《信息安全技術 網(wǎng)絡安全產(chǎn)品互聯(lián)互通框架》

ICS35.030

CCSL80

中華人民共和國國家標準

GB/TXXXXX—XXXX

`

信息安全技術網(wǎng)絡安全產(chǎn)品互聯(lián)互通框架

Informationsecuritytechnology—

Frameworkofnetworksecurityproductinterconnect

（征求意見稿）

（本草案完成時間：2023年7月12日）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構和起草規(guī)則》的規(guī)定

起草。

本文件由全國信息安全標準化技術委員會（SAC/TC260）提出并歸口。

本文件起草單位：北京賽西科技發(fā)展有限責任公司、國家信息中心、國家互聯(lián)網(wǎng)應急中心、中國電

子技術標準化研究院、中國科學院信息工程研究所、中國移動通信集團、北京大學、聯(lián)通數(shù)字科技有限

公司、天翼安全科技有限公司、沈陽東軟系統(tǒng)集成工程有限公司、杭州安恒信息技術股份有限公司、深

信服科技股份有限公司、北京天融信網(wǎng)絡安全技術有限公司、北京神州綠盟科技有限公司、北京升鑫網(wǎng)

絡科技有限公司、安天科技集團股份有限公司、廣電計量檢測集團股份有限公司、華為技術有限公司、

奇安信科技集團股份有限公司。

本文件主要起草人：楊建軍、姚相振、孫彥、許玉娜、劉蓓、李建強、陳韻然、姜政偉、邱勤、謝

安明、王智明、馬晨、嚴冬、孫凌、陳星、安高峰、何茂根、閆桂勛、卞建超、唐迪、孫可人、趙新強、

張衛(wèi)博、姚葉鵬、李強、丁宇征。

III

GB/TXXXXX—XXXX

信息安全技術網(wǎng)絡安全產(chǎn)品互聯(lián)互通框架

1范圍

本文件給出了網(wǎng)絡安全產(chǎn)品互聯(lián)互通框架，包括互聯(lián)互通功能和互聯(lián)互通信息。

本文件適用于指導網(wǎng)絡安全產(chǎn)品互聯(lián)互通的設計、開發(fā)和應用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20986-2023信息安全技術網(wǎng)絡安全事件分類分級指南

GB/T25066-2020信息安全技術信息安全產(chǎn)品類別與代碼

GB/T30279-2020信息安全技術網(wǎng)絡安全漏洞分類分級指南

3術語和定義

GB/T25066-2020界定的以及下列術語和定義適用于本文件。

3.1

網(wǎng)絡安全產(chǎn)品networksecurityproduct

專門用于保障網(wǎng)絡安全的軟件、硬件或其組合體。

[來源：GB/T25066-20203.1，有修改]

3.2

網(wǎng)絡安全產(chǎn)品互聯(lián)互通networksecurityproductinterconnect

通過統(tǒng)一的網(wǎng)絡安全信息描述和安全功能實現(xiàn)，有效共享網(wǎng)絡安全產(chǎn)品感知或產(chǎn)生的信息，協(xié)同不

同網(wǎng)絡安全產(chǎn)品的功能，支撐監(jiān)測預警、信息共享、應急響應、態(tài)勢感知等應用，提升網(wǎng)絡安全防護能

力和網(wǎng)絡安全事件處置效率的一種機制。

3.3

互聯(lián)互通功能interconnectfunction

網(wǎng)絡安全產(chǎn)品實現(xiàn)互聯(lián)互通所應用的安全功能及其實現(xiàn)方式。

3.4

互聯(lián)互通信息interconnectinformation

網(wǎng)絡安全產(chǎn)品支撐互聯(lián)互通功能實現(xiàn)所提供數(shù)據(jù)的類型、結(jié)構和數(shù)據(jù)格式。

4互聯(lián)互通框架

4.1概述

網(wǎng)絡安全產(chǎn)品互聯(lián)互通框架包括網(wǎng)絡安全產(chǎn)品的互聯(lián)互通功能和互聯(lián)互通信息，具體見圖1。

