LD∕T 04-2022 人力资源社会保障网络安全监测和应急处置规范.pdf
《LD∕T 04-2022 人力资源社会保障网络安全监测和应急处置规范.pdf》由会员分享,可在线阅读,更多相关《LD∕T 04-2022 人力资源社会保障网络安全监测和应急处置规范.pdf(18页珍藏版)》请在咨信网上搜索。
1、LD2022-06-22 发布2022-07-01 实施LD/T 042022中华人民共和国劳动和劳动安全行业标准人力资源社会保障网络安全监测和应急处置规范Specification for human resources and social securitynetwork security monitoring and emergency disposal中华人民共和国人力资源和社会保障部发布ICS 35.040CCS L 80学兔兔 标准下载LD/T 04-2022I目次前言.III引言.IV1 范围.12 规范性引用文件.13 术语和定义.14 网络安全监测技术框架.24.1 监测主要
2、构成.24.2 监测分类. 35 网络安全监测技术要求.35.1 采集. 35.2 存储. 45.3 分析. 45.4 展示. 55.5 告警. 55.6 安全预警. 66 网络安全监测基础要求.66.1 性能要求. 66.2 系统安全要求.67 网络安全事件分类.77.1 分类原则. 77.2 事件分类. 78 网络安全事件分级.108.1 分级原则. 108.2 事件分级. 119 应急处置机构与职责.119.1 应急处置机构. 119.2 职责.1110 安全产品运营要求.1111 安全事件应急处置流程.1111.1 安全事件监测. 1211.2 启动预案. 1211.3 应急处置. 1
3、2学兔兔 标准下载LD/T 04-2022II11.4 结束响应. 1311.5 事件调查和报告. 13学兔兔 标准下载LD/T 04-2022III前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件用于指导人力资源社会保障部门开展网络安全监测和应急处置工作。本文件由中华人民共和国人力资源社会保障部信息中心提出并归口。本文件起草单位: 中华人民共和国人力资源和社会保障部信息中心、 奇安信科技集团股份有限公司。本文件主要起草人:高琦、马丹蕾、张嵩、王岩、耿建军、唐淑静、韩晓颖、成勇、张博、王祥宇、李笑男、陈明、沈士祥、马艳婷、谢博、王可煜。
4、学兔兔 标准下载LD/T 04-2022IV引言为适应人力资源社会保障信息化发展要求, 提高网络安全监测和应对突发网络安全事件能力, 预防和减少网络安全事件造成的损失和危害, 保障基础信息网络和重要信息系统安全稳定运行, 快速响应及有效处置网络安全事件, 满足人力资源社会保障网络安全体系建设和管理的需要, 人力资源社会保障部组织并制定了人力资源社会保障网络安全监测和应急处置规范。学兔兔 标准下载LD/T 04-20221人力资源社会保障网络安全监测和应急处置规范1范围本文件给出了人力资源社会保障部门网络安全监测框架和分类, 规定了网络安全监测基础要求、 网络安全监测技术要求、网络安全事件分类方
5、法、网络安全事件分级规则、应急处置机构与职责、应急处置机构与职责要求,并给出安全事件应急处置流程及具体操作方法。本文件适用于各级人力资源社会保障部门开展网络安全监测和应急处置工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18030信息技术中文编码字符集GB/T 20984信息安全技术信息安全风险评估规范GB/T 20985信息技术安全技术信息安全事件管理指南GB/Z 20986信息安全技术信息安全事件分类分级指南GB/T
6、22239信息安全技术网络安全等级保护基本要求GB/T 25069信息安全技术术语国家网络安全事件应急预案人力资源社会保障行业网络安全事件应急预案3术语和定义GB/T 18030、GB/T 20984、GB/T 20985、GB/Z 20986、GB/T 22239、GB/T 25069和GW0204-2014界定的以及下列术语和定义适用于本文件。3.1信息系统information system应用、服务、信息技术资产或其他信息处理组件。3.2网络安全cybersecurity通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网
