DB34∕T 5235-2025 电子政务外网安全监测平台接口技术规范

ICS35.020

CCSL67

34

安徽省地方标准

DB34/T5235—2025

电子政务外网安全监测平台接口技术规范

Specificationofinterfacetechnologyfore-governmentextranet

securitymonitoringplatform

2025-05-06发布2025-06-06实施

安徽省市场监督管理局发布

DB34/T5235—2025

目次

前言II

1范围1

2规范性引用文件1

3术语和定义1

4缩略语1

5级联架构2

6总体要求2

6.1数据传输要求2

6.2接口协议3

6.3数据格式3

6.4时间同步3

7数据接口类型3

7.1级联注册接口3

7.2级联状态监控接口4

7.3威胁情报接口4

7.4预警信息接口5

7.5统计数据接口5

7.6绩效指标接口5

7.7安全报表接口5

7.8安全事件接口6

7.9文件接口6

附录A（资料性）数据格式7

附录B（资料性）接口示例16

I

DB34/T5235—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由安徽省大数据中心提出。

本文件由安徽省数据资源管理局归口。

本文件起草单位：安徽省大数据中心、安徽省数据资源管理局、安徽省数字江淮中心、阜阳市数据

资源管理局、六安市数据资源管理局、马鞍山市大数据中心、安徽省电子产品监督检验所（安徽省信息

安全测评中心）。

本文件主要起草人：朱典、王理冬、陈钢、陈先才、陶峰、闫飞、李步伟、杨阳、张浩、李珂、史

金龙、白修灵、童武俊、冯玲莉。

II

DB34/T5235—2025

电子政务外网安全监测平台接口技术规范

1范围

本文件规定了电子政务外网安全监测平台的级联架构、总体要求及数据接口要求。

本文件适用于指导市级电子政务外网安全监测平台（以下简称“市级平台”）与省级电子政务外网

安全监测平台（以下简称“省级平台”）级联对接。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

电子政务外网安全监测平台extranetsecuritymonitoringplatformfore-govermengt

以信息安全事件为核心，通过网络流量、安全设备日志、威胁情报等数据信息进行实时采集、监测

和分析，实现电子政务外网网络风险识别、威胁发现、安全事件实时告警及可视化展示的系统。

3.2

电子政务外网安全监测平台接口interfaceofextranetsecuritymonitoringplatformfor

e-govermengt

在省市两级监测平台之间，由这两级监测平台的功能特性、物理互联特性、信号交换特性及其他适

当特性界定的共享边界。

3.3

绩效指标performanceindicators

为实现对地区电子政务外网网络安全绩效的客观评估，从安全管理、安全建设、安全运营和安全效

果4个方面设定的一系列评价的指标。

3.4

安全报表securityreport

由电子政务外网安全监测平台定期自动生成的对地区电子政务外网信息安全现状进行描述的数据，

或者人工编制的安全监测月报、安全监测年报、安全事件报告单、案例分析等特定格式的文件。

4缩略语

1

DB34/T5235—2025

下列缩略语适用于本文件。

IOC：攻陷信标（IndicatorOfCompromise）

IP：网络之间互连的协议（InternetProtocol）

JSON：JS对象简谱（JavaScriptObjectNotation）

HTTPS：以安全为目标的超文本传输通道（HypertextTransferProtocolSecure）

RESTFULAPI：RESTFUL应用程序编程接口（RestfulApplicationProgrammingInterface）

URL：统一资源定位符（UniformResourceLocation）

5级联架构

市级监测平台与省级监测平台通过数据协同对接子系统的RESTFULAPI接口进行对接，级联架构图

如图1所示。

图1电子政务外网安全监测平台级联架构

6总体要求

6.1数据传输要求

数据传输应满足以下要求：

a)数据协同对接子系统之间应按RESTFULAPI标准实现数据对接；

b)采用公钥加密、私钥解密，按照HTTPS协议报送数据；

2

DB34/T5235—2025

c)HTTPS接口请求头部应增加Authentication:Bearerxx(xx为身份认证获取的访问令牌

（access_token）)。

6.2接口协议

接口协议应包括：

a)协议：HTTPS；

b)方法：POST，GET。

6.3数据格式

application/json。

6.4时间同步

省级平台提供时间服务器，以省级时间同步服务器为准。

7数据接口类型

7.1级联注册接口

