Q／GDW 12195-2021  电力监控系统恶意代码监测系统技术规范

客户端管理功能满足如下要求： a）应支持接受防恶意代码客户端管理模块的任务下发、集中配置、恶意代码特征库更新： b）主机客户端恶意代码查杀引擎应自主可控

6.2防恶意代码客户端管理模块功能要求

6.2.1管理模块支持类型

管理模块应支持适配凝思 Jnix操作系统中的至少一种

建筑造价、预算、定额6.2.2管理模块策略下发功能

管理模块策略下发满足如下要求： a） 应能根据业务系统特点制定恶意代码扫描及处置策略，设置主要扫描的文件类型，订制扫描计 划并同步分配策略； b) 应能够设置在不影响业务正常运行或者业务空闲的情况下定期进行扫描： 应能够设置访问的所有本地或网络位置以及所有支持的通信协议传输信道进行扫描； d 应支持询问用户后处置或基于预先已设定的策略自动处置，默认应询问用户后处置： 2 应能够设置对隔离区文件进行删除或还原处置操作； 应支持文件、软件或进程的黑白名单设置。

6.2.3管理模块多级管理和更新要求

管理模块多级管理和特征库更新满足如下要求： a）应支持多级管理模式，支持大型网络管理，各级设置不同管理权限，支持各级管理模块升级管 理； b） 应支持通过管理模块对下级管理模块和本级所辖的每一个主机客户端的监控、配置、查询、策 略下发及更新，扫描结果能够由下级管理模块和客户端回传至本级管理模块； 应支持分组管理：

d）应支持特征库的在线和离线升级更新，应支持增量升级： e）应支持通过上级管理模块远程更新下级管理模块的恶意代码特征库； ）应支持通过上级管理模块远程管理下级管理模块的恶意代码查杀策略 应具备对下级管理模块和本级所辖设备的日志查询与统计功能； h）应支持自定义配置

6.3网络流量恶意代码监测采集装置功能要求

Q/GDW 12195202

6.4恶意代码分析模块功能要求

6.4.1分析模块支持类型

6.4.2分析模块特征库更新

分析模块应满足特征库的在线和离线升级更新，宜支持特征库的增量升级更新。

6.4.3恶意代码分析功能

恶意代码分析模块功能满足如下要求： ）应综合采用网络流量恶意代码监测采集装置或主机防恶意代码客户端，分析攻击源头，快速定 位受害区域，对恶意代码攻击事件进行溯源分析，及时发现恶意代码攻击行为并生成安全事件：

b）应对主机防恶意代码客户端以及网络流量恶意代码监测采集装置恶意代码告警事件进行综合 分析，可通过时间序列、实体间关系等手段进行恶意代码事件关联分析，实现已知和未知恶意 代码的监测分析； C 应对主机防恶意代码客户端以及网络流量恶意代码监测采集装置恶意代码告警事件的准确性 进行分析确认，过滤误报信息； 应依据所辖范围内恶意代码攻击事件统计数据，分析恶意代码事件威胁等级，展示恶意代码攻 击事件的分布情况； e 应准确统计分析受感染的主机数、感染次数、恶意代码种类数等信息，展示恶意代码威胁趋势； 应对主机感染恶意代码依据感染次数进行排名，分析其危险等级，便于安全维护人员采取针对 性的防御手段： 应统一采集所辖范围内主机设备列表及其信息，包括主机名称、IP地址、操作系统等基本信 息，并支持主机恶意代码告警事件、网络流量恶意代码告警事件以及主机安全监控状态等信息 汇总统计分析功能。

6.4.4恶意代码告警功能

恶意代码告警功能满足如下要求： 应提供恶意代码的实时和历史告警： 6 实时告警应支持实时展示，应采用告警提示窗、告警悬浮窗或告警轮播等界面告警方式： 实时告警信息记录应包括但不限于恶意代码名称、检测的日期和时间、恶意代码传播的源地址 和目的地址等： d 历史告警应提供不少于6个月的安全告警信息的记录、查询等功能。包括设备信息、威胁等级、 发生时间、告警内容、是否解决、解决方法等信息。应支持按所属区域、安全区、电压等级、 设备类型等属性进行告警筛选，应支持按确认状态、发生时间等属性对告警进行搜索的功能， 应支持告警内容的全文检索，应支持按关键字段对告警记录进行排序； e） 应支持汇总防恶意代码客户端、网络流量恶意代码监测采集装置产生的告警信息，实现恶意代 码的精准识别、追踪溯源，并通过告警传输规范发送至网络安全管理平台。防恶意代码客户端 告警传输应遵循附录A，网络流量恶意代码监测采集装置告警传输应遵循附录B。

