《电子政务外网安全监测平台技术规范》

1电子政务外网安全监测平台技术规范本文件规定了电子政务外网安全监测平台的基本要求、技术要求、数据共享以及平台级联系统要求。本文件适用于电子政务外网安全监测平台的设计、建设和运维。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/Z20986信息安全技术信息安全事件分类分级指南GB/T36635信息安全技术网络安全监测基本要求与实施指南GB/T22239信息安全技术网络安全等级保护基本要求GB/T18336信息技术安全技术信息技术安全性评估准则GB/T42583信息安全技术政务网络安全监测平台技术规范3术语和定义GB/T25069《信息安全术语》中规定内容以及下列术语和定义适用于本文件。3.1信息安全事件informationsecurityincident由单个或一系列意外或有害的信息安全事态所组成的，极有可能危害业务运行和威胁信息安全。[来源：GB/T25069-2010，2.1.53]3.2电子政务外网安全监测平台securitymonitoringplatformofe-governmentextranet以预防信息安全事件为核心，通过对网络流量、安全设备日志、威胁情报等数据信息进行实时采集、监测和分析，实现网络风险识别、威胁发现、安全事件预判和实时告警及可视化展示的系统。3.3政务城域网governmentmetropolitanareanetwork同城各政务部门间实现互联互通的政务网络。[来源：GB/T42583-2023，3.2]23.4政务广域网governmentwideareanetwork连接不同地区政务局域网或政务城域网，实现远程通信的政务网络。[来源：GB/T42583-2023，3.3]3.5管理网managementnetwork承载安全统一运维、预警通告、安全数据传输等业务的基础网络。3.6探针probe从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。[来源：GB/T25069，7]3.7数据总线databus实现平台中数据采集探针、存储、分析、展示与应用等各模块之间，以及第三方平台之间数据共享和交换的功能模块。[来源：GB/T42583-2023，3.8]3.8威胁情报threatintelligence一种基于证据的知识，用于描述网络威胁信息、研判安全态势，支持安全事件响应和处置决策。包括事件情报、漏洞情报和威胁情报。3.9专项监测Specialmonitoring云平台安全监测、移动应用安全监测、终端安全监测、数据安全监测等。3.10数据共享交换平台Exchangeplatformofshareddata建设在江西省电子政务外网（以下简称省电子政务外网）上，由覆盖省市县三级的交换中心和交换节点组成，按照统一的标准规范，实现了跨部门、跨区域、跨层级的电子政务数据共享交换支撑平台。3.11前置节点Frontnode江西省各级政务部门接入交换平台的前置机及相关软件，对接部门共享资源，实现政务部门间政务信息资源的共享交换。33.12节点Frontnode用于连接不同网络设备或程序。4缩略语下列缩略语适用于本文件。API：应用程序接口（ApplicationProgrammingInterface）GIS：地理信息系统（GeographicInformationSystem）JSON：JS对象简谱（JavaScriptObjectNotation）SMTP：简单邮件传输协议（SimpleMailTransferProtocol）VPC：虚拟私有云（VirtualPrivateCloud）DNS：域名系统（DomainNameSystem）DGA：域名生成算法（DomainGenerateAlgorithm）URL：统一资源定位系统（UniformResourceLocator）5基本要求电子政务外网安全监测平台依托省电子政务外网建设，采用省市两级部署架构。