DB11∕T 1288-2015 电子政务信息安全监控数据规范

DB11北京市质量技术监督局发布 物力来解决与安全设备之间的交互问题，是北京地区电子政务信息安全监控系统建设实际共享的质量和效率，为电子政务监控体系构建提供科学依据和规范电子政务信息安全监控数据规范据的类型，报警信息类、通讯交互类和状态获取类数据的本标准适用于电子政务信息安全监控系统与各类安全设备之间的数件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本信息安全监控系统从安全设备获取的报警、通讯交互和状态获取等数信息安全监控系统与安全设备间进行信息交互的数据。包括信息查询数据和策略下信息安全监控系统从安全设备获取运行状态和系统日志本标准涵盖的安全设备包含但不限于入侵检测/防御类设备、防病毒类设备、防火墙类设备、审计a）报警信息类数据：信息安全监控系统接收到的安全b）通讯交互类数据：信息安全监控系统与安全设备间进行信息交互的上下信息安全监控数据与信息安全监控系统、安全设备的a)知识库查询:安全设备为信息安全监控系统提供指定报警日志的详细信息和相关知识查询服务否携带附件、关键字和主题等查询条件，可以查询网络行为通过此数据，进行监控系统上资产信息的查询，为安全设备提高报警准确性提此数据将WEB监控策略下发至安全设备，b)获取日志：安全设备实时向信息安全监控系统上报系统信息。每个域由多个字段拼接而成，所有字段与前字段a）字段名与字段值之间为半角的冒号，字段值用半角分号为“yyyy/mm/ddhh-mm-ss”产生报警日志的安全设备管理IP地址，数据格式“xxx.xxx.xxx.xxx”报警日志中记录信息安全事态所使用和涉及的网络式“xxx.xxx.xxx.xxx”报警日志中信息安全事态发起方使用的网络传输层式“xxx.xxx.xxx.xxx”报警日志中信息安全事态受害方使用的网络传输层防病毒类设备对带毒文件的处置，用“隔离、清除、放审计报警中，网络行为活动或内容违反的检测规则所对设定进行监测网站的URL地址返回查询标识在知识库中所对应的详细描述内容，未查“yyyy/mm/ddhh-mm-ss”“yyyy/mm/ddhh-mm-ss”查询请求中限定的网络行为源IP地址，可为单个地址，Protocol字段选择邮件或即时通讯类别时，填写的发件Protocol字段选择邮件或即时通讯类别时，填写的收件行为详细信息查询和内容详细信息查询中，邮件类查询查询类别，RequestType=1表示行为统计信息查询；RequestType=2表示行为详细信息查询；RequestType=3统计分类在查询类别为行为统计信息查询时，返回结果的统计分类依据，包括SrcIP:源IP、DstIP:目的IP、Protocol:协议、Application:应用、SrcAccount:发件统计分类，当查询类别为行为统计信息查询时，返回结果的统计分类依据，包括SrcIP:源IP、DstIP:目的IP、Protocol:协议、Application:应用、SrcAccount:发件行为日志发生的时间，格式为“yyyy/mm/ddhh-mm-ss”返回行为日志的源IP地址，格式为“xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”“xx-xx-xx-xx-xx-xx”“xx-xx-xx-xx-xx-xx”行为日志发生的时间，格式为“yyyy/mm/ddhh-mm-ss”返回行为日志的源IP地址，格式为“xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”源账号，指内容日志审计为电子邮件时，日志的发件人目的账号，指内容审计为电子邮件时，日志的收户邮件中是否带附件，值域：true/false，true代表邮件查询限定时间范围的开始时间，格式为“yyyy/mm/ddhh-mm-ss”查询限定时间范围的结束时间，格式为“yyyy/mm/ddhh-mm-ss”指定需要查询流量的IP地址，为单个地址或地址段，单“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”流量信息查询所基于的网络协议，查询条件为单个协议查询时，返回所查询的协议对应的流量大小；查询条件为多个协议查询时，则返回统计流量总和以及每个协议查询限定时间范围的开始时间，格式为“yyyy/mm/ddhh-mm-ss”查询限定时间范围的结束时间，格式为“yyyy/mm/ddhh-mm-ss”指定需要查询流量的IP地址，为单个地址或地址段，单“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”查询结果返回方式，当ReturnType=month时，表示返回结果时以月为单位；当ReturnType=day时，表示返回结返回结果中的时间点，流量趋势查询数据中ReturnType字段指定了返回结果中时间的单位：ReturnType=month时，时间以月为单位；ReturnType=day时，时间以天为协议信息，查询条件为单个协议查询时，返回所查询的项；查询条件为多个协议查询时，返回多个协议对应的策略中定义的站点，对此站点进行监控，站点为单个站点一种功能都与一个isUse对应，isUse=0表示不使用该功策略的执行周期，分为立即执行、分钟、小时、天、周和月。值域为：0-立即执行，1-分钟，2-小时，3-天，周期值，当执行周期选择除0以外的选项值时才有作用。检测的深度，指进行检测的页面深度，对于不同的功能站点ID，指策略中定义的URL所对应的ID，对策略中URL指策略中定义的URL所对应的ID，对策略中URL的相关配一种功能都与一个isUse对应，isUse=0表示不使用该功策略的执行周期，分为立即执行、分钟、小时、天、周和月。