DB36-T 1892-2023 電子政務外網(wǎng)安全監(jiān)測平臺技術規(guī)范

35.240CCS

L

70

DB36江 西 省 地 方 標 準DB36/T

1892—2023電子政務外網(wǎng)安全監(jiān)測平臺技術規(guī)范Technical

specifications

extranet

security

platform2023-12-11

發(fā)布 2024-06-01

實施江西省市場監(jiān)督管理局 發(fā)

布DB36/T

1892—2023 前言

.............................................................................II1

范圍

................................................................................ 12

規(guī)范性引用文件

...................................................................... 13

術語和定義

.......................................................................... 14

縮略語

.............................................................................. 35

監(jiān)測范圍

........................................................................... 46

部署架構

............................................................................ 47

通用技術要求

........................................................................ 58

擴展技術要求

........................................................................ 59

數(shù)據(jù)共享要求........................................................................ 1210

平臺級聯(lián)要求

...................................................................... 13附錄

A（資料性）電子政務外網(wǎng)安全監(jiān)測平臺典型部署...................................... 15附錄

B（資料性）數(shù)據(jù)總線結構.......................................................... 17IDB36/T

1892—2023 本文件按照GB/T1.1-2020《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由江西省發(fā)展和改革委員會提出并歸口。本文件起草單位：江西省信息中心。王博瓊、袁小樂、賴敬坤、王禎浩、潘志安、潘偉華、涂琳、謝冬、饒榮、嚴時晗。IIDB36/T

1892—2023電子政務外網(wǎng)安全監(jiān)測平臺技術規(guī)范1范圍要求。本文件適用于電子政務外網(wǎng)安全監(jiān)測平臺的設計、建設和運維。2 規(guī)范性引用文件文件。GB/Z

20986

GB/T

網(wǎng)絡安全監(jiān)測基本要求與實施指南GB/T

22239

GB/T

18336

安全技術

信息技術安全性評估準則GB/T

42583

政務網(wǎng)絡安全監(jiān)測平臺技術規(guī)范DB36/T

979 電子政務外網(wǎng)安全接入平臺技術規(guī)范DB36/T

1093 電子政務外網(wǎng)網(wǎng)絡接入規(guī)范DB36/T

1099 電子政務云平臺安全規(guī)范DB36/T

1179 政務數(shù)據(jù)共享技術規(guī)范DB36/T

1712 政務區(qū)塊鏈平臺技術規(guī)范DB36/T

1713 公共數(shù)據(jù)分類分級指南3 術語和定義GB/T

術語》中規(guī)定內(nèi)容以及下列術語和定義適用于本文件。3.1信息安全事件

security

incident由單個或一系列意外或有害的信息安全事態(tài)所組成的，極有可能危害業(yè)務運行和威脅信息安全。[來源：GB/T

25069-2010，2.1.53]3.2電子政務外網(wǎng)安全監(jiān)測平臺

E-government

monitoring

platform1DB36/T

1892—2023監(jiān)測和分析，實現(xiàn)網(wǎng)絡風險識別、威脅發(fā)現(xiàn)、安全事件預判和實時告警及可視化展示的系統(tǒng)。3.3政務城域網(wǎng)

metropolitan

area

同城各政務部門間實現(xiàn)互聯(lián)互通的政務網(wǎng)絡。[來源：GB/T

42583-2023，3.2]3.4政務廣域網(wǎng)

wide

area

network連接不同地區(qū)政務局域網(wǎng)或政務城域網(wǎng)，實現(xiàn)遠程通信的政務網(wǎng)絡。[來源：GB/T

42583-2023，3.3]3.5管理網(wǎng)

