DB3305T 245-2022 数字法院风险预警系统建设与应用规范　

DB3305湖州市市场监督管理局发布I 1 1 1 1 2 2 2 3 4 本文件主要起草人：孟振华、周平、江利良、俞梦潇、王莹1数字法院风险预警系统建设与应用规范GB/T22239-2019信息安全技术—网络安全等级保护基本要求GB/T40652信息安全技术恶意软件事件预防GB/T25069和GB/T40652界定的术语和定义适用于本文件。4.1数字法院风险预警系统的安全保护等级应符合GB/T22239-2019规定的第三级安全要求。4.2应建立网络被攻击次数、有害程序事件数、终端漏洞数、服络防护能力、主机/终端防护能力、应用防护能力、数据防护能力等安全巡检能力，不断优化4.3应建立综合态势、大数据智能情报、安全运营、攻击链回溯、应急指挥等展示场景，汇聚相关数据，通过可视化手段以图表的形式集成展示安全态势，呈现4.4对于新系统、新功能的上线，在系统验收时应充分评估安全风险、进行安全检测、做好上线前的2网络安全相关政策规范运营服务保障体系网络安全相关政策规范运营服务保障体系大数据智能情报攻击链回溯大数据智能情报攻击链回溯操作系统操作系统5.1系统主要由监管对象、平台层、数据处理层、服务层、应用层、展示层、网络安全相关政策规范5.2监管对象包括人民法院内外网、下级单位系统平台、网络流量、云端数据、情报数据、日志数据5.3平台层由服务器、存储、网络、云平5.5服务层将业务计算任务发送至数据处理层，根据不同的业务场景针对数据进行分析。5.6应用层将各大子系统与模块从业务功能视角划分为监测分析、业务协同、运营管理：5.7展示层提供数据可视化分析和流程跟踪，包括综合态势、大数据智能情报、安全运营、攻击链回5.8网络安全相关政策规范保障平台对接过程中数据采集、事件上报、通报下发、下级平台数据上报35.9运营服务保障体系是平台稳定的基础要求，建立有组织的运营服务保障体系，能够安全监管平台持结构化数据、半结构化数据、非结构化数据等多种为大数据平台提供统一部署、统一调度、统一运维、统一参数证授权、操作系统安全、网络安全、技术设施安全等其他8.2服务总线是一种体系结构模式，在总线模式中，服务交互的参与方并不直接交互，而是通过一个8.3应用程序逻辑可以使用各种编程模型和技术调用或交付服务，而无需考虑是直接连接还是通过总8.4应用组件和应用功能可根据各类用户需要，按照统一的规范包装成restful服务注册到总线上，4请求交互[外部服务图2数据服务接口总线集成模式图9.1监测分析9.1.1.1支持通过主动探测、流量分析、人工报送、数据导入等手段汇聚网络资产，并通过统一的资9.1.1.2针对核心关键资产，提供相关运营手段，自动或半自动对资产变动进行维护，并整合资产脆告警富化资产管理软件资产设备资产资产指标单位组织资产检查一键搜索责任归属资产定位目标分析现资产概况重保资产9.1.1.3资产管理数据来源包括流量发现、人工录入、下级平台上报、第三方5a)流量发现：通过数据采集中接入的原始流量，提取原始流量中的IP、端口，与归档资产库中的已有资产进行对比，如果不存在则认为是新发现资产，经过人工运营确认后进行归档，最终进入资产库；c)下级平台上报：下级平台通过平台级联规范进行网络资产上报，上级平台进行校验后进行资产融合；d)第三方对接：平台支持对接第三方资产扫描器，通过数据采集模块进行对接后，与平台资产进行融合。9.1.1.4网络资产在资产发现中进行运营归档后形成资产库，集中在资产管理模块中进行管理维护，主要分为单位组织、设备资产、软件资产、IP资产、idc机房信息等。其中单位组织、设备资产、软件资产、IP资产将作为平台的基础数据用于支撑其他业务子系统的相关业务。9.1.1.5资产概况将从资产的各个维度如资产类型、来源、所属单位等进行统计分析。9.1.1.6一键搜索将通过关键词快速匹配新发现与已归档的网络资产。