《城市网络安全大脑建设指南（征求意见稿）》

ICS35.030CCSL80DB32ConstructionguidelinesofurbancybersecuritybrainDB32/TXXXX—XXXXI 2规范性引用文件 3术语和定义 4建设原则 4.1整体性原则 4.2简易性原则 4.3可扩展性原则 4.4安全性原则 5城市网络安全大脑架构 5.1城市网络安全大脑架构图 5.2数据层 5.3中台层 5.3业务应用层 6城市网络安全大脑运管平台 46.1资产管理子系统 46.2安全监测子系统 46.3数据安全子系统 56.4应急指挥子系统 6.5检查管理子系统 6.6态势感知子系统 6.7数据中台 6.8能力中台 7应用场景 8运行保障 98.1组织建设 98.2制度管理 98.3人员保障 98.4平台维护 98.5安全加固 9参考文献 DB32/TXXXX—XXXX本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中共江苏省委网络安全和信息化委员会办公室提出并归口。本文件起草单位：中共无锡市委网络安全和信息化委员会办公室、国家计算机网络与信息安全管理中心江苏分中心、中通服咨询设计研究院有限公司。本文件主要起草人：陈秋峰，鲁新龙，孙迎强，王少帅，陈俊屹，蔡冰，顾弘，胡鹏、嵇程，花秀冉，王吉，杨波，张超军，林君，李健珝。DB32/TXXXX—XXXX1城市网络安全大脑建设指南本文件给出了市域城市网络安全大脑建设原则，并提供了安全大脑的系统架构、功能、应用场景、运行保障等方面的指导和建议。本文件适用于市域城市网络安全大脑建设。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20986-2023信息安全技术网络安全事件分类分级指南GB/T25069-2022信息安全技术术语GB/T36626-2018信息安全技术信息系统安全运维管理指南GB/T39204-2022信息安全技术关键信息基础设施安全保护要求GB/T39477-2020信息安全技术政务信息共享数据安全技术要求GB/T41479-2022信息安全技术网络数据处理安全要求GB/T43697-2024数据安全技术数据分类分级规则GB/T50280-98城市规划基本术语标准3术语和定义GB/T25069—2022界定的以及下列术语和定义适用于本文件。3.1市域administrativeregionofacity城市行政管辖的全部地域。[来源：GB/T50280-98，2.0.5]3.2城市网络安全大脑urbancybersecuritybrain采用信息技术设计、开发和建设，满足市域网络安全保护需求，具备城市网络安全资产管理、监测预警、风险管控、应急协调、态势分析等功能的综合性管理平台。3.3关键信息基础设施criticalinformationinfrastructure支撑关键业务持续、稳定运行的信息系统或工业控制系统，且一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生和公共利益[来源：GB/T39204-2022，3.1]3.4安全策略securitypolicyDB32/TXXXX—XXXX2用于治理组织及其系统内在安全上如何管理、保护和分发资产(包括敏感信息)的一组规则、指导和实践,特别是那些对系统安全及相关元素具有影响的资产。[来源：GB/T36626-2018，3.3]3.5重要数据importantdata一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。[来源：GB/T41479-2022，3.9]3.6敏感数据sensitivedata由权威机构确定的受保护的信息数据。注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。[来源：GB/T39477-2020，3.7]4建设原则4.1整体性原则城市网络安全大脑应整体规划，统筹考虑总体结构、各功能模块之间关系，根据现场环境因素条件，科学合理分步实施。4.2简易性原则城市网络安全大脑的界面应清晰简易，便于理解和操作。4.3可扩展性原则城市网络安全大脑建设宜支持随着市域城市网络安全保护需求的变化而灵活升级、持续扩展。4.4安全性原则城市网络安全大脑建设应落实等级保护和商用密码应用要求，确保大脑安全可靠。5城市网络安全大脑架构5.1城市网络安全大脑架构图城市网络安全大脑架构由数据层、中台层、业务应用层和态势感知层组成。城市网络安全大脑架构如图1所示。