标准规范下载简介
DB3205/T 1043-2022 数字政府 城市网络安全威胁流量监测数据管理规范.pdfICS35.020 CCS L 01
字政府城市网络安全威胁流量监测
traffic monitor
苏州市市场监督管理局发布
合肥市拆迁复建点小区二期土建及装修装饰工程施工组织设计【精编施组方案】苏州市市场监督管理局发布
DB3205/T1043—2022
月 引 言. III 范围. 规范性引用文件. 术语和定义 管理职责. 数据采集…. 5.1数据采集总体要求. 5.2安全威胁监测数据要求 5.3流量元数据采集要求.. 5.4原始数据包和还原文件数据采集要求 6数据传输 6.1数据传输过程. 6.2数据传输方式. 数据存储与使用. 数据安全 8.1审计日志数据要求. 8.2报警日志数据要求. 8.3数据传输安全要求... 附录A(规范性)输出数据内容和格式. 附录B(规范性) 攻击告警分类 附录C(资料性) 网络威胁流量监测设备的功能要求和性能要求.. .19 参考文献 21
DB3205/T1043—2022
DB3205/T 1043—2022
市网络安全威胁流量监测数据
本文件规定了城市网络安全威胁流量监测的管理职责、数据采集、数据传输、数据存储与使用、数 据安全。 本文件适用于教育、医疗卫生、水利、电力、能源等关键行业和重点单位的网络安全评估与管理工 作,可在进行网络安全评估与管理工作中的网络安全威胁流量监测数据采集时使用本文件,其他相关关 键行业和重点单位可参考执行。
网络安全威胁流量监测数据的责任单位,应对数据的操作、使用、共享等方面进行管理和监控,要 如下: a)娄 数据所有者、各行业主管部门、公安机关、国家网信部门等应在各自职责范围内对数据进行管 理与监控; b)应对数据的使用与共享等操作进行规范化管理,并建设对应的管理制度; c)应配备数据管理人员,对数据进行统一管理与维护; d)应对数据操作人员及操作信息进行记录。 注:各行业主管部门是指教育、医疗卫生、水利、电力、能源、交通等关键行业的主管部门。
5.2安全威胁监测数据要求
5.3流量元数据采集要求
DB3205/T1043—2022
5.4原始数据包和还原文件数据采集要求
安全告警对应原始数据包以及城市网络安全防护平台进行安全分析时产生的特定IP、域名等信息对 应的原始数据包需向平台进行传输,原始数据包与还原文件的要求如下: a)原始数据包应包含依据IP、域名等信息捕获特定通信流量的原始数据包; b)还原文件应包含HTTP、SMTP、POP3、IMAP、FTP协议的还原文件; c)文件格式至少应支持以下几类:压缩文件(如RAR、ZIP、7Z)、可执行文件; d)应能提供依据自定义文件类型、协议等过滤规则过滤后的数据; e)针对检测到的恶意文件,回传内容应包含恶意文件的哈希值、大小、文件类型、文件、流量日 志五要素。
各数据提供机构应按照第5章数据采集、附录A输出数据内容和格式以及附录B攻击告警分类的要求 进行数据采集,并根据数据提供机构各自的情况选择不同的数据传输方式进行数据传输,数据管理方对 数据的质量进行审核,审核通过后的数据由数据管理方进行数据的治理入库,网络安全威胁流量监测设 备的功能要求和性能要求可参照附录C。
6.2.1通过高吞吐量的分布式发布订阅消息系
6.2.2通过API接口方式传输
本方法适用于未接入监管侧第三方要求的端到端加密网络系统的平台传输数据,或传输数据中 文件太大,超出Kafka允许最大长度时使用,具体要求如下: a)传输数据类型:心跳数据、安全威肋监测数据、流量元数据、原始数据包和还原文件:
8.1审计日志数据要求
每一条审计日志中均应包含该行为发生的日期、时间、用户标识、描述和结果。审计日志的生成条 件如下: a)用户登录行为,包括成功和失败; b)对安全规则进行更改的操作; c)因鉴别尝试不成功的次数达到设定值,导致的会话连接终止; d)对日志记录的备份; e)用户的其它操作。
3.2报警日志数据要求
8.3数据传输安全要求
网络安全威胁流量监测数据应能通过基于监管侧第三方要求的端到端加密网络系统进行加 保证数据传输安全
DB3205/T1043—2022
安全威胁监测日志包括攻击监测日志、恶意代码监测日志和威胁情报告警日志三种。 每种类型的日志由通用部分和专用部分两部分组成。通用部分即每种日志公用的头部信息(见表 A.1),其余各部分参见各章节定义。对于各种类型的威胁监测日志,本文件定义了比较明确的威胁日 志类型和字段,如有不在定义范围内的,可扩展和补充。 表A.1规定了安全威胁监测日志通用部分的数据内容与格式。表A.2规定了安全威胁监测日志中攻击 监测日志专用部分的内容与格式,攻击监测日志包含附录B中拒绝服务攻击、后门攻击、漏洞攻击这 类告警的专用部分。表A.3规定了安全威胁监测日志中恶意代码监测日志专用部分的内容与格式,恶意 代码监测日志包含附录B中有害程序告警的专用部分。表A.4规定了安全威胁监测日志中威胁情报告警日 志专用部分的内容与格式,威胁情报告警日志包含附录B中威胁情报告警的专用部分。
学生公寓14号楼施工组织方案表A.2攻击监测日志
表A.3恶意代码监测日志
DB3205/T1043—2022
表A.4威胁情报告警日志
A.2流量元数据提取日志格式
流量元数据提取日志包括:HTTP审计、FTP审计、邮件审计、数据库审计、登录动作审计、DNS数 据审计、文件传输审计日志等。 每种类型的日志由两部分组成,通用部分和专用部分,通用部分即每种日志公用的头部信息(表 4.5通用部分),其余各部分参见各章节定义,若无对应的专用部分,则可只传输通用部分。 表A.5规定了流量元数据提取日志通用部分的内容与格式,表A.6规定了流量元数据提取日志中 HTTP审计专用部分的内容与格式,表A.7规定了流量元数据提取日志中FTP审计专用部分的内容与格 式,表A.8规定了流量元数据提取日志中邮件审计专用部分的内容与格式,表A.9规定了流量元数据 提取日志中数据库审计专用部分的内容与格式,表A.10规定了流量元数据提取日志中登录动作审计专 用部分的内容与格式,表A.11规定了流量元数据提取日志中DNS数据审计专用部分的内容与格式,表 A.12规定了流量元数据提取日志中文件传输审计专用部分的内容与格式。
《公路路基设计规范》JTG D30-2015表A.6HTTP审计
DB3205/T1043—2022