资源描述:
《DB32∕T 4318.1-2022 电子政务外网 安全大数据和运维保障平台接入规范 第1部分:安全大数据平台(江苏省)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
ICS35.020CCSL72DB32江苏省地方标准DB32/T4318.1—2022电子政务外网安全大数据和运维保障平台接入规范第1部分:安全大数据平台E-governmentnetwork—Accessspecificationofsecurebigdataandoperationandmaintenancesupportplatform—Part1:Securebigdataplatform2022-07-19发布2022-08-19实施江苏省市场监督管理局发布
1
2DB32/T4318.1—2022目次前言...............................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................25安全大数据平台数据交互参考模型.....................................................25.1参考模型.......................................................................25.2数据采集与共享报送要求.........................................................35.3数据交互内容...................................................................35.4报送频率要求...................................................................36数据接口规范.......................................................................36.1接口类型.......................................................................36.2接口协议.......................................................................36.3接口消息格式...................................................................46.4安全要求.......................................................................4附录A(规范性)接口身份认证要求.....................................................5A.1身份认证方式...................................................................5A.2身份认证令牌刷新...............................................................5A.3设区市平台节点注册.............................................................5附录B(规范性)交互数据规范.........................................................7B.1运行状态.......................................................................7B.2风险隐患.......................................................................7B.3漏洞情报.......................................................................7B.4告警数据.......................................................................8B.5告警清除数据...................................................................9B.6安全事件.......................................................................9B.7安全报表......................................................................10B.8案例数据......................................................................10B.9预警通报数据..................