DB3205_T 1043-2022 数字政府 城市网络安全威胁流量监测数据管理规范.docxVIP

ICS35.020CCSL01

DB3205

苏州市地方标准

DB3205/T1043—2022

数字政府城市网络安全威胁流量监测

数据管理规范

Digitalgovernment-Specificationfordatamanagementofnetworktrafficmonitor

2022-08-19发布2022-08-26实施

苏州市市场监督管理局发布

I

DB3205/T1043—2022

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4管理职责 2

5数据采集 2

5.1数据采集总体要求 2

5.2安全威胁监测数据要求 2

5.3流量元数据采集要求 2

5.4原始数据包和还原文件数据采集要求 3

6数据传输 3

6.1数据传输过程 3

6.2数据传输方式 3

7数据存储与使用 4

8数据安全 4

8.1审计日志数据要求 4

8.2报警日志数据要求 4

8.3数据传输安全要求 4

附录A（规范性）输出数据内容和格式 5

附录B（规范性）攻击告警分类 15

附录C（资料性）网络威胁流量监测设备的功能要求和性能要求 19

参考文献 21

DB3205/T1043—2022

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由苏州市公安局提出并归口。

本文件起草单位：苏州市公安局、国家计算机网络与信息安全管理中心江苏分中心、苏州市质量和标准化院、三六零科技集团有限公司、三六零数字安全科技集团有限公司、苏州三六零安全科技有限公司、江苏百达智慧网络科技有限公司、北京天云海数技术有限公司、北京网御星云信息技术有限公司、亚信科技（成都）有限公司、山石网科通信技术股份有限公司。

本文件主要起草人：李晶、庄唯、袁欣、厉白、高威、朱泽洲、赵云、顾弘、周文渊、李姝、殷倩、张欣艺、宋剑超、罗冬雪、邬鹏程、宋贵生、龙伟、杨凯、季海晨。

本文件为首次发布。

III

DB3205/T1043—2022

引言

近年来，随着信息化建设的不断发展，网络安全事件层出不穷，其种类、手段也呈现出了多样化的态势，网络安全形势面临着一个又一个的威胁与挑战。为了准确把握安全威胁、风险和隐患，有效应对网络安全的严峻威胁和挑战，获取海量网络安全数据，并且对海量安全数据进行分析，获取全面实时的网络安全态势和趋势就变得尤为重要。而在海量的网络安全数据中，网络安全威胁流量监测设备采集的数据占有较大的比重，因此更应引起重视。

当前，不同厂商提供的设备或系统所产生的网络安全威胁流量监测数据格式不统一、不规范，客观上对网络安全体系的建设和相关平台与系统的数据对接造成了不利影响。在这种情况下，我们决定制定网络安全威胁流量监测数据的管理规范，对监控数据的类型、数据内容和管理要求等内容做出明确规定，其目的是确保网络安全威胁流量监测数据能高效、便捷地与城市网络安全防护平台进行数据传输，相关管理工作能高效、持续、稳定地进行，从而保障城市网络安全的稳定可靠。

本文件对数据采集、数据传输、数据存储与使用、数据安全等多方面提出了明确的要求，以此来保障数据的归一化，为网络安全体系和相关平台提供规范化、统一标准的网络安全威胁流量监测数据。

1

DB3205/T1043—2022

数字政府城市网络安全威胁流量监测数据管理规范

1范围

本文件规定了城市网络安全威胁流量监测的管理职责、数据采集、数据传输、数据存储与使用、数据安全。

本文件适用于教育、医疗卫生、水利、电力、能源等关键行业和重点单位的网络安全评估与管理工作，可在进行网络安全评估与管理工作中的网络安全威胁流量监测数据采集时使用本文件，其他相关关键行业和重点单位可参考执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范GB/T37973-2019信息安全技术大数据安全管理指南