平台和设区市平台的接口与数据对接。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T36635信息安全技术网络安全监测基本要求与实施指南

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

信息安全事件informationsecurityincident

与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。[来源：GB/T25069-2022，3.684]

3.2

脆弱性vulnerability

可能被一个或多个威胁利用的资产或控制的弱点。

[来源：GB/T25069-2022，3.19]

3.3

威胁threat

可能对系统或组织造成危害的不期望事件的潜在因素。

[来源：GB/T25069-2022，3.628]

2

3.4

网络安全监测securitymonitoring

以信息安全事件为核心，通过对网络和安全设备日志、系统运行数据等信息的实时采集，以关联分析等方式，实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。

[来源：GB/T36635—2018，3.1有修改]

4缩略语

下列缩略语适用于本文件。

API：应用编程接口（ApplicationProgrammingInterface）

JSON：JS对象简谱（JavaScriptObjectNotation）

5安全大数据平台数据交互参考模型

5.1参考模型

省平台与设区市平台通过安全数据接口进行数据对接，设区市平台应遵照本规范规定的数据接口和字段内容向省平台报送数据，实现全省政务外网的统一安全管理。省平台与设区市平台间对接的参考模型见图1。

图1省平台与设区市平台交互参考模型

3

省平台和设区市平台之间通过管理类、监测类、数据共享与通报类三类接口实现接入互通。其中，管理类接口用于实现省平台对设区市平台的接入管理；监测类接口用于实现监测类数据的上报，设区市平台按照数据报送要求向省平台进行上报；数据共享与通报接口用于实现省平台向设区市平台的数据共享与通报下发。

5.2数据采集与共享报送要求

省平台与设区市平台应实现安全监测功能，应具备综合审计能力、本级的边界检测数据采集能力、安全行为和数据采集汇聚能力、数据分析呈现能力、态势感知和事件溯源分析能力、安全数据共享报送能力，具体要求如下：

a)安全大数据平台应具备综合审计能力，综合审计并实时采集本级对象应包括：终端、网络、服务器、数据库、中间件、应用系统等安全操作行为；

b)安全大数据平台应具备采集本级的边界检测数据，本级协议接口采集对象应包括：IDS、堡垒机、IPS、WAF、漏洞扫描、防火墙、防毒墙、网闸、抗DDOS等；

c)安全大数据平台能够对安全行为和数据进行采集汇聚，并运用数据挖掘分析技术对各种安全行为进行态势感知和事件溯源分析。

5.3数据交互内容

设区市平台向省平台报送风险隐患、漏洞情报、告警数据、安全事件、安全报表、案例数据、运行状态数据，保证上报省平台数据的准确性和实时性。

省平台向设区市平台下发预警通报数据，共享案例知识库数据。

5.4报送频率要求

报送数据的频率要求包括：

a)运行状态数据每天应最少报送一次,报送方式为全量报送；

b)风险隐患数据每天应最少报送一次，报送方式为全量报送；

c)漏洞情报数据及案例数据每天应最少报送一次，报送方式为增量报送；

d)告警数据及安全事件数据应实时报送，告警数据包括告警的产生和清除，报送方式为增量报送；

e)安全报表数据每周应最少报送一次，报送方式为增量报送。

6数据接口规范

6.1接口类型

交互接口包括管理类接口、监测类接口、数据共享与通报接口三类接口。管理类接口包括身份认证接口（见附录A）和运行状态上报接口(交互数据规范见附录B.1)。监测类接口包括风险隐患接口、漏洞情报、告警数据、安全事件、安全报表、案例数据六个数据报送接口（交互数据规范见附录B.2-B.8）；数据共享与通报接口包括预警通