ICS35.040

A24

備案號：64530-2019

DB11

北京市地方標準

DB11/T1288—2015

電子政務信息安全監控數據規范

Dataspecificationofinformationsecuritymonitoringinelectronic

government

2015-12-30發布2016-04-01實施

北京市質量技術監督局發布

DB11/T1288—2015

電子政務信息安全監控數據規范

1范圍

本標準規定了電子政務信息安全監控數據與信息安全監控系統、安全設備的數據交互關系，監控數

據的類型，報警信息類、通訊交互類和狀態獲取類數據的格式。

本標準適用于電子政務信息安全監控系統與各類安全設備之間的數據交互關系。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/Z19669XML在電子政務中的應用指南

3術語和定義

GB/T25069-2010界定的以及下列術語和定義適用于本文件。

3.1

監控數據monitoringdata

信息安全監控系統從安全設備獲取的報警、通訊交互和狀態獲取等數據信息。

3.2

信息安全監控系統informationsecuritymonitoringsystem

為發現信息安全事件和及時預警提供支撐的信息系統。

3.3

報警信息類數據alarminformationclassdata

安全設備向信息安全監控系統發送的安全報警數據。

3.4

通訊交互類數據communicationinteractiveclassdata

信息安全監控系統與安全設備間進行信息交互的數據。包括信息查詢數據和策略下發數據。

3.5

狀態獲取類數據stateacquisitionclassdata

信息安全監控系統從安全設備獲取運行狀態和系統日志的數據。

4縮略語

下列縮略語適用于本文件。

IP：網絡之間互連的協議（InternetProtocol）

1

DB11/T1288—2015

MIB：管理信息庫（ManagementInformationBase）

OID：對象標識(ObjectIDentifier)