互聯(lián)互通功能的功能類型主要分為4類，包括識別功能、防護功能、監(jiān)測功能和處置功能。功能接

口支撐各類功能實現(xiàn)，規(guī)范接口的通信協(xié)議、請求方式以及應滿足的安全機制。

1

GB/TXXXXX—XXXX

互聯(lián)互通信息的信息類型主要分為6類，包括行為信息、告警信息、資產(chǎn)信息、脆弱性信息、威脅

信息和事件信息。信息描述規(guī)范互聯(lián)互通信息的信息內(nèi)容和信息格式。

附錄A給出了網(wǎng)絡安全產(chǎn)品互聯(lián)互通典型應用場景。附錄B給出了互聯(lián)互通功能使用的互聯(lián)互通信息。

圖1網(wǎng)絡安全產(chǎn)品互聯(lián)互通框架

4.2互聯(lián)互通功能

4.2.1功能類型

識別功能

識別功能通過對軟硬件、數(shù)據(jù)、網(wǎng)絡等信息的采集與分析，識別潛在的網(wǎng)絡安全風險。識別功能主

要包括：

a)資產(chǎn)識別：檢查、發(fā)現(xiàn)網(wǎng)絡、軟硬件和數(shù)據(jù)等資產(chǎn)，形成資產(chǎn)信息；

b)脆弱性識別：發(fā)現(xiàn)已識別資產(chǎn)中可能存在的脆弱性，包括漏洞掃描、代碼審計、配置核查等，

形成脆弱性信息；

c)威脅識別：通過分析網(wǎng)絡流量、安全日志、威脅情報等，識別威脅，形成威脅信息；

2

GB/TXXXXX—XXXX

d)網(wǎng)絡流量采集：通過流量鏡像等方式，獲取并記錄網(wǎng)絡行為，形成行為信息；

e)終端信息采集：對終端進程、流量特征、文件等信息進行采集，獲取并記錄終端行為，形成

行為信息。

防護功能

防護功能通過實施防護措施，防范網(wǎng)絡安全風險。防護功能主要包括：

a)身份管理與鑒別：標識和鑒別軟硬件、數(shù)據(jù)、網(wǎng)絡等訪問者身份合法性的過程，形成行為信

息，對于存在非授權訪問的情況，還應形成告警信息；

b)網(wǎng)絡訪問控制：按照網(wǎng)絡訪問控制策略對訪問行為進行阻斷或授權，形成行為信息，當發(fā)生

阻斷時，還應形成告警信息；

c)網(wǎng)絡入侵防御：通過協(xié)議解碼、內(nèi)容檢測、規(guī)則匹配及威脅情報分析等技術手段，檢測和阻

斷網(wǎng)絡入侵行為，形成行為信息、告警信息；

d)網(wǎng)絡隔離交換：通過終止網(wǎng)絡連接、分離網(wǎng)絡協(xié)議等方式，將數(shù)據(jù)以專有數(shù)據(jù)塊的形式在不

同網(wǎng)絡間進行擺渡，實現(xiàn)網(wǎng)絡隔離環(huán)境下數(shù)據(jù)交換的過程，形成行為信息、告警信息；

e)網(wǎng)絡行為控制：通過行為模式識別、規(guī)則匹配等方式分析網(wǎng)絡行為，進行隔離、過濾、放行

等操作，形成行為信息、告警信息；

f)網(wǎng)絡流量控制：基于流量控制策略對網(wǎng)絡流量進行監(jiān)測、分類、整形、帶寬限速、帶寬保障

等操作，優(yōu)化帶寬資源使用，避免網(wǎng)絡擁塞，形成行為信息、告警信息；

g)拒絕服務攻擊防護：通過TCP代理、源IP驗證等方式，發(fā)現(xiàn)網(wǎng)絡流量的拒絕服務攻擊行為，

對匹配抗拒絕服務策略的網(wǎng)絡流量進行阻斷，形成行為信息、告警信息；

h)數(shù)據(jù)庫防護：通過數(shù)據(jù)庫審計等方式，發(fā)現(xiàn)并阻斷針對數(shù)據(jù)庫系統(tǒng)的攻擊，形成行為信息、

