《信息安全技术 网络安全产品互联互通 告警信息格式》.docxVIP

Q/LB.□XXXXX-XXXX

PAGE2

ICS

FORMTEXT35.030

CCS

FORMTEXTL80

中华人民共和国国家标准

FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXX

FORMTEXT?????

信息安全技术网络安全产品互联互通

告警信息格式

Informationsecuritytechnology-CybersecurityproductInterconnection-Alarminformationformat

FORMTEXT(点击此处添加与国际标准一致性程度的标识)

征求意见稿FORMDROPDOWN

2023年11月23日

FORMDROPDOWN

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

`

STYLEREF标准文件_文件编号GB/TXXXXX—XXXX

PAGEIII

STYLEREF标准文件_文件编号GB/TXXXXX—XXXX

PAGE4

信息安全技术网络安全产品互联互通告警信息格式

范围

本文件规定了网络安全产品互联互通时告警信息的描述格式。

本文件适用于网络安全产品互联互通的设计、开发、应用和测试。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20986-2023信息安全技术网络安全事件分类分级指南

GB/T25066-2020信息安全技术信息安全产品类别与代码

GB/T25069-2022信息安全技术术语

GB/TXXXXX-XXXX信息安全技术网络安全产品互联互通框架（报批稿）

术语和定义

GB/T25069-2022界定的以及下列术语和定义适用于本文件。

网络安全产品互联互通cybersecurityproductinterconnectivity

通过统一的网络安全信息描述和功能接口定义，有效共享网络安全产品感知或产生的信息，协同不同网络安全产品的功能，支撑监测预警、信息共享、应急响应、态势感知等应用，提升网络安全防护能力和网络安全事件处置效率的一种机制。

[来源：GB/TXXXXX-XXXX3.2]

告警信息alarminformation

网络安全产品依据设定的规则，对采集到的网络安全信息自动进行规则匹配、归并、分析等活动后产生的警示信息。

缩略语

APT：高级持续性威胁（AdvancedPersistentThreat）

CPU：中央处理器（CentralProcessingUnit）

IP：网际互连协议（InternetProtocol）

MD5：信息摘要算法5（Message-DigestAlgorithm5）

SHA-1：安全散列算法1（SecureHashAlgorithm1）

SYN：同步序列编号（SynchronizeSequenceNumbers）

UDP：用户数据报协议（UserDatagramProtocol）

URL：统一资源定位符（UniformResourceLocator）

告警分类

概述

本文件参考GB/T20986-2023中规定的网络安全事件分类，将网络安全产品互联互通告警分为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警5类，每个类别分别包括若干子类。

本文件将告警信息分为重要告警信息和一般告警信息两级。

恶意程序告警

恶意程序告警包括计算机病毒告警、网络蠕虫告警、特洛伊木马告警、僵尸网络告警、恶意代码内嵌网页告警、勒索软件告警和挖矿软件告警7个子类，具体如下：

计算机病毒告警：发现传播或利用恶意程序，影响计算机使用，破坏计算机功能，毁坏或窃取数据，发出警示；

网络蠕虫告警：发现利用网络缺陷，通过网络自动复制并传播网络蠕虫，发出警示；

特洛伊木马告警：发现传播或利用具有远程控制功能的恶意程序，实现非法窃取或截获数据，发出警示；

僵尸网络告警：发现利用僵尸工具程序形成僵尸网络，发出警示；

恶意代码内嵌网页告警：发现受害对象在访问被嵌入恶意代码而受到污损的网页时，该恶意代码在访问该网页的计算机系统中安装恶意软件，发出警示；

勒索软件告警：发现采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权，并籍此向用户索取赎金，发出警示；

挖矿软件告警：发现以获得数字加密货币为目的，控制他人的计算机并