DB11∕T 1288-2015 電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范_第1頁
DB11∕T 1288-2015 電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范_第2頁
DB11∕T 1288-2015 電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范_第3頁
DB11∕T 1288-2015 電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范_第4頁
DB11∕T 1288-2015 電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范_第5頁
已閱讀5頁,還剩69頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

DB11北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布 物力來解決與安全設(shè)備之間的交互問題,是北京地區(qū)電子政務(wù)信息安全監(jiān)控系統(tǒng)建設(shè)實(shí)際共享的質(zhì)量和效率,為電子政務(wù)監(jiān)控體系構(gòu)建提供科學(xué)依據(jù)和規(guī)范電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范據(jù)的類型,報警信息類、通訊交互類和狀態(tài)獲取類數(shù)據(jù)的本標(biāo)準(zhǔn)適用于電子政務(wù)信息安全監(jiān)控系統(tǒng)與各類安全設(shè)備之間的數(shù)件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取的報警、通訊交互和狀態(tài)獲取等數(shù)信息安全監(jiān)控系統(tǒng)與安全設(shè)備間進(jìn)行信息交互的數(shù)據(jù)。包括信息查詢數(shù)據(jù)和策略下信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取運(yùn)行狀態(tài)和系統(tǒng)日志本標(biāo)準(zhǔn)涵蓋的安全設(shè)備包含但不限于入侵檢測/防御類設(shè)備、防病毒類設(shè)備、防火墻類設(shè)備、審計(jì)a)報警信息類數(shù)據(jù):信息安全監(jiān)控系統(tǒng)接收到的安全b)通訊交互類數(shù)據(jù):信息安全監(jiān)控系統(tǒng)與安全設(shè)備間進(jìn)行信息交互的上下信息安全監(jiān)控數(shù)據(jù)與信息安全監(jiān)控系統(tǒng)、安全設(shè)備的a)知識庫查詢:安全設(shè)備為信息安全監(jiān)控系統(tǒng)提供指定報警日志的詳細(xì)信息和相關(guān)知識查詢服務(wù)否攜帶附件、關(guān)鍵字和主題等查詢條件,可以查詢網(wǎng)絡(luò)行為通過此數(shù)據(jù),進(jìn)行監(jiān)控系統(tǒng)上資產(chǎn)信息的查詢,為安全設(shè)備提高報警準(zhǔn)確性提此數(shù)據(jù)將WEB監(jiān)控策略下發(fā)至安全設(shè)備,b)獲取日志:安全設(shè)備實(shí)時向信息安全監(jiān)控系統(tǒng)上報系統(tǒng)信息。每個域由多個字段拼接而成,所有字段與前字段a)字段名與字段值之間為半角的冒號,字段值用半角分號為“yyyy/mm/ddhh-mm-ss”產(chǎn)生報警日志的安全設(shè)備管理IP地址,數(shù)據(jù)格式“xxx.xxx.xxx.xxx”報警日志中記錄信息安全事態(tài)所使用和涉及的網(wǎng)絡(luò)式“xxx.xxx.xxx.xxx”報警日志中信息安全事態(tài)發(fā)起方使用的網(wǎng)絡(luò)傳輸層式“xxx.xxx.xxx.xxx”報警日志中信息安全事態(tài)受害方使用的網(wǎng)絡(luò)傳輸層防病毒類設(shè)備對帶毒文件的處置,用“隔離、清除、放審計(jì)報警中,網(wǎng)絡(luò)行為活動或內(nèi)容違反的檢測規(guī)則所對設(shè)定進(jìn)行監(jiān)測網(wǎng)站的URL地址返回查詢標(biāo)識在知識庫中所對應(yīng)的詳細(xì)描述內(nèi)容,未查“yyyy/mm/ddhh-mm-ss”“yyyy/mm/ddhh-mm-ss”查詢請求中限定的網(wǎng)絡(luò)行為源IP地址,可為單個地址,Protocol字段選擇郵件或即時通訊類別時,填寫的發(fā)件Protocol字段選擇郵件或即時通訊類別時,填寫的收件行為詳細(xì)信息查詢和內(nèi)容詳細(xì)信息查詢中,郵件類查詢查詢類別,RequestType=1表示行為統(tǒng)計(jì)信息查詢;RequestType=2表示行為詳細(xì)信息查詢;RequestType=3統(tǒng)計(jì)分類在查詢類別為行為統(tǒng)計(jì)信息查詢時,返回結(jié)果的統(tǒng)計(jì)分類