DB11T 1288-2015 电子政务信息安全监控数据规范　

DB11北京市质量技术监督局发布I 1 1 1 1 2 2 2 3 3 3 3 3 4 6 6 6 6 9 物力来解决与安全设备之间的交互问题，是北京地区电子政1电子政务信息安全监控数据规范据的类型，报警信息类、通讯交互类和状态获取类数据的格本标准适用于电子政务信息安全监控系统与各类安全设备之间的数据GB/Z19669XML在电子政务中的应用状态获取类数据stateacquisitionclas信息安全监控系统从安全设备获取运行状态和系统日志的4缩略语2MIB:管理信息库(ManagementInformationBase)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)UTF:Unicode转换格式(UnicodeTransformationFormat)XML:可扩展置标语言(eXtensibleMarkupLanguage)本标准涵盖的安全设备包含但不限于入侵检测/防御类设备、防病毒类设a)报警信息类数据：信息安全监控系统接收到的安全设备报警日b)通讯交互类数据：信息安全监控系统与安全设c)状态获取类数据：信息安全监控系统从安全设备获取运行状态和系统日志时的上下行数据。安全设备安全设备↵防病毒3a)知识库查询:安全设备为信息安全监控系统提供指定报警日志的详细信息和相关知识查询服务b)获取日志：安全设备实时向信息安全监控系统上报系统操作日志；信息。每个域由多个字段拼接而成，所有字段与前字段无a）字段名与字段值之间为半角的冒号，字段值用半角分号作为字段b）“value”中不应出现冒号、分4为“yyyy/mm/ddhh-mm-ss”产生报警日志的安全设备管理IP地址，数据格式“xxx.xxx.xxx.xxx”2报警日志中记录信息安全事态所使用和涉及的网络式“xxx.xxx.xxx.xxx”5报警日志中信息安全事态发起方使用的网络传输层式“xxx.xxx.xxx.xxx”5报警日志中信息安全事态受害方使用的网络传输层AlarmCount5Action55Action防病毒类设备对带毒文件的处置，用“隔离、清除、放Action5审计报警中，网络行为活动或内容违反的检测规则所对Web安全类专有域描述格式见表6。56AlarmURL返回查询标识在知识库中所对应的详细描述内容，未查7“yyyy/mm/ddhh-mm-ss”“yyyy/mm/ddhh-mm-ss”查询请求中限定的网络行为源IP地址，可为单个地址，55ApplicationProtocol字段选择邮件或即时通讯类别时，填写的发件Protocol字段选择邮件或即时通讯类别时，填写的收件行为详细信息查询和内容详细信息查询中，邮件类查询552查询类别，RequestType=1表示行为统计信息查询；RequestType=2表示行为详细信息查询；RequestType=3n统计分类在查询类别为行为统计信息查询时，返回结果的统计分类依据，包括SrcIP:源IP、DstIP:目的IP、Protocol:协议、Application:应用、SrcAccount:发件的端口、Day:时间--天、Hour:时间--小时8按classification进行统计分n统计分类，当查询类别为行为统计信息查询时，返回结果的统计分类依据，包括SrcIP:源IP、DstIP:目的IP、Protocol:协议、Application:应用、SrcAccount:发件的端口、Day:时间--天、Hour:时间--小时82行为日志发生的时间，格式为“yyyy/mm/ddhh-mm-ss”返回行为日志的源IP地址，格式为“xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”55“xx-xx-xx-xx-xx-xx”9“xx-xx-xx-xx-xx-xx”行为日志发生的时间，格式为“yyyy/mm/ddhh-mm-ss”返回行为日志的源IP地址，格式为“xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”源账号，指内容日志审计为电子邮件时，日志的发件人户MailSize6邮件中是否带附件，值域：true/false，true代表邮件查询限定时间范围的开始时间，格式为“yyyy/mm/ddhh-mm-ss”查询限定时间范围的结束时间，格式为“yyyy/mm/ddhh-mm-ss”指定需要查询流量的IP地址，为单个地址或地址段，单“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”222“xxx.xxx.xxx.xxx”流量信息查询所基于的网络协议，查询条件为单个协议查询时，返回所查询的协议对应的流量大小；查询条件为多个协议查询时，则返回统计流量总和以及每个协议流量趋势查询请求数据以FlowTrendQueryRequest字段为标识，查询条件包括时间段、IP地址、流查询限定时间范围的开始时间，格式为“yyyy/mm/ddhh-mm-ss”查询限定时间范围的结束时间，格式为“yyyy/mm/ddhh-mm-ss”指定需要查询流量的IP地址，为单个地址或地址段，单“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”2查询结果返回方式，当ReturnType=month时，表示返回结果时以月为单位；当ReturnType=day时，表示返回结2流量趋势查询的IP地址，每个IP地址对应多个Fl返回结果中的时间点，流量趋势查询数据中ReturnType字段指定了返回结果中时间的单位：ReturnType=month时，时间以月为单位；ReturnType=day时，时间以天为ReturnType=minute时，时间以协议信息，查询条件为单个协议查询时，返回所查询的项；查询条件为多个协议查询时，返回多个协议对应的策略中定义的站点，对此站点进行监控，站点为单个站点2一种功能都与一个isUse对应，isUse=0表示不使用该功2策略的执行周期，分为立即执行、分钟、小时、天、周和月。值域为：0-立即执行，1-分钟，2-小时，3-天，22检测的深度，指进行检测的页面深度，对于不同的功能一个返回的URL信息，包括配置的URL和URLBack的编号站点ID，指策略中定义的URL所对应的ID，对策略中URL指策略中定义的URL所对应的ID，对策略中URL的相关配22一种功能都与一个isUse对应，isUse=0表示不使用该功2策略的执行周期，分为立即执行、分钟、小时、天、周和月。值域为：0-立即执行，1-分钟，2-小时，3-天，22检测的深度，指进行检测的页面深度，对于不同的功能URL对应检测状态查询在一个URL上执行检测动作的状态，包括URLID和动作执URL对应检测状态查询4示站点信息检测的状态，B表示可用性检测的状态，C表站点信息查询请求以SiteInfoRequest字段为标识，描述格式URL对应检测状态查询4WebNameParent为当前页面的父页面PaperID值，查询开始时间，格式为“yyyy/mm/ddhh-mm-ss”查询结束时间，格式为“yyyy/mm/ddhh-mm-ss”查询方式，当Type=month时，表示取一个月的平均值并返回；当Type=day时，表示取一天的平均值并返回；当Type=minute时，表示取一分钟的平的可用性检测结果。