DB32/TXXXX—XXXX3图1城市网络安全大脑架构图5.2数据层平台数据源层对接多渠道数据，采集市域网络安全相关数据，数据源包括但不限于：a）市域政务安全数据：通过与市域政务机构数据对接，获取政务系统资产、安全事件及漏洞等内部安全数据，并整合城域网流量监测、威胁情报等市域级网络安全数据。b）本地主动监测数据：在互联网区部署资产发现设备、漏洞扫描设备及流量监测设备，实时采集市域重要信息系统和关键信息基础设施的资产信息、安全威胁数据，以及漏洞情报等关键安全数据；c）第三方威胁情报数据：与第三方安全厂商建立情报共享机制，获取第三方威胁情报数据，包括但不限于威胁情报、漏洞、网络攻击特征库等。5.3中台层中台层为上层应用系统提供身份管理、流程管理等共性的功能组件，并负责下层数据的统一汇聚分析和与上层应用系统的数据共享交换。中台层包括以下系统：a）数据中台；b）能力中台。5.3业务应用层业务应用层提供具体应用服务，包括以下业务子系统：a）资产管理子系统；b）安全监测子系统；c）数据安全子系统；d）应急指挥子系统；DB32/TXXXX—XXXX4e）检查管理子系统；f）态势感知子系统。6城市网络安全大脑运管平台6.1资产管理子系统6.1.1资产探测包括但不限于以下功能：a）支持资产探测任务的过程管理，包括创建、启动、暂停及恢复等；b）支持临时和周期性探测任务，可基于IP、端口、域名、区域及行业等多维度下发任务，满足各类资产探测需求；c）支持对资产信息探测结果形成资产清单；d）支持资产清单导出。6.1.2资产管理包括但不限于以下功能：a）支持对资产的分级管理；b）支持对资产信息的增删、修改、查询、审核等操作；c）支持对资产安全状况进行评估；d）支持对资产多维度的数据统计分析和展示。6.2安全监测子系统6.2.1流量监测包括但不限于以下功能：a）支持对关键信息基础设施网络流量的分光采集，获取原始报文数据；b）支持基于流量分析的网络安全威胁实时监测；c）支持基于流量分析的互联网暴露面资产识别监测；d）支持流量安全监测结果数据的多维度分析和展示。6.2.2漏洞扫描包括但不限于以下功能：a）支持对网站漏洞、主机漏洞、数据库漏洞、弱口令漏洞等多类型漏洞的扫描；b）支持下发临时性和周期性扫描任务；c）支持扫描任务的创建、启停、监控等过程管理；d）支持漏洞验证、通报、整改的闭环管理；e）支持根据扫描结果自动生成漏洞报告；f）支持漏洞扫描结果数据的统计分析和展示。6.2.3日志审计包括但不限于以下功能：5a）支持多源日志的统一采集和存储；b）支持原始日志数据的多条件组合检索；c）支持日志数据的关联分析与溯源调查；d）支持日志分析报告的自动生成和导出；e）支持日志结果统计分析和展示。6.2.4移动应用程序监测包括但不限于以下功能：a）支持移动应用程序的唯一标识、版本管理；b）支持移动应用程序的安全漏洞和恶意行为监测；c）支持移动应用程序特征分析与溯源调查；d）支持根据移动应用程序检测结果自动生成安全报告；e）支持移动应用程序监测结果的统计分析和展示。6.2.5安全事件管理包括但不限于以下功能：a）支持安全事件调查分析与影响评估；b）支持安全通报的生成和下发；c）支持安全事件处置的闭环跟踪；d）支持安全事件数据统计分析和展示。6.3数据安全子系统6.3.1数据流转监测包括但不限于以下功能：a）支持数据流转节点安全监测；b）支持业务数据流拓扑建模；c）支持敏感数据流转路径的可视化追踪。6.3.2重要数据安全监测包括但不限于以下功能：a）支持数据库异常访问行为的实时监测；b）支持敏感数据跨境传输监测；c）支持对特权账号操作行为的审计；d）支持数据接口异常调用行为监测。6.3.3移动应用程序违规收集使用个人信息监测包括但不限于以下功能：a）支持移动应用程序隐私政策与实际行为一致性监测；b）支持移动应用程序权限滥用分析监测；c）支持根据监测结果自动生成安全报告。DB32/TXXXX—XXXX66.4应急指挥子系统6.4.1应急演练管理包括但不限于以下功能：a）支持网络安全事件应急预案的创建、修订和版本管理；b）支持演练全流程的管理，包含演练任务创建、启动、监控、终止等；c）支持演练行为审计；d）支持演练成果上报、审核；e）支持查询演练成绩和提交演练总结。6.4.2应急响应管理包括但不限于以下功能：a）支持检索与启动应急预案；b）支持应急资源（支撑单位、支撑专家、装备资源等）自动调配管理；6.4.3协同指挥管理包括但不限于以下功能：a）支持重大活动保障筹备，包含方案制定、组织架构配置、资源调度等，实现关联部门的协同指挥；b）支持重大/特别重大网络安全事件通报录入、核验、派发、处置、归档、查询等闭环管理；c）支持安全事件通报模板自动化生成，宜支持自动关联风险等级、处置时限等关键字段；d）支持安全事件态势信息和应急资源信息的多部门（网络安全职能部门、行业监管部门等）共享。6.5检查管理子系统6.5.1安全责任管理包括但不限于以下功能：a）支持网络安全责任主体、责任人登记管理；b）支持责任提醒，及时向责任人推送消息通知及任务督办。