1、ICS35.240.01L67DB32江苏省地方标准DB32/T 3514.52019电子政务外网建设规范 第 5 部分:安全综合管理平台技术要求与接口规范Construction Specifications of E-Government NetworkPart 5: Technical requirements and interface specifications of safety integratedmanagement platform2019 - 01 - 12 发布2019 - 01 - 30 实施江苏省市场监督管理局发 布DB32/T 3514.52019I目次前言.IV
2、1范围.12规范性引用文件.13术语和定义.14缩略语.25建设原则与目标.35.1建设原则.35.2建设目标.36系统总体架构.36.1总体功能架构.36.1.1扫描采集层.46.1.2安全管理层.46.1.3分析展现层.46.1.4对外接口层.46.2总体技术要求.46.2.1系统技术架构.46.2.2系统运行环境.56.2.3部署方式.56.2.4数据库.57系统功能要求.57.1资产管理.57.2可用性监测.57.3事件管理.57.4脆弱性管理.57.5关联分析.57.6态势分析.57.7统计分析.57.8安全响应.67.9风险管理.67.10安全审计.67.11安全通告.67.12合
3、规性管理.67.13策略管理.67.14工单管理.67.15报表管理.7DB32/T 3514.52019II7.16权限管理.77.17存储管理.77.18级联管理.77.19知识库管理.77.20综合展现.77.21数据采集与预处理.77.22时间同步.87.23自动运维.87.24网络流量行为分析.87.25安全监控.88系统性能要求.88.1稳定性指标要求.88.2数据处理性能.88.2.1省级安全综合管理平台性能要求. 88.2.2市/县级安全综合管理平台性能.88.3数据存储要求.99自身安全性.99.1等级保护合规性要求.99.2系统安全要求.910安全综合管理平台接口.910.
4、1总体框架.910.2数据采集接口.1010.2.1接口描述.1010.2.2数据采集方式要求.1010.2.3数据采集内容要求.1010.3系统级联接口.1110.3.1接口协议.1110.3.2接口格式定义.1110.3.2.1定义.1110.3.2.2函数基本格式.1110.3.3系统级联认证接口.1110.3.4系统运行状态上报接口.1110.3.5风险上报接口.1210.3.6告警上报接口.1210.3.7案例上报接口.1210.3.8远程知识库查询接口.1310.3.9报表上报接口.1310.3.10安全通告接口.1310.4外部接口.1310.4.1接口描述.1310.4.2外部
5、接口要求.13DB32/T 3514.52019III10.4.3外部接口方式.1310.4.4外部数据导入接口.1410.4.5内部数据导出接口.1410.4.6与其他系统动态数据接口.14附录 A(规范性附录)电子政务外网安全综合管理平台接口规范.15DB32/T 3514.52019IV前言DB32/T 3514-2018 电子政务外网建设规范分为八个部分:第 1 部分:网络平台;第 2 部分:IPv4 地址、路由规划;第 3 部分:IPv4 域名规划;第 4 部分:安全实施指南;第 5 部分:安全综合管理平台技术要求与接口规范;第 6 部分:安全接入平台技术要求;第 7 部分:电子认证
6、注册服务机构建设;第 8 部分:运维服务。本部分为DB32/T 3514-2018电子政务外网建设规范第5部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由江苏省人民政府办公厅电子政务办公室提出并归口。本部分起草单位:江苏省人民政府办公厅电子政务办公室。本部分起草人:吴中东、李强、钱俊、朱德宇、王泉、叶纪华、杭欣竹、熊章远。DB32/T 3514.520191电子政务外网建设规范 第 5 部分:安全综合管理平台技术要求与接口规范1范围本标准规定了电子政务外网安全综合管理平台技术要求与接口规范的术语和定义、 缩略语、 建设原则与目标、系统总体架构、系统功能要求、系统性能要求、自身