9.1.1.7资产管理经过运营后形成的资产库将为其他业务子系统做业务支撑。9.1.2.1应支持通过流量传感器、网站监测、第三方告警接入等方式发现的告警，通过归并、过滤、富化、分析、人工判断等处理转化为标准分类及数据格式的告警，并提供包括基本信息、规则信息、威胁行为、原始告警、资产信息告警详情信息。针对不同类型对告警基本信息进行差异化展示，有效传递给用户，并发出提醒警示信息。ATR入告普管图4安全监测数据流程图9.1.2.2风险监测告警数据来源主要包括探针原始告警、云监测接入、第三方对接这三种方式，统一通过数据采集子系统进行数据接入，并支持人工在web界面上手动添加告警。9.1.2.3多种来源的告警信息首先经过监测规则进行数据过滤。过滤规则可在页面上进行配置，支持多种条件组合。经过数据过滤后的告警会通过数据归并策略进行告警归并，将多条告警归并成一条告警，之后结合网络资产库进行告警数据富化，明确告警受影响的网络资产，涉事单位，明确责任人等。9.1.2.4通过监测规则形成的告警最终会进入告警列表中，经研判分析及人工运营确认后，告警会形成安全事件。运营人员可结合用户的实际业务对告警进行白名单设置，比如内网中自身扫描器的扫描行为告警，针对误报的告警可进行删除至回收站，针对误删的数据同样可从回收站中恢复数据。9.1.2.5监测概况以告警数据作为分析源，进行告警的各维度分析，比如告警的级别、攻击结果、告警来源，事件等级等。6a)攻击链分析：数据源来自安全告警和网络资产，通过系统自动识别加人工运营的方式针对特定根据攻击的特征最终将同一组源IP相关的告警归类到侦查、入侵、命令控制、横向渗透、数b)专项分析：数据源来自探针原始流量结合网络资产提供账号安全、邮件c)行为分析：数据源来自探针原始流量结合网络资产提供黑客渗透攻击惯9.1.4事件案例9.1.4.1告警经人工运营确认为安全事件后，经通告预警处置形成事件案例，并支持人工录入。9.1.4.2事件案例对事件数据进行维护，包括安全事件的基本信息、事件来源、事件的影响范围、研9.1.4.3平台应支持形成事件案例库，作为后续出现同类安全告警的分析研判、处置闭环管理的经验事件管理基本信息告警研判依据事件来源处置建议影响范围研判结论图5事件案例数据流程图9.2业务协同7A件型件统计图6通告预警数据流程图9.2.1.1通告预警的数据来自安全监测，并通过机器确认或者人工确认后形成的安全事件数据。在通过滤(人工确认、机器确认)。9.2.1.2安全事件的分析、工单处置在日常通报模块中进行全流程管理，主要包括以下步骤：d)运营人员可根据事件的类型、级别选择相应的通告类型，包括隐患告知、限期整改；f)用于确认下发后，通告工单下发至涉事单位，主要以单位账号和移动APP方式两种方式发送给涉事单位；的业务闭环。9.2.1.4网络安全预警针对重要单位、行业按照国标(蓝色、黄色、橙色、红色)进行网络安全风险或隐患进行预警；网络安全通报针对系统监测出的重点威胁进行分析研判后，按照表1网络安全事件的现在线业务闭环。8件①关键信息基础设施以及其他重要网络和信息系统遭受特别严重的系统损③其他对中级人民法院网络安全构成特别严重威胁、造成特别严重影响的全事件，如：运维周期内运维人员存在利用法院网络、设备从事危害网①关键信息基础设施以及其他重要网络和信息系统遭受严重的③其他对中级人民法院网络安全构成严重威胁、造成严重影响的①关键信息基础设施及其他重要网络和信息系统遭受较大的系③其他对中级人民法院网络安全构成较严重威胁、造成较严重影全事件，为一般网络安全事件。