国家标准《信息安全技术 网络安全产品互联互通 告警信息格式》（征求意见稿）编制说明

国家标准报批材料一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术网络安全产品互联互通告警信息格式》由国家信息中心负责承办，计划号：202XXXXX-T-469。本标准由全国信息安全标准化技术委员会归口管理。1.2制定背景网络安全产品作为掌握网络运行状况、预警网络安全威胁和隐患的要素，由于安全设置策略、厂商技术路线、知识产权和专利等因素，存在着接口规范不统一、业务应用和数据难以融合的问题。亟需打通防护、分析、检测、处置等不同类别安全产品间的互联互通通道，实现对安全事件的快速应对，最大化发挥各领域安全产品协同效能，有效解决由于信息格式不统一带来的信息内容难以有效整合利用、同一事件重复告警导致应急处置效率较低等问题，有利于提高网络安全综合保障能力。在网络安全产品所需要交换的数据之中，告警信息是网络安全产品进行安全风险分析和态势感知的基础，通常包括告警名称、告警类型、IP、端口、协议等信息，是网络安全产品之间需要交换的重要信息。为了满足网络安全产品互联互通的需求，本标准拟在国家标准《信息安全技术网络安全产品互联互通框架》所规划的框架下，对网络安全产品报送的告警信息结构和数据格式进行规范,给出各类告警的信息结构和数据格式，指导网络安全产品互联互通工作建设。1.3起草过程（1）前期工作2022年7月，为落实《网络安全法》《关键信息基础设施安全保护条例》《党委（党组）网络安全工作责任制实施办法》等法律法规、政策文件提出的建立跨部门、跨行业高效联动的现代化网络安全防护能力要求，推动网络安全产品互联互通，中国网络安全产业联盟成立了网络安全产品互联互通标准工作组。工作组围绕网络安全产品互联互通存在的信息交互格式不统一的问题，按照2022年立项的国家标准《信息安全技术网络安全产品互联互通框架》的规划设计，组织研制了《信息安全技术网络安全产品互联互通告警信息格式》技术规范，用于解决告警信息数量增长迅速，告警信息格式、粒度不统一带来的处理难度增加等日益显著的问题。2022年9月，经充分考虑各行业客户对告警信息互联互通的需求，结合实际项目工程经验，参考国内外相关标准，形成团体标准《信息安全技术网络安全产品互联互通告警信息格式（草案）》。2022年11月至2023年1月，工作组组织国家信息中心、天融信、深信服等10余家用户单位和安全厂商，开展技术规范试点验证工作，选取典型应用场景、典型产品和真实数据，对技术规范内容合理性和可操作性进行验证。验证内容主要包括告警分类与告警信息数据格式，总表格数28项。围绕恶意程序、网络攻击、数据安全、异常行为及其他告警等5大类，共计263个字段进行验证。其中，必填字段72项，选填字段191项。验证选取的产品包括态势感知、网络入侵检测、EDR、防火墙、安全监测等10类，共计14款产品，有8款产品对28项告警表格的适用性超过60%。试点验证结果显示标准和实际产品和工程项目的符合情况较好，必填字段平均符合率为80.93%，可选字段平均符合率47.39%。2023年4月，工作组就团体标准《信息安全技术网络安全产品互联互通告警信息格式（征求意见稿）》公开征求意见，收到26条意见反馈后对文本进行修改完善。后续工作转为网络安全标准实践指南工作进行。2023年8月，全国信息安全标准化技术委员会发布《网络安全标准实践指南——网络安全产品互联互通告警信息格式（征求意见稿）》，面向社会征求意见。征求意见稿规定了网络安全产品互联互通时告警信息的描述格式，其适用于网络安全产品互联互通功能的设计、开发、应用和测试。征求意见稿从不同网络安全产品告警信息有效互通和整合的角度出发，将网络安全产品告警信息类型分为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警等五类，并细分为二十一个子类，规定了各类告警信息的通用信息和专有信息格式，并给出对应的字段表，包括字段名称、字段说明、字段类型以及是否必填等字段。