DB11T 1288-2015 电子政务信息安全监控数据规范

ICS35.040A24DB11北京市地方标准DB11/T1288—2015电子政务信息安全监控数据规范Dataspecificationofinformationsecuritymonitoringinelectronicgovernment2015-12-30发布2016-04-01实施北京市质量技术监督局发布DB11/T1288—2015I目次引言.................................................................................II1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................15数据交互关系.......................................................................26监控数据类型.......................................................................26.1报警信息类.....................................................................26.2通讯交互类.....................................................................36.3状态获取类.....................................................................37报警信息类数据格式.................................................................37.1基本格式.......................................................................37.2报警信息公共域.................................................................37.3报警信息专有域.................................................................48通讯交互类数据要求.................................................................68.1基本格式.......................................................................68.2知识库查询交互数据.............................................................68.3审计查询数据...................................................................68.4流量查询数据...................................................................98.5Web监控策略下发数据..........................................................128.6漏洞扫描策略下发数据..........................................................178.7资产信息查询数据..............................................................199状态获取类数据要求................................................................209.1基本格式......................................................................209.2设备状态数据..................................................................209.3系统日志数据..................................................................21附录A（资料性附录）报警信息类数据格式示例.........................................22附录B（资料性附录）通讯交互类数据格式示例.........................................23附录C（资料性附录）状态获取类数据格式示例.........................................35参考文献.............................................................................36DB11/T1288—2015II引言随着北京市信息化水平的不断提高，以电子政务为首的信息系统逐渐成为办公办事的主要平台，政务系统的安全问题也逐渐成为整个社会必须面对的公共安全问题之一。这为政务信息系统的整体安全监控提出了新目标，但是由于缺少统一的监控数据格式规范，各安全设备生产厂商对数据交互内容的理解存在差异，增加了数据交互实现的随意性，使得电子政务信息安全监控系统需要耗费大量的时间、人力、物力来解决与安全设备之间的交互问题，是北京地区电子政务信息安全监控系统建设实际需要。本标准的应用便于信息安全监控系统出于数据传输或数据集成的目的进行数据访问，提高数据交换共享的质量和效率，为电子政务监控体系构建提供科学依据和规范性支持。DB11/T1288—20151电子政务信息安全监控数据规范1范围本标准规定了电子政务信息安全监控数据与信息安全监控系统、安全设备的数据交互关系，监控数据的类型，报警信息类、通讯交互类和状态获取类数据的格式。本标准适用于电子政务信息安全监控系统与各类安全设备之间的数据交互关系。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/Z19669XML在电子政务中的应用指南3术语和定义GB/T25069-2010界定的以及下列术语和定义适用于本文件。3.1监控数据monitoringdata信息安全监控系统从安全设备获取的报警、通讯交互和状态获取等数据信息。3.2信息安全监控系统informationsecuritymonitoringsystem为发现信息安全事件和及时预警提供支撑的信息系统。3.3报警信息类数据alarminformationclassdata安全设备向信息安全监控系统发送的安全报警数据。3.4通讯交互类数据communicationinteractiveclassdata信息安全监控系统与安全设备间进行信息交互的数据。包括信息查询数据和策略下发数据。3.5状态获取类数据stateacquisitionclassdata信息安全监控系统从安全设备获取运行状态和系统日志的数据。4缩略语下列缩略语适用于本文件。IP：网络之间互连的协议（InternetProtocol）DB11/T1288—20152MIB：管理信息库（ManagementInformationBase）OID：对象标识(ObjectIDentifier)SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）UTF：Unicode转换格式（UnicodeTransformationFormat）URL：统一资源定位符（UniformResourceLocator）XML：可扩展置标语言（eXtensibleMarkupLanguage）5数据交互关系本标准涵盖的安全设备包含但不限于入侵检测/防御类设备、防病毒类设备、防火墙类设备、审计类设备、Web安全类设备和漏洞扫描类设备。信息安全监控系统与安全设备间的交互数据包括：a）报警信息类数据：信息安全监控系统接收到的安全设备报警日志数据；b）通讯交互类数据：信息安全监控系统与安全设备间进行信息交互的上下行数据；c）状态获取类数据：信息安全监控系统从安全设备获取运行状态和系统日志时的上下行数据。信息安全监控数据与信息安全监控系统、安全设备的关系如图1所示：图1监控数据与信息安全监控系统和安全设备的关系6监控数据类型6.1报警信息类报警信息类监控数据子分类包括：a）入侵检测/防御类设备的报警信息；b）防病毒类设备的报警信息；c）审计类设备的报警信息；d）WEB安全类设备的报警信息；e）防火墙类设备的报警信息；f）其他设备的报警信息。DB11/T1288—201536.2通讯交互类通讯交互类监控数据子分类包括：a)知识库查询:安全设备为信息安全监控系统提供指定报警日志的详细信息和相关知识查询服务的标准与规范，通过使用知识库唯一标识（事件编号或报警名称）查询条件，获得知识库中相关详细描述；b)审计查询:审计类安全设备为信息安全监控系统提供统计信息查询、行为审计详细信息查询和内容日志详细信息查询的标准与规范，通过使用时间范围、源/目的ip、源/目的端口和协议等查询条件，获得相应范围内的网络行为统计结果和详细信息，在以上查询条件的基础上添加源账号、目的账号、是否携带附件、关键字和主题等查询条件，可以查询网络行为内容详细信息；c)流量查询:安全设备为信息安全监控系统提供流量信息和流量趋势查询服务的标准和规范，通过使用IP、协议及时间范围等查询条件，获得时间范围内的流量信息和流量趋势；d)资产信息查询:监控系统为安全设备提供资产信息查询服务的标准和规范，安全设备或其他系统通过此数据，进行监控系统上资产信息的查询，为安全设备提高报警准确性提供依据；e)Web监控策略下发:安全设备为监控系统提供WEB监控策略下发服务的标准和规范，监控系统通过此数据将WEB监控策略下发至安全设备，设备使用该监控策略进行监控；f)漏洞扫描策略下发:安全设备为监控系统提供漏洞扫描策略下发服务的标准和规范，监控系统通过此数据将漏洞扫描策略下发至安全设备，策略驱动漏洞扫描设备执行一个即时扫描任务，或制定一个周期性扫描任务计划；g)其他交互通讯交互：除以上类别以外的所有交互讯息。6.3状态获取类状态获取类监控数据子分类包括：a)获取状态:周期性向安全设备轮询系统状态信息；b)获取日志：安全设备实时向信息安全监控系统上报系统操作日志；c)其他状态：除以上类别以外的所有状态获取数据。7报警信息类数据格式7.1基本格式报警信息类数据由公共域和专有域组成，公共域指报警信息类监控数据的共有信息，专有域指特有信息。每个域由多个字段拼接而成，所有字段与前字段无间隔。字段格式形式为：“name:value;”，“name”代表字段名，“value”代表字段值。具体格式如下：a）字段名与字段值之间为半角的冒号，字段值用半角