标准规范下载简介
Q/GDW 12195-2021 *力监控系统恶意代码监测系统技术规范.pdf6.4.4恶意代码告警功能
恶意代码告警功能满足如下要求: 应提供恶意代码的实时和历史告警: 6 实时告警应支持实时展示,应采用告警提示窗、告警悬浮窗或告警轮播等界面告警方式: 实时告警信息记录应包括但不限于恶意代码名称、检测的日期和时间、恶意代码传播的源地址 和目的地址等: d 历史告警应提供不少于6个月的安全告警信息的记录、查询等功能。包括设备信息、威胁等级、 发生时间、告警内容、是否解决、解决方法等信息。应支持按所属区域、安全区、*压等级、 设备类型等属性进行告警筛选,应支持按确认状态、发生时间等属性对告警进行搜索的功能, 应支持告警内容的全文检索,应支持按关键字段对告警记录进行排序; e) 应支持汇总防恶意代码客户端、网络流量恶意代码监测采集装置产生的告警信息,实现恶意代 码的精准识别、追踪溯源,并通过告警传输规范发送至网络安全管理平台。防恶意代码客户端 告警传输应遵循附录A,网络流量恶意代码监测采集装置告警传输应遵循附录B。
6.4.5恶意代码审计功能
7.1防恶意代码客户端安装后主机的性能要求
防恶意代码客户端安装在主机并止常运行时大同煤矿集团同生安平煤业有限公司矿井整合改造配套项目房屋修缮、土建、土方工程施工组织设计,主机资源范围应满足如下要求: a)CPU利用率小于等于70%(10s平均值); b)系统可用内存大于总内存的50%。
管理模块应支持5000台主机客户端的管理和升级
7.3网络流量恶意代码监测采集装置要求
Q/GDW 12195202
8.1防恶意代码客户端安全性要求
防恶意代码客户端安全性应满足GB/T22239一2019的要求,其他安全性要求如下: a)应具备容错机制,保证通过人机接口输入的数据符合安全性要求; b)应不得内置后门、不存在缓冲区溢出等安全漏洞; c)应具备检测并抵御常见网络攻击及渗透攻击的能力; d)不应对*力监控系统安全性、稳定性造成影响,
8.2其他模块安全性要求
防恶意代码客户端管理模块、网络流量恶意代码监测采集装置、恶意代码分析模块安全性应满足 GB/T22239一2019的要求,其他安全性要求如下: a)不应存在默认口令:
b)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并 定期更换; C) 宜支持两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术不可伪造; 应具备登录失败处理功能: 应具备管理用户授权的功能及访问控制能力: 应根据不同权限建立不同角色用户,实现权限相互独立、相对制约; g 应具备容错机制,保证通过人机接口输入的数据符合安全性要求; h 应采用国密算法保证鉴别信息和重要业务数据等敏感信息在文*系统、数据库中存储的保密 性; 应采用国密算法保证鉴别信息和重要业务数据等敏感信息在传输过程中的保密性: j 应不得内置后门、不存在缓冲区溢出等安全漏洞; k) 应具备检测并抵御常见网络攻击及渗透攻击的能力; 应关闭不需要的系统服务、默认共享和高危端口; 宜采用安全操作系统,安全I区禁止使用web服务,安全II区禁止使用不安全的web服务; n 所有程序运行,不应对操作系统、业务系统的安全性与稳定性造成影响。
9与网络安全管理平台集成要求
a)应支持将恶意代码监测系统的分析结果等数据发送至*力监控系统网络安全管理平台: 应支持接收网络安全管理平台下发的恶意代码特征库更新指令,实现特征库在线更新: 应与网络安全管理平台进行集成,支持通过网络安全管理平台更改恶意代码查杀策略: d)恶意代码监测系统与网络安全管理平台接口规范应遵循附录C。
Q/GDW 12195202
附录A (规范性附录) 恶意代码监测系统防恶意代码客户端告警传输规范
附录A遵照国家能源局国能安全(2015)36号要求,参考Sys1og(IETFRFC3164)格式,在*力 次系统安全监控中实现安全设备的告警日志在线标准化采集功能。 附录A中定义的日志类型为*力行业专用标准,*力监控系统恶意代码监测系统厂家的安全设备应 遵照实现。
RFC3164的词汇含义参
绝大部分被监测对象所提供的采用信息格式应符合通用采集信息格式要求,通用采集信息格式应按 照GB/T31992一2015执行,定义如下: 《级别>空格>日期<空格>时间<空格>设备或系统《空格>行为<空格>原因
Q/GDW121952021
表A.2安全告警级别
A.3.5 设备或系统
表A.3设备类型定义
Q/GDW 121952021
A. 4. 1 管理且志
管理日志格式及分类如下: a)《类型=0><空格><*类型><空格><内容>; b)管理日志*类型定义见表A.4~表A.11。