承載安全統(tǒng)一運維、預警通告、安全數(shù)據(jù)傳輸?shù)葮I(yè)務的基礎網(wǎng)絡。3.63.7

探針

probe從被觀察的信息系統(tǒng)中，通過感知、監(jiān)測等收集事態(tài)數(shù)據(jù)的一種部件或代理。[來源：GB/T

25069-2010，7]數(shù)據(jù)總線

databus和交換的功能模塊。[來源：GB/T

42583-2023，3.8]3.8威脅情報

括事件情報、漏洞情報。3.9專項監(jiān)測

special

云平臺安全監(jiān)測、移動應用安全監(jiān)測、終端安全監(jiān)測、數(shù)據(jù)安全監(jiān)測等。2DB36/T

1892—20233.10電子政務共享數(shù)據(jù)統(tǒng)一交換平臺

E-government

data

exchange

platform域的數(shù)據(jù)交換。[來源：DB36/T

3.11前置節(jié)點

front

信息資源的共享交換。3.12節(jié)點 node用于連接不同網(wǎng)絡設備或程序。3.13政務區(qū)塊鏈

governmental

協(xié)同辦理，提高政務服務效率。[來源：DB36/T

1712-2022，3.3]4縮略語下列縮略語適用于本文件。API：應用程序接口（Application

Programming

GIS：地理信息系統(tǒng)（Geographic

Information

JSON：JS對象簡譜（JavaScript

Object

SMTP：簡單郵件傳輸協(xié)議（Simple

Mail

Transfer

Protocol）VPC：虛擬私有云（VirtualPrivateCloud）DNS：域名系統(tǒng)（DomainNameSystem）DGA：域名生成算法（DomainGenerateAlgorithm）URL：統(tǒng)一資源定位系統(tǒng)（Uniform

Resource

Protocol）IPv6:

互聯(lián)網(wǎng)協(xié)議第六版（Internet

Protocol

IT：信息產(chǎn)業(yè)（Information

Technology）HTTP：超文本傳輸協(xié)議（HyperText

Transfer

HTTPS：超文本傳輸安全協(xié)議（HyperText

Transfer

Protocol

Secure）3DB36/T

1892—20235 監(jiān)測范圍電子政務外網(wǎng)安全監(jiān)測平臺監(jiān)測范圍包括本地區(qū)/本部門政務網(wǎng)絡，以及與之連接的政務廣域網(wǎng)、

1所示。圖

1

監(jiān)測范圍6 部署架構享、預警通報、協(xié)同處置及數(shù)據(jù)展示查詢功能。級聯(lián)系統(tǒng)部署在省市兩級電子政務外網(wǎng)安全監(jiān)測平臺。省級電子政務外網(wǎng)安全監(jiān)測平臺通過省級平臺級聯(lián)系統(tǒng)向市級電子政務外網(wǎng)安全監(jiān)測平臺下發(fā)安市級電子政務外網(wǎng)安全監(jiān)測平臺通過市級平臺級聯(lián)系統(tǒng)向省級電子政務外網(wǎng)安全監(jiān)測平臺上報系統(tǒng)運行狀態(tài)、安全事件、威脅情報，反饋處置結果。原則上，縣級單位不部署電子政務外網(wǎng)安全監(jiān)測平臺，監(jiān)測平臺部署架構如圖

2

所示。4DB36/T

1892—2023圖

2

電子政務外網(wǎng)安全監(jiān)測平臺部署架構7 通用技術要求電子政務外網(wǎng)安全監(jiān)測平臺基于省電子政務外網(wǎng)建設，基本要求包括但不限于：a）省級電子政務外網(wǎng)安全監(jiān)測平臺為省級政務部門提供監(jiān)測服務，將威脅情報、案例、安全事件通告與數(shù)據(jù)安全治理結果等資源共享到市級電子政務外網(wǎng)安全監(jiān)測平臺；b）省級電子政務外網(wǎng)安全監(jiān)測平臺應通過網(wǎng)絡安全等級保護三級測評，市級電子政務外網(wǎng)安全監(jiān)測平臺宜按照省級標準進行建設；c）市級電子政務外網(wǎng)安全監(jiān)測平臺為市縣級政務部門提供監(jiān)測服務，按要求對省級電子政務外網(wǎng)況、案例、安全事件等內(nèi)容；d）市級電子政務外網(wǎng)安全監(jiān)測平臺應通過平臺級聯(lián)系統(tǒng)與省級電子政務外網(wǎng)安全監(jiān)測平臺進行級聯(lián)對接；展示與應用、平臺管理、數(shù)據(jù)存儲等功能；f)可集成不同廠商的各類

IT

資產(chǎn)，實現(xiàn)各類設備日志信息的實時采集與統(tǒng)一監(jiān)測；g)安全日志存儲時間至少為

6

；志檢索功能；h)

采用國產(chǎn)自主可控安全產(chǎn)品，支持國密算法；i)