依據(jù),包括SrcIP:源IP、DstIP:目的IP、Protocol:協(xié)議、Application:應(yīng)用、SrcAccount:發(fā)件統(tǒng)計(jì)分類,當(dāng)查詢類別為行為統(tǒng)計(jì)信息查詢時,返回結(jié)果的統(tǒng)計(jì)分類依據(jù),包括SrcIP:源IP、DstIP:目的IP、Protocol:協(xié)議、Application:應(yīng)用、SrcAccount:發(fā)件行為日志發(fā)生的時間,格式為“yyyy/mm/ddhh-mm-ss”返回行為日志的源IP地址,格式為“xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”“xx-xx-xx-xx-xx-xx”“xx-xx-xx-xx-xx-xx”行為日志發(fā)生的時間,格式為“yyyy/mm/ddhh-mm-ss”返回行為日志的源IP地址,格式為“xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”源賬號,指內(nèi)容日志審計(jì)為電子郵件時,日志的發(fā)件人目的賬號,指內(nèi)容審計(jì)為電子郵件時,日志的收戶郵件中是否帶附件,值域:true/false,true代表郵件查詢限定時間范圍的開始時間,格式為“yyyy/mm/ddhh-mm-ss”查詢限定時間范圍的結(jié)束時間,格式為“yyyy/mm/ddhh-mm-ss”指定需要查詢流量的IP地址,為單個地址或地址段,單“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”“xxx.xxx.xxx.xxx”流量信息查詢所基于的網(wǎng)絡(luò)協(xié)議,查詢條件為單個協(xié)議查詢時,返回所查詢的協(xié)議對應(yīng)的流量大??;查詢條件為多個協(xié)議查詢時,則返回統(tǒng)計(jì)流量總和以及每個協(xié)議查詢限定時間范圍的開始時間,格式為“yyyy/mm/ddhh-mm-ss”查詢限定時間范圍的結(jié)束時間,格式為“yyyy/mm/ddhh-mm-ss”指定需要查詢流量的IP地址,為單個地址或地址段,單“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”查詢結(jié)果返回方式,當(dāng)ReturnType=month時,表示返回結(jié)果時以月為單位;當(dāng)ReturnType=day時,表示返回結(jié)返回結(jié)果中的時間點(diǎn),流量趨勢查詢數(shù)據(jù)中ReturnType字段指定了返回結(jié)果中時間的單位:ReturnType=month時,時間以月為單位;ReturnType=day時,時間以天為協(xié)議信息,查詢條件為單個協(xié)議查詢時,返回所查詢的項(xiàng);查詢條件為多個協(xié)議查詢時,返回多個協(xié)議對應(yīng)的策略中定義的站點(diǎn),對此站點(diǎn)進(jìn)行監(jiān)控,站點(diǎn)為單個站點(diǎn)一種功能都與一個isUse對應(yīng),isUse=0表示不使用該功策略的執(zhí)行周期,分為立即執(zhí)行、分鐘、小時、天、周和月。值域?yàn)椋?-立即執(zhí)行,1-分鐘,2-小時,3-天,周期值,當(dāng)執(zhí)行周期選擇除0以外的選項(xiàng)值時才有作用。檢測的深度,指進(jìn)行檢測的頁面深度,對于不同的功能站點(diǎn)ID,指策略中定義的URL所對應(yīng)的ID,對策略中URL指策略中定義的URL所對應(yīng)的ID,對策略中URL的相關(guān)配一種功能都與一個isUse對應(yīng),isUse=0表示不使用該功策略的執(zhí)行周期,分為立即執(zhí)行、分鐘、小時、天、周和月。值域?yàn)椋?-立即執(zhí)行,1-分鐘,2-小時,3-天,周期值,當(dāng)執(zhí)行周期選擇除0以外的選項(xiàng)值時才有作用。檢測的深度,指進(jìn)行檢測的頁面深度,對于不同的功能在一個URL上執(zhí)行檢測動作的狀態(tài),包括URLID和動作執(zhí)示站點(diǎn)信息檢測的狀態(tài),B表示可用性檢測的狀態(tài),C表查詢開始時間,格式為“yyyy/mm/ddhh-mm-ss”查詢結(jié)束時間,格式為“yyyy/mm/ddhh-mm-ss”查詢方式,當(dāng)Type=month時,表示取一個月的平均值并返回;當(dāng)Type=day時,表示取一天的平均值并返回;當(dāng)?shù)目捎眯詸z測結(jié)果。Usability字段為子標(biāo)識,標(biāo)識),用性檢測請求里的type字段,返回相應(yīng)的網(wǎng)站響應(yīng)速度查詢開始時間,格式為“yyyy/mm/ddhh-mm-ss”查詢結(jié)束時間,格式為“yyyy/mm/ddhh-mm-ss”結(jié)果。