7、安全性、安全综合管理平台接口。本部分适用于全省电子政务外网安全综合管理平台的功能、性能、安全性、部署方式、接口等技术要求,指导全省电子政务外网安全综合管理平台规划、设计和建设,也可作为各级电子政务外网管理部门进行指导、监督和检查的依据。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 2260中华人民共和国行政区划代码GB/T 18030信息技术 中文编码字符集GB/T 20984-2007信息安全技术 信息安全风险评估规范GB/Z 20986-2007信息
8、安全技术 信息安全事件分类分级指南GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求3术语和定义3.1安全管理系统Security Operation Center(SOC)采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事件,并运用关联分析技术、智能推理技术和风险管理技术,实现对安全事件信息的深度分析和识别,能快速做出报警响应,实现对安全事件进行统一监控分析和预警处理。3.2网络管理系统Network Mana
9、gement System(NMS)提供拓扑管理、 设备配置、 故障告警、 性能监测和报表管理功能, 实现对网络运行的集中统一管理。3.3脆弱性VulnerabilityDB32/T 3514.520192信息技术、信息产品、信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对信息系统的安全造成损害,从而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的安全。脆弱性又称为安全漏洞。3.4安全威胁Security Threat某个人、物、事件或概念对某一资源的保密性、完整性、可用性、真实性
10、或可控性所造成的危害。3.5信息安全事态 Information Security Event系统、 服务或网络的一种可识别的状态的发生, 它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。3.6信息安全事件 Information Security Incident采集的单个或一系列的安全事态,包括各类日志、操作和其他系统或设备报送的报警信息。3.7告警Alarm针对收集到的各种安全事件进行综合关联分析后形成的报警事件。3.8Syslog 协议TCP/IP 网络中用于传输系统日志的标准,设备和系统在记录和转发日志时应遵循该标准。3.9Web service基于
11、网络的、分布式的模块化组件,它执行特定的任务,遵守具体的技术规范,其它应用通过使用相应的规范,可与它进行互操作。3.10BUGTRAQ一个公告计算机安全问题的列表, 包括安全漏洞相关公告和利用这些漏洞的方法, 以及如何修复它们。4缩略语SOA面向服务的体系结构(Service-Oriented Architecture)DB32/T 3514.520193CVE公共漏洞和暴露(Common Vulnerabilities & Exposures)WSDL 网络服务描述语言(Web Service Description Language)5建设原则与目标5.1建设原则安全综合管理平台按照以下原
12、则进行建设:a) 按照电子政务外网统一规划,省、市政务外网应分别建成安全综合管理平台,与国家政务外网形成三级系统级联;县级政务外网可根据自身情况建设安全综合管理平台,与上级系统级联;b) 各级安全综合管理平台应部署于本级政务外网的安全管理区域, 跨区的安全相关信息的采集可通过带外管理方式发送到安全综合管理平台;c) 已建和在建的安全综合管理平台按照本规范要求实现级联, 纳入政务外网统一的安全管理体系中;d) 部门接入网的边界安全由各部门按照相应等级保护防护等级进行安全防护, 各级部门接入网终端安全由各级城域网管理部门负责统一管理。5.2建设目标安全综合管理平台建设应实现如下目标:a) 集成不同
13、厂商的安全设备, 实现各类安全设备日志信息的实时采集、 统一监测和集中管理,并具备较强的扩展能力;b) 具备大数据处理能力,通过对各类安全数据的加工、存储、分析,实现安全态势感知,为安全决策提供依据;c) 具备完整、可定制的可视化展示界面,实现安全监测与管理、事件告警与预警、流程化事件处理等功能;d) 支持多级系统的级联管理和分级部署, 对外实现与第三方管理系统的互联互通, 可通过接口开发扩展系统功能。6系统总体架构6.1总体功能架构安全综合管理平台监测和管理安全设备的运行状态,对安全事件、脆弱性、配置、可用性与安全相关的数据进行统一采集、集中分析,并进行宏观可视化展现,发现事件或安全风险时可