IPv6

8擴展技術要求電子政務外網(wǎng)安全監(jiān)測平臺5DB36/T

1892—2023臺適用基本要求和增強要求。在本文件中，黑體字部分表示增強要求。電子政務外網(wǎng)安全監(jiān)測平臺系統(tǒng)，電子政務外網(wǎng)安全監(jiān)測平臺技術架構如圖

3

所示。圖3電子政務外網(wǎng)安全監(jiān)測平臺技術架構8.1 數(shù)據(jù)采集子系統(tǒng)8.1.1 監(jiān)測數(shù)據(jù)采集本項要求包括：a)

采集范圍。應覆蓋監(jiān)測范圍內(nèi)的通信網(wǎng)絡、區(qū)域邊界以及計算環(huán)境。采集點部署在核心交換節(jié)點、核心匯聚節(jié)點和移動接入點等關鍵節(jié)點；b)

知識數(shù)據(jù)、級聯(lián)/第三方平臺數(shù)據(jù)、各類安全基礎資源

服務等產(chǎn)生的告警數(shù)據(jù)、與安全相關的審計日志，實現(xiàn)資產(chǎn)梳理；c)

采集方式。應支持通過流量采集系統(tǒng)、標準協(xié)議、、API

接口、手動導入、掃描、第三方導入等不同的方式采集流量、日志、資產(chǎn)信息、威脅情報等信息。8.1.2 監(jiān)測數(shù)據(jù)預處理本項要求包括：a)

應通過配置相關解析規(guī)則，過濾規(guī)則，富化規(guī)則，日志類型來達到歸一化，過濾、豐富、分類日志信息的目的；b)

應支持自定義預處理解析規(guī)則文件，可根據(jù)應用場景，通過配置選擇插件，正則表達式、分隔符、JSON

等方法定義解析規(guī)則。6DB36/T

1892—20238.2 威脅情報子系統(tǒng)8.2.1 威脅情報組織本項要求包括：a)

b)

應支持威脅情報數(shù)據(jù)手動更新或者在線更新，威脅情報來源包括但不限于第三方威脅情報服務商、省級電子政務外網(wǎng)安全監(jiān)測平臺等。根據(jù)不同的威脅等級，配置不同的更新頻率，對于高風險或緊急情報，宜實時更新；中低風險情報，宜每日更新；c）宜支持威脅情報質量評估機制，支持根據(jù)評估結果標注威脅情報等級。8.2.2 威脅情報生成本項要求包括:a)

應支持獲取原始樣本或數(shù)據(jù)，并對其進行歸類、分析、加工、處理后生成威脅情報；b)

應支持自定義威脅情報標簽；c)

應支持手動增加或刪除威脅情報。8.2.3 威脅情報共享與使用本項要求包括：a)

應支持提供威脅情報數(shù)據(jù)查詢和比對接口，供數(shù)據(jù)實時分析和批量查詢；b)

應支持通過接口方式或文件導入/導出方式，實現(xiàn)數(shù)據(jù)共享平臺或第三方平臺的威脅情報共享交換和使用。8.3 數(shù)據(jù)安全治理子系統(tǒng)融合到服務發(fā)布等全流程的數(shù)據(jù)治理工作，為安全監(jiān)測平臺提供數(shù)據(jù)資源支撐的數(shù)據(jù)集合。本項要求包括：a)

應支持基于最大化歸集、一數(shù)一源、同義項歸并、歸集碼表等數(shù)據(jù)歸集原則，結合統(tǒng)一的分類編碼規(guī)則，按照流量元數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、日志數(shù)據(jù)、告警數(shù)據(jù)、漏洞數(shù)據(jù)、規(guī)則數(shù)據(jù)、威脅情報數(shù)據(jù)等數(shù)據(jù)內(nèi)容屬性類型進行一級分類，覆蓋已歸集數(shù)據(jù)，形成數(shù)據(jù)安全治理結果；b)

應支持可伸縮的數(shù)據(jù)存儲架構，滿足數(shù)據(jù)量持續(xù)增長需求；c)

應支持業(yè)務相關敏感數(shù)據(jù)加密存儲；d)

應支持與省、市級電子政務共享數(shù)據(jù)統(tǒng)一交換平臺對接；e)

