DB32∕T 4318.1-2022 电子政务外网安全大数据和运维保障平台接入规范第1部分：安全大数据平台(江苏省).pdf

资源描述

1、ICS 35.020 CCS L72 DB32 江苏省地方标准 DB 32/T 4318.12022 电子政务外网安全大数据和运维保障平台接入规范第 1 部分：安全大数据平台 E-government networkAccess specification of secure big data and operation and maintenance support platform Part 1: Secure big data platform 2022 - 07 - 19 发布 2022 - 08 - 19 实施江苏省市场监督管理局发布 DB 32/T 4318.12022

2、 I 目次前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 安全大数据平台数据交互参考模型 . 2 5.1 参考模型 . 2 5.2 数据采集与共享报送要求 . 3 5.3 数据交互内容 . 3 5.4 报送频率要求 . 3 6 数据接口规范 . 3 6.1 接口类型 . 3 6.2 接口协议 . 3 6.3 接口消息格式 . 4 6.4 安全要求 . 4 附录 A（规范性）接口身份认证要求 . 5 A.1 身份认证方式 . 5 A.2 身份认证令牌刷新 . 5 A.3 设区市平台节点注册 . 5 附录 B（规范性）交互数据

3、规范 . 7 B.1 运行状态 . 7 B.2 风险隐患 . 7 B.3 漏洞情报 . 7 B.4 告警数据 . 8 B.5 告警清除数据 . 9 B.6 安全事件 . 9 B.7 安全报表 . 10 B.8 案例数据 . 10 B.9 预警通报数据 . 10 B.10 案例知识库 . 11 B.11 文件传输 . 12 附录 C（规范性）分类及编码规范 . 14 C.1 安全事件类型 . 14 DB 32/T 4318.12022 II C.2 接口返回状态编码表 . 14 C.3 行政区划编码表 . 15 参考文献 . 16 DB 32/T 4318.12022 III 前言本文件按

4、照GB/T 1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。 DB32/T 4318电子政务外网安全大数据和运维保障平台接入规范分为2个部分：第1部分：安全大数据平台；第2部分：运维保障。本部分为电子政务外网安全大数据和运维保障平台接入要求的第1部分。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省政务服务管理办公室提出并归口。本文件起草单位：江苏省大数据管理中心。本文件主要起草人：赵明、忻超、黄敏、夏国光、王光鑫、吴欣、边伟成、赵靖雯、张泊远、曹银美、王子文、付勍、刘晓红、张培勇。 DB 32/T 431

5、8.12022 1 电子政务外网安全大数据和运维保障平台接入规范第 1 部分：安全大数据平台 1 范围本文件规定了江苏省电子政务外网安全大数据平台（以下简称“省平台”）与设区市电子政务外网安全大数据平台（以下简称“设区市平台”）的数据交互接口相关的接口协议、数据报送内容、数据报送格式和安全要求。本文件适用于指导省平台和设区市平台的接口与数据对接。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技

6、术术语 GB/T 36635 信息安全技术网络安全监测基本要求与实施指南 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1 信息安全事件 information security incident 与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。来源：GB/T 25069-2022，3.684 3.2 脆弱性 vulnerability 可能被一个或多个威胁利用的资产或控制的弱点。来源：GB/T 25069-2022，3. 19 3.3 威胁 threat 可能对系统或组织造成危害的不期望事件的潜在因素。来源：GB/T 25069-

7、2022，3.628 DB 32/T 4318.12022 2 3.4 网络安全监测 security monitoring 以信息安全事件为核心，通过对网络和安全设备日志、系统运行数据等信息的实时采集，以关联分析等方式，实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。来源：GB/T 366352018，3.1 有修改 4 缩略语下列缩略语适用于本文件。 API：应用编程接口（Application Programming Interface） JSON：JS对象简谱（Java Script Object Notation） 5 安全大数据平台数据交互参考模型 5.1

8、参考模型省平台与设区市平台通过安全数据接口进行数据对接，设区市平台应遵照本规范规定的数据接口和字段内容向省平台报送数据，实现全省政务外网的统一安全管理。省平台与设区市平台间对接的参考模型见图1。图1 省平台与设区市平台交互参考模型 DB 32/T 4318.12022 3 省平台和设区市平台之间通过管理类、监测类、数据共享与通报类三类接口实现接入互通。其中，管理类接口用于实现省平台对设区市平台的接入管理；监测类接口用于实现监测类数据的上报，设区市平台按照数据报送要求向省平台进行上报；数据共享与通报接口用于实现省平台向设区市平台的数据共享与通报下发。 5.2 数据采集与共享报送要