SNMP：簡單網絡管理協議（SimpleNetworkManagementProtocol）

UTF：Unicode轉換格式（UnicodeTransformationFormat）

URL：統一資源定位符（UniformResourceLocator）

XML：可擴展置標語言（eXtensibleMarkupLanguage）

5數據交互關系

本標準涵蓋的安全設備包含但不限于入侵檢測/防御類設備、防病毒類設備、防火墻類設備、審計

類設備、Web安全類設備和漏洞掃描類設備。

信息安全監控系統與安全設備間的交互數據包括：

a）報警信息類數據：信息安全監控系統接收到的安全設備報警日志數據；

b）通訊交互類數據：信息安全監控系統與安全設備間進行信息交互的上下行數據；

c）狀態獲取類數據：信息安全監控系統從安全設備獲取運行狀態和系統日志時的上下行數據。

信息安全監控數據與信息安全監控系統、安全設備的關系如圖1所示：

圖1監控數據與信息安全監控系統和安全設備的關系

6監控數據類型

6.1報警信息類

報警信息類監控數據子分類包括：

a）入侵檢測/防御類設備的報警信息；

b）防病毒類設備的報警信息；

c）審計類設備的報警信息；

d）WEB安全類設備的報警信息；

e）防火墻類設備的報警信息；

f）其他設備的報警信息。

2

DB11/T1288—2015

6.2通訊交互類

通訊交互類監控數據子分類包括：

a)知識庫查詢:安全設備為信息安全監控系統提供指定報警日志的詳細信息和相關知識查詢服務

的標準與規范，通過使用知識庫唯一標識（事件編號或報警名稱）查詢條件，獲得知識庫中相關詳細描

述；

b)審計查詢:審計類安全設備為信息安全監控系統提供統計信息查詢、行為審計詳細信息查詢和內

容日志詳細信息查詢的標準與規范，通過使用時間范圍、源/目的ip、源/目的端口和協議等查詢條件，

獲得相應范圍內的網絡行為統計結果和詳細信息，在以上查詢條件的基礎上添加源賬號、目的賬號、是

否攜帶附件、關鍵字和主題等查詢條件，可以查詢網絡行為內容詳細信息；

c)流量查詢:安全設備為信息安全監控系統提供流量信息和流量趨勢查詢服務的標準和規范，通過

使用IP、協議及時間范圍等查詢條件，獲得時間范圍內的流量信息和流量趨勢；

d)資產信息查詢:監控系統為安全設備提供資產信息查詢服務的標準和規范，安全設備或其他系統

通過此數據，進行監控系統上資產信息的查詢，為安全設備提高報警準確性提供依據；

e)Web監控策略下發:安全設備為監控系統提供WEB監控策略下發服務的標準和規范，監控系統通過

此數據將WEB監控策略下發至安全設備，設備使用該監控策略進行監控；

f)漏洞掃描策略下發:安全設備為監控系統提供漏洞掃描策略下發服務的標準和規范，監控系統通

過此數據將漏洞掃描策略下發至安全設備，策略驅動漏洞掃描設備執行一個即時掃描任務，或制定一個

周期性掃描任務計劃；

g)其他交互通訊交互：除以上類別以外的所有交互訊息。

6.3狀態獲取類

狀態獲取類監控數據子分類包括：

a)獲取狀態:周期性向安全設備輪詢系統狀態信息；

b)獲取日志：安全設備實時向信息安全監控系統上報系統操作日志；

c)其他狀態：除以上類別以外的所有狀態獲取數據。

7報警信息類數據格式

7.1基本格式

報警信息類數據由公共域和專有域組成，公共域指報警信息類監控數據的共有信息，專有域指特有

信息。每個域由多個字段拼接而成，所有字段與前字段無間隔。

字段格式形式為：“name:value;”，“name”代表字段名，“value”代表字段值。具體格式如下：

a）字段名與字段值之間為半角的冒號，字段值用半角分號作為字段結束標識；

b）“value”中不應出現冒號、分號以及無意義的空格，不可避免時采用半角反斜杠’\’轉義。

報警信息類數據格式參見附錄A。

7.2報警信息公共域

報警公共域描述格式見表1。

3

DB11/T1288—2015

表1公共域描述格式

字段名稱基本信息數據類型長度（字節）說明

安全設備產生報警日志的時間點，時間戳的數據格式

Date時間戳字符20

為“yyyy/mm/ddhh-mm-ss”

產生報警日志的安全設備管理IP地址，數據格式

IP設備IP地址字符32

“xxx.xxx.xxx.xxx”

報警日志在安全設備中所定義安全等級，規范定義為

Severity報警安全等級字符2三級，用“1、2、3”表示，其意義為1=高、2=中、

3=低

EventCode報警唯一標識字符32安全報警的唯一標識，唯一確定一條或一組報警

EventName報警名稱字符32安全設備對報警信息的定義

報警日志中記錄信息安全事態所使用和涉及的網絡

ProtocolType協議字符16

協議

報警日志中信息安全事態發起方的IP地址，數據格

SrcIP源IP地址字符32

式“xxx.xxx.xxx.xxx”

報警日志中信息安全事態發起方使用的網絡傳輸層

SrcPort源端口字符5

端口號

報警日志中信息安全事態受害方的IP地址，數據格

DstIP目的IP地址字符32

式“xxx.xxx.xxx.xxx”

報警日志中信息安全事態受害方使用的網絡傳輸層

DstPort目的端口字符5

端口號

7.3報警信息專有域

7.3.1入侵檢測/防御類專有域

入侵檢測/防御類專有域描述格式見表2。

表2入侵檢測/防御類專有域基本信息

字段名稱基本信息數據類型長度（字節）說明

AlarmCount報警連續次數字符5安全設備檢測連續發現相同報警的次數

安全設備對信息安全事態的應對方式，用“檢測、阻斷、

Action操作字符10

刪除”表示

可選項字符用于信息的擴展

7.3.2防病毒類專有域

防病毒類專有域描述格式見表3。

表3防病毒類專有域基本信息

字段名稱基本信息數據類型長度（字節）說明

User用戶名字符52被感染病毒主機的用戶名或設備名

4

DB11/T1288—2015

表3防病毒類專有域基本信息(續)