應支持在主題目錄下面創(chuàng)建數(shù)據(jù)安全治理結果二級分類并注冊目錄，支持將數(shù)據(jù)治理形成的接口服務數(shù)據(jù)掛接到該目錄中，支持治理結果數(shù)據(jù)資源的共享。8.4 數(shù)據(jù)總線子系統(tǒng)8.4.1 數(shù)據(jù)類型流量元數(shù)據(jù)、日志數(shù)據(jù)、資產(chǎn)信息、安全告警、威脅情報、安全事件、工單報表等。8.4.2 內(nèi)部數(shù)據(jù)交換接口7DB36/T

1892—2023應用。8.4.3 數(shù)據(jù)采集接口報等數(shù)據(jù)。8.4.4 平臺級聯(lián)接口省、市級平臺級聯(lián)系統(tǒng)之間通過級聯(lián)接口進行數(shù)據(jù)共享和交換，本項要求包括：a)

知識案例等；b)

接口類型包括但不限于級聯(lián)注冊接口、數(shù)據(jù)上傳接口、數(shù)據(jù)下發(fā)接口和數(shù)據(jù)查詢接口等；c)

應支持在數(shù)據(jù)傳輸過程中采用密碼技術保證數(shù)據(jù)的完整性和保密性。8.4.5 第三方接口本項要求包括：a)

應支持與橫向協(xié)同單位平臺的數(shù)據(jù)交互和對接，能夠通過必要的定制或使用內(nèi)置的接口服務，實現(xiàn)與第三方平臺的信息交換和管理協(xié)同；b)

事件、威脅情報、統(tǒng)計數(shù)據(jù)等。8.5 數(shù)據(jù)分析子系統(tǒng)8.5.1攻擊行為分析本項要求包括：a)

應支持特征碼匹配分析，能夠識別惡意流量特征、惡意文件特征、惡意代碼特征等；b)

應支持場景化分析，包括但不限于資產(chǎn)違規(guī)外連、賬號異地登陸、弱口令、數(shù)據(jù)庫敏感操作等典型場景；c)

應支持基于攻擊階段、攻擊特征相似度等維度的關聯(lián)分析；d)

應支持通過機器學習算法進行數(shù)據(jù)分析；e)

應支持對多源異構的安全大數(shù)據(jù)進行聚合或關聯(lián)分析，發(fā)現(xiàn)攻擊行為；f)

宜支持利用沙箱對可疑文件及

URL

進行靜態(tài)或動態(tài)的分析檢測；g)

宜支持關聯(lián)威脅情報進行網(wǎng)絡攻擊行為特征分析和溯源分析；h)

宜支持

DNS

威脅檢測，包括但不限于

DNS

協(xié)議漏洞檢測、惡意域名解析檢測、DGA

域名檢測、DNS

隱蔽通道檢測等。8.5.2 風險態(tài)勢分析本項要求包括：a)

應支持基于資產(chǎn)、威脅和脆弱性監(jiān)測數(shù)據(jù)，對網(wǎng)絡的整體安全態(tài)勢進行分析；b)

應支持基于安全事件的威脅態(tài)勢分析，安全事件包括但不限于有害程序事件、網(wǎng)絡攻擊事件、數(shù)據(jù)攻擊事件、違規(guī)操作事件等；c)

應支持基于資產(chǎn)的類型、分布、重要程度、資產(chǎn)脆弱性等信息，綜合分析資產(chǎn)安全態(tài)勢。8.5.3 安全專項分析8DB36/T

1892—2023外網(wǎng)安全監(jiān)測平臺情況，按照本級實際需求進行專項能力建設。 政務云分析本項要求包括：a）應支持對政務云平臺南北向流量采集分析，包括攻擊行為分析、風險態(tài)勢分析；b）宜支持對政務云平臺

VPC

東西向流量、VPC

內(nèi)部流量采集分析，包括攻擊行為分析、風險態(tài)勢分析；c）宜支持訪問平臺管理界面，具備政務云平臺維度、租戶維度和

VPC

維度的態(tài)勢展示功能。 政務終端分析本項要求包括：a）應支持終端狀態(tài)分析，包括：終端上線、終端違規(guī)外聯(lián)、終端離線等；b）應支持政務終端總體態(tài)勢、威脅態(tài)勢的展示。 政務數(shù)據(jù)分析本項要求包括：a）應采取流量分析技術對數(shù)據(jù)采集、傳輸、處理、分析等關鍵節(jié)點進行監(jiān)測；b）應支持采用主動或被動方式采集數(shù)據(jù)庫安全審計日志、數(shù)據(jù)安全設備日志、API

