电信和互联网行业网络运营者漏洞管理平台接口要求

1电信和互联网行业网络运营者漏洞管理平台接口要求本文件规定了电信和互联网行业网络运营者漏洞管理平台的接口功能要求、接口协议要求、指令交互类和数据传输类接口要求。本文件适用于管理侧与企业侧的行业网络运营者漏洞管理平台之间接口的设计、开发和测试。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件。仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范GB/T30279-2020信息安全技术网络安全漏洞分类分级指南3术语和定义GB/T25069-2022所确立界定的以及下列术语和定义适用于本文件。网络运营者networkoperator网络的所有者、管理者和网络服务提供者，包括基础电信企业集团公司、基础电信企业省分公司、企业专业公司、增值电信企业一二级机构(有关行业关键信息基础设施运营者)等。网络资产networkasset构成信息系统的软件、硬件、服务等IT和IoT类资源的集合，是安全机制保护的对象，例如网络产品、安全产品、物联网设备、办公外设、企业应用、系统软件、支撑系统。详细分类见附录A。产品漏洞commonvulnerability通用脆弱性描述，包括漏洞信息、受影响资产类型范围、危险等级、修复建议等内容。系统漏洞instancevulnerability具备通用漏洞属性数据，以及关联到资产对象后具体资产实例维度信息的漏洞漏洞信息包括标识号、漏洞名称、发布时间、发布单位、漏洞类别、漏洞等级以及影响系统等安全漏洞描述项。适用于产品漏洞或系统漏洞的描述。漏洞接收vulnerabilityreceptionFileTransferProto安全漏洞管理部侧平台安全漏洞管理部侧平台安全漏洞管理企业侧平台任务指令1指令交互接口234567口令字典同步任务89口令字典上传任务致据传输接口其中工单指令需企业侧平台根据需求参数进行相应的任务派发和工单流转，待工单到45.2接口功能本接口包括指令交互、数据传输两类接口。覆盖漏洞安全闭环管理的各类业务场景5.2.1指令交互类部平台通过指令交互，将相关指令下发给省侧平台，省侧平台在本地处置完成后，将相关指令结果回传到部平台。主要包括：验证指令、处置指令、预警指令，以及信息同步和上报指令。通信行业主管部门平台通过工单指令功能下发漏洞管理的人工处理需求。需求内容主要包括一工单对象，如资产责任人，或者下级平台的处理角色。一工单类别，具体的工单类型，定义不同的状态链和SLA。一工单参数，工单的附加数据，参考工单类别说明。各企业侧漏洞管理平台对下发工单需求内容进行解析并反馈接收状态，并根据接收到的需求类别和需求参数进行相应的角色内部派发和流转工作，待工单到达返回状态时将执行结果返回上级平台。行业网络运营者漏洞管理平台行业网络运营者漏洞管理平台行业网络运营者漏洞管理平台行业网络运营者漏洞管理平台图2工单指令交互示意图如图2,本功能包括以下两类：一产品漏洞验证工单：针对重点关注的产品漏洞，管理侧平台下发工单指令要求企业侧对应角色完成漏洞验证工作，执行结果通过指令交互回传上报。一系统漏洞排查处置工单：配合行业网络运营者的专项治理，管理侧平台下发工单指令要求企业侧对应角色完成系统漏洞的处置工作，例如专项漏洞的扫描排查、验证、修复、验证等状态跃迁，执行结果通过指令交互回传上报。任务指令通信行业主管部门平台通过任务指令接口下发漏洞相关的自动化任务处理需求，内容主要包括：三二一下级平台注册下级平台策略协商下级平台事件上报下级平台状态消息上报下级平台日志上报下级平台文件上传平台安全设备注册平台安全设备指令注册测试数据交互6.1接口协议6.1.1编址格式接口采用RESTAPI形式，其中不同协议消息通道以URL区分，接口地址按照图7定义，具体协议编址字段表见表2。图7RESTAPI协议地址结构图1用POST方式提交数据。POST请求的header参数需要指定Contenapplicationjson。接口定义遵循RFC1945(HTTPL.0),R2提供API服务的主机名称(或ip)以及端口接口，被对方客户端调用。3操作目标的路径，参考后续消息定义，约定如下：息使用JSON编码。下发内容后，管理侧平台应按照反馈参数进行JSON编码后反馈。