级联注册流程见图2，接口示例参照附录B中的B.2。接口消息包括请求消息和返回消息，请求消息

字段定义参见附录A.1中表A.1，返回消息字段定义参见附录A.1中表A.2。

图2级联注册流程

3

DB34/T5235—2025

7.2级联状态监控接口

市级平台调用省级平台级联状态监控接口进行状态上报，接口示例参照附录B中的B.3。该接口无请

求消息，返回消息参见附录B中的B.1通用响应内容。

7.3威胁情报接口

7.3.1威胁情报下发接口

数据下发对接流程见图3，接口示例参照附录B中的B.4.1。接口消息包括请求消息和返回消息，请

求消息字段定义参见附录A.2中表A.4，返回消息字段定义参见附录A中表A.3。

图3数据下发对接流程

7.3.2威胁情报上报接口

数据上报对接流程见图4，接口示例参照附录B中的B.4.2。接口消息包括请求消息和返回消息，请

求消息字段定义参见附录A.2中表A.3，返回消息参见附录B中的B.1通用响应内容。

4

DB34/T5235—2025

图4数据上报对接流程

7.4预警信息接口

7.4.1预警信息下发接口

数据下发对接流程见图3，接口示例参照附录B中的B.5.1。接口消息包括请求消息和返回消息，请

求消息字段定义参见附录A.3中表A.5，返回消息参见附录B中的B.1通用响应内容。

7.4.2预警信息上报接口

数据上报对接流程见图4，接口示例参照附录B中的B.5.2。接口消息包括请求消息和返回消息，请

求消息字段定义参见附录A.3中表A.6，返回消息参见附录B中的B.1通用响应内容。

7.5统计数据接口

数据上报对接流程见图4，接口示例参照附录B中的B.6。接口消息包括请求消息和返回消息，请求

消息字段定义参见附录A.4中表A.7，返回消息参见附录B中的B.1通用响应内容。

7.6绩效指标接口

数据上报对接流程见图4，接口示例参照附录B中的B.7。接口消息包括请求消息和返回消息，请求

消息字段定义参见附录A.5中表A.9，返回消息参见附录B中的B.1通用响应内容。

7.7安全报表接口

5

DB34/T5235—2025

数据上报对接流程见图4，接口示例参照附录B中的B.8。接口消息包括请求消息和返回消息，请求

消息字段定义参见附录A.6中表A.10，返回消息参见附录B中的B.1通用响应内容。

7.8安全事件接口

7.8.1安全事件下发接口

数据下发对接流程见图3，接口示例参照附录B中的B.9.1。接口消息包括请求消息和返回消息，请

求消息字段定义参见附录A.7中表A.11，返回消息参见附录B中的B.1通用响应内容。

A

7.8.2安全事件上报接口

数据上报对接流程见图4，接口示例参照附录B中的B.9.2。接口消息包括请求消息和返回消息，请

求消息字段定义参见附录A.7中表A.11，返回消息参见附录B中的B.1通用响应内容。

7.9文件接口

7.9.1文件下发接口

数据下发对接流程见图3，接口示例参照附录B中的B.10.1。

7.9.2文件上报接口

数据上报对接流程见图4，接口示例参照附录B中的B.10.2。

6

DB34/T5235—2025

附录A

（资料性）

数据格式

A.1级联注册

级联注册请求字段定义参见表A.1，级联注册返回字段参见表A.2。

表A.1级联注册请求字段定义表

字段名称字段类型（长度）是否必须说明

areaCodestring(255)是区域代码

codestring(255)是向省级平台请求的代码

signstring(2000)是证书签名

certstring(2000)是证书base64

oriDatastring(2000)是用代码加密凭证数据

platformIdstring(255)是省级平台颁发的唯一凭证，即clientID

platformSecretstring(255)是省级平台颁发的密码凭证，即clientSecret

platformNamestring(255)是市级平台名称，格式要求：XX省(市)XXX平台

platformUrlstring(255)是市级平台通讯地址（IP）

platformUserstring(255)是市级平台负责人

platformPhonestring(255)是市级平台负责人联系电话

platformEmailstring(255)否市级平台负责人联系邮箱

表A.2级联注册返回字段定义表

字段名称字段类型（长度）是否必须说明

randomKeystring(255)是省级平台访问市级平台的用户名

secretRandomKeystring(2000)是省级平台访问市级平台的秘钥

A.2威胁情报

威胁情报字段定义参见表A.3，威胁情报获取字段定义参见表A.4。

表A.3威胁情报字段定义表

字段名称字段类型（长度）是否必须数据类型说明

uuIdstring(95)是基本描述唯一标识

tagarray[string](95)是基本描述标签

危害等级

信息-20

severityint(5)是基本描述低危-30

中危-50

高危-70

7

DB34/T5235—2025