Vul字段為子標(biāo)識,標(biāo)識針對一個時間點(diǎn)脆弱性檢測出的漏洞類型,返回時以數(shù)字代表,代表關(guān)系為:漏洞的威脅程度分級,將漏洞等級分為很高、高、中、-xxx.xxx.xxx.xxx”設(shè)備使用狀態(tài),分為啟用和停用兩種狀態(tài),“true”表風(fēng)險值,通過風(fēng)險評估,資產(chǎn)存在的風(fēng)險值,取值范圍數(shù)據(jù)規(guī)范中使用的SNMP請求和回復(fù)命令均為標(biāo)準(zhǔn)取系統(tǒng)狀態(tài)信息,安全設(shè)備根據(jù)本規(guī)范的要求構(gòu)建標(biāo)準(zhǔn)公有MIB,提供基本系統(tǒng)狀態(tài)信息。示例1:公有域格式及字段形式和順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用MicrosoftOutlookWebAccess漏洞進(jìn)行拒絕服務(wù)攻擊;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;示例2:入侵檢測/防御類專有域格式、字段形式和順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用MicrosoftOutlookWebAccess漏洞進(jìn)行拒絕服務(wù)攻擊;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;AlarmCount:5;Action:禁止;示例3:防病毒類專有域格式、字段形式和順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:蠕蟲病毒;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;User:killileo;Long:512;Site:http///images/Incruit_speaceyellow_8_15.gif;Action:Deleted示例4:防火墻類專有域格式、字段形式和順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:違背策略;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc:SQL注入攻擊;Action:阻止;示例5:審計(jì)類專有域格式、字段形式及順序Date:2012/11/1410-00-00;IP:2;Severity:1;EventCode:112021;EventName:郵件審計(jì);ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc:Winnuke攻擊;Keyword:DOB;RuleID:553;示例6:WEB安全類專有域格式、字段形式及順序Date:2012/11/1210-00-00;IP:2;Severity:1;EventCode:112021;EventName:使用框架;ProtocolType:http;srcIP:;SrcPort:80;DstIP:5;DstPort:80;SiteURL:http:///index.html;URLID:1;Action:使用寬、高度屬性嵌入不可見的框架;AlarmURL:/index.html;Desc:http/://05/mals/6.htm;HttpMethod:get;將返回的知識庫描述放到CDATA[…]中,XML解析器不解析CDATA里的文本數(shù)據(jù),所以知識庫描述里可能存在的特殊字符將不會產(chǎn)生歧義。基于XML標(biāo)準(zhǔn)的查詢請求格式如下:……</LogStatResponse></LogDetailResponse></ContentResponse></FlowStatQueryRequest></FlowStatQueryResponse></FlowTrendQueryRequest></FlowTrendQueryResponse></PolicyIssue><PolicyIssueID="xxx"></PolicyIssue></WebMonitorPolicyIssue></WebMonitorPolicyResponse></WebMonitorPolicyUpdate>基于XML標(biāo)準(zhǔn)的策略執(zhí)行狀態(tài)查詢請求格式為:</PolicyStateQueryRequest>基于XML標(biāo)準(zhǔn)的策略執(zhí)行狀態(tài)查詢應(yīng)答格式如下:</policyStateQueryResponse>基于XML標(biāo)準(zhǔn)的站點(diǎn)信息查詢請求格式為:</SiteInfoRequest>基于XML標(biāo)準(zhǔn)的站點(diǎn)信息查詢應(yīng)答格式為:</SiteInfoResponse>基于XML標(biāo)準(zhǔn)的可用性查詢請求格式為:</UsabilityRequest>基于XML標(biāo)準(zhǔn)的可用性查詢應(yīng)答格式為:</UsabilityResponse>基于XML標(biāo)準(zhǔn)的脆弱性查詢請求格式為:</VulRequest>基于XML標(biāo)準(zhǔn)的脆弱性查詢應(yīng)答格式為:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論