14、实时触发告警。安全综合管理平台提供标准的外部通信与数据接口,与上下级平台和第三方系统实现连接。详见图1。DB32/T 3514.520194图 1安全综合管理平台整体功能框架图6.1.1扫描采集层扫描采集层采集安全设备及核心设备的运行状态信息、安全事件信息、脆弱性信息、安全配置信息和流量信息,并将所采集的安全事件信息转化为安全综合管理平台内部统一的数据格式。6.1.2安全管理层通过综合分析方法对采集数据进行关联分析以识别判断安全事件或事态, 生成风险信息、 事件信息、告警信息,由监测与事件处理模块、系统管理与配置模块、基础信息库等组成。监测与事件处理模块主要包括资产管理、可用性监测、事件管理、
15、告警管理、风险管理、安全审计、安全响应、安全通告、脆弱性管理、合规性管理、关联分析、统计分析、态势分析、策略管理、工单管理;系统管理与配置模块主要包括报表管理、权限管理、存储管理、级联管理;基础信息库主要包括规则库、案例库、漏洞库、策略库。6.1.3分析展现层通过可视化的方式将资产信息、网络拓扑、监测对象的运行状态、设备可用性、安全风险、安全事件、安全告警等信息展现给用户,并用工单的形式管理安全风险、事件和告警,采用Portal技术统一展现。6.1.4对外接口层在安全综合管理平台中应构建标准化接口服务层, 实现与上下级安全监测系统、 外部系统接口连接。安全综合管理平台对外接口应具有良好的兼容性
16、, 可方便地与第三方系统进行连接, 支持Syslog事件转发、SNMP Trap事件转发、Web Service接口调用等常用标准接口。6.2总体技术要求6.2.1系统技术架构系统技术架构应采用面向服务的体系架构(SOA),具备跨平台、可伸缩和高可靠的特性。系统采用 B/S访问方式。DB32/T 3514.5201956.2.2系统运行环境支持主流操作系统部署,支持主流网络浏览器。6.2.3部署方式具备灵活的部署方式,支持集中部署、多级部署、集群部署等方式。6.2.4数据库支持主流数据库(含国产数据库)。7系统功能要求7.1资产管理实现对网络中设备和系统对象的管理, 按照安全域、 系统归属等方
17、式管理资源。 提供自动扫描网络、手工录入和批量导入等数据采集功能, 获取相关信息和映射关系。 资产记录中应包括资产名称、 IP地址、类型、责任人、业务价值,以及其安全性、完整性、可用性等资产属性,可根据需要添加资产属性。可通过多种方式查看IP、名称、编号等设备和系统的安全信息。7.2可用性监测通过监测各类安全设备, 实时了解设备的可用性状态, 出现异常时可根据预先设定的阈值产生告警。7.3事件管理对安全设备产生的安全事件信息进行统一的实时监控和关联分析, 对来自外部的入侵和内部的违规和误操作行为进行监控、审计分析、调查取证,实现IT资源的合规性管理。信息安全事件管理包括事件的采集、标准化、集中
18、存储、实时展现、关联分析和应急响应。7.4脆弱性管理通过漏洞信息采集并与潜在安全事件进行关联,提供可视化展示。7.5关联分析安全综合管理平台应内置关联分析规则库, 提供关联分析功能。 将来自不同事件源的安全事件进行分析, 从海量事件中过滤出有逻辑关系的事件序列并匹配告警策略, 依据最佳实践原则结合资产的业务价值和资产的脆弱性,形成相应的告警,以及针对关联分析产生的安全告警可追溯其关联事件。7.6态势分析对指定时间段内满足指定条件的事件进行态势分析,以风险分析、威胁分析、脆弱性分析等为基础生成态势分析结果。7.7统计分析指针对一段时间内的历史信息进行统计和呈现。 可从不同维度对历史信息进行统计,
19、 包括信息发生数量、信息排行、疑似攻击和违规事件、不同状态的统计分布和趋势分析;分析人员也可自定义策略进行统计分析,从宏观上掌握指定时间范围内某类事件的趋势。DB32/T 3514.5201967.8安全响应当安全综合管理平台监测到安全事件时, 触发预先设定的告警或事件响应规则, 执行预定义的响应动作。 告警响应动作应涵盖常见的响应方式, 包括电子邮件告警、 手机短信告警、 创建工单、 通过Syslog或SNMP Trap向第三方系统转发告警事件等。7.9风险管理安全综合管理平台需实现被保护资产的风险计算功能,展现当前被保护资产的风险值和风险等级,并进一步计算安全域或所属业务信息系统的风险,
