DB3305T 245-2022 數(shù)字法院風(fēng)險(xiǎn)預(yù)警系統(tǒng)建設(shè)與應(yīng)用規(guī)范　

DB3305湖州市市場(chǎng)監(jiān)督管理局發(fā)布I 1 1 1 1 2 2 2 3 4 本文件主要起草人：孟振華、周平、江利良、俞夢(mèng)瀟、王瑩1數(shù)字法院風(fēng)險(xiǎn)預(yù)警系統(tǒng)建設(shè)與應(yīng)用規(guī)范GB/T22239-2019信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T40652信息安全技術(shù)惡意軟件事件預(yù)防GB/T25069和GB/T40652界定的術(shù)語(yǔ)和定義適用于本文件。4.1數(shù)字法院風(fēng)險(xiǎn)預(yù)警系統(tǒng)的安全保護(hù)等級(jí)應(yīng)符合GB/T22239-2019規(guī)定的第三級(jí)安全要求。4.2應(yīng)建立網(wǎng)絡(luò)被攻擊次數(shù)、有害程序事件數(shù)、終端漏洞數(shù)、服絡(luò)防護(hù)能力、主機(jī)/終端防護(hù)能力、應(yīng)用防護(hù)能力、數(shù)據(jù)防護(hù)能力等安全巡檢能力，不斷優(yōu)化4.3應(yīng)建立綜合態(tài)勢(shì)、大數(shù)據(jù)智能情報(bào)、安全運(yùn)營(yíng)、攻擊鏈回溯、應(yīng)急指揮等展示場(chǎng)景，匯聚相關(guān)數(shù)據(jù)，通過(guò)可視化手段以圖表的形式集成展示安全態(tài)勢(shì)，呈現(xiàn)4.4對(duì)于新系統(tǒng)、新功能的上線，在系統(tǒng)驗(yàn)收時(shí)應(yīng)充分評(píng)估安全風(fēng)險(xiǎn)、進(jìn)行安全檢測(cè)、做好上線前的2網(wǎng)絡(luò)安全相關(guān)政策規(guī)范運(yùn)營(yíng)服務(wù)保障體系網(wǎng)絡(luò)安全相關(guān)政策規(guī)范運(yùn)營(yíng)服務(wù)保障體系大數(shù)據(jù)智能情報(bào)攻擊鏈回溯大數(shù)據(jù)智能情報(bào)攻擊鏈回溯操作系統(tǒng)操作系統(tǒng)5.1系統(tǒng)主要由監(jiān)管對(duì)象、平臺(tái)層、數(shù)據(jù)處理層、服務(wù)層、應(yīng)用層、展示層、網(wǎng)絡(luò)安全相關(guān)政策規(guī)范5.2監(jiān)管對(duì)象包括人民法院內(nèi)外網(wǎng)、下級(jí)單位系統(tǒng)平臺(tái)、網(wǎng)絡(luò)流量、云端數(shù)據(jù)、情報(bào)數(shù)據(jù)、日志數(shù)據(jù)5.3平臺(tái)層由服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、云平5.5服務(wù)層將業(yè)務(wù)計(jì)算任務(wù)發(fā)送至數(shù)據(jù)處理層，根據(jù)不同的業(yè)務(wù)場(chǎng)景針對(duì)數(shù)據(jù)進(jìn)行分析。5.6應(yīng)用層將各大子系統(tǒng)與模塊從業(yè)務(wù)功能視角劃分為監(jiān)測(cè)分析、業(yè)務(wù)協(xié)同、運(yùn)營(yíng)管理：5.7展示層提供數(shù)據(jù)可視化分析和流程跟蹤，包括綜合態(tài)勢(shì)、大數(shù)據(jù)智能情報(bào)、安全運(yùn)營(yíng)、攻擊鏈回5.8網(wǎng)絡(luò)安全相關(guān)政策規(guī)范保障平臺(tái)對(duì)接過(guò)程中數(shù)據(jù)采集、事件上報(bào)、通報(bào