1 范围
本标准规定了电子政务外网安全综合管理平台技术要求与接口规范的术语和定义、缩略语、建设原则与目标、系统总体架构、系统功能要求、系统性能要求、自身安全性、安全综合管理平台接口。
本部分适用于全省电子政务外网安全综合管理平台的功能、性能、安全性、部署方式、接口等技术要求,指导全省电子政务外网安全综合管理平台规划、设计和建设,也可作为各级电子政务外网管理部门进行指导、监督和检查的依据。 2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 2260 中华人民共和国行政区划代码
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南
GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求
3 术语和定义
3.1
安全管理系统 Security Operation Center(SOC)
采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事件,并运用关联分析技术、智能推理技术和风险管理技术,实现对安全事件信息的深度分析和识别, 能快速做出报警响应,实现对安全事件进行统一监控分析和预警处理。
3.2
网络管理系统 Network Management System(NMS)
提供拓扑管理、设备配置、故障告警、性能监测和报表管理功能,实现对网络运行的集中统一管理。
smdao3.3
脆弱性 Vulnerability
信息技术、信息产品、信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对信息系统的安全造成损害,从而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的安全。脆弱性又称为安全漏洞。木薯干
3.4
安全威胁 Security Threat
某个人、物、事件或概念对某一资源的保密性、完整性、可用性、真实性或可控性所造成的危害。
3.5
信息安全事态 Information Security Event
石墨烯设备系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效, 或是和安全关联的一个先前未知的状态。
3.6
信息安全事件 Information Security Incident
采集的单个或一系列的安全事态,包括各类日志、操作和其他系统或设备报送的报警信息。
3.7
告警 Alarm
针对收集到的各种安全事件进行综合关联分析后形成的报警事件。
3.8
Syslog协议
TCP/IP 网络中用于传输系统日志的标准,设备和系统在记录和转发日志时应遵循该标准。
3.9
Web service
基于网络的、分布式的模块化组件,它执行特定的任务,遵守具体的技术规范,其它应用通过使用相应的规范,可与它进行互操作。
3.10
BUGTRAQ
一个公告计算机安全问题的列表,包括安全漏洞相关公告和利用这些漏洞的方法,以及如何修复它们。
4 缩略语
SOA 面向服务的体系结构 (Service-Oriented Architecture)
CVE 公共漏洞和暴露 (Common Vulnerabilities & Exposures)
WSDL 网络服务描述语言 (Web Service Description Language)
5 建设原则与目标
5.1 建设原则
安全综合管理平台按照以下原则进行建设:
a)按照电子政务外网统一规划,省、市政务外网应分别建成安全综合管理平台,与国家政务外网形成三级系统级联;县级政务外网可根据自身情况建设安全综合管理平台,与上级系统级联;
b)各级安全综合管理平台应部署于本级政务外网的安全管理区域,跨区的安全相关信息的采集可通过带外管理方式发送到安全综合管理平台;
c)已建和在建的安全综合管理平台按照本规范要求实现级联,纳入政务外网统一的安全管理体系中;
d)部门接入网的边界安全由各部门按照相应等级保护防护等级进行安全防护,各级部门接入网终端安全由各级城域网管理部门负责统一管理。
5.2 建设目标
安全综合管理平台建设应实现如下目标:
e)罐笼防坠器集成不同厂商的安全设备,实现各类安全设备日志信息的实时采集、统一监测和集中管理,并具备较强的扩展能力;
f)具备大数据处理能力,通过对各类安全数据的加工、存储、分析,实现安全态势感知,为安全决策提供依据;
g)具备完整、可定制的可视化展示界面,实现安全监测与管理、事件告警与预警、流程化事件处理等功能;
h)支持多级系统的级联管理和分级部署,对外实现与第三方管理系统的互联互通,可通过接口开发扩展系统功能。
6 系统总体架构
6.1 总体功能架构
安全综合管理平台监测和管理安全设备的运行状态,对安全事件、脆弱性、配置、可用性与安全相关的数据进行统一采集、集中分析,并进行宏观可视化展现,发现事件或安全风险时可实时触发告警。安全综合管理平台提供标准的外部通信与数据接口,与上下级平台和第三方系统实现连接。详见图1。
图1 安全综合管理平台整体功能框架图
扫描采集层