7、络数据的完整性、保密性、可用性的能力。学兔兔 标准下载LD/T 04-202223.3数据data关于可感知或可想象到的任何事物的事实。3.4网络安全事件network security incident指由于自然或者人为以及软硬件本身缺陷或故障的原因, 可能对信息系统造成损害, 或对社会造成负面影响的事件。3.5信息information有意义的数据。3.6安全监测security monitoring以网络安全事件为核心,通过对网络和安全设备日志、系统运行数据等信息进行实时采集,以关联分析等方式对监测对象进行风险识别、威胁发现、安全事件实时告警及可视化展示。3.7应急处置emergency
8、 response有关人员实施网络安全事件监测、预警、分析、响应和恢复等服务。4网络安全监测技术框架4.1监测主要构成监测对象的监测过程与活动是网络安全监测技术的主要构成。主要包括以下内容:a)监测对象:为网络安全监测活动的采集行为提供数据源,如日志数据、包数据;b)监测过程与活动:通过对公众服务网和业务专网中信息系统的物理环境、通信环境、区域边界、计算环境进行数据采集、存储、分析,发现安全事件并展示与告警。网络安全监测技术框架如图1所示:学兔兔 标准下载LD/T 04-20223图 1网络安全监测技术框架4.2监测分类按照监测目标的不同,网络安全监测分为以下五类:a)网络安全事件监测:对具有
9、损害人力资源社会保障系统业务运作和威胁网络安全的事件,按照网络安全事件不同分类、分级要求,分析识别并进行展示与告警;b)脆弱性与威胁监测:对监测对象的脆弱性、威胁进行评估分析,发现资产所面临的安全风险;c)IP 实体监测:对内部实体 IP 进行分析,发现内部资产的脆弱性信息、被登录访问情况、主动外连行为等;对外部实体 IP 进行分析,发现外部 IP 的相关威胁信息;d)威胁情报监测:通过远控木马、APT 事件、勒索软件、黑色工具、流氓软件、其他恶意软件、窃密木马、网络蠕虫、僵尸网络等类型的威胁情报分析,发现网络安全事件;e)终端安全监测:纵观全网终端的安全态势,对全网终端风险做到量化观测、高效
10、管理、全面监控。5网络安全监测技术要求5.1采集数据采集应支持通过日志采集、协议采集、包采集等多种方式采集多种类型数据,并将采集到的数据转化为标准化数据格式:a)采集类型应具备从通信环境、区域边界、计算环境等采集日志数据、性能数据、流数据、威胁数据、脆弱性数据、包数据等多数据类型能力;b)应提供多种方式进行监测数据采集:1)基于文件采集、基于代理采集、基于数据采集、基于协议采集;学兔兔 标准下载LD/T 04-202242)主动采集、被动采集;c)采集协议支持 SNMP、Syslog、ODBC/JDBC、SFTP、NetBIOS、OPSEC 等;d)应提供日志分类和日志归一化手段,并转化为标准
11、数据格式;e)流量采集需要完成协议解析和流量元数据收集;f)全网要求时钟统一,便于关联分析;g)采集过程不应影响采集对象正常运行。5.2存储存储模块的主要功能是对监测数据进行存储和存储可靠性处理,应按照如下要求设计:a)应具备数据预处理功能,包括格式化处理、补充上下文信息(如用户、地理位置和区域)、数据发布等;b)应具备分布式存储功能,要能够将不同类型的异构数据进行分类存储,如归一化日志、流量元数据、PCAP 文件;c)应支持按需扩展存储节点;d)应满足可靠性、并发性的要求,并进行备份存储;e)监测数据中的重要信息应进行处理保证数据保密性;f)监测数据应采取校验机制保证数据完整性;g)重要监测
