DB11-T1288-2015電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范

1、ICS 35.040 A24DB11北京市地方標準DB11/T 12882015電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范Data specification of information security monitoring in electronic government2015-12-30發(fā)布2016-04-01實施北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布DB11/T 12882015目次引言II1范引文件1語定義1略語1據(jù)互2控據(jù)2報信2通交3狀獲3警息數(shù)格式3基格式3報信公3報信專4訊互數(shù)要求6基格式6知庫詢互6審查數(shù)據(jù)6流查數(shù)據(jù)9Web監(jiān)策下12漏掃策下17資信查數(shù)據(jù)19態(tài)取數(shù)要求20基格式20設(shè)狀數(shù)據(jù)20系

2、日數(shù)據(jù)21附錄A（料附）報警息數(shù)格示例22附錄B（料附）通訊互數(shù)格示例23附錄C（料附）狀態(tài)取數(shù)格示例35參考36IDB11/T 12882015引言IIDB11/T 12882015電子政務(wù)信息安全監(jiān)控數(shù)據(jù)規(guī)范范圍本標準適用于電子政務(wù)信息安全監(jiān)控系統(tǒng)與各類安全設(shè)備之間的數(shù)據(jù)交互關(guān)系。GB/Z 19669 XML在電子政務(wù)中的應(yīng)用指南GB/T 25069-2010 界定的以及下列術(shù)語和定義適用于本文件。3.1監(jiān)控數(shù)據(jù) monitoring data信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取的報警、通訊交互和狀態(tài)獲取等數(shù)據(jù)信息。3.2信息安全監(jiān)控系統(tǒng) information security monitor

3、ing system為發(fā)現(xiàn)信息安全事件和及時預警提供支撐的信息系統(tǒng)。3.3報警信息類數(shù)據(jù) alarm information class data安全設(shè)備向信息安全監(jiān)控系統(tǒng)發(fā)送的安全報警數(shù)據(jù)。3.4通訊交互類數(shù)據(jù) communication interactive class data信息安全監(jiān)控系統(tǒng)與安全設(shè)備間進行信息交互的數(shù)據(jù)。包括信息查詢數(shù)據(jù)和策略下發(fā)數(shù)據(jù)。3.5狀態(tài)獲取類數(shù)據(jù) state acquisition class data信息安全監(jiān)控系統(tǒng)從安全設(shè)備獲取運行狀態(tài)和系統(tǒng)日志的數(shù)據(jù)?？s略語下列縮略語適用于本文件。IP：網(wǎng)絡(luò)之間互連的協(xié)議（Internet Protocol）1DB1

4、1/T 12882015MIB：管理信息庫（Management Information Base） OID：對象標識(Object IDentifier)SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol） UTF：Unicode轉(zhuǎn)換格式（Unicode Transformation Format）URL：統(tǒng)一資源定位符（Uniform Resource Locator） XML：可擴展置標語言（eXtensible Markup Language）本標準涵蓋的安全設(shè)備包含但不限于入侵檢測/防御類設(shè)備、防病毒類設(shè)備、防火墻類設(shè)備、審計類設(shè)備、We

5、b安全類設(shè)備和漏洞掃描類設(shè)備。信息安全監(jiān)控系統(tǒng)與安全設(shè)備間的交互數(shù)據(jù)包括：信息安全監(jiān)控數(shù)據(jù)與信息安全監(jiān)控系統(tǒng)、安全設(shè)備的關(guān)系如圖1所示：圖1監(jiān)控據(jù)信安監(jiān)系統(tǒng)安設(shè)的報警信息類監(jiān)控數(shù)據(jù)子分類包括：a）入侵檢測/防御類設(shè)備的報警信息； b）防病毒類設(shè)備的報警信息；c）審計類設(shè)備的報警信息； d）WEB安全類設(shè)備的報警信息； e）防火墻類設(shè)備的報警信息； f）其他設(shè)備的報警信息。2DB11/T 12882015通訊交互類監(jiān)控數(shù)據(jù)子分類包括：知識庫查詢: 安全設(shè)備為信息安全監(jiān)控系統(tǒng)提供指定報警日志的詳細信息和相關(guān)知識查詢服務(wù)（目的ip/使用IP、協(xié)議及時間范圍等查詢條件，獲得時間范圍內(nèi)的流量信息和流量趨

6、勢；WebWEB此數(shù)據(jù)將WEB監(jiān)控策略下發(fā)至安全設(shè)備，設(shè)備使用該監(jiān)控策略進行監(jiān)控；狀態(tài)獲取類監(jiān)控數(shù)據(jù)子分類包括：字段格式形式為：“name:value;”，“name”代表字段名，“value”代表字段值。具體格式如下：“value”報警信息類數(shù)據(jù)格式參見附錄A。報警公共域描述格式見表1。3DB11/T 12882015表1公共描格式字段名稱基本信息數(shù)據(jù)類型長度（字節(jié)）說明Date時間戳字符20安全設(shè)備產(chǎn)生報警日志的時間點，時間戳的數(shù)據(jù)格式為“yyyy/mm/dd hh-mm-ss”IP設(shè)備 IP 地址字符32產(chǎn)生報警日志的安全設(shè)備管理 IP 地址，數(shù)據(jù)格式“xxx.xxx.xxx.xxx”S

