交通运输网络安全监测预警系统技术规范 JTT1418-2022.pdf

目次前言1 范围12 规范性引用文件13 术语和定义14 缩略语25 系统架构及总体要求2 5.1 系统架构2 5.2 总体要求46 功能要求4 6.1 数据采集4 6.2 数据处理5 6.3 数据存储5 6.4 安全分析6 6.5 威胁情报管理7 6.6 风险识别8 6.7 网络安全预警研判8 6.8 信息通报8 6.9 响应处置97 性能要求108 展示要求10 8.1 展示内容10 8.2 展示方式109 接口要求10 9.1 系统级联接口10 9.2 数据共享接口1010 安全要求1111 运行管理11参考文献12JT/T 14182022前言本文件按照 GB/T 1.12020标准化工作导则 第1 部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:交通运输信息安全中心有限公司、中国交通通信信息中心、中国科学院信息工程研究所、公安部第三研究所、北京天融信网络安全技术有限公司、长扬科技(北京)有限公司、上海观安信息技术股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司。本文件主要起草人:林榕、杜渐、戴明、邢宏伟、刘宇畅、杨凤英、刘玉岭、陈妍、梅乐翔、张铮、杜丹、李飞、韩冬旭、贺文涛、刘天宇、杨剑、汪义舟、谢江、赵国全、梁伟。JT/T 14182022交通运输网络安全监测预警系统技术规范1 范围本文件规定了交通运输网络安全监测预警系统的系统架构及总体要求、功能要求、性能要求、展示要求、接口要求、安全要求与运行管理。本文件适用于交通运输行业网络安全监测预警系统的建设、测试、运维与管理。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/Z 209862007 信息安全技术 信息安全事件分类分级指南GB/T 222392019 信息安全技术 网络安全等级保护基本要求GB/T 243632009 信息安全技术 信息安全应急响应计划规范GB/T 25069 信息安全技术 术语GB/T 285172012 网络安全事件描述和交换格式GB/T 29246 信息技术 安全技术 信息安全管理体系 概述和词汇GB/T 335612017 信息安全技术 安全漏洞分类GB/T 366432018 信息安全技术 网络安全威胁信息格式规范GB/T 370272018 信息安全技术 网络攻击定义及描述规范3 术语和定义GB/T 25069 和 GB/T 29246 界定的以及下列术语和定义适用于本文件。3.1威胁 threat可能对系统或组织造成危害的不期望事件的潜在缘由。来源:GB/T 292462017,2.833.2资产 asset对组织具有价值的信息或资源,是安全策略保护的对象。来源:GB/T 209842007,3.13.3网络安全事件 cybersecurity incident由于自然或者人为以及软硬件本身缺陷或故障的原因,对网络或信息系统造成危害,或对社会造成负面影响的事件。来源:GB/T 329242016,3.43.4网络安全监测 cybersecurity monitoring1JT/T 14182022通过对网络安全事件和安全设备、主机/服务器、数据库、中间件、应用系统等资产的日志和流量数据进行采集分析,实现网络安全的风险识别、威胁发现、预警通报及可视化展示。来源:GB/T 366352018,3.1,有修改3.5网络安全预警 cybersecurity warning针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出的安全警示。来源:GB/T 329242016,3.5,有修改3.6威胁情报 threat intelligence一种与已有或潜在的威胁相关,用于对威胁或危害的响应或处理决策提供信息支持的知识。注:威胁情报包括上下文、机制、标示、含义和能够执行的建议等。3.7设备指纹 device fingerprint用于唯一识别设备特征或者独特设备属性的可验证和可比对的数据集。4 缩略语下列缩略语适用于本文件。CPU:中央处理器(Central Processing Unit)FTP:文件传送协议(File Transfer Protocol)HTTP:超文本传输协议(Hyper Text Transport Protocol)IP:互联网协议(Internet Protocol)JSON:JavaScript 对象简谱(JavaScript Object Notation)POP3:邮局协议版本 3(Po