标准规范下载简介
JT/T 1418-2022 交通运输网络安全监测预警系统技术规范.pdf简介:
JT/T 1418-2022《交通运输网络安全监测预警系统技术规范》是由中国交通运输部发布的行业标准,它主要针对交通运输行业的网络安全监测预警系统提出了技术要求和规范。该标准的出台,旨在提升交通运输系统的网络安全防护能力,保障数据安全,预防和应对网络攻击,维护交通系统的正常运行。
该规范涵盖了网络安全监测预警系统的架构设计、功能要求、数据采集、分析处理、风险评估、预警响应、应急处理、安全管理等多个方面,对系统的稳定运行、数据完整性、隐私保护等方面做出了详细的规定。具体内容可能包括但不限于:
1. 系统架构:规定了系统的层次结构、模块划分和接口设计,保证系统的可扩展性和兼容性。 2. 监测预警功能:要求系统能够实时监控网络流量、设备状态、系统漏洞等,及时发现异常情况并发出预警。 3. 风险评估:系统应具有对网络安全威胁的识别、评估和分类能力,为风险管理和决策提供依据。 4. 应急响应:设定明确的应急响应流程,对于网络安全事件能快速、有效地进行处理。 5. 安全管理:强调了系统的安全防护策略、安全审计、安全培训和应急演练等工作。
总的来说,JT/T 1418-2022《交通运输网络安全监测预警系统技术规范》是一个重要的技术指导文件,对于提升交通运输行业的网络安全防护水平具有重要意义。
JT/T 1418-2022 交通运输网络安全监测预警系统技术规范.pdf部分内容预览:
图1监测预警系统内外部接口关系示意图
图2监测预警系统架构
监测预警系统各层功能如下: 平台层:负责为监测预警系统运行提供支撑,由操作系统、数据库和中间件组成; 基础层:负责为分析层提供基础数据,至少具备数据采集、数据处理、数据存储功能: 分析层:负责为应用层提供分析结果JJF(晋) 36-2019 柴油车氮氧化物测试仪校准规范.pdf,至少具备安全分析、威胁情报管理、风险识别功能:
JT/T 14182022
应用层:负责为展示层提供 响应处置功能; 展示层:负责将各层数据进 中和直观皇现
6. 1.1 采集对象
数据的采集应满足如下要求: 采用被动及主动等方式进行采集,人工和自动化相结合; b) 采集节点以单级、分布式多级等多种形式部署; c) 数据采集任务根据类型可定制化,任务类型至少包括单次型和周期型; d 数据采集过程中不影响采集对象的正常运行
6.1.3.2资产基础数据应包括
采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; b) 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; C 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据; d) 采集对象的设备指纹。
a) 采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参 d)采集对象的设备指纹。
6.1.3.3运行状态数据应包括:
格式转换功能应支持对采集的同一类型、不同格式的原始数据转换为统一的数据格式,且转换时 造成关键数据项的丢失和损坏
洗功能应支持基于安全策略对采集的数据进行
数据补全功能应支持: a)对采集的资产基础数据提供标记补全功能,补全其相关联的属性; b)基于威胁情报对资产、告警等进行补全。
数据标识功能应支持基于威胁情报、业务类型、设备类型、时间、位置等对采集的原始数据进行 标识,
数据存储类型应包括以下类型: a)二维关系表等结构化数据; b)XML、JSON文档等半结构化数据; c)文本文件、图片、音视频、网络抓包文件等非结构化数据
存储内容应包括但不限于!
