31电子政务外网建设规范第5部分安全综合管理平台技术要求与接口规范.doc-道客多多

资源描述

1、ICS 35.240.01L67DB 32江苏省地方标准DB32/T XXXX2018电子政务外网建设规范第 5 部分:安全综合管理平台技术要求与接口规范Construction Specifications of E-Government Network Part 5: Technical requirements and interface specifications of safety integrated management platform2018 - XX - XX 发布 2018 - XX - XX 实施江苏省市场监督管理局发布DB32/T

2、 XXXX2018I目次前言 IV1 范围 12 规范性引用文件 13 术语和定义 14 缩略语 25 建设原则与目标 35.1 建设原则 35.2 建设目标 36 系统总体架构 36.1 总体功能架构 36.1.1 扫描采集层 46.1.2 安全管理层 46.1.3 分析展现层 46.1.4 对外接口层 46.2 总体技术要求 46.2.1 系统技术架构 46.2.2 系统运行环境 56.2.3 部署方式 56.2.4 数据库 57 系统功能要求 57.1 资产管理 57.2 可用性监测 57.3 事件管理 57.4 脆弱性管理 57.5 关联分析 57.6 态势分析 57.7 统计分析

3、57.8 安全响应 67.9 风险管理 67.10 安全审计 .67.11 安全通告 .67.12 合规性管理 .67.13 策略管理 .67.14 工单管理 .67.15 报表管理 .7DB32/T XXXX2018II7.16 权限管理 .77.17 存储管理 .77.18 级联管理 .77.19 知识库管理 .77.20 综合展现 .77.21 数据采集与预处理 .77.22 时间同步 .87.23 自动运维 .87.24 网络流量行为分析 .87.25 安全监控 .88 系统性能要求 88.1 稳定性指标要求 88.2 数据处理性能 88.2.1 省级安全综合管理平台性能要求 88.2

4、.2 市/县级安全综合管理平台性能 .88.3 数据存储要求 99 自身安全性 99.1 等级保护合规性要求 99.2 系统安全要求 910 安全综合管理平台接口 .910.1 总体框架 .910.2 数据采集接口 1010.2.1 接口描述 1010.2.2 数据采集方式要求 1010.2.3 数据采集内容要求 1010.3 系统级联接口 1110.3.1 接口协议 1110.3.2 接口格式定义 1110.3.2.1 定义 1110.3.2.2 函数基本格式 1110.3.3 系统级联认证接口 1110.3.4 系统运行状态上报接口 1110.3.5 风险上报接口 1210.3.6 告警上

5、报接口 1210.3.7 案例上报接口 1210.3.8 远程知识库查询接口 1310.3.9 报表上报接口 1310.3.10 安全通告接口 .1310.4 外部接口 1310.4.1 接口描述 1310.4.2 外部接口要求 13DB32/T XXXX2018III10.4.3 外部接口方式 1310.4.4 外部数据导入接口 1410.4.5 内部数据导出接口 1410.4.6 与其他系统动态数据接口 14附录 A（规范性附录）电子政务外网安全综合管理平台接口规范 15DB32/T XXXX2018IV前言DB32/T XXXX-2018 电子政务外网建设规范分为八个部分：第 1 部

6、分：网络平台；第 2 部分：IPv4 地址、路由规划；第 3 部分：IPv4 域名规划；第 4 部分：安全实施指南；第 5 部分：安全综合管理平台技术要求与接口规范；第 6 部分：安全接入平台技术要求；第 7 部分：电子认证注册服务机构建设；第 8 部分：运维服务。本部分为DB32/T XXXX-2018电子政务外网建设规范第5部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由江苏省人民政府办公厅电子政务办公室提出并归口。本部分起草单位：江苏省人民政府办公厅电子政务办公室。本部分起草人：吴中东、李强、钱俊、朱德宇、王泉、叶纪华、杭欣竹、熊章远。DB32/T XXXX20181电

