【行业标准】 国家网络安全应急处理平台安全信息获取接口要求

ICS 33.040
中华人民共和国通信行业标准
YD/T 2251-2011
国家网络安全应急处理平台安全信息获取接口要求
National network security emergency responsing platform interfacespecification for security information access2011-06-01 发布
2011-06-01实施
中华人民共和国工业和信息化部发布前：
范围·
规范性引用文性
术语和定义
缩略语
5系统概述
安全事件分类
6.1：安全事件基本类型-
6.2状态信息类安全事件分类
6.3恶意代码类安全事件分类
6.4攻击入侵类安全事件分类
6.5信息危害类安全事件分类
6.6设备设施故障类安全事件分类6.7安全事件详细分类..
7安个事件分级
7.1信息系统和网络分级-
7.2安全事件级别定义·
8安全事件统一描述格式..
9数据交换的相关要求-
9.1应工报的安全事件子类型及其基本信息·9.2安全事件子类型上报时焉填写的基本信息.应上报的安金事件级别
9.4事件归并要求·
9.5安金事件上报的数错格式要求·9.6安全事件实时传输要求
9.7安全事件数据的批量传输的通信协议·次
附录A（规范性附录）安全事件统一摧述格式中的编码规范附录B（规范性附录）安全事件数据格式的Schema定义：附录C（参考性附录）部分重点事件填写参考参考文献
TTTKAONATKACA
YD/T2251-2011
YD/T2251-2011
本技术规定根据国家网络安全应急处置的要求，参考GB/T2260-2007《中华人民共和国行政区划代码券、GB/Z20986-2007&信息安全技术信息安全事件分类分级指南、GB/T22240-2008信息安全技术信息系统安全等级保扩定级指南净、YD/T1827-2008网络安全事件描迷和交换格式\、YD/T1729-2008《电信网和互联网安全等级保护实施指南》等相关国际国内标准，同时考虑到国内电信运营商网络安全事件管理系统或网管系统的实际情况制定而成。本技术规定主要由网络安全事件分类分级、事件数据格武交换要求组成。
本技术规定的附录A和附录B作为规范性目录，附录C作为资料性附录。本技术规定由中国通信标推化协会提出并归口。本技术规定起草单位：国家计算机网络应急技术处理协调中心，清华大学、中国科学院让算技术研究所、中国联合网络通信集团有限公司、中国电信集团公司、中国移动通信集团公司、北京启明星辰信息安全技术有限公司、北京天融信公司、中兴通讯股份有限公司、东软集团股份有限公司、哈尔滨安天科技股份有限公司。
本技术规定主要起草人：袁春阳、孙东红、周勇林、舒敏、焦绪录、殿丽华、林平、何清林，张超、王键斌、汤泰鼎、刘仁勇、李青山、徐晓琳、肖新光、纪玉寿、徐、原、赵阳、刘楠。TTKANYKACA
1范围
YD/T2251-2011
国家网络安全应急处理平台安全信息获取接口要求本标准规定了网络安全应急处理平台与基础电信网络或重要信息系统的集中式网络安全事件管理系统或网管系统的接口，包括接口的功能要求和接口协议。本标准主要适用于网络安全应急处理平台、集中式网络安企事件管理系统及网管系统。2规范性引用文件
下列文件中的条款通过本技术规定的引用而成为本技术规定的条款。凡是注口期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本技术规定。然面，鼓励根据本技术规定达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本技术规定。
GB/T 2260-2007
3术语和定义
中华人民共和国行政区划代码
下列术语和定义适用于本文件。3.1
安全事件SecurityEvent
由计算机信息系统或者网络中的各种计算机设备，例如主机，网络设备、安全设备等发现片记录下的各种可疑活动以及产生的各类故障事件等。3.2
网络设备NetworkDevice
承担网络通信的设备，主要包括路由器、交换机等。3.3
安全设备SecurityDevice
承担某种安全职责的传统设备，主要包括防火增、入侵检测系统等。3.4
