DB3305_T 245-2022 数字法院风险预警系统建设与应用规范.docx
《DB3305_T 245-2022 数字法院风险预警系统建设与应用规范.docx》由会员分享,可在线阅读,更多相关《DB3305_T 245-2022 数字法院风险预警系统建设与应用规范.docx(18页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS35.240.01CCSA91DB3305浙江省湖州市地方标准DB3305/T2452022数字法院风险预警系统建设与应用规范2022-11-25发布2022-11-28实施湖州市市场监督管理局发布DB3305/T2452022目次前言.II1范围.12规范性引用文件.13术语和定义.14总体要求.15系统架构.26系统性能要求.27数据处理层建设.28服务层建设.39应用层建设.410系统应用.11IDB3305/T2452022前言本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由浙江省湖州市中级人民法院提出和归口管理。本文件主要起
2、草单位:湖州市南浔区人民法院、浙江省湖州市中级人民法院、浙江省标准化研究院。本文件主要起草人:孟振华、周平、江利良、俞梦潇、王莹、叶凯。IIDB3305/T2452022数字法院风险预警系统建设与应用规范1范围本文件规定了数字法院风险预警系统建设与应用的总体要求、系统架构、系统性能要求、数据处理层建设、服务层建设、应用层建设、系统应用。本文件适用于数字法院信息系统的监测报警子系统的建设与应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/
3、T22239-2019信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T40652信息安全技术恶意软件事件预防和处理指南3术语和定义GB/T25069和GB/T40652界定的术语和定义适用于本文件。4总体要求4.1数字法院风险预警系统的安全保护等级应符合GB/T22239-2019规定的第三级安全要求。4.2应建立网络被攻击次数、有害程序事件数、终端漏洞数、服务器漏洞数、安全设备运行状态、网络防护能力、主机/终端防护能力、应用防护能力、数据防护能力等安全巡检能力,不断优化完善安全风险评估、关键指标监控分析、安全策略、安全加固措施并实施风险监测,提高数字法院信息安全
4、质效。4.3应建立综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等展示场景,汇聚相关数据,通过可视化手段以图表的形式集成展示安全态势,呈现数字法院风险预警分析的实时结果。4.4对于新系统、新功能的上线,在系统验收时应充分评估安全风险、进行安全检测、做好上线前的突发应急处置措施,确保系统上线后安全运行。5系统架构1数据服务接口总线运维管理基础管理安全控制数据存储数据存算数据计算数据接入DB3305/T2452022数字法院领导架势舱展示层综合态势大数据智能情报安全运营攻击链回溯应急指导网应用层监测分析资产管理风险监测业务协同通告预警检查督办运营管理数据采集组件管理络事件案例考核评估日志
5、检索运安全营服相数据分析平台级联系统配置务关政策规范服务层数据处理层保障体系平台层网络服务器存储云平台操作系统数据库中间件监管对象人民法院内外网下级单位网络、安全设备系统平台网络流量云端数据情报数据日志数据图1数字法院风险预警系统参考架构5.1系统主要由监管对象、平台层、数据处理层、服务层、应用层、展示层、网络安全相关政策规范及运营服务保障体系组成,系统架构参见图1。5.2监管对象包括人民法院内外网、下级单位系统平台、网络流量、云端数据、情报数据、日志数据和网络、安全设备。5.3平台层由服务器、存储、网络、云平台、操作系统、数据库、中间件等IT基础设施组成。5.4数据处理层将安全监测数据进行汇