（2）基础研究和调研组建标准编制项目组，从相关政策法规、标准规范、典型重点行业等角度对国内外网络安全产品互联互通工作现状进行调研，对现有网络安全告警信息进行梳理，研究网络安全产品互联互通过程中的告警信息需求，为编制工作提供借鉴。（3）编制标准草案依据调研结果，编制标准框架和初稿，邀请国家网络安全相关主管部门、重点行业应用单位、安全厂商等，组织召开意见征询会，根据征询意见，调整框架并形成《信息安全技术网络安全产品互联互通告警信息格式（草案）V1.0》。标准立项2023年7月4日，信安标委在北京组织召开立项评审会，与会专家对本标准进行了认真审议，提出了相关意见。李京春、李斌、汪宗斌认为，标准制定过程中应充分考虑机器可读，建议在附录中根据某个事件构建场景，把告警格式在机器之间的传达提供示例，便于标准使用者应用。项目组对本条意见予以采纳，考虑后续格式确定后，给出现在主流常用的接口示例。郭晓雷、张滨建议在大的主流厂商之间也应注意开展试点验证。项目组对本条意见予以采纳，在前期试点工作中已有跨厂商的产品互通验证，标准参编单位也吸纳了业内主流网络安全厂商，后续的正式试点阶段也会加强相关应用场景的验证。李京春建议补充完善缩略语。项目组对本条意见予以采纳，并补充SHA-1、UDP等缩略语。修改标准草案2023年10月27日，WG5工作组召开标准研讨会，与会专家对《信息安全技术网络安全产品互联互通告警信息格式（草案）V1.0》内容进行评审，提出相关意见。李斌对当前标准所定义的五类告警是否已涵盖足够的网络安全产品告警，如主机存储资源、网络状态、漏洞检测结果等提出疑问，建议结合网络安全产品互联互通框架标准进一步确认本标准的边界。项目组对本条意见部分采纳，考虑到安全产品一般不涉及运行类的告警，一般由运维平台等非安全类产品产生，标准结合20986中对涉及网络安全产品的安全事件的定义、互联互通框架中对告警信息的定义明确告警分类。任卫红建议将英文中“network”修改为“cyber”。项目组对本条意见予以采纳，并已进行全文替换。钟力、顾健建议明确告警信息字段的长度和交换格式。项目组对本条意见予以采纳，后续组织内部讨论，和互联互通系列标准编制组沟通确认，明确相关要求。顾健建议编制说明中应补充告警格式确定的依据，且编制说明1.3起草过程过于简单，建议补充团标编制阶段征求意见和应用试点的情况。项目组对本条意见予以采纳，并补充团标编制和试点的工作过程、实践指南的过程。顾健建议系列标准中应明确哪些网络安全产品具体对应哪些告警。项目组对本条意见予以采纳，后续组织编制组讨论，和互联互通系列标准编制组沟通确认，明确相关要求。李京春、张建军建议突出信息，当前标准内容有对告警信息的分类但没有分级，建议增加告警信息分级，将告警信息划分为重要告警信息、一般告警信息等级别。项目组对本条意见予以采纳，并补充告警信息分级：a)重要告警信息：对关键信息基础设施、等保三级及以上信息系统、单位重点业务系统进行保护的网络安全产品所产生的告警信息，以及字段中携带重要数据、个人信息的告警信息；b)一般告警信息：重要告警信息以外的其他告警信息。李京春建议明确如何对告警数据进行标识、标签（例如告警来源、类型的标识）处理。项目组对本条意见予以采纳，考虑到本标准已经有部分标识“告警等级”、“告警级别”、“告警所属网络”、“是否加密”等，其他数据来源的标识建议从整个互联互通工作的角度来确定，一般通过接口的定义来实现。李京春建议，告警数据能否采用类似二维码方案，上报流量少，用告警数据单位可随时调用告警数据。项目组对本条意见予以采纳，放在后续接口实现的设计中考虑。例如告警一般需要实时上传，但是如果分析需要原始流量的话可以通过这种方案来上传或查询。通过对专家建议进行充分吸收采纳，修改标准文本，形成《信息安全技术网络安全产品互联互通告警信息格式（草案）V2.0》。