7、everity報警安全等級字符2報警日志在安全設(shè)備中所定義安全等級，規(guī)范定義為三級，用“1、2、3”表示，其意義為 1=高、2=中、3=低EventCode報警唯一標識字符32安全報警的唯一標識，唯一確定一條或一組報警EventName報警名稱字符32安全設(shè)備對報警信息的定義ProtocolType協(xié)議字符16報警日志中記錄信息安全事態(tài)所使用和涉及的網(wǎng)絡(luò)協(xié)議SrcIP源 IP 地址字符32報警日志中信息安全事態(tài)發(fā)起方的 IP 地址，數(shù)據(jù)格式“xxx.xxx.xxx.xxx”SrcPort源端口字符5報警日志中信息安全事態(tài)發(fā)起方使用的網(wǎng)絡(luò)傳輸層端口號DstIP目的 IP 地址字符32報警日志中信

8、息安全事態(tài)受害方的 IP 地址，數(shù)據(jù)格式“xxx.xxx.xxx.xxx”DstPort目的端口字符5報警日志中信息安全事態(tài)受害方使用的網(wǎng)絡(luò)傳輸層端口號/入侵檢測/防御類專有域描述格式見表2。表2入侵測防類有本信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明AlarmCount報警連續(xù)次數(shù)字符5安全設(shè)備檢測連續(xù)發(fā)現(xiàn)相同報警的次數(shù)Action操作字符10刪除”表示可選項字符用于信息的擴展防病毒類專有域描述格式見表3。表3防病類有基信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明User用戶名字符52被感染病毒主機的用戶名或設(shè)備名4DB11/T 12882015表 3 防病毒類專有域基本信息(續(xù))字段名稱基本信息

9、數(shù)據(jù)類型（字節(jié)）說明Long病毒長度字符5被感染病毒的文件大小Site位置字符256病毒所在位置Action操作字符10防病毒類設(shè)備對帶毒文件的處置，用“隔離、清除、放行”表示可選項字符用于信息的擴展防火墻類專有域描述格式見表4。表4防火類有基信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明LogDesc日志描述字符52簡要說明產(chǎn)生報警的網(wǎng)絡(luò)行為Action操作字符10對信息安全事態(tài)的處置結(jié)果可選項字符用于信息的擴展審計類專有域描述格式見表5。表5審計專域本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明LogDesc報警描述字符52對報警日志內(nèi)容的簡要描述Keyword關(guān)鍵字字符20審計檢測規(guī)則中設(shè)置的關(guān)鍵字R

10、uleID規(guī)則標識字符5審計報警中，網(wǎng)絡(luò)行為活動或內(nèi)容違反的檢測規(guī)則所對應(yīng)的標識號可選項字符用于信息的擴展WebWeb安全類專有域描述格式見表6。表6Web全專域本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明SiteURL網(wǎng)站 URL字符52設(shè)定進行監(jiān)測網(wǎng)站的 URL 地址URLID網(wǎng)站 URL 標識字符20返回的網(wǎng)站 URL 唯一標識Descp特征描述字符5風險行為所采用的技術(shù)特征5DB11/T 12882015表6Web安類有本信（字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明AlarmURL報警網(wǎng)頁地址字符52產(chǎn)生報警的網(wǎng)頁地址Desc輔助信息字符52對報警日志的補充性說明HttpMethodHttp 方

11、法字符20Http可選項字符用于信息的擴展XMLSchema間的關(guān)系。通訊交互類數(shù)據(jù)格式參見附錄B。知識庫查詢請求以KBRequest字段為標識，描述格式見表7。表7知識查請基信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明KBNameID查詢標識字符64知識庫的唯一標識，是知識庫查詢條件知識庫查詢應(yīng)答以KBResponse字段為標識，描述格式見表8。表8知識查應(yīng)基信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明KB應(yīng)答內(nèi)容字符不限返回查詢標識在知識庫中所對應(yīng)的詳細描述內(nèi)容，未查詢到結(jié)果則此字段內(nèi)容為空AuditInfoQueryRequest。6DB11/T 12882015表9審計詢求本字段名稱基本信息數(shù)