1请求消息内容长度(不含消息头)2采用json格式，applicationjson:charset-3POST/opcontrolHTTPHost:pany.Content-type:application/json;charset-Date:Wed,19Dec201822:15:00X-Request-ID:dlac0489-ed51-4345-9175-f3078f30{公共响应头表4L1公共响应头字段表1响应消息内容长度(不含消息头)23须响应json示例：HTTP/1.1200OKDate:Wed,19Dec201822:15:10Content-type:application/json;charset=X-Request-ID:dlac0489-cd51-4345-9175-f3078f30{"statusText":".."请求报文结构请求报文结构包含以下属性字段，见表5。表5L2通用消息体请求报文参数表2是3是4是响应报文结构表6L2通用消息体响应报文参数表1否2码2是3否4是请求内容请求报文内容(reqMsgCnt)按业务类型划分定义。指令交互类，包含以下属性字段，遵循7.3参数表7指令交互reqMsgCnt字段表12是22是3是4否5要求处置动作重复执行的次数和周期义否6围否7否8否3否表否围否否否vulInfoL.st否否否口令字典范围否口令字典列表否否据否是表8数据传输reqMsgCnt字段表12是22是3是4否5数否6否7否8否9否否否求否否息签名是响应内容响应报文结构(rspMsgCnt)按业务类型划分定义。指令交互类，包含以下属性字段，遵循7.3参数表9指令交互rspMsgCnt字段表12是22是3是4否5否6否7否8息签名是数据传输类，包含以下属性字段，遵循8.3参数定义，见表10.表10数据传输rspMsgCnt字段表12是22是3是4否5数否6否应7否8否9是2)服务提供方验证token有效性：a)如果Token存在且有效，服务提供方执行命令请求，命令结果写入响应，返回200响应。b)如果Token不存在或无效，服务提供方返回401,重定向到鉴权URL路径(接口标准无需约定鉴权URL路径，通过Location响应头指明)。3)调用方收到401后，发送鉴权请求，包含客户端证书。说明：证书采用HTTPS协议兼容格式，其中平台设备身份通过X.509证书标识和校验，其签发过程不在本文范围内规定。4)服务提供方验证客户端证书，客户端证书有效，验证通过：a)服务提供方生成token,将信息写入响应中，返回200响应。详细示例如下：Content-Type:application/json;charseDate:Wed,19Dec20212"access_token":"tGzw3JOkFOXG5Qx2"refresh_token":"rErv3JOkFOXG5Qxb)调用方读取响应中的Token信息，并缓存下来供后续请求使用。说明：token字段仅在认证流程使用，在此按示例格式定义为字符串，支持一次下发初始access_token和替换refresh_token,及切换有效时间expires_in属性(单位：秒)。5)客户端证书无效，验证不通过，服务提供方返回401,重定向到鉴权URL路径(接口标准无需约6)通信密钥要求部平台与省侧平台约定行业网络运营者安全漏洞管理系统中对于用户令牌(token)、加密密钥(key)、加密算法套件(cryptsuit)的要求如下：--token、key:长度不少于20个字符，不超过32个字符，同时包含大小写字母、数字，不包含特殊1是(UTC/GMT的午夜)开始所经过的秒1是例如：20210515121022-202105191是接成字符串string.如下：keyl=valuel&key2=value2&securityKey=xXX将字符申进行SHA256签名(256位小写)6.3.4文件(data)data是一个描述数据块内容的参数，可用于文件传输，表14行业网络运营者漏洞管理平台接口协议字典表：data1是28是3否关联对象ID,用于快速索引48否58否6是分片解压进行传输每个文件最大100M,命名规范：文件名_1.tgz、文件名_2.tgz,6.3.5处置周期(timePerd)处置周期包含以下字段，见表15.表15处置周期(tiaePerd)字段表1是正2是2周6.3.5安全资源列表(engLst)该信息用于描述一批安全资源(扫描引擎)设备范围，见表16。2是如下字段标识一个安全资源设备，重复engNum次：数是6.3.5安全资源设备(engDev)用于描述安全资源设备字段信息，见表17。表17安全资源设备(engDev)字段表是报，在平台范围内唯一2是安全资源设备类型：以上用bit位取值，可并存7指令交互类接口要求列表汇总第5章中定义的指令交互类接口。