网络安全技术 网络安全产品互联互通 第3部分：告警信息格式-编制说明

国家标准报批材料

国家标准《网络安全技术网络安全产品互联互通告警信息

格式》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《网络安

全技术网络安全产品互联互通告警信息格式》由国家信息中心负责承办，计划

号：20241505-T-469。本标准由全国网络安全标准化技术委员会归口管理。

1.2制定背景

网络安全产品作为掌握网络运行状况、预警网络安全威胁和隐患的要素，由

于安全设置策略、厂商技术路线、知识产权和专利等因素，存在着接口规范不统

一、业务应用和数据难以融合的问题。亟需打通防护、分析、检测、处置等不同

类别安全产品间的互联互通通道，实现对安全事件的快速应对，最大化发挥各领

域安全产品协同效能，有效解决由于信息格式不统一带来的信息内容难以有效整

合利用、同一事件重复告警导致应急处置效率较低等问题，有利于提高网络安全

综合保障能力。

在网络安全产品所需要交换的数据之中，告警信息是网络安全产品进行安全

风险分析和态势感知的基础，通常包括告警名称、告警类型、IP、端口、协议等

信息，是网络安全产品之间需要交换的重要信息。

为了满足网络安全产品互联互通的需求，本标准拟在国家标准《信息安全技

术网络安全产品互联互通框架》所规划的框架下，对网络安全产品报送的告警

信息结构和数据格式进行规范,给出各类告警的信息结构和数据格式，指导网络

安全产品互联互通工作建设。

1.3起草过程

（1）前期工作

2022年7月，为落实《网络安全法》《关键信息基础设施安全保护条例》

《党委（党组）网络安全工作责任制实施办法》等法律法规、政策文件提出的建

立跨部门、跨行业高效联动的现代化网络安全防护能力要求，推动网络安全产品

互联互通，中国网络安全产业联盟成立了网络安全产品互联互通标准工作组。工

1

国家标准报批材料

作组围绕网络安全产品互联互通存在的信息交互格式不统一的问题，按照2022

年立项的国家标准《信息安全技术网络安全产品互联互通框架》的规划设计，

组织研制了《信息安全技术网络安全产品互联互通告警信息格式》技术规范，

用于解决告警信息数量增长迅速，告警信息格式、粒度不统一带来的处理难度增

加等日益显著的问题。

2022年9月，经充分考虑各行业客户对告警信息互联互通的需求，结合实

际项目工程经验，参考国内外相关标准，形成团体标准《信息安全技术网络安

全产品互联互通告警信息格式（草案）》。

2022年11月至2023年1月，工作组组织国家信息中心、天融信、深信服

等10余家用户单位和安全厂商，开展技术规范试点验证工作，选取典型应用场

景、典型产品和真实数据，对技术规范内容合理性和可操作性进行验证。验证内

容主要包括告警分类与告警信息数据格式，总表格数28项。围绕恶意程序、网

络攻击、数据安全、异常行为及其他告警等5大类，共计263个字段进行验证。

其中，必填字段72项，选填字段191项。验证选取的产品包括态势感知、网络

入侵检测、EDR、防火墙、安全监测等10类，共计14款产品，有8款产品对28

项告警表格的适用性超过60%。试点验证结果显示标准和实际产品和工程项目的

符合情况较好，必填字段平均符合率为80.93%，可选字段平均符合率47.39%。

2023年4月，工作组就团体标准《信息安全技术网络安全产品互联互通告

警信息格式（征求意见稿）》公开征求意见，收到26条意见反馈后对文本进行

修改完善。后续工作转为网络安全标准实践指南工作进行。

2023年8月，全国信息安全标准化技术委员会发布《网络安全标准实践指

南——网络安全产品互联互通告警信息格式（征求意见稿）》，面向社会征求意

见。征求意见稿规定了网络安全产品互联互通时告警信息的描述格式，其适用于

网络安全产品互联互通功能的设计、开发、应用和测试。征求意见稿从不同网络

安全产品告警信息有效互通和整合的角度出发，将网络安全产品告警信息类型分

为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警等五

类，并细分为二十一个子类，规定了各类告警信息的通用信息和专有信息格式，

并给出对应的字段表，包括字段名称、字段说明、字段类型以及是否必填等字段。

