TC260-PG-20234A《网络安全标准实践指南——网络安全产品互联互通 告警信息格式》.docxVIP

TC260-PG-20234A

网络安全标准实践指南

—网络安全产品互联互通告警信息格式

(v1.0-202311)

全国信息安全标准化技术委员会秘书处

2023年11月

本文档可从以下网址获得：

/

I

前言

《网络安全标准实践指南》(以下简称《实践指南》)是全国信息安全标准化技术委员会(以下简称“信安标委”)秘书处组织制定和发布的标准相关技术文件，旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传

网络安全相关标准及知识，提供标准化实践指引。

II

声明

本《实践指南》版权属于信安标委秘书处，未经秘书处书面授权，不得以任何方式抄袭、翻译《实践指南》的任何部分。凡转载或引用本《实践指南》的观点、数据，请注明“来源：全国信息安全标准化技术委员会秘书处”。

技术支持单位

本《实践指南》得到国家信息中心、中国电子技术标准

化研究院、国家计算机网络应急技术处理协调中心、中国科

学院信息工程研究所、沈阳东软系统集成工程有限公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、安天科技集团股份有限公司、亚信科技(成都)有限公司、北京升鑫网络科技有限公司等单位的技术支持。

III

摘要

近年来，《网络安全法》《关键信息基础设施安全保护条例》《党委(党组)网络安全工作责任制实施办法》等法律法规、政策文件陆续出台，建立健全统一高效的网络安全风险监测、情报共享、研判处置机制，形成跨部门、跨行业高

效联动的网络安全防护体系，已经成为现代化网络安全保障

体系和保障能力建设的关注重点。网络安全产品互联互通是

高效共享网络安全信息、有效整合网络安全能力的重要基础。

网络安全产品互联互通包括网络安全产品的互联互通

功能和互联互通信息。其中互联互通信息的类型主要分为6

类，包括资产信息、脆弱性信息、威胁信息、行为信息、告

警信息和事件信息。

本实践指南规范了网络安全产品互联互通告警信息的

描述格式，从不同网络安全产品告警信息有效互通和整合的

角度出发，将网络安全产品告警信息类型分为恶意程序告警、

网络攻击告警、数据安全告警、异常行为告警和其他告警5

类，并细分为21个子类，规范了各类告警信息的通用信息和专有信息格式，并给出对应的字段表，包括字段名称、字段说明、字段类型以及是否必填等字段。

1

目录

1范围 1

2术语和定义 1

3缩略语 1

4告警分类 2

4.1概述 2

4.2恶意程序告警 2

4.3网络攻击告警 3

4.4数据安全告警 4

4.5异常行为告警 4

4.6其他告警 5

5告警信息格式 5

5.1概述 5

5.2字段类型取值 5

5.3告警通用信息 6

5.4告警专有信息 7

附录A(资料性)告警信息格式示例 17

附录B(规范性)网络安全产品互联互通告警信息分类代码 20

附录C(规范性)告警相关网络安全产品类别与代码 22

参考文献 24

1范围

本实践指南规定了网络安全产品互联互通时告警信息的描述格式。

本实践指南适用于网络安全产品互联互通的设计、开发、应用和测试。

2术语和定义

2.1网络安全产品互联互通cybersecurityproductinterconnect

通过统一的网络安全信息描述和功能接口定义，有效共享网络安

全产品感知或产生的信息，协同不同网络安全产品的功能，支撑监测

预警、信息共享、应急响应、态势感知等应用，提升网络安全防护能

力和网络安全事件处置效率的一种机制。

2.2告警信息alarminformation

网络安全产品依据设定的规则或模型，对采集到的网络安全信息

自动进行规则匹配、归并、分析等活动后产生的警示信息。

3缩略语

APT：高级持续性威胁(AdvancedPersistentThreat)CPU：中央处理器(CentralProcessingUnit)

IP：网际互连协议(InternetProtocol)

MD5：信息摘要算法5(Message-DigestAlgorithm5)SHA-1：安全散列算法1(SecureHashAlgorithm1)

SYN：同步序列编号(SynchronizeSequenceNumbers)

2

UDP：用户数据报协议(UserDatagramProtocol)URL：统一资源定