DB34／T 4282-2022  电子政务外网安全监测平台技术规范

政务部门实现上下互联互通的网络，政务网络通过接入设备接入广域骨干网链路。监测内容如 ）路由器：配置监测、设备状态监测、设备故障监测、运维操作审计监测、脆弱性监测； ）广域网链路：异常流量监测。

同级政务部门实现互联互通的网络，各政务部门通过接入设备接入城域网链路。监测内容如下： a）城域网核心网络设备和安全设备、接入单位的接入设备：配置监测、设备状态监测、设备故障 检测、运维操作审计监测、脆弱性监测 b）城域网链路：异常流量、病毒木马监测

承载政务部门自身业务和托管业务的网络。按照分区分域管理原则，局域网义可分为如下两个安全 域： 互联网区：政务部门通过逻辑隔离安全接入互联网的网络区域，承载政务部门利用互联网开展 的公共服务、社会管理、经济调节和市场监管等业务应用； 6 外网公用区：与互联网接入区逻辑隔离建筑造价、预算、定额，承载政务部门（非互联网）公共服务，以及跨部门、 跨地区的业务协同和数据共享等业务应用； C 监测内容：用户接入电子政务外网的局域网络和信息系统的安全防护与监测，由接入单位按照 信息安全等级保护相关要求和国家标准进行自主建设和管理。

包括互联网区和外网公用区。监测内容包含网络边界流量、云主机审计日志和虚拟网络设备日志

6. 2. 1 采集范围

应符合GB/T22239的相关规定。涵盖政务部门网络互联网接入区和外网公用区的网络核心节 移动接入点等关键节点。如果政务部门有对广域网或者城域网的管理职责，监测范围应相应扩 域网和城域网的相关节点。

6. 2. 2 采集内容

应监测采集范围内各网络区域的网络流量、资产信息、威胁情报、脆弱性信息、知识数据 第三方平台数据、各类安全基础资源/服务等产生的告警数据、与安全相关的审计日志，实现资

6.3安全威胁异构检测

6.3.1已知威胁检测

DB34/T42822022

应支持针对已知威胁的检测，通过特征码匹配、关联分析、规则库匹配、威胁情报比对等技术对已 知威胁进行分析检测

6.3. 2 未知威胁检测

应支持针对未知威胁的检测，通过机器学习、沙箱安全分析、用户和实体行为分析等技术对未知威 胁、高级持续性威胁进行分析检测。

6. 4. 1行为审讯

应具备行为审计功能，审计覆盖到每个用户，对重要的用户行为进行审计，以便于开展责任

6. 4. 2事件审计

应具备事件审计功能，对监测范围内发生的关键事件进行审计，以便于开展事件溯源。

6. 4. 3 记录留存

应具备数据治理能力，支持通过配置相关解析规则、过滤规则来达到标准化、过滤、丰富日志 且的，相关规则应支持自定义

应支持建立相应的流量元数据、资产数据、日志数据、告警数据、规则数据、威胁情报数据等 题库，支持可伸缩的数据存储架构，满足数据量持续增长需求。业务相关的敏感数据加密存储， 储时间按照网络安全法及行业主管部门的规定来确定

6.8网络安全监测管理

6.8.1网络安全监测态势展示

应支持对综合态势、威胁态势、资产态势等多种态势进行展示，支持通过多种表现形式对各维 态势进行展示

6. 8. 2通报预警

6. 8. 3应急处置

应支持应急处置功能，通过安全事件处置流程编排，联动相关安全产品，统一调度相关人员完 处置。

DB34/T 42822022

石油化工标准规范范本DB34/T 42822022

应支持获取内部或外部原始样本或数据，并对其进行归类、分析、加工、处理后生成威胁情报，可 对生成的情报进行日常更新与管理。并支持提供开放接口，以标准接口的方式来集成第三方威胁情报平

6. 9. 2 存储查询

6. 9. 4 共享使用

应支持提供统一的API接口，供威胁情报实时分析使用和批量查询使用。并支持通过查询 来开展威胁情报的对外共享使用

房屋建筑标准规范范本6. 10. 1 纵向对接

应文持与上下级平合的数据交且和对接， 能够通过必要的定制或使用内置的接口服务，实 级平台的信息交换和管理协同

6. 10. 2 横向对接