JTT 1418—2022标准规范下载简介
JTT 1418—2022 交通运输网络安全监测预警系统技术规范.pdfCS35.240.0
JT/T1418202
长春轻轨工程基坑降水施工方案交通运输网络安全监测预警系统
Technical specification for cybersecurity monitoring and warning systemof transportation
中华人民共和国交通运输部 发布
JT/T14182022
起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由交通运输信息通信及导航标准化技术委员会提出并归口。 本文件起草单位:交通运输信息安全中心有限公司、中国交通通信信息中心、中国科学院信息工程 研究所、公安部第三研究所、北京天融信网络安全技术有限公司、长扬科技(北京)有限公司、上海观安 信息技术股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司。 本文件主要起草人:林榕、杜渐、戴明、邢宏伟、刘宇畅、杨凤英、刘玉岭、陈妍、梅乐翔、张铮、杜丹 李飞、韩冬旭、贺文涛、刘天宇、杨剑、汪义舟、谢江、赵国全、梁伟
交通运输网络安全监测预警系统技术规范
本文件规定了交通运输网络安全监测预警系统的系统架构及总体要求、功能要求、性能要求、展 求、接口要求、安全要求与运行管理, 本文件适用于交通运输行业网络安全监测预警系统的建设、测试、运维与管理
JT/T 1418=2022
图1监测预警系统内外部接口关系示意图
图2监测预警系统架构
监测预警系统各层功能如下: 一平台层:负责为监测预警系统运行提供支撑,由操作系统、数据库和中间件组成: 基础层:负责为分析层提供基础数据,至少具备数据采集、数据处理、数据存储功能; 分析层:负责为应用层提供分析结果,至少具备安全分析、威胁情报管理、风险识别功能:
应用层:负责为展示层提供交互信息 展示层:负责将各层数据进行综合汇 图表等形式进行集中和直观呈现
数据的采集应满足如下要求: 采用被动及主动等方式进行采集,人工和自动化相结合; b) 采集节点以单级、分布式多级等多种形式部署; c 数据采集任务根据类型可定制化,任务类型至少包括单次型和周期型; d 数据采集过程中不影响采集对象的正常运行
6.1.3.2资产基础数据应包括
采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; b) 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; C 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据; 采集对象的设备指纹。
采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; b) 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; C 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据: 采集对象的设备指纹。
JT/T14182022
6.1.3.3运行状态数据应包括
格式转换功能应支持对采集的同一类型、不同格式的原始数据转换为统一的数据格式,且转换时 造成关键数据项的丢失和损坏
洗功能应支持基于安全策略对采集的数据进行筛
数据补全功能应支持: a)对采集的资产基础数据提供标记补全功能,补全其相关联的属性; b)基于威胁情报对资产、告警等进行补全。
数据标识功能应支持基于威胁情报、业务类型、设备类型、时间、位置等对采集的原始数据进行 标识,
数据存储类型应包括以下类型: 二维关系表等结构化数据; b)XML、JSON文档等半结构化数据; c)文本文件、图片、音视频、网络抓包文件等非结构化数据
存储内容应包括但不限于!
JT/T 14182022
存储方式应支持但不限于关系型数据存储、分布式文件存储、对象存储及文档存储
监测预警系统应支持存储周期可配置,安全日志存储时间不少于6个月,与跟踪溯源有关的数据存 储周期应根据实际需要进行配置,
6.4.1.1资产分析范围应包
4.1.1资产分析范围应包括: a) 基础硬件、应用软件、业务系统、操作系统平台、数据库等资产的运行状态; b) 访问日志、流量数据等信息; c) 资产被黑、挂马、篡改等威胁行为; d) 网站安全漏洞、第三方组件的漏洞、弱口令、框架漏洞等脆弱性; e) 主机设备、基础软件、网络通信设备、网络安全设备等基线配置、安全配置状 ) 资产存在的潜在风险
6.4.1.2资产脆弱性分析功能应支持:
a 通过主动扫描探测、被动流量监测和第三方导人等方式识别存活资产设备并自动描绘网络中 的资产节点间的连接关系,针对资产的重要性进行评估,建立全面的网络资产基础信息库,实 现资产管理和可用性监控; D 基于扫描和第三方导人,形成资产安全基线和安全配置监控,提供资产脆弱性管理和资产安 全指数的自动计算功能: C 主动发起漏洞扫描,并将扫描结果与资产进行匹配,提供风险漏洞预警和修复方案,为漏洞信 息建立档案,提供追踪记录漏洞处置功能
6.4.2.3分析的异常行为应至少包括:
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访问、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; 2 且志异常变化
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访问、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; i) 日志异常变化。
6.4.3漏洞风险分析
漏洞风险分析功能应支持: a)对漏洞数据进行风险分析,至少包括系统的高危漏洞和Web应用的高危漏洞,并给出漏洞风 险分析统计表; b 对服务器和网站安全漏洞及威胁情况进行分析和关联; c)对资产的漏洞和配置弱点进行分析,并提供风险指数
威胁分析功能应支持: 对各种异常行为进行监测,包括但不限于异常访间频次超限、异常访问流量超限、权限异常提 升、账户异常更改、日志异常变化、文件违规外发、非法外联、非法访问、非法文件下载: 对各种攻击行为进行监测,包括但不限于端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击、网络虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞 攻击,
6.4.6安全态势分析
安全态势分析功能宜支持基于大数据处理技术,针对交通运输行业政府网站、电子政务 终端、重要信息系统、关键网络的防护重点不同分别建立分析模型某市国际会展中心工程消防工程施工组织设计方案,对采集的网络安全运行数 据挖掘和深度分析
6.5.1威胁情报来源
威胁情报来源应包括: a)内部威胁情报,即监测预警系统采集并形成的威胁数据信息和交通运输行业网络安全信息通 报内容; 外部威胁情报,包括但不限于权威威胁情报来源机构提供的威胁情报数据、商用或免费威肋 情报提供商提供的威胁情报数据。
JT/T 1418=2022
6.5.2威胁情报格式
107国道宝城段改造工程施工组织设计威胁情报格式应符合GB/T36643一2018中第6章的规定
威胁情报格式应符合GB/T36643—2018中第6章的规定