DB3305∕T 245-2022 数字法院风险预警系统建设与应用规范(湖州市).pdf
《DB3305∕T 245-2022 数字法院风险预警系统建设与应用规范(湖州市).pdf》由会员分享,可在线阅读,更多相关《DB3305∕T 245-2022 数字法院风险预警系统建设与应用规范(湖州市).pdf(17页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS 35.240.01 CCS A 91 DB3305 浙江省湖州市地方标准 DB 3305/T 2452022 数字法院风险预警系统建设与应用规范 2022-11-25 发布 2022-11-28 实施 湖州市市场监督管理局 发 布 DB3305/T 2452022 I 目 次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 总体要求.1 5 系统架构.2 6 系统性能要求.2 7 数据处理层建设.2 8 服务层建设.3 9 应用层建设.4 10 系统应用.11 DB3305/T 2452022 II 前 言 本文件按照GB/T 1.12020标准化工作导则 第
2、1部分:标准化文件的结构和起草规则的规定起草。本文件由浙江省湖州市中级人民法院提出和归口管理。本文件主要起草单位:湖州市南浔区人民法院、浙江省湖州市中级人民法院、浙江省标准化研究院。本文件主要起草人:孟振华、周平、江利良、俞梦潇、王莹、叶凯。DB3305/T 2452022 1 数字法院风险预警系统建设与应用规范 1 范围 本文件规定了数字法院风险预警系统建设与应用的总体要求、系统架构、系统性能要求、数据处理层建设、服务层建设、应用层建设、系统应用。本文件适用于数字法院信息系统的监测报警子系统的建设与应用。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中,
3、注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239-2019 信息安全技术网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 40652 信息安全技术 恶意软件事件预防和处理指南 3 术语和定义 GB/T 25069和GB/T 40652界定的术语和定义适用于本文件。4 总体要求 4.1 数字法院风险预警系统的安全保护等级应符合 GB/T 22239-2019 规定的第三级安全要求。4.2 应建立网络被攻击次数、有害程序事件数、终端漏洞数、服务器漏洞数、安全设备运行状态、网络防护能力、
4、主机/终端防护能力、应用防护能力、数据防护能力等安全巡检能力,不断优化完善安全风险评估、关键指标监控分析、安全策略、安全加固措施并实施风险监测,提高数字法院信息安全质效。4.3 应建立综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等展示场景,汇聚相关数据,通过可视化手段以图表的形式集成展示安全态势,呈现数字法院风险预警分析的实时结果。4.4 对于新系统、新功能的上线,在系统验收时应充分评估安全风险、进行安全检测、做好上线前的突发应急处置措施,确保系统上线后安全运行。5 系统架构 DB3305/T 2452022 2 网网络络安安全全相相关关政政策策规规范范数据服务接口总线综合态势大数
5、据智能情报安全运营攻击链回溯应急指导数字法院领导架势舱数字法院领导架势舱通告预警检查督办考核评估平台级联业务协同业务协同数据采集组件管理日志检索系统配置运营管理运营管理监测分析监测分析资产管理风险监测事件案例数据分析基础管理基础管理运维管理安全控制数据存算数据存算数据存储数据计算数据接入网络服务器存储云平台操作系统数据库中间件网络、安全设备人民法院内外网下级单位系统平台网络流量云端数据情报数据日志数据展示层展示层应用层应用层服务层服务层数据数据 处理层处理层平台层平台层监管监管 对象对象运运营营服服务务保保障障体体系系 图1 数字法院风险预警系统参考架构 5.1 系统主要由监管对象、平台层、数
6、据处理层、服务层、应用层、展示层、网络安全相关政策规范及运营服务保障体系组成,系统架构参见图 1。5.2 监管对象包括人民法院内外网、下级单位系统平台、网络流量、云端数据、情报数据、日志数据和网络、安全设备。5.3 平台层由服务器、存储、网络、云平台、操作系统、数据库、中间件等 IT 基础设施组成。5.4 数据处理层将安全监测数据进行汇聚,采集数据主要包括日志和流量,主要数据采集点包括市级、区县本级节点、政务云出口、下级单位。5.5 服务层将业务计算任务发送至数据处理层,根据不同的业务场景针对数据进行分析。5.6 应用层将各大子系统与模块从业务功能视角划分为监测分析、业务协同、运营管理:a)监
