数字法院风险预警系统建设与应用规范

数字法院风险预警系统建设与应用规范范围本文件规定了数字法院风险预警系统建设与应用的总体要求、系统架构、系统性能要求、数据处理层建设、服务层建设、应用层建设、系统应用。本文件适用于数字法院信息系统的监测报警子系统的建设与应用。规范性引用文件下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239—2019信息安全技术—网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T40652信息安全技术恶意软件事件预防和处理指南术语和定义GB/T25069和GB/T40652界定的术语和定义适用于本文件。总体要求数字法院风险预警系统的安全保护等级应符合GB/T22239—2019规定的第三级安全要求。应建立网络被攻击次数、有害程序事件数、终端漏洞数、服务器漏洞数、安全设备运行状态、网络防护能力、主机/终端防护能力、应用防护能力、数据防护能力等安全巡检能力，不断优化完善安全风险评估、关键指标监控分析、安全策略、安全加固措施并实施风险监测，提高数字法院信息安全质效。应建立综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等展示场景，汇聚相关数据，通过可视化手段以图表的形式集成展示安全态势，呈现数字法院风险预警分析的实时结果。对于新系统、新功能的上线，在系统验收时应充分评估安全风险、进行安全检测、做好上线前的突发应急处置措施，确保系统上线后安全运行。系统架构数字法院风险预警系统参考架构系统主要由监管对象、平台层、数据处理层、服务层、应用层、展示层、网络安全相关政策规范及运营服务保障体系组成，系统架构参见图1。监管对象包括人民法院内外网、下级单位系统平台、网络流量、云端数据、情报数据、日志数据和网络、安全设备。平台层由服务器、存储、网络、云平台、操作系统、数据库、中间件等IT基础设施组成。数据处理层将安全监测数据进行汇聚，采集数据主要包括日志和流量，主要数据采集点包括市级、区县本级节点、政务云出口、下级单位。服务层将业务计算任务发送至数据处理层，根据不同的业务场景针对数据进行分析。应用层将各大子系统与模块从业务功能视角划分为监测分析、业务协同、运营管理：监测分析包括资产管理、安全监测、事件案例、数据分析子系统；业务协同包括信息通报预警、检查督办、考核评估、平台级联子系统；运营管理包括数据采集、组件管理、日志检索、系统配置子系统。展示层提供数据可视化分析和流程跟踪，包括综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等业务可视化大屏。网络安全相关政策规范保障平台对接过程中数据采集、事件上报、通报下发、下级平台数据上报等的数据信息和流程的标准化、规范化。运营服务保障体系是平台稳定的基础要求，建立有组织的运营服务保障体系，能够安全监管平台的使用效果。系统性能要求数字法院风险预警系统性能应满足：提交事务平均响应时间不超过1.5s；用户查询响应时间不高于5s；具备每分钟百万条以上数据的分析能力；系统年运行可用率不低于99.99%。数据处理层建设数据接入具备将内外部数据导入至大数据平台的功能，包括流式数据接入、批量数据接入两大主要方式，支持结构化数据、半结构化数据、非结构化数据等多种数据类型。数据存储支持多种存储结构，最终形成数据仓库及全文索引。数据存储过程包括不限于：格式转换、数据清洗、数据补全、数据标识。数据计算具备对已保存至平台内数据的计算功能，并提供相应的计算调用接口，能够满足外部分析系统的调用。运维管理为大数据平台提供统一部署、统一调度、统一运维、统一参数配置功能。安全控制从用户、数据、通信等角度为大数据平台提供完整的安全防护，包括行为审计、数据自身安全、认证授权、操作系统安全、网络安全、技术设施安全等其他方面。服务层建设服务层基于数据服务接口总线提供内部接口与资源调用，数据服务接口总线集成模式如图2所示。服务总线是一种体系结构模式，在总线模式中，服务交互的参与方并不直接交互，而是通过一个总线交互，该总线提供虚拟化和管理功能来实现和扩展SOA的核心定义。应用程序逻辑可以使用各种编程模型和技术调用或交付服务，而无需考虑是直接连接还是通过总线传递的。应用组件和应用功能可根据各类用户需要，按照统一的规范包装成restful服务注册到总线上，由服务总线统一管理，统一编排，统一提供外部服务。