ICS35.240.01 CCSL67 14 山西省地方标准 DB14/T2840—2023 电子政务外网安全监测平台技术规范 2023-10-10发布 2024-01-10实施 山西省市场监督管理局  发布 DB14/T2840—2023 I目次 前言..................................................................................II 1范围................................................................................3 2规范性引用文件......................................................................3 3术语和定义..........................................................................3 4缩略语..............................................................................4 5平台监测范围和对象..................................................................4 6平台架构............................................................................5 7平台功能............................................................................6 附录A（资料性）山西省电子政务外网逻辑架构...........................................12 附录B（资料性）探针类型及部署方式...................................................13 附录C（资料性）数据总线结构.........................................................14 参考文献..............................................................................15 DB14/T2840—2023 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由山西省政务信息管理局提出、组织实施和监督检查。 本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。 本文件由山西省电子政务信息标准化技术委员会归口。 本文件起草单位：山西省数字政府服务中心、山西云时代政务云技术有限公司、山西省数字政府建 设运营有限公司、北京国信新网通讯技术有限公司。 本文件主要起草人：阎彩英、贾岷峰、李华、郑亮、赵进延、王可强、刘桂楠、史明雪、李伟豪。 DB14/T2840—2023 3电子政务外网安全监测平台技术规范 1范围 本文件规定了电子政务外网安全监测平台监测的范围和对象、平台架构、平台功能等。 本文件适用于电子政务外网安全监测平台的设计、建设。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069信息安全技术术语 GB/T32924信息安全技术网络安全预警指南 3术语和定义 GB/T25069、GB/T32924界定的以及下列术语和定义适用于本文件。 电子政务外网E-governmentextranet 运行政务部门非涉密业务应用的专用网络。 城域网metropolitanareanetwork 同城各政务部门间实现互联互通的电子政务外网。 广域网wideareanetwork 连接不同地区局域网或城域网，实现远程通信的电子政务外网。 安全监测平台securitymonitoringplatform 通过对网络流量、安全日志、威胁情报等数据进行实时采集、监测和分析，动态识别网络风险，发 现攻击威胁、资产脆弱性以及安全事件，并进行预警通报和可视化展示的系统。 告警alert 对网络安全要素进行分析，发现攻击或入侵时，平台自动向相关人员发出的通知。 预警warning 针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出的安全警示。 探针probe 从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。 DB14/T2840—2023 4 数据总线databus 实现平台中数据采集探针、存储、分析、展示与应用等各模块之间，以及与第三方平台之间数据共 享和交换的功能模块。 威胁情报threatintelligence 一种基于证据的知识，用于描述网络威胁信息、研判安全态势，支持安全事件响应和处置决策。 电子政务外网安全监测平台（以下简称平台）E-governmentextranetsecuritymonitoring platform 部署在政务部门非涉密业务应用专用网络中的系统，对网络流量、安全日志、威胁情报等数据进行 实时采集、监测和分析，动态识别网络风险，发现攻击威胁、资产脆弱性以及安全事件，并进行预警通 报和可视化展示。 4缩略语 下列缩略语适用于本文件。 DNS：域名系统(DomainNameSystem) SOC：安全运营中心（SecurityOperationsCenter） CPU：中央处理器（CentralProcessingUnit） IP：网际互联协议（InternetProtocol） 5平台监测范围和对象 平台监测范围 平台的监测范围应涵盖下述网络区域，并以各市、县落地路由为责任边界。一般包含如下网络区域 （见附录A）： ——广域网：各级政务部门通过接入设备接入广域骨干网链路，实现互联互通的网络； ——城域网：同级政务部门通过接入设备接入城域网链路，实现互联互通的网络； ——政务云平台区：包含互联网区数据中心和公用网络区数据中心，区域内两个数据中心通过安 全隔离与信息交换系统实现逻辑隔离； ——互联网区数据中心：是政务部门安全接入、开展社会化服务的网络区域，满足政务部门利用 互联网开展公共服务、社会管理、经济调节和市场监管的电子政务业务需要； ——公用网络区数据中心：是各部门、各地区互联互通的网络区域，为政务部门公共服务及开展 跨部门、跨地区的业务应用、协同和数据共享提供支撑平台； ——互联网出口区：同级政务部门实现统一互联网资源访问的逻辑功能区域； ——安管网管区：承担本级电子政务外网安全审计、网络监控、运维管理的逻辑功能区域； ——企业单位接入区：为需要访问电子政务外网业务的企业，提供指定访问权限的接入功能区域。 平台监测对象 监测的对象包括基础网络，以及部署在上述网络区域的政务云平台、政务应用和政务数据等信息技 术设施和资源。当电子政务外网的边界或结构发生变化时，应及时调整监测范围和平台设备的部署。 DB14/T2840—2023 56平台架构 平台技术架构 平台技术架构包括数据采集与预处理、数据存储、数据总线、数据分析、展示与应用、威胁情报、 平台安全管理等基本功能模块，如图1所示。 ——数据采集与预处理：根据平台的监测范围和监测对象确定数据采集范围、采集对象和采集方 式，并对采集的数据进行解析预处理，以供进一步深度关联分析； ——数据存储：对平台中不同类型和结构的安全数据进行存储； ——数据总线：实现平台中数据采集、存储、分析、展示与应用等各模块之间，以及与第三方平 台之间数据共享和交换； ——数据分析：通过特征码匹配、关联分析、机器学习等数据分析技术识别网络攻击行为，分析 风险态势； ——展示与应用：根据决策者、管理人员和运维人员不同的需求和关注重点，进行多维度的态势 展示，并且支持预警通报和应急处置； ——威胁情报：为数据分析和事件处置提供决策支持信息，实现威胁情报数据组织、生成、使用 和共享交换； ——平台安全管理：包括平台的用户管理、配置管理、运行监控、安全审计等，为平台其他功能 模块提供集中管控机制。 图1平台技术架构图 平台部署架构 6.2.1平台部署要求 平台的部署采用省、市、县三级架构，如图2所示，省级和市级单独建设平台，具备完整的数据采 集与预处理、数据存储、数据总线、数据分析、展示与应用、威胁情报、平台安全管理等功能，省级和 市级平台按照本级安全监测需求建设专项监测。县级按照实际需求可不单独建设平台，应按需部署监测 探针（见附录B）或者监测系统。需要进行级联对接的上级平台和下级平台通过数据总线结构（见附录 C）实现总体态势、告警日志、认证、报表等数据的级联对接。 DB14/T2840—2023 6与网络安全等级保护工作相衔接，平台应满足等级保护三级要求、国家密码安全管理要求，同时适 用本文安全监测要求。 图2平台部署架构图 省级平台部署 省级平台应部署在带外管理网中，主要对市级广域网接入、城域网接入、政务云平台区、省属企业 省直单位区等区域进行流量、日志等维度信息的数据采集处理。 市级平台部署 市级平台应部署在带外管理网中，主要对县级广域网接入、城域网接入、政务云平台区、市属企业 市直单位等区