9、求省平台与设区市平台应实现安全监测功能，应具备综合审计能力、本级的边界检测数据采集能力、安全行为和数据采集汇聚能力、数据分析呈现能力、态势感知和事件溯源分析能力、安全数据共享报送能力，具体要求如下： a) 安全大数据平台应具备综合审计能力，综合审计并实时采集本级对象应包括：终端、网络、服务器、数据库、中间件、应用系统等安全操作行为； b) 安全大数据平台应具备采集本级的边界检测数据，本级协议接口采集对象应包括：IDS、堡垒机、IPS、WAF、漏洞扫描、防火墙、防毒墙、网闸、抗 DDOS 等； c) 安全大数据平台能够对安全行为和数据进行采集汇聚，并运用数据挖掘分析技术对各种安全行为进行态势感

10、知和事件溯源分析。 5.3 数据交互内容设区市平台向省平台报送风险隐患、漏洞情报、告警数据、安全事件、安全报表、案例数据、运行状态数据，保证上报省平台数据的准确性和实时性。省平台向设区市平台下发预警通报数据，共享案例知识库数据。 5.4 报送频率要求报送数据的频率要求包括： a) 运行状态数据每天应最少报送一次,报送方式为全量报送； b) 风险隐患数据每天应最少报送一次，报送方式为全量报送； c) 漏洞情报数据及案例数据每天应最少报送一次，报送方式为增量报送； d) 告警数据及安全事件数据应实时报送，告警数据包括告警的产生和清除，报送方式为增量报送； e) 安全报表数据每周应最少报送一次

11、，报送方式为增量报送。 6 数据接口规范 6.1 接口类型交互接口包括管理类接口、监测类接口、数据共享与通报接口三类接口。管理类接口包括身份认证接口（见附录A）和运行状态上报接口(交互数据规范见附录B.1)。监测类接口包括风险隐患接口、漏洞情报、告警数据、安全事件、安全报表、案例数据六个数据报送接口（交互数据规范见附录B.2-B.8）；数据共享与通报接口包括预警通报下发、案例知识库获取、文件传输接口(交互数据规范见附录B.9-B.11)。 6.2 接口协议接口协议的要求包括： DB 32/T 4318.12022 4 接口应按RESTful API标准对外提供服务，通过HTTP

12、S协议加密数据，请求和响应的数据采用标准JSON格式来封装；接口函数应包含两类： a) 同步调用函数，即函数的返回值就是结果，调用方应提供满足标准的回调函数，此类函数用于实现平台之间的接入认证； b) 异步调用函数，利用安全消息通道，实现异步数据上报，设区市平台上报时将数据放到省平台消息通道中，省平台下发时将数据放入本级消息通道，设区市平台到省平台消息通道获取数据，此类函数实现平台之间的数据传递。 6.3 接口消息格式接口消息格式定义包括接口URL、接口描述、参数列表及接口返回信息。参数与返回值的具体JSON格式由接口提供者根据具体业务的实际情况制定，格式应层次简单、结构清晰。

13、6.4 安全要求接口安全要求包括： a) 平台对接前需要经过安全身份认证，身份认证加密采用非对称加密算法，安全身份认证机制包括身份认证（见附录 A.1）及身份认证令牌定期刷新机制（见附录 A.2），同时设区市平台需注册节点信息（见附录 A.3）； b) 数据传输要经过可靠加密处理，加密处理方式可采用数据传输前安全数据加密或者网络传输通道 SSL 加密等方式，数据传输过程中应防止数据丢失、泄露、篡改； c) 涉及密码算法的相关内容,应按国家有关法规实施；涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。 DB 32/T 4318.12022 5 附

