DB4105／T 196-2022  政务网络安全监测规范

5.2.4.1第三方平台通报的告警数据。

5.2.4.2第三方脆弱性报告，如安全厂家漏洞扫描和配置核查扫描结果

5.2.4.2第三方脆弱性报告，如安全厂家漏洞扫描和配置核查扫描结果

5. 3. 1流量采集

部署流量采集设备剪力墙标准规范范本，通过流量镜像的方式获取流量并进行还原、检测、告警。

5. 3. 2日志采集

通过Sys1og、WMI、JDBC、FTP、SFTP等方式。

5.3.3威胁情报采集

过自定义威胁情报、网络升级、第三方导入等刀

5.3.4 第三方数据

通过第三方数据本地导入、网络更新等方式。

视采集内容的流量或数据格式的不同，配置相关规则达到日志信息归一化。

6.1资产管理及风险分析

DB4105/T1962022

对主机设备、网络设备、安全设备、应用系统进行管理。能够展现资产基础信息（资产名称 证和分组等）和服务信息（端口、协议和服务等），也能够自定义资产属性标签，按照资产组、 置、业务、组织结构等维度对资产进行分组管理

6.1.2.1能够对资产的漏洞信息进行管理，包括且不限于： a）能够导入并识别漏洞扫描器输出的漏洞报告； b）按照漏洞报告模板手工撰写的漏洞报告。 6.1.2.2导入的漏洞信息可以和资产自动关联匹配。

6.1.2.1能够对资产的漏洞信息进行管理，包括且不限于

6.1.3资产分析及风险展示

6. 1. 3. 1 单一资产

按照单一资产对资产进行风险评估、列表展示。内容包括资产名称、资产风险值、资产告警委 漏洞数和资产失陷状态标识等信息。可按照单一资产图形化展示资产告警及漏洞数量，也可按照 级、处置状态等信息进行展示。

6. 1. 3. 2资产分组

按照资产分组对资产进行风险评估、列表展示。内容包括资产组名称、资产组风险值、资产组告警 数、资产组漏洞数和资产组失陷主机识等信息。可按照资产分组图形化展示资产告警及漏洞数量，也可 按照趋势、等级、处置状态等信息进行展示。

6.1.3.3条件查询

DB4105/T1962022

单一资产及资产分组的风险条件查询，查询条件包括资产IP地址、资产名称、资产风险值和资产风 险等维度。

6.2. 1特征码匹配

将待检测内容与恶意流量特征、恶意文件特征、恶意代码特征等特征值进行匹配，然后根据匹配 断待检测的内容是否被感染

6. 2. 2威胁情报

能够基于证据来描述威胁的知识信息，包括威胁相关的上下文信息、威胁所使用的方法机制、威 指标、攻击影响以及应对行动建议等。也能够进行自定义告警匹配、批量情报导入以及威胁情报 查询能力，包括地址、域名、URL、端口等。

场景化模型能够对海量应用类日志通过大数据分析技术，进行模式匹配、异常发现。基于 技术提供丰富的场景化分析、使用图表等可视化手段，展示特定主体场景下的可疑行为。包括 外联、异地账号登录、弱口令检测等。

能够对已产生的威胁信息、（情报信息、漏洞信息、资产信息和日志信息等）进行分析研判，并结合 相关安全设备的能力，进行人工分析研判，确认是否形成网络安全事件。

基于多种证据线索启动调查任务，包括日志线索、关联事件线索、告警线索、漏洞等。

7. 2. 2 调查取证

提供调查工作台，通过对需要调查的安全事件创建实例，将调查相关的告警、日志、文本、关联事 件、漏洞、图片信息等都录入调查实例

能够与监测范围内各政务部门的安全设备进行产品联动，在发生安全事件时向安全设备下发处置阻 断命令市政定额、预算，及时阻断安全威胁的活动。

DB4105/T1962022

政务部门收到网络安全事件通报时， 需按通报内容、要求和建议及时整改与反馈。

政务管理部门需持续跟踪网络安全事件处置情况，强化网络安全事件的闭环管理，若有未按时解决 安全事件的情况船舶标准，可协同相关部门做好网络安全事件处置

DB4105/T 1962022

GB/T5271.8信息技术词汇第8部分：安全 [2] GB/T36635信息安全技术网络安全监测基本要求与实施指南 [3] GB/T36643信息安全技术网络安全威胁信息格式规范 [4] GW0204国家电子政务外网安全管理系统技术要求与接口规范 [5] T/CIIA005政务网络安全监测平台总体技术要求 [6] T/CIIA007政务网络安全监测平台数据总线结构规范