ICS35.020L70廣東省數字安全協會發布前言 II 12規范性引用文件 3術語和定義 14符號與縮略語 35概述 35.1系統技術架構 5.2系統監測范圍和對象 45.3系統部署要求 45.4運營管理要求 6安全監測總體要求 6.1數據采集與預處理 6.2數據存儲 6.3數據總線 6.4數據分析 6.5展示與應用 6.6威脅情報 6.7安全管理 7運營管理具體要求 7.1總體要求 7.2運營人員要求 7.3日常工作要求 117.4專項保障要求 117.5重要時期保障要求 7.6應急響應要求 T/DSAG003-2025本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件由廣東省數字安全協會歸口管理。本文件起草單位：深信服科技股份有限公司、廣東省信息安全測評中心、天翼安全科技有限公司、北京梆梆安全科技有限公司、中孚安全技術有限公司、北京天融信網絡安全技術有限公司、奇安信網神信息技術(北京)股份有限公司、廣東科城信服信息技術有限公司、深圳市常行科技有限公司。本文件主要起草人：常曉宇、王文佳、方冬茹、張廷倫、高勇、劉懋東、鄭燦丹、黃福印、莊嚴、曾磊、趙陽、鄧思賢、李新亮、杜江波、劉康權、劉啟超。1信息安全技術數字政府政務系統安全監測體系運營標準本文件規定了廣東省政務網絡安全監測系統建設的總體要求和技術規范，以及通過安全監測系統開展安全運營的工作要求。本文件適用于指導廣東省各級電子政務外網主管單位開展安全監測系統設計、建設、運維及運營工作。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/Z20986信息安全技術信息安全事件分類分級指南GB/T25069信息安全技術術語GB/T32924信息安全技術網絡安全預警指南GB/T36635信息安全技術網絡安全監測基本要求與實施指南GB/T36643信息安全技術網絡安全威脅信息格式規范GW0203-2014國家電子政務外網安全監測體系技術規范與實施指南GW0204-2014國家電子政務外網安全管理系統技術要求與接口規范3術語和定義下列術語和定義適用于本文件。3.1政務網絡governmentnetwork運行政務部門非涉密業務應用的專用網絡。注：包含基礎網絡、以及部署在基礎網絡之上的政務云、政務應用和政務數據等信息技術設施和資源，主要劃分為政務廣域網、政務城域網和政務局域網。3.2政務城域網governmentmetropolitanareanetwork同城各政務部門間實現互聯互通的政務網絡。3.3政務廣域網governmentwideareanetwork連接不同地區政務局域網或政務城域網，實現遠程通信的政務網絡。2T/DSAG003-20253.4安全監測系統securitymonitoringsystem通過對網絡流量、安全日志、威脅情報等數據進行實時采集、監測和分析，動態識別網絡風險，發現攻擊威脅、資產脆弱性以及安全事件，并進行通報預警和可視化展示的系統。3.5脆弱性Vulnerability信息技術、信息產品、信息系統在需求、設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺陷以不同形式存在于信息系統的各個層次和環節中，一旦被惡意主體所利用，就會對信息系統的安全造成損害，從而影響構建與信息系統之上正常服務的運行，危害信息系統及信息的安全。脆弱性又稱為安全漏洞。3.6告警alert對網絡安全要素進行分析，發現攻擊或入侵時，自動向相關人員發出的通知。3.7預警warning針對即將發生或正在發生的網絡安全事件或威脅，提前或及時發出的安全警示。[來源:GB/T329243.5]3.8探針probe從被觀察的信息系統中，通過感知、監測等收集事態數據的一種部件或代理。