ICS35.040

L80

中華人民共和國國家標準

GB/TXXXXX.3—XXXX

信息安全技術政府部門互聯網安全接入要

求第3部分：網絡安全監測服務接口技術

規范

InformationsecuritytechnologyRequirementsforgovernmentdepartmentsecure

Internetconnection—Part3:Technicalspecificationforcybersecuritymonitoringand

servinginterface

（草案）

（本稿完成日期：2014-4-30）

XXXX-XX-XX發布XXXX-XX-XX實施

GB/TXXXXX.3—XXXX

目次

前言.................................................................錯誤！未定義書簽。

引言.................................................................................II

1范圍................................................................................1

2規范性引用文件......................................................................1

3術語、定義和縮略語..................................................................1

4CMSI概述............................................................................1

5CMSI接口通信連接要求................................................................2

6CMSI接口功能要求....................................................................3

6.1終端狀態信息匯總功能............................................................3

6.2網絡攻擊特征下發功能............................................................3

6.3網絡安全事件下發功能............................................................3

6.4網絡安全態勢預警信息下發功能....................................................3

6.5網絡安全自主監測事件上報功能....................................................3

6.6終端惡意代碼特征下發及查詢功能..................................................3

6.7網絡安全事件NAT日志查詢功能....................................................3

7CMSI接口流程要求....................................................................4

7.1終端狀態信息匯總接口流程........................................................4

7.2網絡攻擊特征監測接口流程........................................................4

7.3網絡安全事件下發接口流程........................................................5

7.4網絡安全態勢預警信息下發接口流程................................................6

7.5網絡安全自主監測事件上報接口流程................................................6

7.6終端惡意代碼特征下發及查詢接口流程..............................................7

7.7網絡安全事件NAT日志查詢接口流程................................................8

I

GB/TXXXXX.3—XXXX

引言

隨著現代信息技術的快速發展，互聯網在政府各部門得到了廣泛應用，對于政府部門履行社會管理

和公共服務職能，加強政府有效管理，促進政府職能轉變，提高行政辦事效率和管理水平，推動政務公

開發揮重要作用。與此同時，目前政府部門互聯網安全管理還存在薄弱環節，管理制度尚不完善，缺乏

統一的規劃和標準，各部門接入互聯網的入口數量眾多,安全防護水平參差不齊,互聯網接入成為信息安

全管理中的薄弱環節和“短板”，使政府部門信息安全面臨新的威脅和風險。因此，迫切需要規范政府

部門互聯網接入工作，減少互聯網入口數量，增強互聯網接入的安全防護能力，提高政府部門信息系統

的防攻擊、防篡改、防惡意代碼、防癱瘓和防竊密能力。

為推進政府部門互聯網安全接入工作，特制定本要求,用于指導政府部門建設互聯網安全接入口，

選擇合適的第三方服務商，并實現政府部門和政府信息安全主管部門的安全管理與防護的聯動。

II

GB/TXXXXX.3—XXXX

信息安全技術政府部門互聯網安全接入要求第3部分：網絡安全

監測服務接口技術規范

1范圍

GB/TXXXXX—XXXX的第3部分規定了安全接入口的聯動代理與政府信息安全主管部門的網絡安全監

測服務系統之間的網絡安全監測服務接口技術規范，包括通信連接要求、功能要求和接口流程要求。

本部分適用于政府部門建設的安全接入口和互聯網數據中心業務提供商建設的安全接入口。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20269-2006信息安全技術信息系統安全管理要求

GB/Z20986-2007信息安全事件分類分級指南

GB/T22239-2008信息安全技術信息系統安全等級保護基本要求

GB/T25069-2010信息安全技術術語

GB/TXXXXX.1—XXXX信息安全技術政府部門互聯網安全接入要求第1部分：基本要求

3術語、定義和縮略語

GB/T25069-2010和GB/TXXXXX.1—XXXX中界定的術語、定義和縮略語適用于本文件。

4CMSI概述

網絡安全監測服務接口（CMSI）是網絡安全監測服務系統（CMSS）與安全接入口的聯動代理(LA)

