JT／T 1418-2022  交通运输网络安全监测预警系统技术规范

应用层：负责为展示层提供 响应处置功能； 展示层：负责将各层数据进 中和直观皇现

监测预警系统应至少满足以下总体要求： 以交通运输行业关键信息基础设施为监测预警重点，监测交通运输行业政府网站、电子政务邮 箱、重要信息系统、重要网络节点和运行网络的安全状态； 一支持多级架构部署，满足交通运输行业不同管理层级的网络安全监测需求，如图1所示； 支持在原有系统基础上进行功能扩展，功能模块能独立维护； 支持基于监测策略对网络状况进行安全监测，对监测时产生的告警进行分类标识，包括但不限 于策略违反告警、事件告警、异常行为告警，并提供多种告警和响应方式，包括但不限于语音告 警、声光告警、短消息告警、邮件告警

6. 1.1 采集对象

数据的采集应满足如下要求： 采用被动及主动等方式进行采集，人工和自动化相结合； b） 采集节点以单级、分布式多级等多种形式部署； c） 数据采集任务根据类型可定制化，任务类型至少包括单次型和周期型； d 数据采集过程中不影响采集对象的正常运行

阻燃标准6.1.3.2资产基础数据应包括

采集对象基本信息，包括设备名称、设备型号、制造商名称及品牌等； b) 采集对象操作系统或固件信息，包括操作系统或固件名称、版本标识等； C 采集对象物理接口信息，包括物理接口数量，各物理接口的名称、类型和相关的配置参数等数据； d) 采集对象的设备指纹。

a） 采集对象基本信息，包括设备名称、设备型号、制造商名称及品牌等； 采集对象操作系统或固件信息，包括操作系统或固件名称、版本标识等； 采集对象物理接口信息，包括物理接口数量，各物理接口的名称、类型和相关的配置参 d）采集对象的设备指纹。

6.1.3.3运行状态数据应包括：

格式转换功能应支持对采集的同一类型、不同格式的原始数据转换为统一的数据格式，且转换时 造成关键数据项的丢失和损坏

洗功能应支持基于安全策略对采集的数据进行

数据补全功能应支持： a）对采集的资产基础数据提供标记补全功能，补全其相关联的属性； b）基于威胁情报对资产、告警等进行补全。

数据标识功能应支持基于威胁情报、业务类型、设备类型、时间、位置等对采集的原始数据进行 标识，

数据存储类型应包括以下类型： a）二维关系表等结构化数据； b）XML、JSON文档等半结构化数据； c）文本文件、图片、音视频、网络抓包文件等非结构化数据

存储内容应包括但不限于！

JT/T 1418=2022

a 原始流量数据和预处理后的数据； b) 管理数据，如系统的安全策略数据、用户信息、运行日志及自身审计日志等； C) 知识库数据，如资产库、安全事件库、漏洞库、威胁情报库等； 分析后的结果数据

存储方式应支持但不限于关系型数据存储、分布式文件存储、对象存储及文档存储

监测预警系统应支持存储周期可配置，安全日志存储时间不少于6个月，与跟踪溯源有关的数据存 储周期应根据实际需要进行配置。

6.4.1.1资产分析范围应包

.4.1.1资产分析范围应包括： a) 基础硬件、应用软件、业务系统、操作系统平台、数据库等资产的运行状态； b) 访问日志、流量数据等信息； c) 资产被黑、挂马、篡改等威胁行为； d) 网站安全漏洞、第三方组件的漏洞、弱口令、框架漏洞等脆弱性； e) 主机设备、基础软件、网络通信设备、网络安全设备等基线配置、安全配置状态； f) 资产存在的潜在风险

6.4.1.2资产脆弱性分析功能应支持：

a 通过主动扫描探测、被动流量监测和第三方导入等方式识别存活资产设备并自动描绘网络中 的资产节点间的连接关系，针对资产的重要性进行评估，建立全面的网络资产基础信息库，实 现资产管理和可用性监控； D 基于扫描和第三方导人，形成资产安全基线和安全配置监控，提供资产脆弱性管理和资产安 全指数的自动计算功能： 主动发起漏洞扫描，并将扫描结果与资产进行匹配，提供风险漏洞预警和修复方案，为漏洞信 息建立档案，提供追踪记录漏洞处置功能

6.4.2.1运行分析功能应支持对网络安全事件和异常行为进行分析。

6.4.2.3分析的异常行为应至少包括：

a) 访问频次超限； b) 访问流量超限； c) 账户异常登录； d) 非授权访间、外联； e) 文件非授权外发、下载； f) 文件系统异常； g) 授权访问的频次、流量异常； h) 权限异常提升； i) 日志异常变化。

a) 访问频次超限； b) 访问流量超限； c) 账户异常登录； d) 非授权访间、外联； e) 文件非授权外发、下载； f) 文件系统异常； g) 授权访问的频次、流量异常； h) 权限异常提升； i) 日志异常变化。