................................................10B.10案例知识库...................................................................11B.11文件传输.....................................................................12附录C(规范性)分类及编码规范......................................................14C.1安全事件类型..................................................................14I
3DB32/T4318.1—2022C.2接口返回状态编码表............................................................14C.3行政区划编码表................................................................15参考文献............................................................................16II
4DB32/T4318.1—2022前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。DB32/T4318《电子政务外网安全大数据和运维保障平台接入规范》分为2个部分:——第1部分:安全大数据平台;——第2部分:运维保障。本部分为《电子政务外网安全大数据和运维保障平台接入要求》的第1部分。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省政务服务管理办公室提出并归口。本文件起草单位:江苏省大数据管理中心。本文件主要起草人:赵明、忻超、黄敏、夏国光、王光鑫、吴欣、边伟成、赵靖雯、张泊远、曹银美、王子文、付勍、刘晓红、张培勇。III
5
6DB32/T4318.1—2022电子政务外网安全大数据和运维保障平台接入规范第1部分:安全大数据平台1范围本文件规定了江苏省电子政务外网安全大数据平台(以下简称“省平台”)与设区市电子政务外网安全大数据平台(以下简称“设区市平台”)的数据交互接口相关的接口协议、数据报送内容、数据报送格式和安全要求。本文件适用于指导省平台和设区市平台的接口与数据对接。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T36635信息安全技术网络安全监测基本要求与实施指南3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1信息安全事件informationsecurityincident与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。[来源:GB/T25069-2022,3.684]3.2脆弱性vulnerability可能被一个或多个威胁利用的资产或控制的弱点。[来源:GB/T25069-2022,3.19]3.3威胁threat可能对系统或组织造成危害的不期望事件的潜在因素。[来源:GB/T25069-2022,3.628]1
7DB32/T4318.1—20223.4网络安全监测securitymonitoring以信息安全事件为核心,通过对网络和安全设备日志、系统运行数据等信息的实时采集,以关联分析等方式,实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。[来源:GB/T36635—2018,3.1有修改]4缩略语下列缩略语适用于本文件。API:应用编程接口(ApplicationProgrammingInterface)JSON:JS对象简谱(JavaScriptObjectNotation)5安全大数据平台数据交互参考模型5.1参考模型省平台与设区市平台通过安全数据接口进行数据对接,设区市平台应遵照本规范规定的数据接口和字段内容向省平台报送数据,实现全省政务外网的统一安全管理。省平台与设区市平台间对接的参考模型见图1。图1省平台与设区市平台交互参考模型2
8DB32/T4318.1—2022省平台和设区市平台之间通过管理类、监测类、数据共享与通报类三类接口实现接入互通。其中,管理类接口用于实现省平台对设区市平台的接入管理;监测类接口用于实现监测类数据的上报,设区市平台按照数据报送要求向省平台进行上报;数据共享与通报接口用于实现省平台向设区市平台的数据共享与通报下发。5.2数据采集与共享报送要求省平台与设区市平台应实现安全监测功能,应具备综合审计能力、本级的边界检测数据采集能力、安全行为和数据采集汇聚能力、数据分析呈现能力、态势感知和事件溯源分析能力、安全数据共享报送能力,具体要求如下:a)安全大数据平台应具备综合审计能力,综合审计并实时采集本级对象应包括:终端、网络、服务器、数据库、中间件、应用系统等安全操作行为;b)安全大数据平台应具备采集本级的边界检测数据,本级协议接口采集对象应包括:IDS、堡垒机、IPS、WAF、漏洞扫描、防火墙、防毒墙、网闸、抗DDOS等;c)安全大数据平台能够对安全行为和数据进行采集汇聚,并运用数据挖掘分析技术对各种安全行为进行态势感知和事件溯源分析。