[來源:GB/T250692.2.1.27]3.9數據總線databus實現系統中數據采集探針、存儲、分析、展示與應用等各模塊之間，以及與第三方平臺之間數據共享和交換的功能模塊。3.10威脅情報threatintelligence一種基于證據的知識，用于描述網絡威脅信息、研判安全態勢，支持安全事件響應和處置決策。3.11遙測數據telemetry經過最小化處理的數據，可以明確表明特定行為發生并且和特定的攻擊機制相關。34符號與縮略語下列縮略語適用于本文件。API：應用程序接口（ApplicationProgrammingInterface）CPU：中央處理器（CentralProcessingUnit）DGA：域名生成算法（DomainGenerationAlgorithm）DNS：域名系統（DomainNameSystem）GIS：地理信息系統（GeographicInformationSystem）IP：網際協議（InternetProtocol）SMTP：簡單郵件傳輸協議（SimpleMailTransferProtocol）URL：統一資源定位系統（UniformResourceLocator）VPC：虛擬私有云（VirtualPrivateCloud）5概述5.1系統技術架構政務網絡安全監測系統包括數據采集與預處理、數據存儲、數據總線、數據分析、展示與應用、威脅情報、安全管理等基本功能模塊，其技術架構如圖1所示。圖1政務網絡安全監測系統技術架構圖a)數據采集與預處理：根據政務網絡安全監測系統的監測范圍和監測對象確定數據采集范圍、采集對象和采集方式，并對采集的數據進行解析預處理，以進一步數據關聯分析；b)數據存儲：對系統中不同類型和結構的安全數據進行存儲；c)數據總線：實現系統各功能模塊之間，以及與第三方平臺之間的數據共享和交換；d)數據分析：通過關聯分析、模式匹配、特征匹配、機器學習等數據分析技術識別網絡攻擊行為，分析安全風險態勢；e)展示與應用：根據決策層、管理層、執行層等不同層級人員的需求和關注重點，進行多維度的態勢展示，并且支持通報預警和應急處置；f)威脅情報：為安全事件檢測、事件調查、研判分析、追蹤溯源提供外部情報數據支撐；g)安全管理：提供基礎的用戶管理、配置管理、運行監控、安全審計等功能，強化系統自身的安全性。4T/DSAG003-20255.2系統監測范圍和對象廣東省電子政務外網主要承載廣東省各級政務部門的辦公類應用、公眾服務類應用，以及跨地區、跨部門業務協同和數據共享類應用。廣東省電子政務外網一般包含如下網絡區域：a)廣域網：各級政務部門實現上下互聯互通的網絡。各級電子政務外網通過接入設備接入廣域骨干網鏈路；b)城域網：同級政務部門實現互聯互通的網絡。各政務部門通過接入設備接入城域網鏈路；c)政務云平臺區：包含互聯網區數據中心和公用網絡區數據中心，兩個數據中心通過邏輯隔離技術實現安全隔離；d)互聯網區數據中心：是政務部門安全接入、開展社會化服務的網絡區域，滿足政務部門利用互聯網開展公共服務、社會管理、經濟調節和市場監管的電子政務業務需要；e)公用網絡區數據中心：是各部門、各地區互聯互通的網絡區域，為政務部門公共服務及開展跨部門、跨地區的業務應用、協同和數據共享提供支撐；f)互聯網出口區：同級政務部門實現統一互聯網資源訪問的邏輯功能區域；g)安管網管區：承擔電子政務外網統一認證、安全審計、網絡監控、運維管理的邏輯功能區域。政務網絡安全監測系統的監測范圍應涵蓋上述網絡區域，并以各地市、區縣落地路由為各級責任邊界。監測的對象包括基礎網絡，以及部署在上述網絡區域的政務云平臺、政務應用和政務數據。當政務網絡的邊界或結構發生變化時，應及時調整監測范圍和監測系統的部署。5.3系統部署要求5.3.1總體部署架構政務網絡安全監測系統采用省、地市、區縣三級架構，省級和地市級單獨建設安全監測系統，具備完整的數據采集與預處理、數據存儲、數據總線、數據分析、展示與應用、威脅情報、安全管理和安全運營保障等功能。