数据服务接口总线集成模式图应用层建设监测分析资产管理支持通过主动探测、流量分析、人工报送、数据导入等手段汇聚网络资产，并通过统一的资产数据模型将多源异构的数据进行融合，形成以系统、网站、计算设备、软件、服务、机房、云平台为主体的网络资产库，建立关键资产、所属单位、运营人员之间的联系，形成统一资产库。针对核心关键资产，提供相关运营手段，自动或半自动对资产变动进行维护，并整合资产脆弱性、关联的网络安全事件对系统、网站、单位进行全面风险分析。资产管理数据流程图资产管理数据来源包括流量发现、人工录入、下级平台上报、第三方对接四类：流量发现：通过数据采集中接入的原始流量，提取原始流量中的IP、端口，与归档资产库中的已有资产进行对比，如果不存在则认为是新发现资产，经过人工运营确认后进行归档，最终进入资产库；人工录入：运营人员通过平台添加以及excel导入的方式进行资产的更新维护；下级平台上报：下级平台通过平台级联规范进行网络资产上报，上级平台进行校验后进行资产融合；第三方对接：平台支持对接第三方资产扫描器，通过数据采集模块进行对接后，与平台资产进行融合。网络资产在资产发现中进行运营归档后形成资产库，集中在资产管理模块中进行管理维护，主要分为单位组织、设备资产、软件资产、IP资产、idc机房信息等。其中单位组织、设备资产、软件资产、IP资产将作为平台的基础数据用于支撑其他业务子系统的相关业务。资产概况将从资产的各个维度如资产类型、来源、所属单位等进行统计分析。一键搜索将通过关键词快速匹配新发现与已归档的网络资产。资产管理经过运营后形成的资产库将为其他业务子系统做业务支撑。风险监测应支持通过流量传感器、网站监测、第三方告警接入等方式发现的告警，通过归并、过滤、富化、分析、人工判断等处理转化为标准分类及数据格式的告警，并提供包括基本信息、规则信息、威胁行为、原始告警、资产信息告警详情信息。针对不同类型对告警基本信息进行差异化展示，有效传递给用户，并发出提醒警示信息。安全监测数据流程图风险监测告警数据来源主要包括探针原始告警、云监测接入、第三方对接这三种方式，统一通过数据采集子系统进行数据接入，并支持人工在web界面上手动添加告警。多种来源的告警信息首先经过监测规则进行数据过滤。过滤规则可在页面上进行配置，支持多种条件组合。经过数据过滤后的告警会通过数据归并策略进行告警归并，将多条告警归并成一条告警，之后结合网络资产库进行告警数据富化，明确告警受影响的网络资产，涉事单位，明确责任人等。注：监测规则可直接引用资源对象中的条件池，比如白名单池。通过监测规则形成的告警最终会进入告警列表中，经研判分析及人工运营确认后，告警会形成安全事件。运营人员可结合用户的实际业务对告警进行白名单设置，比如内网中自身扫描器的扫描行为告警，针对误报的告警可进行删除至回收站，针对误删的数据同样可从回收站中恢复数据。监测概况以告警数据作为分析源，进行告警的各维度分析，比如告警的级别、攻击结果、告警来源，事件等级等。数据分析应提供对告警的攻击链分析、专项分析、行为分析、关联分析，作为实时监测分析的补充，保障运营安全：攻击链分析：数据源来自安全告警和网络资产，通过系统自动识别加人工运营的方式针对特定攻击事件进行改攻击事件所关联的所有告警进行攻击阶段、攻击手段、攻击结果进行举证分析。根据攻击的特征最终将同一组源IP相关的告警归类到侦查、入侵、命令控制、横向渗透、数据外泄、痕迹清理六个阶段中；专项分析：数据源来自探针原始流量结合网络资产提供账号安全、邮件安全相关的专项安全场景分析；行为分析：数据源来自探针原始流量结合网络资产提供黑客渗透攻击惯用手段的场景分析；关联分析：利用流量、告警、网络资产，基于本体论的思想，提取关键实体并构建实体之间的关系网络，为网络攻击事件溯源提供支撑。事件案例告警经人工运营确认为安全事件后，经通告预警处置形成事件案例，并支持人工录入。事件案例对事件数据进行维护，包括安全事件的基本信息、事件来源、事件的影响范围、研判结论、处置建议。平台应支持形成事件案例库，作为后续出现同类安全告警的分析研判、处置闭环管理的经验库。事件案例数据流程图业务协同通告预警通告预警数据流程图通告预警的数据来自安全监测，并通过机器确认或者人工确认后形成的安全事件数据。在通告预警子系统中首先通过安全事件筛选规则进行过滤，包括分析条件过滤、事件有效性过滤、确认方式过滤（人工确认、机器确认）。