ICS 35.040 A24 DB11 北 京 市 地 方 标 准 DB11/T 1288—2015 电子政务信息安全监控数据规范 Data specification of information security monitoring in electronic government 2015 - 12 - 30 发布 北京市质量技术监督局 2016 - 04 - 01 实施 发 布 DB11/T 1288—2015 目 次 引言 ................................................................................ II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 缩略语 ............................................................................ 1 5 数据交互关系 ...................................................................... 2 6 监控数据类型 ...................................................................... 2 6.1 报警信息类 .................................................................... 2 6.2 通讯交互类 .................................................................... 3 6.3 状态获取类 .................................................................... 3 7 报警信息类数据格式 ................................................................ 3 7.1 基本格式 ...................................................................... 3 7.2 报警信息公共域 ................................................................ 3 7.3 报警信息专有域 ................................................................ 4 8 通讯交互类数据要求 ................................................................ 6 8.1 8.2 8.3 8.4 8.5 8.6 8.7 基本格式 ...................................................................... 6 知识库查询交互数据 ............................................................ 6 审计查询数据 .................................................................. 6 流量查询数据 .................................................................. 9 Web 监控策略下发数据 .......................................................... 12 漏洞扫描策略下发数据 ......................................................... 17 资产信息查询数据 ............................................................. 19 9 状态获取类数据要求 ............................................................... 20 9.1 基本格式 ..................................................................... 20 9.2 设备状态数据 ................................................................. 20 9.3 系统日志数据 ................................................................. 21 附录 A（资料性附录） 报警信息类数据格式示例 ......................................... 22 附录 B（资料性附录） 通讯交互类数据格式示例 ......................................... 23 附录 C（资料性附录） 状态获取类数据格式示例 ......................................... 35 参考文献 ............................................................................ 36 I DB11/T 1288—2015 引 言 随着北京市信息化水平的不断提高，以电子政务为首的信息系统逐渐成为办公办事的主要平台，政 务系统的安全问题也逐渐成为整个社会必须面对的公共安全问题之一。这为政务信息系统的整体安全监 控提出了新目标，但是由于缺少统一的监控数据格式规范，各安全设备生产厂商对数据交互内容的理解 存在差异，增加了数据交互实现的随意性，使得电子政务信息安全监控系统需要耗费大量的时间、人力、 物力来解决与安全设备之间的交互问题，是北京地区电子政务信息安全监控系统建设实际需要。 本标准的应用便于信息安全监控系统出于数据传输或数据集成的目的进行数据访问，提高数据交换 共享的质量和效率，为电子政务监控体系构建提供科学依据和规范性支持。 II DB11/T 1288—2015 电子政务信息安全监控数据规范 1 范围 本标准规定了电子政务信息安全监控数据与信息安全监控系统、安全设备的数据交互关系，监控数 据的类型，报警信息类、通讯交互类和状态获取类数据的格式。 本标准适用于电子政务信息安全监控系统与各类安全设备之间的数据交互关系。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/Z 19669 XML在电子政务中的应用指南 3 术语和定义 GB/T 25069-2010 界定的以及下列术语和定义适用于本文件。 3.1 监控数据 monitoring data 信息安全监控系统从安全设备获取的报警、通讯交互和状态获取等数据信息。 3.2 信息安全监控系统 information security monitoring system 为发现信息安全事件和及时预警提供支撑的信息系统。 3.3 报警信息类数据 alarm information class data 安全设备向信息安全监控系统发送的安全报警数据。 3.4 通讯交互类数据 communication interactive class data 信息安全监控系统与安全设备间进行信息交互的数据。包括信息查询数据和策略下发数据。 3.5 状态获取类数据 state acquisition class data 信息安全监控系统从安全设备获取运行状态和系统日志的数据。 4 缩略语 下列缩略语适用于本文件。 IP：网络之间互连的协议（Internet Protocol） 1 DB11/T 1288—2015 MIB：管理信息库（Management Information Base） OID：对象标识(Object IDentifier) SNMP：简单网络管理协议（Simple Network Management Protocol） UTF：Unicode转换格式（Unicode Transformation Format） URL：统一资源定位符（Uniform Resource Locator） XML：可扩展置标语言（eXtensible Markup Language） 5 数据交互关系 本标准涵盖的安全设备包含但不限于入侵检测/防御类设备、防病毒类设备、防火墙类设备、审计 类设备、Web安全类设备和漏洞扫描类设备。 信息安全监控系统与安全设备间的交互数据包括： a）报警信息类数据：信息安全监控系统接收到的安全设备报警日志数据； b）通讯交互类数据：信息安全监控系统与安全设备间进行信息交互的上下行数据； c）状态获取类数据：信息安全监控系统从安全设备获取运行状态和系统日志时的上下行数据。 信息安全监控数据与信息安全监控系统、安全设备的关系如图1所示： 图1 监控数据与信息安全监控系统和安全设备的关系 6 监控数据类型 6.1 报警信息类 报警信息类监控数据子分类包括： a）入侵检测/防御类设备的报警信息； b）防病毒类设备的报警信息； c）审计类设备的报警信息； d）WEB安全类设备的报警信息； e）防火墙类设备的报警信息； f）其他设备的报警信息。 2 DB11/T 1288—2015 6.2 通讯交互类 通讯交互类监控数据子分类包括： a)知识库查询: 安全设备为信息安全监控系统提供指定报警日志的详细信息和相关知识查询服务 的标准与规范，通过使用知识库唯一标识（事件编号或报警名称）查询条件，获得知识库中相关详细描 述； b)审计