5.3数据交互内容设区市平台向省平台报送风险隐患、漏洞情报、告警数据、安全事件、安全报表、案例数据、运行状态数据,保证上报省平台数据的准确性和实时性。省平台向设区市平台下发预警通报数据,共享案例知识库数据。5.4报送频率要求报送数据的频率要求包括:a)运行状态数据每天应最少报送一次,报送方式为全量报送;b)风险隐患数据每天应最少报送一次,报送方式为全量报送;c)漏洞情报数据及案例数据每天应最少报送一次,报送方式为增量报送;d)告警数据及安全事件数据应实时报送,告警数据包括告警的产生和清除,报送方式为增量报送;e)安全报表数据每周应最少报送一次,报送方式为增量报送。6数据接口规范6.1接口类型交互接口包括管理类接口、监测类接口、数据共享与通报接口三类接口。管理类接口包括身份认证接口(见附录A)和运行状态上报接口(交互数据规范见附录B.1)。监测类接口包括风险隐患接口、漏洞情报、告警数据、安全事件、安全报表、案例数据六个数据报送接口(交互数据规范见附录B.2-B.8);数据共享与通报接口包括预警通报下发、案例知识库获取、文件传输接口(交互数据规范见附录B.9-B.11)。6.2接口协议接口协议的要求包括:3
9DB32/T4318.1—2022接口应按RESTfulAPI标准对外提供服务,通过HTTPS协议加密数据,请求和响应的数据采用标准JSON格式来封装;接口函数应包含两类:a)同步调用函数,即函数的返回值就是结果,调用方应提供满足标准的回调函数,此类函数用于实现平台之间的接入认证;b)异步调用函数,利用安全消息通道,实现异步数据上报,设区市平台上报时将数据放到省平台消息通道中,省平台下发时将数据放入本级消息通道,设区市平台到省平台消息通道获取数据,此类函数实现平台之间的数据传递。6.3接口消息格式接口消息格式定义包括接口URL、接口描述、参数列表及接口返回信息。参数与返回值的具体JSON格式由接口提供者根据具体业务的实际情况制定,格式应层次简单、结构清晰。6.4安全要求接口安全要求包括:a)平台对接前需要经过安全身份认证,身份认证加密采用非对称加密算法,安全身份认证机制包括身份认证(见附录A.1)及身份认证令牌定期刷新机制(见附录A.2),同时设区市平台需注册节点信息(见附录A.3);b)数据传输要经过可靠加密处理,加密处理方式可采用数据传输前安全数据加密或者网络传输通道SSL加密等方式,数据传输过程中应防止数据丢失、泄露、篡改;c)涉及密码算法的相关内容,应按国家有关法规实施;涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。4
10DB32/T4318.1—2022附录A(规范性)接口身份认证要求A.1身份认证方式接口信息说明见表A.1。表A.1身份认证接口说明名称描述接口/auth/token请求方式POSTHeader:Content-typeapplication/json;charset=UTF-8A.2身份认证令牌刷新平台身份认证令牌有效期默认为一小时,在令牌过期之前应请求新的令牌,接口信息说明见表A.2。表A.2身份认证令牌刷新接口说明名称描述接口/auth/refresh_token请求方式GETHeader:Content-typeapplication/json;charset=UTF-8Header:AuthenticationBearertokenA.3设区市平台节点注册各地区各部门注册本级平台所属节点编码信息、IP地址、经度,纬度等的数据格式,每次变更需重新注册。节点注册接口格式见表A.3。表A.3设区市平台节点注册接口说明名称描述URL/api/v1/cascading/node/registerHTTP请求方式POST请求参数名data请求参数值(密文)加密后的密文Header:Content-typeapplication/json;charset=UTF-8Header:AuthenticationBearertoken5
11DB32/T4318.1—2022请求参数值解密之后为JSON格式的数据,数据格式说明见表A.4。表A.4请求参数说明参数名是否必须类型备注center_code是字符节点编码见附录C.3center_name否字符节点名称ip是字符平台IP地址geoloc是字符经度,纬度port是整数平台端口6
12DB32/T4318.1—2022AA附录B(规范性)交互数据规范B.1运行状态运行状态数据规范要求见表B.1。表B.1运行状态数据字段名称中文名称字段类型是否必选说明memoryUsed内存占用字符是内存占用大小(带单位M,G,T)memoryFree内存空间字符是内存空闲大小(带单位M,G,T)memoryPercent内存使用率字符是内存使用率cpuSpeedCPU速率字符是CPU速度(带单位GHZ)cpuPercentCPU使用率字符是CPU使用率diskUsed硬盘使用量字符是磁盘使用大小(带单位M,G,T)diskTotal硬盘总存储字符是磁盘总大小(带单位M,G,T)diskPercent硬盘使用率字符是磁盘使用率网络接收流量速率(带单位recv网络接收速率字符是bps,kbps,Mbps)网络发送流量速率(带单位send网络发出速率字符是bps,kbps,Mbps)B.2风险隐患风险数据规范要求见表B.2。表B.2风险数据字段名称中文名称字段类型是否必选说明domainName安全域名称字符是地市平台配置的安全域riskValue风险值整数是风险值风险等级,分为5级(1-5),数字越大表riskLevel风险等级整数是示风险越高B.3漏洞情报漏洞数据规范要求见表B.3。7
