DB11/T 1288-2015 电子政务信息安全监控数据规范

ICS35.040

A24

DB11

北京市地方标准

DB11/T1288—2015

电子政务信息安全监控数据规范

Dataspecificationofinformationsecuritymonitoringinelectronic

government

2015-12-30发布2016-04-01实施

北京市质量技术监督局发布

DB11/T1288—2015

目次

引言................................................................................II

1范围..............................................................................1

2规范性引用文件....................................................................1

3术语和定义........................................................................1

4缩略语............................................................................1

5数据交互关系......................................................................2

6监控数据类型......................................................................2

6.1报警信息类....................................................................2

6.2通讯交互类....................................................................3

6.3状态获取类....................................................................3

7报警信息类数据格式................................................................3

7.1基本格式......................................................................3

7.2报警信息公共域................................................................3

7.3报警信息专有域................................................................4

8通讯交互类数据要求................................................................6

8.1基本格式......................................................................6

8.2知识库查询交互数据............................................................6

8.3审计查询数据..................................................................6

8.4流量查询数据..................................................................9

8.5Web监控策略下发数据..........................................................12

8.6漏洞扫描策略下发数据.........................................................17

8.7资产信息查询数据.............................................................19

9状态获取类数据要求...............................................................20

9.1基本格式.....................................................................20

9.2设备状态数据.................................................................20

9.3系统日志数据.................................................................21

附录A（资料性附录）报警信息类数据格式示例.........................................22

附录B（资料性附录）通讯交互类数据格式示例.........................................23

附录C（资料性附录）状态获取类数据格式示例.........................................35

参考文献............................................................................36

I

DB11/T1288—2015

引言

随着北京市信息化水平的不断提高，以电子政务为首的信息系统逐渐成为办公办事的主要平台，政

务系统的安全问题也逐渐成为整个社会必须面对的公共安全问题之一。这为政务信息系统的整体安全监

控提出了新目标，但是由于缺少统一的监控数据格式规范，各安全设备生产厂商对数据交互内容的理解

存在差异，增加了数据交互实现的随意性，使得电子政务信息安全监控系统需要耗费大量的时间、人力、

物力来解决与安全设备之间的交互问题，是北京地区电子政务信息安全监控系统建设实际需要。

本标准的应用便于信息安全监控系统出于数据传输或数据集成的目的进行数据访问，提高数据交换

共享的质量和效率，为电子政务监控体系构建提供科学依据和规范性支持。

II

DB11/T1288—2015

电子政务信息安全监控数据规范

1范围

本标准规定了电子政务信息安全监控数据与信息安全监控系统、安全设备的数据交互关系，监控数

据的类型，报警信息类、通讯交互类和状态获取类数据的格式。

本标准适用于电子政务信息安全监控系统与各类安全设备之间的数据交互关系。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/Z19669XML在电子政务中的应用指南

3术语和定义

GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1

监控数据monitoringdata

信息安全监控系统从安全设备获取的报警、通讯交互和状态获取等数据信息。

3.2

信息安全监控系统informationsecuritymonitoringsystem

为发现信息安全事件和及时预警提供支撑的信息系统。

3.3

报警信息类数据alarminformationclassdata

安全设备向信息安全监控系统发送的安全报警数据。

3.4

通讯交互类数据communicationinteractiveclassdata

信息安全监控系统与安全设备间进行信息交互的数据。包括信息查询数据和策略下发数据。

3.5

状态获取类数据stateacquisitionclassdata

信息安全监控系统从安全设备获取运行状态和系统日志的数据。

4缩略语

下列缩略语适用于本文件。

IP：网络之间互连的协议（InternetProtocol）

1

DB11/T1288—2015

MIB：管理信息库（ManagementInformationBase）

OID：对象标识(ObjectIDentifier)