表A.4用户登录成功
表A.6用户登录失败
表A.10客户端更新
表A.11特征库未更新
A. 4. 2 系统且志
系统日志格式及分类如下: a)《类型=1>空格><*类型><空格><内容>; b)系统目志*类型定义见表 A.12~表 A.15
表A.12CPU利用率
表A.13内存使用率
表A.14主机防护状态
表A.15当日威胁状态
A. 4. 3病毒且患
病毒日志格式及分类如下: a)《类型=2><空格>*类型><空格><内容>; b) 病毒日志*类型定义见表A.16~表A.18; c)内容格式中的编码(code)对应具体病毒类型编码,采用6位16进制数进行统一编码。 示例: 010001 前2位16进制编码标识厂商编码,默认00标识未知厂商,例如:01标识某厂商。后4位16进制编码标识病 型,默认0000标识未知类型,例如:0001标识某病毒类型
表A.16紧急病毒日志
表A.17重要病毒日志
表A.18一般病毒日志
表A.19病毒样本信息
Q/GDW 12195202
表A.20病毒查杀方式统计表
表A.21病毒查杀结果统计表
通信报文传输采用明文方式,可采用参考RFC3164建议的UDP协议,端口默认使用514。网络安 全管理平台厂家提供配置功能,灵活设置告警接收的IP地址和端口。
附录B (规范性附录) 网络流量恶意代码监测采集装置告警传输规范
附录B遵照国家能源局国能安全(2015)36号要求,参考Sys1og(IETFRFC3164)格式,在* 系统安全监控中实现安全设备的告警日志在线标准化采集功能。 附录B中定义的日志类型为*力行业专用标准,*力监控系统恶意代码监测系统厂家的安全设 照实现。
Syslog及RFC3164的词汇含义见表B.1
绝大部分被监测对象所提供的采用信息格式符合通用采集信息格式要求,通用采集信息格式按照 GB/T319922015执行,定义如下: <级别><空格>日期<空格>时间<空格>设备或系统<空格>行为<空格>原因。 注:当某个字段中出现中文字符时,统一使用UTF8编码。除原因字段外,其他字段内容中如含有空格,需在该字 段前后添加半角单引号“,”予以标识。原因字段作为整个信息的最后一个字段,无需在原因字段的前后添加单引号。
Q/GDW 12195202
表B.2安全告警级别
表B.3设备类型定义
Q/GDW121952021
采集项信息收集格式要求如下: a)信息收集日志类型定义见表B.4~表B.6; b)采集项中的编码对应具体病毒类型编码,采用8位16进制数进行统一编码。 示例: 010501ba 前2位16进制编码标识厂商编码,默认00标识未知厂商,例如:01标识XX厂商;第3位预留位,默认为0;后 立16进制编码标识病毒类型,默认00000标识未知类型,例如:051ba标识某病毒类型。
表 B.4紧急恶意代码日志
表B.5重要恶意代码日志
Q/GDW 12195202
表B.6一般恶意代码且志
表B.6一般恶意代码日志
表B.7病毒样本信息
通信报文传输采用明文方式,可采用参考RFC3164建议的UDP协议,端口默认使用514。网络 理平台厂家提供配置功能,灵活设置告警接收的IP地址和端口,
附录C (规范性附录) 恶意代码监测系统与网络安全管理平台接口规范
本标准遵照GB/T22239一2019要求,在*力监控系统网络安全管理平台中实现恶意代码的检 除等功能。 本标准中定义的接口为*力监控系统网络安全管理平台专用,*力监控系统恶意代码监测系统 按照接口规范进行实现
C.2.1心跳报文格式
考虑到数据通信的安全性与可靠性等要求,本方案的通信报文传输方式采用TCP协议,要求全程加 密,请求和应答的接口以JSON格式的形式,先按照表C.3的报文格式封装,然后再按照表C.1和表C.2 的格式封装。所有连接均为长连接,平台为客户端,恶意代码分析模块为服务端,客户端定时发送心跳 报文,服务端接收到心跳报文后,回应心跳报文,当TCP中断时,平台主动重新建立TCP连接。服务端 端口号可配置,建议默认端口号65112。心跳报文的格式见表C.1。
表C.1心跳报文格式
C. 2. 2 心跳报文间隔
C.3. 1 传输报文
传输报文格式见表C.2。
传输报文格式见表C.2。
Q/GDW 12195202
表C.2传输报文格式
应答报文格式见表C.3。
应答报文格式见表C.3。
表C.3应答报文格式
数据加密报文格式见表C.4
居加密报文格式见表C.4
表C.4数据加密报文格式
Q/GDW 121952021
C.4.2加密步骤及解密步骤
.4.3.1传输报文示例
C.4.3.2返回应答报文示例如下:
a)恶意代码服务收到平台发送的任务消息,按格式解密后,做相关操作,给平台返回任务终 例如:返回结果MESSAGE,结果加密后为ENCRIPT长度为L,按照表C.4数据加密报文格式进 装,得到示例1的格式:
Q/GDW 121952021
b)上面得到的结果为MSG长度为LEN,按照C.3应答格式包装,假设平台恶意代码接口服务 址和端口为IP和PORT。应答报文最终结果如示例2所示
到的结果为MSG长度为LEN,接按照C.3应答格式包装,假设平台恶意代码接口服务的地 口为IP和PORT。应答报文最终结果如示例2所示
C.5.2策略下发接口
策略下发接口格式见表C.5。
表C.5策略下发接口格
C.5.4白名单管理接口
表C.8白名单管理接口格式
Q/GDW 12195202
表C.9whiteinfo对象格式
表C.10ipGuid对象格式
C.5.5定时任务接口
定时任务接口格式见表C.11
表C.11定时任务接口
表C.15威胁结果对象格式
Q/GDW 121952021
C.5.8白名单查询接口
白名单查询接口格式见表C.16和表C.17
表C.16白名单查询接口格式
Q/GDW 12195202
表C. 18 (续)
表C.19版本查询结果对象格式
.5.10客户端信息查询接口
客户端信息查询接口格式见表C.20和表C.21。
表C.20客户端信息查询接口格式
客户端信息查询结果对象
Q/GDW 121952021
C.6.1版本信息接口说明
此接口为网络安全管理平台提供的同步接口,用于恶意代码分析模块向网络安全管理平台同步信 息,主要包括版本信息、威胁信息、白名单信息等。恶意代码分析模块管理界面添加了相关信息后,需 要将信息同步发送给平台
C.6.2版本信息更新接口
版本信息接口格式见表C.22
表C.22版本信息更新接口格式
表 C. 22 (续)
表 C. 22 (续)
C.6.3扫描威胁更新接口
表C.23扫描威胁更新接口格式
表C.25whiteinfo对象格式
表C.25whiteinfo对象格式
表C.26ipGuid对象格式
5.5威胁信息统计接口
威胁信息统计接口格式见表C.27。
Q/GDW 121952021
表C.27威胁信息统计接口格式
C.6.6客户端信息同步接口
客户端信息同步接口格式见表C.28
表C.28客户端信息同步接口格式
表 C. 28 (续)
Q/GDW 12195202
表 C. 28 (续)
*力监控系统恶意代码监测系统技术规范
Q/GDW12195—2021目次编制背景...2编制主要原则....463与其他标准文*的关系,4主要工作过程.465标准结构和内容...47条文说明亭*的施工组织设计,.4745
本标准主要根据以下原则编制: a)以*力监控系统安全防护总体方案和*力行业信息安全等级保护办法等相关法律法规和技术 标准为基础: b)全面考虑了*力监控系统安全防护需求,规范*力监控系统恶意代码监测系统的总体架构、技 术性能、功能、安全等防护要求。
3与其他标准文*的关系
本标准与相关技术领域的国家现行法律 法规和政策保持一致。 本标准不涉及专利、软*著作权等知识产权问题
2020年1月,成立企标编写组,确定了企标编制大纲和工作计划。 2020年2月,召开启动会,确定编制大纲和工作计划,编制企标初稿。 2020年3月,成立由国网总部及网省公司专家组成的恶意代码工作组,编写组通过视频会议、** 方式在工作组内对标准初稿征求意见。 2020年4月至6月,对标准初稿进行修改和完善,形成征求意见稿初稿。 2020年7月,根据恶意代码检测结果修改完善征求意见稿初稿。 2020年8月,完成标准征求意见稿编写,由国家*网公司运行与控制技术标准专业工作组以*** *方式在公司系统内广泛征求意见。 2020年9月,组织召开标准征求意见讨论会,商定统一反馈意见。 2020年10月,形成棕准送审稿,
Q/GDW 12195202
2020年11月19日,由国家电网公司运行与控制技术标准专业工作组组织召开标准审查会,审查结 论为:审查组经过协商一致,同意修改后报批, 2020年11月,修改形成标准报批稿。
本标准按照《国家电网公司技术标准管理苏法》(国家电网企管(2018)222号文)的要求编写。 本标准主要结构和内容如下: 本标准主题章共5章,由总体架构、功能及技术要求、性能要求、安全要求、与网络安全管理平台集成 要求组成,对电力监控系统恶意代码监测系统安全防护要求进行了细化,将抽象化、术语化的要求进 行了分解与落实,从而有效指导开展恶意代码监测系统的设计、研发、检测、实施和验收等工作。本 标准第6章中,规定了恶意代码监测系统功能及技术要求。本标准第7章中,规定了恶意代码监测系统 性能要求。本标准第8章中Q/GDW 10667-2016 分布式电源接入配电网运行控制规范.pdf,规定了恶意代码监测系统安全要求,