7、子政务外网建设规范第 5 部分:安全综合管理平台技术要求与接口规范1 范围本标准规定了电子政务外网安全综合管理平台技术要求与接口规范的术语和定义、缩略语、建设原则与目标、系统总体架构、系统功能要求、系统性能要求、自身安全性、安全综合管理平台接口。本部分适用于全省电子政务外网安全综合管理平台的功能、性能、安全性、部署方式、接口等技术要求，指导全省电子政务外网安全综合管理平台规划、设计和建设，也可作为各级电子政务外网管理部门进行指导、监督和检查的依据。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（

8、包括所有的修改单）适用于本文件。GB/T 2260 中华人民共和国行政区划代码GB/T 18030 信息技术中文编码字符集GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求3 术语和定义3.1 安全管理系统 Security Operation Center（SOC）采用多种技术手段，收集

9、和整合各类网络设备、安全设备、操作系统等安全事件，并运用关联分析技术、智能推理技术和风险管理技术，实现对安全事件信息的深度分析和识别，能快速做出报警响应，实现对安全事件进行统一监控分析和预警处理。3.2 网络管理系统 Network Management System（NMS）提供拓扑管理、设备配置、故障告警、性能监测和报表管理功能，实现对网络运行的集中统一管理。3.3 DB32/T XXXX20182脆弱性 Vulnerability信息技术、信息产品、信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于信息系统的各个层次和环节之中，一旦被恶意主体所

10、利用，就会对信息系统的安全造成损害，从而影响构建于信息系统之上正常服务的运行，危害信息系统及信息的安全。脆弱性又称为安全漏洞。3.4 安全威胁 Security Threat某个人、物、事件或概念对某一资源的保密性、完整性、可用性、真实性或可控性所造成的危害。3.5 信息安全事态 Information Security Event系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。3.6 信息安全事件 Information Security Incident采集的单个或一系列的安全事态，包括各类日志、操作和其他系统或

11、设备报送的报警信息。3.7 告警 Alarm针对收集到的各种安全事件进行综合关联分析后形成的报警事件。3.8 Syslog 协议TCP/IP 网络中用于传输系统日志的标准，设备和系统在记录和转发日志时应遵循该标准。3.9 Web service基于网络的、分布式的模块化组件，它执行特定的任务，遵守具体的技术规范，其它应用通过使用相应的规范，可与它进行互操作。3.10 BUGTRAQ一个公告计算机安全问题的列表，包括安全漏洞相关公告和利用这些漏洞的方法，以及如何修复它们。4 缩略语DB32/T XXXX20183SOA 面向服务的体系结构（Service-Oriented Architectur

12、e）CVE 公共漏洞和暴露（Common Vulnerabilities a) 请求参数 xml 格式如下：字段说明（*表示必选），详见表A.1。表 A.1 系统级联注册接口的字段说明表标签名名称备注类型必选PlatformCode 系统所属行政区编码遵从 GB/T 2260 中华人民共和国行政区划代码 char(32) *IP IP 地址 Web 访问地址 char(128)Port 端口 Web 访问端口 char(32)b) 返回格式如下：DB32/T XXXX201816详见表A.2。表 A.2 系统级联注册接口的返回格式字段说

13、明表标签名名称备注类型必选Status 状态 1-注册成功；0- 注册失败 int *Desc 描述返回出错信息，调试用 char(128)A.2 系统级联注销接口规范A.2.1 功能描述系统级联注销时采用上级主动注销下级的方式，下级提供接口接收上级通知。接口函数定义为：public String platformLogout(String xml);a) 请求参数 xml 格式如下：字段说明（* 表示必选），详见A.3表 A.3 系统级联注销接口的字段说明表标签名名称

