DB12_T1297-2023_电子政务云平台安全监测预警技术指南_天津市.docx
ICS35.110
CCSL78
12
天津市地方标准
DB12/T1297—2023
电子政务云平台安全监测预警技术指南
Warningtechnicalguideofsecuritymonitoringforelectronicgovernmentcloud
platform
天津市市场监督管理委员会
发布
DB12/T1297—2023
前
言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件由天津市互联网信息办公室提出并归口。
本文件起草单位:天津市大数据管理中心。
本文件主要起草人:边柯柯、王键、李亮、赵小锐、郎彬辉、王超(男)、邢智远、尹恺、王超(女)、
高博、李瑞、陈馨、王瑞雪、张磊、康美玲、朱婷婷、张伟。
I
DB12/T1297—2023
电子政务云平台安全监测预警技术指南
1
2
范围
本文件规定了电子政务云平台网络安全预警的监测、分类和实施。
本文件适用于电子政务云平台网络安全的监测预警。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T25069—2022信息安全技术术语
GB/Z20986—2007信息安全技术信息安全事件分类分级指南
GB/T32924—2016信息安全技术网络安全预警指南
GB/T36635—2018信息安全技术网络安全监测基本要求与实施指南
3
术语和定义
GB/T25069—2022、GB/T32924—2016和GB/T36635—2018界定的术语和定义适用于本文件。
4
4.1
4.2
5
5.1
采集范围覆盖天津市的电子政务云平台互联网业务区和公用业务区的网络核心节点交换、移动接入
采集内容包括网络流量、资产信息、威胁情报、脆弱性信息、安全基础资源和服务产生的告警数据、
与安全相关的安全审计日志等。
1
DB12/T1297—2023
5.1.3
采集方式
对于不同的数据源,可采用以下方式:
a)
b)
c)
被动获取:被动接收数据源发送的数据,数据采集频率可由数据源的发送频率决定;
主动采集:主动发起获取网络安全设备的数据,数据采集频率可设置;
手动导入:本地手动导入的数据。
5.2
存储
应实现安全存储,安全存储可包括以下方式:
a)
b)
建立相应的流量元数据、资产数据、日志数据、告警数据、威胁情报数据等数据库;
对结构化数据、半结构化数据和非结构化数据进行存储,支持文本、关键值、对象等多种数
据类型的存储,支持可伸缩的分布式数据存储架构,满足数据量持续增长需求;
业务相关的敏感数据加密存储;
c)
d)
e)
f)
数据存储时间符合相关规定;
数据迁移、异常恢复的存储机制;
节点扩展和数据均衡应用下的存储机制。
5.3
分析
对采集的数据通过数据分析技术,对政务云平台的信息安全事件、漏洞威胁、运行状态进行监测和
分析,可采用以下方法:
a)
b)
c)
d)
特征码匹配法:将待检测内容与恶意流量特征、恶意文件特征、恶意代码特征等特征值进行
匹配,然后根据匹配结果判断待检测的内容是否被感染;
事件关联分析法:提供不同大量复杂事件的关联分析,提供预定义的关联规则,包括网络异
常、暴力破解、账号异常等多种场景规则,并支持预定义和修改关联规则;
数据挖掘法:从大量的数据中通过特征码识别、统计报表、在线分析处理和信息检索等诸多
方法,揭示隐藏于其中的信息;
场景化分析法:包括流量异常、业务资产主动外连、账号异地登录、弱口令、数据库敏感操
作检测等;
综合态势分析法:对网络的整体安全态势进行分析,包括业务系统、数据资产、攻击源等;
威胁态势分析法:对网络攻击行为和安全事件的分析,包括隐蔽通道、网络扫描、DDoS攻击、
漏洞利用攻击、信息泄露等,结合威胁情报进行分析;
资产态势分析法:针对网络中资产的漏洞和配置进行分析,自动计算出相关的风险指数,基
于资产的区域、类型、重要程度等信息,结合安全事件、漏洞信息进行多维度风险分析。
5.4
当发生网络安全事件、漏洞、隐患、恶意木马病毒时,有针对性的发出告警信息,可采用以下方法:
将各类安全告警信息基于等级分类,形成相应处置任务,通报相关责任人进行处置,并记录
归档;
6
2
DB12/T1297—2023
6.1
威胁情报
6.1.1
威胁情报来源
6.1.1.1
本地安全事件
基于政务云平台本地安全事件监测结果,对威胁事件和漏洞信息等进行预警通报。
6.1.1.2
威胁情报共享
按照相关标准与国家级、省级情报平台进行数据情报共享。
6.1.