7、测分析包括资产管理、安全监测、事件案例、数据分析子系统;b)业务协同包括信息通报预警、检查督办、考核评估、平台级联子系统;c)运营管理包括数据采集、组件管理、日志检索、系统配置子系统。5.7 展示层提供数据可视化分析和流程跟踪,包括综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等业务可视化大屏。5.8 网络安全相关政策规范保障平台对接过程中数据采集、事件上报、通报下发、下级平台数据上报等的数据信息和流程的标准化、规范化。DB3305/T 2452022 3 5.9 运营服务保障体系是平台稳定的基础要求,建立有组织的运营服务保障体系,能够安全监管平台的使用效果。6 系统性能要求 数字法
8、院风险预警系统性能应满足:a)提交事务平均响应时间不超过 1.5s;b)用户查询响应时间不高于 5s;c)具备每分钟百万条以上数据的分析能力;d)系统年运行可用率不低于 99.99%。7 数据处理层建设 7.1 数据接入 具备将内外部数据导入至大数据平台的功能,包括流式数据接入、批量数据接入两大主要方式,支持结构化数据、半结构化数据、非结构化数据等多种数据类型。7.2 数据存储 支持多种存储结构,最终形成数据仓库及全文索引。数据存储过程包括不限于:格式转换、数据清洗、数据补全、数据标识。7.3 数据计算 具备对已保存至平台内数据的计算功能,并提供相应的计算调用接口,能够满足外部分析系统的调用。
9、7.4 运维管理 为大数据平台提供统一部署、统一调度、统一运维、统一参数配置功能。7.5 安全控制 从用户、数据、通信等角度为大数据平台提供完整的安全防护,包括行为审计、数据自身安全、认证授权、操作系统安全、网络安全、技术设施安全等其他方面。8 服务层建设 8.1 服务层基于数据服务接口总线提供内部接口与资源调用,数据服务接口总线集成模式如图 2 所示。8.2 服务总线是一种体系结构模式,在总线模式中,服务交互的参与方并不直接交互,而是通过一个总线交互,该总线提供虚拟化和管理功能来实现和扩展 SOA 的核心定义。8.3 应用程序逻辑可以使用各种编程模型和技术调用或交付服务,而无需考虑是直接连接
10、还是通过总线传递的。8.4 应用组件和应用功能可根据各类用户需要,按照统一的规范包装成 restful 服务注册到总线上,由服务总线统一管理,统一编排,统一提供外部服务。DB3305/T 2452022 4 应用系统应用系统中间件外部服务请求 交互路由 映射安全外部服务内部服务其他注册服务中间件外部服务请求 交互路由 映射安全外部服务内部服务其他注册服务 图2 数据服务接口总线集成模式图 9 应用层建设 9.1 监测分析 9.1.1 资产管理 9.1.1.1 支持通过主动探测、流量分析、人工报送、数据导入等手段汇聚网络资产,并通过统一的资产数据模型将多源异构的数据进行融合,形成以系统、网站、计
11、算设备、软件、服务、机房、云平台为主体的网络资产库,建立关键资产、所属单位、运营人员之间的联系,形成统一资产库。9.1.1.2 针对核心关键资产,提供相关运营手段,自动或半自动对资产变动进行维护,并整合资产脆弱性、关联的网络安全事件对系统、网站、单位进行全面风险分析。支撑其他业务支撑其他业务资产管理资产管理资产概况一键搜索资产发现流量发现人工录入第三方对接资产管理资产管理单位组织设备资产软件资产IP资产IDC机房安全监测安全监测告警富化重保指挥重保指挥重保资产通告预警通告预警责任归属事件案例事件案例目标分析考核评估考核评估资产指标检查督办检查督办资产检查数据分析数据分析资产定位态势呈现态势呈现
12、资产统计、告警资产定位下级平台上报 图3 资产管理数据流程图 9.1.1.3 资产管理数据来源包括流量发现、人工录入、下级平台上报、第三方对接四类:DB3305/T 2452022 5 a)流量发现:通过数据采集中接入的原始流量,提取原始流量中的 IP、端口,与归档资产库中的已有资产进行对比,如果不存在则认为是新发现资产,经过人工运营确认后进行归档,最终进入资产库;b)人工录入:运营人员通过平台添加以及 excel 导入的方式进行资产的更新维护;c)下级平台上报:下级平台通过平台级联规范进行网络资产上报,上级平台进行校验后进行资产融合;d)第三方对接:平台支持对接第三方资产扫描器,通过数据采集
13、模块进行对接后,与平台资产进行融合。9.1.1.4 网络资产在资产发现中进行运营归档后形成资产库,集中在资产管理模块中进行管理维护,主要分为单位组织、设备资产、软件资产、IP 资产、idc 机房信息等。其中单位组织、设备资产、软件资产、IP 资产将作为平台的基础数据用于支撑其他业务子系统的相关业务。9.1.1.5 资产概况将从资产的各个维度如资产类型、来源、所属单位等进行统计分析。9.1.1.6 一键搜索将通过关键词快速匹配新发现与已归档的网络资产。9.1.1.7 资产管理经过运营后形成的资产库将为其他业务子系统做业务支撑。9.1.2 风险监测 9.1.2.1 应支持通过流量传感器、网站监测、