基本要求包括但不a）省级电子政务外网安全监测平台为省级政务部门提供监测服务，将威胁情报、案例、安全事件通告与安全主题库等资源共享到市级电子政务外网安全监测平台；b）省级电子政务外网安全监测平台应通过网络安全等级保护三级测评，市级电子政务安全监测平台参照省级标准进行建设；c）市级电子政务外网安全监测平台为市级政务部门提供监测服务，按要求对省级电子政务外网安全监测平台下发的安全事件进行整改，及时上报市级电子政务外网安全态势、告警信息、风险状况、案例、安全事件等内容；d）市级电子政务外网安全监测平台应通过平台级联系统与省级电子政务外网安全监测平台进行级联对接；e）电子政务外网安全监测平台应具备数据采集、威胁情报、安全主题库、数据总线、数据分析、展示与应用、平台管理、数据存储等功能；f)可集成不同厂商的各类IT资产，实现各类设备日志信息的实时采集与统一监测；g)安全日志存储时间至少为6个月，采用密码技术保证日志记录的完整性；安全监测平台应支持日志检索功能；h)采用国产自主可控安全产品，支持国密算法。5.1平台部署架构电子正文外网安全监测平台采用平台级联系统部署方式，平台级联系统为省市两级电子政务外网安全监测平台对接的级联系统，为打通各节点之间的数据互联互通提供支撑，实现数据上报、共享、预警通报、协同处置及数据展示查询功能。平台级联系统部署在省市两级电子政务外网安全监测平台，省级电子政务安全监测平台向市级电子政务安全监测平台下发安全事件、预警通报、威胁情报及通报处置等，提供远程知识库、威胁情报库、漏洞库、通知通告的查询；市级电子政务安全监测平台向省级电4子政务安全监测平台上报系统运行状态、安全事件、威胁情报，反馈处置结果。电子政务安全监测平台部署架构如图1所示。图1电子政务外网安全监测平台部署架构5.2平台技术架构电子政务外网安全监测平台架构分为八个部分，分别为数据采集子系统、威胁情报子系统、安全主题库子系统、数据总线子系统、数据分析子系统、展示与应用子系统、平台管理子系统和数据存储子系统，电子政务安全监测平台技术架构如图2所示。a)数据采集子系统：根据电子政务外网安全监测平台的监测范围和监测对象确定数据采集范围、采集对象和采集方式，并对采集的数据进行预处理，以供进一步深度关联分析。b)威胁情报子系统：为数据分析和事件处置提供决策支持信息，实现威胁情报数据组织、生成、共享与使用。c)安全主题库子系统：包括流量元数据、资产数据、日志数据、告警数据、漏洞数据、威胁情报数据、规则数据等主题库，为电子政务安全监测平台提供数据资源支撑的数据集合。d)数据总线子系统：实现电子政务安全监测平台中数据采集、存储、分析、管理等各模块之间的数据共享与交换，以及与第三方平台之间数据共享和交换。e)数据分析子系统：通过特征码匹配、关联分析、机器学习等数据分析技术识别网络攻击行为，分析风险态势，分析类型包括：攻击行为、风险态势及其它安全专项分析。f)展示与应用子系统：根据决策者、管理人员和运维人员不同的需求的关注重点，进行多维度的态势展示，并且支持预警通报和应急处置。g)平台管理子系统：包括电子政务安全监测平台的用户管理、资产管理、配置管理、运行监控、身份鉴别、访问控制、安全审计、运维管理等，为电子政务安全监测平台其他功能模块提供集中管控机制。h)数据存储子系统：对电子政务安全监测平台中不同类型和结构的数据进行存储。5图2电子政务外网安全监测平台技术架构6技术要求电子政务外网安全监测平台技术要求分为基本要求和增强要求，网络安全等级保护三级以下的电子政务外网安全监测平台适用基本要求，网络安全等级保护三级（含）以上电子政务外网安全监测平台适用基本要求和增强要求。在本文件中，黑体字部分表示增强要求。6.1监测范围电子政务外网安全监测平台监测范围包括本地区/本部门政务网络，以及与之连接的政务广域网、政务城域网与政务云，与政务部门或政务网络运营者管理的网络边界范围保持一致。当电子政务外网边界或结构发生变化时，应及时调整监测范围和电子政务外网安全监测平台设备的部署。监测范围如图3所示。图3监测范围6.2数据采集子系统数据采集子系统功能包括对原始数据进行采集以及预处理。