14、备注类型必选PlatformCode上级系统所属行政区编码遵从 GB/T 2260 中华人民共和国行政区划代码 char(32) *b) 返回格式如下：字段说明（* 表示必选），详见表 A.4。表 A.4 系统级联注销接口的返回格式字段说明表标签名名称备注类型必选Status 状态 1-注销成功；0- 注销失败 int *Desc 描述返回出错信息，调试用 char(128)DB32/T XXXX201817A.3 系统运行状态上报接口规范A.3.1 功能描述上级安全综合管理平台对下级安全综合管理平台

15、的运行状态进行查询，下级安全综合管理平台向上级系统上报本系统的运行状态信息。接口函数定义为： public String systemStatusQuery();a) 返回格式如下：字段说明（* 表示必选），详见表 A.5。表 A.5 系统运行状态上报接口的字段说明表标签名名称备注类型必选PlatformCode系统所属行政区编码遵从 GB/T 2260 中华人民共和国行政区划代码 char(32) *IP IP 地址被查询安全综合管理平台 IP。 char(128) *Status 状态 1-正常，0- 离线 int *A

16、.4 风险上报接口规范A.4.1 功能描述上级安全综合管理平台向下级安全综合管理平台下发风险上报请求，下级安全综合管理平台向上级系统上报本系统的风险信息。接口函数定义为：pub lic String riskInformationQuery(String XML);a) 请求参数 xml 为字段说明（* 表示必选），详见表 A.6。表 A.6 风险上报接口的字段说明表标签名名称备注类型必选Enable 使能发送 1-允许上报风险；0- 禁止上报风险

17、int *DB32/T XXXX201818RiskLevel 风险等级风险等级，分为 5 级(1-5)，数字越大表示风险越高 int *b) 返回格式如下：字段说明（* 表示必选），详见表 A.7。表 A.7 风险上报接口的返回格式字段说明表标签名名称备注类型必选PlatformCode系统所属行政区编码遵从 GB/T 2260 中华人民共和国行政区划代码 char(32) *DomainName 安全域名称名称有 “互联网区” 和 “公用网络区” ，并可根据情况增加“ 专用网络区 ” char(64) *RiskValue 风险值风险值

18、 int *RiskLevel 风险等级风险等级，分为 5 级 (1-5)，数字越大表示风险越高 int *参照 GB/T 20984-2007，风险等级由各监管节点系统自行计算，风险等级的编码详见表 A.8。表 A.8 风险等级编码表名称等级编码描述很高风险五级 5 风险一定会对政务外网全网造成影响。该风险会对系统产生严重的影响，影响恶劣。高风险四级 4 风险可能会对全政务外网造成影

19、响。该风险会对系统产生较大影响，在一定范围内给系统造成损坏。中等风险三级 3 风险只会对监管节点外网造成影响。该风险会对系统产生一定的影响，但影响面和影响程度不大。低风险二级 2 风险只可能会对监管节点外网造成影响，且对系统造成的影响程度较低，通过一定手段很快能解决。很低风险一级 1 风险对监管节点外网基本没有影响，

20、通过简单的措施就能弥补。A.5 告警上报接口规范DB32/T XXXX201819A.5.1 功能描述告警上报接口信息。在有告警发生时，下级安全综合管理平台需要向上级系统进行通报。上级安全综合管理平台向下级系统下发 “订阅 ”指令，指定下级系统将符合订阅要求的告警上报给上级安全综合管理平台。下级安全综合管理平台依据订阅指令开始或停止告警信息的上报。接口函数定义为： public String alarmsInformationQuery(String xml)

21、;a) 请求参数 xml 为字段说明（* 表示必选），详见表 A.9。表 A.9 告警上报接口的字段说明表标签名名称备注类型必选Enable 使能发送 1-允许上报告警；0- 禁止上报告警 int *Starttime 告警发生时间Endtime 告警结束时间当内容为空时，默认全部未发送告警。时间格式 YYYY-MM-DD HH24:MM:SS。 dateLevel 告警安全级别整型，分 5 级 (1-5)，数字越大表示级别越高。表示发送所有大于等于该级别的告警，当内容为空时，表