)下發(fā)、下級(jí)平臺(tái)數(shù)據(jù)上報(bào)35.9運(yùn)營(yíng)服務(wù)保障體系是平臺(tái)穩(wěn)定的基礎(chǔ)要求，建立有組織的運(yùn)營(yíng)服務(wù)保障體系，能夠安全監(jiān)管平臺(tái)持結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)等多種為大數(shù)據(jù)平臺(tái)提供統(tǒng)一部署、統(tǒng)一調(diào)度、統(tǒng)一運(yùn)維、統(tǒng)一參數(shù)證授權(quán)、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、技術(shù)設(shè)施安全等其他8.2服務(wù)總線是一種體系結(jié)構(gòu)模式，在總線模式中，服務(wù)交互的參與方并不直接交互，而是通過(guò)一個(gè)8.3應(yīng)用程序邏輯可以使用各種編程模型和技術(shù)調(diào)用或交付服務(wù)，而無(wú)需考慮是直接連接還是通過(guò)總8.4應(yīng)用組件和應(yīng)用功能可根據(jù)各類用戶需要，按照統(tǒng)一的規(guī)范包裝成restful服務(wù)注冊(cè)到總線上，4請(qǐng)求交互[外部服務(wù)圖2數(shù)據(jù)服務(wù)接口總線集成模式圖9.1監(jiān)測(cè)分析9.1.1.1支持通過(guò)主動(dòng)探測(cè)、流量分析、人工報(bào)送、數(shù)據(jù)導(dǎo)入等手段匯聚網(wǎng)絡(luò)資產(chǎn)，并通過(guò)統(tǒng)一的資9.1.1.2針對(duì)核心關(guān)鍵資產(chǎn)，提供相關(guān)運(yùn)營(yíng)手段，自動(dòng)或半自動(dòng)對(duì)資產(chǎn)變動(dòng)進(jìn)行維護(hù)，并整合資產(chǎn)脆告警富化資產(chǎn)管理軟件資產(chǎn)設(shè)備資產(chǎn)資產(chǎn)指標(biāo)單位組織資產(chǎn)檢查一鍵搜索責(zé)任歸屬資產(chǎn)定位目標(biāo)分析現(xiàn)資產(chǎn)概況重保資產(chǎn)9.1.1.3資產(chǎn)管理數(shù)據(jù)來(lái)源包括流量發(fā)現(xiàn)、人工錄入、下級(jí)平臺(tái)上報(bào)、第三方5a)流量發(fā)現(xiàn)：通過(guò)數(shù)據(jù)采集中接入的原始流量，提取原始流量中的IP、端口，與歸檔資產(chǎn)庫(kù)中的已有資產(chǎn)進(jìn)行對(duì)比，如果不存在則認(rèn)為是新發(fā)現(xiàn)資產(chǎn)，經(jīng)過(guò)人工運(yùn)營(yíng)確認(rèn)后進(jìn)行歸檔，最終進(jìn)入資產(chǎn)庫(kù)；c)下級(jí)平臺(tái)上報(bào)：下級(jí)平臺(tái)通過(guò)平臺(tái)級(jí)聯(lián)規(guī)范進(jìn)行網(wǎng)絡(luò)資產(chǎn)上報(bào)，上級(jí)平臺(tái)進(jìn)行校驗(yàn)后進(jìn)行資產(chǎn)融合；d)第三方對(duì)接：平臺(tái)支持對(duì)接第三方資產(chǎn)掃描器，通過(guò)數(shù)據(jù)采集模塊進(jìn)行對(duì)接后，與平臺(tái)資產(chǎn)進(jìn)行融合。9.1.1.4網(wǎng)絡(luò)資產(chǎn)在資產(chǎn)發(fā)現(xiàn)中進(jìn)行運(yùn)營(yíng)歸檔后形成資產(chǎn)庫(kù)，集中在資產(chǎn)管理模塊中進(jìn)行管理維護(hù)，主要分為單位組織、設(shè)備資產(chǎn)、軟件資產(chǎn)、IP資產(chǎn)、idc機(jī)房信息等。