66.2.1监测数据采集本项要求包括：a)采集范围。应覆盖监测范围内的通信网络、区域边界以及计算环境。采集点部署在核心交换节点、核心汇聚节点和移动接入点等关键节点，当监测范围包括政务广域网或政务城域网时，数据采集点应部署在政务广域网和政务城域网的核心交换节点、核心汇聚节点等关键节点；b)采集对象。应监测采集范围内各网络区域的网络流量、资产信息、威胁情报、脆弱性信息、知识数据、级联/第三方平台数据、各类安全基础资源/服务等产生的告警数据、与安全相关的审计日志，实现资产梳理；c)采集方式。应支持通过流量采集系统、标准协议、API接口、手动导入、扫描、第三方导入等不同的方式采集流量、日志、资产信息、威胁情报等信息。6.2.2监测数据预处理本项要求包括：a)应通过配置相关解析规则，过滤规则，富化规则，日志类型来达到归一化，过滤、丰富、分类日志信息的目的；b)应支持自定义预处理解析规则文件，可根据应用场景，通过配置选择插件，正则表达式、分隔符、JSON等方法定义解析规则。6.3威胁情报子系统威胁情报检测子系统包括威胁情报组织、威胁情报生成、威胁情报共享与使用。6.3.1威胁情报组织本项要求包括：a)应支持威胁情报分类存储和情报置信度评价分级，分类包括但不限于域名类、IP类、文件类等；b)应支持威胁情报数据手动更新或者在线更新，威胁情报来源包括但不限于第三方威胁情报服务商、省级电子政务安全监测平台等，更新频率不超过24小时。6.3.2威胁情报生成本项要求包括:a)应支持获取原始样本或数据，并对其进行归类、分析、加工、处理后生成威胁情报；b)应支持自定义威胁情报标签；c)应支持手动增加或删除威胁情报。6.3.3威胁情报共享与使用本项要求包括：a)应支持提供威胁情报数据查询和比对接口，供数据实时分析和批量查询；b)应支持通过接口方式或文件导入/导出方式，实现数据共享平台或第三方平台的威胁情报共享交换和使用。6.4安全主题库子系统安全主题库汇聚各种数据资源，完成从数据的采集、质量稽核、清洗、比对、加工、转换、融合到服务发布等全流程的数据治理工作，是为安全监测平台提供数据资源支撑的数据集合。7本项要求包括：a)应支持基于最大化归集、一数一源、同义项归并、归集码表等数据归集原则，结合统一的分类编码规则，按照流量元数据、资产数据、日志数据、告警数据、漏洞数据、规则数据、威胁情报数据等数据内容属性类型进行一级分类，覆盖已归集数据，形成安全主题库；b)应支持可伸缩的数据存储架构，满足数据量持续增长需求；c)应支持业务相关敏感数据加密存储；d)应支持与省、市级数据共享交换平台对接；e)应支持在平台的主题目录下面创建安全主题库二级分类并注册目录，支持将数据治理形成的安全主题接口服务数据挂接到该目录中，支持安全主题数据资源的共享。6.5数据总线子系统数据总线子系统是实现电子政务外网安全监测平台中数据采集、存储、分析、展示与应用等各模块之间，以及与外部系统之间规范化数据共享和交换的协议和接口集。6.5.1数据类型本项要求包括：应支持根据数据类型定义数据格式、数据协议和接口调用。数据类型包括但不限于流量元数据、日志数据、资产信息、安全告警、威胁情报、安全事件、工单报表等。6.5.2内部数据交换接口本项要求包括：应支持平台内部基本功能模块之间，通过接口进行数据调用、存储、分析、展示与应用。6.5.3数据采集接口本项要求包括：应支持从不同类型的数据采集探针采集流量元数据、日志数据、资产信息、威胁情报等数据。6.5.4平台级联接口省、市级平台级联系统之间通过级联接口进行数据共享和交换，本项要求包括：a)数据交互内容包括但不限于安全告警、预警信息、安全事件、威胁情报、工单报表、统计数据、知识案例等；b)接口类型包括但不限于级联注册接口、数据上传接口、数据下发接口和数据查询接口等；c)应支持在数据传输过程中采用密码技术保证数据的完整性和保密性。6.5.5外部接口本项要求包括：a)应支持与横向协同单位平台的数据交互和对接，能够通过必要的定制或使用内置的接口服务，实现与第三方平台的信息交换和管理协同；b)应支持通过共享接口向第三方平台发送/接受数据，包括但不限于：安全告警、预警信息、安全事件、威胁情报、工单报表、统计数据、知识案例等。