标准规范下载简介
JT/T 1418-2022 交通运输网络安全监测预警系统技术规范.pdfCS35.240.0
JT/T 14182022
交通运输网络安全监测预警系统
Technical specificationfor cybersecurity monitoringand warning system oftransportation
雷神店至崇溪河段高速公路工程施工组织设计方案中华人民共和国交通运输部 发布
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草, 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由交通运输信息通信及导航标准化技术委员会提出并归口。 本文件起草单位:交通运输信息安全中心有限公司、中国交通通信信息中心、中国科学院信息工程 研究所、公安部第三研究所、北京天融信网络安全技术有限公司、长扬科技(北京)有限公司、上海观安 信息技术股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司。 本文件主要起草人:林榕、杜渐、戴明、邢宏伟、刘宇畅、杨凤英、刘玉岭、陈妍、梅乐翔、张铮、杜丹 李飞、韩冬旭、贺文涛、刘天宇、杨剑、汪义舟、谢江、赵国全、梁伟
交通运输网络安全监测预警系统技术规范
本文件规定了交通运输网络安全监测预警系统的系统架构及总体要求、功能要求、性能要求、展 求、接口要求、安全要求与运行管理, 本文件适用于交通运输行业网络安全监测预警系统的建设、测试、运维与管理
图1监测预警系统内外部接口关系示意图
图2监测预警系统架构
监测预警系统各层功能如下: 平台层:负责为监测预警系统运行提供支撑,由操作系统、数据库和中间件组成; 基础层:负责为分析层提供基础数据,至少具备数据采集、数据处理、数据存储功能: 分析层:负责为应用层提供分析结果,至少具备安全分析、威胁情报管理、风险识别功能:
JT/T 14182022
应用层:负责为展示层提供 响应处置功能; 展示层:负责将各层数据进 中和直观皇现
6. 1.1 采集对象
数据的采集应满足如下要求: 采用被动及主动等方式进行采集,人工和自动化相结合; b) 采集节点以单级、分布式多级等多种形式部署; c) 数据采集任务根据类型可定制化,任务类型至少包括单次型和周期型; d 数据采集过程中不影响采集对象的正常运行
6.1.3.2资产基础数据应包括
采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; b) 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; C 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据; d) 采集对象的设备指纹。
a) 采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参 d)采集对象的设备指纹。
6.1.3.3运行状态数据应包括:
格式转换功能应支持对采集的同一类型、不同格式的原始数据转换为统一的数据格式,且转换时 造成关键数据项的丢失和损坏
洗功能应支持基于安全策略对采集的数据进行
数据补全功能应支持: a)对采集的资产基础数据提供标记补全功能,补全其相关联的属性; b)基于威胁情报对资产、告警等进行补全。
数据标识功能应支持基于威胁情报、业务类型、设备类型、时间、位置等对采集的原始数据进行 标识,
数据存储类型应包括以下类型: a)二维关系表等结构化数据; b)XML、JSON文档等半结构化数据; c)文本文件、图片、音视频、网络抓包文件等非结构化数据
存储内容应包括但不限于!
JT/T 1418=2022
存储方式应支持但不限于关系型数据存储、分布式文件存储、对象存储及文档存储
监测预警系统应支持存储周期可配置,安全日志存储时间不少于6个月,与跟踪溯源有关的数据存 储周期应根据实际需要进行配置。
6.4.1.1资产分析范围应包
.4.1.1资产分析范围应包括: a) 基础硬件、应用软件、业务系统、操作系统平台、数据库等资产的运行状态; b) 访问日志、流量数据等信息; c) 资产被黑、挂马、篡改等威胁行为; d) 网站安全漏洞、第三方组件的漏洞、弱口令、框架漏洞等脆弱性; e) 主机设备、基础软件、网络通信设备、网络安全设备等基线配置、安全配置状态; f) 资产存在的潜在风险
6.4.1.2资产脆弱性分析功能应支持:
a 通过主动扫描探测、被动流量监测和第三方导入等方式识别存活资产设备并自动描绘网络中 的资产节点间的连接关系,针对资产的重要性进行评估,建立全面的网络资产基础信息库,实 现资产管理和可用性监控; D 基于扫描和第三方导人,形成资产安全基线和安全配置监控,提供资产脆弱性管理和资产安 全指数的自动计算功能: 主动发起漏洞扫描,并将扫描结果与资产进行匹配,提供风险漏洞预警和修复方案,为漏洞信 息建立档案,提供追踪记录漏洞处置功能
6.4.2.3分析的异常行为应至少包括:
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访间、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; i) 日志异常变化。
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访间、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; i) 日志异常变化。
GB/T 51434-2021标准下载6.4.3漏洞风险分析
漏洞风险分析功能应支持: a)对漏洞数据进行风险分析,至少包括系统的高危漏洞和Web应用的高危漏洞,并给出漏洞风 险分析统计表; 对服务器和网站安全漏洞及威胁情况进行分析和关联; c)对资产的漏洞和配置弱点进行分析,并提供风险指数
威胁分析功能应支持: a)对各种异常行为进行监测,包括但不限于异常访问频次超限、异常访问流量超限、权限异常提 升、账户异常更改、日志异常变化、文件违规外发、非法外联、非法访问、非法文件下载: 对各种攻击行为进行监测,包括但不限于端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击、网络虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞 攻击。
6.4.6安全态势分析
安全态势分析功能宜支持基于大数据处理技术,针对交通运输行业政府网站、电子政务 终端、重要信息系统、关键网络的防护重点不同分别建立分析模型,对采集的网络安全运行数 据挖掘和深度分析
某居业12#、13#楼18层剪力墙结构施工组织设计6.5.1威胁情报来源
威胁情报来源应包括: a)内部威胁情报,即监测预警系统采集并形成的威胁数据信息和交通运输行业网络安全信息通 报内容; 外部威胁情报,包括但不限于权威威胁情报来源机构提供的威胁情报数据、商用或免费威肋 情报提供商提供的威胁情报数据