12、数据应采取备份机制保证数据可用性;h)监测数据应设置访问权限,按权限限定监测数据使用;i)应根据具体情况对监测数据设定保存期限,并按照保存期限对数据进行存储;j)应对存储数据结构进行规划设计,对外部系统、上下级系统提供存储对接接口。5.3分析采集到的数据应从安全事件、脆弱性与威胁、IP实体分析和威胁情报、终端安全方面进行分析,发现安全事件或威胁。具体应符合如下要求:a)安全事件分析应具备:1)采用多种关联分析技术综合分析,发现病毒感染、恶意代码、数据泄露、攻击入侵、人员违规行为与误操作等安全事件或风险;2)安全事件关联分析能力,通过关联分析比对识别异常行为;3)Web 异常检测功能,通过 HT
13、TP 协议流量分析、检测渗透行为;4)邮件异常检测能力,通过对 SMTP/POP3/IMAP 协议流量分析、检测基于电子邮件的外部渗透行为;5)按照组织内对事件分类分级的方法,对安全事件进行相应的分类分级,并按照流程进行处置分析;b)脆弱性与威胁分析应具备:1)脆弱性感知能力,对资产进行脆弱性检测和数据展示;根据不同维度进行展示,包括单个资产、安全域、信息系统等维度;2)威胁感知能力,对威胁进行展示和关联,包括已(未)遭受到的威胁;已遭受威胁需要对威胁进行分类,提取出关键威胁指标,提供组织的威胁态势;未遭受威胁需要对外部威胁情报进行分类展示、关联,提供与组织相关的位置威胁分析;3)威胁判定能力
14、,将多个威胁进行关联分析和评估;c)IP 实体分析应具备:学兔兔 标准下载LD/T 04-202251)通过内部 IP 的实体分析,快速获取该 IP 相关的资产信息、服务/端口暴露情况、威胁告警信息、漏洞/配置核查/弱口令等脆弱性信息、被登录访问情况、主动外连行为等,并从多维度进行可视化展示与分析;2)通过外部 IP 的实体分析,快速获取该 IP 相关的威胁信息、登录内网资产的情况、威胁情报鉴定信息和在网络中最早出现的时间等,并从多维度进行可视化展示与分析;d)威胁情报分析应具备:1)威胁情报库类型应包含:远控木马、APT 事件、勒索软件、黑色工具、流氓软件、其他恶意软件、窃密木马、网络蠕虫、
15、僵尸网络等;2)通过域名、IP 地址、文件 MD5 值的本地威胁情报检索;威胁情报内容包含:IOC、攻击链阶段、置信度、类型描述、威胁家族、攻击事件/团伙、影响平台、情报状态、威胁描述等;3)自定义威胁情报, 类型包含 IP、 MD5、 域名、 URL、 IP 地址:Port、 IP 地址: URI、 IP:Port/URI、域名:Port、域名:Port/UR;4)云端威胁情报查询,能够查询 IP、域名威胁类型分类,流行度评估,创建时间、更新时间、过期时间查看,能够实现开源情报判定对比、相关样本分析、情报拓线分析、历史 A记录信息、注册信息(包含域名注册人、注册人所属组织、管理员邮箱、电话、
16、传真、所属国家、服务运营商等),能够查看关联域名,域名数字证书等信息;e)终端安全分析应具备:1)通过集中管控能力,及时进行病毒库更新和补丁更新,解决潜在安全隐患;2)纵观全网终端的安全态势,对全网终端风险做到量化观测、全面监控。5.4展示将采集到的安全数据和分析后的结果信息进行实时可视化展示。 其展示内容和展示功能应具备如下要求:a)展示内容应包括:1)安全事件、脆弱性与威胁、IP 实体分析、威胁情报和终端安全的检测结果等实时信息;2)物理环境状态、拓扑关系、日志、事件和告警信息,以及事件间的关联关系;b)展示功能应具备:1)统计分析图形、报表方式展示;2)通过关键字快速检索获取相关日志和流
17、量元数据及详细信息,查询追溯事件的相关原始信息;3)通过展示攻击过程和扩散路径,进行攻击链和攻击上下文信息的呈现,多维度展示安全威胁的影响和范围。5.5告警使用告警模块对安全事件或危险进行安全监测提示,其分类、分级方式应满足下列要求:a)内容分类应包括:1)根据设备用途分为网络设备、安全设备、主机系统、数据库系统、应用程序、网管系统和日志服务器等;2)根据事件产生原因分为漏洞、病毒/木马、可疑活动、扫描探测、拒绝服务类、认证/授权/访问类等;b)根据原始事件的原始等级,重定义定级对应为“低危、中危、高危、危急”;c)告警方式应具备:1)保存告警信息直接进行展示、统计和分析;学兔兔 标准下载LD