如：信息系统、网站、计算9.2.2检查督办9.2.2.1检查督办主要用于专项网络安全检查任务的下发跟踪（如弱密码专项检查任务、安全加固检9检查督办检查督办任务概览支撑其他业务检查任务管理检查目标设置检查反馈指标检查内容设置(检查表)下发检查任务任务审核安全检查任务(被检查单位检查任务反馈打回或催办9.2.2.2检查任务管理用于对监测任务创建、下发、审核等过程进a)检查目标设置，指定被检查单位、设置检查任b)检查内容制定，上传检查表；9.2.2.3安全检查任务(被检查单位),主要用于被检查单位对检查任务进行反馈操作。9.2.2.4任务概览的统计数据来自检查任务数据，如任务填报率排名、催办单位排名等。9.2.3.1考核评估包括考核指标管理、考核任务统计分析、考核任务管理、考核评分管理四个模块。考核评估考核评估考核任务管理(考核单位支撑其他业务系统内置考核指标线下工作考核评分管理(含被考核单位)自评(被考核单位主评(考核单位)通告处置率安全监测图8考核评估数据流程图9.2.3.2考核指标库通过考核指标管理模块进行维护管理，考核评估的指标来源包括以下a)系统内置考核指标，主要根据现有项目经验，根据实际考核要求制定b)人工运营考核指标，人工运营结合客户实际需求而制定的考核指9.2.3.3考核任务管理主要针对考核任务进行管理维护，考核任务的创建主要包a)制定考核目标，选取被考核单位；c)下发考核任务。9.2.3.4考核评分管理模块中，被考核单位接收考核任务，针对每项考核指标进行自评，提交。考核9.2.4平台级联9.2.4.1对多级平台级联关系及节点状态进行统计，通过拓扑关系方式呈现各个平台节点直接的上下夹产考汗情看通告协同办检查协同下船单位业同产(平台级联规范)指令洒道图9平台级联数据流程图9.2.4.2平台级联指令通道用于上级平台下发指令到下级平台，下级平台做指令反馈。指令类型包括b)指令管理功能包括各类指令的添加编辑下发与指令接收情况的统计c)级联概况用于监听所有节点的对接状态，以及统计下级平台数据上报与指令执行情况。9.3运营管理9.3.1.1数据采集主要用于多源异构数据的接入、解析、分析富化，归并等，并支持对数据采集接入进行性能监控、数据接入管理、数据处理管理、查询检索、参数据流向定义运行监控数据监控输入插件输入插件数据源数据源运行监控数据监控富化插件处理插件封包处理缓存分发缓存分发存储9.3.1.2运行平台由数据采集、数据处理、数据存储构成，完成数据接入并存储至系统：a)数据采集完成多种不同类型、不同协议数据的采集封包并发送至下一个环节；b)数据处理模块完成格式化、富化等操作，将不同来源的数据归一化到业务需要的格式；c)数据存储完成数据最终存储动作，控制数据的保存位置、形式。根据不同的业务需求，数据还可以分发至流处理，经处理后再进入存储。9.3.1.3管理平台和监控平台负责对整个采集、处理、存储过程进行管理配置和运行监控。9.3.2.1基于hadoop生态圈组件支撑态势感知管理平台的分布式计算、分布式存储，主要功能包括各类业务分析任务的调度管理，集群节点性能的监控，各类数据存储分片管理以及在线扩容配置等。数据接入分析计算存储图11组件管理架构图9.3.2.2数据接入支持流式、批量两种方式接入数据，主要用于数据采集子系统中数据接入阶段的相关数据处理。9.3.2.3存储方式采用集群化分布式存储结构。9.3.2.4数据计算实现已经保存至大数据平台的计算功能。9.3.2.5数据分析实现数据价值体现。9.3.2.6基础管理主要提供组件管理子系统的可视化交互管理功能。9.3.3日志检索9.3.3.1日志检索是一个实时的分布式搜索和分析引擎，采用高性能的分布式集群数据存储系统，能自适应任何格式的数据来源，主要用于支撑安全分析人员进行告警的溯源检索。9.3.3.2日志检索的数据来源为安全告警、网络资产、探针原始流量、第三方日志等，对所有数据建立索引，通过搜索引擎为用户提供快速搜索。9.3.3.3搜索引擎的搜索方式包括两种模式：a)Lucene语法用于支持告警搜索，适用于具有一定技术背景的用户；b)字段胶囊方式(如：sip="")用于支持快捷搜索。9.3.3.4搜索的结