其中單位組織、設(shè)備資產(chǎn)、軟件資產(chǎn)、IP資產(chǎn)將作為平臺(tái)的基礎(chǔ)數(shù)據(jù)用于支撐其他業(yè)務(wù)子系統(tǒng)的相關(guān)業(yè)務(wù)。9.1.1.5資產(chǎn)概況將從資產(chǎn)的各個(gè)維度如資產(chǎn)類型、來(lái)源、所屬單位等進(jìn)行統(tǒng)計(jì)分析。9.1.1.6一鍵搜索將通過(guò)關(guān)鍵詞快速匹配新發(fā)現(xiàn)與已歸檔的網(wǎng)絡(luò)資產(chǎn)。9.1.1.7資產(chǎn)管理經(jīng)過(guò)運(yùn)營(yíng)后形成的資產(chǎn)庫(kù)將為其他業(yè)務(wù)子系統(tǒng)做業(yè)務(wù)支撐。9.1.2.1應(yīng)支持通過(guò)流量傳感器、網(wǎng)站監(jiān)測(cè)、第三方告警接入等方式發(fā)現(xiàn)的告警，通過(guò)歸并、過(guò)濾、富化、分析、人工判斷等處理轉(zhuǎn)化為標(biāo)準(zhǔn)分類及數(shù)據(jù)格式的告警，并提供包括基本信息、規(guī)則信息、威脅行為、原始告警、資產(chǎn)信息告警詳情信息。針對(duì)不同類型對(duì)告警基本信息進(jìn)行差異化展示，有效傳遞給用戶，并發(fā)出提醒警示信息。ATR入告普管圖4安全監(jiān)測(cè)數(shù)據(jù)流程圖9.1.2.2風(fēng)險(xiǎn)監(jiān)測(cè)告警數(shù)據(jù)來(lái)源主要包括探針原始告警、云監(jiān)測(cè)接入、第三方對(duì)接這三種方式，統(tǒng)一通過(guò)數(shù)據(jù)采集子系統(tǒng)進(jìn)行數(shù)據(jù)接入，并支持人工在web界面上手動(dòng)添加告警。9.1.2.3多種來(lái)源的告警信息首先經(jīng)過(guò)監(jiān)測(cè)規(guī)則進(jìn)行數(shù)據(jù)過(guò)濾。過(guò)濾規(guī)則可在頁(yè)面上進(jìn)行配置，支持多種條件組合。經(jīng)過(guò)數(shù)據(jù)過(guò)濾后的告警會(huì)通過(guò)數(shù)據(jù)歸并策略進(jìn)行告警歸并，將多條告警歸并成一條告警，之后結(jié)合網(wǎng)絡(luò)資產(chǎn)庫(kù)進(jìn)行告警數(shù)據(jù)富化，明確告警受影響的網(wǎng)絡(luò)資產(chǎn)，涉事單位，明確責(zé)任人等。9.1.2.4通過(guò)監(jiān)測(cè)規(guī)則形成的告警最終會(huì)進(jìn)入告警列表中，經(jīng)研判分析及人工運(yùn)營(yíng)確認(rèn)后，告警會(huì)形成安全事件。運(yùn)營(yíng)人員可結(jié)合用戶的實(shí)際業(yè)務(wù)對(duì)告警進(jìn)行白名單設(shè)置，比如內(nèi)網(wǎng)中自身掃描器的掃描行為告警，針對(duì)誤報(bào)的告警可進(jìn)行刪除至回收站，針對(duì)誤刪的數(shù)據(jù)同樣可從回收站中恢復(fù)數(shù)據(jù)。9.1.2.5監(jiān)測(cè)概況以告警數(shù)據(jù)作為分析源，進(jìn)行告警的各維度分析，比如告警的級(jí)別、攻擊結(jié)果、告警來(lái)源，事件等級(jí)等。