告警信息；

i)惡意代碼防范：通過漏洞掃描、注冊表查找等方式，檢測發(fā)現(xiàn)僵尸、木馬、蠕蟲等惡意代碼，

并對其進行清除或隔離等操作，形成行為信息、告警信息；

j)應用安全防護：分析Web應用、主機設備等的訪問流量，實現(xiàn)Web應用攻擊防護、非授權訪

問防護、惡意代碼防護、郵件安全防護、網(wǎng)頁防篡改等功能，形成行為信息、告警信息；

k)終端訪問控制：通過終端訪問控制規(guī)則對終端操作和訪問行為進行管控，形成行為信息、告

警信息。終端操作和訪問行為包括且不限于網(wǎng)絡訪問、文件訪問、系統(tǒng)指令訪問、進程創(chuàng)建、

移動存儲介質(zhì)訪問、辦公設備訪問等；

l)終端入侵防護：通過獲取終端行為、系統(tǒng)日志或其他終端上的信息，發(fā)現(xiàn)違反安全策略的行

為并加以阻斷，形成行為信息、告警信息；

m)終端防病毒：在終端設備上實現(xiàn)的惡意代碼防范功能，形成行為信息、告警信息；

n)終端行為控制：依據(jù)訪問控制規(guī)則對終端操作和訪問行為進行控制，終端操作和訪問行為包

括但不限于網(wǎng)絡訪問、文件訪問、系統(tǒng)指令訪問、進程創(chuàng)建、移動存儲介質(zhì)訪問、辦公設備

訪問等，形成行為信息、告警信息。

監(jiān)測功能

監(jiān)測功能通過持續(xù)監(jiān)測目標網(wǎng)絡與系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡安全事件并觸發(fā)預警或響應。監(jiān)測功能主要包括：

a)入侵檢測：通過嗅探網(wǎng)絡流量、行為、安全日志及其他相關信息，分析計算終端和網(wǎng)絡資源

的惡意使用行為，包括但不限于入侵行為、非授權訪問等，形成行為信息、告警信息，處理

后形成事件信息；

3

GB/TXXXXX—XXXX

b)高級持續(xù)性威脅（APT）檢測：通過技術手段檢測或監(jiān)視高級持續(xù)性威脅，包括但不限于未知

惡意代碼檢測、嵌套式攻擊檢測、木馬蠕蟲病毒檢測、隱蔽信道檢測等，形成行為信息、告

警信息，處理后形成事件信息；

c)終端安全檢測：對受保護終端的終端進程、流量特征、文件、系統(tǒng)性能等進行監(jiān)測，發(fā)現(xiàn)安

全風險，形成行為信息、告警信息，處理后形成事件信息；

d)域名解析安全監(jiān)測：對域名系統(tǒng)（DomainNameSystem，DNS）節(jié)點上的流量進行監(jiān)測，發(fā)現(xiàn)

因拒絕服務攻擊等造成的域名異常，形成行為信息、告警信息，處理后形成事件信息；

e)用戶與實體行為監(jiān)測：采用規(guī)則匹配、安全基線、機器學習等方式，監(jiān)測、分析用戶與實體

的異常行為，形成行為信息、告警信息，處理后形成事件信息；

f)網(wǎng)絡行為監(jiān)測：監(jiān)控網(wǎng)絡流量，采用深度檢測等技術發(fā)現(xiàn)因拒絕服務攻擊、惡意程序等造成

的網(wǎng)絡異常行為，形成行為信息或告警信息，處理后形成事件信息；

g)互聯(lián)網(wǎng)信息監(jiān)測：通過互聯(lián)網(wǎng)信息采集技術、智能處理技術等對互聯(lián)網(wǎng)信息進行匯集、分類、

