DB11∕T 1288-2015 電子政務(wù)信息安全監(jiān)控?cái)?shù)據(jù)規(guī)范

DB11北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布 物力來解決與安全設(shè)備之間的交互問題，是北京地區(qū)電子政務(wù)信息安全監(jiān)控系統(tǒng)建設(shè)實(shí)際共享的質(zhì)量和效率，為電子政務(wù)監(jiān)控體系構(gòu)建提供科學(xué)依據(jù)和規(guī)范電子政務(wù)信息安全監(jiān)控?cái)?shù)據(jù)規(guī)范據(jù)的類型，報(bào)警信息類、通訊交互類和狀態(tài)獲取類數(shù)據(jù)的本標(biāo)準(zhǔn)適用于電子政務(wù)信息安全監(jiān)控系統(tǒng)與各類安全設(shè)備之間的數(shù)件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取的報(bào)警、通訊交互和狀態(tài)獲取等數(shù)信息安全監(jiān)控系統(tǒng)與安全設(shè)備間進(jìn)行信息交互的數(shù)據(jù)。包括信息查詢數(shù)據(jù)和策略下信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取運(yùn)行狀態(tài)和系統(tǒng)日志本標(biāo)準(zhǔn)涵蓋的安全設(shè)備包含但不限于入侵檢測(cè)/防御類設(shè)備、防病毒類設(shè)備、防火墻類設(shè)備、審計(jì)a）報(bào)警信息類數(shù)據(jù)：信息安全監(jiān)控系統(tǒng)接收到的安全b）通訊交互類數(shù)據(jù)：信息安全監(jiān)控系統(tǒng)與安全設(shè)備間進(jìn)行信息交互的上下信息安全監(jiān)控?cái)?shù)據(jù)與信息安全監(jiān)控系統(tǒng)、安全設(shè)備的a)知識(shí)庫查詢:安全設(shè)備為信息安全監(jiān)控系統(tǒng)提供指定報(bào)警日志的詳細(xì)信息和相關(guān)知識(shí)查詢服務(wù)否攜帶附件、關(guān)鍵字和主題等查詢條件，可以查詢網(wǎng)絡(luò)行為通過此數(shù)據(jù)，進(jìn)行監(jiān)控系統(tǒng)上資產(chǎn)信息的查詢，為安全設(shè)備提高報(bào)警準(zhǔn)確性提此數(shù)據(jù)將WEB監(jiān)控策略下發(fā)至安全設(shè)備，b)獲取日志：安全設(shè)備實(shí)時(shí)向信息安全監(jiān)控系統(tǒng)上報(bào)系統(tǒng)信息。每個(gè)域由多個(gè)字段拼接而成，所有字段與前字段a）字段名與字段值之間為半角的冒號(hào)，字段值用半角分號(hào)為“yyyy/mm/ddhh-mm-ss”產(chǎn)生報(bào)警日志的安全設(shè)備管理IP地址，數(shù)據(jù)格式“xxx.xxx.xxx.xxx”報(bào)警日志中記錄信息安全事態(tài)所使用和涉及的網(wǎng)絡(luò)式“xxx.xxx.xxx.xxx”報(bào)警日志中信息安全事態(tài)發(fā)起方使用的網(wǎng)絡(luò)傳輸層式“xxx.xxx.xxx.xxx”報(bào)警日志中信息安全事態(tài)受害方使用的網(wǎng)絡(luò)傳輸層防病毒類設(shè)備對(duì)帶毒文件的處置，用“隔離、清除、放審計(jì)報(bào)警中，網(wǎng)絡(luò)行為活動(dòng)或內(nèi)容違反的檢測(cè)規(guī)則所對(duì)設(shè)定進(jìn)行監(jiān)測(cè)網(wǎng)站的URL地址返回查詢標(biāo)識(shí)在知識(shí)庫中所對(duì)應(yīng)的詳細(xì)描述內(nèi)容，未查“yyyy/mm/ddhh-mm-ss”“yyyy/mm/ddhh-mm-ss”查詢請(qǐng)求中限定的網(wǎng)絡(luò)行為源IP地址，可為單個(gè)地址，Protocol字段選擇郵件或即時(shí)通訊類別時(shí)，填寫的發(fā)件Protocol字段選擇郵件或即時(shí)通訊類別時(shí)，填寫的收件行為詳細(xì)信息查詢和內(nèi)容詳細(xì)信息查詢中，郵件類查詢查詢類別，RequestType=1表示行為統(tǒng)計(jì)信息查詢；RequestType=2表示行為詳細(xì)信息查詢；RequestType=3統(tǒng)計(jì)分類在查詢類別為行為統(tǒng)計(jì)信息查詢時(shí)，返回結(jié)果的統(tǒng)計(jì)分類依據(jù)，包括SrcIP:源IP、DstIP:目的IP、Protocol:協(xié)議、Application:應(yīng)用、SrcAccount:發(fā)件統(tǒng)計(jì)分類，當(dāng)查詢類別為行為統(tǒng)計(jì)信息查詢時(shí)，返回結(jié)果的統(tǒng)計(jì)分類依據(jù)，包括SrcIP:源IP、DstIP:目的IP、Protocol:協(xié)議、Application:應(yīng)用、SrcAccount:發(fā)件行為日志發(fā)生的時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”“xx-