6a)攻擊鏈分析：數(shù)據(jù)源來(lái)自安全告警和網(wǎng)絡(luò)資產(chǎn)，通過(guò)系統(tǒng)自動(dòng)識(shí)別加人工運(yùn)營(yíng)的方式針對(duì)特定根據(jù)攻擊的特征最終將同一組源IP相關(guān)的告警歸類到偵查、入侵、命令控制、橫向滲透、數(shù)b)專項(xiàng)分析：數(shù)據(jù)源來(lái)自探針原始流量結(jié)合網(wǎng)絡(luò)資產(chǎn)提供賬號(hào)安全、郵件c)行為分析：數(shù)據(jù)源來(lái)自探針原始流量結(jié)合網(wǎng)絡(luò)資產(chǎn)提供黑客滲透攻擊慣9.1.4事件案例9.1.4.1告警經(jīng)人工運(yùn)營(yíng)確認(rèn)為安全事件后，經(jīng)通告預(yù)警處置形成事件案例，并支持人工錄入。9.1.4.2事件案例對(duì)事件數(shù)據(jù)進(jìn)行維護(hù)，包括安全事件的基本信息、事件來(lái)源、事件的影響范圍、研9.1.4.3平臺(tái)應(yīng)支持形成事件案例庫(kù)，作為后續(xù)出現(xiàn)同類安全告警的分析研判、處置閉環(huán)管理的經(jīng)驗(yàn)事件管理基本信息告警研判依據(jù)事件來(lái)源處置建議影響范圍研判結(jié)論圖5事件案例數(shù)據(jù)流程圖9.2業(yè)務(wù)協(xié)同7A件型件統(tǒng)計(jì)圖6通告預(yù)警數(shù)據(jù)流程圖9.2.1.1通告預(yù)警的數(shù)據(jù)來(lái)自安全監(jiān)測(cè)，并通過(guò)機(jī)器確認(rèn)或者人工確認(rèn)后形成的安全事件數(shù)據(jù)。在通過(guò)濾(人工確認(rèn)、機(jī)器確認(rèn))。9.2.1.2安全事件的分析、工單處置在日常通報(bào)模塊中進(jìn)行全流程管理，主要包括以下步驟：d)運(yùn)營(yíng)人員可根據(jù)事件的類型、級(jí)別選擇相應(yīng)的通告類型，包括隱患告知、限期整改；f)用于確認(rèn)下發(fā)后，通告工單下發(fā)至涉事單位，主要以單位賬號(hào)和移動(dòng)APP方式兩種方式發(fā)送給涉事單位；的業(yè)務(wù)閉環(huán)。9.2.1.4網(wǎng)絡(luò)安全預(yù)警針對(duì)重要單位、行業(yè)按照國(guó)標(biāo)(藍(lán)色、黃色、橙色、紅色)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或隱患進(jìn)行預(yù)警；網(wǎng)絡(luò)安全通報(bào)針對(duì)系統(tǒng)監(jiān)測(cè)出的重點(diǎn)威脅進(jìn)行分析研判后，按照表1網(wǎng)絡(luò)安全事件的現(xiàn)在線業(yè)務(wù)閉環(huán)。8件①關(guān)鍵信息基礎(chǔ)設(shè)施以及其他重要網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損③其他對(duì)中級(jí)人民法院網(wǎng)絡(luò)安全構(gòu)成特別嚴(yán)重威脅、造成特別嚴(yán)重影響的全事件，如：運(yùn)維周期內(nèi)運(yùn)維人員存在利用法院網(wǎng)絡(luò)、設(shè)備從事危害網(wǎng)①關(guān)鍵信息基礎(chǔ)設(shè)施以及其他重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴(yán)重的③其他對(duì)中級(jí)人民法院網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的①關(guān)鍵信息基礎(chǔ)設(shè)施及其他重要網(wǎng)絡(luò)和信息系統(tǒng)遭受較大的系③其他對(duì)中級(jí)人民法院網(wǎng)絡(luò)安全構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影全事件，為一般網(wǎng)絡(luò)安全事件。