6.4.5恶意代码审计功能

恶意代码审计功能满足如下要求： a）宜提供基于恶意代码安全事件多维度、细粒度的日志汇总、报表分析能力； 宜提供多维度恶意代码防护指标，包含客户端日活统计、特征库版本统计、病毒数量排名、感 染情况统计等

7.1防恶意代码客户端安装后主机的性能要求

防恶意代码客户端安装在主机并止常运行时，主机资源范围应满足如下要求： a）CPU利用率小于等于70%（10s平均值）； b）系统可用内存大于总内存的50%。

管理模块应支持5000台主机客户端的管理和升级

7.3网络流量恶意代码监测采集装置要求

Q/GDW 12195202

8.1防恶意代码客户端安全性要求

防恶意代码客户端安全性应满足GB/T22239一2019的要求，其他安全性要求如下： a）应具备容错机制，保证通过人机接口输入的数据符合安全性要求； b）应不得内置后门、不存在缓冲区溢出等安全漏洞； c）应具备检测并抵御常见网络攻击及渗透攻击的能力； d）不应对电力监控系统安全性、稳定性造成影响，

8.2其他模块安全性要求

防恶意代码客户端管理模块、网络流量恶意代码监测采集装置、恶意代码分析模块安全性应满足 GB/T22239一2019的要求，其他安全性要求如下： a)不应存在默认口令：

b）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并 定期更换； C） 宜支持两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术不可伪造； 应具备登录失败处理功能： 应具备管理用户授权的功能及访问控制能力： 应根据不同权限建立不同角色用户，实现权限相互独立、相对制约； g 应具备容错机制，保证通过人机接口输入的数据符合安全性要求； h 应采用国密算法保证鉴别信息和重要业务数据等敏感信息在文件系统、数据库中存储的保密 性； 应采用国密算法保证鉴别信息和重要业务数据等敏感信息在传输过程中的保密性： j 应不得内置后门、不存在缓冲区溢出等安全漏洞； k） 应具备检测并抵御常见网络攻击及渗透攻击的能力； 应关闭不需要的系统服务、默认共享和高危端口； 宜采用安全操作系统，安全I区禁止使用web服务，安全II区禁止使用不安全的web服务； n 所有程序运行，不应对操作系统、业务系统的安全性与稳定性造成影响。

9与网络安全管理平台集成要求

a）应支持将恶意代码监测系统的分析结果等数据发送至电力监控系统网络安全管理平台： 应支持接收网络安全管理平台下发的恶意代码特征库更新指令，实现特征库在线更新： 应与网络安全管理平台进行集成，支持通过网络安全管理平台更改恶意代码查杀策略： d）恶意代码监测系统与网络安全管理平台接口规范应遵循附录C。

Q/GDW 12195202

附录A （规范性附录） 恶意代码监测系统防恶意代码客户端告警传输规范

附录A遵照国家能源局国能安全（2015）36号要求，参考Sys1og（IETFRFC3164)格式，在电力 次系统安全监控中实现安全设备的告警日志在线标准化采集功能。 附录A中定义的日志类型为电力行业专用标准，电力监控系统恶意代码监测系统厂家的安全设备应 遵照实现。

RFC3164的词汇含义参

绝大部分被监测对象所提供的采用信息格式应符合通用采集信息格式要求，通用采集信息格式应按 照GB/T31992一2015执行，定义如下： 《级别>空格>日期<空格>时间<空格>设备或系统《空格>行为<空格>原因

GB/T31992一2015中的定义。级别仅取GB/T31992一2015中所定义级别的个位数，即告警事 程度，省略GB/T31992一2015中级别的十位数电压等级和百位数所属电网或调度。 事件的紧急或者严重程度见表A.2。

Q/GDW121952021

表A.2安全告警级别

A.3.5 设备或系统

表示产生事件的设备标识，可以为设备的主机名、IP地址或IP地址加主机名，具体由不同采集对 象决定。 示例： 20160312 20:12:23 SVr01SVR 5 25TCP 10.1.1.1 409910.2.2.280 SVr01为服务器名称标识。

表A.3设备类型定义

原因是事件的具体内容，由以下几个字段构成：

Q/GDW 121952021

<事件类型><空格><事件子类型><空格><内容》 注：某些类型安全设备日志不具有子类型；如日志内容中出现中文字符，统一使用UTF8编码，内容中除最后一个 属性外，其他属性中不能有空格，不同属性需要在内容格式中说明，并用空格隔开