數(shù)據(jù)訪問流量等；d）應支持根據(jù)數(shù)據(jù)的敏感程度、保密性要求和重要性，將數(shù)據(jù)進行分類分級，并基于數(shù)據(jù)分類分級結果，分析數(shù)據(jù)訪問行為，動態(tài)偵測數(shù)據(jù)資產(chǎn)生命周期的變化情況；f）應支持數(shù)據(jù)接口及數(shù)據(jù)庫脆弱性分析，發(fā)現(xiàn)數(shù)據(jù)庫漏洞、數(shù)據(jù)庫基線問題、數(shù)據(jù)庫弱口令；監(jiān)測發(fā)現(xiàn)接口的未授權訪問、參數(shù)可遍歷、接口未鑒權、登陸弱口令、口令明文傳輸、腳本命令執(zhí)行、訪問權限等問題；g）應支持個人信息泄露分析，對個人信息泄露情況進行識別和分析；h）應支持對數(shù)據(jù)泄露情況進行溯源分析和取證，支持以泄露數(shù)據(jù)為線索，建立對數(shù)據(jù)事件記錄盡 政務應用行為分析此項要求包括：a）應支持業(yè)務行為分析，包括敏感信息頁面調(diào)用異常、查詢數(shù)據(jù)異常、賬號使用異常等行為；b）應支持操作行為分析，包括同一業(yè)務高頻操作、異常時間操作、數(shù)據(jù)庫異常操作等行為；c）應支持訪問行為分析，包括異常

IP

地址登陸、非正常時間段登陸、短時多

IP

登陸、異常端口訪問、未授權的數(shù)據(jù)訪問、高風險的數(shù)據(jù)下載、異常的數(shù)據(jù)庫操作等行為；d）應支持資產(chǎn)變動分析，對業(yè)務系統(tǒng)資產(chǎn)的端口或服務變化情況進行監(jiān)測分析，分析數(shù)據(jù)資產(chǎn)脆弱性，識別應用系統(tǒng)風險問題并及時處置；e）應支持資產(chǎn)漏洞風險分析，支持識別漏洞掃描設備報告，識別業(yè)務系統(tǒng)漏洞情況

API

8.6 展示與應用子系統(tǒng)9DB36/T

1892—20238.6.1監(jiān)測視圖本項要求包括：a)

GIS

地圖、雷達圖、拓撲圖、路徑等至少兩種表現(xiàn)形式；b)

應支持基于威脅類型、攻擊次數(shù)、威脅來源、威脅目標、攻擊路徑等信息的威脅視圖展示；c)

應支持基于資產(chǎn)類型、分布、資產(chǎn)脆弱性、相關攻擊事件等信息的資產(chǎn)安全視圖展示；d)

圖展示；e)

應支持基于統(tǒng)計信息、實時信息、歷史信息和變化趨勢的展示方式，以及分角色展示方式；f)

應支持政務云平臺整體安全態(tài)勢展示，支持各租戶的業(yè)務安全態(tài)勢展示；g)

應支持政務云邊界區(qū)域、政務云南北向和管理區(qū)的威脅態(tài)勢和資產(chǎn)安全態(tài)勢展示；h)

應支持與政務云安全設備或云安全服務組件進行聯(lián)動，自動完成應急處置任務；i)

應支持根據(jù)數(shù)據(jù)分析結果進行實時告警，告警內(nèi)容包括但不限于告警類型、告警級別、受威脅的業(yè)務資產(chǎn)信息、網(wǎng)站標識、網(wǎng)站地址等；j)

應支持對數(shù)據(jù)流轉或數(shù)據(jù)訪問時序的展示。8.6.2 預警通報本項要求包括：a)

應支持基于數(shù)據(jù)分析結構和告警規(guī)則，實施產(chǎn)生分級別安全告警；b)

應支持按照設定的預警級別和預警流程發(fā)布預警信息，預警內(nèi)容包括但不限于：預警類型、預警級別、威脅方式、涉及對象、影響程度、防范對策等；c)

應支持按照設定的安全事件通報流程進行事件通報，通報內(nèi)容包括但不限于事件類型、攻擊源IP、目標

IP、事件級別、事件分析、影響程度和處置建議等；d)

