政务网络安全监测平台技术要求划分、一般性说明、威胁情报数据格式.docxVIP

（资料性）政务网络安全监测平台技术要求划分 政务网络安全监测平台技术要求划分如表A.1所示。 表A.1政务网络安全监测平台等级划分表 技术要求 基本要求 增强要求 通用 要求 数据采集预处理 数据采集 6.1.1a)-c)4) 6.1.1 数据预处理 6.1.2 6.1.2 数据存储 存储要求 6.2.1a)-d) 6.2.1 存储方式 6.2.2 6.2.2 数据总线 内部数据交换接口 6.3.1 6.3.1 数据采集接口 6.3.2 6.3.2 级联接口 —— 6.3.3 外部接口 6.3.4 6.3.4 数据分析 —— 6.4a)-g) 6.4 展示与应用 态势展示 6.5.1 6.5.1 预警通报 6.5.2a)-d）3） 6.5.2 应急处置 6.5.3a)-b) 6.5.3 威胁情报 威胁情报组织 —— 6.6.1 威胁情报更新 —— 6.6.2 威胁情报使用 —— 6.6.3 威胁情报生成 —— 6.6.4 安全管理中心 用户管理 6.7.1 6.7.1 配置管理 6.7.2 6.7.2 运行监控 6.7.3 6.7.3 身份标识与鉴别 6.7.4a)-h) 6.7.4 授权管理 6.7.5 6.7.5 安全审计 6.7.6 6.7.6 数据安全传输 6.7.7 6.7.7 存储数据保护 6.7.8 6.7.8 扩展 要求 政务云安全监测 数据采集预处理 7.1.1a) 7.1.1 数据分析 7.1.2 7.1.2 展示与应用 7.1.3a) 7.1.3 政务数据安全监测 数据采集预处理 7.2.1 7.2.1 数据分析 7.2.2 7.2.2 域名系统安全监测 数据采集预处理 7.3.1 7.3.1 数据分析 7.3.2 7.3.2 政务应用安全监测 邮件监测 a)、a)-e) 7.4.1 网站监测 7.4.2 7.4.2 业务监测 7.4.3 7.4.3 安全保障要求 开发 安全架构 8.1.1 8.1.1 功能规范 8.1.2 8.1.2 产品设计 8.1.3a)-b) 8.1.3 实现表示 —— 8.1.4 指导性文档 操作用户指南 8.2.1 8.2.1 准备程序 8.2.2 8.2.2 生命周期支持 配置管理能力 8.3.1a)-c) 8.3.1 配置管理范围 8.3.2 a) 8.3.2 交付程序 8.3.3 8.3.3 开发安全 —— 8.3.4 生命周期定义 —— 8.3.5 工具和技术 —— 8.3.6 测试 测试覆盖 8.4.1a) 8.4.1 测试深度 —— 8.4.2 功能测试 8.4.3 8.4.3 独立测试 8.4.4 8.4.4 脆弱性评定 —— 8.5 8.5 注：等级保护三级以下的政务网络安全监测平台应满足本表中全部的基本要求，等级保护三级（含）以上的政务网络安全监测平台应满足本表中全部的基本要求和增强要求。 （规范性）政务网络安全监测平台一般性说明 平台部署结构 政务网络安全监测平台一般由前端数据采集探针、后台分析与展现系统以及可实现相关技术要求的软硬件系统组成。其中，探针的类型及其部署方式为： 流量探针：旁路部署在核心交换或者重要业务区域汇聚交换，通过流量镜像进行数据采集； 日志探针：对安全设备、主机、业务系统等日志信息进行采集； 安全设备日志：与平台之间网络路由可达，采集安全设备的设备日志数据、告警数据等信息，可对接SOC等统一日志存储平台； 主机日志：部署在主机系统内，采集主机防恶意软件事件、防火墙事件、入侵防御事件、完整性监控、系统事件等日志信息； 业务系统日志：与平台之间网络路由可达，采集业务系统的登录日志、系统操作日志等信息； 资产探针：路由可达部署在网络环境中，采集网络中的资产信息； 脆弱性扫描探针：路由可达部署在网络环境中，采集网络中资产、业务的脆弱性信息。 平台可采用级联部署方式，如图3所示。 政务网络安全监测平台级联部署示意图 数据总线结构 数据总线实现： 内部各功能模块之间的数据交互； 不同类型的数据采集探针的数据格式统一标准化； 上下级平台之间的数据级联对接； 与第三方平台之间的数据对接。 数据总线结构如图4所示。 数据总线结构 数据总线共享和交换的数据主要包括流量元数据、设备日志、资产数据、告警数据、威胁情报、安全事件、工单报表等。数据接口包括内部数据交换接口、数据采集接口、级联接口和外部接口。  （资料性）政务网络安全监测平台威胁情报数据格式 政务网络安全监测平台域名类、IP类以及文件类威胁情报格式如表B.1-B.3所示。 表C.1 域名类威胁情报格式 序号 字段名称 中文名称 字段说明 字段长度 是否必选 说明 1 code 状态 字符 10 是 返回状态码见附录B.12 2 msg 描述 字符 128 是 返回出错信息 3 id