字段名稱基本信息數據類型長度（字節）說明

Long病毒長度字符5被感染病毒的文件大小

Site位置字符256病毒所在位置

防病毒類設備對帶毒文件的處置，用“隔離、清除、放

Action操作字符10

行”表示

可選項字符用于信息的擴展

7.3.3防火墻類專有域

防火墻類專有域描述格式見表4。

表4防火墻類專有域基本信息

字段名稱基本信息數據類型長度（字節）說明

LogDesc日志描述字符52簡要說明產生報警的網絡行為

Action操作字符10對信息安全事態的處置結果

可選項字符用于信息的擴展

7.3.4審計類專有域

審計類專有域描述格式見表5。

表5審計類專有域基本信息

字段名稱基本信息數據類型長度（字節）說明

LogDesc報警描述字符52對報警日志內容的簡要描述

Keyword關鍵字字符20審計檢測規則中設置的關鍵字

審計報警中，網絡行為活動或內容違反的檢測規則所對

RuleID規則標識字符5

應的標識號

可選項字符用于信息的擴展

7.3.5Web安全類專有域

Web安全類專有域描述格式見表6。

表6Web安全類專有域基本信息

字段名稱基本信息數據類型長度（字節）說明

SiteURL網站URL字符52設定進行監測網站的URL地址

下發網站監測策略后，WEB安全類設備針對具體網站策略

URLID網站URL標識字符20

返回的網站URL唯一標識

Descp特征描述字符5風險行為所采用的技術特征

5

DB11/T1288—2015

表6Web安全類專有域基本信息（續）

字段名稱基本信息數據類型長度（字節）說明

AlarmURL報警網頁地址字符52產生報警的網頁地址

Desc輔助信息字符52對報警日志的補充性說明

HttpMethodHttp方法字符20攔截日志信息時，該字段用于指明網絡行為的Http方法

可選項字符用于信息的擴展

8通訊交互類數據要求

8.1基本格式

通訊交互類數據應采用XMLSchema格式。并遵照本規范規定的邏輯結構、元素、元素屬性以及元素

間的關系。

通訊交互類數據格式參見附錄B。

8.2知識庫查詢交互數據

8.2.1知識庫查詢請求數據

知識庫查詢請求以KBRequest字段為標識，描述格式見表7。

表7知識庫查詢請求基本信息

字段名稱基本信息數據類型長度（字節）說明

KBNameID查詢標識字符64知識庫的唯一標識，是知識庫查詢條件

8.2.2知識庫查詢應答數據

知識庫查詢應答以KBResponse字段為標識，描述格式見表8。

表8知識庫查詢應答基本信息

字段名稱基本信息數據類型長度（字節）說明

返回查詢標識在知識庫中所對應的詳細描述內容，未查

KB應答內容字符不限

詢到結果則此字段內容為空

8.3審計查詢數據

8.3.1審計查詢請求數據

審計查詢請求以AuditInfoQueryRequest字段為標識，RequestType字段標識查詢應答的類別，描述

格式見表9。

6

DB11/T1288—2015

表9審計查詢請求基本信息

字段名稱基本信息數據類型長度（字節）說明

查詢限定時間范圍的開始時間，數據格式為

StartTime開始時間字符20

“yyyy/mm/ddhh-mm-ss”

查詢限定時間范圍的結束時間，數據格式為

EndTime結束時間字符20

“yyyy/mm/ddhh-mm-ss”