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）

UTF：Unicode转换格式（UnicodeTransformationFormat）

URL：统一资源定位符（UniformResourceLocator）

XML：可扩展置标语言（eXtensibleMarkupLanguage）

5数据交互关系

本标准涵盖的安全设备包含但不限于入侵检测/防御类设备、防病毒类设备、防火墙类设备、审计

类设备、Web安全类设备和漏洞扫描类设备。

信息安全监控系统与安全设备间的交互数据包括：

a）报警信息类数据：信息安全监控系统接收到的安全设备报警日志数据；

b）通讯交互类数据：信息安全监控系统与安全设备间进行信息交互的上下行数据；

c）状态获取类数据：信息安全监控系统从安全设备获取运行状态和系统日志时的上下行数据。

信息安全监控数据与信息安全监控系统、安全设备的关系如图1所示：

图1监控数据与信息安全监控系统和安全设备的关系

6监控数据类型

6.1报警信息类

报警信息类监控数据子分类包括：

a）入侵检测/防御类设备的报警信息；

b）防病毒类设备的报警信息；

c）审计类设备的报警信息；

d）WEB安全类设备的报警信息；

e）防火墙类设备的报警信息；

f）其他设备的报警信息。

2

DB11/T1288—2015

6.2通讯交互类

通讯交互类监控数据子分类包括：

a)知识库查询:安全设备为信息安全监控系统提供指定报警日志的详细信息和相关知识查询服务

的标准与规范，通过使用知识库唯一标识（事件编号或报警名称）查询条件，获得知识库中相关详细描

述；

b)审计查询:审计类安全设备为信息安全监控系统提供统计信息查询、行为审计详细信息查询和内

容日志详细信息查询的标准与规范，通过使用时间范围、源/目的ip、源/目的端口和协议等查询条件，

获得相应范围内的网络行为统计结果和详细信息，在以上查询条件的基础上添加源账号、目的账号、是

否携带附件、关键字和主题等查询条件，可以查询网络行为内容详细信息；

c)流量查询:安全设备为信息安全监控系统提供流量信息和流量趋势查询服务的标准和规范，通过

使用IP、协议及时间范围等查询条件，获得时间范围内的流量信息和流量趋势；

d)资产信息查询:监控系统为安全设备提供资产信息查询服务的标准和规范，安全设备或其他系统

通过此数据，进行监控系统上资产信息的查询，为安全设备提高报警准确性提供依据；

e)Web监控策略下发:安全设备为监控系统提供WEB监控策略下发服务的标准和规范，监控系统通过

此数据将WEB监控策略下发至安全设备，设备使用该监控策略进行监控；

f)漏洞扫描策略下发:安全设备为监控系统提供漏洞扫描策略下发服务的标准和规范，监控系统通

过此数据将漏洞扫描策略下发至安全设备，策略驱动漏洞扫描设备执行一个即时扫描任务，或制定一个

周期性扫描任务计划；

g)其他交互通讯交互：除以上类别以外的所有交互讯息。

6.3状态获取类

状态获取类监控数据子分类包括：

a)获取状态:周期性向安全设备轮询系统状态信息；

b)获取日志：安全设备实时向信息安全监控系统上报系统操作日志；

c)其他状态：除以上类别以外的所有状态获取数据。

7报警信息类数据格式

7.1基本格式

报警信息类数据由公共域和专有域组成，公共域指报警信息类监控数据的共有信息，专有域指特有

信息。每个域由多个字段拼接而成，所有字段与前字段无间隔。

字段格式形式为：“name:value;”，“name”代表字段名，“value”代表字段值。具体格式如下：

a）字段名与字段值之间为半角的冒号，字段值用半角分号作为字段结束标识；

b）“value”中不应出现冒号、分号以及无意义的空格，不可避免时采用半角反斜杠’\’转义。

报警信息类数据格式参见附录A。

7.2报警信息公共域

报警公共域描述格式见表1。

3

DB11/T1288—2015

表1公共域描述格式

字段名称基本信息数据类型长度（字节）说明

安全设备产生报警日志的时间点，时间戳的数据格式

Date时间戳字符20

为“yyyy/mm/ddhh-mm-ss”

产生报警日志的安全设备管理IP地址，数据格式

IP设备IP地址字符32

“xxx.xxx.xxx.xxx”