12、據(jù)類型（字節(jié)）說明StartTime開始時間字符20查詢 限 定 時間 范 圍的 開始 時間 ， 數(shù)據(jù)格式 為“yyyy/mm/dd hh-mm-ss”EndTime結(jié)束時間字符20查詢 限 定 時間 范 圍的 結(jié) 束 時間 ， 數(shù)據(jù)格式 為“yyyy/mm/dd hh-mm-ss”SrcIP源 IP字符32查詢請求中限定的網(wǎng)絡(luò)行為源IP地址，可為單個地址，也可為地址段DstIP目的 IP字符32查詢請求中限定的網(wǎng)絡(luò)行為目的IP也可為地址段SrcPort源端口號字符5查詢條件中限定的網(wǎng)絡(luò)行為源傳輸層端口號DstPort目的端口號字符5查詢條件中限定的網(wǎng)絡(luò)行為目的傳輸層端口號Protocol應(yīng)用

13、協(xié)議字符64查詢條件中限定的網(wǎng)絡(luò)行為所采用的網(wǎng)絡(luò)應(yīng)用協(xié)議Application應(yīng)用服務(wù)字符64應(yīng)用服務(wù)在指定應(yīng)用前，指定協(xié)議類別字段URL具體 URL字符256針對協(xié)議類型選擇http協(xié)議時，填寫的具體URLKeyword限定條件字符128內(nèi)容詳細信息查詢中設(shè)置的限定條件SrcAccount發(fā)件人賬號字符64Protocol字段選擇郵件或即時通訊類別時，填寫的發(fā)件人賬號或者即時通訊賬號DstAccount收件人賬號字符64Protocol字段選擇郵件或即時通訊類別時，填寫的收件人賬號或者即時通訊賬號Subject郵件主題字符64行為詳細信息查詢和內(nèi)容詳細信息查詢中，郵件類查詢的郵件主題HasA

14、ttachment是否攜帶附件字符5Yes/NoLimit最大條數(shù)字符5最大條數(shù)RequestType查詢類別字符2查詢類別， RequestType=1 表示行為統(tǒng)計信息查詢； RequestType=2表示行為詳細信息查詢；RequestType=3 表示內(nèi)容詳細信息查詢Classificatio n統(tǒng)計分類字符64統(tǒng)計分類在查詢類別為行為統(tǒng)計信息查詢時，返回結(jié)果的統(tǒng)計分類依據(jù)，包括SrcIP: 源IP、DstIP:目的IP、Protocol:協(xié)議、Application:應(yīng)用、SrcAccount:發(fā)件人、DstAccount:收件人、SrcPort:源端口、DstPort:目的端口、D

15、ay:時間-天、Hour:時間-小時7DB11/T 12882015行為統(tǒng)計信息應(yīng)答以LogStatResponse字段為標識，描述格式見表10。表10行為計息答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明Logs結(jié)果集字符不限按classification進行統(tǒng)計分類后得到的結(jié)果集TotalCount結(jié)果集大小字符32按classification進行統(tǒng)計分類后得到的結(jié)果集大小Log單一結(jié)果字符32結(jié)果集的一條結(jié)果ID結(jié)果編號字符32結(jié)果編號Classificatio n統(tǒng)計分類字符64統(tǒng)計分類，當查詢類別為行為統(tǒng)計信息查詢時，返回結(jié)果的統(tǒng)計分類依據(jù)，包括SrcIP:源IP、DstIP:目的IP、

16、Protocol:協(xié)議、Application:應(yīng)用、SrcAccount:發(fā)件人、DstAccount:收件人、SrcPort:源端口、DstPort:目的端口、Day:時間-天、Hour:時間-小時ClassifyValue具體值字符64根據(jù)Classification字段而返回的具體值Count數(shù)量字符8根據(jù)統(tǒng)計條件統(tǒng)計后的數(shù)量Percentage比例字符2百分比行為詳細信息應(yīng)答以LogDetailResponse字段為標識，描述格式見表11。表11行為細息答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TotalCount數(shù)量字符32返回結(jié)果的數(shù)量Log單一結(jié)果字符32一個返回結(jié)果ID結(jié)果編號

17、字符32一個返回結(jié)果的編號Time統(tǒng)計分類字符20行為日志發(fā)生的時間，格式為“yyyy/mm/dd hh-mm-ss”SrcIP源 IP字符32返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”DstIP目的 IP字符32返 回 行 為 日 志 的 目 的 IP 地 址 ， 格 式 為“xxx.xxx.xxx.xxx”SrcPort源端口號字符5返回行為日志的源端口號DstPort目的端口號字符5返回行為日志的目的端口號SrcMac源 MAC 地址字符32返 回 行 為 日 志 的 源 MAC 地 址 ， 格 式 為“xx-xx-xx-xx-xx-xx”8DB11/T 1288