省級單位電子政務外網應部署監測探針，把監測數據接入省級政務網絡安全監測系統，市級單位的監測探針數據接入市級平臺系統，區縣級根據實際情況可不單獨建設安全監測系統，通過部署安全監測探針實現安全監測能力。需要進行級聯對接的上級系統和下級系統通過數據總線接口規范實現總體態勢、告警日志、威脅情報、認證、報表等數據的級聯對接。政務安全監測系統的部署架構如圖2所示。圖2政務網絡安全監測系統部署架構圖5.3.2省級系統部署省級政務網絡安全監測系統應部署在省級電子政務外網，主要對地市級廣域網接入、城域網接入、政務云平臺等區域進行流量、日志等維度信息的數據采集處理。55.3.3地市級系統部署地市級政務網絡安全監測系統應部署在市級電子政務外網，主要對區縣級廣域網接入、城域網接入、政務云平臺等區域進行流量、日志等維度信息的數據采集處理。地市級政務安全監測系統應按照要求和省級政務安全監測系統進行數據的級聯對接。5.3.4區縣級系統部署區縣級根據實際情況可不單獨建設安全監測系統，可以通過部署安全監測探針實現針對區縣城域網接入、政務云平臺等區域進行流量、日志等維度信息的數據采集預處理。區縣級安全探針應按要求和地市級安全監測系統進行數據的級聯對接。5.4運營管理要求依托政務網絡安全監測系統能力，各級部門需要履行網絡安全管理職能，規范開展電子政務外網主動防控，監測預警、研判分析、通報處置、應急響應等運營管理工作，有效保障電子政務外網網絡安全。6安全監測總體要求6.1數據采集與預處理6.1.1數據采集本項要求包括：a)采集范圍應覆蓋監測范圍內的通信網絡、區域邊界以及計算環境。采集點部署在核心交換節點、核心匯聚節點和移動接入點等關鍵節點。如果監測范圍包括政務廣域網或政務城域網，數據采集點應部署在政務廣域網和政務城域網的核心交換節點、核心匯聚節點等關鍵節點；b)采集對象宜包括：網絡流量、資產信息、威脅情報、脆弱性信息、知識案例數據、安全設備告警、安全日志、遙測數據等；c)系統應支持通過不同的方式采集流量、日志、資產、威脅情報等信息：1)應支持部署流量探針，通過流量鏡像的方式獲取被監測的流量；2)應支持主動或被動采集日志；3)應支持主動掃描或網絡流量檢測方式發現資產，并支持手動或第三方導入、補全資產信息；4)應支持通過級聯接口或數據共享接口采集第三方平臺數據；5)應支持主動掃描、手動或第三方導入，獲取資產的脆弱性信息；6)應支持接口更新或第三方導入威脅情報數據；7)應支持采集政務云的邊界區域、VPC內部、VPC之間和管理區的流量，流量采集對計算節點及帶寬資源的占用應以不影響云上政務業務系統的正常運行為基準；8)應支持通過采集流量、日志、資產、威脅情報等信息采集方法或對接政務云安全管理平臺采集政務云的日志、資產等數據；9)應支持在政務云計算節點上部署探針，進行計算節點流量或日志數據的采集；10)應支持在郵件系統出入口處部署郵件監測探針，進行SMTP等流量數據采集；11)應支持部署網站專用探針，進行網站安全數據采集；12)應支持主動或被動采集業務系統安全日志數據；13)應支持在關鍵節點部署流量探針，進行政務數據流量采集；14)應支持采用主動或被動方式采集數據庫安全審計日志、數據安全設備日志等。6.1.2數據預處理6T/DSAG003-2025本項要求包括：a)應具備數據解析規則、過濾規則和補全規則等，用于過濾、富化日志信息；b)應支持對郵件系統的采集數據進行SMTP等流量數據預處理；c)應支持對網站的采集數據進行網站安全數據預處理；d)應支持自定義數據預處理規則。