DB3309T 110-2024 网络攻击诱捕系统管理规范.docxVIP

ICS35.030

CCSL80

3309

浙 江 省 舟 山 市 地 方 标 准

DB3309/T110—2024

网络攻击诱捕系统管理规范

2024-11-5发布 2024-12-5实施

舟山市市场监督管理局??发布

DB3309/T110

DB3309/T110—2024

DB3309/T110

DB3309/T110—2024

目 次

前言 II

范围 3

规范性引用文件 3

术语和定义 3

人员要求 3

岗位要求 3

工作内容 3

人员管理 4

设施和设备要求 4

管理要求 4

设施设备 4

管理流程 4

网络安全设计 4

终端威胁感知 4

蜜罐功能 4

数据分析 5

事件处置 5

数据保存 5

检查与演练 5

数据呈现 5

系统运维 5

参考文献 6

附录A（资料性） 巡检记录表 7

附录B（资料性） 检查记录表 8

I

II

II

1

1

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由舟山市公安局提出并归口。

本文件起草单位：舟山市公安局，北京元支点信息安全技术有限公司。

本文件主要起草人：张艳波，王翘楚，张通汉，何淼楹，施翔，丁峰，杨丁源，杨柯，任俊博，林建伟，史晨伟，黄林。

DB3309/T110

DB3309/T110—2024

DB3309/T110

DB3309/T110—2024

网络攻击诱捕系统管理规范

范围

本文件规定了网络攻击诱捕系统的人员要求、设施和设备要求、管理流程和系统运维。本文件适用于网络攻击诱捕系统的运行和管理。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/Z

23283

基于文件的电子信息的长期保存

GB/T

25068.2

信息技术安全技术网络安全第2部分：网络安全设计和实现指南

GB/T25069—2022 信息安全技术术语

GB/T

26163.1

信息与文献文件管理过程文件元数据第1部分：原则

GA/T

756

法庭科学电子数据收集提取技术规范

GA/T

1170

移动终端取证检验方法

GA/T

1174

电子证据数据现场获取通用方法

DB3309/T109—2024网络攻击诱捕系统建设规范

术语和定义

GB/T25069—2022和DB3309/T109—2024界定的以及下列术语和定义适用于本文件。

网络攻击诱捕系统

一种网络安全技术，旨在通过创建虚假资源来吸引和误导潜在攻击者，从而检测、延迟和分析攻击行为。

人员要求

岗位要求

应设立系统管理负责人，对整个网络攻击诱捕系统负全责。

应设立系统管理员、安全运营管理员、安全审计员等岗位，并设置各个工作岗位的职责。

应制定管理文件明确各岗位的任职资格和技能要求。

工作内容

应配备系统管理员，负责的工作内容包括：

系统参数维护和管理；

用户的注册、删除，组织机构的变动调整；

与用户权限相关的各类角色的设置。

PAGE

PAGE2

PAGE

PAGE3

应配备安全运营管理员，负责的工作内容包括：

安全运营管理；

安全告警事件管理和处置；

威胁检测、预警、决策、处置流程的闭环管理。

应配备安全审计员，负责的工作内容包括：

审核系统管理员、安全运营管理员的操作审批单；

监督检查系统管理员、安全运营管理员等的操作过程和操作日志；

处理系统自动产生的非法操作报警；

审核系统日志，每周至少1次；

定期备份系统日志，每个月不少于1次；

提出系统非法操作报警的参数修改建议。

人员管理

上岗人员应具备计算机网络、信息安全专业知识。

上岗前应对人员进行背景审查和安全行为规范培训，形成培训记录并归档管理。

应定期对上岗人员进行考核，并对考核结果进行记录并保存。

上岗人员离岗应进行安全审计并归档管理。

设施和设备要求

管理要求

应制定设施设备注册、配置、统计、状态查询、测试、诊断等制度，并定期对设施设备进行维护。

设施设备

网络攻击诱捕系统配套设施设备包括但不限于虚拟机、服务器等。进行网络终端部署时，所支持的设备包括但不限于台式计算机、摄像头、执法记录仪等。

服