查詢請求中限定的網絡行為源IP地址，可為單個地址，

SrcIP源IP字符32

也可為地址段

查詢請求中限定的網絡行為目的IP地址，可為單個地址，

DstIP目的IP字符32

也可為地址段

SrcPort源端口號字符5查詢條件中限定的網絡行為源傳輸層端口號

DstPort目的端口號字符5查詢條件中限定的網絡行為目的傳輸層端口號

Protocol應用協議字符64查詢條件中限定的網絡行為所采用的網絡應用協議

Application應用服務字符64應用服務在指定應用前，指定協議類別字段

URL具體URL字符256針對協議類型選擇http協議時，填寫的具體URL

Keyword限定條件字符128內容詳細信息查詢中設置的限定條件

Protocol字段選擇郵件或即時通訊類別時，填寫的發件

SrcAccount發件人賬號字符64

人賬號或者即時通訊賬號

Protocol字段選擇郵件或即時通訊類別時，填寫的收件

DstAccount收件人賬號字符64

人賬號或者即時通訊賬號

行為詳細信息查詢和內容詳細信息查詢中，郵件類查詢

Subject郵件主題字符64

的郵件主題

行為詳細信息查詢中郵件類是否攜帶附件，字段值域為：

HasAttachment是否攜帶附件字符5

Yes/No

Limit最大條數字符5最大條數

查詢類別，RequestType=1表示行為統計信息查詢；

RequestType查詢類別字符2RequestType=2表示行為詳細信息查詢；RequestType=3

表示內容詳細信息查詢

統計分類在查詢類別為行為統計信息查詢時，返回結果

的統計分類依據，包括SrcIP:源IP、DstIP:目的IP、

Classificatio

統計分類字符64Protocol:協議、Application:應用、SrcAccount:發件

n

人、DstAccount:收件人、SrcPort:源端口、DstPort:目

的端口、Day:時間--天、Hour:時間--小時

8.3.2行為統計信息應答數據

7

DB11/T1288—2015

行為統計信息應答以LogStatResponse字段為標識，描述格式見表10。

表10行為統計信息應答基本信息

字段名稱基本信息數據類型長度（字節）說明

Logs結果集字符不限按classification進行統計分類后得到的結果集

TotalCount結果集大小字符32按classification進行統計分類后得到的結果集大小

Log單一結果字符32結果集的一條結果

ID結果編號字符32結果編號

統計分類，當查詢類別為行為統計信息查詢時，返回結

果的統計分類依據，包括SrcIP:源IP、DstIP:目的IP、

Classificatio

統計分類字符64Protocol:協議、Application:應用、SrcAccount:發件

n

人、DstAccount:收件人、SrcPort:源端口、DstPort:目

的端口、Day:時間--天、Hour:時間--小時

ClassifyValue具體值字符64根據Classification字段而返回的具體值

Count數量字符8根據統計條件統計后的數量

Percentage比例字符2百分比

8.3.3行為詳細信息應答數據

行為詳細信息應答以LogDetailResponse字段為標識，描述格式見表11。

表11行為詳細信息應答基本信息

字段名稱基本信息數據類型長度（字節）說明

TotalCount數量字符32返回結果的數量

Log單一結果字符32一個返回結果

ID結果編號字符32一個返回結果的編號

Time統計分類字符20行為日志發生的時間，格式為“yyyy/mm/ddhh-mm-ss”

SrcIP源IP字符32返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”

返回行為日志的目的IP地址，格式為

DstIP目的IP字符32

“xxx.xxx.xxx.xxx”

SrcPort源端口號字符5返回行為日志的源端口號

DstPort目的端口號字符5返回行為日志的目的端口號

返回行為日志的源MAC地址，格式為

SrcMac源MAC地址字符32

“xx-xx-xx-xx-xx-xx”

8

DB11/T1288—2015

表11行為詳細信息應答基本信息（續）

字段名稱基本信息數據類型長度（字節）說明

返回行為日志的目的MAC地址，格式為

DstMac目的MAC地址字符32

“xx-xx-xx-xx-xx-xx”

Protocol應用協議字符64查詢條件中限定的網絡行為所采用的網絡應用協議

SessionSize日志大小字符10返回網絡行為活動日志的大小

SrcAccount發件人賬號字符64源賬號

DstAccount收件人賬號字符64目的賬號

8.3.4內容詳細信息應答數據

內容詳細信息應答以ContentResponse字段為標識，描述格式見表12。

表12內容詳細信息應答基本信息

字段名稱基本信息數據類型長度（字節）說明

TotalCount數量字符32返回結果的數量。

Log單一結果字符32一個返回結果。

ID結果編號字符32一個返回結果的編號。

Time統計分類字符20行為日志發生的時間，格式為“yyyy/mm/ddhh-mm-ss”

SrcIP源IP字符32返回行為日志的源IP地址，格式為“xxx.xxx.xxx.xxx”

返回行為日志的目的IP地址，格式為

DstIP目的IP字符32

“xxx.xxx.xxx.xxx”

源賬號，指內容日志審計為電子郵件時，日志的發件人

SrcAccount發件人賬號字符64

賬號

目的賬號，指內容審計為電子郵件時，日志的收件人帳

DstAccount收件人賬號字符64

戶

Subject郵件主題字符64主題，指當內容審計為電子郵件時郵件的主題

MailSize郵件大小字符32郵件大小，單位為KB

郵件中是否帶附件，值域：true/false，true代表郵件

HasAttachment是否攜帶附件字符6

中存在附件，false代表郵件中不存在附件

8.4流量查詢數據

8.4.1流量信息查詢請求數據

9

DB11/T1288—2015

流量信息查詢請求以FlowStatQueryRequest字段為標識，描述格式見表13。

表13流量信息查詢請求基本信息

字段名稱基本信息數據類型長度（字節）說明

查詢限定時間范圍的開始時間，格式為“yyyy/mm/dd

StartTime開始時間字符20

hh-mm-ss”

查詢限定時間范圍的結束時間，格式為“yyyy/mm/dd

EndTime結束時間字符20

hh-mm-ss”

指定需要查詢流量的IP地址，為單個地址或地址段，單

IPList地址列表字符32個IP格式“xxx.xxx.xxx.xxx”，IP地址段格式

“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”

Protocol應用協議字符32應用協議

流量方向，包括：雙方向、流入、流出，用0、1、2表示，

Direction方向字符2

0表示雙方向，1表示流入，2表示流出

Count數量字符2前TOP多少數據，小于50的整數，0表示全部數據

8.4.2流量信息查詢應答數據

流量信息查詢應答以FlowStatQueryResponse字段為標識，描述格式見表14。

表14流量信息查詢應答基本信息

字段名稱基本信息數據類型長度（字節）說明

TotalCount數量字符2前TOP多少數據，小于50的整數，0表示全部數據

FlowIP流量字符32對應一個IP的一個返回結果

ID編號字符32一個返回結果的編號

標簽內的流量信息為此IP產生，格式為

IPIP地址字符32

“xxx.xxx.xxx.xxx”