xx-xx-xx-xx-xx”“xx-xx-xx-xx-xx-xx”行為日志發(fā)生的時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”源賬號(hào)，指內(nèi)容日志審計(jì)為電子郵件時(shí)，日志的發(fā)件人目的賬號(hào)，指內(nèi)容審計(jì)為電子郵件時(shí)，日志的收戶郵件中是否帶附件，值域：true/false，true代表郵件查詢限定時(shí)間范圍的開始時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”查詢限定時(shí)間范圍的結(jié)束時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”指定需要查詢流量的IP地址，為單個(gè)地址或地址段，單“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”流量信息查詢所基于的網(wǎng)絡(luò)協(xié)議，查詢條件為單個(gè)協(xié)議查詢時(shí)，返回所查詢的協(xié)議對(duì)應(yīng)的流量大小；查詢條件為多個(gè)協(xié)議查詢時(shí)，則返回統(tǒng)計(jì)流量總和以及每個(gè)協(xié)議查詢限定時(shí)間范圍的開始時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”查詢限定時(shí)間范圍的結(jié)束時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”指定需要查詢流量的IP地址，為單個(gè)地址或地址段，單“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”查詢結(jié)果返回方式，當(dāng)ReturnType=month時(shí)，表示返回結(jié)果時(shí)以月為單位；當(dāng)ReturnType=day時(shí)，表示返回結(jié)返回結(jié)果中的時(shí)間點(diǎn)，流量趨勢(shì)查詢數(shù)據(jù)中ReturnType字段指定了返回結(jié)果中時(shí)間的單位：ReturnType=month時(shí)，時(shí)間以月為單位；ReturnType=day時(shí)，時(shí)間以天為協(xié)議信息，查詢條件為單個(gè)協(xié)議查詢時(shí)，返回所查詢的項(xiàng)；查詢條件為多個(gè)協(xié)議查詢時(shí)，返回多個(gè)協(xié)議對(duì)應(yīng)的策略中定義的站點(diǎn)，對(duì)此站點(diǎn)進(jìn)行監(jiān)控，站點(diǎn)為單個(gè)站點(diǎn)一種功能都與一個(gè)isUse對(duì)應(yīng)，isUse=0表示不使用該功策略的執(zhí)行周期，分為立即執(zhí)行、分鐘、小時(shí)、天、周和月。值域?yàn)椋?-立即執(zhí)行，1-分鐘，2-小時(shí)，3-天，周期值，當(dāng)執(zhí)行周期選擇除0以外的選項(xiàng)值時(shí)才有作用。檢測(cè)的深度，指進(jìn)行檢測(cè)的頁面深度，對(duì)于不同的功能站點(diǎn)ID，指策略中定義的URL所對(duì)應(yīng)的ID，對(duì)策略中URL指策略中定義的URL所對(duì)應(yīng)的ID，對(duì)策略中URL的相關(guān)配一種功能都與一個(gè)isUse對(duì)應(yīng)，isUse=0表示不使用該功策略的執(zhí)行周期，分為立即執(zhí)行、分鐘、小時(shí)、天、周和月。值域?yàn)椋?-立即執(zhí)行，1-分鐘，2-小時(shí)，3-天，周期值，當(dāng)執(zhí)行周期選擇除0以外的選項(xiàng)值時(shí)才有作用。檢測(cè)的深度，指進(jìn)行檢測(cè)的頁面深度，對(duì)于不同的功能在一個(gè)URL上執(zhí)行檢測(cè)動(dòng)作的狀態(tài)，包括URLID和動(dòng)作執(zhí)示站點(diǎn)信息檢測(cè)的狀態(tài)，B表示可用性檢測(cè)的狀態(tài)，C表查詢開始時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”查詢結(jié)束時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”查詢方式，當(dāng)Type=month時(shí)，表示取一個(gè)月的平均值并返回；當(dāng)Type=day時(shí)，表示取一天的平均值并返回；當(dāng)?shù)目捎眯詸z測(cè)結(jié)果。Usability字段為子標(biāo)識(shí)，標(biāo)識(shí)），用性檢測(cè)請(qǐng)求里的type字段，返回相應(yīng)的網(wǎng)站響應(yīng)速度查詢開始時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”查詢結(jié)束時(shí)間，格式為“yyyy/mm/ddhh-mm-ss”結(jié)果。