7.1消息定义指令交互类接口实现了部、省侧平台业务指令交互，接口承载的具体消息类型包括：产品漏洞验证工单请求、产品漏洞验证工单回传、系统漏洞排查处置工单请求、系统漏洞排查处置工单回传、产品漏洞预警任务、产品漏洞同步任务、口令字典同步任务，产品漏洞上传任务、口令字典上传任务11种类型，具体定义如表18。表18指令交互接口消息列表说明1是/6.2.2说明产品漏洞范围(vulRange)是文件(data)否是2是/文件(data)否是3处置时间(procTime)是处置周期(timePerd)是否口令字典范围否文件(data)否是4是/文件(data)否是5处置时间(procTime)是/6.2.3说明处置周期(timePerd)是是任务请求(tskReqParams)是是/6.2.4说明文件(data)否是6产品漏洞列表(vulLst)是是6.2.3说明文件(data)否任务请求(tskReqParams)是7口令字典同步文件(data)是是任务请求(tskReqParams)是8产品漏洞列表(vulLst)是是6.2.4说明文件(data)否任务请求(tskReqParams)是9口令字典上传文件(data)是是任务请求(tskReqParams)是处置时问(procTime)是/发，参考明处置周期(timePerd)是是任务请求(tskReqParams)是安全资源列表(engLst)是是/报，参考文件(data)否是明7.2参数枚举指令交互接口专用参数描述如下7.2.1指令类型(orderType)描述一级指令类型，见表19.表19行业网络运营者漏洞管理平台接口协议字典表：orderType2是7.2.2二级指令类型(orderSubType)表20行业网络运营者漏洞管理平台接口协议字典表：orderSubType是7.2.3通用产品漏洞信息(vulKeys)表21行业网络运营者漏洞管理平台接口vulKeys查询字段表1是2是3是4是5是处理(兼容GB/T28458相关编号)6l是该漏洞关联的发布组织数量，取值区间[0,10]按数量重复下面相邻4个字段；pubOrgID/pubVullD/pubDate/pubVulV关联的发布组织pubOrgInfo:7是8是9是8是组织漏洞评分。[0.00,10.00],-1代2是8是基线化漏洞评分，[0.00,10.00],-2是漏洞类型GB/T30279-2020分类，参考p是是内容项填写“”2是下相邻字段内容affCmptlnfo:(ccmptClass/cmptName/c资产组件信息aflCmptlnfo:是2是是是漏洞关联组件的型号版本，多版本使用“,”是否漏洞扫描或测试的方法，例如漏洞检测代码、(兼容GB/T28458检测方法)2是是否否GB/T28458其他描述)7.2.4通用产品漏洞范围(vulRange)表22行业网络运营者漏洞管理平台接口字典表：vulRange7.2.5系统漏洞信息(vullnfoKeys)表23行业网络运营者漏洞管理平台接口vullnfoKeys查询字段表1是2是32是4否7.2.6系统漏洞范围(vullnfoRange)表24行业网络运营者漏洞管理平台接口协议字典表：vullnfoRange选是求参考附录A.产品漏洞工单请求(vuITktReqParams)表25行业网络运营者漏洞管理平台接口协议字典表：vulTktRegParams1是2是3是4否5否对批量对象的处置覆盖串(百分比)64是7否7.2.8产品漏洞工单响应(vulTktRspParams)该信息标识产品漏洞工单处置结果，见表26.表26行业网络运营者漏洞管理平台接口协议字典表：vulTktRspParams12是2是“(电子邮件地址。姓名，电话)",无内容项填写“NA"3是42是54是6否7否处置到达目标状态的产品漏洞个数，82否9否7.2.9系统漏洞工单请求(vullnfoTktReqParams)表27行业网络运营者漏洞管理平台接口协议字典表：vullnfoTktReqParams是2是3否4是5是6否7否8否96否要求，","隔开(百分比)否7.2.10系统漏洞工单响应(vullnfotktRspParams)表28行业网络运营者满洞管理平台接口协议字典表：vullnfoTktRspParams12是2是(电子邮件地址，姓名，电话),无内容项填写"NA"3是42是5否64是74是84是9是是否态码表是数2否否7.2.11系统处置任务请求(tskReqParams)表29行业网络运营者漏洞管理平台接口协议字典表：TktRegParams12是2是个事务。