DB12-T1297-2023-電子政務(wù)云平臺安全監(jiān)測預(yù)警技術(shù)指南-天津市

ICS35.110CCSL7812天津市地方標(biāo)準(zhǔn)DB12/T1297—2023電子政務(wù)云平臺安全監(jiān)測預(yù)警技術(shù)指南Warningtechnicalguideofsecuritymonitoringforelectronicgovernmentcloudplatform天津市市場監(jiān)督管理委員會發(fā)布DB12/T1297—2023前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由天津市互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位：天津市大數(shù)據(jù)管理中心。本文件主要起草人：邊柯柯、王鍵、李亮、趙小銳、郎彬輝、王超（男）、邢智遠(yuǎn)、尹愷、王超（女）、高博、李瑞、陳馨、王瑞雪、張磊、康美玲、朱婷婷、張偉。IDB12/T1297—2023電子政務(wù)云平臺安全監(jiān)測預(yù)警技術(shù)指南12范圍本文件規(guī)定了電子政務(wù)云平臺網(wǎng)絡(luò)安全預(yù)警的監(jiān)測、分類和實(shí)施。本文件適用于電子政務(wù)云平臺網(wǎng)絡(luò)安全的監(jiān)測預(yù)警。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語GB/Z20986—2007信息安全技術(shù)信息安全事件分類分級指南GB/T32924—2016信息安全技術(shù)網(wǎng)絡(luò)安全預(yù)警指南GB/T36635—2018信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測基本要求與實(shí)施指南3術(shù)語和定義GB/T25069—2022、GB/T32924—2016和GB/T36635—2018界定的術(shù)語和定義適用于本文件。44.14.255.1采集范圍覆蓋天津市的電子政務(wù)云平臺互聯(lián)網(wǎng)業(yè)務(wù)區(qū)和公用業(yè)務(wù)區(qū)的網(wǎng)絡(luò)核心節(jié)點(diǎn)交換、移動接入采集內(nèi)容包括網(wǎng)絡(luò)流量、資產(chǎn)信息、威脅情報(bào)、脆弱性信息、安全基礎(chǔ)資源和服務(wù)產(chǎn)生的告警數(shù)據(jù)、與安全相關(guān)的安全審計(jì)日志等。1DB12/T1297—20235.1.3采集方式對于不同的數(shù)據(jù)源，可采用以下方式：a)b)c)被動獲?。罕粍咏邮諗?shù)據(jù)源發(fā)送的數(shù)據(jù)，數(shù)據(jù)采集頻率可由數(shù)據(jù)源的發(fā)送頻率決定；主動采集：主動發(fā)起獲取網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)，數(shù)據(jù)采集頻率可設(shè)置；手動導(dǎo)入：本地手動導(dǎo)入的數(shù)據(jù)。5.2存儲應(yīng)實(shí)現(xiàn)安全存儲，安全存儲可包括以下方式：a)b)建立相應(yīng)的流量元數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、日志數(shù)據(jù)、告警數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)等數(shù)據(jù)庫；對結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行存儲，支持文本、關(guān)鍵值、對象等多種數(shù)據(jù)類型的存儲，支持可伸縮的分布式數(shù)據(jù)存儲架構(gòu)，滿足數(shù)據(jù)量持續(xù)增長需求；業(yè)務(wù)相關(guān)的敏感數(shù)據(jù)加密存儲；c)d)e)f)數(shù)據(jù)存儲時(shí)間符合相關(guān)規(guī)定；數(shù)據(jù)遷移、異?；謴?fù)的存儲機(jī)制；節(jié)點(diǎn)擴(kuò)展和數(shù)據(jù)均衡應(yīng)用下的存儲機(jī)制。5.3分析對采集的數(shù)據(jù)通過數(shù)據(jù)分析技術(shù)，對政務(wù)云平臺的信息安全事件、漏洞威脅、運(yùn)行狀態(tài)進(jìn)行監(jiān)測和分析，可采用以下方法：a)b)c)d)特征碼匹配法：將待檢測內(nèi)容與惡意流量特征、惡意文件特征、惡意代碼特征等特征值進(jìn)行匹配，然后根據(jù)匹配結(jié)果判斷待檢測的內(nèi)容是否被感染；事件關(guān)聯(lián)分析法：提供不同大量復(fù)雜事件的關(guān)聯(lián)分析，提供預(yù)定義的關(guān)聯(lián)規(guī)則，包括網(wǎng)絡(luò)異常、暴力破解、賬號異常等多種場景規(guī)則，并支持預(yù)定義和修改關(guān)聯(lián)規(guī)則；數(shù)據(jù)挖掘法：從大量的數(shù)據(jù)中通過特征碼識別、統(tǒng)計(jì)報(bào)表、在線分析處理和信息檢索等諸多方法，揭示隱藏于其中的信息；場景化分析法：包括流量異常、業(yè)務(wù)資產(chǎn)主動外連、賬號異地登錄、弱口令、數(shù)據(jù)庫敏感操作檢測等；綜合態(tài)勢分析法：對網(wǎng)絡(luò)的整體安全態(tài)勢進(jìn)行分析，包括業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)、攻擊源等；威脅態(tài)勢分析法：對網(wǎng)絡(luò)攻擊行為和安全事件的分析，包括隱蔽通道、網(wǎng)絡(luò)掃描、DDoS攻擊、漏洞利用攻擊、信息泄露等，結(jié)合威脅情報(bào)進(jìn)行分析；資產(chǎn)態(tài)勢分析法：針對網(wǎng)絡(luò)中資產(chǎn)的漏洞和配置進(jìn)行分析，自動計(jì)算出相關(guān)的風(fēng)險(xiǎn)指數(shù)，基于資產(chǎn)的區(qū)域、類型、重要程度等信息，結(jié)合安全事件、漏洞信息進(jìn)行多維度風(fēng)險(xiǎn)分析。5.4當(dāng)發(fā)生網(wǎng)絡(luò)安全事件、漏洞、隱患、惡意木馬病毒時(shí)，有針對性的發(fā)出告警信息，可采用以下方法：將各類安全告警信息基于等級分類，形成相應(yīng)處置任務(wù)，通報(bào)相關(guān)責(zé)任人進(jìn)行處置，并記錄歸檔；62DB12/T1297—20236.1威脅情報(bào)6.1.1威脅情報(bào)來源6.1.1.1本地安全事件基于政務(wù)云平臺本地安全事件監(jiān)測結(jié)果，對威脅事件和漏洞信息等進(jìn)行預(yù)警通報(bào)。6.1.1.2威脅情報(bào)共享按照相關(guān)標(biāo)準(zhǔn)與國家級、省級情報(bào)平臺進(jìn)行數(shù)據(jù)情報(bào)共享。6.1.2威脅情報(bào)分析對威脅情報(bào)信息中的數(shù)據(jù)源，如IOC類型、網(wǎng)絡(luò)屬性、惡意屬性、威脅類型等進(jìn)行分析和審核。6.2預(yù)警通報(bào)流程6.2.1預(yù)警發(fā)布政務(wù)云平臺安全預(yù)警通報(bào)應(yīng)由政務(wù)云平臺主管部門授權(quán)日常管理部門發(fā)布。6.2.2預(yù)警響應(yīng)與處置政務(wù)云平臺服務(wù)部門或云上信息系統(tǒng)主管部門接到安全預(yù)警通報(bào)后，進(jìn)行如下操作：a)b)c)d)分析、研判相關(guān)事