整合、篩選，實現(xiàn)對互聯(lián)網(wǎng)信息收集與整理。形成行為信息、告警信息，處理后形成事件信

息；

h)安全審計：記錄并存儲網(wǎng)絡、軟硬件及其組件的活動，產(chǎn)生各類審計日志，包括但不限于主

機審計日志、網(wǎng)絡審計日志、數(shù)據(jù)庫審計日志、應用審計日志、運維審計日志等，形成行為

信息、告警信息、威脅信息，處理后形成事件信息。

處置功能

處置功能是發(fā)現(xiàn)網(wǎng)絡安全事件、安全威脅等情況時，通過相應的響應手段應對網(wǎng)絡安全風險，減緩

網(wǎng)絡安全事件帶來的影響。處置功能主要包括：

a)事件自動化處置：通過漏洞加固、封堵IP、自動化編排等方式，對安全分析結(jié)果進行自動化

應用、聯(lián)動處置；

b)攻擊抑制：采用病毒查殺、進程終止、蜜罐誘捕等方式，對攻擊流量和可疑行為進行阻斷、

限制；

c)備份恢復：基于已備份的信息，實現(xiàn)對業(yè)務系統(tǒng)數(shù)據(jù)和功能的恢復；

d)通報預警：對監(jiān)測過程中獲取的行為信息、脆弱性信息、事件信息、威脅信息等在一定范圍

內(nèi)進行預警或告知，形成告警信息和威脅信息；

e)攻擊溯源：通過對攻擊信息片段進行綜合分析和場景還原，重構攻擊者的攻擊路徑、攻擊手

法、攻擊意圖等，形成事件信息。

4.2.2功能接口

功能接口從通信協(xié)議、請求方式和安全機制等方面指導互聯(lián)互通功能的實現(xiàn)。通信協(xié)議主要包括

Syslog、Kafka、Http(s)等。請求方式主要包括請求參數(shù)格式、請求報文結(jié)構、響應參數(shù)數(shù)據(jù)格式等。

安全機制主要包括認證過程、認證參數(shù)、加密方式等。

4.3互聯(lián)互通信息

4.3.1信息類型

行為信息

行為信息通過直接記錄原始數(shù)據(jù)或采用審計日志的方式，描述安全域內(nèi)終端、網(wǎng)絡環(huán)境中的各類行

為活動的信息。行為信息主要包括：

a)終端行為信息：包括但不限于系統(tǒng)日志、第三方終端監(jiān)控日志；

4

GB/TXXXXX—XXXX

b)網(wǎng)絡行為信息：包括但不限于各類網(wǎng)絡協(xié)議日志。

告警信息

告警信息是網(wǎng)絡安全產(chǎn)品依據(jù)設定的規(guī)則或模型，對采集到的網(wǎng)絡安全信息自動進行規(guī)則匹配、歸

并、分析等活動后產(chǎn)生的風險警示信息。告警信息主要包括：

a)惡意程序告警信息：包括但不限于計算機病毒告警、網(wǎng)絡蠕蟲告警、特洛伊木馬告警、僵尸

網(wǎng)絡告警、惡意代碼內(nèi)嵌網(wǎng)頁告警、勒索軟件告警和挖礦軟件告警等信息；

b)網(wǎng)絡攻擊告警信息：包括但不限于網(wǎng)絡掃描探測告警、網(wǎng)絡釣魚告警、漏洞利用告警、后門

利用告警、憑據(jù)攻擊告警、拒絕服務告警、網(wǎng)頁篡改告警、失陷主機告警和APT告警等信息；

c)數(shù)據(jù)安全告警信息：包括但不限于數(shù)據(jù)篡改告警、數(shù)據(jù)泄露告警等信息；

d)異常行為告警信息：包括但不限于訪問異常告警、流量異常告警等信息；

e)其他不能歸為以上4類的網(wǎng)絡安全告警信息。

資產(chǎn)信息

資產(chǎn)信息是實現(xiàn)網(wǎng)絡安全產(chǎn)品互聯(lián)互通時所使用的資產(chǎn)信息，包括但不限于硬件設備、業(yè)務系統(tǒng)、