應支持平臺、郵件、短信、即時通訊、文件等兩種及以上預警和通報方式。8.6.3 攻擊行為展示本項要求包括：a)

應支持在重要或特殊時期通過安全探測等方式對重要資產(chǎn)的威脅進行持續(xù)發(fā)現(xiàn)、排序和監(jiān)控；b)

應支持對重要資產(chǎn)的攻擊行為信息進行詳細展示，包括但不限于：攻擊故事線、影響資產(chǎn)、攻擊源、歷史攻擊、攻擊行為分析、網(wǎng)絡連接行為、文件行為、域名訪問行為、模塊加載行為、進程操作行為等；c)

應支持以圖形化的方式展現(xiàn)電子政務外網(wǎng)各類重要資產(chǎn)的分布狀況、相互關系、潛在攻擊路徑等。8.6.4 應急處置聯(lián)動本項要求包括：a)

應支持在規(guī)定時間內(nèi)將安全告警或安全事件形成處置任務，并進行記錄、跟蹤和歸檔；b)

應支持對安全告警或安全事件進行調(diào)查取證，包含告警溯源信息和關聯(lián)的原始日志；c)

應支持與第三方設備或平臺聯(lián)動，根據(jù)監(jiān)測結果，協(xié)助實施動態(tài)訪問控制等安全處置行動；d)

應支持與政務云安全設備或云安全服務組件進行聯(lián)動，自動完成應急處置任務。8.7 平臺管理子系統(tǒng)8.7.1 用戶管理10DB36/T

1892—2023本項要求包括：a)

應支持用戶、用戶組的增加、禁用、刪除、修改、查詢及分組管理；b)

應支持分權使用，即支持劃分不同的角色，并為不同角色分配權限。8.7.2 資產(chǎn)管理本項要求包括：a)

位置、資產(chǎn)負責人等信息；b)

應支持按照類型、部署位置、所屬業(yè)務系統(tǒng)等屬性對資產(chǎn)進行分組管理；c)

應支持資產(chǎn)信息的增加、刪除、查詢、標記；d)

應支持資產(chǎn)信息的批量導入、導出。8.7.3 配置管理本項要求包括：a)

應支持對于用戶賬號和口令的配置管理，包括但不限于初次登錄口令修改、賬號鎖定時間、口令有效期、登錄嘗試次數(shù)、口令長度和復雜度限制等；b)

應支持時間自動同步，并且可自定義同步間隔時間；c)

應支持對安全策略、特征庫、補丁等進行升級。8.7.4 運行監(jiān)控

絡流量情況、設備產(chǎn)生的異常報警等。8.7.5 身份鑒別本項要求包括：a)

應對平臺登錄用戶進行身份鑒別，身份鑒別信息應具有復雜度和定期更換要求；b）應采用密碼技術保證身份鑒別信息在傳輸、存儲過程中的完整性和保密性；c）應采用不少于兩種組合的鑒別技術對用戶進行身份鑒別，且其中至少一種鑒別技術應使用國產(chǎn)密碼技術來實現(xiàn)。8.7.6 訪問控制本項要求包括：a)

應向授權用戶提供配置、查詢和修改各種安全策略的功能；b)

應向授權用戶提供管理日志的功能，包括日志的存儲、導出和備份等；c)

應支持在用戶遠程管理方式下，限定遠程管理端

IP

地址范圍，并采取措施保證管理端與平臺之間數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?.7.7 安全審計本項要求包括：a)

應支持對每個用戶的操作行為進行安全審計，包括但不限于：1)

管理員的登錄成功和失敗；2）因身份鑒別嘗試失敗次數(shù)達到設定值導致的會話連接終止；3）對安全策略進行配置的操作；11DB36/T

1892—20234）對管理用戶進行增加、刪除和屬性修改的操作；b)

審計記錄應至少包括事件發(fā)生日期、時間、用戶標識、事件類型、操作結果等信息。日期應精確到日，時間應精確到秒，審計數(shù)據(jù)存儲時間不少于六個月；c)

應對審計記錄進行保護并定期備份，避免受到刪除、修改或覆蓋。8.7.8 運維管理本項要求包括：a）運維管理責任方應為國家黨政機關、事業(yè)單位或具備國家認證認可的相關資質要求；b）運維管理人員應做好安全監(jiān)測、威脅監(jiān)測、平臺對接、預警通報等工作；