之間的外部數據接口，簡稱CMSI接口。

網絡安全監測服務系統（CMSS）是指政府網絡信息安全主管部門所運行管理的，為接入互聯網的政

府部門網絡提供網絡安全監測服務的系統。CMSS通過CMSI接口與該政府網絡安全主管部門管轄范圍下的

各個政府部門的安全接入口聯動代理(LA)連接，并為安全接入口的安全防護、安全管理以及日志服務器

等設備提供網絡攻擊監測特征推送、網絡攻擊監測事件數據匯總分析、網絡安全事件數據推送、網絡安

全態勢預警數據推送、上網終端惡意代碼特征推送查詢、政府部門終端狀態信息匯總、網絡安全事件NAT

日志查詢等監測服務功能。

聯動代理(LA)是部署在政府部門安全接入口的通信代理設施。LA與CMSS系統連接，并且與安全接入

口的安全防護、安全管理、日志服務器等相關設備連接。LA負責CMSS系統與安全接入口的安全防護、安

全管理、日志服務器等之間的監測服務數據通信代理轉發。

本文件規定了CMSI接口通信要求、功能要求及接口流程規范。CMSI與LA、CMSS之間的關系如圖1所

示：

1

GB/TXXXXX.3—XXXX

圖1CMSI接口示意圖

5CMSI接口通信連接要求

CMSI接口進行數據傳輸時采用XML-RPC協議，并使用HTTPS進行可靠安全傳輸，調用參數與返回值一

律采用struct類型（關于XML-RPC協議規范可以參見/spec.html）。

網絡安全監測服務系統CMSS與聯動代理LA通過CMSI接口建立連接傳輸數據前，需通過聯動代理的身

份鑒別。認證方式采用授權IP地址、證書和帳號口令三種方式相結合，CMSS只接受已經通過上述認證的

數據通信請求。授權IP地址、頒發證書和帳號口令流程如下：

a)政府部門向政府網絡安全主管機構報送需要與CMSS系統對接的聯動代理公網IP地址，政府網

絡安全主管機構驗證確認IP地址正確無誤；

2

GB/TXXXXX.3—XXXX

b)CMSS系統登記IP地址，并關聯安全接入口聯動代理及其授權IP地址；

c)CMSS系統向聯網政府部門及其安全接入口聯動代理頒發證書及帳號口令，其中證書更新周期

為1年，口令更新周期為3個月。

6CMSI接口功能要求

6.1終端狀態信息匯總功能

CMSI實現從安全接入口安全管理設備定時向網絡安全監測服務系統上傳政府部門活躍上網終端的

數量，各活躍終端內網IP地址、主機名、MAC地址等信息。

6.2網絡攻擊特征下發功能

CMSI實現從網絡安全監測服務系統向安全接入口安全防護設備下發網絡攻擊監測特征。網絡攻擊監

測用于監測政府部門網絡安全事件，安全事件類型包括但不限于蠕蟲、木馬、僵尸網絡、漏洞利用、網

站后門、網頁篡改。

安全接入口相關設備和系統應保證網絡安全監測服務系統網絡攻擊監測特征存儲和傳輸的安全。

6.3網絡安全事件下發功能

CMSI實現從網絡安全監測服務系統向安全接入口安全管理設備下發網絡安全事件數據。網絡安全事

件數據是指政府主管部門收集或自行監測到的涉及相關聯網政府部門的網絡安全事件數據，該聯網政府

部門根據接收到的事件信息進行網絡安全處置。

6.4網絡安全態勢預警信息下發功能

CMSI實現從CMSS系統向安全接入口安全管理設備下發網絡安全態勢預警數據。網絡安全態勢預警數

據是指政府主管部門掌握的網絡安全漏洞預警信息、網絡攻擊前期預警信息等數據，聯網政府部門根據

接收到的預警信息開展前期應對措施（包括軟硬件系統漏洞修復、系統加固等）。

6.5網絡安全自主監測事件上報功能

CMSI實現從安全接入口安全防護設備向CMSS系統上報網絡安全事件數據，上報的網絡安全事件數據

僅限于由CMSS下發的網絡攻擊監測特征所監測發現。

6.6終端惡意代碼特征下發及查詢功能