18、2015表11為細息基本息續(xù)）字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明DstMac目的 MAC 地址字符32返 回 行 為 日 志 的 目 的 MAC 地 址 ， 格 式 為“xx-xx-xx-xx-xx-xx”Protocol應(yīng)用協(xié)議字符64查詢條件中限定的網(wǎng)絡(luò)行為所采用的網(wǎng)絡(luò)應(yīng)用協(xié)議SessionSize日志大小字符10返回網(wǎng)絡(luò)行為活動日志的大小SrcAccount發(fā)件人賬號字符64源賬號DstAccount收件人賬號字符64目的賬號內(nèi)容詳細信息應(yīng)答以ContentResponse字段為標識，描述格式見表12。表12內(nèi)容細息答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TotalCount數(shù)量字符3

19、2返回結(jié)果的數(shù)量。Log單一結(jié)果字符32一個返回結(jié)果。ID結(jié)果編號字符32一個返回結(jié)果的編號。Time統(tǒng)計分類字符20行為日志發(fā)生的時間，格式為“yyyy/mm/dd hh-mm-ss”SrcIP源 IP字符32返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”DstIP目的 IP字符32返 回 行 為 日 志 的 目 的 IP 地 址 ， 格 式 為“xxx.xxx.xxx.xxx”SrcAccount發(fā)件人賬號字符64源賬號，指內(nèi)容日志審計為電子郵件時，日志的發(fā)件人賬號DstAccount收件人賬號字符64目的賬號，指內(nèi)容審計為電子郵件時，日志的收件人帳戶Subject郵件

20、主題字符64主題，指當內(nèi)容審計為電子郵件時郵件的主題MailSize郵件大小字符32郵件大小，單位為KBHasAttachment是否攜帶附件字符6郵件中是否帶附件，值域：true/false，true代表郵件中存在附件，false代表郵件中不存在附件9DB11/T 12882015流量信息查詢請求以FlowStatQueryRequest字段為標識，描述格式見表13。表13流量息詢求本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明StartTime開始時間字符20查詢限定時間范圍的開始時間，格式為“yyyy/mm/dd hh-mm-ss”EndTime結(jié)束時間字符20查詢限定時間范圍的結(jié)束時間，格式為

21、“yyyy/mm/dd hh-mm-ss”IPList地址列表字符32指定需要查詢流量的IP地址，為單個地址或地址段，單個 IP 格式 “xxx.xxx.xxx.xxx” ， IP 地 址段 格式“xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx”Protocol應(yīng)用協(xié)議字符32應(yīng)用協(xié)議Direction方向字符20120表示雙方向，1表示流入，2表示流出Count數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)流量信息查詢應(yīng)答以FlowStatQueryResponse字段為標識，描述格式見表14。表14流量息詢答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TotalC

22、ount數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)FlowIP流量字符32對應(yīng)一個IP的一個返回結(jié)果ID編號字符32一個返回結(jié)果的編號IPIP 地址字符32標 簽 內(nèi) 的流量信息 為 此 IP 產(chǎn) 生 ， 格式 為“xxx.xxx.xxx.xxx”FlowSize流量大小字符32流量大小，每個流量大小標簽對應(yīng)一個協(xié)議Protocol協(xié)議字符32流量信息查詢所基于的網(wǎng)絡(luò)協(xié)議，查詢條件為單個協(xié)議查詢時，返回所查詢的協(xié)議對應(yīng)的流量大?。徊樵儣l件為多個協(xié)議查詢時，則返回統(tǒng)計流量總和以及每個協(xié)議對應(yīng)的流量大小流量趨勢查詢請求數(shù)據(jù)以FlowTrendQueryRequest字段為標識，查詢

23、條件包括時間段、IP地址、流量方向、返回方式和協(xié)議，描述格式見表15。10DB11/T 12882015表15流量勢詢求本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明StartTime開始時間字符20查詢限定時間范圍的開始時間，格式為“yyyy/mm/dd hh-mm-ss”EndTime結(jié)束時間字符20查詢限定時間范圍的結(jié)束時間，格式為“yyyy/mm/dd hh-mm-ss”IPList地址列表字符32指定需要查詢流量的IP地址，為單個地址或地址段，單個 IP 格式 “xxx.xxx.xxx.xxx” ， IP 地 址段 格式“xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx”P

24、rotocol應(yīng)用協(xié)議字符32應(yīng)用協(xié)議Direction方向字符20120表示雙方向，1表示流入，2表示流出ReturnType返回方式字符10查詢結(jié)果返回方式，當ReturnType=month時，表示返回結(jié)果時以月為單位；當ReturnType=day時，表示返回結(jié)果時以天為單位；當ReturnType=hourReturnType=minute流量趨勢查詢應(yīng)答數(shù)據(jù)以FlowTrendQueryResponse字段為標識，描述格式見表16。表16流量勢詢答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TotalCount數(shù)量字符2前TOP多少數(shù)據(jù)，小于50的整數(shù)，0表示全部數(shù)據(jù)FlowIP流量字符