6.6数据分析子系统数据分析子系统包括攻击行为分析与风险态势分析。86.6.1攻击行为分析本项要求包括：a)应支持特征码匹配分析，能够识别恶意流量特征、恶意文件特征、恶意代码特征等；b)应支持场景化分析，包括但不限于资产违规外连、账号异地登陆、弱口令、数据库敏感操作等典型场景；c)应支持基于攻击阶段、攻击特征相似度等维度的关联分析；d)应支持通过机器学习算法进行数据分析；e)应支持对多源异构的安全大数据进行聚合或关联分析，发现攻击行为；f)宜支持利用沙箱对可疑文件及URL进行静态或动态的分析检测；g)宜支持关联威胁情报进行网络攻击行为特征分析和溯源分析；h)宜支持DNS威胁检测，包括但不限于DNS协议漏洞检测、恶意域名解析检测、DGA域名检测、DNS隐蔽通道检测等。6.6.2风险态势分析本项要求包括：a)应支持基于资产、威胁和脆弱性监测数据，对网络的整体安全态势进行分析；b)应支持基于安全事件的威胁态势分析，安全事件包括但不限于有害程序事件、网络攻击事件、数据攻击事件、违规操作事件等；c)应支持基于资产的类型、分布、重要程度、资产脆弱性等信息，综合分析资产安全态势。6.6.3安全专项分析安全专项分析包括政务云分析、政务终端分析、政务数据分析、政务应用分析四类。各级电子政务外网安全监测平台情况，按照本级实际需求进行专项能力建设。政务云分析本项要求包括：a）宜支持对政务云平台VPC东西向流量、VPC内部流量采集分析，包括攻击行为分析、风险态势分析；b）宜支持访问平台管理界面，查看是否具备政务云平台纬度、租户维度和VPC维度的态势展示功能。政务终端分析本项要求包括：a）应支持终端状态分析，包括：终端上线、终端违规外联、终端离线等；b）应支持政务终端总体态势、威胁态势的展示。政务数据分析本项要求包括：a）应采取流量分析技术对数据采集、传输、处理、分析等关键节点进行监测；b）应支持采用主动或被动方式采集数据库安全审计日志、数据安全设备日志、API数据访问流量9c）应支持数据资产识别分析，包括自动发现数据资产、识别敏感业务信息、数据分类分级标记等；d）应支持根据数据的敏感程度、保密性要求和重要性，将数据进行分类分级，并基于数据分类分级结果，分析数据访问行为，动态侦测数据资产生命周期的变化情况；e）应支持数据异常行为分析，包括对数据库异常访问、异常操作行为、接口异常调用等进行分析；f）应支持数据接口及数据库脆弱性分析，发现数据库漏洞、数据库基线问题、数据库弱口令；监测发现接口的未授权访问、参数可遍历、接口未鉴权、登陆弱口令、口令明文传输、脚本命令执行、访问权限等问题；g）应支持个人信息泄露分析，对个人信息泄露情况进行识别和分析；h）应支持对数据泄露情况进行溯源分析和取证，支持以泄露数据为线索，建立对数据事件记录尽心检索溯源的机制，支持对接口、IP、账号、时间进行溯源集中度分析，定位追踪到相关责任人。政务应用分析此项要求包括：a）应支持业务行为分析，包括敏感信息页面调用异常、查询数据异常、账号使用异常等行为；b）应支持操作行为分析，包括同一业务高频操作、异常时间操作、数据库异常操作等行为；c）应支持访问行为分析，包括异常IP地址登陆、非正常时间段登陆、短时多IP登陆、异常端口访问、未授权的数据访问、高风险的数据下载、异常的数据库操作等行为；d）应支持资产变动分析，对业务系统资产的端口或服务变化情况进行监测分析，分析数据资产脆弱性，识别应用系统风险问题并及时处置；e）应支持资产漏洞风险分析，支持识别漏洞扫描设备报告，识别内网业务系统漏洞情况f）应支持对风险关联API接口、风险事件描述、风险事件等级、风险IP、风险事件进行记录分析。6.7展示与应用子系统应对电子政务外网安全态势进行实时可视化展示。