JTT 1418—2022标准规范下载简介
JTT 1418—2022 交通运输网络安全监测预警系统技术规范.pdf简介:
JTT 1418—2022 是中国交通运输行业对于“交通运输网络安全监测预警系统技术规范”的标准,全称为《交通运输网络安全监测预警系统技术规范》。这个标准的出台,是为了规范和提升交通运输领域的网络安全保障能力,确保交通运输系统的安全稳定运行。
该技术规范主要涵盖以下几个方面:
1. 系统架构:明确了网络安全监测预警系统的总体架构,包括数据采集、处理、分析、预警和响应等环节,以及各个模块的功能和接口设计。
2. 数据安全:规定了如何收集、存储和传输数据,以及如何保护数据不被非法访问、篡改或丢失。
3. 风险评估:要求系统具备风险识别、评估和分级的能力,以便及时发现并处理潜在的安全威胁。
4. 监测预警:规定了对网络攻击、异常行为、系统漏洞等的监测预警机制,以及预警信息的发布和处理流程。
5. 应急响应:制定了应急响应策略和流程,以确保在网络安全事件发生时,能够快速、准确地进行应对。
6. 系统运维:强调了系统的日常维护、升级和安全审计,保证系统的长期稳定运行。
总的来说,JTT 1418—2022 是为了提升交通运输领域的网络安全防护水平,保障信息系统的安全,防止因网络安全问题导致的运营中断或数据泄露,对保障国家交通安全和信息通信安全具有重要意义。
JTT 1418—2022 交通运输网络安全监测预警系统技术规范.pdf部分内容预览:
JT/T 1418=2022
图1监测预警系统内外部接口关系示意图
图2监测预警系统架构
监测预警系统各层功能如下: 一平台层:负责为监测预警系统运行提供支撑,由操作系统、数据库和中间件组成: 基础层:负责为分析层提供基础数据粤21J013 传承岭南建筑文化的绿色建筑设计.pdf,至少具备数据采集、数据处理、数据存储功能; 分析层:负责为应用层提供分析结果,至少具备安全分析、威胁情报管理、风险识别功能:
应用层:负责为展示层提供交互信息 展示层:负责将各层数据进行综合汇 图表等形式进行集中和直观呈现
数据的采集应满足如下要求: 采用被动及主动等方式进行采集,人工和自动化相结合; b) 采集节点以单级、分布式多级等多种形式部署; c 数据采集任务根据类型可定制化,任务类型至少包括单次型和周期型; d 数据采集过程中不影响采集对象的正常运行
6.1.3.2资产基础数据应包括
采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; b) 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; C 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据; 采集对象的设备指纹。
采集对象基本信息,包括设备名称、设备型号、制造商名称及品牌等; b) 采集对象操作系统或固件信息,包括操作系统或固件名称、版本标识等; C 采集对象物理接口信息,包括物理接口数量,各物理接口的名称、类型和相关的配置参数等数据: 采集对象的设备指纹。
JT/T14182022
6.1.3.3运行状态数据应包括
格式转换功能应支持对采集的同一类型、不同格式的原始数据转换为统一的数据格式,且转换时 造成关键数据项的丢失和损坏
洗功能应支持基于安全策略对采集的数据进行筛
数据补全功能应支持: a)对采集的资产基础数据提供标记补全功能,补全其相关联的属性; b)基于威胁情报对资产、告警等进行补全。
数据标识功能应支持基于威胁情报、业务类型、设备类型、时间、位置等对采集的原始数据进行 标识,
数据存储类型应包括以下类型: 二维关系表等结构化数据; b)XML、JSON文档等半结构化数据; c)文本文件、图片、音视频、网络抓包文件等非结构化数据
存储内容应包括但不限于!