25、32對應(yīng)一個IP的一個返回結(jié)果ID編號字符32一個以IP為基準的返回結(jié)果的編號IPIP 地址字符32流量趨勢查詢的IP地址，每個IP地址對應(yīng)多個FlowTimeFlowTime結(jié)果時間字符20一個時間點對應(yīng)的返回結(jié)果Time時間點字符20返回結(jié)果中的時間點，流量趨勢查詢數(shù)據(jù)中ReturnType 字段指定了返回結(jié)果中時間的單位：ReturnType=month 時，時間以月為單位；ReturnType=day時，時間以天為單位； ReturnType=hour 時， 時間以小時為單位； ReturnType=minute時，時間以分鐘為單位FlowSize流量大小字符10流量大小信息，單位為K

26、B11DB11/T 12882015表16量勢詢基本息續(xù)）字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明Protocol協(xié)議字符32協(xié)議信息，查詢條件為單個協(xié)議查詢時，返回所查詢的all 項；查詢條件為多個協(xié)議查詢時，返回多個協(xié)議對應(yīng)的項，此時流量大小標記有多項Web策略下發(fā)數(shù)據(jù)以WebMonitorPolicyIssue字段為標識，描述格式見表17。表17策略發(fā)據(jù)本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明PolicyIssue策略主題字符32針對一個站點的web監(jiān)控策略下發(fā)ID編號字符32policyIssue的編號SiteURL站點地址字符256策略中定義的站點，對此站點進行監(jiān)控，站點為單個站點Site

27、Info站點信息字符32站點信息站點檢測功能Usability可用性字符32可用性檢測功能Content內(nèi)容字符32內(nèi)容檢測功能Vul脆弱性字符32脆弱性檢測功能IsUse是否使用字符2策略是否被使用，Web一種功能都與一個isUse對應(yīng)，isUse=0表示不使用該功能，isUse=1表示使用該功能SycleSize執(zhí)行周期字符2策略的執(zhí)行周期，分為立即執(zhí)行、分鐘、小時、天、周和月。值域為：0-立即執(zhí)行，1-分鐘，2-小時，3-天， 4-周，5-月SycleValue執(zhí)行周期字符2周期值，當執(zhí)行周期選擇除0以外的選項值時才有作用。周期值分別為分鐘 0-601-241-71-52、月 1-12D

28、epth深度字符2檢測的深度，指進行檢測的頁面深度，對于不同的功能模塊定義不同的深度12DB11/T 12882015策略下發(fā)應(yīng)答以WebMonitorPolicyResponse字段為標識，描述格式見表18。表18策略發(fā)答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TotalCount數(shù)量字符32返回結(jié)果的數(shù)量URLBack返回信息字符32一個返回的URL信息，包括配置的URL和對應(yīng)URLIDID編號字符32URLBack的編號URLID站點信息字符256站點ID，指策略中定義的URL所對應(yīng)的ID，對策略中URL的相關(guān)配置進行修改和刪除可通過此ID進行標識SiteURL站點信息字符256站點URL

29、，指策略中定義的要進行監(jiān)控的某單個站點策略編輯數(shù)據(jù)以WebMonitorPolicyUpdate字段為標識，描述格式見表19。表19策略輯據(jù)本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明WebMonitorPolicyUpdate監(jiān)控策略編輯字符32一次Web監(jiān)控策略編輯，下發(fā)對象包括多個站點PolicyUpdateURL字符32針對一個URL的Web監(jiān)控策略編輯ID編號字符32policyUpdate的編號SiteInfo站點信息字符32站點信息站點檢測功能Usability可用性字符32可用性檢測功能Content內(nèi)容字符32內(nèi)容檢測功能Vul脆弱性字符32脆弱性檢測功能URLID站點ID字符25

30、6指策略中定義的URL所對應(yīng)的ID，對策略中URL的相關(guān)配置進行修改和刪除可通過此ID進行標識OperateState操作類型字符2策略操作類型，1-修改，2-刪除SiteURL站點URL字符256站點URL，策略中定義的進行監(jiān)控的某單個站點IsUse是否使用字符2策略是否被使用，Web一種功能都與一個isUse對應(yīng)，isUse=0表示不使用該功能，isUse=1表示使用該功能SycleSize執(zhí)行周期字符2策略的執(zhí)行周期，分為立即執(zhí)行、分鐘、小時、天、周和月。值域為：0-立即執(zhí)行，1-分鐘，2-小時，3-天， 4-周，5-月13DB11/T 12882015表19略輯據(jù)信息續(xù)）字段名稱基本信

