GW0204-2014 国家电子政务外网 安全管理系统技术要求与接口规范.pdf
《GW0204-2014 国家电子政务外网 安全管理系统技术要求与接口规范.pdf》由会员分享,可在线阅读,更多相关《GW0204-2014 国家电子政务外网 安全管理系统技术要求与接口规范.pdf(30页珍藏版)》请在冰点文库上搜索。
国家电子政务外网安全管理系统技术要求与接口规范TechnicalRequirementsandInterfaceSpecificationforSecurityOperationCenterofNationalE-GovernmentNetwork2014-11-13发布2015-1-1实施国家电子政务外网管理中心国家电子政务外网管理中心国家电子政务外网标准GW02042014目次前言.I引言.II1范围.12规范性引用文件.13术语和定义.14缩略语.25建设原则与目标.25.1建设原则.25.2建设目标.36系统总体架构.36.1总体功能架构.36.1.1数据采集层.46.1.2安全分析层.46.1.3展现层.46.1.4对外接口层.46.2总体技术要求.46.2.1系统技术架构.46.2.2系统运行环境.46.2.3部署方式.46.2.4数据库.46.2.5综合展现.57系统功能要求.57.1资产管理.57.2可用性监测.57.2.1安全设备监测.57.2.2系统运行环境监测.57.2.3业务系统监测.57.3事件管理.57.3.1事件采集.57.3.2事件标准化.67.3.3事件展现.67.3.4事件集中存储.67.4关联分析.67.5统计分析.67.6趋势分析.67.7告警响应.67.8风险管理.67.8.1资产价值评估.67.8.2脆弱性管理.77.8.3威胁管理.77.8.4安全风险计算.77.9安全审计.77.10安全通告.77.11工单管理.77.12报表管理.77.13权限管理.77.14存储管理.77.15级联管理.77.16知识库管理.77.17综合展现.87.18时间同步.87.19数据采集与预处理.87.20系统互联.87.21扩展性.87.22访问控制.87.23系统升级.88系统性能要求.88.1稳定性.98.2数据处理性能.98.2.1中央/省级安全管理系统性能要求.98.2.2地市/县级安全管理系统性能要求.98.3数据存储要求.99自身安全性.99.1等级保护合规性要求.99.2系统安全要求.910安全管理系统接口.910.1总体框架.910.2数据采集接口.1010.2.1数据采集方式要求.1010.2.2数据采集内容要求.1010.3系统级联接口.1110.3.1接口协议.1110.3.2接口格式定义.1110.3.3系统级联认证接口.1110.3.4系统运行状态上报接口.1110.3.5风险上报接口.1210.3.6告警上报接口.1210.3.7案例上报接口.1210.3.8远程知识库查询接口.1210.3.9报表上报接口.1210.4外部接口.1310.4.1安全管理系统外部接口要求.1310.4.2外部数据导入接口.1310.4.3内部数据导出接口.1310.4.4与其他系统动态数据接口.13附录A(规范性附录)国家电子政务外网安全管理系统接口规范.14A.1系统级联注册接口规范.14A.2系统级联注销接口规范.14A.3系统运行状态上报接口规范.15A.4风险上报接口规范.15A.5告警上报接口规范.16A.6案例上报接口规范.18A.7远程知识库查询接口规范.20A.8报表上报接口规范.21A.9省级单位代码表.21I前言为进一步规范国家电子政务外网设计部署安全管理系统的技术要求,满足各级政务外网建设安全监测技术平台的实际需求,结合政务外网建设实践及安全管理系统部署经验,编制本标准。
本标准由国家电子政务外网管理中心提出并归口。
本标准起草单位:
国家电子政务外网管理中心、北京启明星辰信息安全技术有限公司、网神信息技术(北京)股份有限公司、东软集团股份有限公司、北京天融信科技股份有限公司、深圳华为技术有限公司、湖南蚁坊软件有限公司。
本标准主要起草人:
吕品、马英、罗海宁、周民、邵国安、刘震、张锐卿、丁凌风、范永、苑向兵、李经通、孙燕辉、徐浩、陈亮、范仲辉、倪德东、郑玮、吴昊。
II引言为指导中央、省(自治区、直辖市)、地(市)、县各级政务外网安全管理系统的方案设计、产品选型和系统级联,特编写本标准。
本标准对政务外网安全管理系统的技术架构、功能、性能、部署方式、自身安全性、接口规范提出具体要求。
1国家电子政务外网安全管理系统技术要求与接口规范1范围本标准用于规范各级政务外网安全管理系统的功能、性能、安全性、部署方式、接口等技术要求,可作为指导各级政务外网设计、选型和建设安全管理系统的技术依据。
2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注明日期的引用文件,其随后所有的修改(不包括勘误的内容)或修订版均不适用于本标准。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T5271.8信息技术词汇第8部分:
安全GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T20984信息安全技术信息安全风险评估规范GB/Z20985信息技术安全技术信息安全事件管理指南GB/T18030信息技术中文编码字符集GB/T28458信息安全技术安全漏洞表示与描述规范GB/T2260中华人民共和国行政区划代码3术语和定义3.1安全管理系统SecurityOperationCenter,SOC采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事件,并运用关联分析技术、智能推理技术和风险管理技术,实现对安全事件信息的深度分析和识别,能快速做出报警响应,实现对安全事件进行统一监控分析和预警处理。
3.2网络管理系统NetworkManagementSystem,NMS提供拓扑管理、设备配置、故障告警、性能监测和报表管理功能,实现对网络运行的集中统一管理。
3.3脆弱性Vulnerability信息技术、信息产品、信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对信息系统的安全造成损害,从而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的安全。
脆弱性又称为安全漏洞。
3.42安全威胁SecurityThreat某个人、物、事件或概念对某一资源的保密性、完整性、可用性、真实性或可控性所造成的危害。
3.5信息安全事态InformationSecurityEvent系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
3.6信息安全事件InformationSecurityIncident采集的单个或一系列的安全事态,包括各类日志、操作和其他系统或设备报送的报警信息。
3.7告警Alarm针对收集到的各种安全事件进行综合关联分析后形成的报警事件。
3.8Syslog协议TCP/IP网络中用于传输系统日志的标准,设备和系统在记录和转发日志时应遵循该标准。
3.9WebService基于网络的、分布式的模块化组件,它执行特定的任务,遵守具体的技术规范,其它应用通过使用相应的规范,可以与它进行互操作。
3.10BUGTRAQ一个公告计算机安全问题的列表,包括安全漏洞相关公告和利用这些漏洞的方法,以及如何修复它们。