14、录 A （规范性）接口身份认证要求 A.1 身份认证方式接口信息说明见表A.1。表A.1 身份认证接口说明名称描述接口 /auth/token 请求方式 POST Header: Content-type application/json;charset=UTF-8 A.2 身份认证令牌刷新平台身份认证令牌有效期默认为一小时，在令牌过期之前应请求新的令牌，接口信息说明见表A.2。表A.2 身份认证令牌刷新接口说明名称描述接口 /auth/refresh_token 请求方式 GET Header: Content-type application/json;charset

15、=UTF-8 Header: Authentication Bearer token A.3 设区市平台节点注册各地区各部门注册本级平台所属节点编码信息、IP 地址、经度，纬度等的数据格式，每次变更需重新注册。节点注册接口格式见表 A.3。表A.3 设区市平台节点注册接口说明名称描述 URL /api/v1/cascading/node/register HTTP请求方式 POST 请求参数名 data 请求参数值（密文）加密后的密文 Header: Content-type application/json;charset=UTF-8 Header: Authentication

16、Bearer token DB 32/T 4318.12022 6 请求参数值解密之后为 JSON 格式的数据,数据格式说明见表 A.4。表A.4 请求参数说明参数名是否必须类型备注 center_code 是字符节点编码见附录C.3 center_name 否字符节点名称 ip 是字符平台IP地址 geoloc 是字符经度，纬度 port 是整数平台端口 DB 32/T 4318.12022 7 A A 附录 B （规范性）交互数据规范 B.1 运行状态运行状态数据规范要求见表B.1。表 B.1 运行状态数据字段名称中文名称字段类型是否必选说明

17、 memoryUsed 内存占用字符是内存占用大小（带单位M,G,T） memoryFree 内存空间字符是内存空闲大小（带单位M,G,T） memoryPercent 内存使用率字符是内存使用率 cpuSpeed CPU 速率字符是 CPU 速度（带单位GHZ） cpuPercent CPU 使用率字符是 CPU 使用率 diskUsed 硬盘使用量字符是磁盘使用大小（带单位M,G,T） diskTotal 硬盘总存储字符是磁盘总大小（带单位M,G,T） diskPercent 硬盘使用率字符是磁盘使用率 recv 网络接收速率字符是网络接收

18、流量速率（带单位bps,kbps,Mbps） send 网络发出速率字符是网络发送流量速率（带单位bps,kbps,Mbps） B.2 风险隐患风险数据规范要求见表B.2。表 B.2 风险数据字段名称中文名称字段类型是否必选说明 domainName 安全域名称字符是地市平台配置的安全域 riskValue 风险值整数是风险值 riskLevel 风险等级整数是风险等级，分为 5 级(1-5)，数字越大表示风险越高 B.3 漏洞情报漏洞数据规范要求见表B.3。 DB 32/T 4318.12022 8 表 B.3 漏洞数据字段名称中文名称字段类型

19、是否必选说明 cve CVE ID 字符否示例：CVE-1999-0001 cnnvd CNNVD ID 字符否示例：CNNVD-201404-530 loopholeTitle 漏洞标题字符是示例：电话信息泄露 loopholeDesc 描述字符是漏洞描述 possibleAffect 漏洞可能造成的影响字符是影响描述 disposalAdvice 处置建议字符是处置建议 level 漏洞级别整数是 1-低 2-中 3-高 influenceAssetsIp 影响资产IP 字符是漏洞影响本地资产IP scannerName 扫描器名称字符是扫描

20、器名称 B.4 告警数据告警数据规范要求见表 B.4。表 B.4 告警数据字段名称中文名称字段类型是否必选说明 sourceId 告警ID 字符是告警ID alarmName 告警名称字符是告警名称 alarmGrade 风险等级字符是 Low-低危 Medium-中危 High-高危 alarmDesc 告警描述字符是告警描述 alarmTime 告警时间字符是告警时间,格式YYYY-MM-DDHH24:MM:SS srcIp 来源IP 字符是来源IP dstIp 目的IP 字符是目的IP application 所属应用系统字符是应用系

21、统名称 assetsType 资产类型字符是资产类型 devName 告警设备名称字符是设备名称 alarmStatus 处置状态字符是 falsePositives-误报 processed-处理完成 processing-处理中 unprocessed-未处理 category 告警类型字符是告警类型 subCategory 告警子类型字符是告警子类型 direction 数据流方向字符是 00-内访问内 01-内访问外 10-外访问内 11-外访问内 destPort 目的端口整数否目的端口 srcPort 源端口整数否来源端口 request