（2）基础研究和调研

2

国家标准报批材料

组建标准编制项目组，从相关政策法规、标准规范、典型重点行业等角度对

国内外网络安全产品互联互通工作现状进行调研，对现有网络安全告警信息进行

梳理，研究网络安全产品互联互通过程中的告警信息需求，为编制工作提供借鉴。

（3）编制标准草案

依据调研结果，编制标准框架和初稿，邀请国家网络安全相关主管部门、重

点行业应用单位、安全厂商等，组织召开意见征询会，根据征询意见，调整框架

并形成《信息安全技术网络安全产品互联互通告警信息格式（草案）V1.0》。

（4）标准立项

2023年7月4日，信安标委在北京组织召开立项评审会，与会专家对本标

准进行了认真审议，提出了相关意见。李京春、李斌、汪宗斌认为，标准制定过

程中应充分考虑机器可读，建议在附录中根据某个事件构建场景，把告警格式在

机器之间的传达提供示例，便于标准使用者应用。项目组对本条意见予以采纳，

考虑后续格式确定后，给出现在主流常用的接口示例。郭晓雷、张滨建议在大的

主流厂商之间也应注意开展试点验证。项目组对本条意见予以采纳，在前期试点

工作中已有跨厂商的产品互通验证，标准参编单位也吸纳了业内主流网络安全厂

商，后续的正式试点阶段也会加强相关应用场景的验证。李京春建议补充完善缩

略语。项目组对本条意见予以采纳，并补充SHA-1、UDP等缩略语。

（5）修改标准草案

2023年10月27日，WG5工作组召开标准研讨会，与会专家对《信息安全技

术网络安全产品互联互通告警信息格式（草案）V1.0》内容进行评审，提出相

关意见。李斌对当前标准所定义的五类告警是否已涵盖足够的网络安全产品告警，

如主机存储资源、网络状态、漏洞检测结果等提出疑问，建议结合网络安全产品

互联互通框架标准进一步确认本标准的边界。项目组对本条意见部分采纳，考虑

到安全产品一般不涉及运行类的告警，一般由运维平台等非安全类产品产生，标

准结合20986中对涉及网络安全产品的安全事件的定义、互联互通框架中对告警

信息的定义明确告警分类。任卫红建议将英文中“network”修改为“cyber”。

项目组对本条意见予以采纳，并已进行全文替换。钟力、顾健建议明确告警信息

字段的长度和交换格式。项目组对本条意见予以采纳，后续组织内部讨论，和互

联互通系列标准编制组沟通确认，明确相关要求。顾健建议编制说明中应补充告

3

国家标准报批材料

警格式确定的依据，且编制说明1.3起草过程过于简单，建议补充团标编制阶段

征求意见和应用试点的情况。项目组对本条意见予以采纳，并补充团标编制和试

点的工作过程、实践指南的过程。顾健建议系列标准中应明确哪些网络安全产品

具体对应哪些告警。项目组对本条意见予以采纳，后续组织编制组讨论，和互联

互通系列标准编制组沟通确认，明确相关要求。李京春、张建军建议突出信息，

当前标准内容有对告警信息的分类但没有分级，建议增加告警信息分级，将告警

信息划分为重要告警信息、一般告警信息等级别。项目组对本条意见予以采纳，

并补充告警信息分级：a)重要告警信息：对关键信息基础设施、等保三级及以上

信息系统、单位重点业务系统进行保护的网络安全产品所产生的告警信息，以及

字段中携带重要数据、个人信息的告警信息；b)一般告警信息：重要告警信息以

外的其他告警信息。李京春建议明确如何对告警数据进行标识、标签（例如告警

来源、类型的标识）处理。项目组对本条意见予以采纳，考虑到本标准已经有部

分标识“告警等级”、“告警级别”、“告警所属网络”、“是否加密”等，其

他数据来源的标识建议从整个互联互通工作的角度来确定，一般通过接口的定义

来实现。李京春建议，告警数据能否采用类似二维码方案，上报流量少，用告警

数据单位可随时调用告警数据。项目组对本条意见予以采纳，放在后续接口实现

的设计中考虑。例如告警一般需要实时上传，但是如果分析需要原始流量的话可

以通过这种方案来上传或查询。通过对专家建议进行充分吸收采纳，修改标准文

本，形成《信息安全技术网络安全产品互联互通告警信息格式（草案）V2.0》。

2023年11月3日，信安标委在武汉召开第二次会议周，编制组在WG5组内

作了标准编制情况汇报，与会专家和组内单位听取了汇报并提出修改意见，编制

组按照意见对标准进行了修改，一是明确标准的范围是“网络安全产品互联互通”