库同步，大范围漏洞预警等：32是42是52是任务场景：传、同步)64否74否82否9是7.2.12任务响应(tskRspParams)标识任务运行结果，见表30.表30行业网络运营者漏洞管理平台接口协议字典表：tskRspParams选12是24是本次任务覆盖产品漏洞范国数量，34是44是54是6是7是注：如任务未结束，服务端采用HTTP100continue返回进度。该参数返回产品漏洞标识列表，见表31。表31行业网络运营者漏洞管理平台接口协议字典表：vulldLst1是如下字段标识一个产品漏洞，重复vuINu2是7.3.14产品漏洞列表(vulILst)表32行业网络运营者漏洞管理平台接口协议字典表：vuILst2是如下字段标识一个产品漏洞，重复vulNum次2数是7.3.15系统漏洞列表(vullnfoLst)该参数返回系统漏洞完整数据列表，见表33。表33行业网络运营者漏洞管理平台接口协议字典表：vullnfoLst2是一否如下字段标识一个产品漏洞。重复vulNum次：co否否口令实例编号2是如下字段标识资产上的一个系统漏洞，重复assetNum次：Ins是2是2否2是一2否如下字段标识一个产品漏洞。重复vulNum次：co98否复耗时：格式为：“数值+单位”,单位：日/周/月0是1是本地资产ID。与报送资产ID一致，若无报送资产ID按照本地资产自定2是3是4是于网络协议类型，可为IP地址或者5是例：UDP,TCP,SCTP,SSH62否7否在的网络应用层服务名称，如：8是系统漏洞当前状态的识别时间戳。9是6是否用漏洞信息的assetType列表中直接是2是附录A.21是XXxxxXx—xxxX12是一2否如下字段标识一个产品漏洞，重复vulNum次：co是否径否否如组件分类为应用软件或中间件的，需要补充如下的底层是型，如windows、linux、vmware、是行型号及版本。如XPsp2,windows10,Ubantu14.0是否是是商否否8是2是6否7.3.16口令字典信息(pwDictKeys)单个口令字典的属性，见表34。表34行业网络运营者漏洞管理平台接口协议字典表：pwDictKeys2否口令字典ID否口令字典名称32否口令字典类型：否密码字典数据内容(以行为单位),7.3.17口令字典范围(pwDictRange)该信息用于描述口令字典范围，见表35.表35行业网络运营者漏洞管理平台接口协议字典表：pwDictLst辑运算符，查询条件为pwDictKeys.7.3.18口令字典列表(pwDictLst)表36行业网络运营者漏洞管理平台接口协议字典表：pwDictLst2是如下字段标识一个口令字典，重复pwDictNu数是口令字典信息7.3.19口令字典实例(pwDictInst)该信息用于描述口令字典中一个具体的口令，见表37。表37行业网络运营者漏洞管理平台接口协议字典表：pwDictInst是“口令字典ID,lineSeq(口令字典中的实例2是口令存在的协议类型，参考附录A.121/任务数据表/系统漏是/6.2.5说明文件(data)是处置时间(procTime)是2册是是6.2.6说明3平台策略同步请求是是4是//5是//6下级平台日否/7文件(data)否处置时间(procTime)是7文件(data)是/8互是测试应答(tstResParans)是6.2.6说明处置时间(procTime)否A否文件(data)否文件(data)否9安全资源列表(engLst)是Z6.2.6说明是是是安全资源列表(engLst)是//是是是4是4是4是4是是是下级平台注册请求内容，见表42。表42行业网络运营者漏洞管理平台接口协议字典表：registerReqParams1是设备唯一标识(Hash)摘要2是8.2.5平台策略同步请求参数(polyReqParams)平台间数据同步策略协商，见表43。表43行业网络运营者漏洞管理平台接口协议字典表：polyReqParams1是设备唯一标识(Hash)2是3是4是同步周期(小时，范围5是62是7是8.2.6平台事件上报请求参数(eventInfoReqParams)eventInfoRspParans平台事件上报传递详细参数，见表44。表44行业网络运营者漏洞管理平台接口协议字典表：eventInfoReqParams1是22是3是4是5否8.2.7平台状态消息上报请求参数(devlnfoReqParams)devInfoRegParams平台状态信息接口传递详细参数，见表45。