22、Url 访问请求的相关URL 字符否访问请求的相关URL appProtocol 应用协议字符是应用协议 DB 32/T 4318.12022 9 字段名称中文名称字段类型是否必选说明 alarmResults 告警结果字符是 UNKNOWN-无法确认是否攻击成功 FAIL-攻击失败 OK-攻击成功 B.5 告警清除数据告警清除数据规范要求见表B.5。表 B.5 告警清除数据字段名称中文名称字段类型是否必选说明 alarmIds 要清除的告警ID,逗号隔开字符是取值上报告警的sourceId B.6 安全事件安全事件数据规范要求见表B.6。表 B.

23、6 安全事件数据字段名称中文名称字段类型是否必选说明 alarmName 事件名称字符是事件名称 eventType 事件类型字符是附录C.1,取值二级分类 createTime 事件发生时间字符是发生时间，格式YYYY-MM-DDHH24:MM:SS alarmGrade 事件等级字符是 Low-低危 Medium-中危 High-高危 alarmDesc 事件描述字符是告警描述 alarmTime 告警时间字符是告警时间,格式YYYY-MM-DDHH24:MM:SS srcIp 来源IP 字符是多个 IP 时用“,”隔开 dstIp 目的IP

24、字符是多个 IP 时用“,”隔开 influence 事件影响评估字符是影响评估 disposal 处置结果字符是 falsePositives-误报 processed-处理完成 processing-处理中 unprocessed-未处理 domainName 恶意域名字符否有相关域名需要提供 fileHash 文件HASH 字符否有相关恶意文件HASH时需要提供 reportUser 事件报告联系人字符是联系人姓名 reportPhone 报告人员联系方式字符是手机号码 threatenedAssets 受威胁资产信息字符是 JSON字符串 at

25、tachment 附件字符否调用文件传输接口进行文件传输，将传输返回结果填写在此，多个附件信息传输多个对象，其格式为JSON字符串 DB 32/T 4318.12022 10 B.7 安全报表设区市平台将本平台产生的安全报表按照报送频率要求（见5.4）上报给省平台，报表以文件方式传送。报表数据规范要求见表B.7。表 B.7 报表数据字段名称中文名称字段说明是否必选说明 reportName 报表名称字符是报表名称 reportType 报表类型字符是周报月报 reportDesc 报告描述字符是报告描述 attachment 附件字符是 JSON字符

26、串 createTime 创建时间字符是创建时间，格式YYYY-MM-DDHH24:MM:SS B.8 案例数据设区市平台应将本地发生的案例以文档方式按照报送频率要求（见5.4）进行上报，以便省平台对典型案例进行汇总。案例数据规范要求见表B.8。表 B.8 案例数据字段名称中文名称字段说明是否必选说明 caseTitle 案例标题字符是案例标题 createTime 创建时间字符是案例创建时间，格式YYYY-MM-DDHH24:MM:SS content 案例内容字符是案例内容 keyProperty 关键字字符是案例关键字说明，用于关键字索引 cr

27、eateMan 案例创建人字符是案例创建人姓名、单位和联系方式 attachment 附件字符是调用文件传输接口进行文件传输，将传输返回结果填写在此，多个附件信息传输多个对象其格式为JSON字符串 reserver 保留字段字符否保留字段，供系统使用 B.9 预警通报数据预警通报数据规范要求见表B.9。表 B.9 预警通报数据 DB 32/T 4318.12022 11 字段名称中文名称字段类型是否必选说明 startTime 开始时间字符是开始时间,格式YYYY-MM-DDHH24:MM:SS noticeName 通报名称字符是通报名称 notic

28、eType 通报类型字符是通报类型描述 noticeDesc 通报描述字符是通报原因描述 attachment 通报附件信息字符否调用文件传输接口进行文件传输，将传输返回结果填写在此，预警通报附件信息，多个附件信息传输多个对象其格式为 JSON字符 startNodeCode 发起节点编码字符是发起节点编码 targetNodeCode 数据接收节点编码字符是目标节点编码 createTime 创建时间字符是创建时间，格式YYYY-MM-DDHH24:MM:SS B.10 案例知识库设区市平台调用知识库查询接口，根据传递的接口参数获取相应的知识库案例内