字段名称字段类型（长度）是否必须数据类型说明

严重-90

置信度

低可信-20

confidenceint(5)是基本描述

中可信-50

高可信-80

isMaliciousboolean(5)是基本描述是否恶意true，false

dataSourcestring(95)否基本描述情报来源

情报类型：

iocTypestring(95)是基本描述

hash/domain/ip/MAIL/URL

createTimeint(20)是基本描述创建时间

威胁类型：

1恶意软件

2溢出风险

3拒绝服务

4网络攻击

threatTypestring(5)是基本描述

5漏洞利用

6物理攻击

7事件风险

8内容风险

9其他

countrystring(255)是基本描述情报所在国家

regionstring(255)是基本描述情报所在州或省

citystring(255)是基本描述情报所在城市

md5string(255)是文件hash类文件md5值

fileNamestring(255)否文件hash类文件名称

fileTypestring(255)否文件hash类文件类型

ipv4string(255)是ip类ipv4/ipv6上报一个即可

ipv6string(255)是ip类ipv4/ipv6上报一个即可

domainstring(255)是domain类域名

mailstring(255)是mail类邮箱

urlstring(255)是url类统一资源定位符

表A.4威胁情报获取字段定义表

字段名称字段类型（长度）是否必须说明

startTimeint(20)是开始时间

endTimeint(20)是截止时间

pageNumint(5)是页数

pageSizeint(5)是每页显示条数

A.3预警信息

预警信息下发字段定义见表A.5，预警信息上报字段定义见表A.6。

8

DB34/T5235—2025

表A.5预警信息下发字段定义表

字段名称字段类型（长度）是否必须数据类型说明

idint(20)是基本描述预警的唯一标识

namestring(95)是基本描述预警名称

预警等级

信息-20

低危-30

levelint(5)是基本描述

中危50

高危70

严重90

descriptionstring(200)是基本描述预警描述

createTimeint(20)是基本描述创建时间

attachmentarray[string](2000)否基本描述附件文件的唯一标识

工单的类型:ioc情报；vuln漏

actionTypestring(95)是基本描述

洞；fileReport文件报表

iocNamestring(95)是情报类情报名称

置信度

低可信-20

confidenceint(5)是情报类

中可信-50

高可信-80

危害等级

信息-20

低危-30

severityint(5)是情报类

中危-50

高危-70

严重-90

情报类型：

iocTypestring(255)是情报类

hash/domain/ip/mail/url

dataSourcestring(255)是情报类情报来源

locationstring(255)否情报类情报产生位置

detailstring(255)是情报类情报详情

vulnNamestring(255)是漏洞类漏洞名称

危害等级

信息-20

低危-30

severityint(95)是漏洞类

中危-50

高危-70

严重-90

cvestring(95)是漏洞类安全漏洞编号

descriptionstring(255)否漏洞类漏洞描述信息

solutionstring(255)否漏洞类解决方案

reportNamestring(255)是文件报表类文件报表名称

文件报表类型：

reportTypeint(95)是文件报表类1-周报；2-月报；3-年报；

4-其他

reportDescstring(95)是文件报表类文件报表描述信息

9

DB34/T5235—2025

表A.6预警信息上报字段定义表

字段名称字段类型（长度）是否必填说明

idint(20)是原下发预警信息唯一标识

descriptionstring(2000)否反馈的预警描述

attachmentarray[string](2000)否附件文件的唯一标识

处置状态

dealStatusint(5)是

1:待处置2:处置中3:处置完成

dealDescriptionstring(2000)否处置过程描述

A.4数据定义及数据格式

A.4.1基本数据格式

各类数据按照指定的分类统计上报，统计数据字段定义参见表A.7。

表A.7统计数据字段定义表

字段名字段类型（长度）是否必须数据类型说明

createTimeint(20)是基本描述创建时间

incidentobject(10)是安全事件类安全事件统计数据

incident.totalint(10)是安全事件类安全事件总数

int(10)是安全事件类信息等级安全事件总数