如：信息系統(tǒng)、網(wǎng)站、計(jì)算9.2.2檢查督辦9.2.2.1檢查督辦主要用于專項(xiàng)網(wǎng)絡(luò)安全檢查任務(wù)的下發(fā)跟蹤（如弱密碼專項(xiàng)檢查任務(wù)、安全加固檢9檢查督辦檢查督辦任務(wù)概覽支撐其他業(yè)務(wù)檢查任務(wù)管理檢查目標(biāo)設(shè)置檢查反饋指標(biāo)檢查內(nèi)容設(shè)置(檢查表)下發(fā)檢查任務(wù)任務(wù)審核安全檢查任務(wù)(被檢查單位檢查任務(wù)反饋打回或催辦9.2.2.2檢查任務(wù)管理用于對(duì)監(jiān)測(cè)任務(wù)創(chuàng)建、下發(fā)、審核等過(guò)程進(jìn)a)檢查目標(biāo)設(shè)置，指定被檢查單位、設(shè)置檢查任b)檢查內(nèi)容制定，上傳檢查表；9.2.2.3安全檢查任務(wù)(被檢查單位),主要用于被檢查單位對(duì)檢查任務(wù)進(jìn)行反饋操作。9.2.2.4任務(wù)概覽的統(tǒng)計(jì)數(shù)據(jù)來(lái)自檢查任務(wù)數(shù)據(jù)，如任務(wù)填報(bào)率排名、催辦單位排名等。9.2.3.1考核評(píng)估包括考核指標(biāo)管理、考核任務(wù)統(tǒng)計(jì)分析、考核任務(wù)管理、考核評(píng)分管理四個(gè)模塊?？己嗽u(píng)估考核評(píng)估考核任務(wù)管理(考核單位支撐其他業(yè)務(wù)系統(tǒng)內(nèi)置考核指標(biāo)線下工作考核評(píng)分管理(含被考核單位)自評(píng)(被考核單位主評(píng)(考核單位)通告處置率安全監(jiān)測(cè)圖8考核評(píng)估數(shù)據(jù)流程圖9.2.3.2考核指標(biāo)庫(kù)通過(guò)考核指標(biāo)管理模塊進(jìn)行維護(hù)管理，考核評(píng)估的指標(biāo)來(lái)源包括以下a)系統(tǒng)內(nèi)置考核指標(biāo)，主要根據(jù)現(xiàn)有項(xiàng)目經(jīng)驗(yàn)，根據(jù)實(shí)際考核要求制定b)人工運(yùn)營(yíng)考核指標(biāo)，人工運(yùn)營(yíng)結(jié)合客戶實(shí)際需求而制定的考核指9.2.3.3考核任務(wù)管理主要針對(duì)考核任務(wù)進(jìn)行管理維護(hù)，考核任務(wù)的創(chuàng)建主要包a)制定考核目標(biāo)，選取被考核單位；c)下發(fā)考核任務(wù)。9.2.3.4考核評(píng)分管理模塊中，被考核單位接收考核任務(wù)，針對(duì)每項(xiàng)考核指標(biāo)進(jìn)行自評(píng)，提交。考核9.2.4平臺(tái)級(jí)聯(lián)9.2.4.1對(duì)多級(jí)平臺(tái)級(jí)聯(lián)關(guān)系及節(jié)點(diǎn)狀態(tài)進(jìn)行統(tǒng)計(jì)，通過(guò)拓?fù)潢P(guān)系方式呈現(xiàn)各個(gè)平臺(tái)節(jié)點(diǎn)直接的上下夾產(chǎn)考汗情看通告協(xié)同辦檢查協(xié)同下船單位業(yè)同產(chǎn)(平臺(tái)級(jí)聯(lián)規(guī)范)指令灑道圖9平臺(tái)級(jí)聯(lián)數(shù)據(jù)流程圖9.2.4.2平臺(tái)級(jí)聯(lián)指令通道用于上級(jí)平臺(tái)下發(fā)指令到下級(jí)平臺(tái)，下級(jí)平臺(tái)做指令反饋。指令類型包括b)指令管理功能包括各類指令的添加編輯下發(fā)與指令接收情況的統(tǒng)計(jì)c)級(jí)聯(lián)概況用于監(jiān)聽所有節(jié)點(diǎn)的對(duì)接狀態(tài)，以及統(tǒng)計(jì)下級(jí)平臺(tái)數(shù)據(jù)上報(bào)與指令執(zhí)行情況。