6、聚,采集数据主要包括日志和流量,主要数据采集点包括市级、区县本级节点、政务云出口、下级单位。5.5服务层将业务计算任务发送至数据处理层,根据不同的业务场景针对数据进行分析。5.6应用层将各大子系统与模块从业务功能视角划分为监测分析、业务协同、运营管理:a)监测分析包括资产管理、安全监测、事件案例、数据分析子系统;b)业务协同包括信息通报预警、检查督办、考核评估、平台级联子系统;c)运营管理包括数据采集、组件管理、日志检索、系统配置子系统。5.7展示层提供数据可视化分析和流程跟踪,包括综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等业务可视化大屏。5.8网络安全相关政策规范保障平台对接
7、过程中数据采集、事件上报、通报下发、下级平台数据上报等的数据信息和流程的标准化、规范化。2DB3305/T24520225.9运营服务保障体系是平台稳定的基础要求,建立有组织的运营服务保障体系,能够安全监管平台的使用效果。6系统性能要求数字法院风险预警系统性能应满足:a)提交事务平均响应时间不超过1.5s;b)用户查询响应时间不高于5s;c)具备每分钟百万条以上数据的分析能力;d)系统年运行可用率不低于99.99%。7数据处理层建设7.1数据接入具备将内外部数据导入至大数据平台的功能,包括流式数据接入、批量数据接入两大主要方式,支持结构化数据、半结构化数据、非结构化数据等多种数据类型。7.2数
8、据存储支持多种存储结构,最终形成数据仓库及全文索引。数据存储过程包括不限于:格式转换、数据清洗、数据补全、数据标识。7.3数据计算具备对已保存至平台内数据的计算功能,并提供相应的计算调用接口,能够满足外部分析系统的调用。7.4运维管理为大数据平台提供统一部署、统一调度、统一运维、统一参数配置功能。7.5安全控制从用户、数据、通信等角度为大数据平台提供完整的安全防护,包括行为审计、数据自身安全、认证授权、操作系统安全、网络安全、技术设施安全等其他方面。8服务层建设8.1服务层基于数据服务接口总线提供内部接口与资源调用,数据服务接口总线集成模式如图2所示。8.2服务总线是一种体系结构模式,在总线模
9、式中,服务交互的参与方并不直接交互,而是通过一个总线交互,该总线提供虚拟化和管理功能来实现和扩展SOA的核心定义。8.3应用程序逻辑可以使用各种编程模型和技术调用或交付服务,而无需考虑是直接连接还是通过总线传递的。8.4应用组件和应用功能可根据各类用户需要,按照统一的规范包装成restful服务注册到总线上,由服务总线统一管理,统一编排,统一提供外部服务。3DB3305/T2452022应用系统中间件外部服务请求交互路由映射安全外部服务内部服务其他注册服务图2数据服务接口总线集成模式图9应用层建设9.1监测分析9.1.1资产管理9.1.1.1支持通过主动探测、流量分析、人工报送、数据导入等手段
10、汇聚网络资产,并通过统一的资产数据模型将多源异构的数据进行融合,形成以系统、网站、计算设备、软件、服务、机房、云平台为主体的网络资产库,建立关键资产、所属单位、运营人员之间的联系,形成统一资产库。9.1.1.2针对核心关键资产,提供相关运营手段,自动或半自动对资产变动进行维护,并整合资产脆弱性、关联的网络安全事件对系统、网站、单位进行全面风险分析。资产管理支撑其他业务资产概况安全监测告警富化数据分析资产定位流量发现资产管理人工录入软件资产设备资产重保指挥重保资产考核评估资产指标资产发现IDC机房IP资产下级平台上报单位组织通告预警检查督办第三方对接责任归属事件案例资产检查态势呈现一键搜索目标分
11、析资产统计、告警资产定位图3资产管理数据流程图9.1.1.3资产管理数据来源包括流量发现、人工录入、下级平台上报、第三方对接四类:4DB3305/T2452022a)流量发现:通过数据采集中接入的原始流量,提取原始流量中的IP、端口,与归档资产库中的已有资产进行对比,如果不存在则认为是新发现资产,经过人工运营确认后进行归档,最终进入资产库;b)人工录入:运营人员通过平台添加以及excel导入的方式进行资产的更新维护;c)下级平台上报:下级平台通过平台级联规范进行网络资产上报,上级平台进行校验后进行资产融合;d)第三方对接:平台支持对接第三方资产扫描器,通过数据采集模块进行对接后,与平台资产进行
