網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式、分類代碼、設(shè)備類別與代碼

（資料性）

告警信息格式A.1概述本附錄給出了一個網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式描述的告警信息示例。A.2以惡意程序告警中的計算機病毒告警為例，主機入侵檢測發(fā)現(xiàn)業(yè)務(wù)平臺服務(wù)器遭受計算機病毒攻擊，其描述格式為：告警通用部分（表2）+惡意程序告警基礎(chǔ)信息格式（表3）+計算機病毒告警擴展信息格式（表4）。示例采用JSON作為數(shù)據(jù)交換格式。A.2告警信息格式示例{"alarmTime":"2021-12-2112:33:24","alarmGrade":1,"alarmName":"惡意程序","alarmDesc":"業(yè)務(wù)平臺服務(wù)器遭受計算機病毒攻擊，……","alarmType":1,"alarmSubType":"01001","devType":"D103","devIp":"1.1.1.1","victimIP":"2.2.2.2","victimPort":"1443","encryption":1,"devID":"ZD4000-UF","devVer":"ZD4000v2.0","devVenodor":"XXX公司","alarmArea":"互聯(lián)網(wǎng)","sourceIP":"51.1.1.1","sourcePort":"443","protocol":"TCP","state":"3","programName":"Voluminer","filePath":"/etc/……","fileMd5":"6512bd43d9caa6e02c990b0a82652dca","family":"Lockbit","fileSha1":"17ba0791499db908433b80f37c5fbc89b870084b","fileSha256":"4fc82b26aecb47d2868c4efbe3581732a3e7cbcc6c2efb32062c08170a05eeb8","fileSM3":"d5744897e47fb6d78b726e9ff0c9fa70e0013a0d4f0a757af8ec0b812664b828","organization":"匿名者","process":"123.exe","filePath":"/etc/……"}

（規(guī)范性）

網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼B.1編碼方法網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼（以下簡稱“告警代碼”）是對網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息類別（以下簡稱“告警類別”）的編碼，采用層次編碼方法，代碼由5位等長碼構(gòu)成。其中：第一層表示網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息類(如：惡意程序告警)，用兩位阿拉伯?dāng)?shù)字(01～99)表示；第二層表示網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息類的子類(如：計算機病毒告警)，用三位阿拉伯?dāng)?shù)字（001～999）表示。編碼結(jié)構(gòu)如圖B.1所示。圖B.1網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類編碼結(jié)構(gòu)B.2分類代碼表網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息的分類代碼見表B.1。表B.1網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼表告警信息分類告警信息子類英文名稱分類代碼惡意程序告警計算機病毒告警computervirusalarm網(wǎng)絡(luò)蠕蟲告警cyberwormalarm特洛伊木馬告警trojanhorsealarm僵尸網(wǎng)絡(luò)告警botnetalarm惡意代碼內(nèi)嵌網(wǎng)頁告警maliciouscodeembeddedwebpagealarm勒索軟件告警ransomwarealarm01006挖礦軟件告警minervirusalarm01007表B.1網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼表（續(xù)）告警信息分類告警信息子類英文名稱分類代碼網(wǎng)絡(luò)攻擊告警網(wǎng)絡(luò)掃描探測告警cyberscandetectionalarm02001網(wǎng)絡(luò)釣魚告警cyberphishingalarm02002漏洞利用告警exploitationofvulnerabilityalarm02003后門利用告警exploitationofbackdooralarm02004憑據(jù)攻擊告警credentialattackalarm02005拒絕服務(wù)告警denialofservicealarm02006網(wǎng)頁篡改告警webpagetamperingalarm02007失陷主機告警losthostalarm02008APT告警advancedpersistentthreatalarm02009數(shù)據(jù)安全告警數(shù)據(jù)篡改告警datatamperingalarm數(shù)據(jù)泄露告警databreachalarm異常行為告警訪問異常告警accessexceptionalarm04001流量異常告警trafficanomalyalarm04002其他告警其他告警子類otheralarm99001

（規(guī)范性）

設(shè)備類別與代碼表C.1按照GB/T25066-2020規(guī)定了網(wǎng)絡(luò)安全產(chǎn)品的類別與代碼。表C.1網(wǎng)絡(luò)安全產(chǎn)品類別與代碼網(wǎng)絡(luò)安全產(chǎn)品類型編碼網(wǎng)絡(luò)安全產(chǎn)品類型B101虛擬專用網(wǎng)B201網(wǎng)絡(luò)入侵檢測B202網(wǎng)絡(luò)活動監(jiān)測與分析B203流量控制B204上網(wǎng)行為管理B205反垃圾郵件B206信息過濾C101終端隔離C102網(wǎng)絡(luò)隔離C103網(wǎng)絡(luò)單向隔離C201網(wǎng)絡(luò)入侵防御C202網(wǎng)絡(luò)惡意代碼防范C203抗拒絕服務(wù)攻擊C301防火墻C302安全路由器C303安全交換機C401終端接入控制D102身份鑒別（主機）D103主機入侵檢測D104主機訪問控制D105主機型防火墻D106終端使用安全D107移動存儲設(shè)備安全管理D201主機惡意代碼防治D301安全操作系統(tǒng)D302操作系統(tǒng)安全部件D401身份鑒別（應(yīng)用）D402WEB應(yīng)用防火墻D403郵件安全防護D404網(wǎng)站恢復(fù)D405應(yīng)用安全加固D501業(yè)務(wù)流程監(jiān)控D502源代碼審計D503網(wǎng)站監(jiān)測表C.1網(wǎng)絡(luò)安全產(chǎn)品類別與代碼（續(xù)）網(wǎng)絡(luò)安全產(chǎn)品類型編碼網(wǎng)絡(luò)安全產(chǎn)品類型D504應(yīng)用軟件安全管理D505應(yīng)用代理D506負(fù)載均衡D507數(shù)字簽名D601數(shù)據(jù)加密D602數(shù)據(jù)泄露防護D603數(shù)據(jù)脫敏D604數(shù)據(jù)清除D605數(shù)據(jù)備份與恢復(fù)D701安全數(shù)據(jù)庫D702數(shù)據(jù)庫安全部件D703數(shù)據(jù)庫防火墻D704安全網(wǎng)絡(luò)存儲E101安全審計E201