操作系統(tǒng)、數(shù)據(jù)庫、中間件、應用軟件等。

脆弱性信息

脆弱性信息是描述可能被一個或多個威脅利用的資產(chǎn)或控制弱點的信息。脆弱性信息主要涉及系統(tǒng)

軟件、應用中間件、應用系統(tǒng)等，按照GB/T30279-2020第5章進行分類，包括但不限于代碼問題信息、

配置錯誤信息等。

威脅信息

威脅信息是一種基于證據(jù)的知識，用于描述現(xiàn)有或可能出現(xiàn)的威脅，從而實現(xiàn)對威脅的響應和預防。

威脅信息可分為域名類、IP類和文件類，威脅信息的要素包括但不限于網(wǎng)絡安全事件、攻擊指標、攻擊

方法、攻擊活動等。

事件信息

事件信息是由于自然或人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣?/p>

成負面影響的描述。事件信息按照GB/T20986-2023的5.2進行分類。

4.3.2信息描述

信息描述對互聯(lián)互通信息內(nèi)容和信息格式進行規(guī)范?；ヂ?lián)互通信息內(nèi)容包括各類信息的通用內(nèi)容和

擴展內(nèi)容，信息格式包括字段名稱、字段類型、字段取值、字段說明等。

5

GB/TXXXXX—XXXX

A

A

附錄A

（資料性）

網(wǎng)絡安全產(chǎn)品互聯(lián)互通典型應用場景

A.1概述

互聯(lián)互通應用場景包括兩類。

一是安全管理系統(tǒng)（如網(wǎng)絡安全態(tài)勢感知平臺、安全編排自動化與響應平臺、安全信息和事件管理

平臺和安全運營中心等）與網(wǎng)絡安全產(chǎn)品互聯(lián)互通，是目前互聯(lián)互通的主要應用場景。這類場景中，不

同網(wǎng)絡安全產(chǎn)品通過與安全管理平臺的信息交互，支撐安全管理平臺開展網(wǎng)絡安全事件的分析和處置。

二是不同安全產(chǎn)品（不包括安全管理系統(tǒng)）之間的互聯(lián)互通，此類場景在實際應用中相對較少，典

型應用如防火墻與相關網(wǎng)絡安全產(chǎn)品互聯(lián)互通。

A.2安全管理系統(tǒng)與網(wǎng)絡安全產(chǎn)品互聯(lián)互通

安全管理系統(tǒng)和網(wǎng)絡安全產(chǎn)品互聯(lián)互通可以實現(xiàn)互聯(lián)互通功能的靈活調(diào)度，提升安全自動化響應與

處置效能，見圖A.1。

圖A.1安全管理系統(tǒng)與網(wǎng)絡安全產(chǎn)品互聯(lián)互通示意圖

a)數(shù)據(jù)采集場景。安全管理系統(tǒng)與網(wǎng)絡安全產(chǎn)品通過數(shù)據(jù)接口進行數(shù)據(jù)采集，主要包括資產(chǎn)信

息、告警信息、脆弱性信息、行為信息等，具體如下：

1)資產(chǎn)信息可通過入侵檢測系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡檢測與響應等獲取，上報的資產(chǎn)信息