13DB32/T4318.1—2022表B.3漏洞数据字段名称中文名称字段类型是否必选说明cveCVEID字符否示例:CVE-1999-0001cnnvdCNNVDID字符否示例:CNNVD-201404-530loopholeTitle漏洞标题字符是示例:电话信息泄露loopholeDesc描述字符是漏洞描述possibleAffect漏洞可能造成的影响字符是影响描述disposalAdvice处置建议字符是处置建议level漏洞级别整数是1-低2-中3-高influenceAssetsIp影响资产IP字符是漏洞影响本地资产IPscannerName扫描器名称字符是扫描器名称B.4告警数据告警数据规范要求见表B.4。表B.4告警数据字段名称中文名称字段类型是否必选说明sourceId告警ID字符是告警IDalarmName告警名称字符是告警名称alarmGrade风险等级字符是Low-低危Medium-中危High-高危alarmDesc告警描述字符是告警描述告警时间,格式alarmTime告警时间字符是YYYY-MM-DDHH24:MM:SSsrcIp来源IP字符是来源IPdstIp目的IP字符是目的IPapplication所属应用系统字符是应用系统名称assetsType资产类型字符是资产类型devName告警设备名称字符是设备名称falsePositives-误报processed-处理完成alarmStatus处置状态字符是processing-处理中unprocessed-未处理category告警类型字符是告警类型subCategory告警子类型字符是告警子类型00-内访问内01-内访问外10-外访问内direction数据流方向字符是11-外访问内destPort目的端口整数否目的端口srcPort源端口整数否来源端口requestUrl访问请求的相关URL字符否访问请求的相关URLappProtocol应用协议字符是应用协议8
14DB32/T4318.1—2022字段名称中文名称字段类型是否必选说明UNKNOWN-无法确认是否攻击成功alarmResults告警结果字符是FAIL-攻击失败OK-攻击成功B.5告警清除数据告警清除数据规范要求见表B.5。表B.5告警清除数据字段名称中文名称字段类型是否必选说明要清除的告警ID,逗alarmIds字符是取值上报告警的sourceId号隔开B.6安全事件安全事件数据规范要求见表B.6。表B.6安全事件数据字段名称中文名称字段类型是否必选说明alarmName事件名称字符是事件名称eventType事件类型字符是附录C.1,取值二级分类发生时间,格式createTime事件发生时间字符是YYYY-MM-DDHH24:MM:SSalarmGrade事件等级字符是Low-低危Medium-中危High-高危alarmDesc事件描述字符是告警描述告警时间,格式alarmTime告警时间字符是YYYY-MM-DDHH24:MM:SSsrcIp来源IP字符是多个IP时用“,”隔开dstIp目的IP字符是多个IP时用“,”隔开influence事件影响评估字符是影响评估falsePositives-误报processed-处理完成disposal处置结果字符是processing-处理中unprocessed-未处理domainName恶意域名字符否有相关域名需要提供fileHash文件HASH字符否有相关恶意文件HASH时需要提供reportUser事件报告联系人字符是联系人姓名reportPhone报告人员联系方式字符是手机号码threatenedAssets受威胁资产信息字符是JSON字符串调用文件传输接口进行文件传输,将传输attachment附件字符否返回结果填写在此,多个附件信息传输多个对象,其格式为JSON字符串9
15DB32/T4318.1—2022B.7安全报表设区市平台将本平台产生的安全报表按照报送频率要求(见5.4)上报给省平台,报表以文件方式传送。报表数据规范要求见表B.7。表B.7报表数据字段名称中文名称字段说明是否必选说明reportName报表名称字符是报表名称reportType报表类型字符是周报月报reportDesc报告描述字符是报告描述attachment附件字符是JSON字符串创建时间,格式createTime创建时间字符是YYYY-MM-DDHH24:MM:SSB.8案例数据设区市平台应将本地发生的案例以文档方式按照报送频率要求(见5.4)进行上报,以便省平台对典型案例进行汇总。案例数据规范要求见表B.8。表B.8案例数据字段名称中文名称字段说明是否必选说明caseTitle案例标题字符是案例标题案例创建时间,格式createTime创建时间字符是YYYY-MM-DDHH24:MM:SScontent案例内容字符是案例内容keyProperty关键字字符是案例关键字说明,用于关键字索引createMan案例创建人字符是案例创建人姓名、单位和联系方式调用文件传输接口进行文件传输,将传输attachment附件字符是返回结果填写在此,多个附件信息传输多个对象其格式为JSON字符串reserver保留字段字符否保留字段,供系统使用B.9预警通报数据预警通报数据规范要求见表B.9。表B.9预警通报数据10