值域为：0-立即执行，1-分钟，2-小时，3-天，周期值，当执行周期选择除0以外的选项值时才有作用。检测的深度，指进行检测的页面深度，对于不同的功能在一个URL上执行检测动作的状态，包括URLID和动作执示站点信息检测的状态，B表示可用性检测的状态，C表查询开始时间，格式为“yyyy/mm/ddhh-mm-ss”查询结束时间，格式为“yyyy/mm/ddhh-mm-ss”查询方式，当Type=month时，表示取一个月的平均值并返回；当Type=day时，表示取一天的平均值并返回；当的可用性检测结果。Usability字段为子标识，标识），用性检测请求里的type字段，返回相应的网站响应速度查询开始时间，格式为“yyyy/mm/ddhh-mm-ss”查询结束时间，格式为“yyyy/mm/ddhh-mm-ss”结果。Vul字段为子标识，标识针对一个时间点脆弱性检测出的漏洞类型，返回时以数字代表，代表关系为：漏洞的威胁程度分级，将漏洞等级分为很高、高、中、-xxx.xxx.xxx.xxx”设备使用状态，分为启用和停用两种状态，“true”表风险值，通过风险评估，资产存在的风险值，取值范围数据规范中使用的SNMP请求和回复命令均为标准取系统状态信息，安全设备根据本规范的要求构建标准公有MIB，提供基本系统状态信息。示例1：公有域格式及字段形式和顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用MicrosoftOutlookWebAccess漏洞进行拒绝服务攻击;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;示例2：入侵检测/防御类专有域格式、字段形式和顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用MicrosoftOutlookWebAccess漏洞进行拒绝服务攻击;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;AlarmCount:5;Action:禁止;示例3：防病毒类专有域格式、字段形式和顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:蠕虫病毒;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;User:killileo;Long:512;Site:http///images/Incruit_speaceyellow_8_15.gif;Action:Deleted示例4：防火墙类专有域格式、字段形式和顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:违背策略;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc:SQL注入攻击;Action:阻止;示例5：审计类专有域格式、字段形式及顺序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:邮件审计;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc:Winnuke攻击;Keyword:DOB;RuleID:553;示例6：WEB安全类专有域格式、字段形式及顺序Date:2012/11/1210-00-00;IP:2;Severity:1;EventCode:112021;EventName:使用框架;ProtocolType:http;srcIP:;SrcPort:80;DstIP:5;DstPort:80;SiteURL:http:///index.html;URLID:1;Action:使用宽、高度属性嵌入不可见的框架;AlarmURL:/index.html;Desc:http/://05/mals/6.htm;HttpMethod:get;将返回的知识库描述放到CDATA[…]中，XML解析器不解析CDATA里的文本数据，所以知识库描述里可能存在的特殊字符将不会产生歧义。基于XML标准的查询请求格式如下：……</LogStatResponse></LogDetailResponse></ContentResponse></FlowStatQueryRequest></FlowStatQueryResponse></FlowTrendQueryRequest></FlowTrendQueryResponse></PolicyIssue><PolicyIssueID="xxx"></PolicyIssue></WebMonitorPolicyIssue></WebMonitorPolicyResponse></WebMonitorPolicyUpdate>基于XML标准的策略执行状态查询请求格式为：</PolicyStateQueryRequest>基于XML标准的策略执行状态查询应答格式如下：</policyStateQueryResponse>基于XML标准的站点信息查询请求格式为：</SiteInfoRequest>基于XML标准的站点信息查询应答格式为：</SiteInfoResponse>基于XML标准的可用性查询请求格式为：</UsabilityRequest>基于XML标准的可用性查询应答格式为：</UsabilityResponse>基于XML标准的脆弱性查询请求格式为：</VulRequest>基于XML标准的脆弱性查询应答格式为：