31、息數(shù)據(jù)類型（字節(jié)）說明SycleValue執(zhí)行周期字符2周期值，當執(zhí)行周期選擇除0以外的選項值時才有作用。周期值分別為分鐘 0-601-241-71-52、月 1-12Depth深度字符2檢測的深度，指進行檢測的頁面深度，對于不同的功能模塊定義不同的深度策略執(zhí)行狀態(tài)查詢請求以PolicyStateQueryRequest字段為標識，描述格式見表20。表20策略行態(tài)詢求本信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明PolicyStateQueryRequest狀態(tài)查詢字符32一個執(zhí)行狀態(tài)查詢URLID站點 ID字符256站點ID，是策略中定義的URL對應(yīng)的ID，進行一個或多個URL對應(yīng)檢測狀態(tài)查詢策

32、略執(zhí)行狀態(tài)查詢應(yīng)答以policyStateQueryResponse字段為標識，描述格式見表21。表21策略行態(tài)詢答本信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明PolicyStateQueryResponse狀態(tài)查詢應(yīng)答字符32一個策略狀態(tài)查詢應(yīng)答ResponseState應(yīng)答狀態(tài)字符32在一個URL上執(zhí)行檢測動作的狀態(tài)，包括URLID和動作執(zhí)行的具體狀態(tài)信息URLID站點 ID字符256站點ID，是策略中定義的URL對應(yīng)的ID，進行一個或多個URL對應(yīng)檢測狀態(tài)查詢URLState監(jiān)測狀態(tài)字符41ABCD”：A示站點信息檢測的狀態(tài)，B表示可用性檢測的狀態(tài)，C表示內(nèi)容檢測的狀態(tài)，D在0-30-1-

33、2停止站點信息查詢請求以SiteInfoRequest字段為標識，描述格式見表22。14DB11/T 12882015表22站點息詢求本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明SiteInfoRequest站點信息請求字符32獲取站點信息請求URLID站點 ID字符256站點ID，是策略中定義的URL對應(yīng)的ID，進行一個或多個URL對應(yīng)檢測狀態(tài)查詢站點信息查詢應(yīng)答以SiteInfoResponse字段為標識，描述格式見表23。表23站點息詢答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明SiteInfoResponse站點信息應(yīng)答字符32獲取站點信息應(yīng)答TotalCount數(shù)量字符4返回結(jié)果的數(shù)量Site

34、Info站點信息字符32一個站點信息ID編號字符32一個站點信息的編號URLID站點 ID字符256站點ID，是策略中定義的URL所對應(yīng)的ID，進行一個或多個URL對應(yīng)檢測狀態(tài)查詢Domain網(wǎng)站域名字符32被檢測的網(wǎng)站域名IP主機地址字符32被檢測網(wǎng)站的主機地址Os操作系統(tǒng)字符32網(wǎng)站使用的操作系統(tǒng)WebCon網(wǎng)站容器字符64網(wǎng)站使用的網(wǎng)站容WebName中文名稱字符256網(wǎng)站中文名稱Script腳本語言字符64網(wǎng)站開發(fā)使用的腳本語言SiteURLURL 地址字符256PaperIDPaperID值，Parent=0可用性查詢請求以UsabilityRequest字段為標識，描述格式見表24

35、。表24可用查請基信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明StartTime開始時間字符20查詢開始時間，格式為“yyyy/mm/dd hh-mm-ss”15DB11/T 12882015表24用查請本信（字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明EndTime結(jié)束時間字符20查詢結(jié)束時間，格式為“yyyy/mm/dd hh-mm-ss”Type查詢方式字符10查詢方式，當Type=month時，表示取一個月的平均值并返回；當Type=day時，表示取一天的平均值并返回；當Type=hour 時， 表示取一小時的平均值并返回； 當Type=minute時，表示取一分鐘的平均值并返回URLID站點 I

36、D字符256站點ID，是策略中定義的URL所對應(yīng)的ID，進行一個或多個URL對應(yīng)檢測狀態(tài)查詢UsabilityInfoUsability25。表25可用查應(yīng)基信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明URLID站點 ID字符256站點ID，是策略中定義的URL對應(yīng)的ID，進行一個或多個URL對應(yīng)檢測狀態(tài)查詢Time檢測時間字符32檢測時間，檢測時間對應(yīng)一個檢測結(jié)果HttpResponse網(wǎng)站響應(yīng)速度字符10（ms），Web用性檢測請求里的type字段，返回相應(yīng)的網(wǎng)站響應(yīng)速度平均值脆弱性查詢請求以VulRequest字段為標識，描述格式見表26。表26脆弱查請基信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）

37、說明StartTime開始時間字符20查詢開始時間，格式為“yyyy/mm/dd hh-mm-ss”EndTime結(jié)束時間字符20查詢結(jié)束時間，格式為“yyyy/mm/dd hh-mm-ss”URLID站點 ID字符256站點ID，是策略中定義的URL所對應(yīng)的ID，進行一個或多個URL對應(yīng)檢測狀態(tài)查詢16DB11/T 12882015VulInfo27。表27脆弱查應(yīng)基信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明ID編號字符32vul的編號URLID站點 ID字符256站點ID，是策略中定義的URL對應(yīng)的IDVulTime產(chǎn)生時間字符20脆弱性事件的產(chǎn)生時間VulType漏洞類型字符2檢測出的漏洞