2023年11月3日，信安标委在武汉召开第二次会议周，编制组在WG5组内作了标准编制情况汇报，与会专家和组内单位听取了汇报并提出修改意见，编制组按照意见对标准进行了修改，一是明确标准的范围是“网络安全产品互联互通”场景下，二是在后续系列的接口标准中会考虑身份识别和安全问题。会上，组内同意标准推进为征求意见稿。（6）修改标准征求意见稿2023年11月29日，信安标委在北京组织召开标准评审会，与会专家对本标准进行了审议并提出相关意见，编制组按照意见对标准进行了修改。张建军建议附录A的内容示例按JSON语法再检查一下，尤其是整数型的表示。项目组对附录A的示例按照JSON语法格式进行修改。李娜、李斌提出告警信息中的字段需要和资产编码中有对应关系，方便处置。项目组对本条意见予以采纳，明确告警涉及的资产和资产信息可以通过IP、产品型号、产品版本进行关联。李娜、李京春建议表2中增加备用扩展字段。项目组采纳本条意见并补充扩展字段，在完整告警信息之后可增加自定义扩展字段。顾健提出应在前言中说清楚其他互联互通标准。项目组对本条意见予以采纳，本标准与互联互通框架标准保持一致。顾健提出附录B表头有误，项目组对附录B表头进行修改。魏昊提出3.1节术语中“interconnect”应改为“interconnectivity”，项目组采纳专家意见并进行修改。魏昊建议5.2节恶意程序告警分类与正在制定的国标进行衔接。项目组对本条意见予以采纳并充分调研，了解到当前恶意程序的国标没有给出明确分类，目前标准中参考GB/T20986-2023中规定的网络安全事件分类对恶意程序告警进行分类。2023年12月21日，信安标委在北京组织召开标准评审会，与会专家对本标准进行了认真审议并提出了相关意见，编制组按照意见对标准进行了修改。顾建国提出去除前言中的“网络安全产品互联互通系列标准拟由8个标准组成”表述，标准编制组对本条意见进行部分采纳。根据此前框架标准送审稿审查会上专家意见，专家提出应在前言部分对“网络安全产品互联互通系列标准拟由8个标准组成”等相关内容进行补充，在研究讨论过程中，编制组查阅了GB/T1.1—2020相关内容，依据GB/T1.1—2020第8.3节相关规定，在前言中对本文件与网络安全产品互联互通系列标准的关系进行补充，后续编制组将进一步对标准前言内容进行细化完善。顾建国、王新杰提出附录C要与“资产信息格式”一致，编制组对本条意见予以采纳。顾建国提出删除3.2中的“或模型”，编制组对本条意见予以采纳并进行相应修改。李京春、李斌、陈驰、刘毅建议本标准应与网络攻击和网络攻击事件判定准则标准协调统一，编制组对本条意见予以采纳。杨震建议在标准文本中补充网络安全产品定义，编制组对本条意见予以采纳并补充相应内容。杨震建议6.2节中事件格式采用ISO8601/GB/T7408，编制组对本条意见予以采纳，通过研究讨论认为通过YYYYMMDDhh24mmss的形式表达的值的类型符合GB/T7408。杨震提出应明确附录1中消息格式是否采用XML、JSON，编制组对本条意见予以采纳，并明确附录A中给出以JSON作为数据交换格式的示例。魏昊建议5.2节去掉“发现攻击者”字样，编制组对本条意见予以采纳并删除相关表述。魏昊建议5.4b）小节删除“通过技术手段”的限定，编制组对本条意见予以采纳并删除内容。高峰提出6.4.5小节中“见表26”应改为“见表25”，编制组对本条意见予以采纳并进行相应修改。王新杰提出标准是否考虑互操作的表述，编制组对本条意见予以采纳，经研究讨论认为本标准暂不涉及互操作内容。王新杰提出是否考虑将“日志信息”纳入本标准，编制组对本条意见予以采纳，经研究讨论暂不将内容扩展到所有日志信息。二、标准编制原则、主要内容及其确定依据2.1标准编制原则为了使标准的内容从一开始就与国家标准保持一致，本标准的编写参考了其他国家有关标准，主要有GB/T20986-2023、GB/T25066-2020、GB/T25069-2022等，另外牵头单位国家信息中心参与了国家标准《信息安全技术网络安全产品互联互通框架》的编制工作。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：（1）先进性标准是先进经验的总结，同时也是技术的发展趋势。