FlowSize流量大小字符32流量大小，每個流量大小標簽對應一個協議

流量信息查詢所基于的網絡協議，查詢條件為單個協議

查詢時，返回所查詢的協議對應的流量大小；查詢條件

Protocol協議字符32

為多個協議查詢時，則返回統計流量總和以及每個協議

對應的流量大小

8.4.3流量趨勢查詢請求數據

流量趨勢查詢請求數據以FlowTrendQueryRequest字段為標識，查詢條件包括時間段、IP地址、流

量方向、返回方式和協議，描述格式見表15。

10

DB11/T1288—2015

表15流量趨勢查詢請求基本信息

字段名稱基本信息數據類型長度（字節）說明

查詢限定時間范圍的開始時間，格式為“yyyy/mm/dd

StartTime開始時間字符20

hh-mm-ss”

查詢限定時間范圍的結束時間，格式為“yyyy/mm/dd

EndTime結束時間字符20

hh-mm-ss”

指定需要查詢流量的IP地址，為單個地址或地址段，單

IPList地址列表字符32個IP格式“xxx.xxx.xxx.xxx”，IP地址段格式

“xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx”

Protocol應用協議字符32應用協議

流量方向，包括：雙方向、流入、流出，用0、1、2表示，

Direction方向字符2

0表示雙方向，1表示流入，2表示流出

查詢結果返回方式，當ReturnType=month時，表示返回

結果時以月為單位；當ReturnType=day時，表示返回結

ReturnType返回方式字符10果時以天為單位；當ReturnType=hour時，表示返回結果

時以小時為單位；當ReturnType=minute時，表示返回結

果以分鐘為單位

8.4.4流量趨勢查詢應答數據

流量趨勢查詢應答數據以FlowTrendQueryResponse字段為標識，描述格式見表16。

表16流量趨勢查詢應答基本信息

字段名稱基本信息數據類型長度（字節）說明

TotalCount數量字符2前TOP多少數據，小于50的整數，0表示全部數據

FlowIP流量字符32對應一個IP的一個返回結果

ID編號字符32一個以IP為基準的返回結果的編號

IPIP地址字符32流量趨勢查詢的IP地址，每個IP地址對應多個FlowTime

FlowTime結果時間字符20一個時間點對應的返回結果

返回結果中的時間點，流量趨勢查詢數據中ReturnType

字段指定了返回結果中時間的單位：ReturnType=month

Time時間點字符20時，時間以月為單位；ReturnType=day時，時間以天為

單位；ReturnType=hour時，時間以小時為單位；

ReturnType=minute時，時間以分鐘為單位

FlowSize流量大小字符10流量大小信息，單位為KB

11

DB11/T1288—2015

表16流量趨勢查詢應答基本信息（續）

字段名稱基本信息數據類型長度（字節）說明

協議信息，查詢條件為單個協議查詢時，返回所查詢的

協議，“xxx”代表協議名稱；查詢全部協議時，返回all

Protocol協議字符32

項；查詢條件為多個協議查詢時，返回多個協議對應的

項，此時流量大小標記有多項

8.5Web監控策略下發數據

8.5.1策略下發數據

策略下發數據以WebMonitorPolicyIssue字段為標識，描述格式見表17。

表17策略下發數據基本信息

字段名稱基本信息數據類型長度（字節）說明

PolicyIssue策略主題字符32針對一個站點的web監控策略下發

ID編號字符32policyIssue的編號

策略中定義的站點，對此站點進行監控，站點為單個站

SiteURL站點地址字符256

點

SiteInfo站點信息字符32站點信息站點檢測功能

Usability可用性字符32可用性檢測功能

Content內容字符32內容檢測功能

Vul脆弱性字符32脆弱性檢測功能

策略是否被使用，Web監控策略所包括的四種功能中，每

IsUse是否使用字符2一種功能都與一個isUse對應，isUse=0表示不使用該功

能，isUse=1表示使用該功能

策略的執行周期，分為立即執行、分鐘、小時、天、周

SycleSize執行周期字符2和月。值域為：0-立即執行，1-分鐘，2-小時，3-天，

4-周，5-月

周期值，當執行周期選擇除0以外的選項值時才有作用。

SycleValue執行周期字符2周期值分別為分鐘0-60、小時1-24、天1-7、周1-52、

月1-12

檢測的深度，指進行檢測的頁面深度，對于不同的功能

Depth深度字符2

模塊定義不同的深度

8.5.2策略下發應答數據

12

DB11/T1288—2015

策略下發應答以WebMonitorPolicyResponse字段為標識，描述格式見表18。

表18策略下發應答基本信息

字段名稱基本信息數據類型長度（字節）說明

TotalCount數量字符32