场景下，二是在后续系列的接口标准中会考虑身份识别和安全问题。会上，组内

同意标准推进为征求意见稿。

（6）修改标准征求意见稿

2023年11月29日，信安标委在北京组织召开标准评审会，与会专家对本

标准进行了审议并提出相关意见，编制组按照意见对标准进行了修改。张建军建

议附录A的内容示例按JSON语法再检查一下，尤其是整数型的表示。项目组对

附录A的示例按照JSON语法格式进行修改。李娜、李斌提出告警信息中的字段

4

国家标准报批材料

需要和资产编码中有对应关系，方便处置。项目组对本条意见予以采纳，明确告

警涉及的资产和资产信息可以通过IP、产品型号、产品版本进行关联。李娜、

李京春建议表2中增加备用扩展字段。项目组采纳本条意见并补充扩展字段，在

完整告警信息之后可增加自定义扩展字段。顾健提出应在前言中说清楚其他互联

互通标准。项目组对本条意见予以采纳，本标准与互联互通框架标准保持一致。

顾健提出附录B表头有误，项目组对附录B表头进行修改。魏昊提出3.1节术语

中“interconnect”应改为“interconnectivity”，项目组采纳专家意见并进

行修改。魏昊建议5.2节恶意程序告警分类与正在制定的国标进行衔接。项目组

对本条意见予以采纳并充分调研，了解到当前恶意程序的国标没有给出明确分类，

目前标准中参考GB/T20986-2023中规定的网络安全事件分类对恶意程序告警进

行分类。

2023年12月21日，信安标委在北京组织召开标准评审会，与会专家对本

标准进行了认真审议并提出了相关意见，编制组按照意见对标准进行了修改。顾

建国提出去除前言中的“网络安全产品互联互通系列标准拟由8个标准组成”表

述，标准编制组对本条意见进行部分采纳。根据此前框架标准送审稿审查会上专

家意见，专家提出应在前言部分对“网络安全产品互联互通系列标准拟由8个标

准组成”等相关内容进行补充，在研究讨论过程中，编制组查阅了GB/T1.1—

2020相关内容，依据GB/T1.1—2020第8.3节相关规定，在前言中对本文件与

网络安全产品互联互通系列标准的关系进行补充，后续编制组将进一步对标准前

言内容进行细化完善。顾建国、王新杰提出附录C要与“资产信息格式”一致，

编制组对本条意见予以采纳。顾建国提出删除3.2中的“或模型”，编制组对本

条意见予以采纳并进行相应修改。李京春、李斌、陈驰、刘毅建议本标准应与网

络攻击和网络攻击事件判定准则标准协调统一，编制组对本条意见予以采纳。杨

震建议在标准文本中补充网络安全产品定义，编制组对本条意见予以采纳并补充

相应内容。杨震建议6.2节中事件格式采用ISO8601/GB/T7408，编制组对本

条意见予以采纳，通过研究讨论认为通过YYYYMMDDhh24mmss的形式表达的值的

类型符合GB/T7408。杨震提出应明确附录1中消息格式是否采用XML、JSON，

编制组对本条意见予以采纳，并明确附录A中给出以JSON作为数据交换格式的

示例。魏昊建议5.2节去掉“发现攻击者”字样，编制组对本条意见予以采纳并

5

国家标准报批材料

删除相关表述。魏昊建议5.4b）小节删除“通过技术手段”的限定，编制组对

本条意见予以采纳并删除内容。高峰提出6.4.5小节中“见表26”应改为“见

表25”，编制组对本条意见予以采纳并进行相应修改。王新杰提出标准是否考

虑互操作的表述，编制组对本条意见予以采纳，经研究讨论认为本标准暂不涉及

互操作内容。王新杰提出是否考虑将“日志信息”纳入本标准，编制组对本条意

见予以采纳，经研究讨论暂不将内容扩展到所有日志信息。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

为了使标准的内容从一开始就与国家标准保持一致，本标准的编写参考了其

他国家有关标准，主要有GB/T20986-2023、GB/T25066-2020、GB/T25069-2022

等，另外牵头单位国家信息中心参与了国家标准《信息安全技术网络安全产品

互联互通框架》的编制工作。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与

要求如下：

（1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，国家管理机构及

用户单位对网络安全产品互联互通越来越重视，要制定出先进的产品国家标准，

必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。

本标准的编写始终遵循这一原则。

（2）实用性

标准必须是可用的，才有实际意义，因此本标准的编写是在对国内外标准的

相关技术内容消化、吸收的基础上，结合我国的实际情况，广泛了解了市场上主

流产品的功能，吸收其精华，制定出符合我国国情的、可操作性强的标准。

（3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一

致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有

关政策、法律和法规。

2.2主要内容及其确定依据

本标准是国家标准《信息安全技术网络安全产品互联互通框架》的配套标

6

国家标准报批材料

准，用于细化告警信息描述的格式。通过研究国内网络安全产品互联互通的现状

和需求，规范网络安全产品的告警分类和告警信息数据字段类型的取值、告警信

息通用部分格式和告警信息专用部分格式。

本标准主要技术内容如下：

（1）告警信息分类分级

参考GB/T20986-2023中规定的网络安全事件分类，将网络安全产品互联互

通告警分为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他

告警等类别，每个类别分别包括若干子类。

将告警信息分为重要告警信息和一般告警信息等级别。

（2）告警信息格式

告警信息由通用信息和专用信息组成，通用信息是描述各类告警的共性信息，

专用信息是描述不同类别告警的信息，包括告警分类基础信息和告警子类扩展信

息。

通用信息为告警信息的通用字段，专用信息中的告警子类基础信息为该告警

基本分类的通用字段，专用信息中的告警子类扩展信息为详细子类告警的特有字

段。本标准将给出告警信息格式字段表，包括中英文名称、字段说明、字段类型

以及是否必填等。

为对告警信息格式信息分类代码和产品代码字段的取值给出说明，本标准将

以文本或附录的形式，给出网络安全产品互联互通告警信息分类代码和网络安全

设备类型编码。

2.3修订前后技术内容的对比[仅适用于国家标准修订项目]