JT/T 14182022
存储方式应支持但不限于关系型数据存储、分布式文件存储、对象存储及文档存储
监测预警系统应支持存储周期可配置,安全日志存储时间不少于6个月,与跟踪溯源有关的数据存 储周期应根据实际需要进行配置,
6.4.1.1资产分析范围应包
4.1.1资产分析范围应包括: a) 基础硬件、应用软件、业务系统、操作系统平台、数据库等资产的运行状态; b) 访问日志、流量数据等信息; c) 资产被黑、挂马、篡改等威胁行为; d) 网站安全漏洞、第三方组件的漏洞、弱口令、框架漏洞等脆弱性; e) 主机设备、基础软件、网络通信设备、网络安全设备等基线配置、安全配置状 ) 资产存在的潜在风险
6.4.1.2资产脆弱性分析功能应支持:
a 通过主动扫描探测、被动流量监测和第三方导人等方式识别存活资产设备并自动描绘网络中 的资产节点间的连接关系,针对资产的重要性进行评估,建立全面的网络资产基础信息库,实 现资产管理和可用性监控; D 基于扫描和第三方导人,形成资产安全基线和安全配置监控,提供资产脆弱性管理和资产安 全指数的自动计算功能: C 主动发起漏洞扫描,并将扫描结果与资产进行匹配,提供风险漏洞预警和修复方案,为漏洞信 息建立档案,提供追踪记录漏洞处置功能
6.4.2.3分析的异常行为应至少包括:
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访问、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; 2 且志异常变化
a) 访问频次超限; b) 访问流量超限; c) 账户异常登录; d) 非授权访问、外联; e) 文件非授权外发、下载; f) 文件系统异常; g) 授权访问的频次、流量异常; h) 权限异常提升; i) 日志异常变化。
6.4.3漏洞风险分析
漏洞风险分析功能应支持: a)对漏洞数据进行风险分析,至少包括系统的高危漏洞和Web应用的高危漏洞,并给出漏洞风 险分析统计表; b 对服务器和网站安全漏洞及威胁情况进行分析和关联; c)对资产的漏洞和配置弱点进行分析,并提供风险指数
威胁分析功能应支持: 对各种异常行为进行监测,包括但不限于异常访间频次超限、异常访问流量超限、权限异常提 升、账户异常更改、日志异常变化、文件违规外发、非法外联、非法访问、非法文件下载: 对各种攻击行为进行监测,包括但不限于端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击、网络虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞 攻击,
6.4.6安全态势分析
安全态势分析功能宜支持基于大数据处理技术,针对交通运输行业政府网站、电子政务 终端、重要信息系统、关键网络的防护重点不同分别建立分析模型,对采集的网络安全运行数 据挖掘和深度分析
6.5.1威胁情报来源
威胁情报来源应包括: a)内部威胁情报,即监测预警系统采集并形成的威胁数据信息和交通运输行业网络安全信息通 报内容; 外部威胁情报,包括但不限于权威威胁情报来源机构提供的威胁情报数据、商用或免费威肋 情报提供商提供的威胁情报数据。
JT/T 1418=2022
6.5.2威胁情报格式
威胁情报格式应符合GB/T36643一2018中第6章的规定
威胁情报格式应符合GB/T36643—2018中第6章的规定
威胁情报管理功能应支持: 采用主动模式和被动模式自动获取威胁情报数据和手动导人离线威胁情报文件: b) 采用手动升级、在线更新、人工导人等方式进行威胁情报更新; c) 对威胁情报进行聚合、分类、展示、关联; 提供内部和外部威胁情报库数据交互,并根据双方数据库数据项进行格式转换; e 提供开放接口及传输格式,和国家级、部级、交通运输行业各级威胁情报系统以及其他第三方 威胁情报系统进行威胁情报共享
风险识别功能应支持根据风险分析的结果确定风险
6.7网络安全预警研判
SY/T 6530-2019标准下载6.7.1网络安全预警
6. 7.2 综合研判
综合研判功能应支持根据安全分析功能 响资产信息进行关联,按照重要程度 围等对网络安全预警进行分级
a) 网络安全风险信息,即指与网络资产关联后的安全漏洞信息,安全漏洞信息的分类应符合 GB/T335612017中5.2的相关要求: 网络威胁信息,即指攻击过程中工具构建、投放、植人阶段的相关信息,包括恶意程序传播、恶 意程序感染等; c 网络攻击行为信息,即指攻击过程中命令与控制阶段的相关信息,包括恶意程序控制、拒绝服 务攻击、二进制代码攻击、Web应用攻击、信道攻击、欺骗攻击、仿冒攻击、物理攻击等; d) 网络攻击后果信息,即指攻击过程中目标达成阶段的相关信息,攻击后果的分类应符合GB/T 37027—2018中6.4的规定; e) 其他信息沉管灌注桩施工工艺标准(QB-CNCEC J010204-2004),即指对网络安全应急响应具有支撑作用的其他网络空间信息和非网络空间信息
6.8.2通报信息格式
信息标识,即指通报信息的唯一标识; b) 相关性,即指与信息接收单位直接相关的信息; C) 信息描述,即指对信息基本情况的描述; 时间戳,即指该信息生成时间; e) 单位,即指该信息涉及的单位; f) 资产,即指该信息涉及的资产,同时指明该资产对应的等级保护级别: g) 网络安全层面,即指该信息与隐患、风险、威胁、攻击实施、攻击后果等网络安全层面的关联; 网络安全类别,即指该信息与具体隐患、风险、威胁、攻击实施、攻击后果类别的关联; h ) 影响评估,即指对该信息相关的网络空间影响和非网络空间影响的评估; 1) 建议应对措施,即指对该信息相关应对措施的建议