6.5.2检查管理包括但不限于以下功能：a）支持制定安全检查任务、下发安全检查指标；b）支持检查任务记录、审查、反馈等过程管理；c）支持网络安全人才的分类管理；d）支持对技术支撑单位和威胁情报厂商等进行评价。6.5.3安全众测管理包括但不限于以下功能：a）支持众测人员安全接入和众测行为审计；b）支持众测任务管理，包含众测范围设定、积分规则配置等；c）支持众测漏洞提交、审核、整改、验证全过程管理；DB32/TXXXX—XXXX7d）支持众测结果的统计分析和展示。6.6态势感知子系统包括但不限于以下功能：a）支持资产分布态势、威胁态势、漏洞态势等安全态势的展现；b）支持应急资源调度和应急事件处置进度展示；c）支持多维度数据看板定制，可按行政区划、行业领域等维度生成专项态势视图。6.7数据中台6.7.1数据采集管理包括但不限于以下功能：a）支持Syslog、FTP、HTTP等多种协议数据采集；b）支持手动导入方式的数据采集；c）支持对重要信息系统和关键信息基础设施的实时数据采集监测；d）支持采集数据标签化处理；e）支持数据采集节点健康状态监测。6.7.2数据质量管理包括但不限于以下功能：a）支持数据清洗规则配置；b）支持数据清洗任务的创建、启动、监控、终止等过程管理；c）支持数据质量检测和异常数据告警；d）支持数据质量检测报告自动生成和导出。6.7.3数据存储管理包括但不限于以下功能：a）支持关系型数据存储、分布式文件存储、对象存储等多类型数据存储；e）支持敏感数据识别和脱敏存储；b）支持加密存储、访问控制、备份恢复等存储安全管控；c）支持存储容量动态扩展与性能监控。6.7.4数据目录管理包括但不限于以下功能：a）支持元数据增删、变更、查询等管理，支持元数据的版本控制、变更追溯和关联分析；b）支持主数据增删、变更、分级、查询等管理及数据跨系统同步；c）支持关键字、正则、组合条件等多方式的数据检索；d）支持数据目录的制定、审核、发布与订阅管理；e）支持数据资产的统计分析和展示。6.7.5数据应用管理包括但不限于以下功能：DB32/TXXXX—XXXX8a）支持基于资产、威胁、漏洞等数据安全风险关联分析；b）支持用户行为基线、设备访问基线分析，识别用户异常操作；c）支持攻击链路分析和风险影响范围分析；d）支持根据安全分析需求自定义数据分析模板；e）支持分析结果可视化展示和自动化报告生成；f）支持通过数据接口为业务应用提供数据交换、查询、分析等数据服务；6.8能力中台6.8.1身份管理包括但不限于以下功能：a）支持用户信息与组织关系的统一配置；b）支持用户权限分级管理；c）支持统一认证和权限访问控制；d）支持操作日志审计与异常行为分析。6.8.2消息管理包括但不限于以下功能：a）支持多渠道的消息推送；b）支持基于优先级、敏感度等标识的消息分级管理；c）支持多终端消息同步及离线消息缓存；d）支持消息路由跟踪与投递状态反馈。6.8.3业务流程管理包括但不限于以下功能：a）支持图形化流程编排和流程版本升级；b）支持对业务流程运行情况的实时监控，包括流程进度跟踪、异常情况预警和业务效能统计分析；7应用场景依托城市网络安全大脑平台，在市域范围内开展网络安全防护工作，包括但不限于以下内容：a）应对市域网络安全资产实施常态化安全监测，实施预警风险漏洞和安全事件，重大网络安全事件宜在2小时内完成预警，特别重大网络安全事件宜在30分钟内预警；b）应制定攻防、渗透测试等多场景的应急演练预案、开展人员培训、监控演练过程并生成评估报告，实现攻防演练全流程数字化管理；c）应每年开展不少于1次网络安全众测，并完成安全众测人员实名认证、规范测试流程、管控测试风险并评估测试质量，保障众测工作安全有序开展；d）宜对关键信息基础设施和重要信息系统每年开展不少于2次网络安全专项检查，并生成健康评估报告；e）应对网络安全事件实施分析研判、应急处置和记录总结的闭环处置，确保重要信息系统业务连续性保障。特别重大/重大网络安全事件宜在4小时内完成初步处置。DB32/TXXXX—XXXX98运行保障8.1组织建设宜组建平台安全运行管理中心，支持市域网络安全常态化保护和平台稳定运行。8.2制度管理宜针对平台运行制定平台运行管理制度，包括但不限于资产管理制度、安全监测制度、应急响应制度、安全通报管理制度、平台运行维护管理制度等。8.3人员保障包括但不限于：a）应建立运行维护团队，并熟练掌握网络与数据安全相关理论知识与实操技能；b）应对运行维护团队成员的任用、岗位变更、离职、权限变更进行严格管理；c）宜定期对运行维护团队成员进行网络安全意识培训、安全技能培训。8.4平台维护包括但不限于：a）应定期对城市网络安全大脑运行状态进行巡检，并对发生的故障进行及时修复；b）应及时对城市网络