DB34-T 4282-2022电子政务外网安全监测平台技术规范

1、ICS35.020CCSICS35.020CCSL 67安徽省地方标准DB34/T42822022电子政务外网安全监测平台技术规范Specification for the security monitoring platform technology of e-government network20222022083120220930安徽省市场监督管理局发 布前言本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由安徽省大数据中心提出。本文件由安徽省数据资源管理局

2、归口。电子政务外网安全监测平台技术规范范围本文件规定了电子政务外网安全监测平台的基本要求、平台架构和平台功能。本文件适用于电子政务外网安全监测平台的建设。（GB/T 22239 信息安全技术 网络安全等级保护基本要求GB/T 25069 信息安全技术 术语GB/T 25069 界定的以及下列术语和定义适用于本文件。电子政务外网安全监测平台 extranet security monitoring platform for e-government多元数据 multivariate data流量数据、日志数据、资产数据、威胁情报的总称。威胁情报 threat intelligence收集、评估和

3、应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。电子政务外网安全监测平台基本要求包括但不限于：IT 平台架构见图1。多元数据采集子系统多元数据采集子系统安全威胁异构检测子系统综合业务审计子系统安全大数据中心威胁情报子系统网络安全监测管理子系统数据协同对接子系统图1图1电子务网全测台架图平台部署图平台部署示例见图2。图2平台署意图6 平台功能6 平台功能 6.1.1 检测范围所示。图3电子务网全测台监范围广域网政务部门实现上下互联互通的网络，政务网络通过接入设备接入广域骨干网链路。监测内容如下：城域网同级政务部门实现互联互通的网络，各政务部门通过接入设备接入城域网链路。

4、监测内容如下：局域网6.1.5 政务云包括互联网区和外网公用区。监测内容包含网络边界流量、云主机审计日志和虚拟网络设备日志。多元数据采集6.1.5 政务云包括互联网区和外网公用区。监测内容包含网络边界流量、云主机审计日志和虚拟网络设备日志。多元数据采集应符合 GB/T 22239/ 应支持通过流量采集系统、标准协议、API接口、手动导入、扫描、第三方导入等不同的方式采集流量、日志、资产信息、威胁情报等信息。安全威胁异构检测6.3.1 已知威胁检测6.3.2 未知威胁检测 应具备行为审计功能，审计覆盖到每个用户，对重要的用户行为进行审计，以便于开展责任认定。应具备事件审计功能，对监测范围内发生的关键事件进行审计，以便于开展事件溯源。审计记录应采用密码技术保证重要数据在存储过程中的完整性，留存时间应不少于 6 个月。 安全数据主题库安全数据主题库安全数据总线应具备数据总线，数据总线应包含内部数据交换接口、数据采集接口、平台级联接口和外部接口。网络安全监测管理6.8.4 平台管理 生成应支持在本地对威