內(nèi)容包括但不限于資產(chǎn)標識、資產(chǎn)名稱等；

6

GB/TXXXXX—XXXX

2)告警信息可通過Web應用防火墻、防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡檢測與響

應、終端檢測與響應系統(tǒng)等獲取，上報的告警信息內(nèi)容包括但不限于告警時間、告警等

級等；

3)脆弱性信息可通過漏洞掃描器獲取，上報的脆弱性信息內(nèi)容包括但不限于代碼問題信息、

配置錯誤信息等。

4)行為信息可通過入侵檢測系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡檢測與響應、終端檢測與響應系統(tǒng)

獲取，上報的行為信息內(nèi)容包括但不限于系統(tǒng)日志等。

b)聯(lián)動處置場景。以安全管理系統(tǒng)為中心，通過聯(lián)動處置接口，可實現(xiàn)防火墻網(wǎng)絡訪問控制等

功能調(diào)用，漏洞掃描器的資產(chǎn)識別、脆弱性識別等功能調(diào)用，終端檢測與響應系統(tǒng)的攻擊抑

制等功能調(diào)用，入侵檢測系統(tǒng)、入侵防御系統(tǒng)、網(wǎng)絡檢測與響應等安全監(jiān)測產(chǎn)品的入侵檢測

等功能調(diào)用。

A.3防火墻與相關網(wǎng)絡安全產(chǎn)品互聯(lián)互通

在劃定的安全域中，防火墻作為部署在網(wǎng)絡邊界側(cè)的網(wǎng)絡安全訪問控制產(chǎn)品，可接收不同類型網(wǎng)絡

安全設備上報的行為信息和告警信息，通過調(diào)整防火墻的訪問控制策略，及時處置網(wǎng)絡攻擊。

防火墻可與漏洞掃描器、終端檢測與響應系統(tǒng)、數(shù)據(jù)泄露防護系統(tǒng)和入侵檢測系統(tǒng)等網(wǎng)絡安全產(chǎn)品

互聯(lián)互通，獲取資產(chǎn)信息、脆弱性信息、行為信息、告警信息等信息，及時調(diào)整防火墻訪問控制策略，

實現(xiàn)對網(wǎng)絡攻擊的阻斷。見圖A.2。

圖A.2防火墻與相關網(wǎng)絡安全產(chǎn)品互聯(lián)互通示意圖

a)Web應用防火墻與漏洞掃描器產(chǎn)品互聯(lián)互通場景。漏洞掃描器對目標資產(chǎn)進行脆弱性掃描，并

將掃描結(jié)果反饋給Web應用防火墻。Web應用防火墻根據(jù)獲取的資產(chǎn)信息和脆弱性信息，更新

并應用新的訪問控制策略；

b)防火墻與終端檢測與響應系統(tǒng)互聯(lián)互通場景。防火墻從終端檢測與響應系統(tǒng)獲取終端的安全

狀態(tài)，并根據(jù)接收到的行為信息和告警信息調(diào)整防火墻的訪問控制策略，控制存在安全風險

的終端網(wǎng)絡訪問行為；

7

GB/TXXXXX—XXXX

c)防火墻與數(shù)據(jù)防泄露系統(tǒng)互聯(lián)互通場景。數(shù)據(jù)防泄露系統(tǒng)識別敏感數(shù)據(jù)異常訪問行為，將需

要阻斷的數(shù)據(jù)訪問行為生成行為信息和告警信息上報給防火墻；防火墻根據(jù)數(shù)據(jù)防泄露系統(tǒng)