29、容。请求参数说明见表B.10。表 B.10 案例知识请求参数说明字段名称中文名称字段类型是否必选说明 titleKeyWord 标题关键字字符否支持标题模糊查询 startTime 开始时间字符否时间格式 YYYY-MM-DDHH24:MM:SS endTime 结束时间字符否时间格式 YYYY-MM-DDHH24:MM:SS currentPage 当前页字符否默认 1 maxResult 每次返回多少条数据字符否默认 100 返回参数说明见表 B.11。表 B.11 案例知识接口返回参数说明字段名称中文名称字段说明是否必选说明 pag

30、es 页数整数是根据关键字查询出数据的总页数 total 文档数量统计整数是查询到的文档数量统计 id 标识字符是案例标识 createTime 创建时间字符是知识创建时间，格式 YYYY-MM-DDHH24:MM:SS keyProperty 关键字字符是关键字 DB 32/T 4318.12022 12 字段名称中文名称字段说明是否必选说明 content 内容字符是知识详细内容 attachment 附件字符是调用文件传输接口进行文件传输，将传输返回结果填写在此，附件信息 caseTitle 案例标题字符是案例标题 createMa

31、n 案例创建人字符否案例创建人姓名 reserver 保留字段字符否保留字段，供系统使用 B.11 文件传输附件内容通过文件传输接口进行传输，请求参数说明见表B.12。表 B.12 文件传输请求参数说明字段名称中文名称字段说明是否必选说明 file 校验信息文件流是附件流返回参数说明见表B.13。表 B.13 文件传输返回参数说明字段名称中文名称字段说明是否必选说明 code 返回编码整数是返回状态码见附录C.2 msg 返回信息字符是 success 代表成功 docUrl 文件存储路径字符是安全协同返回文件存储路径 DB 32/

32、T 4318.12022 13 DB 32/T 4318.12022 14 B B 附录 C （规范性）分类及编码规范 C.1 安全事件类型网络安全事件类型见表C.1。表 C.1 网络安全事件类型一级分类二级分类网络攻击 WEB攻击扫描探测暴力猜解漏洞攻击拒绝服务攻击可疑活动网络攻击其它网络攻击恶意代码灰色软件(恶意程序) 蠕虫(有害程序) 木马(有害程序) 僵尸(有害程序) 恶意事件(有害程序) 病毒(有害程序) 勒索软件异常信息可疑信息可疑程序漏洞弱口令未知威胁其它恶意代码 C.2 接口返回状态编码表接口返回状态编码见表C.2。 DB 32/

33、T 4318.12022 15 表 C.2 接口返回状态编码表状态码状态码英文名称代码描述 100 unauthorized 需要认证才能访问 99 forbidden 没有权限访问 98 too_many_requests 接口调用超过最大次数，请明天再试 97 bad_request 请求的参数不正确 96 not_found 资源不存在 95 register_node_error 无上级节点或上级节点未认证 94 encry_or_decrypt_error 加解密错误 93 internal_server_error 服务器内部错误 92 service_unavailable

34、服务器资源暂时不可用 200 success 成功 C.3 行政区划编码表行政区划编码见表C.3。表 C.3 设区市区划编码表设区市区划代码名称 320100 南京市 320200 无锡市 320300 徐州市 320400 常州市 320500 苏州市 320600 南通市 320700 连云港市 320800 淮安市 320900 盐城市 321000 扬州市 321100 镇江市 321200 泰州市 321300 宿迁市 DB 32/T 4318.12022 16 参考文献 1 GB/T 29246 信息技术安全技术信息安全管理体系概述和词汇 2 GW 02032014 国家电子政务外网安全监测体系技术规范与实施指南 3 GW 02042014 国家电子政务外网安全管理系统技术要求与接口规范 4 DB32/T 3514.62019 电子政务外网建设规范第6部分：外网安全接入平台技术要求 5 T/CIIA 0052019 政务网络安全监测平台总体技术要求 _

展开阅读全文

DB32∕T 4318.1-2022 电子政务外网 安全大数据和运维保障平台接入规范 第1部分：安全大数据平台(江苏省).pdf

DB32∕T 4318.1-2022 电子政务外网安全大数据和运维保障平台接入规范第1部分：安全大数据平台(江苏省).pdf