20、应能以图形化的方式展现当前资产和安全域的风险级别、当前风险的排名统计。对于单个资产的风险计算建议符合GB/T 20984-2007的要求,依据资产价值、资产当前的脆弱性及资产面临的安全威胁,采用矩阵法或相乘法。7.10安全审计安全综合管理平台可根据合规的要求,采集所需的数据,根据预置的策略或定制规则模版,生成相应的审计结果数据, 对危害信息系统运行及不合规的行为进行报告。 分析人员可自行设定查询条件进行人工审计,获得所需的审计查询结果,并可将结果以文件形式导出。7.11安全通告安全综合管理平台提供安全通告功能,可创建或导入安全风险通告,通告中一般包括通告内容、描述信息、CVE、BUGTRAQ编
21、号、影响的操作系统及其他信息。安全综合管理平台可根据通告提示受安全风险影响的操作系统,提供受影响的被保护资产列表。安全管理人员可据此采取相应的保护措施。7.12合规性管理a)安全综合管理平台提供依照GB/T 22240-2008管理备案单位信息,确定系统等级和保护基线;依照GB/T 22239-2008对系统能够进行差距评估,自动生成差距评估报告和整改建议报告 ,跟踪整改任务执行情况;依据GB/T 28448-2012建立不同等级的测评项基础库,提供测评机构和测评专家管理。b)安全综合管理平台提供集中管理检查工作的任务执行,实现检查工作的集中管理,对检查中不同系统不同阶段的工作底稿及成果提供统
22、一管理, 而且可实现检查任务集中管理, 以及不同业务系统、不同级别系统之间的交叉管理。通过一系列安全检测工具,实现主机配置检查、主机病毒检查、主机木马检查、网站恶意代码检查、弱口令检查等,依照GB/T 22239-2008对被检查系统进行差距评估,自动生成差距评估报告 。7.13策略管理安全综合管理平台提供对安全设备进行集中管理,包括基本参数配置、安全策略管理、安全环境设置、故障检测等,可协助用户制定各种级别,针对不同对象(人员、设备、应用)的安全策略,实现企业安全策略的快速导入以及安全策略的集中分级管理。同时支持安全策略的数据导出、版本控制、发布功能,实现企业内所有安全策略的全流程管理。7.
23、14工单管理安全综合管理平台提供工单管理的功能。 管理员可手工创建和派发工单, 也可设定规则由系统在一定条件下自动创建/派发工单。系统支持选择一个或多个安全事件创建工单,通过邮件提醒或短信提醒DB32/T 3514.520197功能以及工单超时处理的功能来提高工单处理的及时性; 提供通过图形化的方式展示工单的处理阶段的监控功能。7.15报表管理安全综合管理平台应内置常用统计报表的报表模版, 并提供界面友好的报表编辑器以使用户可自定义报表。生成的报表可多种格式导出,包括PDF、HTML、CSV、XLS。应支持报表调度任务,可在指定时间内一次或周期性执行报表任务。 还应支持报表投递功能, 可将生成
24、的报表以电子邮件方式直接发送给指定接收人。7.16权限管理安全综合管理平台在权限管理上应做到系统管理员、 安全管理员和安全审计员三权分立。 权限的分配采取基于角色的访问控制机制, 根据需要创建角色和用户, 为角色赋予权限, 为用户赋予所需的角色。系统中不设置超级管理员角色。7.17存储管理安全综合管理平台应能够存储海量数据, 提供自动的数据备份归档功能, 可根据预设的策略定时自动归档数据。对于已归档的数据,可根据需要重新导入系统以进行查询和统计分析。7.18级联管理安全综合管理平台提供松耦合的级联功能, 实现跨市事件协同处理; 上级系统可监测下级系统的运行状态;下级系统的安全风险、安全告警和安
25、全统计报表可根据需要定期上报给上级系统;下级系统可按要求将满足条件的事件转发给上级系统;省级节点建立知识库,下级节点可访问并可上传案例;上级节点可向下级节点推送安全通告,内容包含但不限于安全风险和安全告警。7.19知识库管理安全综合管理平台提供知识库管理功能,知识库类别包括但不限于规则库、案例库、预案库、策略库、 漏洞库。用户可根据需要扩展知识库的类别,知识库的内容可导入、导出,支持对知识库的全文检索和按关键字检索。对于规则库、案例库及其他知识库内容,可通过提供离线升级包的方式实现增量式升级。7.20综合展现安全综合管理平台提供多种可视化的数据展现方式,包括:事件统计图、趋势分析图、可用性统计
