国家电子政务外网标准 GW0204—2014 国家电子政务外网安全监测体系 技术规范与实施指南 Technical Requirements and Implementation Guide for Security Monitoring System of National E-Government Network 2014 - 11 - 13 发布 国家电子政务外网管理中心 2015 - 1 - 1 实施 目 次 前 言..................................................................... I 引 言.................................................................... II 1 范围 ....................................................................... 1 2 规范性引用文件 ............................................................. 1 3 术语和定义 ................................................................. 1 4 缩略语 ..................................................................... 2 5 国家电子政务外网安全监测体系 ............................................... 2 5.1 技术框架............................................................... 2 5.2 监测分类............................................................... 3 5.3 监测对象与内容......................................................... 3 5.3.1 网络监测范围与内容 ................................................. 3 5.3.2 业务区域网络监测范围与内容 ......................................... 4 5.3.3 业务监测范围与内容 ................................................. 4 5.4 分析与展示............................................................. 5 5.4.1 分析............................................................... 5 5.4.2 展示............................................................... 5 5.5 级联监测............................................................... 5 6 实施指南 ................................................................... 5 6.1 实施原则............................................................... 5 6.2 实施目标............................................................... 5 6.3 实施阶段划分........................................................... 6 6.4 实施内容............................................................... 6 6.5 实施方式............................................................... 6 附 录 A （规范性附录） 省、地市级政务外网广域网与城域网安全监测范围示意图 ... 8 附 录 B （规范性附录） 安全监测体系产品支撑 ................................. 9 前 言 根据我国有关法律、法规和技术规范的相关规定，落实国家电子政务外网安全监测体系建设要求， 并结合国家电子政务外网安全监测体系建设实际需求和建设经验，编制本标准。各级政务外网建设运维 单位可依据本标准有计划、有步骤地建设和完善安全监测体系。 本标准由国家电子政务外网管理中心提出并归口。 本标准起草单位：国家电子政务外网管理中心、北京天融信科技股份有限公司、北京启明星辰信息 安全技术有限公司、东软集团股份有限公司、网神信息技术（北京）股份有限公司、深圳华为技术有限 公司、湖南蚁坊软件有限公司、深圳市奥联科技有限公司。 本标准主要起草人：吕品、罗海宁、马英、周民、邵国安、张锐卿、刘震、卢珂、范永、苑向兵、 丁凌风、李经通、孙燕辉、徐浩、陈亮、范仲辉、倪德东、郑玮、吴昊。 I 引 言 本标准包括国家电子政务外网安全监测体系技术框架及实施指南，适用于指导各级政务外网建设运 维单位开展安全监测体系规划设计、建设实施等具体工作，也可为接入政务外网的各级政务部门安全监 测系统建设提供参考。 II 国家电子政务外网安全监测体系技术规范与实施指南 1 范围 本标准适用于指导各级政务外网安全监测体系的规划、设计、建设和管理等相关工作。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其后所有的 修改（不包括勘误的内容）或修订版均不适用于本标准。凡是不注明日期的引用文件，其最新版本适用 于本标准。 GB/T 5271.8 信息技术 词汇 第 8 部分：安全 GB/T22239 信息安全技术 信息系统安全等级保护基本要求 GB/T20985 信息技术 安全技术 信息安全事件管理指南 3 术语和定义 GB/T 5271.8-2001 确定的以及下列术语和定义适用于本标准。 3.1 安全监测 Security Monitoring 以信息安全事件为核心，通过对网络和安全设备日志、系统运行数据等信息的实时采集，以关联分 析等方式，实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。 3.2 网络安全态势感知 Network Security Situation Awareness（NSSA） 在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、分析、图形化显示以及 预测未来一段时间内的发展趋势。 3.3 网络管理系统 Network Management System（NMS） 提供拓扑管理、设备配置、故障告警、性能监测和报表等网络运维管理功能，实现对网络运行的集 中统一监测与配置管理。 3.4 安全策略 Security Policy 为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 3.5 安全威胁 Security Threat 某个人、物、事件或概念对某一资源的保密性、完整性、可用性、真实性或可控性所造成的危害。 3.6 信息安全事件 Information Security Incident 由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大 1 可能性。 3.7 安全监测体系 Security Monitoring System 综合利用动力环境管理、网络管理、终端管理、日志管理、风险管理、审计等安全管理功能，采取 多种技术手段和安全管理规范，对运行环境、网络设备、安全设备、操作系统、应用系统等 IT 资源实 现实时安全监测与趋势分析，通过各级政务外网安全监测系统的上下互联，以及与网络管理系统、审计 系统等互联，实现体系化部署与监测管理。 3.8 互联网统一出入口 各级政务外网城域网设置互联网接入区为政务部门提供接入到互联网的统一网络通道，互联网统一 出入口在本标准中特指该网络通道与互联网 ISP 的边界。 4 缩略语 VPN 虚拟专用网 (Virtual Private Network) SQL 结构化查询语言 (Structured Query Language) ISP 互联网服务提供商 (Internet Service Provider) 5 国家电子政务外网安全监测体系 5.1 技术框架 国家电子政务外网安全监测体系技术框架如图1所示。 图 1 国家电子政务外网安全监测体系技术框架图 2 国家电子政务外网安全监测体系技术框架主要内容包括： a) 监测对象层：确定国家电子政务外网安全监测的对象与范围，网络监测包括广域网、城域网、 局域网监测，业务区域网络监测包括公用网络区、互联网接入区、专用网络区监测，业务监测包含基础 支撑系统、业务系统、托管业务监测； b) 监测内容层：根据监测目标，确定重点监测内容。监测内容包括设备与系统配置监测、设备状 态监测、设备故障监测、系统运行状态监测、异常流量监测、脆弱性监测、病毒与木马监测、拒绝服务 攻击监测、运维审计监测、数据交换监测、网络链路监测、认证与授权监测、网站安全监测、互联网行 为监测； c) 综合分析层：实现监测数据的集中采集、存储和转发，为综合分析提供基础元数据。利用综合 日志分析、性能与可用性分析、安全管理分析、安全策略分析、风险分析、脆弱性分析、安全态势分析 等技术，对监测内容进行综合分析，同时实现安全态势、知识库等的共享； d) 交互展示层：根据决策者、管理人员和运维人员不同的需求和关注重点，将系统的风险、安全 态势、脆弱性、流量、合规性等统计分析结果以报表、图形等直观的方式进行展示； e) 标准制度：安全监测体系所涉及的信息系统要符合国家安全等级保护的相关要求和标准规范以 及国家电子政务外网相关标准规范，同时在运维过程中遵循信息安全管理体系、信息技术基础架构库等 体系要求，提升运维与管理水平。 5.2 监测分类 国家电子政务外网安全监测主要包括以下几种类型： a) 安全事件监测：通过多种方式对各类安全事件进行监测，并对事件进行分类、分级。通过对事 件的分析并发现问