incident.lowint(10)是安全事件类低危等级安全事件总数

incident.mediumint(10)是安全事件类中危等级安全事件总数

incident.highint(10)是安全事件类高危等级安全事件总数

incident.criticalint(10)是安全事件类严重等级安全事件总数

workint(10)是安全事件类网络攻击事件总数

gramint(10)是安全事件类恶意程序事件总数

incident.dataint(10)是安全事件类数据安全事件总数

incident.otherint(10)是安全事件类其他类事件总数

incident.disposalint(10)是安全事件类安全事件处置数

alertobject(10)是安全告警类安全告警统计数据

alert.totalint(10)是安全告警类安全告警总数

int(10)是安全告警类信息等级安全告警总数

alert.lowint(10)是安全告警类低危等级安全告警总数

alert.mediumint(10)是安全告警类中危等级安全告警总数

alert.highint(10)是安全告警类高危等级安全告警总数

alert.criticalint(10)是安全告警类严重等级安全告警总数

workint(10)是安全告警类网络攻击告警总数

10

DB34/T5235—2025

字段名字段类型（长度）是否必须数据类型说明

gramint(10)是安全告警类恶意程序告警总数

alert.dataint(10)是安全告警类数据安全告警总数

alert.otherint(10)是安全告警类其他类告警总数

alert.disposalint(10)是安全告警类安全告警处置数

vulobject(10)是脆弱性类漏洞统计数据

vul.totalint(10)是脆弱性类漏洞总数

int(10)是脆弱性类信息等级漏洞总数

vul.lowint(10)是脆弱性类低危等级漏洞总数

vul.mediumint(10)是脆弱性类中危等级漏洞总数

vul.highint(10)是脆弱性类高危等级漏洞总数

vul.criticalint(10)是脆弱性类严重等级漏洞总数

assetobject(10)是资产类资产统计数据

asset.totalint(10)是资产类资产总数

asset.coreint(10)是资产类核心资产总数

asset.generalint(10)是资产类普通资产总数

asset.threatenedint(10)是资产类受威胁资产数

noticeobject(10)是工单类工单统计数据

notice.totalint(10)是工单类工单总数

notice.successint(10)是工单类已处置工单总数

notice.failint(10)是工单类未处置工单总数

notice.timeoutint(10)是工单类超时处理工单总数

A

B

A.4.2关键数据字段定义

A.4.2.1资产

资产涵盖各类软硬件设备，包括但不限于服务器、中间件、数据库、业务系统、安全设备等。

A.4.2.2安全告警

告警类型分为：网络攻击告警、恶意程序告警、数据安全告警、其他告警四大类。

a)网络攻击告警：主要包括网络扫描探测、漏洞利用、后门利用、后门植入、凭据攻击、信号

干扰、拒绝服务、网页篡改、暗链植入、域名劫持、流量劫持、APT等；

b)恶意程序告警：主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络、混合攻击程序、

恶意代码内嵌网页、恶意代码宿主站点、勒索软件、挖矿病毒等；

c)数据安全告警：主要包括数据篡改、数据假冒、数据泄漏、数据窃取、数据拦截、数据丢失、

数据错误等；

d)其他告警：不属于以上三类的其他告警。

A.4.2.3安全事件

11

DB34/T5235—2025

安全事件是网络安全人员对告警信息及对应的原始日志进行分析，最终认定为对网内数据、业务、

网络正常运行已造成危害或存在严重安全隐患的判定信息。安全事件必须面向处置或防范，主要描述事

件类型、攻击源IP、目标IP、事件级别、事件分析、影响程度和处置建议等信息。

安全事件类型分为：网络攻击事件、恶意程序事件、数据安全事件、其他事件四大类。在一级分类

下可划分事件二级分类，二级分类的具体内容参考附录表A.8。

表A.8安全事件分类表

一级分类二级分类

计算机病毒事件

网络蠕虫事件

特洛伊木马事件

僵尸网络事件

恶意代码内嵌网页事件

恶意程序事件

恶意代码宿主站点事件

勒索软件事件

挖矿病毒事件

混合攻击程序事件

其他恶意程序事件

网络扫描探测事件

网络钓鱼事件

漏洞利用事件

后门利用事件

后门植入事件

凭据攻击事件

信号干扰事件

拒绝服务事件

网页篡改事件

暗链植入事件

网络攻击事件域名劫持事件

域名转嫁事件

DNS污染事件

WLAN劫持事件

流量劫持事件

BGP劫持攻击事件

广播欺诈事件

失陷主机事件

供应链攻击事件

APT事件

其他网络攻击事件

数据篡改事件