26、图、业务系统健康统计图、资产及业务系统风险统计图,也可通过最新的计算机图形技术,基于最佳表现形式建立综合的安全管理可视化平台,比如:事件 GIS 图、通过 3D 技术实现对数据中心的真实展现,构建数据中心物理环境、机房环境、管线、安防监控、网络、主机、存储、安全监控等系统的可视化管理平台,实现所有资产对象及监控信息清晰直观的一站式管理。针对不同的角色,可根据其工作职责和关注重点,提供不同的数据展现视图,视图的内容可灵活定制。7.21数据采集与预处理安全综合管理平台支持主动和被动两种形式的数据采集方式,支持常见的标准协议,包括Syslog、SNMP、SNMP Trap等协议。支持对采集的数据进行
27、过滤、归并、将数据转换为内部统一格式。原始数据DB32/T 3514.520198应单独保存在一个独立的数据库或便于检索的文件中, 其保存期应满足合规要求, 数据的存储需要有序、归类并适当建立索引,在查询时能够及时响应,能够满足对历史数据进行追溯。7.22时间同步安全综合管理平台支持时间同步功能,要求被采集对象使用相同的NTP时间源。7.23自动运维安全综合管理平台支持自动运维功能,在告警规则中关联案例库,当平台出现安全告警时,系统可对安全设备或网络设备自动下发策略或半自动下发策略屏蔽威胁, 而且新的告警处置经审核可保存到知识库中。7.24网络流量行为分析安全综合管理平台支持对网络流量进行全数
28、据采集与监测, 通过对网络流量数据包的分析处理, 可收集网络数据流行为特征,通过对网络流量进行行为分析,分析出网络异常流量数据,从而发现网络中存在的未知威胁。7.25安全监控安全综合管理平台提供对全网络IT资产、 业务系统和安全域的实时监测, 通过平台部署的各个监测设备能够第一时间发现网络中发生的安全事件。 对于下级区域流窜的攻击, 平台也可及时发现并根据通告模板下发通告预警,针对网络中的核心系统、核心数据库、核心区域、核心资产进行重点监控。对于网络中的安全设备和网络设备,平台可通过API、下发指令、WEB操作等手段进行管控。8系统性能要求8.1稳定性指标要求具体包括:a)支持系统主要组件 7
29、*24 小时运行;b)系统年正常运行时间不低于 99.9%;c)对被采集对象的内存资源占用率不超过 5%,对网络带宽占用率不超过 10%。8.2数据处理性能8.2.1省级安全综合管理平台性能要求具体包括:a)原始数据并发采集能力不低于 6000 条/s;b)事件分析处理能力不低于 5000 条/s;c)事件告警延迟不超过 5min;d)查询 1000 万条数据时间小于 10s;e)查询 1 亿条数据时间小于 30s。8.2.2市/县级安全综合管理平台性能具体包括:a)原始数据并发采集能力不低于 4000 条/s;DB32/T 3514.520199b)事件分析处理能力不低于 2000 条/s;
30、c)事件告警延迟不超过 5min;d)查询 1000 万条数据时间小于 20s;e)查询 1 亿条数据时间小于 60s。8.3数据存储要求具体包括:a)数据的保存期限不少于 6 个月;b)系统数据可保存在安全综合管理平台所在服务器的硬盘中,也可保存在专用的存储设备中。9自身安全性9.1等级保护合规性要求依据信息安全等级保护的相关制度和标准要求, 确定安全综合管理平台的安全保护等级。 原则上地市级以上系统安全保护等级不低于第三级,县级系统安全保护等级不低于第二级。9.2系统安全要求在遵循等级保护合规性要求的基础上,安全综合管理平台应重点满足以下安全要求:a)网络通信应采用加密协议;b)重要数据应
31、加密存储;c)系统应提供对其自身运行状态的监测,并可产生告警;d)对系统的操作应记录日志,日志不可删除,系统自身的操作日志查看权限仅授予审计员;e)提供系统配置信息和数据的备份功能, 系统崩溃时可通过已备份的配置信息和数据快速恢复系统。10安全综合管理平台接口10.1总体框架安全综合管理平台的接口主要有三部分组成:数据采集接口、级联接口和外部接口。总体框架如图2所示:DB32/T 3514.5201910图 2安全综合管理平台接口总体框架图a)数据采集接口:是安全综合管理平台从各种监测对象中采集日志数据、脆弱性数据、配置数据和状态数据的接口。b)级联接口: 是处于不同管理层次上的上下级之间进行