报警日志在安全设备中所定义安全等级，规范定义为

Severity报警安全等级字符2三级，用“1、2、3”表示，其意义为1=高、2=中、

3=低

EventCode报警唯一标识字符32安全报警的唯一标识，唯一确定一条或一组报警

EventName报警名称字符32安全设备对报警信息的定义

报警日志中记录信息安全事态所使用和涉及的网络

ProtocolType协议字符16

协议

报警日志中信息安全事态发起方的IP地址，数据格

SrcIP源IP地址字符32

式“xxx.xxx.xxx.xxx”

报警日志中信息安全事态发起方使用的网络传输层

SrcPort源端口字符5

端口号

报警日志中信息安全事态受害方的IP地址，数据格

DstIP目的IP地址字符32

式“xxx.xxx.xxx.xxx”

报警日志中信息安全事态受害方使用的网络传输层

DstPort目的端口字符5

端口号

7.3报警信息专有域

7.3.1入侵检测/防御类专有域

入侵检测/防御类专有域描述格式见表2。

表2入侵检测/防御类专有域基本信息

字段名称基本信息数据类型长度（字节）说明

AlarmCount报警连续次数字符5安全设备检测连续发现相同报警的次数

安全设备对信息安全事态的应对方式，用“检测、阻断、

Action操作字符10

删除”表示

可选项字符用于信息的扩展

7.3.2防病毒类专有域

防病毒类专有域描述格式见表3。

表3防病毒类专有域基本信息

字段名称基本信息数据类型长度（字节）说明

User用户名字符52被感染病毒主机的用户名或设备名

4

DB11/T1288—2015

表3防病毒类专有域基本信息(续)

字段名称基本信息数据类型长度（字节）说明

Long病毒长度字符5被感染病毒的文件大小

Site位置字符256病毒所在位置

防病毒类设备对带毒文件的处置，用“隔离、清除、放

Action操作字符10

行”表示

可选项字符用于信息的扩展

7.3.3防火墙类专有域

防火墙类专有域描述格式见表4。

表4防火墙类专有域基本信息

字段名称基本信息数据类型长度（字节）说明

LogDesc日志描述字符52简要说明产生报警的网络行为

Action操作字符10对信息安全事态的处置结果

可选项字符用于信息的扩展

7.3.4审计类专有域

审计类专有域描述格式见表5。

表5审计类专有域基本信息

字段名称基本信息数据类型长度（字节）说明

LogDesc报警描述字符52对报警日志内容的简要描述

Keyword关键字字符20审计检测规则中设置的关键字

审计报警中，网络行为活动或内容违反的检测规则所对

RuleID规则标识字符5

应的标识号

可选项字符用于信息的扩展

7.3.5Web安全类专有域

Web安全类专有域描述格式见表6。

表6Web安全类专有域基本信息

字段名称基本信息数据类型长度（字节）说明

SiteURL网站URL字符52设定进行监测网站的URL地址

下发网站监测策略后，WEB安全类设备针对具体网站策略

URLID网站URL标识字符20

返回的网站URL唯一标识

Descp特征描述字符5风险行为所采用的技术特征

5

DB11/T1288—2015

表6Web安全类专有域基本信息（续）

字段名称基本信息数据类型长度（字节）说明

AlarmURL报警网页地址字符52产生报警的网页地址

Desc辅助信息字符52对报警日志的补充性说明

HttpMethodHttp方法字符20拦截日志信息时，该字段用于指明网络行为的Http方法

可选项字符用于信息的扩展

8通讯交互类数据要求

8.1基本格式

通讯交互类数据应采用XMLSchema格式。并遵照本规范规定的逻辑结构、元素、元素属性以及元素

间的关系。

通讯交互类数据格式参见附录B。

8.2知识库查询交互数据

8.2.1知识库查询请求数据

知识库查询请求以KBRequest字段为标识，描述格式见表7。

表7知识库查询请求基本信息

字段名称基本信息数据类型长度（字节）说明

KBNameID查询标识字符64知识库的唯一标识，是知识库查询条件

8.2.2知识库查询应答数据

知识库查询应答以KBResponse字段为标识，描述格式见表8。

表8知识库查询应答基本信息

字段名称基本信息数据类型长度（字节）说明

返回查询标识在知识库中所对应的详细描述内容，未查

KB应答内容字符不限

询到结果则此字段内容为空

8.3审计查询数据

8.3.1审计查询请求数据

审计查询请求以AuditInfoQueryRequest字段为标识，RequestType字段标识查询应答的类别，描述

格式见表9。

6

DB11/T1288—2015

表9审计查询请求基本信息

字段名称基本信息数据类型长度（字节）说明

查询限定时间范围的开始时间，数据格式为

StartTime开始时间字符20

“yyyy/mm/ddhh-mm-ss”