4缩略语SOA面向服务的体系结构(Service-OrientedArchitecture)JDBCJava数据库连接(JavaDataBaseConnectivity)ODBC开放数据库互连(OpenDatabaseConnectivity)FTP文件传输协议(FileTransferProtocol)CVE公共漏洞和暴露(CommonVulnerabilities&Exposures)WSDL网络服务描述语言(WebServiceDescriptionLanguage)5建设原则与目标5.1建设原则3安全管理系统按照以下原则进行建设:
a)按照政务外网安全监测体系的统一规划,中央、省、地市政务外网应分别建成安全管理系统,并形成中央、省、地市三级系统级联;县级政务外网可根据自身情况建设安全管理系统,并与上级系统级联;b)各级安全管理系统应部署于本级政务外网的公用网络区,互联网区与专用网络区的安全相关信息可通过带外管理网、采集代理方式发送到安全管理系统;c)对于已建成和在建的安全管理系统,分步实施与中央级节点知识库共享、接口改造、系统级联等,并纳入到政务外网安全监测体系中。
5.2建设目标安全管理系统建设应实现如下目标:
a)可快速集成不同厂商的各类IT资产,实现各类设备日志信息的实时采集与统一监测,并具备较强的扩展能力;b)提供针对安全日志的海量信息数据存储与检索能力,实现各类原始日志与各类分析数据的安全存储与快速检索;c)具备关联分析、风险评估、趋势分析等综合分析能力,能从被攻击的角度关联资产的脆弱性和重要程度,从攻击的角度关联不同安全设备采集到的安全事件,形成动态的安全风险评估及事件管理能力;d)提供全面完整、可定制的集中监测与展示工作界面与报表,可按照用户要求,提供多种形式的直观事件展现方式,针对不同的角色可灵活定制数据展现视图;e)为各类安全管理人员提供日常监测、事件告警与预警、应急处理与响应的工作平台;f)提供决策辅助与态势分析功能,实现对安全态势的掌控;通过对各类安全数据的加工、存储、深层分析为安全决策提供依据;g)支持多级系统的级联管理和分级部署;h)具备应对业务流程的变更和新业务流程扩展的能力;i)实现外部系统接口标准化。
6系统总体架构6.1总体功能架构安全管理系统监测全网重要IT资源的运行状态,对安全事件、脆弱性、配置、可用性与安全相关的数据进行统一采集、集中分析,并进行宏观可视化展现,发现事件或安全风险时可实时触发告警。
安全管理系统提供标准外部通信与数据接口,与上下级平台和第三方系统实现连接。
安全管理系统的整体功能框架如图1所示:
4图1安全管理系统整体功能框架图6.1.1数据采集层数据采集层采集安全管理系统所关注监测对象的运行状态信息、安全事件信息、脆弱性信息、安全配置信息和流量信息,并将所采集的安全事件信息转化为安全管理系统内部统一的数据格式。
6.1.2安全分析层通过综合分析方法对采集数据进行关联分析以识别判断安全事件或事态,由监测与事件处理模块、系统管理与配置模块、基础信息库等组成。
监测与事件处理模块主要包括资产管理、可用性监测、关联分析、事件展现、趋势分析、告警响应、风险管理、安全审计、安全通告、工单管理;系统管理与配置模块主要包括报表管理、权限管理、存储管理、级联管理;基础信息库主要包括规则库、案例库、漏洞库。
6.1.3展现层通过可视化的方式将监测对象的运行状态、安全事件、安全风险展现给用户。
6.1.4对外接口层在安全管理系统中应构建标准化接口服务层,实现与上下级安全监测系统、外部系统接口连接。
安全管理系统对外接口应具有良好的兼容性,可以方便地与第三方系统进行连接,支持Syslog事件转发、SNMPTrap事件转发、WebService接口调用等常用标准接口。
在展现层上,安全管理系统应与第三方B/S架构的系统实现Portal统一展现。
6.2总体技术要求6.2.1系统技术架构系统技术架构应采用面向服务的体系架构(SOA),具备跨平台、可伸缩和高可靠的特性。
系统采用B/S访问方式。