32、管理信息和安全运行数据交互的接口。 建立级联关系的安全综合管理平台之间,应采用基于可靠的身份认证手段实现可靠的访问控制。c)外部接口:安全综合管理平台通过各种外部接口与其他应用系统(日志审计系统、数据网络管理系统、4A 系统)之间实现集成和数据交互。本标准着重说明安全综合管理平台与外部系统接口的工作方式,以及由安全综合管理平台提供接口的方式和数据规范。10.2数据采集接口10.2.1接口描述数据采集接口应实现安全综合管理平台从安全对象采集日志数据、 脆弱性数据、 配置数据和状态数据信息。10.2.2数据采集方式要求通过下述手段实现数据的主动或被动采集,包括但不限于:a)应启动 SNMP Ser
33、vice 服务,使用统一的团体串在默认或自定义端口上监听,以获取安全设备发来的 SNMP Trap 信息;b)应启动 SYSLOG 服务,使用默认或自定义端口监听,以获取安全设备发来的 SYSLOG 信息;c)应具备网络文件、本地文件的定期或触发提取功能,获取其中的日志信息;d)应具备网络数据库、本地数据库的定期或触发提取功能,获取其中的日志信息;e)对于特殊的、缺乏共性的信息存储方式,应支持通过编写代理程序方式获取其中的日志信息,代理程序应支持与目标数据部署在一起,也支持远程部署。10.2.3数据采集内容要求DB32/T 3514.5201911具体包括:a)应采集政务外网中的安全设备,以及
34、核心的网络设备和服务器设备所产生的日志信息。b)应采集政务外网中的网络设备、安全设备、操作系统、应用系统的脆弱性、补丁信息。安全综合管理平台可直接采集脆弱性数据, 也可支持将其他相关设备的脆弱性数据导入到安全综合管理平台。c)应采集政务外网中的安全设备, 以及核心的网络设备和服务器设备的账号安全策略、 口令安全策略、授权安全策略和日志安全策略信息。安全综合管理平台可直接采集配置数据,也可支持第三方的配置数据导入。d)应采集政务外网中的安全设备, 以及核心的网络设备和服务器设备的运行状态、 性能相关数据。10.3系统级联接口10.3.1接口协议系统级联接口按Web Service标准对外提供服务
35、,通讯过程中请求和响应的数据采用标准XML格式来封装。对于开放的接口函数,厂商需发布相应的WSDL文档,用于描述Web Service的接口信息。系统级联接口函数分为两类。一类是同步调用函数,即函数的返回值就是结果;另一类是异步调用函数,返回结果通过回调函数发送至调用方。异步类函数的返回值只表示“是/否接受命令”,调用方应提供满足标准的回调函数。10.3.2接口格式定义10.3.2.1定义接口格式定义包括函数名称、 参数列表及返回值类型, 参与交互数据的编码应符合GB/T 18030-2005的要求。参数与返回值的具体XML格式由接口提供者根据具体业务的实际情况制定,应层次简单、结构清晰,接口
36、提供者需提供相应的WSDL文档及接口的详细说明文档。10.3.2.2函数基本格式public String methodName(String xml);注 1:methodName 为函数名,由接口提供者根据具体业务确定;注 2:XML 为调用参数,应采用 XML 标准描述;注 3:返回结果为 XML 标准格式数据。10.3.3系统级联认证接口接口规范建设包括:a)为保证各级安全综合管理平台之间的通讯安全, 系统之间在进行通讯前应进行有效的认证与授权,系统级联认证接口主要包括系统级联注册接口和系统级联注销接口。b)系统级联注册接口完成下级系统至上级系统的注册功能,保证上下级系统之间通信的安全
37、性。c)系统级联注销接口用于上下级系统之间的认证注销, 当上下级系统出现变更或废止时, 由上级系统进行系统间级联的注销。注 1:系统级联注册接口规范详见附件 A.1注 2:系统级联注销接口规范详见附件 A.2。10.3.4系统运行状态上报接口接口规范建设包括:DB32/T 3514.5201912a)上级安全综合管理平台需要对下级系统的上报接口实施周期检测, 及时发现接口异常, 减少上报数据的丢失。b)下级安全综合管理平台周期性上报自己状态的心跳消息, 上级系统根据是否能周期收到下级状态的心跳消息,来判断下级系统上报是否正常。c)上报接口状态分为:正常(用 1 表示),上级系统收到下级系统的上
38、报消息后,将下级的上报接口判断为正常;离线(用 0 表示),当上级系统在一个上报周期内未收到上报信息,则判断下级系统的上报接口离线,同时产生该下级安全综合管理平台上报接口离线告警。d)上报频率为 10 分钟一次。注 1:系统运行状态上报接口规范详见附件 A.3。10.3.5风险上报接口接口规范建设包括:a)下级安全综合管理平台需要向上级系统上报本级系统的安全域的风险值和风险等级。 上报频率至少为 10 分钟一次。b)风险的上报由上级安全综合管理平台进行请求。 下级安全综合管理平台按照请求的内容进行风险的实时上报。c)风险上报的内容包括:系统所属行政区编码,安全域名称,风险值,风险等级。注 1:
39、风险上报接口规范详见附件 A.4。10.3.6告警上报接口告警上报接口规范建设包括:a)下级安全综合管理平台将本系统发现的告警信息通过告警上报接口向上级安全综合管理平台进行上报。b)告警的上报由上级安全综合管理平台进行订阅, 订阅信息中包含是否上报、 上报的时间范围和级别信息。下级安全综合管理平台按照请求的内容进行告警的实时上报或停止上报。c)本级安全综合管理平台将本级发生的告警进行实时上报, 传输采用面向连接的方式。 相同的告警信息仅发送一次。若本级安全综合管理平台的告警清除,应向上级发送该告警消除的消息,上级安全综合管理平台进行相应的处置。d)告警上报的内容应包括:告警的 ID、系统所属行
40、政区编码、告警名称、告警内容描述、告警的级别、告警发生的时间、告警涉及的 IP 地址、告警清除标志和预留字段信息。注 1:告警上报接口规范详见附件 A.5。10.3.7案例上报接口接口规范建设包括:a)下级安全综合管理平台应将本系统发生的典型案例进行上报, 以便上级系统对各种典型案例进行汇总。 下级安全综合管理平台从本系统数据库中将本系统发生的典型案例取出, 调用案例上报接口, 将本系统发生的案例上报给上级系统, 上级系统获取到案例后可根据知识库的类别 (规则库、案例库、预案库、策略库、漏洞库)对案例进行分类汇总并存储在数据库中,以便下级系统查询并为处置类似事件提供技术支撑。b)案例上报接口仅
41、为下级系统使用, 接口要求的相关字段需按照字段类型、 是否必填信息传递给上级系统,接口参数为 XML 格式。c)接口返回值为 XML 格式, 应说明调用该接口返回成功或失败的状态, 返回值为失败时应给出失败原因提示。DB32/T 3514.5201913注 1:案例上报接口规范详见附录 A.6。10.3.8远程知识库查询接口接口规范建设包括:a)下级安全综合管理平台可查询上级系统的知识库共享内容。b)下级系统调用知识库查询接口, 根据传递的接口参数获取相应的知识库案例内容, 如该案例存在附件,则附件文档可供下载导出。c)知识库查询接口为下级系统使用, 下级系统可调用本接口, 以触发查询功能;
42、根据接口的参数,获取知识库内容,本接口为触发调用。d)本接口的参数可为空,如为空则表明要查询所有知识库内容,知识库标题为模糊匹配,开始时间、结束时间可按时间段查询,结束时间需大于开始时间。注 1:远程知识库查询接口规范详见附录 A.7。10.3.9报表上报接口接口规范建设包括:a)下级安全综合管理平台应按要求向上级系统汇报本系统的月报报表汇总信息。b)下级安全综合管理平台将本系统产生的月报定期自动上报给上级安全综合管理平台, 报表以文件方式传送,文件类型包括 DOC、DOCX、XLS、XLSX、PDF、HTML、CSV 等。文件名称遵循一定格式要求,报表文件上传方式采用 SFTP 加密传输方式
43、。c)报表上报内容应包括系统所属行政区编码、报表名称、内容。注 1:报表上报接口规范详见附录 A.8。10.3.10安全通告接口接口规范建设包括:a)上级安全综合管理平台发现下级管理的资产或业务系统中存在安全风险、安全告警等安全事件,由上级系统向下级系统发送安全通告,提醒下级系统防范和处理。b)安全通告接口仅为上级系统使用, 接口要求的相关字段需按照字段类型、 是否必填信息传递给下级系统,接口参数为 XML 格式。c)接口返回值为 XML 格式, 应说明调用该接口返回成功或失败的状态, 返回值为失败时应给出失败原因提示。注 1:安全通告接口规范详见附录 A.10。10.4外部接口10.4.1接
44、口描述安全综合管理平台应建立开放式的架构,能够通过必要的定制或使用内置的接口服务实现与 IT 运维管理平台等第三方平台的信息交换和管理协同。10.4.2外部接口要求安全综合管理平台的外部接口应包括但不限于:a)安全综合管理平台向第三方系统提供的信息:告警信息;b)安全综合管理平台从第三方系统接收的信息:资产信息、告警信息。10.4.3外部接口方式DB32/T 3514.5201914接口方式包括:a)数据文档导入/导出:提供数据的导出功能,提供格式化文档的数据导入处理;b)使用通用协议进行数据动态交换:通过 SYSLOG、SNMP trap 实现安全综合管理平台与其他平台的信息交换;c)提供
