政务网络安全监测平台技术要求划分、威胁情报数据格式.docxVIP

（资料性）政务网络安全监测平台技术要求划分 政务网络安全监测平台技术要求划分如表A.1所示。 表A.1政务网络安全监测平台等级划分表 技术要求 基本要求 增强要求 通用 要求 数据采集预处理 数据采集 除6.1.1b)5)、6) 6.1.1 数据预处理 6.1.2 6.1.2 数据存储 存储要求 6.2.1a)-d) 6.2.1 存储方式 6.2.2 6.2.2 数据总线 内部数据交换接口 6.3.1 6.3.1 数据采集接口 6.3.2 6.3.2 级联接口 —— 6.3.3 外部接口 6.3.4 6.3.4 数据分析 —— 6.4a)-g) 6.4 展示与应用 态势展示 6.5.1 6.5.1 预警通报 除6.5.2d）5） 6.5.2 应急处置 6.5.3a)、b) 6.5.3 威胁情报 威胁情报类型 —— 6.6.1 威胁情报管理 —— 6.6.2 威胁情报集成 —— 6.6.3 威胁情报共享 —— 6.6.4 威胁情报生产 —— 6.6.5 平台运行管理 用户管理 6.7.1 6.7.1 配置管理 6.7.2 6.7.2 运维管理 6.7.3 6.7.3 安全管理 6.7.4 6.7.4 身份标识与鉴别 6.7.5a)-h) 6.7.5 安全审计 6.7.6 6.7.6 数据安全传输 6.7.7 6.7.7 存储数据保护 6.7.8 6.7.8 扩展 要求 政务云安全监测 数据采集预处理 7.1.1 7.1.1 数据分析 7.1.2 7.1.2 展示与应用 7.1.3a) 7.1.3 政务数据安全监测 数据采集预处理 7.2.1 7.2.1 数据分析 7.2.2 7.2.2 DNS安全监测 数据采集预处理 7.3.1 7.3.1 数据分析 7.3.2 7.3.2 政务应用安全监测 邮件监测 除f)、g) 7.4.1 网站监测 7.4.2 7.4.2 业务监测 7.4.3 7.4.3 （资料性）政务网络安全监测平台威胁情报数据格式 政务网络安全监测平台域名类、IP类以及文件类威胁情报格式如表B.1-B.3所示。 表B.1 域名类威胁情报格式 序号 字段名称 中文名称 字段说明 字段长度 是否必选 说明 1 code 状态 字符 10 是 返回状态码见附录B.12 2 msg 描述 字符 128 是 返回出错信息 3 id 情报ID 字符 32 是 唯一id 4 ioc IOC内容 字符 256 是 IOC具体内容 5 ioc_type IOC类型 字符 32 是 IOC的种类 6 intel_type 情报类型 字符 128 是 IOC的威胁种类，当前统一为C2 7 ip 域名解析IP 字符 128 否 域名解析对应的IP，包含历史的解析IP，最多5条。仅作为参考信息，不做为检测项，包括时间、对应IP 8 platform 平台名称 字符 16 是 默认为 All，有确切的受感染平台信息则提供具体平台名称 9 confidence 可信度 整数 4 是 C2 类可信度一般在75-85之间，75 以上代表可信度高，正式发布的 C2 均在此分数以上 10 severity 威胁级别 字符 8 是 默认为 high 11 tags 情报标签 字符 128 否 提供病毒家族、类型、攻击团伙、攻击事件等信息，通过固定规则可拼接成URL，访问微 步威胁分析平台的具体说明信息 12 timestamp 时间戳 整数 20 是 新建IOC时间 13 related_sample 关联样本 字符 4096 否 N个使用此C2的恶意软件HASH，SHA256格式 14 resolves 解析状态 布尔值 1 否 0为域名不可解析，1为可解析 15 whois 注册人信息 字符 1024 否 该IOC的whois信息 16 APT APT组织 布尔值 1 是 是否为APT 17 industry 行业 字符 128 否 相关行业 18 protocol 网络协议 整数 16 否 IP protocol number 19 Application protocol 应用协议 字符 32 否 通信使用的应用协议 20 uri 通讯连接地址 字符 512 否 通信连接的具体URI地址 21 level 主机类型 整数 1 否 主机类型,包括：0: 防弹主机1: hacked主机 2: 主机服务 3: FastFlux 4:未知 22 tlp 分发限制 整数 1 是 分发限制：3:该情报不能共享,仅限指明的接收者本人 2:该情报只能在接收者组织内部共享，但只限于需要知情者。 1:该情报可以在特定组织和社区内共享，但不能公开发布或在互联网公布 0:该情报可被自由分享，仅 受标准版权规范约束 23 port IP开放端口 整