TC260-PG-20234A《网络安全标准实践指南——网络安全产品互联互通 告警信息格式》.pdfVIP

TC260-PG-20234A

网络安全标准实践指南

—网络安全产品互联互通告警信息格式

（v1.0-202311）

全国信息安全标准化技术委员会秘书处

2023年11月

本文档可从以下网址获得：

/

前言

《网络安全标准实践指南》（以下简称《实践指南》）是

全国信息安全标准化技术委员会（以下简称“信安标委”）秘

书处组织制定和发布的标准相关技术文件，旨在围绕网络安

全法律法规政策、标准、网络安全热点和事件等主题，宣传

网络安全相关标准及知识，提供标准化实践指引。

I

声明

本《实践指南》版权属于信安标委秘书处，未经秘书

处书面授权，不得以任何方式抄袭、翻译《实践指南》的

任何部分。凡转载或引用本《实践指南》的观点、数据，

请注明“来源：全国信息安全标准化技术委员会秘书处”。

技术支持单位

本《实践指南》得到国家信息中心、中国电子技术标准

化研究院、国家计算机网络应急技术处理协调中心、中国科

学院信息工程研究所、沈阳东软系统集成工程有限公司、北

京天融信网络安全技术有限公司、深信服科技股份有限公司、

杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公

司、安天科技集团股份有限公司、亚信科技（成都）有限公

司、北京升鑫网络科技有限公司等单位的技术支持。

II

摘要

近年来，《网络安全法》《关键信息基础设施安全保护条

例》《党委（党组）网络安全工作责任制实施办法》等法律

法规、政策文件陆续出台，建立健全统一高效的网络安全风

险监测、情报共享、研判处置机制，形成跨部门、跨行业高

效联动的网络安全防护体系，已经成为现代化网络安全保障

体系和保障能力建设的关注重点。网络安全产品互联互通是

高效共享网络安全信息、有效整合网络安全能力的重要基础。

网络安全产品互联互通包括网络安全产品的互联互通

功能和互联互通信息。其中互联互通信息的类型主要分为6

类，包括资产信息、脆弱性信息、威胁信息、行为信息、告

警信息和事件信息。

本实践指南规范了网络安全产品互联互通告警信息的

描述格式，从不同网络安全产品告警信息有效互通和整合的

角度出发，将网络安全产品告警信息类型分为恶意程序告警、

网络攻击告警、数据安全告警、异常行为告警和其他告警5

类，并细分为21个子类，规范了各类告警信息的通用信息和

专有信息格式，并给出对应的字段表，包括字段名称、字段

说明、字段类型以及是否必填等字段。

III

目录

1范围1

2术语和定义1

3缩略语1

4告警分类2

4.1概述2

4.2恶意程序告警2

4.3网络攻击告警3

4.4数据安全告警4

4.5异常行为告警4

4.6其他告警5

5告警信息格式5

5.1概述5

5.2字段类型取值5

5.3告警通用信息6

5.4告警专有信息7

附录A（资料性）告警信息格式示例17

附录B（规范性）网络安全产品互联互通告警信息分类代码20

附录C（规范性）告警相关网络安全产品类别与代码22

参考文献24

1

1范围

本实践指南规定了网络安全产品互联互通时告警信息的描述格

式。

本实践指南适用于网络安全产品互联互通的设计、开发、应用和

测试。

2术语和定义

2.1网络安全产品互联互通cybersecurityproductinterconnect

通过统一的网络安全信息描述和功能接口定义，有效共享网络安

全产品感知或产生的信息，协同不同网络安全产品的功能，支撑监测

预警、信息共享、应急响应、态势感知等应用，提升网络安全防护能

力和网络安全事件处置效率的一种机制。

2