CMSI實現從CMSS系統向終端安全防護軟件下發聯網終端惡意代碼特征（包括但不限于惡意代碼文件

名、MD5值、文件特征碼和注冊表鍵值等），并接收惡意代碼特征掃描情況的反饋以及掃描到的疑似惡

意代碼樣本。

終端惡意代碼特征的查詢是一次性查詢，終端安全防護軟件接收惡意代碼特征查詢要求后，按代碼

特征對終端主機進行一次性查詢掃描，然后上傳掃描結果及疑似惡意代碼樣本。

終端特征碼描述表達式P，P形如單個TypeName:Offset:TypeValue鍵指對，或者多個TypeName:

Offset:TypeValue鍵指對的邏輯與、邏輯或、邏輯非的組合。特征鍵TypeName可以是惡意代碼文件名

Filename,MD5值FileMd5,文件特征碼FileBinaryFragment,注冊表鍵RegKey，特征值TypeValue是字

符串或者二進制數據的ASCII碼串，匹配偏移量Offset是指字符串或者二進制數據的ASCII碼串的起始匹

配位置（Offset是整數，0表示從首位位置開始匹配）。

6.7網絡安全事件NAT日志查詢功能

3

GB/TXXXXX.3—XXXX

實現網絡安全事件中內網IP地址（NAT轉換前的內網地址）查詢功能，根據公網IP地址、公網端口、

對端IP地址、對端端口、時間等數據，檢索終端內網IP地址，終端內網端口，終端MAC地址等數據。

7CMSI接口流程要求

7.1終端狀態信息匯總接口流程

安全接入口安全管理設備對活躍上網終端數量、內網IP地址、主機名、MAC地址進行管理，并通過

CMSI定時向CMSS系統上傳政府部門上網終端的上述狀態信息。更新頻率不低于每5分鐘1次。詳細流程如

圖2所示：

時機：安全接入口終端管理系統收集到各上網終端狀態信息

發起方：LA

接收方：CMSS

圖2終端狀態監測數據上報流程

7.2網絡攻擊特征監測接口流程

安全接入口入侵檢測/入侵防御設備應能通過CMSI接口接收CMSS系統推送的網絡攻擊監測特征，并

根據接收到的特征對政府部門之間的內部網絡流量、經由安全接入口的互聯網流量進行監測。詳細流程

如圖3所示

時機：CMSS系統有新增特征規則，并且需要下發給安全接入口安全管理系統

發起方：CMSS

接收方：IA

4

GB/TXXXXX.3—XXXX

圖3特征規則下發流程

7.3網絡安全事件下發接口流程

網絡安全事件下發是指CMSS系統將判定為惡意的事件數據通過CMSI接口下發至安全接入口安全管

理系統上，供用戶單位處置。詳細流程如圖4所示：

時機：CMSS系統監測到惡意程序事件

發起方：CMSS

接收方：LA

圖4惡意事件下發流程

5

GB/TXXXXX.3—XXXX

7.4網絡安全態勢預警信息下發接口流程

網絡安全態勢預警下發是指CMSS系統將監管部門掌握到的最新網絡安全態勢數據以及預警信息數

據下發至安全接入口安全管理系統上，供用戶單位應對和處置參考。詳細流程如圖5所示：

時機：CMSS系統有新的態勢數據或預警信息

發起方：CMSS

接收方：LA

圖5態勢和預警信息下發流程

7.5網絡安全自主監測事件上報接口流程

網絡安全自主監測事件是指安全接入口安全防護檢測設備(入侵檢測、入侵防御、防火墻等設備）

判定為可疑或惡意的事件數據（僅由CMSS系統推送特征產生的監測數據）通過CMSI接口上報至CMSS系統

上，供監管部門關聯分析判定。詳細流程如圖6所示：

時機：安全接入口安全防護檢測設備監測到可疑或惡意程序事件

發起方：LA

接收方：CMSS

6

GB/TXXXXX.3—XXXX

圖6可疑或惡意的事件數據上報流程

7.6終端惡意代碼特征下發及查詢接口流程

安全接入口應能通過CMSI接口