T/STMA 四川省技术市场协会团体标准 T/STMA011—2023 城市网络安全综合防控平台设计指南 DesignGuidelinesforSmartCityNetworkSecurityComprehensivePrevention andControlPlatform 2023-11-1发布 2023-11-1实施 四川省技术市场协会发布 全国团体标准信息平台 T/STMA011—2023 I目录 前言...................................................................II 1范围...................................................................1 2引用文件...............................................................1 3术语、定义和缩略语.....................................................1 3.1术语和定义.........................................................1 4主要功能...............................................................1 5系统组成...............................................................2 5.1系统功能模块.......................................................2 5.2功能模块定义.......................................................3 5.3主要设计要素.......................................................7 6设计准则...............................................................7 7设计内容...............................................................8 7.1体系架构...........................................................8 7.2系统配置与部署.....................................................9 7.3接口设计...........................................................9 7.4开发平台及运行环境.................................................9 7.5工作流程..........................................................10 全国团体标准信息平台 T/STMA011—2023 II前言 本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草 规则》的规定起草。 请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责 任。 本标准由中国电子科技网络信息安全有限公司提出。 本标准由四川省技术市场协会归口。 本标准起草单位：中国电子科技网络信息安全有限公司、中电科新型智慧城市研究 院有限公司、四川省技术市场协会、成都中科精园科技有限公司、四川省计算机信息 安全行业协会、上海交通大学。 本标准主要起草人：兰昆、余尚仁、毛得明、张玲、蒋涛、程元俐、何耀彬、蔡少 仲、秦廷辉、吴真宏、周萌、冯筝、林彦初、曹禺、李高磊。 全国团体标准信息平台 T/STMA011—2023 1城市网络安全综合防控平台设计指南 1范围 本指南规定了城市网络安全综合防控平台类产品（以下简称模块或产品）在进行产 品设计时的设计要求。 本指南适用于指导和规范研发设计人员开展城市网络安全综合防控平台类产品设 计。 2引用文件 GB/T37971-2019智慧城市安全体系框架 GB/T33356-2016新型智慧城市评价指标 GB/Z38649-2020信息安全技术智慧城市建设信息安全保障指南 3术语、定义和缩略语 3.1术语和定义 3.1.1可保障性 是指产品易于客户安装、使用、维护及服务性资料（文档和视频材料等）需求等方 面的一种特性。每种产品必须考虑其安装调试、使用、升级以及后期故障维修和保养成 本等，因此产品的可保障性设计必须包含其中，从而提高顾客满意度。 3.1.2缩略语 无。 4主要功能 搭建智慧城市网络安全综合防控平台，集成接入示范应用系统，实现对重要信息系 统的威胁预警、事件通报和应急处置服务等综合防控，形成智慧城市网络安全的感知/检 测/评估/分析/处置一体化等综合防控能力，实现信息系统的综合安全免疫。 智慧城市网络安全综合防控平台包括以下能力： （1）具备联动控制策略生成/分解与分发、联动控制策略冲突消减、威胁处置、联动 全国团体标准信息平台 T/STMA011—2023 2处置响应效果研判等功能。 （2）具备智慧城市网络安全（公共安全）相关策略的可视化生成、编排，重要信 息、决策信息执行过程跟踪等功能。 （3）具备多传感器在线状态自动监测与智能辨识、风险数据深度解析、多元风险综 合关联分析、安全威胁综合预警等功能。 （4）具备数据异常流转发现、证书有效期监测、权限监督、数据流转审计等功能。 （5）具备设备快速发现、特征提取、协议识别、协议分析、动态更新能力。 （6）具备网络实体行为数据处理、网络实体行为建模、实体关系发现、异常行为检 测能力。 （7）具备威胁数据采集、处理、关联分析；威胁情报的格式化处理、分析能力；具 备分层、分级、多维网络设备状态、网络安全威胁演进路线展示能力。 （8）具备网络安全威胁预警、事件处理工作流定制、安全处理任务下发、审核、处 置、评估、跨域安全威胁阻断能力。 （9）具备多链数据汇聚管理、全域数据权限查询、信息访问控制策略跨域定向分 发、支持多链数据共享交换功能。 （10）具备视频结构化处理、视频基础应用、事件融合查询、视频布控报警、数据级 联管理等功能。 （11）具备多元异构数据接入的功能。 5系统组成 5.1系统功能模块 本指南对城市网络安全综合防控平台依据其功能模块、接口标准及具体应用系统环 境等进行了划分，主要可分为五大类，如图1所示。 全国团体标准信息平台 T/STMA011—2023 3 图1城市网络安全综合防控平台功能模块 5.2功能模块定义 5.2.1态势分析模块 态势分析功能经过安全分析、智能分析和建模分析后将本单位或组织的安全数据按 各种场景分析之后提供多维度态势统计分析。 （1）态势分析 态势分析功能通过收集目标网络的流量、日志、资产、脆弱性数据信息，经过安全 分析、智能分析和建模分析后将本单位或组织的安全数据按各种场景分析之后提供多维 度态势统计分析，并支持根据预设定的规则进行安全告警，可根据预警类型、预警级 别、后果、预警来源、影响访问、告警来源、状态、影响范围预置预警规则，并支持调 整预警规则的匹配顺序，并支持安全态势的大屏展示设置和展示信息筛选过滤设置。 （2）安全分析 提供威胁分析、安全调查、分析建模等安全事件分析，实时监测发现资产外联、资 产被攻击、资产主动发起攻击、端口扫描、恶意IP违规内联资产、ICMP攻击、DOS攻击 等，支持分析场景自定义，具有根据客户实际环境自定义发现疑似失陷主机、失陷主机 等场景能力。 （3）集中管控 提供与安全设备联动，通过平台直接联动采集、下发策略，进行安全事件的阻断， 全国团体标准信息平台 T/STMA011—2023 4支持的安全防护设备类型至少应包括防火墙、IDS。支持本地策略管控，支持策略分组管 理，支持策略增删改查。支持在线策略管理，支持与设备联动，支持策略下发。支持配 置备份，支持设备配置信息获取，支持不同版本配置信息比对。 （4）威胁情报 威胁情报包括但不限于恶意IP地址、恶意样本信息、钓鱼网站、垃圾邮件、全球被 黑网站、代理服务器等，支持以对各类威胁情报进行增删改查及导入导出、下载模板等 操作。 5.2.2威胁预警和应急处理模块 威胁预警和应急处理模块通过关联计算、大数据分析等计算方式对各类设备的日志 进行相关分析处理。所有匹配产生的告警都将通过该系统进行呈现，并能提供快速的处 置。 （1）网络安全监测 提供安全事件监测、脆弱性监测、攻击威胁监测和网站监测能力。安全事件监测提 供探针数据接入配置和监控，并提供对安全事件的实时监测和事件检索功能，帮助客户 实时了解安全事件信息。脆弱性监测支持对资产脆弱性的维护管理、脆弱性收集以及扫 描检测器管理，支持对系统漏洞、Web漏洞、数据库漏洞等多种类型漏洞的监测。 （2）告警展示 实现对全网安全告警、预警的全面监测。 （3）告警处置 处理告警事件、漏洞事件，分析高级威胁、多场景攻击、漏洞脆弱性、威胁情况 等。 （4）工单对接 实现告警规则的配置，可进行自动工单下发和告警预警等。 5.2.3公共安全事件监测模块 公共安全事件监测模块支持基础视频录像级联、预览；支持人脸、卡口、人体等结 构化及半结构化数据查询，碰撞，轨迹刻画，支持布控报警