6.2數據存儲本項要求包括：a)應支持對系統采集以及處理產生的數據進行分類存儲，包括但不限于流量元數據、資產信息、日志數據、遙測數據、安全告警、威脅情報、安全事件、案例知識庫等數據；b)應支持對結構化數據、半結構化數據和非結構化數據進行存儲；c)應支持自定義數據存儲時間；d)應支持對身份鑒別、數據分析結果等重要數據進行加密存儲；e)應支持配置數據保護策略，防止數據遭受未經授權的讀取、刪除或修改；f)應支持數據遷移、數據的備份及恢復；g)應支持數據存儲節點擴展和負載均衡；h)應支持當數據存儲達到閾值時，發出報警信息。6.3數據總線6.3.1數據類型應支持根據數據類型定義數據格式、數據協議和接口調用。數據類型包括但不限于流量元數據、日志數據、遙測數據、資產信息、安全告警、威脅情報、安全事件、工單報表等。6.3.2數據交換接口應支持系統內部基本功能模塊之間，通過接口進行數據調用、存儲、分析、展示與應用。6.3.3數據采集接口應支持從不同類型的數據采集探針采集流量元數據、日志數據、遙測數據、資產信息、威脅情報等數據。6.3.4數據共享接口宜支持向第三方平臺發送/接收數據，包括但不限于：安全告警、安全事件、預警信息、威脅情報6.3.5級聯接口具有上下級聯關系的系統之間通過級聯接口進行數據共享和交換，本項要求包括：a)數據交互內容包括但不限于安全告警、預警信息、安全事件、威脅情報、工單報表、統計數據、知識案例等；b)接口類型包括但不限于級聯注冊接口、數據上傳接口、數據下發接口和數據查詢接口等；c)應支持在數據傳輸過程中采用密碼技術保證數據的完整性和保密性。6.4數據分析6.4.1攻擊行為分析7本項要求包括：a)應支持特征碼匹配分析，能夠識別惡意流量特征、惡意文件特征、惡意代碼特征等；b)應支持場景化分析，包括但不限于資產違規外連、賬號異地登錄、弱口令、數據庫敏感操作等典型場景；c)宜支持基于攻擊階段、攻擊特征相似度等維度的關聯分析；d)應支持通過機器學習算法進行數據分析；e)應支持對多源異構的安全大數據進行聚合或關聯分析，發現攻擊行為；f)宜支持利用沙箱對可疑文件及URL進行靜態或動態的分析檢測；g)宜支持關聯威脅情報進行網絡攻擊行為特征分析和溯源分析；h)宜支持DNS威脅檢測，包括但不限于DNS協議漏洞檢測、惡意域名解析檢測、DGA域名檢測、DNS隱蔽通道檢測等；i)應支持對政務云邊界區域和管理區的南北向流量的攻擊行為分析；j)應支持對政務云VPC內部、VPC之間的東西向流量的攻擊行為分析。6.4.2風險態勢分析本項要求包括：a)應支持基于資產、威脅和脆弱性監測數據，對網絡的整體安全態勢進行分析；b)應支持基于安全事件的威脅態勢分析，安全事件包括但不限于有害程序事件、網絡攻擊事件、數據攻擊事件、違規操作事件等；c)應支持基于資產的類型、分布、重要程度、資產脆弱性等信息，綜合分析資產安全態勢；d)應支持對政務云邊界區域和管理區的南北向流量的風險態勢分析；e)應支持對政務云VPC內部、VPC之間的東西向流量的風險態勢分析。6.4.3安全專項分析網站監測分析要求包括：a)應支持對網站可用性進行監測分析；b)應支持對網站DNS解析服務進行監測，及時發現域名劫持，域名解析失敗等問題；c)應支持對網站攻擊行為進行分析，包括但不限于網頁篡改、網頁掛馬、敏感信息泄露等事件；d)應支持定期對網站系統漏洞進行掃描分析。業務系統分析要求包括：a)應支持業務行為分析，包括敏感信息頁面調用異常、查詢數據異常、賬號使用異常等行為；b)應支持操作行為分析，包括同一業務高頻操作、異常時間操作、數據庫異常操作等行為；c)應支持訪問行為分析，包括異常IP地址登錄、非正常時間段登錄、短時多IP登錄、異常端口訪問等行為；d)應支持資產變動分析，對業務系統資產的端口或服務變化情況進行監測分析。政務數據分析要求包括：a)應支持數據資產識別分析，包括自動發現數據資產、數據分類分級標記等；b)應支持數據異常行為分析，包括對數據庫異常訪問、異常操作行為、接口異常調用等進行分析；c)應支持數據接口脆弱性分析，包括參數可遍歷、接口未鑒權、登錄弱口令、口令明文傳輸等；d)應支持個人信息泄露分析，對個人信息泄露情況進行識別和分析；e)應支持對數據泄露情況進行溯源分析和取證。