扫描采集层采集安全设备及核心设备的运行状态信息、安全事件信息、脆弱性信息、安全配置信息和流量信息,并将所采集的安全事件信息转化为安全综合管理平台内部统一的数据格式。
安全管理层
通过综合分析方法对采集数据进行关联分析以识别判断安全事件或事态,生成风险信息、事件信息、告警信息,由监测与事件处理模块、系统管理与配置模块、基础信息库等组成。监测与事件处理模块主要包括资产管理、可用性监测、事件管理、告警管理、风险管理、安全审计、rj45防水接头安全响应、安全通告、脆弱性管理、合规性管理、关联分析、统计分析、态势分析、策略管理、工单管理;系统管理与配置模块主要包括报表管理、权限管理、存储管理、级联管理;基础信息库主要包括规则库、案例库、漏洞库、策略库。
分析展现层
通过可视化的方式将资产信息、网络拓扑、监测对象的运行状态、设备可用性、安全风险、安全事件、安全告警等信息展现给用户,并用工单的形式管理安全风险、事件和告警,采用Portal技术统一展现。
对外接口层
在安全综合管理平台中应构建标准化接口服务层,实现与上下级安全监测系统、外部系统接口连接。安全综合管理平台对外接口应具有良好的兼容性,可方便地与第三方系统进行
连接,支持Syslog事件转发、SNMP Trap事件转发、Web Service接口调用等常用标准接口。
6.2 总体技术要求
系统技术架构
系统技术架构应采用面向服务的体系架构(SOA),具备跨平台、可伸缩和高可靠的特性。系统采用 B/S访问方式。
系统运行环境
支持主流操作系统部署,支持主流网络浏览器。
部署方式
具备灵活的部署方式,支持集中部署、多级部署、集部署等方式。
数据库
支持主流数据库(含国产数据库)。
7 系统功能要求
7.1 资产管理
实现对网络中设备和系统对象的管理,按照安全域、系统归属等方式管理资源。提供自动扫描网络、手工录入和批量导入等数据采集功能,获取相关信息和映射关系。资产记录中应包括资产名称、IP地址、类型、责任人、业务价值,以及其安全性、完整性、可用性等资产属性,可根据需要添加资产属性。可通过多种方式查看IP、名称、编号等设备和系统的安全信息。
7.2 可用性监测
通过监测各类安全设备,实时了解设备的可用性状态,出现异常时可根据预先设定的阈值产生告警。
7.3 事件管理
对安全设备产生的安全事件信息进行统一的实时监控和关联分析,对来自外部的入侵和内部的违规和误操作行为进行监控、审计分析、调查取证,实现IT资源的合规性管理。信息安全事件管理包括事件的采集、标准化、集中存储、实时展现、关联分析和应急响应。
7.4 脆弱性管理
通过漏洞信息采集并与潜在安全事件进行关联,提供可视化展示。
7.5 关联分析
安全综合管理平台应内置关联分析规则库,提供关联分析功能。将来自不同事件源的安全事件进行分析,从海量事件中过滤出有逻辑关系的事件序列并匹配告警策略,依据最佳实践原则结合资产的业务价值柔毛水杨梅和资产的脆弱性,形成相应的告警,以及针对关联分析产生的安全告警可追溯其关联事件。
7.6 态势分析
对指定时间段内满足指定条件的事件进行态势分析,以风险分析、威胁分析、脆弱性分析等为基础生成态势分析结果。
7.7 统计分析
指针对一段时间内的历史信息进行统计和呈现。可从不同维度对历史信息进行统计,包括信息发生数量、信息排行、疑似攻击和违规事件、不同状态的统计分布和趋势分析;分析人员也可自定义策略进行统计分析,从宏观上掌握指定时间范围内某类事件的趋势。
7.8 安全响应
当安全综合管理平台监测到安全事件时,触发预先设定的告警或事件响应规则,执行预定义的响应动作。告警响应动作应涵盖常见的响应方式,包括告警、手机短信告警、创建工单、通过Syslog 或SNMP Trap向第三方系统转发告警事件等。
7.9 风险管理
安全综合管理平台需实现被保护资产的风险计算功能,展现当前被保护资产的风险值和风险等级,并进一步计算安全域或所属业务信息系统的风险,应能以图形化的方式展现当前资产和安全域的风险级别、当前风险的排名统计。对于单个资产的风险计算建议符合GB/T 20984-2007的要求,依据资产价值、资产当前的脆弱性及资产面临的安全威胁,采用矩阵
法或相乘法。
7.10 安全审计
安全综合管理平台可根据合规的要求,采集所需的数据,根据预置的策略或定制规则模版,生成相应的审计结果数据,对危害信息系统运行及不合规的行为进行报告。分析人员可自行设定查询条件进行人工审计,获得所需的审计查询结果,并可将结果以文件形式导出。
7.11 安全通告
安全综合管理平台提供安全通告功能,可创建或导入安全风险通告,通告中一般包括通告内容、描述信息、CVE、BUGTRAQ编号、影响的操作系统及其他信息。安全综合管理平台可根据通告提示受安全风险影响的操作系统,提供受影响的被保护资产列表。安全管理人员可据此采取相应的保护措施。
7.12 合规性管理
a)安全综合管理平台提供依照GB/T 22240-2008管理备案单位信息,确定系统等级和保护基线;依照GB/T 22239-2008对系统能够进行差距评估,自动生成《差距评估报告》和《整改建议报告》,跟踪整改任务执行情况;依据GB/T 28448-2012建立不同等级的测评项基础库,提供测评机构和测评专家管理。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议