JTT 1418—2022标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
JTT 1418—2022 交通运输网络安全监测预警系统技术规范.pdf数据的采集应满足如下要求: 采用被动及主动等方式进行采集,人工和自动化相结合; b) 采集节点以单级、分布式多级等多种形式部署; c 数据采集任务根据类型可定制化,任务类型至少包括单次型和周期型; d 数据采集过程中不影响采集对象的正常运行
6.1.3.2资产基础数据应包括
采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; b) 采集对象操作系统或固件信息GB/T 27917.1-2011 快递服务 基本术语,包括操作系统或固件名称、版本标识等; C 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据; 采集对象的设备指纹。
采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; b) 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; C 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据: 采集对象的设备指纹。
JT/T14182022
6.1.3.3运行状态数据应包括
格式转换功能应支持对采集的同一类型、不同格式的原始数据转换为统一的数据格式,且转换时 造成关键数据项的丢失和损坏
洗功能应支持基于安全策略对采集的数据进行筛
数据补全功能应支持: a)对采集的资产基础数据提供标记补全功能,补全其相关联的属性; b)基于威胁情报对资产、告警等进行补全。
数据标识功能应支持基于威胁情报、业务类型、设备类型、时间、位置等对采集的原始数据进行 标识,
数据存储类型应包括以下类型: 二维关系表等结构化数据; b)XML、JSON文档等半结构化数据; c)文本文件、图片、音视频、网络抓包文件等非结构化数据
存储内容应包括但不限于!
JT/T 14182022
存储方式应支持但不限于关系型数据存储、分布式文件存储、对象存储及文档存储
监测预警系统应支持存储周期可配置,安全日志存储时间不少于6个月,与跟踪溯源有关的数据存 储周期应根据实际需要进行配置,
6.4.1.1资产分析范围应包
4.1.1资产分析范围应包括: a) 基础硬件、应用软件、业务系统、操作系统平台、数据库等资产的运行状态; b) 访问日志、流量数据等信息; c) 资产被黑、挂马、篡改等威胁行为; d) 网站安全漏洞、第三方组件的漏洞、弱口令、框架漏洞等脆弱性; e) 主机设备、基础软件、网络通信设备、网络安全设备等基线配置、安全配置状 ) 资产存在的潜在风险
6.4.1.2资产脆弱性分析功能应支持:
a 通过主动扫描探测、被动流量监测和第三方导人等方式识别存活资产设备并自动描绘网络中 的资产节点间的连接关系,针对资产的重要性进行评估,建立全面的网络资产基础信息库,实 现资产管理和可用性监控; D 基于扫描和第三方导人,形成资产安全基线和安全配置监控,提供资产脆弱性管理和资产安 全指数的自动计算功能: C 主动发起漏洞扫描,并将扫描结果与资产进行匹配,提供风险漏洞预警和修复方案,为漏洞信 息建立档案,提供追踪记录漏洞处置功能
6.4.2.3分析的异常行为应至少包括:
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访问、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; 2 且志异常变化
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访问、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; i) 日志异常变化。
6.4.3漏洞风险分析
漏洞风险分析功能应支持: a)对漏洞数据进行风险分析,至少包括系统的高危漏洞和Web应用的高危漏洞,并给出漏洞风 险分析统计表; b 对服务器和网站安全漏洞及威胁情况进行分析和关联; c)对资产的漏洞和配置弱点进行分析,并提供风险指数
威胁分析功能应支持: 对各种异常行为进行监测,包括但不限于异常访间频次超限、异常访问流量超限、权限异常提 升、账户异常更改、日志异常变化、文件违规外发、非法外联、非法访问、非法文件下载: 对各种攻击行为进行监测,包括但不限于端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击、网络虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞 攻击,
6.4.6安全态势分析
安全态势分析功能宜支持基于大数据处理技术,针对交通运输行业政府网站、电子政务 终端、重要信息系统、关键网络的防护重点不同分别建立分析模型,对采集的网络安全运行数 据挖掘和深度分析
6.5.1威胁情报来源
威胁情报来源应包括: a)内部威胁情报,即监测预警系统采集并形成的威胁数据信息和交通运输行业网络安全信息通 报内容; 外部威胁情报,包括但不限于权威威胁情报来源机构提供的威胁情报数据、商用或免费威肋 情报提供商提供的威胁情报数据。
