DB4105/T 196-2022标准规范下载简介
DB4105/T 196-2022 政务网络安全监测规范.pdfICS35.240.20 cCS 1 67
B4105/T1962
T/CMEA17-2021 道路地下病害定量探测技术标准及条文说明.pdfDB4105/T1962022
DB4105/T 1962022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由安阳市政务服务和大数据管理局提出并归口。 本文件起草单位:安阳市信息中心。 本文件主要起草人:马靳鲜、王海龙、常明华、朱旭、杜都、王亦军、温梦佳、范馨丹、郭帅、任 帅、赵子龙、王和平、李慧玲
DB4105/T1962022
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T25069信息安全技术术语 GW0203国家电子政务外网安全监测体系技术规范与实施指南
主要是指收集、评估和应用关于安全威胁、威胁分析、攻击利用、恶意软件、漏洞和漏洞指标的 据集合。
脆弱性 资产中能被威胁所利用的弱点
DB4105/T 1962022
监测的范围与政务部门或政务网络运营者管理的网络边界范围保持一致。承载跨地区、跨部门 政务网络,其监测范围包括本地区(本部门)政务网络,以及与之连接的政务广域网、政务城域 务局域网。 监测的对象包括基础网络、政务云、政务应用等信息技术设施和系统。 政务部门托管或部署在公有云上的业务监测由托管单位或云服务商等部门提供相应监测服务。 蓝测的内宏包坛日云阳王
4.1监测的范围与政务部门或政务网络运营者管理的网络边界范围保持一致。承载跨地区、跨部门应 用的政务网络,其监测范围包括本地区(本部门)政务网络,以及与之连接的政务广域网、政务城域网 和政务局域网
4.2监测的对象包括基础网络、政务云、政务应用等信息技术设施和系统。
数据采集包括且不限于: 政务网络的流量及日志信息; 自有情报数据、第三方通报和情报数据
5. 2. 1 流量数据
5. 2. 1.1告警
对网络流量中常见的攻击行为进行威胁检测,采集告警信息。
5. 2. 1. 2元数据
5. 2. 2设备日志
包括且不限于网络设备、安全设备、操作系统、数据库、中间件、应用系统等日志
包括且不限于失陷类情报、IP情报、域名情报等内
5.2.4.1第三方平台通报的告警数据。
5.2.4.2第三方脆弱性报告,如安全厂家漏洞扫描和配置核查扫描结果
5.2.4.2第三方脆弱性报告,如安全厂家漏洞扫描和配置核查扫描结果
5. 3. 1流量采集
部署流量采集设备,通过流量镜像的方式获取流量并进行还原、检测、告警。
5. 3. 2日志采集
通过Sys1og、WMI、JDBC、FTP、SFTP等方式。
5.3.3威胁情报采集
过自定义威胁情报、网络升级、第三方导入等刀
5.3.4 第三方数据
通过第三方数据本地导入、网络更新等方式。
视采集内容的流量或数据格式的不同,配置相关规则达到日志信息归一化。
6.1资产管理及风险分析
DB4105/T1962022
对主机设备、网络设备、安全设备、应用系统进行管理。能够展现资产基础信息(资产名称 证和分组等)和服务信息(端口、协议和服务等),也能够自定义资产属性标签,按照资产组、 置、业务、组织结构等维度对资产进行分组管理
6.1.2.1能够对资产的漏洞信息进行管理,包括且不限于: a)能够导入并识别漏洞扫描器输出的漏洞报告; b)按照漏洞报告模板手工撰写的漏洞报告。 6.1.2.2导入的漏洞信息可以和资产自动关联匹配。
6.1.2.1能够对资产的漏洞信息进行管理,包括且不限于
6.1.3资产分析及风险展示
6. 1. 3. 1 单一资产
按照单一资产对资产进行风险评估、列表展示。内容包括资产名称、资产风险值、资产告警委 漏洞数和资产失陷状态标识等信息。可按照单一资产图形化展示资产告警及漏洞数量,也可按照 级、处置状态等信息进行展示。
6. 1. 3. 2资产分组
按照资产分组对资产进行风险评估、列表展示。内容包括资产组名称、资产组风险值、资产组告警 数、资产组漏洞数和资产组失陷主机识等信息。可按照资产分组图形化展示资产告警及漏洞数量,也可 按照趋势、等级、处置状态等信息进行展示。
中华世纪城A1~3施工组织设计方案6.1.3.3条件查询
DB4105/T1962022
单一资产及资产分组的风险条件查询,查询条件包括资产IP地址、资产名称、资产风险值和资产风 险等维度。
6.2. 1特征码匹配
将待检测内容与恶意流量特征、恶意文件特征、恶意代码特征等特征值进行匹配,然后根据匹配 断待检测的内容是否被感染
6. 2. 2威胁情报
能够基于证据来描述威胁的知识信息,包括威胁相关的上下文信息、威胁所使用的方法机制、威 指标、攻击影响以及应对行动建议等。也能够进行自定义告警匹配、批量情报导入以及威胁情报 查询能力JJF 1839-2020 轮胎均匀性试验机校准规范.pdf,包括地址、域名、URL、端口等。
场景化模型能够对海量应用类日志通过大数据分析技术,进行模式匹配、异常发现。基于 技术提供丰富的场景化分析、使用图表等可视化手段,展示特定主体场景下的可疑行为。包括 外联、异地账号登录、弱口令检测等。
7. 2. 2 调查取证