无。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

尚未开展试验验证。

3.2技术经济论证

无。

3.3预期的经济效益、社会效益和生态效益

7

国家标准报批材料

本标准有助于打通网络安全产品间联通壁垒，实现网络安全产品间互联互通，

促进网络安全数据高效及时的汇聚、共享和分析，提升网络安全风险预警和协同

能力，进一步降低网络安全风险。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

无国际、国外同类标准及国外样品、样机有关数据。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

国外无完全对应的标准，本标准在编制过程中参考了国外相关的标准研究工

作：围绕漏洞、威胁信息等，国外标准包括通用漏洞披露（CVE）、结构化威胁

信息表达（STIX）和可信自动情报信息交换（TAXII）等；围绕网络安全信息交

换功能接口实现，国外标准包括开放命令和控制语言（OpenC2）、开放消息总线

规范（OpenDXL）、集成自适应网络防护（IACD）等。

本标准面向网络安全产品互联互通需求，可为各国网络安全产品互联互通提

供示范和参考，具有转为国际标准的可能性。

六、与有关法律、行政法规及相关标准的关系

本标准与国内现行法律、法规、强制性国家标准及相关标准协调一致。本标

准在同《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《“十

四五”国家信息化规划》《国家网络安全事件应急预案》等相关法律法规和政策

文件及现行国家标准GB/T28458-2020《信息安全技术网络安全漏洞标识与描述

规范》、GB/T28517-2012《网络安全事件描述和交换格式》、GB/T36643-2018

《信息安全技术网络安全威胁信息格式规范》、GB/T37027-2018《信息安全技

术网络攻击定义及描述规范》协调一致基础上，在研制过程中引用了GB/T

20986-2023《信息安全技术网络安全事件分类分级指南》、GB/T25066-2020《信

息安全技术信息安全产品类别与代码》、GB/T30279-2020《信息安全技术网

络安全漏洞分类分级指南》、GB/TXXXX-XXXX《信息安全技术网络安全产

品互联互通框架》（征求意见稿）相关内容，针对网络安全产品互联互通应用提

出具体要求。

七、重大分歧意见的处理经过和依据

8

国家标准报批材料

无。

八、涉及专利的有关说明

无。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期

的建议等措施建议

本标准适用于网络安全产品相关的厂商、应用方、第三方检测认证机构等开

展网络安全产品互联互通活动。厂商可依据标准对网络安全产品的互联互通功能

进行设计和开发、提供网络安全服务，应用方依据标准开展网络安全项目建设实

施，第三方检测认证机构可依据标准开展网络安全产品测试认证。

项目牵头单位和应用推广牵头单位会基于互联互通的应用场景开展标准的

实施应用：

1、在国家电子政务外网、国家计算机网络与信息安全管理中心的全国安全

监测体系化建设中推动本标准的应用，实现安全监测/态势感知平台对异构安全

产品告警信息的整合，实现不同安全监测/态势感知平台的告警信息互通，并以

此为基础向其他行业推广、带动产业对标准的适配；

2、推动厂商开展告警信息格式的标准适配，联合第三方检测认证机构开展

网络安全产品的标准符合性测试；

3、积极在各单位、各厂商开展标准试点工作，推广标准在产业内的应用。

十、其他应当说明的事项

无。

《信息安全技术网络安全产品互联互通告警信息格式》

标准编制组

