搜索
学兔兔标准下载目 次前言Ⅲ…………………………………………………………………………………………………………1 范围1………………………………………………………………………………………………………2 规范性引用文件1…………………………………………………………………………………………3 术语和定义1………………………………………………………………………………………………4 缩略语2……………………………………………………………………………………………………5 系统架构及总体要求2…………………………………………………………………………………… 5.1 系统架构2…………………………………………………………………………………………… 5.2 总体要求4……………………………………………………………………………………………6 功能要求4………………………………………………………………………………………………… 6.1 数据采集4…………………………………………………………………………………………… 6.2 数据处理5…………………………………………………………………………………………… 6.3 数据存储5…………………………………………………………………………………………… 6.4 安全分析6…………………………………………………………………………………………… 6.5 威胁情报管理7……………………………………………………………………………………… 6.6 风险识别8…………………………………………………………………………………………… 6.7 网络安全预警研判8………………………………………………………………………………… 6.8 信息通报8…………………………………………………………………………………………… 6.9 响应处置9……………………………………………………………………………………………7 性能要求10…………………………………………………………………………………………………8 展示要求10………………………………………………………………………………………………… 8.1 展示内容10…………………………………………………………………………………………… 8.2 展示方式10……………………………………………………………………………………………9 接口要求10………………………………………………………………………………………………… 9.1 系统级联接口10……………………………………………………………………………………… 9.2 数据共享接口10………………………………………………………………………………………10 安全要求11………………………………………………………………………………………………11 运行管理11………………………………………………………………………………………………参考文献12……………………………………………………………………………………………………ⅠJT/T1418—2022学兔兔标准下载前 言本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:交通运输信息安全中心有限公司、中国交通通信信息中心、中国科学院信息工程研究所、公安部第三研究所、北京天融信网络安全技术有限公司、长扬科技(北京)有限公司、上海观安信息技术股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司。本文件主要起草人:林榕、杜渐、戴明、邢宏伟、刘宇畅、杨凤英、刘玉岭、陈妍、梅乐翔、张铮、杜丹、李飞、韩冬旭、贺文涛、刘天宇、杨剑、汪义舟、谢江、赵国全、梁伟。ⅢJT/T1418—2022学兔兔 范围本文件规定了交通运输网络安全监测预警系统的系统架构及总体要求、功能要求、性能要求、展示要求、接口要求、安全要求与运行管理。本文件适用于交通运输行业网络安全监测预警系统的建设、测试、运维与管理。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/Z20986—2007 信息安全技术 信息安全事件分类分级指南GB/T22239—2019 信息安全技术 网络安全等级保护基本要求GB/T24363—2009 信息安全技术 信息安全应急响应计划规范GB/T25069 信息安全技术 术语GB/T28517—2012 网络安全事件描述和交换格式GB/T29246 信息技术 安全技术 信息安全管理体系 概述和词汇GB/T33561—2017 信息安全技术 安全漏洞分类GB/T36643—2018 信息安全技术 网络安全威胁信息格式规范GB/T37027—2018 信息安全技术 网络攻击定义及描述规范3 术语和定义GB/T25069和GB/T29246界定的以及下列术语和定义适用于本文件。3.1威胁 threat可能对系统或组织造成危害的不期望事件的潜在缘由。[来源:GB/T29246—2017,2.83]3.2资产 asset对组织具有价值的信息或资源,是安全策略保护的对象。[来源:GB/T20984—2007,3.1]3.3网络安全事件 cybersecurityincident由于自然或者人为以及软硬件本身缺陷或故障的原因,对网络或信息系统造成危害,或对社会造成负面影响的事件。[来源:GB/T32924—2016,3.4]3.4网络安全监测 cybersecuritymonitoring1JT/T1418—2022学兔兔标准下载通过对网络安全事件和安全设备、主机/服务器、数据库、中间件、应用系统等资产的日志和流量数据进行采集分析,实现网络安全的风险识别、威胁发现、预警通报及可视化展示。