6.2.2系统运行环境支持主流操作系统部署,支持主流网络浏览器。
6.2.3部署方式支持灵活的部署方式,既支持集中式部署,也可进行分布式部署;既支持单级部署,也支持多级级联式部署。
6.2.4数据库5支持主流数据库或国产数据库。
6.2.5综合展现支持图形化的展现方式,采用仪表板、统计图展现数据统计分析的结果,使用趋势分析图展现指定时间段内监测数据的变化趋势;支持动态事件分析,能够实时展现当前的事件变化;支持使用数据钻取方式进行事件追溯。
7系统功能要求7.1资产管理实现对网络中IT资产的管理,按照安全域的方式管理资源,提供便捷的资产添加、修改、删除、查询与统计功能,便于安全管理和系统管理人员查找所需设备资产的信息。
资产记录中应包括资产名称、IP地址、类型、责任人、业务价值,以及其机密性、完整性、可用性等资产属性,可根据需要添加资产属性。
支持将自动发现到的资产自动添加到资产库中,并可对这些资产记录信息进行补充修改。
支持手工录入资产记录,也可以基于系统提供的资产模板(XLS、CSV、XML格式)进行资产批量导入。
7.2可用性监测可用性监测主要通过监测各类安全设备,实时了解设备的可用性状态,出现异常时可根据预先设定的阈值产生告警。
除安全设备以外的其他设备或系统的可用性监测可作为安全管理系统中的可选模块,各建设单位可以根据本单位的实际情况自主选择。
7.2.1安全设备监测安全管理系统能够对网络中的安全设备进行可用性监测,应对设备的通断及时告警。
同时安全管理系统还应具备安全设备的健康度监测。
通过对关键运行指标,包括CPU、内存、磁盘的运行状态数据进行阈值管控,实时产生相关报警,执行预定义的响应动作。
7.2.2系统运行环境监测安全管理系统应能对网络中的服务器、数据库、中间件、存储、通用服务、网络设备等对象的可用性进行监测,同时安全管理系统还应具备上述对象的健康度监测,可对关键指标设置阈值,触发阈值时可产生告警,执行预定义的响应动作。
7.2.3业务系统监测安全管理系统除能按设备和系统类型对业务系统相关对象的可用性进行监测外,还应提供以业务系统为监测对象的监测功能,可以集中监测业务系统的URL响应时间等关键可用性指标,分析当前业务系统的可用性,当业务系统异常时,通过业务监测视图可以迅速定位故障原因。
7.3事件管理对所有IT资源产生的安全事件信息进行统一的实时监控和关联分析,对来自外部的入侵和内部的违规和误操作行为进行监控、审计分析、调查取证,并出具报告,实现IT资源的合规性管理。
信息安全事件管理包括事件的采集、标准化、集中存储、实时展现、关联分析和应急响应。
7.3.1事件采集安全管理系统可对信息系统中的网络设备、安全设备、主机系统、应用系统及其他系统进行日志采集。
为避免采集日志过程中对业务系统造成影响,需制定合理的日志采集及传输策略。
为保证系统可靠工作,系统应可以监控各采集点的日志传输状态,当有采集点无法正常发送日志信息时,系统可以自动进行告警,通知管理员进行处理。
67.3.2事件标准化安全管理系统对系统采集的日志信息进行事件标准化处理,将异构的日志变成系统可识别的统一的日志,屏蔽了不同厂商以及不同类型的产品之间的日志差异。
7.3.3事件展现安全管理系统应提供多种形式的事件展现方式,包括列表、图表等方式。
安全管理系统应提供多种条件的过滤查询,实现不同场景的事件查看。
提供当前事件和历史事件的查询功能,提供事件导出功能。
7.3.4事件集中存储安全管理系统应具备海量的数据存储能力,应有合理的数据存储管理及备份恢复策略,可支持磁盘阵列柜、存储区域网络(StorageAreaNetwork,SAN)和网络储存设备(NetworkAttachedStorage,NAS)等存储方式。
7.4关联分析安全管理系统应提供关联分析功能,将来自不同事件源的事件进行分析,能从海量事件中过滤出有逻辑关系的事件序列,并根据告警策略、资产的业务价值和资产的脆弱性,形成相应的告警事件。
