《信息安全技术 网络安全产品互联互通 告警信息格式》编制说明.docxVIP

国家标准报批材料

PAGE1

国家标准《信息安全技术网络安全产品互联互通告警信息格式》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术网络安全产品互联互通告警信息格式》由国家信息中心负责承办，计划号：202XXXXX-T-469。本标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景

网络安全产品作为掌握网络运行状况、预警网络安全威胁和隐患的要素，由于安全设置策略、厂商技术路线、知识产权和专利等因素，存在着接口规范不统一、业务应用和数据难以融合的问题。亟需打通防护、分析、检测、处置等不同类别安全产品间的互联互通通道，实现对安全事件的快速应对，最大化发挥各领域安全产品协同效能，有效解决由于信息格式不统一带来的信息内容难以有效整合利用、同一事件重复告警导致应急处置效率较低等问题，有利于提高网络安全综合保障能力。

在网络安全产品所需要交换的数据之中，告警信息是网络安全产品进行安全风险分析和态势感知的基础，通常包括告警名称、告警类型、IP、端口、协议等信息，是网络安全产品之间需要交换的重要信息。

为了满足网络安全产品互联互通的需求，本标准拟在国家标准《信息安全技术网络安全产品互联互通框架》所规划的框架下，对网络安全产品报送的告警信息结构和数据格式进行规范,给出各类告警的信息结构和数据格式，指导网络安全产品互联互通工作建设。

1.3起草过程

（1）前期工作

2022年7月，为落实《网络安全法》《关键信息基础设施安全保护条例》《党委（党组）网络安全工作责任制实施办法》等法律法规、政策文件提出的建立跨部门、跨行业高效联动的现代化网络安全防护能力要求，推动网络安全产品互联互通，中国网络安全产业联盟成立了网络安全产品互联互通标准工作组。工作组围绕网络安全产品互联互通存在的信息交互格式不统一的问题，按照2022年立项的国家标准《信息安全技术网络安全产品互联互通框架》的规划设计，组织研制了《信息安全技术网络安全产品互联互通告警信息格式》技术规范，用于解决告警信息数量增长迅速，告警信息格式、粒度不统一带来的处理难度增加等日益显著的问题。

2022年9月，经充分考虑各行业客户对告警信息互联互通的需求，结合实际项目工程经验，参考国内外相关标准，形成团体标准《信息安全技术网络安全产品互联互通告警信息格式（草案）》。

2022年11月至2023年1月，工作组组织国家信息中心、天融信、深信服等10余家用户单位和安全厂商，开展技术规范试点验证工作，选取典型应用场景、典型产品和真实数据，对技术规范内容合理性和可操作性进行验证。验证内容主要包括告警分类与告警信息数据格式，总表格数28项。围绕恶意程序、网络攻击、数据安全、异常行为及其他告警等5大类，共计263个字段进行验证。其中，必填字段72项，选填字段191项。验证选取的产品包括态势感知、网络入侵检测、EDR、防火墙、安全监测等10类，共计14款产品，有8款产品对28项告警表格的适用性超过60%。试点验证结果显示标准和实际产品和工程项目的符合情况较好，必填字段平均符合率为80.93%，可选字段平均符合率47.39%。

2023年4月，工作组就团体标准《信息安全技术网络安全产品互联互通告警信息格式（征求意见稿）》公开征求意见，收到26条意见反馈后对文本进行修改完善。后续工作转为网络安全标准实践指南工作进行。

2023年8月，全国信息安全标准化技术委员会发布《网络安全标准实践指南——网络安全产品互联互通告警信息格式（征求意见稿）》，面向社会征求意见。征求意见稿规定了网络安全产品互联互通时告警信息的描述格式，其适用于网络安全产品互联互通功能的设计、开发、应用和测试。征求意见稿从不同网络安全产品告警信息有效互通和整合的角度出发，将网络安全产品告警信息类型分为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警等五类，并细分为二十一个子类，规定了各类告警信息的通用信息和专有信息格式，并给出对应的字段表，包括字段名称、字段说明、字段类型以及是否必填等字段。

（2）基础研究和调研

组建标准编制项目组，从相关政策法规、标准规范、典型重点行业等角度对国内外网络安全产品互联互通工作现状进行调研，对现有网络安全告警信息进行梳理，研究网络安全产品互联互通过程中的告警信息需求，为编制工作提供借鉴。

（3）编制标准草案

依据调研结果，编制标准框架和初稿，邀请国家网络安全相关主管部门、重点行业应用单位、安全厂商等，组织召开意见征询会，根据征询意见，调整框架并形成《信息安全技术网络安全产品互联互通告警信息格式（草案）V1.0》。

标准立项

2023年7月4日，信安标委在北京组织召开立项评审会，与会专家对本标准