JT_T 1418-2022CN交通运输网络安全监测预警系统技术规范.pdf

ICS 35.240.01JTCCS L 77中华人民共和国交通运输行业标准JT/T 1418—2022交通运输网络安全监测预警系统技术规范Technical specification for cybersecurity monitoring andwarning system of transportation2022-06-09发布2022-09-09实施中华人民共和国交通运输部发布 JT/T 1418—2022目次前言1范围2规范性引用文件3术语和定义4缩略语5系统架构及总体要求5. 1系统架构5.2总体要求功能要求6.1数据采集6.2数据处理6.3数据存储6.4 安全分析6. 5减胁情报管理6. 6风险识别6.7网络安全预警研判6.8信息通报6.9响应处置性能要求·8展示要求8.1展示内容8.2展示方式·接口要求·9.1系统级联接口109.2数据共享接口10安全要求11运行管理参考文献 JT/T 1418—20分析的异常行为应至少包括：a)访间频次超限；b)访间流量超限；(a账户异常登录；d)非授权访问、外联；e)文件非授权外发、下载；f)文件系统异常：g)授权访间的频次、流量异常；h)权限异常提升；i)日志异常变化。6.4.3漏洞风险分析漏洞风险分析功能应支持：对漏洞数据进行风险分析，至少包括系统的高危漏润和Web应用的高危漏润，并给出漏润风险分析统计表：b)对服务器和网站安全漏洞及威情况进行分析和关联；(a对资产的漏漏和配置弱点进行分析，并提供风险指数。6.4.4威胁分析威助分析功能应支持：对各种异常行为进行监测，包括但不限于异常访间频次超限、异常访间流量超限、权限异常提升、账户异常更改、日志异常变化、文件违规外发、非法外联、非法访间、非法文件下载；b)对各种攻击行为进行监测，包括但不限于端口扫描、木马后门攻击、拒绝服务攻击、缓冲区澄出攻击、IP碎片攻击、网络蝠虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏润攻击。6.4.5潮源分析潮源分析功能宜支持基于已知的威胁和安全事件，对威胁路径、威胁过程、攻击对手、攻击方式、攻击路径、攻击源、攻击目标和虚拟身份等进行迫溯分析。6.4.6安全态势分析安全态势分析功能宜支持基于大数据处理技术，针对交通运输行业政府网站、电子政务邮箱、政务终端、重要信息系统、关键网络的防护重点不同分别建立分析模型，对采集的网络安全运行数据进行数据挖掘和深度分析。6.5威胁情报管理6.5.1威胁情报来源威胁情报来源应包括：a)内部威胁情报，即监测预警系统采集并形成的威胁数据信息和交通运输行业网络安全信息通报内客；b)外部威胁情报，包括但不限于权威威胁情报来源机构提供的威胁情报数据、商用或免费或膜情报提供商提供的威静情报数据。7 JT/T1418—20226.5.2威胁情报格式威胁情报格式应符合GB/T36643—2018中第6章的规定。6.5.3管理能力威胁情报管理功能应支持：a)采用主动模式和被动模式自动获取威助情报数据和手动导人离线威胁情报文件；b)采用手动升级、在线更新、人工导人等方式进行威励情报更新；(3对威胁情报进行聚合、分类、展示、关联；d)提供内部和外部威胁情报库数据交互，并根据双方数据库数据项进行格式转换；(a提供开放接口及传输格式，和国家级、部级、交通运输行业各级成勘情报系统以及其他第三方威胁情报系统进行威胁情报共享。6.6风险识别风险识别功能应支持根据风险分析的结果确定风险级别和处置建议。6.7网络安全顶警研判6.7.1网络安全预警网络安全预警功能应支持：a)依据设定的流程发布网络安全预警信息；b)进行网络安全预警规则和流程的自定义；e)不少于两种网络安全预警方式，网络安全预警方式包括但不限平台、短信、邮件或即时通信。6.7.2综合研判综合研判功能应支持根据安全分析功能产生的结果与受影响资产信息进行关联，按照重要程度、影响范围等对网络安全预警进行分级，通过信息通报功能发送网络安全预警信息。6.8信息通报6.8.1通报内容通报内容应包括：a)网络安全风险信息，即指与网络资产关联后的安全漏润信息，安全漏涡信息的分类应符合CB/T33561—2017中5.2的相关要求；网络威胁信息，即指攻击过程中工具构建、投放、植人阶段的相关信息，包括恶意程序传播、恶意程序感染等；务攻击、二进制代码攻击、Web应用攻击、信道攻击、款骗攻击、仿育攻击、物理攻击等：d)网络攻击后果信息，即指攻击过程中目标达成阶段的相关信息，改击后果的分类应符合CB/T37027—2018中6.4的规定；e)其他信息，即指对网络安全应急响应具有支排作用的其他网络空间信息和非网络空间信息。6.8.2通报信息格式通报信息格式应待合GB/T28517一2012中第6章的要求，通报信息字段应包括：8 JT/T14