安全管理系统应提供关联分析规则,针对主机扫描、端口扫描、DDOS攻击、蠕虫、口令猜测、跳板攻击等攻击行为提供相应的关联分析规则。
安全管理系统应内置关联分析规则库,提供界面友好完备的规则编辑器,使事件分析人员可方便地编写关联分析规则。
安全管理系统可依据最佳实践原则自动判断所收集的各类事件的重要性,并形成相应的告警。
针对关联分析产生的安全事件可追溯其关联事件。
7.5统计分析指针对一段时间内的历史信息进行统计和呈现。
可从不同维度对历史信息进行统计,包括信息发生数量、信息排行、疑似攻击和违规事件、不同状态的统计分布;分析人员也可自定义策略进行统计分析。
7.6趋势分析对指定时间段内满足指定条件的事件数量进行趋势分析,生成趋势分析统计图,分析人员可以从宏观上掌握指定时间范围内某类事件的趋势。
7.7告警响应当安全管理系统监测到可用性异常或安全事件时,可以触发预先设定的告警阈值或触发事件分析规则,执行预定义的告警响应动作。
告警响应动作应涵盖常见的响应方式,包括电子邮件告警、手机短信告警、创建工单、通过Syslog或SNMPTrap向第三方系统转发告警事件。
安全管理系统应提供告警过滤功能,在指定时间范围内,同一事件只进行一次告警;或在工单处理期间同一事件只进行一次告警,直到工单处理完毕,重新打开告警。
7.8风险管理安全管理系统需实现被保护资产的风险计算功能,展现当前被保护资产的风险值和风险等级,并进一步计算安全域的风险。
对于单个资产的风险计算,需要依据资产价值、资产当前的脆弱性及资产面临的安全威胁,资产的风险计算结果应比较准确地体现上述三方面的要素对资产安全风险的影响。
在计算得到安全域中资产的安全风险后,可据此计算安全域的风险。
安全管理系统应能以图形化的方式展现当前资产和安全域的风险级别、当前风险的排名统计。
风险管理依据资产管理(需评估资产价值)、资产的脆弱性及资产面临的威胁(针对资产的安全事件)进行安全风险计算。
7.8.1资产价值评估资产价值评价的依据主要是资产对业务系统的重要性,需要在创建资产记录时由管理员根据其在业7务系统中的实际作用来进行评估,并量化为1至5的不同等级,5为最高,1为最低。
7.8.2脆弱性管理创建资产记录并评估其价值后,需要创建并维护资产的脆弱性列表。
资产的脆弱性可由安全服务人员评估后手工创建,也可根据漏洞扫描系统的扫描结果导入生成。
脆弱性赋值由脆弱性的严重程度确定。
安全管理系统应支持国内主流的漏洞扫描系统的扫描结果导入。
支持多次导入漏洞扫描系统的扫描结果,支持漏洞列表的合并及更新。
7.8.3威胁管理资产面临的威胁可根据针对该资产的安全事件来生成,通过相应的安全分析规则,将满足设定条件的事件视为对目标资产的安全威胁,创建相应的威胁记录,威胁的赋值由威胁发生的频率来确定。
7.8.4安全风险计算在获得上述三个相关要素的值后,安全管理系统可以计算目标资产的安全风险,进而可计算所在安全域或所属业务信息系统的安全风险。
安全风险的计算周期可通过配置进行设定。
计算方法建议符合国家标准信息安全技术信息安全风险评估规范(GB/T20984-2007)要求,可采用矩阵法或相乘法,在使用时应予以说明。
7.9安全审计安全管理系统可以根据合规的要求,采集所需的数据,根据预置的或定制的策略及规则模版,生成相应的审计结果数据,对危害信息系统运行及不合规的行为进行报告。
分析人员可自行设定查询条件进行人工审计,获得所需的审计查询结果,并可将结果以文件形式导出。
7.10安全通告安全管理系统提供安全通告功能,可以创建或导入安全风险通告,通告中一般包括通告内容、描述信息、CVE、BUGTRAQ编号、影响的操作系统及其他信息。
安全管理系统可以根据通告提示受安全风险影响的操作系统,提供受影响的被保护资产列表。
安全管理人员可以据此采取相应的保护措施。
7.11工单管理安全管理系统提供工单管理的功能,支持创建工单的流转流程。