IP

d）應定期組織運營例會和運維人員相關培訓，總結運營情況，編制運營報告；e）應制定應急預案，組織開展應急演練及攻防演練，承擔應急值守與響應處置，強化重點時期安全保障；f）運維管理人員應協(xié)助電子政務外網(wǎng)安全監(jiān)測平臺合規(guī)管理，開展電子政務外網(wǎng)安全監(jiān)測平臺網(wǎng)絡安全等級保護測評、密碼應用安全性評估等合規(guī)性測評工作，并將結果錄入電子政務外網(wǎng)安全監(jiān)測平臺。8.8 數(shù)據(jù)存儲子系統(tǒng)數(shù)據(jù)存儲子系統(tǒng)對平臺中不同類型和結構的數(shù)據(jù)進行存儲。本項要求包括：a)

應支持對平臺采集以及處理產(chǎn)生的數(shù)據(jù)進行分類存儲，包括但不限于流量元數(shù)據(jù)、資產(chǎn)信息、日志數(shù)據(jù)、安全告警、安全事件、規(guī)則數(shù)據(jù)、威脅情報、知識案例等數(shù)據(jù)；b)

應支持對結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構化數(shù)據(jù)進行存儲；c)

應支持數(shù)據(jù)遷移，支持存儲數(shù)據(jù)的備份及異常恢復，應根據(jù)國家規(guī)定的災難恢復能力等級要求進行數(shù)據(jù)恢復工作；d)

應支持對身份鑒別、數(shù)據(jù)分析結果等重要數(shù)據(jù)進行加密存儲；e)

應支持數(shù)據(jù)存儲節(jié)點擴展和負載均衡；f)

應支持自定義數(shù)據(jù)存儲時間；g)

應支持配置數(shù)據(jù)保護策略，防止數(shù)據(jù)遭未經(jīng)授權的讀取、刪除或修改；h)應支持當數(shù)據(jù)存儲達到閾值時，發(fā)出報警信息。9 數(shù)據(jù)共享要求交換平臺三類要素組成。本項要求包括：a)

應支持共享數(shù)據(jù)橋接到安全監(jiān)測平臺前置節(jié)點的交換庫或文件夾中，將前置節(jié)點中的數(shù)據(jù)進行資源發(fā)布；b)

c）應支持通過電子政務共享數(shù)據(jù)統(tǒng)一交換平臺共享數(shù)據(jù)；d)

應支持以不同的方式進行數(shù)據(jù)交換，包括庫表、文件及服務接口；e)服務代理應支持

協(xié)議；12DB36/T

1892—2023f）應支持與政務區(qū)塊鏈平臺對接，將監(jiān)測數(shù)據(jù)、級聯(lián)數(shù)據(jù)安全上鏈；g)

應支持對數(shù)據(jù)操作按照最小授權原則進行權限控制。10 平臺級聯(lián)要求10.1 功能要求10.1.1 數(shù)據(jù)交互數(shù)據(jù)通信支持通過

等多種方式進行數(shù)據(jù)上報和數(shù)據(jù)下發(fā)，數(shù)據(jù)上報下發(fā)服務端需返回狀態(tài)碼，告知客戶端是否進行重傳。10.1.2 加密傳輸密算法，加密的數(shù)據(jù)包括請求參數(shù)與返回的數(shù)據(jù)內(nèi)容。10.1.3 級聯(lián)認證行有效的認證與授權。信。10.1.4 上報 總體態(tài)勢上報市級電子政務外網(wǎng)安全監(jiān)測平臺每日定時向省級電子政務外網(wǎng)安全監(jiān)測平臺上報本級電子政擊總量、漏洞事件數(shù)、病毒事件數(shù)。 告警統(tǒng)計上報市級電子政務外網(wǎng)安全監(jiān)測平臺每日定時向省級電子政務外網(wǎng)安全監(jiān)測平臺上報本級電子政總量、漏洞告警總量。 風險狀況上報市級電子政務外網(wǎng)安全監(jiān)測平臺每日定時向省級電子政務外網(wǎng)安全監(jiān)測平臺上報本級的風險情況。 案例上報13DB36/T

1892—2023含案例名稱、案例描述、案例相關附件信息。 安全事件上報市