ICS35.030 CCS L 80 中华人民共和国国家标准 GB/T 42583—2023 信息安全技术 政务网络安全监测平台技术规范 Information security technology-Technical specifications for government network security monitoring platform 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 42583—2023 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 缩略语 4 5 概述 5.1 平台技术架构 5.2 平台监测范围和对象 5.3 技术要求分类 6安全监测通用要求 6.1 数据采集与预处理 6.2 数据存储 6.3 数据总线 6.4 数据分析 6.5 展示与应用 6.6 威胁情报 6.7 平台安全管理 安全监测扩展要求 7.1 政务云安全监测 7.2 政务应用安全监测 7.3 政务数据安全监测 8 通用要求测试评价方法 10 8.1 数据采集与预处理 10 8.2 数据存储 8.3 数据总线 11 8.4 数据分析 13 8.5 展示与应用 13 8.6 威胁情报 8.7 平台安全管理 16 扩展要求测试评价方注 18 9.1 政务云安全监测 18 9.2 政务应用安全监测 19 9.3 政务数据安全监测 22 GB/T42583—2023 附录A（资料性） 政务网络面临的主要安全威胁 24 附录B（资料性） 政务网络安全监测平台技术要求划分 25 附录C（资料性） 平台部署结构 27 附录D（资料性) 数据总线结构 附录E（资料性) 接口示例… 29 附录F（资料性） 政务网络安全监测平台威胁情报数据格式 33 参考文献 GB/T 42583—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：国家信息中心、北京国信京宁信息安全科技有限公司、公安部第三研究所、国家信 息技术安全研究中心、中国信息安全测评中心、中国科学院信息工程研究所、亚信科技（成都）有限公司、 华为技术有限公司、奇安信科技集团股份有限公司、北京微步在线科技有限公司、深信服科技股份有限 公司、北京天融信网络安全技术有限公司、新华三技术有限公司、杭州安恒信息技术股份有限公司、北京 奇虎科技有限公司、启明星辰信息技术集团股份有限公司、恒安嘉新（北京）科技股份公司、广东盈世计 算机科技有限公司、浪潮云信息技术股份公司、北京中科全安技术有限公司、北京中测安华科技有限 公司。 本文件主要起草人：禄凯、刘蓓、闫桂勋、程浩、赵睿斌、吴阿明、文博、袁志千、任卫红、吴宪、姚佳明、 李娟、马红霞、王振蕾、杨清泽、王伟、张二明、薛锋、张宽、叶润国、安高峰、万晓兰、苏启波、张屹、杜宇、 史帅、林延中、董树、贾博超、姚原岗。 II GB/T42583—2023 信息安全技术 政务网络安全监测平台技术规范 1范围 本文件规定了政务网络安全监测平台的通用技术要求、扩展技术要求以及测试评价方法。 本文件适用于政务网络安全监测平台的设计、建设、运维和测试评价。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069信息安全技术术语 GB/T32924信息安全技术网络安全预警指南 3术语和定义 GB/T25069和GB/T32924界定的以及下列术语和定义适用于本文件。 3.1 政务网络 governmentnetwork 承载非涉密政务业务的专用网络 注：包含基础网络，以及部署在基础网络之上的政务云、政务应用和政务数据等信息技术设施和资源，主要划分为 政务广域网、政务城域网和政务局域网。 3.2 政务城域网 government metropolitan area network 同城各政务部门间实现互联互通的政务网络。 3.3 政务广域网 governmentwide area network 连接不同地区政务局域网或政务城域网，实现远程通信的政务网络。 3.4 安全监测平台 security monitoring platform 通过对网络流量、安全日志、威胁情报等数据进行实时采集、监测和分析，动态识别网络风险，发现 攻击威、资产脆弱性以及安全事件，并进行预警通报和可视化展示的系统。 3.5 告警alert 对网络安全要素进行分析，发现攻击或入侵时，平台自动向相关人员发出的通知。 3.6 预警 warning 针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出的安全警示。 ［来源：GB/T329242016，3.5 1 GB/T42583—2023 3.7 探针probe 从被监测的网络或系统中，采集流量、日志等数据的一种部件或代理。 3.8 数据总线databus 实现平台中数据采集探针、存储、分析、展示与应用等各模块之间，以及与第三方平台之间数据共享 和交换的功能模块。 3.9 威胁情报 threat intelligence 种基于证据的知识，用于描述网络威胁信息、研判安全态势，支持安全事件响应和处置决策。 4缩略语 下列缩略语适用于本文件。 API：应用程序接口（ApplicationProgrammingInterface) DNS:域名系统(Domain Name System) GIS：地理信息系统（Geographic Information System) HTTP：超文本传输协议（HypertextTransferProtocol) JSONJS对象简谱（JavaScriptObjectNotation） SMTP：简单邮件传输协议（SimpleMailTransferProtocol) URL：统一资源定位系统（UniformResourceLocator) VPC：虚拟私有云（VirtualPrivateCloud) 5概述 5.1平台技术架构 政务网络安全监测平台包括数据采集与预处理、数据存储、数据总线、数据分析、展示与应用、威胁 情报和平台安全管理等基本功能模块，其技术架构如图1所示。 数据分析 平台安企管理 展示与应用 数据存储 政山行为分析 监测视图 用广管理 流量元数据 风险态势分析 预警通报 应急处置 资产管理 资产数据 配置管理 口志数据 数据总线内部数据交换接口 数据采集接口 级联接口 运行监控 数据共享接口 安全岱警 身份鉴别 规则数据 数据采集与预处理 威胁情报 访问控制 数据采集 威胁情报组织 威协情报数据 安全中计 数据预处理 威胁情报使用 或胁情报生成 图 1 政务网络安全监测平台技术架构 GB/T425832023 平台各功能模块实现的功能如下： a) 数据采集与预处理：根据政务网络安全监测平台的监测范围和监测对象确定数据采集范围、采 集对象和采集方式，并对采集的数据进行解析预处理，以供进一步深度关联分析； b) 数据存储：对平台中不同类型和结构的数据进行存储； 数据总线：实现平台中数据采集、存储、分析、展示与应用等各模块之间，以及与第三方平台之 间数据共享和交换； d) 数据分析：通过特征码匹配、关联分析、机器学习等数据分析技术识别网络攻击行为，分析风险 态势； e） 展示与应用：根据决策者、管理人员和运维人员不同的需求和关注重点，进行多维度的态势展 示，并且支持预警通报和应急处置； f) 威胁情报：为数据分析和事件处置提供决策支持信息，实现威胁情报数据组织、生成、使用和共 享交换； g）平台安全管理：包括平台的用户管理、配置管理、运行监控、安全审计等，为平台其他功能模块 提供集中管控机制。 5.2平台监测范围和对象 政务网络安全监测平台的监测范围与政务部门或政务网络运营者管理的网络边界范围保持一致。 承载跨地区、跨部门应用的政务网络，其监测范围包括本地区/本部门政务网络，以及与之连接的政务广 域网和政务城域网。 政务网络安全监测平台的监测对象包括基础网络、政务云、政务应用和政务数据等信息技术设施和 资源。 注：政务部门托管或部署在公有云上的业务监测由托管单位或云服务商提供相应监测服务，政务网络安全监测平 台通过数据共享接口获取相应监测数据进行分析、展示和应用。 5.3技术要求分类 由于基础网络、政务云、政务应用以及政务数据等不同监测对象所面临的威胁不同（见附录A），安 全监测需求和采用的技术不同，为便于实现对不同监测对象的共性化和个性化监测，安全监测技术要求 分为通用要求和扩展要求。 通用要求针对监测对象的共性化监测需求提出，包括数据采集与预处理、数据存储、数据总线、数据 分析、展示与应用、威胁情报、平台安全管理等。扩展要求针对政务云、政务应用或政务数据的个性化监 测需求提出，是平台应进一步满足的技术要求。通用要求和扩展要求共同构成了政务网络安全监测平 台的技术要求 与网络安全等级保护工作相衔接，安全监测平台技术要求进一步分为基本要求和增强要求。等级 保护三级以下的政务网络安全监测平台适用基本要求，等级保护三级（含）以上政务网络安全监测平台 适用基本要求和增强要求。基本要求和增强要求的选择见附录B。 在本文件中，黑体字部分表示增强要求。 6安全监测通用要求 6.1数据采集与预处理 6.1.1数据采集 本项要求包括。 3