6.5展示與應用8T/DSAG003-20256.5.1監測視圖本項要求包括：a)應支持對網絡整體安全態勢的展示，展示方式包括GIS地圖、雷達圖、拓撲圖、路徑等至少兩種表現形式；b)應支持基于威脅類型、攻擊次數、威脅來源、威脅目標、攻擊路徑等信息的威脅視圖展示；c)應支持基于資產類型、分布、資產脆弱性、相關攻擊事件等信息的資產安全視圖展示；d)應支持基于事件類型、源IP、目的IP、受攻擊資產、威脅等級、處置情況等信息的安全事件視圖展示；e)應支持基于統計信息、實時信息、歷史信息和變化趨勢的展示方式，以及分角色展示方式；f)應支持基于政務云平臺維度、云服務客戶維度和VPC維度的態勢展示；g)應支持政務云邊界區域、VPC內容、VPC之間和管理區的威脅態勢和資產安全態勢展示；h)應支持對數據安全態勢的展示，包括威脅統計、資產統計和脆弱性統計等；i)宜支持對數據流轉或數據訪問關系的展示；j)應支持對數據安全事件的告警，內容包括但不限于告警類型、告警級別、受影響數據資產信息k)應支持根據數據分析結果進行實時告警，告警內容包括但不限于告警類型、告警級別、受威脅的業務資產信息、網站標識、網站地址等。6.5.2攻擊面展示本項要求包括：a)應支持在重要或特殊時期通過安全探測等方式對網絡資產進行持續發現、盤點、分類、排序和監控；b)應支持對重要資產的攻擊面信息進行詳細展示，包括但不限于：各類已知資產、未知資產、影子資產等安全漏洞、系統組件、開放端口、應用程序、API接口等；c)應支持以圖形化的方式展現網絡中各類重要資產的分布狀況、相互關系、潛在攻擊路徑等。6.5.3通報預警本項要求包括：a)應支持基于數據分析結構和告警規則，實時產生分級別安全告警；b)應支持按照設定的預警級別和預警流程發布預警信息，預警內容包括但不限于：預警類型、預警級別、威脅方式、涉及對象、影響程度、防范對策等；c)應支持按照設定的安全事件通報流程進行事件通報，通報內容包括但不限于事件類型、攻擊源IP、目標IP、事件級別、事件分析、影響程度和處置建議等；d)應支持平臺、郵件、短信、即時通訊、文件等兩種及以上預警和通報方式。6.5.4應急處置本項要求包括：a)應支持將安全告警或安全事件形成處置任務，并進行記錄、跟蹤和歸檔；b)應支持對安全告警或安全事件進行調查取證，包含告警溯源信息和關聯的原始日志；c)應支持與第三方設備或平臺聯動，根據監測結果，協助實施動態訪問控制等安全處置行動；d)應支持與政務云安全設備或云安全服務組件進行聯動，自動完成應急處置任務。6.6威脅情報96.6.1威脅情報格式應符合GB/T36643-2018中對于情報格式的定義。6.6.2威脅情報組織本項要求包括：a)應支持威脅情報分類存儲和情報置信度評價分級，分類包括但不限于域名類、IP類、文件類b)應支持威脅情報數據手動更新或者在線更新，更新頻率不超過24小時。6.6.3威脅情報共享和使用本項要求包括：a)應支持提供威脅情報數據查詢和比對接口，供數據實時分析和批量查詢；b)應支持通過接口方式或文件導入/導出方式，實現與第三方平臺的威脅情報共享交換和使用。6.6.4威脅情報生成本項要求包括:a)應支持獲取原始樣本或數據，并對其進行歸類、分析、加工、處理后生成威脅情報；b)應支持自定義威脅情報標簽；c)應支持手動增加或刪除威脅情報。6.7安全管理6.7.1用戶管理本項要求包括:a)應支持用戶、用戶組的增加、刪除、修改、查詢及分組管理；b)應支持劃分不同的角色，并為不同角色分配權限。