安全事件的分析、工单处置在日常通报模块中进行全流程管理，主要包括以下步骤：以单位维度归类统计每个单位涉及的安全事件数量，运营人员以单位维度进行安全分析，分析该单位下的哪些安全事件需要进行通告；分析研判，分析人员通过查看该单位下的安全事件详情以及相关的原始告警信息，判断是否需要将此事件作为通告依据；明确归属，分析人员需要确认该涉事单位是否有相关责任人，如果没有应在资产管理中补充完整；运营人员可根据事件的类型、级别选择相应的通告类型，包括隐患告知、限期整改；系统根据运营人员选择的需要通告的安全事件自动生成通报相关的文档，如安全监测报告、隐患通知书、限期整改通知书，反馈模板等；用于确认下发后，通告工单下发至涉事单位，主要以单位账号和移动APP方式两种方式发送给涉事单位；涉事单位接收到工单后，对安全事件进行处置、反馈；安全主管单位接收到涉事单位针对工单的反馈后进行处置验证后进行归档，最终完成安全事件的业务闭环。结果数据作为综合报告的数据源。综合报告的生成规则由周期配置功能进行配置，包括周报、月报、季报、年报生成的周期配置。网络安全预警针对重要单位、行业按照国标（蓝色、黄色、橙色、红色）进行网络安全风险或隐患进行预警；网络安全通报针对系统监测出的重点威胁进行分析研判后，按照表1网络安全事件的一般、较大、重大、特大分类定性要求，生成对应专项通告发送给相关涉事单位，并设定整改期限，实现在线业务闭环。表1网络安全事件定性要求事件定义事件级别判定依据网络安全事件是指突然发生的，由网络攻击、网络入侵、恶意程序等导致的，造成或可能造成社会危害、损害法院业务的网络中断（拥塞）、系统瘫痪（异常）、数据泄露（丢失）、病毒传播等事件特别重大网络安全事件(I级)符合下列情形之一的，为特别重大网络安全事件：①关键信息基础设施以及其他重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力；②中级人民法院秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对中级人民法院网络安全和业务稳定构成特别严重威胁；③其他对中级人民法院网络安全构成特别严重威胁、造成特别严重影响的网络安全事件，如：运维周期内运维人员存在利用法院网络、设备从事危害网络安全或违反网络安全保密管理规定造成失泄密的情形；重大网络安全事件(II级)符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：①关键信息基础设施以及其他重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响；②中级人民法院秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对中级人民法院网络安全和业务稳定构成严重威胁；③其他对中级人民法院网络安全构成严重威胁、造成严重影响的网络安全事件。较大网络安全事件(III级)符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：①关键信息基础设施及其他重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响；②中级人民法院秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对中级人民法院网络安全和业务稳定构成较严重威胁；③其他对中级人民法院网络安全构成较严重威胁、造成较严重影响的网络安全事件。一般网络安全事件(IV级)除上述情形外，对中级人民法院网络安全构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。如：信息系统、网站、计算机终端被攻击，单个用户受到影响，导致用户无法执行工作任务。检查督办检查督办主要用于专项网络安全检查任务的下发跟踪（如弱密码专项检查任务、安全加固检查等），数据源主要来自客户贴合自身业务指令检查表。检查督办数据流程图检查任务管理用于对监测任务创建、下发、审核等过程进行数据管理，主要包括：检查目标设置，指定被检查单位、设置检查任务时限等；检查内容制定，上传检查表；下发检查任务；当被检查单位反馈检查任务后，检查单位应对任务进行审核，审核检查反馈数据是否符合要求，不符合检查规范的可进行打回操作，当反向任务超时未反馈的情况可进行催办操作。安全检查任务（被检查单位），主要用于被检查单位对检查任务进行反馈操作。