操作系统OperatingSystem
在服务器或客户端运行的系统软件，负责管理各种系统资源，如WindowsNT/2000/XP、Linux，Unix等3.5
应用系统ApplicationSystem
负责提供某种特定服务的软件系统，如Web、Ftp、Mail、DBMS等。3.6
威胁Threat
对系统、组织及其密产构成潜在破坏能力的可能性因素或者事件。3.7
漏洞Vulnerability
TTIKANYKACA
YD/T 2251-2011
在系统的设计、实现或者运行和管理中的缺陷或弱点，这些缺陷或弱点可能会被利用，以突破系统的安全策略，其中部分具有国际上通用的心VE编号。3.8
安全对象Security Object
土要分为网元设备、安全基础防护系统、安全支撑系统。比如，主机服务器、交换机、路由器等为网元设备，如防火墙、入侵监测系统、反病毒系统等为安全基础防护系统；日志审计系统、账号口令管理系统、VPN系统、终端管理等为安全支撑系统。3.9
XML模式XMLSchema
万维网联盟（WorldWideWebConsartium）W3C推荐的XML标准，用来定义XML文档和相关规范，以便提供一种灵活的方法来描述用于标记XML文档的合法构建模块。3.10
国家网络安全应急处理平台NationalNatworkSecurityEmergencyResponsingPlatform为发现整体性安全事件和及时预警提供支撑的技术平台，接收来自运营商和重要信息系统等的各类安全事件，并进行综合汇总、分析。以下简称“应意处理平台”。3.11
集中式网络安全事件管理系统Gentralized Network Security Events Managerment System能够将来白网络传输设备（如路由器、交换机）、网络安全设备【如防火墙、入侵检测系统）等安全对象的安全信息进行集分析和统一处理的管理系统。本标准中的集中式网络安全事件管理系统，是指基础电信网络或重婴信息系统网络的集中式网络安全事件管理系统，如SOC中心，4A系统等。3.12
安全管理系统SecurityManagementSystem本标准的安企管理系统是指集中式网络安全事件管理系统、网管系统以及其他相关管理系统。4缩略语
下列缩略语适用于木文件。
Account/Authentication/AuthorizationfAuditDataBaseManagementSystem
Host Based Intrusion DetectionIntrusion Detection Systen
Intrusion Prevention Systen
Network Traffic Management SystemNetworkBased Intrusion DetectionSecurity Operation Center
Terminal Management System
United Threat Management
Virtual Private Network
eXtensible Markup Language
TTIKANYKACA
账号认证/授权/审计
数据库管理系统
主机入授检测系统
入检测系统
入侵防护系统
网络业务管理系统
网络入侵检测系统
安全管理中心
终端管理系统
统一威胁管理
虚拟专用网
可扩展标识语酉
5系统概述
应急处理乎台与安全管理系统的接口关系如图1所示。网络安全设备
(FW,JDS)
网露传输设备
（由器、
交换机）
典中或网络安全
事件管理系统
（SOC、4A举）
网管系
安全替理系统
图1国家网络安全应急处理平台与安全管理系统的接口关系YD/T2251-2011
国家网络
安金应曾
外理平自
应急处理平台从安全管理系统中粪取安全事件。本标准对这些事件进行分类分级，实现统一描述，并结合跨多自治域网终安全监测益求和基础电信网安全管理的实际情说况，规定安全事性的具伴内容。通过本标准规定的接口，应急处理平台可以对来自多个白治域的大量网络安全事件进行综合分析、协调处置。