6.7.2身份鑒別本項要求包括：a)應對系統登錄用戶進行身份鑒別，身份鑒別信息應具有復雜度和定期更換要求；b)應采用密碼技術保證身份鑒別信息在傳輸過程中的完整性和保密性；c)應采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中至少一種鑒別技術應使用密碼技術來實現。6.7.3訪問控制本項要求包括：a)應向授權用戶提供配置、查詢和修改各種安全策略的功能；b)應向授權用戶提供管理日志的功能，包括日志的存儲、導出和備份等；c)應支持在用戶遠程管理方式下，限定遠程管理端IP地址范圍，并采取措施保證管理端與系統之間數據傳輸的保密性。6.7.4安全審計本項要求包括：a)應支持對每個用戶的操作行為進行安全審計，包括但不限于：T/DSAG003-20251)管理員的登錄成功和失敗；2)因身份鑒別嘗試失敗次數達到設定值導致的會話連接終止；3)對安全策略進行配置的操作；4)對管理用戶進行增加、刪除和屬性修改的操作。b)審計記錄應至少包括事件發生日期、時間、用戶標識、事件類型、操作結果等信息。日期應精確到日，時間應精確到秒；c)應對審計記錄進行保護，避免受到刪除、修改或覆蓋。6.7.5資產管理本項要求包括:a)應支持記錄資產的屬性信息包括但不限于資產名稱、資產類型、資產IP、所屬業務系統、部署位置、資產負責人等信息；b)應支持按照類型、部署位置、所屬業務系統等屬性對資產進行分組管理；c)應支持資產信息的增加、刪除、查詢、標記；d)應支持資產信息的批量導入、導出。6.7.6配置管理本項要求包括:a)應支持對用戶賬號和口令的配置管理，包括初次登錄口令修改、賬號鎖定時間、口令有效期、登錄嘗試次數、口令長度和復雜度限制等；b)應支持系統各基本功能模塊與唯一確定時鐘進行自動同步，每天至少同步一次；c)應支持對系統的安全策略、特征庫、補丁等進行升級。6.7.7運行監控應支持實時監控系統設備運行狀態，包括但不限于CPU使用率、內存使用情況、磁盤使用情況、網絡流量情況、設備產生的異常報警等。7運營管理具體要求7.1總體要求運營管理工作主要包括：a)定期核對及時更新電子政務外網平臺資產和IP地址對應信息；b)做好安全監測、威脅檢測、平臺對接、通報預警等工作；c)組織運營例會，總結運營情況，編制運營報告；d)對安全威脅預警及事件工單處置管理，承擔安全通報支撐保障工作；e)制定應急預案，組織開展應急演練及攻防演練，承擔應急值守與響應處置，強化重點時期安全保障；f)方案編制、規范制定、安全培訓、績效考核等技術支撐工作。7.2運營人員要求主要包括：a)政務網絡安全運營人員應具備專業安全技術能力及安全管理經驗。b)由外部企業性質單位對政務網絡開展安全運營，應與企業簽訂保密協議，并核驗企業與相關人員的保密協議。且對接入政務網絡進行運營的自帶終端應進行接入管控，防止政務數據泄漏。c)電子政務外網安全運營人員應專職專崗。7.3日常工作要求7.3.1資產梳理主要包括：a)將所監測范圍的政務網絡相關IP資產信息、網絡拓撲及相關責任人信息，并錄入監測系統資產管理系統，并定期巡檢更新。b)在網絡及安全設備接入電子政務外網前，應進行安全性及有效性評估。7.3.2通報預警主要包括：a)對安全監測系統采集的政務網絡相關IP資產安全漏洞、安全事件及威脅情報等安全威脅進行人工分析驗證，準確研判安全威脅及事件；b)對分析研判發現的安全威脅，利用監測系統通報預警模塊向相關IP資產管理單位及聯絡人及時下發安全預警通告，同時做好通告問題整改督促及復測；c)配合做好本級安全監測系統與上下級安全監測系統對接工作。7.3.3定期檢查主要包括：a)利用包括但不限于滲透測試、漏洞掃描等主動檢查方式，對電子政務外網及重要業務系統定期進行全面安全檢查，驗證全網所面臨的威脅、風險、隱患、弱點等安全漏洞，全面分析政務網絡安全的薄弱環節，及時提出整改建議，督促整改落實，并驗證安全監測系統攻擊特征庫、威脅情報等檢測能力。7.3.4月度匯報主要包括：a)按月綜合政務網絡監測告警、漏洞風險、工單