查询限定时间范围的结束时间，数据格式为

EndTime结束时间字符20

“yyyy/mm/ddhh-mm-ss”

查询请求中限定的网络行为源IP地址，可为单个地址，

SrcIP源IP字符32

也可为地址段

查询请求中限定的网络行为目的IP地址，可为单个地址，

DstIP目的IP字符32

也可为地址段

SrcPort源端口号字符5查询条件中限定的网络行为源传输层端口号

DstPort目的端口号字符5查询条件中限定的网络行为目的传输层端口号

Protocol应用协议字符64查询条件中限定的网络行为所采用的网络应用协议

Application应用服务字符64应用服务在指定应用前，指定协议类别字段

URL具体URL字符256针对协议类型选择http协议时，填写的具体URL

Keyword限定条件字符128内容详细信息查询中设置的限定条件

Protocol字段选择邮件或即时通讯类别时，填写的发件

SrcAccount发件人账号字符64

人账号或者即时通讯账号

Protocol字段选择邮件或即时通讯类别时，填写的收件

DstAccount收件人账号字符64

人账号或者即时通讯账号

行为详细信息查询和内容详细信息查询中，邮件类查询

Subject邮件主题字符64

的邮件主题

行为详细信息查询中邮件类是否携带附件，字段值域为：

HasAttachment是否携带附件字符5

Yes/No

Limit最大条数字符5最大条数

查询类别，RequestType=1表示行为统计信息查询；

RequestType查询类别字符2RequestType=2表示行为详细信息查询；RequestType=3

表示内容详细信息查询

统计分类在查询类别为行为统计信息查询时，返回结果

的统计分类依据，包括SrcIP:源IP、DstIP:目的IP、

Classificatio

统计分类字符64Protocol:协议、Application:应用、SrcAccount:发件

n

人、DstAccount:收件人、SrcPort:源端口、DstPort:目

的端口、Day:时间--天、Hour:时间--小时

8.3.2行为统计信息应答数据

7

DB11/T1288—2015

行为统计信息应答以LogStatResponse字段为标识，描述格式见表10。

表10行为统计信息应答基本信息

字段名称基本信息数据类型长度（字节）说明

Logs结果集字符不限按classification进行统计分类后得到的结果集

TotalCount结果集大小字符32按classification进行统计分类后得到的结果集大小

Log单一结果字符32结果集的一条结果

ID结果编号字符32结果编号

统计分类，当查询类别为行为统计信息查询时，返回结

果的统计分类依据，包括SrcIP:源IP、DstIP:目的IP、

Classificatio

统计分类字符64Protocol:协议、Application:应用、SrcAccount:发件

n

人、DstAccount:收件人、SrcPort:源端口、DstPort:目

的端口、Day:时间--天、Hour:时间--小时

ClassifyValue具体值字符64根据Classification字段而返回的具体值

Count数量字符8根据统计条件统计后的数量

Percentage比例字符2百分比

8.3.3行为详细信息应答数据

行为详细信息应答以LogDetailResponse字段为标识，描述格式见表11。

表11行为详细信息应答基本信息

字段名称基本信息数据类型长度（字节）说明

TotalCount数量字符32返回结果的数量

Log单一结果字符32一个返回结果

ID结果编号字符32一个返回结果的编号

Time统计分类字符20行为日志发生的时间，格式为“yyyy/mm/ddhh-mm-ss”

SrcIP源IP字符32返回行为日志的源IP地址，格式为“xxx.xxx.xxx.xxx”

返回行为日志的目的IP地址，格式为

DstIP目的IP字符32

“xxx.xxx.xxx.xxx”

SrcPort源端口号字符5返回行为日志的源端口号

DstPort目的端口号字符5返回行为日志的目的端口号

返回行为日志的源MAC地址，格式为

SrcMac源MAC地址字符32

“xx-xx-xx-x