6.4.3漏洞风险分析

漏洞风险分析功能应支持： a）对漏洞数据进行风险分析，至少包括系统的高危漏洞和Web应用的高危漏洞，并给出漏洞风 险分析统计表； 对服务器和网站安全漏洞及威胁情况进行分析和关联； c）对资产的漏洞和配置弱点进行分析，并提供风险指数

威胁分析功能应支持： a）对各种异常行为进行监测，包括但不限于异常访问频次超限、异常访问流量超限、权限异常提 升、账户异常更改、日志异常变化、文件违规外发、非法外联、非法访问、非法文件下载： 对各种攻击行为进行监测，包括但不限于端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢 出攻击、IP碎片攻击、网络虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞 攻击。

潮源分析功能宜支持基于已知的威胁和安全事件，对威胁路径、威胁过程、攻击对手、攻击方式 路径、攻击源、攻击目标和虚拟身份等进行追溯分析

6.4.6安全态势分析

安全态势分析功能宜支持基于大数据处理技术，针对交通运输行业政府网站、电子政务 终端、重要信息系统、关键网络的防护重点不同分别建立分析模型，对采集的网络安全运行数 据挖掘和深度分析

6.5.1威胁情报来源

威胁情报来源应包括： a）内部威胁情报，即监测预警系统采集并形成的威胁数据信息和交通运输行业网络安全信息通 报内容； 外部威胁情报，包括但不限于权威威胁情报来源机构提供的威胁情报数据、商用或免费威肋 情报提供商提供的威胁情报数据

JT/T 1418=2022

6.5.2威胁情报格式

威胁情报格式应符合GB/T36643—2018中第6章的规定，

威胁情报格式应符合GB/T36643—2018中第6章的规定

威胁情报管理功能应支持： 采用主动模式和被动模式自动获取威胁情报数据和手动导人离线威胁情报文件： b) 采用手动升级、在线更新、人工导入等方式进行威胁情报更新； 对威胁情报进行聚合、分类、展示、关联； d 提供内部和外部威胁情报库数据交互，并根据双方数据库数据项进行格式转换； e 提供开放接口及传输格式，和国家级、部级、交通运输行业各级威胁情报系统以及其他第三方 威胁情报系统进行威胁情报共享

风险识别功能应支持根据风险分析的结果确定风险级另

6.7网络安全预警研判

6.7.1网络安全预警

6. 7.2 综合研判

综合研判功能应支持根据 信息进行关联，按照重要程度 围等对网络安全预

网络安全风险信息，即指与网络资产关联后的安全漏洞信息，安全漏洞信息的分类应符合 GB/T335612017中5.2的相关要求： b) 网络威胁信息，即指攻击过程中工具构建、投放、植人阶段的相关信息，包括恶意程序传播、恶 意程序感染等； c) 网络攻击行为信息，即指攻击过程中命令与控制阶段的相关信息，包括恶意程序控制、拒绝服 务攻击、二进制代码攻击、Web应用攻击、信道攻击、欺骗攻击、仿冒攻击、物理攻击等； d) 网络攻击后果信息，即指攻击过程中目标达成阶段的相关信息，攻击后果的分类应符合GB/T 37027—2018中6.4的规定； e） 其他信息，即指对网络安全应急响应具有支撑作用的其他网络空间信息和非网络空间信息

6.8.2通报信息格式

信息标识，即指通报信息的唯一标识； b) 相关性，即指与信息接收单位直接相关的信息； C) 信息描述，即指对信息基本情况的描述； 时间戳，即指该信息生成时间； e) 单位，即指该信息涉及的单位； f) 资产，即指该信息涉及的资产，同时指明该资产对应的等级保护级别； g） 网络安全层面，即指该信息与隐患、风险、威胁、攻击实施、攻击后果等网络安全层面的关联； h) 网络安全类别，即指该信息与具体隐患、风险、威胁、攻击实施、攻击后果类别的关联； 1) 影响评估，即指对该信息相关的网络空间影响和非网络空间影响的评估； 1 建议应对措施，即指对该信息相关应对措施的建议