9.3運(yùn)營(yíng)管理9.3.1.1數(shù)據(jù)采集主要用于多源異構(gòu)數(shù)據(jù)的接入、解析、分析富化，歸并等，并支持對(duì)數(shù)據(jù)采集接入進(jìn)行性能監(jiān)控、數(shù)據(jù)接入管理、數(shù)據(jù)處理管理、查詢檢索、參數(shù)據(jù)流向定義運(yùn)行監(jiān)控?cái)?shù)據(jù)監(jiān)控輸入插件輸入插件數(shù)據(jù)源數(shù)據(jù)源運(yùn)行監(jiān)控?cái)?shù)據(jù)監(jiān)控富化插件處理插件封包處理緩存分發(fā)緩存分發(fā)存儲(chǔ)9.3.1.2運(yùn)行平臺(tái)由數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)構(gòu)成，完成數(shù)據(jù)接入并存儲(chǔ)至系統(tǒng)：a)數(shù)據(jù)采集完成多種不同類型、不同協(xié)議數(shù)據(jù)的采集封包并發(fā)送至下一個(gè)環(huán)節(jié)；b)數(shù)據(jù)處理模塊完成格式化、富化等操作，將不同來(lái)源的數(shù)據(jù)歸一化到業(yè)務(wù)需要的格式；c)數(shù)據(jù)存儲(chǔ)完成數(shù)據(jù)最終存儲(chǔ)動(dòng)作，控制數(shù)據(jù)的保存位置、形式。根據(jù)不同的業(yè)務(wù)需求，數(shù)據(jù)還可以分發(fā)至流處理，經(jīng)處理后再進(jìn)入存儲(chǔ)。9.3.1.3管理平臺(tái)和監(jiān)控平臺(tái)負(fù)責(zé)對(duì)整個(gè)采集、處理、存儲(chǔ)過(guò)程進(jìn)行管理配置和運(yùn)行監(jiān)控。9.3.2.1基于hadoop生態(tài)圈組件支撐態(tài)勢(shì)感知管理平臺(tái)的分布式計(jì)算、分布式存儲(chǔ)，主要功能包括各類業(yè)務(wù)分析任務(wù)的調(diào)度管理，集群節(jié)點(diǎn)性能的監(jiān)控，各類數(shù)據(jù)存儲(chǔ)分片管理以及在線擴(kuò)容配置等。數(shù)據(jù)接入分析計(jì)算存儲(chǔ)圖11組件管理架構(gòu)圖9.3.2.2數(shù)據(jù)接入支持流式、批量?jī)煞N方式接入數(shù)據(jù)，主要用于數(shù)據(jù)采集子系統(tǒng)中數(shù)據(jù)接入階段的相關(guān)數(shù)據(jù)處理。9.3.2.3存儲(chǔ)方式采用集群化分布式存儲(chǔ)結(jié)構(gòu)。9.3.2.4數(shù)據(jù)計(jì)算實(shí)現(xiàn)已經(jīng)保存至大數(shù)據(jù)平臺(tái)的計(jì)算功能。9.3.2.5數(shù)據(jù)分析實(shí)現(xiàn)數(shù)據(jù)價(jià)值體現(xiàn)。9.3.2.6基礎(chǔ)管理主要提供組件管理子系統(tǒng)的可視化交互管理功能。9.3.3日志檢索9.3.3.1日志檢索是一個(gè)實(shí)時(shí)的分布式搜索和分析引擎，采用高性能的分布式集群數(shù)據(jù)存儲(chǔ)系統(tǒng)，能自適應(yīng)任何格式的數(shù)據(jù)來(lái)源，主要用于支撐安全分析人員進(jìn)行告警的溯源檢索。9.3.3.2日志檢索的數(shù)據(jù)來(lái)源為安全告警、網(wǎng)絡(luò)資產(chǎn)、探針原始流量、第三方日志等，對(duì)所有數(shù)據(jù)建立索引，通過(guò)搜索引擎為用戶提供快速搜索。9.3.3.3搜索引擎的搜索方式包括兩種模式：a)Lucene語(yǔ)法用于支持告警搜索，適用于具有一定技術(shù)背景的用戶；b)字段膠囊方式(如：sip="")用于支持快捷搜索。9.3.3.4搜索的結(jié)