18、/T 04-202262)通过网络协议等多种方式发送告警相关的信息供第三方系统分析和处理;3)高级别告警应支持短信、即时通信等推送信息手段;4)告警响应动作应支持设备联动,包括对其它设备执行命令脚本、命令行等。5.6安全预警使用预警模块对重大网络安全事件在内部进行安全影响评估, 并持续跟进事态的发展, 快速完成重大网络安全事件的预警及处置,应满足下列要求:1)通过导入预警包发起预警,对网络的安全影响面评估;2)能够呈现风险、受攻击和失陷资产的整体发展态势,以及响应处置趋势情况;3)能够呈现预警事件的事态发展图,以及资产被攻击或失陷时间顺序。6网络安全监测基础要求6.1性能要求性能要求应明确的关
19、键指标如下:a)原始数据并发采集能力、事件分析处理能力、事件告警延迟、1000 万条数据查询响应时间、1亿条数据查询响应时间、数据统计操作响应时间;b)稳定性指标要求应满足:1)系统主要组件 7*24 小时运行;2)系统年正常运行时间不低于 99.9%;3)对被采集对象的内存资源占用率不超过 5%,对网络带宽占用率不超过 10%;4)存储管理节点应保证至少一个节点正常运行且另外一个节点 30 分钟内恢复正常使用;5)采集节点应保证至少一个正常工作;6)集中管理节点和数据库节点应为双机或主备方式保证系统高可用性;c)存储能力指标要求应满足:1)历史数据的保存期限不少于 6 个月;2)系统日志的保
20、存期限不少于 6 个月;3)数据存储应具有备份和灾难恢复能力。6.2系统安全要求支持通信加密、数据加密、状态监测、日志审计、数据备份与快速恢复、密码策略设置与核查、时间同步及超时登录设置。应具备如下要求:a)网络通信应采用加密协议;b)重要数据应加密存储;c)系统进行自身运行状态监测,并可产生告警;d)生成系统敏感操作日志,并执行定期的日志审计,查看权限仅授予审计员;e)系统配置信息和数据备份功能,系统崩溃时可通过备份快速恢复;f)与其他系统进行时间同步能力,至少每天同步一次;g)账号密码强度策略设置以及密码强度自动核查机制,并支持用户登录时的图形码验证功能;h)用户登录超时设置,按照。非法登
21、录次数最多为 5 次登录失败后锁定时间不少于 10min,登录连接超时不得超过 10 min;学兔兔 标准下载LD/T 04-202277网络安全事件分类7.1分类原则网络安全事件分为有害程序事件、网络攻击事件、数据攻击事件、设备设施故障事件、违规操作事件、不可抗力事件、其他事件等7个基本分类,每个基本分类分别包括若干个子类。7.2事件分类7.2.1概述网络安全事件可能是由人为故意或意外行为引起的, 也可能是由某些控制失效或不可抗力等原因引起的。本文件将威胁作为主要分类原则,同时适当考虑网络安全事件的产生原因、攻击方式、损害后果等,对网络安全事件进行分类。7.2.2有害程序事件(MI)有害程序
22、事件是指蓄意制造、传播或感染有害程序,从而造成系统损失或社会影响的事件。有害程序是指插入到信息系统中的一段程序,可危害系统中的数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络、混合攻击程序、勒索软件、恶意代码内嵌网页、恶意代码宿主站点等事件,说明如下:a)计算机病毒(CV):是指编制或者在计算机程序中插入的一段程序代码。它可以破坏计算机功能或者毁坏数据,并具有自我复制能力;b)网络蠕虫(NW):是指与计算机病毒相对应,一种利用信息系统缺陷,通过网络自动传播并复制的恶意程序;c)特洛伊木马(TH):是指伪装在信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- LDT 04-2022 人力资源社会保障网络安全监测和应急处置规范 LD 04 2022 人力资源 社会保障 网络安全 监测 应急 处置 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【b****t】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【b****t】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。