Vul字段為子標(biāo)識(shí)，標(biāo)識(shí)針對(duì)一個(gè)時(shí)間點(diǎn)脆弱性檢測(cè)出的漏洞類型，返回時(shí)以數(shù)字代表，代表關(guān)系為：漏洞的威脅程度分級(jí)，將漏洞等級(jí)分為很高、高、中、-xxx.xxx.xxx.xxx”設(shè)備使用狀態(tài)，分為啟用和停用兩種狀態(tài)，“true”表風(fēng)險(xiǎn)值，通過風(fēng)險(xiǎn)評(píng)估，資產(chǎn)存在的風(fēng)險(xiǎn)值，取值范圍數(shù)據(jù)規(guī)范中使用的SNMP請(qǐng)求和回復(fù)命令均為標(biāo)準(zhǔn)取系統(tǒng)狀態(tài)信息，安全設(shè)備根據(jù)本規(guī)范的要求構(gòu)建標(biāo)準(zhǔn)公有MIB，提供基本系統(tǒng)狀態(tài)信息。示例1：公有域格式及字段形式和順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用MicrosoftOutlookWebAccess漏洞進(jìn)行拒絕服務(wù)攻擊;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;示例2：入侵檢測(cè)/防御類專有域格式、字段形式和順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用MicrosoftOutlookWebAccess漏洞進(jìn)行拒絕服務(wù)攻擊;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;AlarmCount:5;Action:禁止;示例3：防病毒類專有域格式、字段形式和順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:蠕蟲病毒;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;User:killileo;Long:512;Site:http///images/Incruit_speaceyellow_8_15.gif;Action:Deleted示例4：防火墻類專有域格式、字段形式和順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:違背策略;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc:SQL注入攻擊;Action:阻止;示例5：審計(jì)類專有域格式、字段形式及順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:郵件審計(jì);ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc:Winnuke攻擊;Keyword:DOB;RuleID:553;示例6：WEB安全類專有域格式、字段形式及順序Date:2012/11/1210-00-00;IP:2;Severity:1;EventCode:112021;EventName:使用框架;ProtocolType:http;srcIP:;SrcPort:80;DstIP:5;DstPort:80;SiteURL:http:///index.html;URLID:1;Action:使用寬、高度屬性嵌入不可見的框架;AlarmURL:/index.html;Desc:http/://05/mals/6.htm;HttpMethod:get;將返回的知識(shí)庫描述放到CDATA[…]中，XML解析器不解析CDATA里的文本數(shù)據(jù)，所以知識(shí)庫描述里可能存在的特殊字符將不會(huì)產(chǎn)生歧義?；赬ML標(biāo)準(zhǔn)的查詢請(qǐng)求格式如下：……</LogStatResponse></LogDetailResponse></ContentResponse></FlowStatQueryRequest></FlowStatQueryResponse></FlowTrendQueryRequest></FlowTrendQueryResponse></PolicyIssue><PolicyIssueID="xxx"></PolicyIssue></WebMonitorPolicyIssue></WebMonitorPolicyResponse></WebMonitorPolicyUpdate>基于XML標(biāo)準(zhǔn)的策略執(zhí)行狀態(tài)查詢請(qǐng)求格式為：</PolicyStateQueryRequest>基于XML標(biāo)準(zhǔn)的策略執(zhí)行狀態(tài)查詢應(yīng)答格式如下：</policyStateQueryResponse>基于XML標(biāo)準(zhǔn)的站點(diǎn)信息查詢請(qǐng)求格式為：</SiteInfoRequest>基于XML標(biāo)準(zhǔn)的站點(diǎn)信息查詢應(yīng)答格式為：</SiteInfoResponse>基于XML標(biāo)準(zhǔn)的可用性查詢請(qǐng)求格式為：</UsabilityRequest>基于XML標(biāo)準(zhǔn)的可用性查詢應(yīng)答格式為：</UsabilityResponse>基于XML標(biāo)準(zhǔn)的脆弱性查詢請(qǐng)求格式為：</VulRequest>基于XML標(biāo)準(zhǔn)的脆弱性查詢應(yīng)答格式為：