[来源:GB/T36635—2018,3.1,有修改]3.5网络安全预警 cybersecuritywarning针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出的安全警示。[来源:GB/T32924—2016,3.5,有修改]3.6威胁情报 threatintelligence一种与已有或潜在的威胁相关,用于对威胁或危害的响应或处理决策提供信息支持的知识。注:威胁情报包括上下文、机制、标示、含义和能够执行的建议等。3.7设备指纹 devicefingerprint用于唯一识别设备特征或者独特设备属性的可验证和可比对的数据集。4 缩略语下列缩略语适用于本文件。CPU:中央处理器(CentralProcessingUnit)FTP:文件传送协议(FileTransferProtocol)HTTP:超文本传输协议(HyperTextTransportProtocol)IP:互联网协议(InternetProtocol)JSON:JavaScript对象简谱(JavaScriptObjectNotation)POP3:邮局协议版本3(PostOfficeProtocol—Version3)SMTP:简单邮件传输协议(SimpleMailTransferProtocol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)VPN:虚拟专用网络(VirtualPrivateNetwork)XML:可扩展标记语言(ExtensibleMarkupLanguage)5 系统架构及总体要求5.1 系统架构交通运输网络安全监测预警系统(简称“监测预警系统”)是对交通运输行业政府网站、电子政务邮箱、重要信息系统、重要网络节点和运行网络进行集中全面的网络安全监测和网络安全预警的信息系统。监测预警系统体系包括部级交通运输网络安全监测预警系统(简称“部级系统”)、省级交通运输网络安全监测预警系统(简称“省级系统”)和海事、救捞的部直属单位交通运输网络安全监测预警系统(简称“直属系统”)。部级系统应实现与国家网络安全监管部门平台之间进行数据交换和信息共享;省级系统和直属系统与部级系统进行对接,形成网络安全事件预警通报机制,共享知识库及威胁情报库数据;省级系统应实现与省级网络安全监管部门平台之间进行数据交换和信息共享。监测预警系统内外部之间的接口关系如图1所示。监测预警系统主要由平台层、基础层、分析层、应用层、展示层组成,同时结合安全要求和运行管理共同构成监测预警系统的系统架构,如图2所示。2JT/T1418—2022学兔兔 监测预警系统内外部接口关系示意图图2 监测预警系统架构 监测预警系统各层功能如下:———平台层:负责为监测预警系统运行提供支撑,由操作系统、数据库和中间件组成;———基础层:负责为分析层提供基础数据,至少具备数据采集、数据处理、数据存储功能;———分析层:负责为应用层提供分析结果,至少具备安全分析、威胁情报管理、风险识别功能;3JT/T1418—2022学兔兔标准下载———应用层:负责为展示层提供交互信息,至少具备网络安全预警研判、信息通报、响应处置功能;———展示层:负责将各层数据进行综合汇总,以文字、图形、图表等形式进行集中和直观呈现。5.2 总体要求监测预警系统应至少满足以下总体要求:———以交通运输行业关键信息基础设施为监测预警重点,监测交通运输行业政府网站、电子政务邮箱、重要信息系统、重要网络节点和运行网络的安全状态;———支持多级架构部署,满足交通运输行业不同管理层级的网络安全监测需求,如图1所示;———支持在原有系统基础上进行功能扩展,功能模块能独立维护;———支持基于监测策略对网络状况进行安全监测,对监测时产生的告警进行分类标识,包括但不限于策略违反告警、事件告警、异常行为告警,并提供多种告警和响应方式,包括但不限于语音告警、声光告警、短消息告警、邮件告警。6 功能要求6.1 数据采集6.1.1 采集对象采集对象应包括:a) 主机设备,如计算机、服务器等;b) 基础软件,如操作系统、数据库、中间件等;c) 网络设备,如交换机、路由器、VPN等;d) 安全设备或系统,如防火墙、入侵检测(防护)设备、Web攻击审计系统、网络异常行为审计系统、脆弱性探测系统等;e) 交通运输外场设备、摄像头、感知设备、政务终端等;f) 交通运输基础设施管理系统、指挥系统、业务系统、监测平台、云管平台、虚拟化管理平台等;g) 交通运输行业政府网站、电子政务邮箱等。6.1.2 采集要求数据的采集应满足如下要求:a) 采用被动及主动等方式进行采集,人工和自动化相结合;b) 采集节点以单级、分布式多级等多种形式部署;c) 数据采集任务根据类型可定制化,任务类型至少包括单次型和周期型;d) 数据采集过程中,不影响采集对象的正常运行。6.1.3 采集内容6.1.3.1 采集内容应包括资产基础数据、运行状态数据、网络流量数据、业务系统数据和网络安全数据。6.1.3.2 资产基础数据应包括:a) 采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等;b) 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等;c) 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据;d) 采集对象的设备指纹。4JT/T1418—2022学兔兔 运行状态数据应包括:a) 采集对象的运行状态数据,如CPU利用率、CPU温度等CPU运行状态数据、内存使用率等内存运行状态数据,磁盘空间使用率等磁盘运行状态数据;b) 采集对象运行的系统日志、告警数据等;c) 采集对象的物理接口的链