ICS35.030 CCSL80 3309 浙江省舟山市地方标准 DB3309/T110—2024 网络攻击诱捕系统管理规范 2024-11-5发布 2024-12-5实施 舟山市市场监督管理局  发布DB3309/T110—2024 I目次 前言..................................................................................II 1范围................................................................................3 2规范性引用文件......................................................................3 3术语和定义..........................................................................3 4人员要求............................................................................3 岗位要求........................................................................3 工作内容........................................................................3 人员管理........................................................................4 5设施和设备要求......................................................................4 管理要求........................................................................4 设施设备........................................................................4 6管理流程............................................................................4 网络安全设计....................................................................4 终端威胁感知....................................................................4 蜜罐功能........................................................................4 数据分析........................................................................5 事件处置........................................................................5 数据保存........................................................................5 检查与演练......................................................................5 数据呈现........................................................................5 7系统运维............................................................................5 参考文献...............................................................................6 附录A（资料性）巡检记录表............................................................7 附录B（资料性）检查记录表............................................................8DB3309/T110—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由舟山市公安局提出并归口。 本文件起草单位：舟山市公安局，北京元支点信息安全技术有限公司。 本文件主要起草人：张艳波，王翘楚，张通汉，何淼楹，施翔，丁峰，杨丁源，杨柯，任俊博，林 建伟，史晨伟，黄林。DB3309/T110—2024 网络攻击诱捕系统管理规范 1范围 本文件规定了网络攻击诱捕系统的人员要求、设施和设备要求、管理流程和系统运维。 本文件适用于网络攻击诱捕系统的运行和管理。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/Z23283基于文件的电子信息的长期保存 GB/T25068.2信息技术安全技术网络安全第2部分：网络安全设计和实现指南 GB/T25069—2022信息安全技术术语 GB/T26163.1信息与文献文件管理过程文件元数据第1部分：原则 GA/T756 法庭科学电子数据收集提取技术规范 GA/T1170 移动终端取证检验方法 GA/T1174 电子证据数据现场获取通用方法 DB3309/T109—2024网络攻击诱捕系统建设规范 3术语和定义 GB/T25069—2022和DB3309/T109—2024界定的以及下列术语和定义适用于本文件。 网络攻击诱捕系统 一种网络安全技术，旨在通过创建虚假资源来吸引和误导潜在攻击者，从而检测、延迟和分析攻击 行为。 4人员要求 岗位要求 4.1.1应设立系统管理负责人，对整个网络攻击诱捕系统负全责。 4.1.2应设立系统管理员、安全运营管理员、安全审计员等岗位，并设置各个工作岗位的职责。 4.1.3应制定管理文件明确各岗位的任职资格和技能要求。 工作内容 4.2.1应配备系统管理员，负责的工作内容包括： a)系统参数维护和管理； b)用户的注册、删除，组织机构的变动调整； c)与用户权限相关的各类角色的设置。 1DB3309/T110—2024 4.2.2应配备安全运营管理员，负责的工作内容包括： a)安全运营管理； b)安全告警事件管理和处置； c)威胁检测、预警、决策、处置流程的闭环管理。 4.2.3应配备安全审计员，负责的工作内容包括： a)审核系统管理员、安全运营管理员的操作审批单； b)监督检查系统管理员、安全运营管理员等的操作过程和操作日志； c)处理系统自动产生的非法操作报警； d)审核系统日志，每周至少1次； e)定期备份系统日志，每个月不少于1次； f)提出系统非法操作报警的参数修改建议。 人员管理 4.3.1上岗人员应具备计算机网络、信息安全专业知识。 4.3.2上岗前应对人员进行背景审查和安全行为规范培训，形成培训记录并归档管理。 4.3.3应定期对上岗人员进行考核，并对考核结果进行记录并保存。 4.3.4上岗人员离岗应进行安全审计并归档管理。 5设施和设备要求 管理要求 应制定设施设备注册、配置、统计、状态查询、测试、诊断等制度，并定期对设施设备进行维护。 设施设备 5.2.1网络攻击诱捕系统配套设施设备包括但不限于虚拟机、服务器等。进行网络终端部署时，所支 持的设备包括但不限于台式计算机、摄像头、执法记录仪等。 5.2.2服务器设备应至少满足以下要求： a)中央处理器：16个及以上核心数； b)内存：64GB及以上； c)硬盘：8TB及以上； d)网络：2个及以上千兆网卡； e)电源：双电源。 6管理流程 网络安全设计 网络攻击诱捕系统整体设计应符合GB/T25068.2的要求。 终端威胁感知 应明确网络攻击诱捕系统的威胁感知需求，从而符合DB3309/T 109-2024终端威胁感知的要求。 蜜罐功能 2DB3309/T110—2024 应明确网络攻击诱捕系统的蜜罐功能需求，从而能够符合DB3309/T 109 -2024蜜罐功能的要求。 数据分析 应能够对网络攻击诱捕系统获取的数据进行有效分析，从而能够为系统用户了解当前网络安全态势 提供依据和支撑。 事件处置 6.5.1处理机制 应制定网络安全事件处理预案，在网络攻击诱捕系统检测到网络安全事件后，能够进行有效处置， 预案至少应包括取证、处理和上报。 6.5.2取证 6.5.2.1网络攻击诱捕系统的取证应符合GA/T756、GA/T1170和GA/T1174的要求。 6.5.2.2对发现的高危、攻陷类告警应及时上报，并协调网络安全应急力