支持手工创建工单,也可在告警响应动作中创建工单,将工单指派给指定的处理人。
7.12报表管理安全管理系统应内置常用统计报表的报表模版,并提供界面友好的报表编辑器以使用户可以自定义报表。
生成的报表可以多种格式导出,包括PDF、HTML、CSV、XLS。
应支持报表调度任务,可以在指定时间内一次或周期性执行报表任务。
还应支持报表投递功能,可以将生成的报表以电子邮件方式直接发送给指定接收人。
7.13权限管理安全管理系统在权限管理上应做到系统管理员、安全管理员和安全审计员三权分立。
权限的分配采取基于角色的访问控制机制,根据需要创建角色和用户,为角色赋予权限,为用户赋予所需的角色。
7.14存储管理安全管理系统应能够存储海量数据,提供自动的数据备份归档功能,可以根据预设的策略定时自动归档数据。
对于已归档的数据,可以根据需要重新导入系统以进行查询和统计分析。
7.15级联管理安全管理系统提供松耦合的级联功能,实现跨省事件协同处理。
上级系统可以监测下级系统的运行状态;下级系统的安全风险、安全告警和安全统计报表可根据需要定期上报给上级系统;下级系统可按要求将满足条件的事件转发给上级系统;中央级节点建立知识库,下级节点可以访问并可上传案例。
7.16知识库管理8安全管理系统提供知识库管理功能,知识库类别包括但不限于规则库、案例库、预案库、策略库、漏洞库。
用户可以根据需要扩展知识库的类别,知识库的内容可以导入、导出,支持对知识库的全文检索和按关键字检索。
中央级节点应创建共享知识库,各下级节点通过安全管理系统可访问中央级节点的知识库,并可上传案例。
7.17综合展现安全管理系统提供多种可视化的数据展现方式,包括事件列表、事件统计图、趋势分析图、事件GIS图、可用性统计图、业务系统健康统计图、资产及业务系统风险统计图。
针对不同的角色,可根据其工作职责和关注重点,提供不同的数据展现视图,视图的内容可灵活定制。
支持以方便灵活的方式与其它B/S架构系统的页面整合。
7.18时间同步安全管理系统支持时间同步功能,要求被采集对象使用相同的NTP时间源。
7.19数据采集与预处理安全管理系统支持主动和被动两种形式的数据采集方式,支持常见的标准协议,包括Syslog、SNMP、SNMPTrap、LogFile、Opsec、ODBC/JDBC等协议。
支持对采集的数据进行过滤、归并、将数据转换为内部统一格式。
原始数据应单独保存在一个独立的数据库或便于检索的文件中,其保存期应满足合规要求。
如果原始数据不能独立存储,而是与转换为内部统一格式后的数据一起保存在系统的数据库中,应满足其内容及格式均未被修改,其保存期限应满足合规要求。
系统能够对历史数据进行追溯。
数据的存储需要有序、归类并适当建立索引,在查询时能够及时响应。
7.20系统互联安全管理系统在管理方式上应能够依据管理制度的需求实现分级管理,并可根据级联管理的需求提供上下级级联的指令和数据的传输。
同时,安全管理系统应有良好的接口架构设计,对外实现对其他安全子系统的接入以及与第三方管理系统的互联和互操作,并提供二次开发接口,可通过接口开发扩展系统功能。
7.21扩展性安全管理系统应使用模块化设计,可根据需要进行功能扩展。
支持包括Syslog、SNMPTrap、WebService等多种主流接口标准,可方便地实现对各类设备的采集以及与第三方系统的互联。
对新设备、新系统的支持应通过编写、加载配置文件的方式实现,而不需要对系统的代码进行修改。
7.22访问控制安全管理系统支持系统管理员、安全管理员和安全审计员三类角色,在权限上做到三权分立。
系统中不设置超级管理员角色。
7.23系统升级系统软件版本升级时,应实现平滑升级,升级不应对原系统中已有数据造成影响。
对于规则库、案例库及其他知识库内容,可通过提供离线升级包的方式实现增量式升级。
8系统性能要求
升级会员 