38、類型，返回時以數(shù)字代表，代表關(guān)系為： 1-sql2-XSS3-CGI4-5-CSRF6-表單破解VulName漏洞名稱字符256漏洞掃描設(shè)備檢測出的漏洞名稱VulLevel風險級別字符16漏洞的風險級別VulURL網(wǎng)頁地址字符256存在漏洞的網(wǎng)頁地址CveID國際編號字符64漏洞的國際漏洞庫編號CnnvdID中國編號字符64漏洞的中國漏洞庫編號RequestType請求方式字符32漏洞執(zhí)行的請求方式AutoWireURL 地址字符32注入點的URL地址Parameter參數(shù)字符256檢測漏洞時使用的參數(shù)TestData測試數(shù)據(jù)字符256檢測漏洞時采用的測試數(shù)據(jù)任務(wù)下發(fā)數(shù)據(jù)以VulScanPol

39、icyIssue字段為標識，描述格式見表28。表28任務(wù)發(fā)據(jù)本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明IPIP 地址字符32掃描對象的 IP 地址任務(wù)下發(fā)應(yīng)答以VulScanPolicyResponse字段為標識，描述格式見表29。17DB11/T 12882015表29任務(wù)發(fā)答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TaskID任務(wù) ID字符256掃描器成功收到請求之后，返回一個任務(wù) ID任務(wù)執(zhí)行狀態(tài)查詢請求以TaskStateQueryRequest字段為標識，描述格式見表30。表30任務(wù)行態(tài)詢求本信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TaskID任務(wù) ID字符256掃描器成功收到請求之后，返

40、回一個策略任務(wù) ID任務(wù)執(zhí)行狀態(tài)查詢應(yīng)答以TaskStateQueryResponse字段為標識，描述格式見表31。表31任務(wù)行態(tài)詢答本信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TaskState執(zhí)行狀態(tài)字符2漏掃任務(wù)執(zhí)行狀態(tài)漏洞掃描結(jié)果查詢請求以TaskResultQueryRequest字段為標識，描述格式見表32。表32漏洞描果詢求本信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明TaskID任務(wù) ID字符256掃描器成功收到請求之后，返回一個策略TaskIDScanCount個數(shù)字符256下發(fā)任務(wù)時掃描IP的個數(shù)Message33。表33漏洞描果詢答本信息字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明IP

41、IP 地址字符32漏洞掃描設(shè)備管理IP地址，格式xxx.xxx.xxx.xxxVulID漏洞標識字符32漏洞在漏掃設(shè)備中的唯一標識18DB11/T 12882015表33洞描果應(yīng)答本息續(xù)）字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明VulName漏洞名稱字符32漏洞在漏掃設(shè)備知識庫中的名稱VulGrade威脅程度字符32漏洞的威脅程度分級，將漏洞等級分為很高、高、中、低、很低RelatingThreat影響字符32此漏洞對其他信息及功能的影響ProvIDer提供商字符32漏洞信息提供商PublishedDate發(fā)現(xiàn)時間字符32漏洞發(fā)現(xiàn)時間資產(chǎn)信息查詢請求以AssetInfoQueryRequest字段

42、為標識，描述格式見表34。表34資產(chǎn)息詢求本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明IPIP 地址字符32所 需 查 詢 資 產(chǎn) 的 IP 地 址 ， 單 個 IP 格 式xxx.xxx.xxx.xxx- xxx.xxx.xxx.xxx”AssetInfoAssetInfoIDIP35。表35資產(chǎn)息詢答本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明AssetName資產(chǎn)名稱字符32資產(chǎn)名稱AssetType資產(chǎn)類型字符32資產(chǎn)類型，如網(wǎng)絡(luò)設(shè)備、安全設(shè)備等AssetStatus使用情況字符32資產(chǎn)使用情況OsType操作系統(tǒng)字符32操作系統(tǒng)類型Manufacturer生產(chǎn)廠商字符32設(shè)備生產(chǎn)廠商UseSta

43、tus使用狀態(tài)字符5設(shè)備使用狀態(tài)，分為啟用和停用兩種狀態(tài)，“true”表示啟用，“false”表示停用19DB11/T 12882015表 35 資產(chǎn)信息查詢應(yīng)答基本信息（續(xù)）字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明CpuInfoCPU 信息字符64CPU產(chǎn)品信息，指CPU芯片的生產(chǎn)廠商及型號MemoryInfo內(nèi)存大小字符64內(nèi)存大小HarddiskInfo硬盤信息字符64硬盤品牌及容量WebConsole控制臺地址字符32Web控制臺的IP地址或URLHostName主機名字符32主機名暨設(shè)備系統(tǒng)內(nèi)部定義的名稱PhysicsPosition設(shè)備位置字符32設(shè)備部署或安放的位置User使用人員字