目前，国家管理机构及用户单位对网络安全产品互联互通越来越重视，要制定出先进的产品国家标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。本标准的编写始终遵循这一原则。（2）实用性标准必须是可用的，才有实际意义，因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国情的、可操作性强的标准。（3）兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。2.2主要内容及其确定依据本标准是国家标准《信息安全技术网络安全产品互联互通框架》的配套标准，用于细化告警信息描述的格式。通过研究国内网络安全产品互联互通的现状和需求，规范网络安全产品的告警分类和告警信息数据字段类型的取值、告警信息通用部分格式和告警信息专用部分格式。本标准主要技术内容如下：（1）告警信息分类分级参考GB/T20986-2023中规定的网络安全事件分类，将网络安全产品互联互通告警分为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警等类别，每个类别分别包括若干子类。将告警信息分为重要告警信息和一般告警信息等级别。（2）告警信息格式告警信息由通用信息和专用信息组成，通用信息是描述各类告警的共性信息，专用信息是描述不同类别告警的信息，包括告警分类基础信息和告警子类扩展信息。通用信息为告警信息的通用字段，专用信息中的告警子类基础信息为该告警基本分类的通用字段，专用信息中的告警子类扩展信息为详细子类告警的特有字段。本标准将给出告警信息格式字段表，包括中英文名称、字段说明、字段类型以及是否必填等。为对告警信息格式信息分类代码和产品代码字段的取值给出说明，本标准将以文本或附录的形式，给出网络安全产品互联互通告警信息分类代码和网络安全设备类型编码。2.3修订前后技术内容的对比[仅适用于国家标准修订项目]无。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告尚未开展试验验证。3.2技术经济论证无。3.3预期的经济效益、社会效益和生态效益本标准有助于打通网络安全产品间联通壁垒，实现网络安全产品间互联互通，促进网络安全数据高效及时的汇聚、共享和分析，提升网络安全风险预警和协同能力，进一步降低网络安全风险。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况无国际、国外同类标准及国外样品、样机有关数据。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因国外无完全对应的标准，本标准在编制过程中参考了国外相关的标准研究工作：围绕漏洞、威胁信息等，国外标准包括通用漏洞披露（CVE）、结构化威胁信息表达（STIX）和可信自动情报信息交换（TAXII）等；围绕网络安全信息交换功能接口实现，国外标准包括开放命令和控制语言（OpenC2）、开放消息总线规范（OpenDXL）、集成自适应网络防护（IACD）等。本标准面向网络安全产品互联互通需求，可为各国网络安全产品互联互通提供示范和参考，具有转为国际标准的可能性。六、与有关法律、行政法规及相关标准的关系本标准与国内现行法律、法规、强制性国家标准及相关标准协调一致。本标准在同《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《“十四五”国家信息化规划》《国家网络安全事件应急预案》等相关法律法规和政策文件及现行国家标准GB/T28458-2020《信息安全技术网络安全漏洞标识与描述规范》、GB/T28517-2012《网络安全事件描述和交换格式》、GB/T36643-2018《信息安全技术网络安全威胁信息格式规范》、GB/T37027-2018《信息安全技术网络