JT/T 1418=2022
存储方式应支持但不限于关系型数据存储、分布式文件存储、对象存储及文档存储
监测预警系统应支持存储周期可配置,安全日志存储时间不少于6个月,与跟踪溯源有关的数据存 储周期应根据实际需要进行配置。
6.4.1.1资产分析范围应包
.4.1.1资产分析范围应包括: a) 基础硬件、应用软件、业务系统、操作系统平台、数据库等资产的运行状态; b) 访问日志、流量数据等信息; c) 资产被黑、挂马、篡改等威胁行为; d) 网站安全漏洞、第三方组件的漏洞、弱口令、框架漏洞等脆弱性; e) 主机设备、基础软件、网络通信设备、网络安全设备等基线配置、安全配置状态; f) 资产存在的潜在风险
6.4.1.2资产脆弱性分析功能应支持:
a 通过主动扫描探测、被动流量监测和第三方导入等方式识别存活资产设备并自动描绘网络中 的资产节点间的连接关系,针对资产的重要性进行评估,建立全面的网络资产基础信息库,实 现资产管理和可用性监控; D 基于扫描和第三方导人,形成资产安全基线和安全配置监控,提供资产脆弱性管理和资产安 全指数的自动计算功能: 主动发起漏洞扫描,并将扫描结果与资产进行匹配,提供风险漏洞预警和修复方案,为漏洞信 息建立档案,提供追踪记录漏洞处置功能
6.4.2.3分析的异常行为应至少包括:
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访间、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; i) 日志异常变化。
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访间、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; i) 日志异常变化。
6.4.3漏洞风险分析
漏洞风险分析功能应支持: a)对漏洞数据进行风险分析,至少包括系统的高危漏洞和Web应用的高危漏洞,并给出漏洞风 险分析统计表; 对服务器和网站安全漏洞及威胁情况进行分析和关联; c)对资产的漏洞和配置弱点进行分析,并提供风险指数
威胁分析功能应支持: a)对各种异常行为进行监测,包括但不限于异常访问频次超限、异常访问流量超限、权限异常提 升、账户异常更改、日志异常变化、文件违规外发、非法外联、非法访问、非法文件下载: 对各种攻击行为进行监测,包括但不限于端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击、网络虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞 攻击。
6.4.6安全态势分析
安全态势分析功能宜支持基于大数据处理技术,针对交通运输行业政府网站、电子政务 终端、重要信息系统、关键网络的防护重点不同分别建立分析模型,对采集的网络安全运行数 据挖掘和深度分析
6.5.1威胁情报来源
威胁情报来源应包括: a)内部威胁情报,即监测预警系统采集并形成的威胁数据信息和交通运输行业网络安全信息通 报内容; 外部威胁情报,包括但不限于权威威胁情报来源机构提供的威胁情报数据、商用或免费威肋 情报提供商提供的威胁情报数据
JT/T 1418=2022
6.5.2威胁情报格式
威胁情报格式应符合GB/T36643—2018中第6章的规定,
威胁情报格式应符合GB/T36643—2018中第6章的规定
威胁情报管理功能应支持: 采用主动模式和被动模式自动获取威胁情报数据和手动导人离线威胁情报文件: b) 采用手动升级、在线更新、人工导入等方式进行威胁情报更新; 对威胁情报进行聚合、分类、展示、关联; d 提供内部和外部威胁情报库数据交互,并根据双方数据库数据项进行格式转换; e 提供开放接口及传输格式,和国家级、部级、交通运输行业各级威胁情报系统以及其他第三方 威胁情报系统进行威胁情报共享
风险识别功能应支持根据风险分析的结果确定风险级另
6.7网络安全预警研判
GB 50355-2005 住宅建筑室内振动限值及其测量方法标准6.7.1网络安全预警
6. 7.2 综合研判
综合研判功能应支持根据 信息进行关联,按照重要程度 围等对网络安全预
网络安全风险信息,即指与网络资产关联后的安全漏洞信息,安全漏洞信息的分类应符合 GB/T335612017中5.2的相关要求: b) 网络威胁信息,即指攻击过程中工具构建、投放、植人阶段的相关信息,包括恶意程序传播、恶 意程序感染等; c) 网络攻击行为信息,即指攻击过程中命令与控制阶段的相关信息,包括恶意程序控制、拒绝服 务攻击、二进制代码攻击、Web应用攻击、信道攻击、欺骗攻击、仿冒攻击、物理攻击等; d) 网络攻击后果信息,即指攻击过程中目标达成阶段的相关信息,攻击后果的分类应符合GB/T 37027—2018中6.4的规定; e) 其他信息,即指对网络安全应急响应具有支撑作用的其他网络空间信息和非网络空间信息
JTT1049.2-2016 道路运政管理信息系统 第2部分:数据资源采集接口6.8.2通报信息格式
信息标识,即指通报信息的唯一标识; b) 相关性,即指与信息接收单位直接相关的信息; C) 信息描述,即指对信息基本情况的描述; 时间戳,即指该信息生成时间; e) 单位,即指该信息涉及的单位; f) 资产,即指该信息涉及的资产,同时指明该资产对应的等级保护级别; g) 网络安全层面,即指该信息与隐患、风险、威胁、攻击实施、攻击后果等网络安全层面的关联; h) 网络安全类别,即指该信息与具体隐患、风险、威胁、攻击实施、攻击后果类别的关联; 1) 影响评估,即指对该信息相关的网络空间影响和非网络空间影响的评估; 1 建议应对措施,即指对该信息相关应对措施的建议