6.7.1监测视图本项要求包括：a)应支持对网络整体安全态势的展示，展示方式包括GIS地图、雷达图、拓扑图、路径等至少两种表现形式；b)应支持基于威胁类型、攻击次数、威胁来源、威胁目标、攻击路径等信息的威胁视图展示；c)应支持基于资产类型、分布、资产脆弱性、相关攻击事件等信息的资产安全视图展示；d)应支持基于事件类型、源IP、目的IP、受攻击资产、威胁等级、处置情况等信息的安全事件视图展示；e)应支持基于统计信息、实时信息、历史信息和变化趋势的展示方式，以及分角色展示方式；f)应支持政务云平台整体安全态势展示，支持各租户的业务安全态势展示；g)应支持政务云边界区域、政务云南北向和管理区的威胁态势和资产安全态势展示；h)应支持与政务云安全设备或云安全服务组件进行联动，自动完成应急处置任务；i)应支持根据数据分析结果进行实时告警，告警内容包括但不限于告警类型、告警级别、受威胁的业务资产信息、网站标识、网站地址等；j)应支持对数据流转或数据访问关系的展示。6.7.2预警通报本项要求包括：a)应支持基于数据分析结构和告警规则，实施产生分级别安全告警；b)应支持按照设定的预警级别和预警流程发布预警信息，预警内容包括但不限于：预警类型、预警级别、威胁方式、涉及对象、影响程度、防范对策等；c)应支持按照设定的安全事件通报流程进行事件通报，通报内容包括但不限于事件类型、攻击源IP、目标IP、事件级别、事件分析、影响程度和处置建议等；d)应支持平台、邮件、短信、即时通讯、文件等两种及以上预警和通报方式。6.7.3攻击面展示本项要求包括：a)应支持在重要或特殊时期通过安全探测等方式对重要资产的威胁进行持续发现、排序和监控；b)应支持对重要资产的攻击面信息进行详细展示，包括但不限于：攻击故事线、影响资产、攻击源、历史攻击、攻击面分析、网络连接行为、文件行为、域名访问行为、模块加载行为、进程操作行为等；c)应支持以图形化的方式展现电子政务外网各类重要资产的分布状况、相互关系、潜在攻击路径6.7.4应急处置联动本项要求包括：a)应支持将安全告警或安全事件形成处置任务，并进行记录、跟踪和归档；b)应支持对安全告警或安全事件进行调查取证，包含告警溯源信息和关联的原始日志；c)应支持与第三方设备或平台联动，根据监测结果，协助实施动态访问控制等安全处置行动；d)应支持与政务云安全设备或云安全服务组件进行联动，自动完成应急处置任务。6.8平台管理子系统平台管理子系统包括用户管理、资产管理、配置管理、运行监控、身份鉴别、访问控制、安全审计、运维管理八个部分。6.8.1用户管理本项要求包括：a)应支持用户、用户组的增加、删除、修改、查询及分组管理；b)应支持分权使用，即支持划分不同的角色，并为不同角色分配权限。6.8.2资产管理本项要求包括：a)应支持记录资产的属性信息包括但不限于资产名称、资产类型、资产IP、所属业务系统、部署位置、资产负责人等信息；b)应支持按照类型、部署位置、所属业务系统等属性对资产进行分组管理；c)应支持资产信息的增加、删除、查询、标记；d)应支持资产信息的批量导入、导出。6.8.3配置管理本项要求包括：a)应支持对于用户账号和口令的配置管理，包括但不限于初次登录口令修改、账号锁定时间、口令有效期、登录尝试次数、口令长度和复杂度限制等；b)应支持时间自动同步，并且可自定义同步间隔时间；c)应支持对安全策略、特征库、补丁等进行升级。6.8.4运行监控应支持实时监控平台设备运行状态、包括但不限于CPU使用率、内存使用情况、磁盘使用情况、网络流量情况、设备产生的异常报警等。6.8.5身份鉴别本项要求包括：a)应对平台登录用户进行身份鉴别，身份鉴别信息应具有复杂度和定期更换要求；b）应采用密码技术保证身份鉴别信息在传输、存储过程中的完整性和保密性；c）应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中至少一种鉴别技术应使用国产密码技术来实现。6.8.6访问控制本项要求包括：a)应向授权用户提供配置、查询和修改各种安全策略的功能；b)应向授权用户提供管理日志的功能，包括日志的存储、导出和备份等；c)应支持在用户远程管理方式下，限定远程管理端IP地址范围，并采取措施保证管理端与平台之间数据传输的保密性。