45、Socket 或 Web Service 接口实现不同系统之间的同步或异步的数据交互。10.4.4外部数据导入接口导入数据包括:资产信息、告警信息。 接口方式包括:a)安全综合管理平台通过文件方式,获取并导入资产信息;b)安全综合管理平台通过 Syslog 或 SNMP Trap 的接口方式从第三方系统获取其告警信息;c)安全综合管理平台通过 FTP 或 HTTP 方式获取数据文件,并提供导入解析接口。10.4.5内部数据导出接口安全综合管理平台提供安全告警信息内容的导出功能,可导出为Excel、TXT、RTF、PDF、HTML等标准格式。具体内容的组织和文档格式根据业务需要确定,本标准不作进
46、一步的限定。10.4.6与其他系统动态数据接口安全综合管理平台可根据需要与其他系统建立接口, 将告警和事件信息传送给其他系统, 如事件处理系统,集中告警管理系统,实现相关安全信息的动态交换。并可将工单和运维信息传送给第三方运维管理系统,通过工单流程化处理,实现告警和事件的应急响应。也可将资产信息传送给资源管理系统或网络管理系统,实现资产信息交互。接口方式可采用Web Service或Socket协议。具体的数据格式根据业务需要确定,本标准不作进一步的限定。DB32/T 3514.5201915AA附录A(规范性附录)电子政务外网安全综合管理平台接口规范A.1系统级联注册接口规范A.1.1功能描
47、述系统级联注册时采用上级主动添加下级信息的方式注册,下级提供接口接收上级通知。接口函数定义为:public String platformRegister(String xml);a)请求参数 xml 格式如下:字段说明(*表示必选),详见表A.1。表 A.1系统级联注册接口的字段说明表标签名名称备注类型必选PlatformCode系统所属行政区编码遵从 GB/T 2260中华人民共和国行政区划代码char(32)*IPIP 地址Web 访问地址char(128)Port端口Web 访问端口char(32)b)返回格式如下: DB32/T 3514.5201916详见表A.2。表 A.2系统级
48、联注册接口的返回格式字段说明表标签名名称备注类型必选Status状态1-注册成功;0-注册失败int*Desc描述返回出错信息,调试用char(128)A.2系统级联注销接口规范A.2.1功能描述系统级联注销时采用上级主动注销下级的方式,下级提供接口接收上级通知。接口函数定义为:public String platformLogout(String xml);a)请求参数 xml 格式如下:字段说明(*表示必选),详见A.3表 A.3系统级联注销接口的字段说明表标签名名称备注类型必选PlatformCode上级系统所属行政区编码遵从 GB/T 2260中华人民共和国行政区划代码char(32)
49、*b)返回格式如下: 字段说明(*表示必选) ,详见表 A.4。表 A.4系统级联注销接口的返回格式字段说明表标签名名称备注类型必选Status状态1-注销成功;0-注销失败int*Desc描述返回出错信息,调试用char(128)DB32/T 3514.5201917A.3系统运行状态上报接口规范A.3.1功能描述上级安全综合管理平台对下级安全综合管理平台的运行状态进行查询,下级安全综合管理平台向上级系统上报本系统的运行状态信息。接口函数定义为:public String systemStatusQuery();a)返回格式如下:字段说明(*表示必选) ,详见表 A.5。表 A.5系统运行状
50、态上报接口的字段说明表标签名名称备注类型必选PlatformCode系统所属行政区编码遵从 GB/T 2260中华人民共和国行政区划代码char(32)*IPIP 地址被查询安全综合管理平台 IP。char(128)*Status状态1-正常,0-离线int*A.4风险上报接口规范A.4.1功能描述上级安全综合管理平台向下级安全综合管理平台下发风险上报请求,下级安全综合管理平台向上级系统上报本系统的风险信息。接口函数定义为:public String riskInformationQuery(String XML);a)请求参数 xml 为字段说明(*表示必选) ,详见表 A.6。表 A.6风