JT/T 1418=2022
6.5.2威胁情报格式
威胁情报格式应符合GB/T36643一2018中第6章的规定
威胁情报格式应符合GB/T36643—2018中第6章的规定
威胁情报管理功能应支持: 采用主动模式和被动模式自动获取威胁情报数据和手动导人离线威胁情报文件: b) 采用手动升级、在线更新、人工导人等方式进行威胁情报更新; c) 对威胁情报进行聚合、分类、展示、关联; 提供内部和外部威胁情报库数据交互,并根据双方数据库数据项进行格式转换; e 提供开放接口及传输格式,和国家级、部级、交通运输行业各级威胁情报系统以及其他第三方 威胁情报系统进行威胁情报共享
风险识别功能应支持根据风险分析的结果确定风险
6.7网络安全预警研判
6.7.1网络安全预警
6. 7.2 综合研判
综合研判功能应支持根据安全分析功能 响资产信息进行关联,按照重要程度 围等对网络安全预警进行分级
a) 网络安全风险信息,即指与网络资产关联后的安全漏洞信息,安全漏洞信息的分类应符合 GB/T335612017中5.2的相关要求: 网络威胁信息,即指攻击过程中工具构建、投放、植人阶段的相关信息,包括恶意程序传播、恶 意程序感染等; c 网络攻击行为信息,即指攻击过程中命令与控制阶段的相关信息,包括恶意程序控制、拒绝服 务攻击、二进制代码攻击、Web应用攻击、信道攻击、欺骗攻击、仿冒攻击、物理攻击等; d) 网络攻击后果信息,即指攻击过程中目标达成阶段的相关信息,攻击后果的分类应符合GB/T 37027—2018中6.4的规定; e) 其他信息,即指对网络安全应急响应具有支撑作用的其他网络空间信息和非网络空间信息
6.8.2通报信息格式
信息标识,即指通报信息的唯一标识; b) 相关性,即指与信息接收单位直接相关的信息; C) 信息描述,即指对信息基本情况的描述; 时间戳,即指该信息生成时间; e) 单位,即指该信息涉及的单位; f) 资产,即指该信息涉及的资产,同时指明该资产对应的等级保护级别: g) 网络安全层面,即指该信息与隐患、风险、威胁、攻击实施、攻击后果等网络安全层面的关联; 网络安全类别,即指该信息与具体隐患、风险、威胁、攻击实施、攻击后果类别的关联; h ) 影响评估,即指对该信息相关的网络空间影响和非网络空间影响的评估; 1) 建议应对措施,即指对该信息相关应对措施的建议
JT/T 14182022
监测预警系统性能应满足: a) 提交事务平均响应时间不超过1.5s; b) 用户查询响应时间不高于5s; 具备每分钟百万条以上数据的分析能力: d 系统年运行可用率不低于99.99%
展示方式应满足: a): 具备两种或两种以上视图展示方式,如地理信息图、关联关系图、威胁路径图等; b) 区分用户角色进行定制化展示; c) 安全态势具备可选择性展示功能,通过过滤条件选择图示的展现内容; d) 攻击态势展示以我国交通运输行业布局地图为中心,将世界范围内对交通运输行业各级单位 的攻击进行实时动态展示,展示范围可动态调整。
系统级联接口用于实现不同 息和安全运行的数据交互,系统 级联接口应采用基于可靠身份认证手段实现具备级联关系的监测预警系统体系内各级系统之间的访问 控制。 监测预警系统级联接口关系如图1所示
数据共享接口用于实现监测预警系统与其他应用系统或第三方平台之间进行数据共享,数据共享 接口应支持: a)与资产类管理系统的接口对接GB 1903.39-2018 食品安全国家标准 食品营养强化剂 海藻碘,获取资产数据并进行定期更新; b)与监控类系统的接口对接,包括获取实时信息和配置信息;
C 与安全评估与检测类系统的接口对接,获取其上报的漏洞信息、基线数据、弱口令结果、管理 合规数据等; d)与第三方平台的接口对接,实现流量、日志、告警等数据的交互。 监测预警系统数据共享接口关系如图1所示
监测预警系统应按照GB/T22239一2019中8.1的要求,对安全物理环境、安全通信网络、安全区域 边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员进行规划。监测预警 系统应至少满足GB/T22239一2019中规定的第二级安全要求,当监测对象中含有安全保护等级确定为 第三级的等级保护对象或关键信息基础设施时,监测预警系统的安全防护能力应不低于第三级安全 要求。
JT/T 1418=2022
DB11T 664-2009 骨灰撒海服务规范[1] GB/T20984—2007信息安全技术信息安全风险评估规范 [2] GB/T32924—2016信息安全技术网络安全预警指南 [3] GB/T36635—2018信息安全技术网络安全监测基本要求与实施指南 [4] 交通运输部交通运输部网络安全管理办法(交科技发【2020]125号) [5] 交通运输部交通运输行业网络安全信息通报管理办法(交办科技【2018]172号)
[1] GB/T20984一2007信息安全技术信息安全风险评估规范 [2] GB/T32924—2016信息安全技术网络安全预警指南 [3] GB/T36635—2018信息安全技术网络安全监测基本要求与实施指南 [4] 交通运输部交通运输部网络安全管理办法(交科技发【2020]125号) [51 交通运输部交通运输行业网络安全信息通报管理办法(交办科技【2018】172号)