上報的信息，更新訪問控制策略，并阻斷相應數(shù)據(jù)訪問行為；

d)防火墻與入侵檢測系統(tǒng)互聯(lián)互通場景。入侵檢測系統(tǒng)檢測到網(wǎng)絡攻擊行為時，收集網(wǎng)絡攻擊

相關的資產(chǎn)信息、行為信息和告警信息，并將相關信息上報給部署在網(wǎng)絡出入口處的防火墻，

由防火墻根據(jù)上報信息生成對應的網(wǎng)絡訪問控制規(guī)則，從而實現(xiàn)對網(wǎng)絡攻擊事件的及時阻斷

或限流。

8

GB/TXXXXX—XXXX

B

B

附錄B

（資料性）

互聯(lián)互通功能使用的互聯(lián)互通信息

網(wǎng)絡安全產(chǎn)品互聯(lián)互通功能輸入/輸出的互聯(lián)互通信息內(nèi)容見表B.1。

表B.1互聯(lián)互通功能使用的互聯(lián)互通信息

互聯(lián)互通

互聯(lián)互通功能子類輸入信息類型輸出信息類型

功能類型

資產(chǎn)識別行為信息資產(chǎn)信息

脆弱性識別行為信息、威脅信息脆弱性信息

資產(chǎn)信息、行為信息、告警信息、威脅信息、事件信息、

識別功能威脅識別威脅信息

脆弱性信息

網(wǎng)絡流量采集—行為信息

終端信息采集—行為信息

身份管理與鑒別資產(chǎn)信息、行為信息行為信息、告警信息

網(wǎng)絡訪問控制行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

網(wǎng)絡入侵防御行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

網(wǎng)絡隔離交換行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

網(wǎng)絡行為控制行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

網(wǎng)絡流量控制行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

拒絕服務攻擊防護行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

防護功能

數(shù)據(jù)庫防護資產(chǎn)信息、行為信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

惡意代碼防范告警信息、威脅信息、事件信息行為信息、告警信息

應用安全防護行為信息、告警信息、脆弱性信息、威脅信息、事件信息行為信息、告警信息

終端訪問控制行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

終端入侵防護行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

終端防病毒行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

終端行為控制行為信息、告警信息、威脅信息、事件信息行為信息、告警信息

入侵檢測行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

高級持續(xù)性威脅檢

行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

測

終端安全檢測行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

域名解析安全監(jiān)測行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

監(jiān)測功能用戶與實體行為監(jiān)

行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

測

網(wǎng)絡行為監(jiān)測行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

互聯(lián)網(wǎng)信息監(jiān)測行為信息、威脅信息、資產(chǎn)信息、事件信息行為信息、告警信息、事件信息

行為信息、告警信息、威脅信息、

安全審計行為信息、威脅信息、資產(chǎn)信息、事件信息

事件信息

9

GB/TXXXXX—XXXX

表B.1互聯(lián)互通功能使用的互聯(lián)互通信息（續(xù)）

互聯(lián)互

互聯(lián)互通功能子

通功能輸入信息類別輸出信息類別

類

類別

事件自動化處置行為信息、告警信息、威脅信息、事件信息—

攻擊抑制行為信息、告警信息、威脅信息、事件信息—

處置功

備份恢復行為信息、告警信息、威脅信息、事件信息—

能

通報預警行為信息、脆弱性信息、威脅信息、事件信息告警信息、威脅信息

攻擊溯源行為信息、告警信息、威脅信息事件信息

10

GB/TXXXXX—XXXX

參考文獻

[1]GB/T28458-2020信息安全技術網(wǎng)絡安全漏洞標識與描述規(guī)范

[2]GB/T28517-2012網(wǎng)絡安全事件描述和交換格式

[3]GB/T36643-2018信息安全技術網(wǎng)絡安全威脅信息格式規(guī)范

[4]GB/T37027-2018信息安全技術網(wǎng)絡攻擊定義及描述規(guī)范

11

GB/TXXXXX—XXXX

目次

前言.................................................................................III

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術語和定義...........................................................................1

4互聯(lián)互通框架.........................................................................1

4.1概述.............................................................................1

4.2互聯(lián)互通功能.....................................................................2

4.3互聯(lián)互通信息.....................................................................4

附錄A（資料性）網(wǎng)絡安全產(chǎn)品互聯(lián)互通典型應用場景......................................6

附錄B（資料性）互聯(lián)互通功能使用的互聯(lián)互通信息........................................9

參考文獻..............................................................................11