6.8.3.1信息通报方式分为定期信息通报和即时信息通报。 6.8.3.2定期信息通报内容应至少包括： a） 利用技术手段，收集掌握本单位、本系统、本地区的关键信息基础设施、重要网络信息系统的 网络攻击监测状况和分析研判情况； b 发现、发生由网络攻击、网络人侵和有害程序传播导致的系统功能丧失、数据安全、信息内容 安全等事件情况及处置结果； 漏洞及网络安全预警信息响应、隐患核查整改情况， 6.8.3.3即时信息通报内容应至少包括： a) 涉及本单位、本系统、本地区的重大突发网络安全事件详细情况、处置措施、处置结果等情况； b) 针对交通运输行业和国家网络安全管理部门发布的重大网络安全预警信息所采取的防范措 施和处置情况

追踪溯源处置功能宜支持： a) 查看整个安全事件的追溯信息，包括但不限于事件名称、源地址、目的地址、源端口、目的端 口、应用协议、设备地址； b) 查看安全事件相关联的原始日志信息，包括但不限于请求地址、请求端口、请求身份认证信 息、请求数据内容、响应数据内容及响应码； c) 对威胁路径、威胁过程、攻击对手、攻击方式、攻击路径、攻击源、攻击目标、攻击武器、攻击意 图、虚拟身份及攻击事件等进行拓展分析； 通过图形方式展示攻击事件，如软件代码漏洞利用事件统计、相同事件名称攻击的目标排行 事件源地址攻击目标排行、事件目的地址的攻击源排行、相同目的端口受攻击的目标排 行等； e 通过自动化分析工具、人工测试等方式开展的网络安全渗透测试的操作步骤安全可追溯

JT/T 1418=2022

监测预警系统性能应满足： a) 提交事务平均响应时间不超过1.5s； b) 用户查询响应时间不高于5s； 具备每分钟百万条以上数据的分析能力： d) 系统年运行可用率不低于99.99%

展示内容应包括： a）基本情况展示，主要呈现资产信息、攻击态势、风险状况、网络安全预警通报、漏洞分布、事件 处置等； 安全管理综合展示，主要呈现内部资产运行状况、安全风险走势、安全事件及漏洞处置情 况等； c) 专项安全情况综合展示，主要呈现专项网络安全态势，如专项漏洞情况、白名单网站运行情 况、安全事件以及值班人员信息等： d) 整体态势情况综合展示，主要呈现全网整体安全态势，对全网安全指数进行直观的量化展示

展示方式应满足： a): 具备两种或两种以上视图展示方式，如地理信息图、关联关系图、威胁路径图等； b） 区分用户角色进行定制化展示； c) 安全态势具备可选择性展示功能消防安全，通过过滤条件选择图示的展现内容； d) 攻击态势展示以我国交通运输行业布局地图为中心，将世界范围内对交通运输行业各级单位 的攻击进行实时动态展示，展示范围可动态调整。

系统级联接口用于实现不同管理层次 级联接口应采用基于可靠身份认证手段实现具备级联关系的监测预警系统体系内各级系统之间的访问 控制。 监测预警系统级联接口关系如图1所示

数据共享接口用于实现监测预警系统与其他应用系统或第三方平台之间进行数据共享，数据共享 接口应支持： a）与资产类管理系统的接口对接，获取资产数据并进行定期更新； b）与监控类系统的接口对接，包括获取实时信息和配置信息；

C 与安全评估与检测类系统的接口对接，获取其上报的漏洞信息、基线数据、弱口令结果、管理 合规数据等； d）与第三方平台的接口对接，实现流量、日志、告警等数据的交互。 监测预警系统数据共享接口关系如图1所示

监测预警系统应按照GB/T22239一2019中8.1的要求，对安全物理环境、安全通信网络、安全区域 边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员进行规划。监测预警 系统应至少满足GB/T22239一2019中规定的第二级安全要求，当监测对象中含有安全保护等级确定为 第三级的等级保护对象或关键信息基础设施时，监测预警系统的安全防护能力应不低于第三级安全 要求。

新闻出版标准[1] GB/T20984—2007信息安全技术信息安全风险评估规范 [2] GB/T32924—2016信息安全技术网络安全预警指南 [3] GB/T36635一2018信息安全技术网络安全监测基本要求与实施指南 [4] 交通运输部交通运输部网络安全管理办法（交科技发【2020]125号） [5] 交通运输部交通运输行业网络安全信息通报管理办法（交办科技【2018]172号

［1 GB/T20984一2007信息安全技术信息安全风险评估规范 [2] GB/T32924—2016信息安全技术网络安全预警指南 [3] GB/T36635一2018信息安全技术网络安全监测基本要求与实施指南 交通运输部交通运输部网络安全管理办法（交科技发【2020]125号） [51 交通运输部交通运输行业网络安全信息通报管理办法（交办科技【2018】172号）