22、示发送最高级告警。intType 告警分类告警所属类型 Char(64)b) 上报采用 Web Service 方法，接口函数为：public String alarmsInformationReport(String xml);c) 参数 xml 为DB32/T XXXX201820字段说明（* 表示必选），详见表 A.10。表 A.10 告警上报接口参数 xml 的字段说明表标签名名称备注类型必选Alarm 告警信息元素告警信息的元素，可为多个DeviceIP 设备( 系统 )IP 发送告警的安全综合管理平台的 IP 地址，格式支持

23、 IPv4/IPv6 char(128) *DeviceName 设备(系统)名称发送告警的安全综合管理平台的名称 char(64)ID 告警 ID 告警的 ID，标识该告警的唯一标识，为长整型。 long(64)*ClearFlag 告警清除标志标识当前消息是告警报文还是恢复报文，1：告警报文；0：恢复报文报文，1：告警报文；0：恢复报文；int *PlatformCode 系统所属行政区编码遵从 GB/T 2260 中华人民共和国行政区划代码char(32) *Name 告警名称告警名称 char(256) *Desc 告警描述告警描述的详细内容 char(256) *Type 告警

24、分类编码告警所属分类编码 char(64)Level 告警等级告警严重性等级(1-5)，数字越大级别越高 int *OccurTime 发生时间告警发生的时间，采用长整型 long(8)IP 告警涉及的 IP 告警涉及的 IP char(128)Reserved 保留保留字段，供后期使用 char(256)d) 返回格式如下：字段说明（*表示必选），详见表 A.11。DB32/T XXXX201821表 A.11 告警上报接口的返回格式字段说明表标签名名称备注类型必选Status 上报结果状态 1-成功；0- 失败 int *Desc 描述返回出错信息 char(1

25、28)参考 GB/Z 20986-2007、 GA/Z 1254-2015 国家标准对安全事件分类的定义，安全告警分类按照行业惯例分为 5 种类型，详见表 A.12。表 A.12 告警分类编码表告警分类编码描述状态 STA 设备自身运行状态告警，例如设备宕机、网络设备中断等配置 CFG 设备的配置信息变更的告警，例如核心网络设备的配置策略恶意篡改等性能 PFM 设备自身的性能告警，例

26、如 CPU、内存利用率过高等安全 SEC 通过网络或其他技术手段对信息系统进行的攻击事件告警，例如入侵、暴力破解、 DDOS 等攻击告警信息其他 OTH 上述告警未包括的其他告警类型参照 GB/T 22240-2008、 YD/T1729-2008、 GB/Z 20986-2007 国标对安全事件等级的定义，对安全告警等级按行业惯例分为 5 级，详见表 A.13。表 A.13 告警等级编码表名称等级编

27、码描述紧急五级 5 该告警一定会对政务外网全网造成影响。该告警会使业务中断并需要立即进行故障检修严重四级 4 该告警可能会对政务外网全网造成影响。该告警会影响业务并需要立即进行故障检修重要三级 3 该告警只会对监管节点外网造成影响。该告警影响现有业务，需要进行检修以阻止恶化一般二级 2该告警只可能对监管节点外网造成影响。

28、该告警不影响现有业务，如不进行处理可能会影响业务，可视为需要采取措施的告警无一级 1 正常状态A.6 远程知识库查询接口规范A.7 案例上报接口规范DB32/T XXXX201822A.7.1 功能描述下级安全综合管理平台通过本接口将本级系统的案例上报给上级系统。接口函数定义为：pu blic String lowerDataSyn(String xml);a) 请求参数 xml 格式如下：字段说明（* 表示必选），详见表 A.14。表 A.14