14、第三方告警接入等方式发现的告警,通过归并、过滤、富化、分析、人工判断等处理转化为标准分类及数据格式的告警,并提供包括基本信息、规则信息、威胁行为、原始告警、资产信息告警详情信息。针对不同类型对告警基本信息进行差异化展示,有效传递给用户,并发出提醒警示信息。安全监测安全监测监测规则监测规则过滤筛选归并策略字段映射、资产富化告警管理告警管理告警列表白名单管理告警回收站监测概况资源对象支撑其他业务支撑其他业务探针原始告警人工录入第三方对接云监测接入资产管理资产管理资产风险评分重保指挥重保指挥专项监测通告预警通告预警安全事件分析、监测报告事件案例事件案例安全事件考核评估考核评估告警指标检查督办检查督办
15、安全检查数据分析数据分析关联分析态势呈现态势呈现安全态势、攻击态势等日志检索日志检索原始告警搜索 图4 安全监测数据流程图 9.1.2.2 风险监测告警数据来源主要包括探针原始告警、云监测接入、第三方对接这三种方式,统一通过数据采集子系统进行数据接入,并支持人工在 web 界面上手动添加告警。9.1.2.3 多种来源的告警信息首先经过监测规则进行数据过滤。过滤规则可在页面上进行配置,支持多种条件组合。经过数据过滤后的告警会通过数据归并策略进行告警归并,将多条告警归并成一条告警,之后结合网络资产库进行告警数据富化,明确告警受影响的网络资产,涉事单位,明确责任人等。注:监测规则可直接引用资源对象中
16、的条件池,比如白名单池。9.1.2.4 通过监测规则形成的告警最终会进入告警列表中,经研判分析及人工运营确认后,告警会形成安全事件。运营人员可结合用户的实际业务对告警进行白名单设置,比如内网中自身扫描器的扫描行为告警,针对误报的告警可进行删除至回收站,针对误删的数据同样可从回收站中恢复数据。9.1.2.5 监测概况以告警数据作为分析源,进行告警的各维度分析,比如告警的级别、攻击结果、告警来源,事件等级等。DB3305/T 2452022 6 9.1.3 数据分析 应提供对告警的攻击链分析、专项分析、行为分析、关联分析,作为实时监测分析的补充,保障运营安全:a)攻击链分析:数据源来自安全告警和网
17、络资产,通过系统自动识别加人工运营的方式针对特定攻击事件进行改攻击事件所关联的所有告警进行攻击阶段、攻击手段、攻击结果进行举证分析。根据攻击的特征最终将同一组源 IP 相关的告警归类到侦查、入侵、命令控制、横向渗透、数据外泄、痕迹清理六个阶段中;b)专项分析:数据源来自探针原始流量结合网络资产提供账号安全、邮件安全相关的专项安全场景分析;c)行为分析:数据源来自探针原始流量结合网络资产提供黑客渗透攻击惯用手段的场景分析;d)关联分析:利用流量、告警、网络资产,基于本体论的思想,提取关键实体并构建实体之间的关系网络,为网络攻击事件溯源提供支撑。9.1.4 事件案例 9.1.4.1 告警经人工运营
18、确认为安全事件后,经通告预警处置形成事件案例,并支持人工录入。9.1.4.2 事件案例对事件数据进行维护,包括安全事件的基本信息、事件来源、事件的影响范围、研判结论、处置建议。9.1.4.3 平台应支持形成事件案例库,作为后续出现同类安全告警的分析研判、处置闭环管理的经验库。事件案例事件案例事件研判事件研判基本信息事件来源影响范围事件管理人工录入研判结论处置建议通告预警通告预警通告后事件支撑其他业务支撑其他业务安全监测安全监测告警研判依据 图5 事件案例数据流程图 9.2 业务协同 9.2.1 通告预警 DB3305/T 2452022 7 安全监测安全监测通告预警通告预警安全事件分析安全事件
19、分析单位安全事件统计日常通报事件配置支撑其他业务支撑其他业务安全事件分析研判明确归属选择通告类型生成通报文件创建工单、下发(通告、预警)周期配置综合报告综合报告安全事件筛选规则安全事件筛选规则分析过滤条件事件有效设置确认方式设置涉事单位通告反馈涉事单位通告反馈接收工单(通告、预警)处置反馈处置反馈反馈验证归档专项通告专项通告创建专项通告下发专项通告资产管理资产管理资产风险评分考核评估考核评估通告相关指标态势呈现态势呈现通告工作成果相关统计平台级联平台级联通告指令 图6 通告预警数据流程图 9.2.1.1 通告预警的数据来自安全监测,并通过机器确认或者人工确认后形成的安全事件数据。在通告预警子系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3305T 245-2022 数字法院风险预警系统建设与应用规范湖州市 DB3305 245 2022 数字 法院 风险 预警系统 建设 应用 规范 湖州市
限制150内