表45行业网络运营者漏洞管理平台接口协议字典表：devInfoReqParams1是2是32是设备类型：1-省侧漏洞管理平台4是5义否6义否7义否8义否9义否8.2.8设备信息详细参数(devlnfo0bj)devInfo0bj设备信息传递详细参数，见表46。表46行业网络运营者漏洞管理平台接口协议字典表：devlnfo0bj是2是3是产品名称(设备类型)42是0-硬件设备5是6是7是8是9是是是8.2.9监控数据详细参数(monitDataObj)monitData0bj监控数据传递详细参数，见表47。表47行业网络运营者漏洞管理平台接口协议字典表：monitData0b1是2是32是1是2是4义是8.2.10资源负载详细参数(resouroeLoadObj)resoureeLoadObj资源负载信息传递详细参数，见表48。表48行业网络运营者漏洞管理平台接口协议字典表：resourceLoadObj1是cpu信息(主频。使用百分比)2是内存信息(总量，占用百分3是4是5是流量信息(bps)6否8.2.11工单数据详细参数(workOrderDataObj)表49行业网络运营者漏洞管理平台接口协议字典表：workOrderDataObj8.2.12任务统计参数(tasStaObj)tasSta0bj任务统计传递详细参数，见表50。表50行业网络运营者漏洞管理平台接口协议字典表：tassta0bj是8.2.13接口流量参数(netTraffic0bj)netTrafficObj接口流量传递详细参数，见表51。表51行业网络运营者漏洞管理平台接口协议字典表：netTraffic0bj1是2是3是4是5是6是7是8是9是义是8.2.14下级平台日志上报(logInfoReqParams)logInfoRspParams下级平台是是是是是否日志由上级接口驱动必填，驱否日志由上级接口驱动必填，L22是日常按协商的周期上报系统登是0是是2是日志内容content:扫描任务日志格式(下级设备接口),见表53。表53扫描任务日志格式字段表数是是是否否扫描URL,FQDN格式；或扫描IP范围，点分格式，如下：多个IP范围或独立IP之间可用","、“;"、回车、空格隔开，IP前加"!"表示拌除此IP。2001:0DB8:0000:0000:0000:0000:142001:0DB8:0:0:0:0:1428.:04否4否下发弱口令扫描任务时必选，要求扫描弱口4否9否0否否返回任务结果必选，系统漏洞数量(原理)8.2.16策略响应参数(basicRspParams)表54行业网络运营者漏洞管理平台接口协议字典表：basicRspParams12是22是32是42是52是8.2.17注册响应参数(registerResRarams)平台间注册返回结果，见表55.表55行业网络运营者漏洞管理平台接口协议字典表：registerResRarams1是2是3是4是5是6是7是8.2.18安全资源注册请求参数(engRegParans)下级平台所属安全资源注册请求内容，注册前相关平台须先行注册有效，见表56。2是是是否是是否车、空格隔开，IP前加“!”表示排除此IP,2001:0DB8:0000:0000:0000:0000:1422001:0DB8:0:0:0:0:147是是否否否否是8.2.16安全资源注册响应参数(engResParams)向下级平台返回注册结果，见表57。是是安全资源设备唯一标识(Hash)2是对应资源设备注册结果：8.2.16测试请求参数(tstRegParams)测试数据下发请求内容。测试类型为1、2时，消息中需要携带文件：测试类型为3、4时，消息中携带查询时间段(procTime):测试类型为4时，消息中携带系统漏洞范围(yulinfoRange),见表58。是测试类型：9-其他否否列表，如工单/任务orderID等，否8.2.16测试应答参数(tstResParams)测试请求的应答。仅当测试请求类型为3、4时，返回测试消息携带文件参数，见表59.对应测试数据处理结果：8.2.16EXP利用过程数据参数(vulExpScanParams)2是如下字段对每次漏洞利用扫描重复：vullnf是22是系统漏洞状态码表。是扫描原始数据类型，1-EXP利用过程数据否是是是漏洞攻击利用交互次数。否否否对每次漏洞利用扫描重复结束：vullnfoSc附录A(资料性)A.1HTTP数据报送状态返回