16DB32/T4318.1—2022字段名称中文名称字段类型是否必选说明开始时间,格式startTime开始时间字符是YYYY-MM-DDHH24:MM:SSnoticeName通报名称字符是通报名称noticeType通报类型字符是通报类型描述noticeDesc通报描述字符是通报原因描述调用文件传输接口进行文件传输,将传输返回结果填写在此,预警通报附件信息,attachment通报附件信息字符否多个附件信息传输多个对象其格式为JSON字符startNodeCode发起节点编码字符是发起节点编码targetNodeCode数据接收节点编码字符是目标节点编码创建时间,格式createTime创建时间字符是YYYY-MM-DDHH24:MM:SSB.10案例知识库设区市平台调用知识库查询接口,根据传递的接口参数获取相应的知识库案例内容。请求参数说明见表B.10。表B.10案例知识请求参数说明字段名称中文名称字段类型是否必选说明titleKeyWord标题关键字字符否支持标题模糊查询时间格式startTime开始时间字符否YYYY-MM-DDHH24:MM:SS字符时间格式endTime结束时间否YYYY-MM-DDHH24:MM:SScurrentPage当前页字符否默认1每次返回多少条数字符maxResult否默认100据返回参数说明见表B.11。表B.11案例知识接口返回参数说明字段名称中文名称字段说明是否必选说明pages页数整数是根据关键字查询出数据的总页数total文档数量统计整数是查询到的文档数量统计id标识字符是案例标识知识创建时间,格式createTime创建时间字符是YYYY-MM-DDHH24:MM:SSkeyProperty关键字字符是关键字11
17DB32/T4318.1—2022字段名称中文名称字段说明是否必选说明content内容字符是知识详细内容调用文件传输接口进行文件传attachment附件字符是输,将传输返回结果填写在此,附件信息caseTitle案例标题字符是案例标题createMan案例创建人字符否案例创建人姓名reserver保留字段字符否保留字段,供系统使用B.11文件传输附件内容通过文件传输接口进行传输,请求参数说明见表B.12。表B.12文件传输请求参数说明字段名称中文名称字段说明是否必选说明file校验信息文件流是附件流返回参数说明见表B.13。表B.13文件传输返回参数说明字段名称中文名称字段说明是否必选说明code返回编码整数是返回状态码见附录C.2msg返回信息字符是success代表成功安全协同返回文件存储docUrl文件存储路径字符是路径12
18DB32/T4318.1—202213
19DB32/T4318.1—2022BB附录C(规范性)分类及编码规范C.1安全事件类型网络安全事件类型见表C.1。表C.1网络安全事件类型一级分类二级分类WEB攻击扫描探测暴力猜解漏洞攻击网络攻击拒绝服务攻击可疑活动网络攻击其它网络攻击灰色软件(恶意程序)蠕虫(有害程序)木马(有害程序)僵尸(有害程序)恶意事件(有害程序)病毒(有害程序)勒索软件恶意代码异常信息可疑信息可疑程序漏洞弱口令未知威胁其它恶意代码C.2接口返回状态编码表接口返回状态编码见表C.2。14
20DB32/T4318.1—2022表C.2接口返回状态编码表状态码状态码英文名称代码描述100unauthorized需要认证才能访问99forbidden没有权限访问98too_many_requests接口调用超过最大次数,请明天再试97bad_request请求的参数不正确96not_found资源不存在95register_node_error无上级节点或上级节点未认证94encry_or_decrypt_error加解密错误93internal_server_error服务器内部错误92service_unavailable服务器资源暂时不可用200success成功C.3行政区划编码表行政区划编码见表C.3。表C.3设区市区划编码表设区市区划代码名称320100南京市320200无锡市320300徐州市320400常州市320500苏州市320600南通市320700连云港市320800淮安市320900盐城市321000扬州市321100镇江市321200泰州市321300宿迁市15
21DB32/T4318.1—2022参考文献[1]GB/T29246信息技术安全技术信息安全管理体系概述和词汇[2]GW0203—2014国家电子政务外网安全监测体系技术规范与实施指南[3]GW0204—2014国家电子政务外网安全管理系统技术要求与接口规范[4]DB32/T3514.6—2019电子政务外网建设规范第6部分:外网安全接入平台技术要求[5]T/CIIA005—2019政务网络安全监测平台总体技术要求_________________________________16