2023年11月29日

9

国家标准报批材料

国家标准《网络安全技术网络安全产品互联互通告警信息

格式》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《网络安

全技术网络安全产品互联互通告警信息格式》由国家信息中心负责承办，计划

号：20241505-T-469。本标准由全国网络安全标准化技术委员会归口管理。

1.2制定背景

网络安全产品作为掌握网络运行状况、预警网络安全威胁和隐患的要素，由

于安全设置策略、厂商技术路线、知识产权和专利等因素，存在着接口规范不统

一、业务应用和数据难以融合的问题。亟需打通防护、分析、检测、处置等不同

类别安全产品间的互联互通通道，实现对安全事件的快速应对，最大化发挥各领

域安全产品协同效能，有效解决由于信息格式不统一带来的信息内容难以有效整

合利用、同一事件重复告警导致应急处置效率较低等问题，有利于提高网络安全

综合保障能力。

在网络安全产品所需要交换的数据之中，告警信息是网络安全产品进行安全

风险分析和态势感知的基础，通常包括告警名称、告警类型、IP、端口、协议等

信息，是网络安全产品之间需要交换的重要信息。

为了满足网络安全产品互联互通的需求，本标准拟在国家标准《信息安全技

术网络安全产品互联互通框架》所规划的框架下，对网络安全产品报送的告警

信息结构和数据格式进行规范,给出各类告警的信息结构和数据格式，指导网络

安全产品互联互通工作建设。

1.3起草过程

（1）前期工作

2022年7月，为落实《网络安全法》《关键信息基础设施安全保护条例》

《党委（党组）网络安全工作责任制实施办法》等法律法规、政策文件提出的建

立跨部门、跨行业高效联动的现代化网络安全防护能力要求，推动网络安全产品

互联互通，中国网络安全产业联盟成立了网络安全产品互联互通标准工作组。工

1

国家标准报批材料

作组围绕网络安全产品互联互通存在的信息交互格式不统一的问题，按照2022

年立项的国家标准《信息安全技术网络安全产品互联互通框架》的规划设计，

组织研制了《信息安全技术网络安全产品互联互通告警信息格式》技术规范，

用于解决告警信息数量增长迅速，告警信息格式、粒度不统一带来的处理难度增

加等日益显著的问题。

2022年9月，经充分考虑各行业客户对告警信息互联互通的需求，结合实

际项目工程经验，参考国内外相关标准，形成团体标准《信息安全技术网络安

全产品互联互通告警信息格式（草案）》。

2022年11月至2023年1月，工作组组织国家信息中心、天融信、深信服

等10余家用户单位和安全厂商，开展技术规范试点验证工作，选取典型应用场

景、典型产品和真实数据，对技术规范内容合理性和可操作性进行验证。验证内

容主要包括告警分类与告警信息数据格式，总表格数28项。围绕恶意程序、网

络攻击、数据安全、异常行为及其他告警等5大类，共计263个字段进行验证。

其中，必填字段72项，选填字段191项。验证选取的产品包括态势感知、网络

入侵检测、EDR、防火墙、安全监测等10类，共计14款产品，有8款产品对28

项告警表格的适用性超过60%。试点验证结果显示标准和实际产品和工程项目的

符合情况较好，必填字段平均符合率为80.93%，可选字段平均符合率47.39%。

2023年4月，工作组就团体标准《信息安全技术网络安全产品互联互通告

警信息格式（征求意见稿）》公开征求意见，收到26条意见反馈后对文本进行

修改完善。后续工作转为网络安全标准实践指南工作进行。

2023年8月，全国信息安全标准化技术委员会发布《网络安全标准实践指

南——网络安全产品互联互通告警信息格式（征求意见稿）》，面向社会征求意

见。征求意见稿规定了网络安全产品互联互通时告警信息的描述格式，其适用于

网络安全产品互联互通功能的设计、开发、应用和测试。征求意见