Usability字段为子标识，标识针对一个时间点的可用性检测结果，多个时间点的URL对应检测状态查询用性检测请求里的type字段，返回相应的网站响应速度查询开始时间，格式为“yyyy/mm/ddhh-mm-ss”查询结束时间，格式为“yyyy/mm/ddhh-mm-ss”结果。Vul字段为子标识，标识针对一个时间点脆弱性监控结果，多个时间点的结果存在多个标识。时2检测出的漏洞类型，返回时以数字代表，代表关系为：1-sql注入、2-XSS、3-CGIAutoWire任务下发应答以VulScanPolicyResponse字段为标识，描述格式2果。ID字段为孙标识，标识针对一个返回结果的编号，描述漏洞扫描设备管理IP地址，格式"xxx.xxx.xx漏洞的威胁程度分级，将漏洞等级分为很高、高、中、t-xxx.xxx.xxx.xxx”资产信息查询应答以AssetInfoQueryResponse字段为父标识。AssetInfo字段为子标识AssetNameAssetTypeAssetStatusManufacturer5设备使用状态，分为启用和停用两种状态，“true”表MemoryInfoWebConsoleWeb控制台的IP地址或URLeMac风险值，通过风险评估，资产存在的风险值，取值范围9状态获取类数据要求9.1基本格式9.2设备状态数据数据规范中使用的SNMP请求和回复命令均为标准SNMP指令，本规范中只描述通过标准MIB库信息获取系统状态信息，安全设备根据本规范的要求构建标准公有MIB，提供基本系统状态信息。数据规范标9.3系统日志数据示例1：公有域格式及字段形式和顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用MicrosoftOutlookWebAccess漏洞进行拒绝服务攻击;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;示例2：入侵检测/防御类专有域格式、字段形式和顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用MicrosoftOutlookWebAccess漏洞进行拒绝服务攻击;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;AlarmCount:5;Action:禁止;示例3：防病毒类专有域格式、字段形式和顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:蠕虫病毒;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;User:killileo;Long:512;Site:http///images/Incruit_speaceyellow815.gif;Action:Deleted;示例4：防火墙类专有域格式、字段形式和顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:违背策略;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc:SQL注入攻击;Action:阻止;示例5：审计类专有域格式、字段形式及顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:邮件审计;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc:Winnuke攻击;Keyword:DOB;RuleID:553;示例6：WEB安全类专有域格式、字段形式及顺序Date:2012/11/1210-00-00;IP:2;Severity:1;EventCode:112021;EventName:使用框架;ProtocolType:http;srcIP:;SrcPort:80;DstIP:5;DstPort:80;SiteURL:http:///index.html;URLID:1;Action:使用宽、高度属性嵌入不可见的框架;AlarmURL:/index.html;Desc:http/://05/mals/6.htm;HttpMethod:get;将返回的知识库描述放到CDATA[…]中，XML解析器不解析CDATA里的文本数据，所以知识库描述里可能存在的特殊字符将不会产生歧义。基于XML标准的查询请求格式如下：……<HasAttachment></Ha<Classification></Clas<Classification></Clas<LogsTotalCount="n"Classifica<ClassifyValue></Cl<LogsTotalCounts="m"Classifica<ClassifyValue></Cl</LogStatResponse><LogDetailResponseTota</LogDetailResponse><ContentResponseTot<HasAttachment></Ha</ContentResponse></FlowStatQueryRequest><FlowStatQueryResponseTot<FlowID="1"IP="xxx.xxProtocol="all"></FlowProtocol="xxx"></FlowProtocol="xxx"></FlowS</FlowStatQueryResponse></FlowTrendQueryRequest><FlowTrendQueryResponseTot<FlowIPID="1"IP="xxx.xx<FlowSizeProtocol="all"<FlowSizeProtocol="xxx"<FlowSizeProtocol="xxx"<FlowIPID="n"IP="xxx.xx</FlowTrendQueryResponse></PolicyIssue><PolicyIssueID="xxx"></PolicyIssue></WebMonitorPolicyIssue><WebMonitorPolicyResponseTot</WebMonitorPolicyResponse></WebMonitorPolicyUpdate>基于XML标准的策略执行状态查询请求格式为：</PolicyStateQueryRequest>基于XML标准的策略执行状态查询应答格式如下：</policyStateQueryResponse>基于XML标准的站点信息查询请求格式为：</SiteInfoRequest>基于XML标准的站点信息查询应答格式为：<SiteInfoResponseTot<SiteURLPaperID="1"Parent="0<SiteURLPaperID="2"Parent="1<SiteURLPaperID="m"Parent="n</SiteInfoResponse>基于XML标准的可用性查询请求格式为：</UsabilityRequest>基于XML标准的可用性查询应答格式为：</UsabilityResponse>基于XML标准的脆弱性查询请求格式为：<