ICS 35.020 CCS L 01 苏 DB 3 2 0 5 州 市 地 方 标 准 DB3205/T 1043—2022 数字政府 城市网络安全威胁流量监测 数据管理规范 Digital government-Specification for data management of network traffic monitor 2022-08-19 发布 2022-08-26 实施 苏州市市场监督管理局 发 布 DB3205/T 1043—2022 目 次 言............................................................................................................................................................... II 言............................................................................................................................................................. III 范围................................................................................................................................................................... 1 规范性引用文件............................................................................................................................................... 1 术语和定义....................................................................................................................................................... 1 管理职责........................................................................................................................................................... 2 数据采集........................................................................................................................................................... 2 5.1 数据采集总体要求............................................................................................................................... 2 5.2 安全威胁监测数据要求.......................................................................................................................2 5.3 流量元数据采集要求........................................................................................................................... 2 5.4 原始数据包和还原文件数据采集要求.............................................................................................. 3 6 数据传输........................................................................................................................................................... 3 6.1 数据传输过程....................................................................................................................................... 3 6.2 数据传输方式....................................................................................................................................... 3 7 数据存储与使用............................................................................................................................................... 4 8 数据安全........................................................................................................................................................... 4 8.1 审计日志数据要求............................................................................................................................... 4 8.2 报警日志数据要求............................................................................................................................... 4 8.3 数据传输安全要求............................................................................................................................... 4 附录 A（规范性） 输出数据内容和格式..........................................................................................................5 附录 B（规范性） 攻击告警分类....................................................................................................................15 附录 C（资料性） 网络威胁流量监测设备的功能要求和性能要求........................................................... 19 参考文献............................................................................................................................................................... 21 前 引 1 2 3 4 5 I DB3205/T 1043—2022 前 言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件由苏州市公安局提出并归口。 本文件起草单位：苏州市公安局、国家计算机网络与信息安全管理中心江苏分中心、苏州市质量和 标准化院、三六零科技集团有限公司、三六零数字安全科技集团有限公司、苏州三六零安全科技有限公 司、江苏百达智慧网络科技有限公司、北京天云海数技术有限公司、北京网御星云信息技术有限公司、 亚信科技（成都）有限公司、山石网科通信技术股份有限公司。 本文件主要起草人：李晶、庄唯、袁欣、厉白、高威、朱泽洲、赵云、顾弘、周文渊、李姝、殷倩、 张欣艺、宋剑超、罗冬雪、邬鹏程、宋贵生、龙伟、杨凯、季海晨。 本文件为首次发布。 DB3205/T 1043—2022 引 言 近年来，随着信息化建设的不断发展，网络安全事件层出不穷，其种类、手段也呈现出了多样化的 态势，网络安全形势面临着一个又一个的威胁与挑战。为了准确把握安全威胁、风险和隐患，有效应对 网络安全的严峻威胁和挑战，获取海量网络安全数据，并且对海量安全数据进行分析，获取全面实时的 网络安全态势和趋势就变得尤为重要。而在海量的网络安全数据中，网络安全威胁流量监测设备采集的 数据占有较大的比重，因此更应引起重视。 当前，不同厂商提供的设备或系统所产生的网络安全威胁流量监测数据格式不统一、不规范，客观 上对网络安全体系的建设和相关平台与系统的数据对接造成了不利影响。在这种情况下，我们决定制定 网络安全威胁流量监测数据的管理规范，对监控数据的类型、数据内容和管理要求等内容做出明确规定， 其目的是确保网络安全威胁流量监测数据能高效、便捷地与城市网络安全防护平台进行数据传输，相关 管理工作能高效、持续、稳定地进行，从而保障城市网络安全的稳定可靠。 本文件对数据采集、数据传输、数据存储与使用、数据安全等多方面提出了明确的要求，以此