44、符32設(shè)備的使用人員名稱PersonInCharge責任人字符32設(shè)備資產(chǎn)的責任人IP管理地址字符32設(shè)備的管理IP地址MacMAC 地址字符32設(shè)備所含數(shù)據(jù)的MAC地址RiskValue風險值字符32風險值，通過風險評估，資產(chǎn)存在的風險值，取值范圍為0-100，數(shù)值越大風險越高RiskGrade風險等級字符32風險等級，資產(chǎn)風險的等級，定為高、中、低三級RiskTrend風險趨勢字符32描述風險的變化趨勢，分為上升、下降、未變化狀態(tài)獲取類數(shù)據(jù)由多個字段組合在一起形成。字段編寫規(guī)范同6.1。狀態(tài)獲取類數(shù)據(jù)格式參見附錄C。信息安全監(jiān)控系統(tǒng)通過SNMP協(xié)議，周期性向安全設(shè)備輪詢系統(tǒng)狀態(tài)信息。數(shù)據(jù)規(guī)

45、范中使用的SNMP請求和回復命令均為標準SNMP指令，本規(guī)范中只描述通過標準MIB庫信息獲取系統(tǒng)狀態(tài)信息，安全設(shè)備根據(jù)本規(guī)范的要求構(gòu)建標準公有MIB，提供基本系統(tǒng)狀態(tài)信息。數(shù)據(jù)規(guī)范標準公有MIB字段及OID對應(yīng)見表36：表36SNMP基本MIB庫狀態(tài)OID備注系統(tǒng)描述.0系統(tǒng)及硬件信息20DB11/T 12882015表36SNMP本MIB續(xù)）狀態(tài)OID備注IP 地址.0.1.1設(shè)備管理 IP 地址mac 地址.1.6設(shè)備數(shù)據(jù) MAC 地址內(nèi)存大小.1.3虛擬內(nèi)存總量/使用量.1.2物理內(nèi)存總量/使用量磁盤大小.1.4每個磁盤總量/使用量cpu 利用率.3.1.2返回 cpu 使用率(多個 c

46、pu 返回一個數(shù)值)數(shù)據(jù)狀態(tài).1.8獲取數(shù)據(jù)狀態(tài)安全設(shè)備實時向信息安全監(jiān)控系統(tǒng)上報系統(tǒng)操作日志。上報系統(tǒng)日志以ID字段為標識，描述格式見表37。表37上報統(tǒng)志本字段名稱基本信息數(shù)據(jù)類型（字節(jié)）說明date日志時間字符32發(fā)生日志的時間user操作員字符32日志中所描述操作的用戶名EventName日志名稱字符32日志中所描述操作的名稱IP登錄 IP字符32完成操作主機的源IP地址assert設(shè)備名稱字符32接受操作的設(shè)備名logType日志類型字符32系統(tǒng)日志中對日志的分類model設(shè)備功能模塊字符32操作中所涉及到的設(shè)備功能模塊process進程字符32完成操作進行過的進程desc詳細描述字

47、符32日志所報操作的詳細內(nèi)容和操作結(jié)果result執(zhí)行結(jié)果字符32此操作完成程度和結(jié)果21DB11/T 12882015附錄A（資料性附錄）報警信息類數(shù)據(jù)格式示例示例1：公有域格式及字段形式和順序Date:2012/11/14 10-00-00;IP:2;Severity:1;EventCode:112021;EventName:利用Micro soft Outlook Web Access漏洞進行拒絕服務(wù)攻擊;ProtocolType:tcp;SrcIP:;SrcPort:7005; DstIP:5;DstPort:8005;示例2：入侵檢測/防御類專有域格式、字段形式和順序Date:201

48、2/11/1410-00-00;IP:2Severity:1;EventCode:112021;EventName:Microsoft Outlook Web Access擊 ;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;AlarmCou nt:5;Action:禁止;示例3：防病毒類專有域格式、字段形式和順序Date:2012/11/14 10-00-00;IP:2; Severity:1;EventCode:112021;EventName;ProtocolType:tcp;SrcIP:;SrcPort:7005;Ds

49、tIP:5;DstPort:8005;User:kil lileo;Long:512;Site:http/images/Incruit_speaceyellow_8_15.gif;Action:Deleted;示例4：防火墻類專有域格式、字段形式和順序Date:2012/11/14 10-00-00;IP:2; Severity:1;EventCode:112021;EventName;ProtocolType:tcp;SrcIP:;SrcPort:7005;DstIP:5;DstPort:8005;LogDesc: SQL注入攻擊;Action:阻止;示例5：審計類專有域格式、字段形式及順序Date:2012/11/14 10-00-00;IP:2; Severity:1;