6.8.7安全审计本项要求包括：a)应支持对每个用户的操作行为进行安全审计，包括但不限于：1)管理员的登录成功和失败；2）因身份鉴别尝试失败次数达到设定值导致的会话连接终止；3）对安全策略进行配置的操作；4）对管理用户进行增加、删除和属性修改的操作；b)审计记录应至少包括事件发生日期、时间、用户标识、事件类型、操作结果等信息。日期应精确到日，时间应精确到秒，审计数据存储时间不少于六个月；c)应对审计记录进行保护并定期备份，避免受到删除、修改或覆盖。6.8.8运维管理本项要求包括：a)运维管理人员应做好安全监测、威胁监测、平台对接、预警通报等工作；b)应支持定期对电子政务外网安全监测平台资产和IP地址对应信息进行更新；c)应定期组织运营例会和运维人员相关培训，总结运营情况，编制运营报告；d)应制定应急预案，组织开展应急演练及攻防演练，承担应急值守与响应处置，强化重点时期安全保障；e)运维管理人员应协助电子政务外网安全监测平台合规管理，开展电子政务外网安全监测平台网络安全等级保护测评、密码应用安全性评估等合规性测评工作，并将结果录入电子政务外网安全监测平台。6.9数据存储子系统数据存储子系统对平台中不同类型和结构的数据进行存储。本项要求包括：a)应支持对平台采集以及处理产生的数据进行分类存储，包括但不限于流量元数据、资产信息、日志数据、安全告警、安全事件、规则数据、威胁情报、知识案例等数据；b)应支持对结构化数据、半结构化数据和非结构化数据进行存储；c)应支持数据迁移，支持存储数据的备份及异常恢复；d)应支持对身份鉴别、数据分析结果等重要数据进行加密存储；e)应支持数据存储节点扩展和负载均衡；f)应支持自定义数据存储时间；g)应支持配置数据保护策略，防止数据遭未经授权的读取、删除或修改；h)应支持当数据存储达到阈值时，发出报警信息。7数据共享要求电子政务外网安全监测平台与本级数据共享交换平台对接，将威胁情报、案例、安全主题库与常态化工作结果等数据共享至同级各级政务部门。信息共享由资源提供方、资源需求方、交换平台三类要素组成。本项要求包括：a)应支持共享数据桥接到安全监测平台前置节点的交换库或文件夹中，将前置节点中的数据进行资源发布；b)应支持前置节点认证，并提供数据传输加密措施；c）应支持通过数据共享交换平台共享数据；d)应支持以不同的方式进行数据交换，包括库表、文件及服务接口；e)服务代理应支持HTTP/HTTPS协议；f）应支持与政务区块链基础平台对接，将监测数据、级联数据安全上链；g)应支持对数据操作按照最小授权原则进行权限控制。8平台级联系统要求8.1功能要求8.1.1数据交互数据通信支持通过API等多种方式进行数据上报和数据下发，数据上报下发服务端需返回状态码，告知客户端是否进行重传。8.1.2加密传输各节点在数据传输时，须根据省级节点下发的密钥对传输的数据内容进行加密传输，并支持国密算法，加密的数据包括请求参数与返回的数据内容。8.1.3级联认证为保证平台级联系统之间的数据传输安全，电子政务安全监测平台之间在进行通讯前应进行有效的认证与授权。级联认证接口包括级联注册接口和级联注销接口。级联注册接口完成市级电子政务安全监测平台至省级电子政务安全监测平台的注册功能，保证通信安全。级联注销接口用于平台之间的认证注销，当平台出现变更或废止时，由省级电子政务安全监测平台进行平台间级联的注销，市级电子政务安全监测平台接收到注销指令后，停止与省级电子政务安全监测平台进行通信。8.1.4上报总体态势上报市级电子政务安全监测平台每日定时向省级电子政务安全监测平台上报本级电子政务安全监测平台的态势状态，上报内容包含监控资产数、采集日志量、告警日志量、发现的攻击总量(国外攻击次数、国内互联网攻击次数、国内公用区攻击次数)、漏洞事件数、病毒事件数。告警统计上报市级电子政务安全监测平台每日定时向省级电子政务安全监测上报本级电子政务安全监测平台发现的告警统计数据信息，统计内容包含告警总量、攻击告警总量(含低危、中危、高危、紧急告警量)、病毒告警总量(含低危、中危、高危、紧急告警量)、漏洞告警总量(含低危、中危、高危、紧急