任务概览的统计数据来自检查任务数据，如任务填报率排名、催办单位排名等。考核评估考核评估包括考核指标管理、考核任务统计分析、考核任务管理、考核评分管理四个模块。考核评估数据流程图考核指标库通过考核指标管理模块进行维护管理，考核评估的指标来源包括以下三种方式：系统内置考核指标，主要根据现有项目经验，根据实际考核要求制定考核标准；人工运营考核指标，人工运营结合客户实际需求而制定的考核指标；业务工作成果指标，业务系统结果数据自动评分的考核指标，如通告处置率、安全监测中的告警数据量等。考核任务管理主要针对考核任务进行管理维护，考核任务的创建主要包括以下步骤：制定考核目标，选取被考核单位；制定该任务考核指标，包括每个指标的分数上限，自评主评权重占比，评分等级设置，考核周期设置等；下发考核任务。考核评分管理模块中，被考核单位接收考核任务，针对每项考核指标进行自评，提交。考核单位对被考核单位的自评进行审核、主评。系统根据考核任务的自评主评权重计算综合得分。平台级联对多级平台级联关系及节点状态进行统计，通过拓扑关系方式呈现各个平台节点直接的上下级关系，以及通过连线颜色标识级联状态，包括上级节点数量、下级节点数量、在线节点数量、离线节点数量，显示单个节点的系统名称、IP地址、厂商logo以及在线状态。平台级联数据流程图平台级联数据通道用于接收下级平台上报数据，接收上报的数据种类包括资产、告警、日志、流量。数据格式遵循平台级联规范，接收下级平台上报数据后接收方会对数据进行校验融合等操作。平台级联指令通道用于上级平台下发指令到下级平台，下级平台做指令反馈。指令类型包括数据查询指令、通告指令、考核指令、检查指令等。平台级联模块包括级联管理、指令管理及级联概况：级联管理用于对本级节点以及关联节点的配置，配置内容包括指令通道地址及认证信息、数据通道地址及认证信息，以及各节点的监听功能；指令管理功能包括各类指令的添加编辑下发与指令接收情况的统计等，指令类型主要包括查询指令、通告指令、考核指令、监测指令。级联概况用于监听所有节点的对接状态，以及统计下级平台数据上报与指令执行情况。运营管理数据采集数据采集主要用于多源异构数据的接入、解析、分析富化，归并等，并支持对数据采集接入进行性能监控、数据接入管理、数据处理管理、查询检索、参数配置、插件管理以及在线智能运维。数据采集流程图运行平台由数据采集、数据处理、数据存储构成，完成数据接入并存储至系统：数据采集完成多种不同类型、不同协议数据的采集封包并发送至下一个环节；数据处理模块完成格式化、富化等操作，将不同来源的数据归一化到业务需要的格式；数据存储完成数据最终存储动作，控制数据的保存位置、形式。根据不同的业务需求，数据还可以分发至流处理，经处理后再进入存储。管理平台和监控平台负责对整个采集、处理、存储过程进行管理配置和运行监控。组件管理基于hadoop生态圈组件支撑态势感知管理平台的分布式计算、分布式存储，主要功能包括各类业务分析任务的调度管理，集群节点性能的监控，各类数据存储分片管理以及在线扩容配置等。组件管理架构图数据接入支持流式、批量两种方式接入数据，主要用于数据采集子系统中数据接入阶段的相关数据处理。存储方式采用集群化分布式存储结构。数据计算实现已经保存至大数据平台的计算功能。数据分析实现数据价值体现。基础管理主要提供组件管理子系统的可视化交互管理功能。日志检索日志检索是一个实时的分布式搜索和分析引擎，采用高性能的分布式集群数据存储系统，能自适应任何格式的数据来源，主要用于支撑安全分析人员进行告警的溯源检索。日志检索的数据来源为安全告警、网络资产、探针原始流量、第三方日志等，对所有数据建立索引，通过搜索引擎为用户提供快速搜索。搜索引擎的搜索方式包括两种模式：Lucene语法用于支持告警搜索，适用于具有一定技术背景的用户；字段胶囊方式（如：sip=“”）用于支持快捷搜索。搜索的结果数据可根据模字段进行聚合统计，支持数据的导出。日志检索数据流程图系统配置为平台全局配置管理提供支撑，包括账号管理、角色管理、单位组管理、平台授权、全局参数配置以及系统日志等，并为其他业务子系统提供全局配置、权限认证、记录操作日志等通用基础功能。系统应用场景展示综合态势大屏9.1.1.1通过恶意代码检测、异常流量分析、威胁分析等技术进行宏观分析，以监管单位为视角，对监管范围内的单位安全状态进行监测。9.1.1.2根据系统内置的风险评估算法给出被监管单位的整体安全评估，有效感知法院系统业务网内