12、融合。9.1.1.4网络资产在资产发现中进行运营归档后形成资产库,集中在资产管理模块中进行管理维护,主要分为单位组织、设备资产、软件资产、IP资产、idc机房信息等。其中单位组织、设备资产、软件资产、IP资产将作为平台的基础数据用于支撑其他业务子系统的相关业务。9.1.1.5资产概况将从资产的各个维度如资产类型、来源、所属单位等进行统计分析。9.1.1.6一键搜索将通过关键词快速匹配新发现与已归档的网络资产。9.1.1.7资产管理经过运营后形成的资产库将为其他业务子系统做业务支撑。9.1.2风险监测9.1.2.1应支持通过流量传感器、网站监测、第三方告警接入等方式发现的告警,通过归并、过滤、富
13、化、分析、人工判断等处理转化为标准分类及数据格式的告警,并提供包括基本信息、规则信息、威胁行为、原始告警、资产信息告警详情信息。针对不同类型对告警基本信息进行差异化展示,有效传递给用户,并发出提醒警示信息。安全监测支撑其他业务资源对象监测规则监测概况告警管理资产管理资产风险评分重保指挥数据分析关联分析考核评估探针原始告警专项监测告警指标过滤筛选人工录入告警列表通告预警安全事件分析、监测报告检查督办安全检查云监测接入第三方对接归并策略字段映射、资产富化白名单管理告警回收站事件案例安全事件态势呈现安全态势、攻击态势等日志检索原始告警搜索图4安全监测数据流程图9.1.2.2风险监测告警数据来源主要包
14、括探针原始告警、云监测接入、第三方对接这三种方式,统一通过数据采集子系统进行数据接入,并支持人工在web界面上手动添加告警。9.1.2.3多种来源的告警信息首先经过监测规则进行数据过滤。过滤规则可在页面上进行配置,支持多种条件组合。经过数据过滤后的告警会通过数据归并策略进行告警归并,将多条告警归并成一条告警,之后结合网络资产库进行告警数据富化,明确告警受影响的网络资产,涉事单位,明确责任人等。注:监测规则可直接引用资源对象中的条件池,比如白名单池。9.1.2.4通过监测规则形成的告警最终会进入告警列表中,经研判分析及人工运营确认后,告警会形成安全事件。运营人员可结合用户的实际业务对告警进行白名
15、单设置,比如内网中自身扫描器的扫描行为告警,针对误报的告警可进行删除至回收站,针对误删的数据同样可从回收站中恢复数据。9.1.2.5监测概况以告警数据作为分析源,进行告警的各维度分析,比如告警的级别、攻击结果、告警来源,事件等级等。5DB3305/T24520229.1.3数据分析应提供对告警的攻击链分析、专项分析、行为分析、关联分析,作为实时监测分析的补充,保障运营安全:a)攻击链分析:数据源来自安全告警和网络资产,通过系统自动识别加人工运营的方式针对特定攻击事件进行改攻击事件所关联的所有告警进行攻击阶段、攻击手段、攻击结果进行举证分析。根据攻击的特征最终将同一组源IP相关的告警归类到侦查、
16、入侵、命令控制、横向渗透、数据外泄、痕迹清理六个阶段中;b)专项分析:数据源来自探针原始流量结合网络资产提供账号安全、邮件安全相关的专项安全场景分析;c)行为分析:数据源来自探针原始流量结合网络资产提供黑客渗透攻击惯用手段的场景分析;d)关联分析:利用流量、告警、网络资产,基于本体论的思想,提取关键实体并构建实体之间的关系网络,为网络攻击事件溯源提供支撑。9.1.4事件案例9.1.4.1告警经人工运营确认为安全事件后,经通告预警处置形成事件案例,并支持人工录入。9.1.4.2事件案例对事件数据进行维护,包括安全事件的基本信息、事件来源、事件的影响范围、研判结论、处置建议。9.1.4.3平台应支
17、持形成事件案例库,作为后续出现同类安全告警的分析研判、处置闭环管理的经验库。事件案例事件管理事件研判通告预警支撑其他业务基本信息通告后事件安全监测告警研判依据事件来源处置建议人工录入影响范围研判结论图5事件案例数据流程图9.2业务协同9.2.1通告预警6通告预警DB3305/T2452022支撑其他业务事件配置日常通报资产管理资产风险评分安全事件筛选规则安全事件分析涉事单位通告反馈安全监测分析过滤条件单位安全事件统计创建工单、下发(通告、预警)反馈验证接收工单(通告、预警)态势呈现安全事件事件有效设置分析研判生成通报文件归档处置反馈通告工作成果相关统计确认方式设置明确归属选择通告类型处置反馈专
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3305_T 245-2022 数字法院风险预警系统建设与应用规范 245 2022 数字 法院 风险 预警系统 建设 应用 规范
限制150内