A. 4. 1 管理且志

管理日志格式及分类如下： a）《类型=0><空格><子类型><空格><内容>; b）管理日志子类型定义见表A.4～表A.11。

表A.4用户登录成功

表A.6用户登录失败

表A.10客户端更新

表A.11特征库未更新

A. 4. 2 系统且志

系统日志格式及分类如下： a）《类型=1>空格><子类型><空格><内容>； b）系统目志子类型定义见表 A.12~表 A.15

表A.12CPU利用率

表A.13内存使用率

表A.14主机防护状态

表A.15当日威胁状态

A. 4. 3病毒且患

病毒日志格式及分类如下： a）《类型=2><空格>子类型><空格><内容>； b） 病毒日志子类型定义见表A.16～表A.18； c）内容格式中的编码（code）对应具体病毒类型编码，采用6位16进制数进行统一编码。 示例： 010001 前2位16进制编码标识厂商编码，默认00标识未知厂商，例如：01标识某厂商。后4位16进制编码标识病 型，默认0000标识未知类型，例如：0001标识某病毒类型

表A.16紧急病毒日志

表A.17重要病毒日志

表A.18一般病毒日志

表A.19病毒样本信息

Q/GDW 12195202

表A.20病毒查杀方式统计表

表A.21病毒查杀结果统计表

通信报文传输采用明文方式，可采用参考RFC3164建议的UDP协议，端口默认使用514。网络安 全管理平台厂家提供配置功能，灵活设置告警接收的IP地址和端口。

附录B （规范性附录） 网络流量恶意代码监测采集装置告警传输规范

附录B遵照国家能源局国能安全（2015）36号要求，参考Sys1og（IETFRFC3164)格式，在电 系统安全监控中实现安全设备的告警日志在线标准化采集功能。 附录B中定义的日志类型为电力行业专用标准，电力监控系统恶意代码监测系统厂家的安全设 照实现。

Syslog及RFC3164的词汇含义见表B.1

绝大部分被监测对象所提供的采用信息格式符合通用采集信息格式要求，通用采集信息格式按照 GB/T319922015执行，定义如下： <级别><空格>日期<空格>时间<空格>设备或系统<空格>行为<空格>原因。 注：当某个字段中出现中文字符时，统一使用UTF8编码。除原因字段外，其他字段内容中如含有空格，需在该字 段前后添加半角单引号“，”予以标识。原因字段作为整个信息的最后一个字段，无需在原因字段的前后添加单引号。

遵循GB/T31992一2015中的定义。级别仅取GB/T31992一2015中所定义级别的个位数，即告警事 牛的严重程度，省略GB/T31992一2015中级别的十位数电压等级和百位数所属电网或调度。 告警事件的紧急或者严重程度见表B.2。

Q/GDW 12195202

表B.2安全告警级别

表示产生事件的设备标识，可以为设备的主机名、IP地址或IP地址加主机名，具体由不同采集对 象决定。 示例： 20160312 20:12:23 SVr01SVR 5 25TCP 10.1.1.1 409910.2.2.280 Svr01为服务器名称标识。

表B.3设备类型定义

Q/GDW121952021

原因是事件的具体内容，由以下几个字段构成： <事件类型><空格><事件子类型><空格><内容》。 注：以下告警内容中描述语言仅为示意，内容信息可以为空、一项或多项字段信息。内容所列字段信息中如含有空 格，需在该字段前后添加半角单引号“，”予以标识。

采集项信息收集格式要求如下： a）信息收集日志类型定义见表B.4~表B.6； b）采集项中的编码对应具体病毒类型编码，采用8位16进制数进行统一编码。 示例： 010501ba 前2位16进制编码标识厂商编码，默认00标识未知厂商，例如：01标识XX厂商；第3位预留位，默认为0；后 立16进制编码标识病毒类型花纹板标准，默认00000标识未知类型，例如：051ba标识某病毒类型。

表 B.4紧急恶意代码日志

表B.5重要恶意代码日志

Q/GDW 12195202

表B.6一般恶意代码且志

表B.6一般恶意代码日志

表B.7病毒样本信息

通信报文传输采用明文方式，可采用参考RFC3164建议的UDP协议，端口默认使用514。网络 理平台厂家提供配置功能，灵活设置告警接收的IP地址和端口产品质量标准，