29、案例上报接口的字段说明表标签名名称备注类型必选PlatformCode 系统所属行政区编码遵从 GB/T 2260 中华人民共和国行政区划代码 char(32) *Id 案例标识案例标识，用以区分案例及类别 int *Casetitle 案例标题案例标题 char(32) *Createtime 创建时间案例创建时间, 格式YYYY-MM-DD HH24:MM:SSdate*Content 案例内容案例内容 char(512) *Keyproperty 关键字案例关键字说明，用于关键字索引 char(32) *Cre

30、ateman 案例创建人案例创建人姓名、单位和联系方式 char(32) *DB32/T XXXX201823表 A.14 案例上报接口的字段说明表（续）Attachflag 是否带附件标识 1-有附件；0- 无附件 int *Attachment 附件 URL附件文件上传的 URL ，采用 FTP 方式，可以存在多个附件，每个附件对应一个 URL。char(256)Reserved 保留字段保留字段，供系统使用 char(256)b) 返回格式如下：字段说明（*表示必选），详见表 A.15。表 A.15 案例上报接口的返回

31、格式字段说明表标签名名称备注类型必选PlatformCode 系统所属行政区编码遵从 GB/T 2260 中华人民共和国行政区划代码 char(32) *Id 案例标识案例标识 int *Status 案例上报状态成功或失败，1-成功，0-失败 int *Desc描述成功失败描述，失败需写明失败理由 char(128)A.7.2 功能描述下级系统应能够共享上级系统的知识库内容。接口函数定义为：pu blic String queryDocument(String xml);a) 请求参数 xml 格式如下：DB32/T XXXX201824字段说

32、明（* 表示必选），详见表 A.16。表 A.16 远程知识库查询接口的字段说明表标签名名称备注类型必选Titlekeyword 标题关键字支持标题模糊查询 char(32) *Starttime 开始时间时间格式 YYYY-MM-DD HH24:MM:SS date *Endtime 结束时间时间格式 YYYY-MM-DD HH24:MM:SS date *b) 返回格式如下：.字段说明（* 表示必选），详见表 A.17。表 A.17 远程知识库查询接口的返回格式字段说明表标签名名称备注类型必选Title 标题查询标题关键字 char(32)

33、 *Cnt 文档数量统计查询到的文档数量统计 int *Datadoc 返回数据可为空（为 0 时，该元素为空）Createtime 创建时间知识创建时间，格式 YYYY-MM-DD HH24:MM:SS date *Datasource 数据来源标识知识来源的地市代码式为“省级代码 _地市代码” char(32) *Content 内容知识详细内容 char(256) *Doc_url 文档 URL 地址附件 URL 下载地址（多个文件时为目录） char(256)A.8 报表上报接口规范A.8.1 功能描述DB32/T XXXX201825下级安全综合管理平

34、台向上级系统定期发送月报文件。服务器端为每个下级安全综合管理平台设置目录，供下级安全综合管理平台上传文件。目录和文件属性设定为可读写，不可删除。 a) 接口协议：-采用 FTP 或 SFTP，必要时设定上传用户名和口令。b) 文件命名标准：-系统所属行政区编码- 报表名称- 类型- YYYYMMDD-N.扩展名。-类型：周报、月报。-N：表示序号。A.9 地区代码表表 A.18 地区代码表地区代码地区名称地区代码地区名称320000 江苏省 320700 连云港市320100 南京市 320800 淮安市320200 无锡市 320900 盐城市320300 徐州市 321000 扬州市320400 常州市 321100 镇江市320500 苏州市 321200 泰州市320600 南通市 321300 宿迁市A.10 安全通告接口规范A.10.1 功能描述上级安全综合管理平台发现下级管理的资产或业务系统中存在安全风险、安全告警等安全事件，由上级系统向下级系统发送安全通告，提醒下级系统防范和处理。接口函数定义为： public String annunciationPush(String xml);a) 请求参数 xml 为

展开阅读全文

31电子政务外网建设规范 第5部分 安全综合管理平台技术要求与接口规范.doc

31电子政务外网建设规范第5部分安全综合管理平台技术要求与接口规范.doc