安全事件原始来源丁基础电信网络或重要信息系统网络的SOC4A、网管系统、异带流量管理系统、防火墙、入侵检测系统、VPN、病毒过滤网关、防垃圾邮件系统、反病毒系统、漏洞扫描器、安全审计系统、操作系统、应用系统、交换机、路由器等系统。安全管理系统应按照本标推要求，对事件信息进行转换后，发送给应急处理平台应急处理平台通过本标推定义的接口，从安全管理系统获取网络安全事件，针对人规模分布式拒绝服务攻击（DDoS)、端虫、木马、僵尸网络等：对来白不同安全管理系统的安全事件进行汇总与分析，发现针对基础电信网络利重要信息系统的网络安全事件，整合数据并统一提供分析报表和主动预警，为相关部门的网络安全监管和决策提供依播。6安全率件分类
6.1安全事件基本类型
根据安金事件之间的共性和差异，按基本类型、子类型、详细类型三个层次对安全事件进行分类。本标准定义了8个，安事件基本类型，见表1。表1安全事件基本类型表
紫水美型名称
警分类编号
胰事件描摘述
操作记录类
状态信息类
信息刺操类
恐意代码类
攻击入侵类
信息危告类
设备设随故障类
其他类
记录各种操作事件、包括访问、配置变更、软件安装、申请、设备操作愈令等说明系统、应用、网络等运行的安全状态通过扫描、唤探、业务模拟等方式获得系统及网络信息的各类事件，也包括可能伴随的掩护和避行为所产生的事件
与威胁到系统安全的程序柑关的事件，具休子类型定义见6.3利用系统及网络缺陷实循攻击的事件以及攻击造成的结果事件，具体子类型定义见6.4通过各种手段（如：欺骗、垃圾信息、寡改等)，危害到了信息的保密性、完整性、可用性等安全属性的率件，具体子类型定义见6.5设备、系统、应用及网络的故障报告。异常报告等相关事件，具体子类型定义见6.6不属于以上几类的其他事件
操作记求类、信息刺探类安全事件主要计对系统或网络内部的维护，一般不会对基础电信网络或重3
TTTKANYKACA
YD/T 2251-2011
要信息系统造成严重的安全影响。应急处理平台主要接收与网络安企攻击相关的状态信息类、恶意代码类、攻击入侵类、信息危害类和设备设施故障类事件。本技术规定对这5类事件进一步划分子类型，各子类型的详细定义见6.2、6.3、6.4、6.5和6.6。6.2状态信息类安全事件分类
状态信息类事件是说明系统，应用、网络等安全状态的信息。状态信息类安全事件子类型定义见表2。囊2状态信息类安金事件子类型
手类型名称学类型编号
渝洞告警信息
恶意代码类安全享件分类
恶意代码类安全事件是指蒂意制造、传播恶意代码：或是因受到恶意代码的影响而导致的告警事件。恶意代码是指插入到信息系统中的一段程序，危害系统中数据，应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。恶意代码类安企事件子类型定义见表3。表3恶惠代码类安全事件子类型
学类型名格学类型编号
计算机病毒
网路蠕虫
僵户教件
网页挂马
跨站脚本 XSS
攻击入侵类安全事件分类
攻击入侵类安全事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协设缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成游在危害的安全事件。
玫末入侵类安全事件子类型定义见表4。表4攻击入侵类安全事件子类型
控办子类型名球，于类型编号
拒继服务政击
漏洞攻击
螨虫孜击
后门攻击
猜测口令
非法访间
域名劫持
CGI攻丧（包括注入攻市等）
TTTKAONTKACA
6.5信息危害类安全事件分类
YD/T 2251-2011
信息危害类安全事件是指通过网络或其他技术手段，造成信感系统中的信息被算改、假冒、泄漏、窃取等而导致的安全事件。
信息危害类安全事件了类型定义见表5。表5信息危害类安全事件子类型
子类型名称
网页募改
网络仿目（钓鱼）
境圾信息（如垃圾邮件）
信息泄露与窃取（未授权用户无意或有意获取信息）其他
设备设施故障类安全事件分类
宁类型编号
设备设施故障类安全事件是指设备、系统、成用及网络的故障报告、异常报告等相关事件，如：路由器瘫痪、互联网链路故障等。设备设施故障类安全事件子类型定义见表6。表6设备设施故障类安全事件子类子类型名称多
子类型编安
设备故障（如设备自身异常等）通信线路救障（如通信链路异常等）系统功能失效（某些系统功能失效）运行环境故障（如温度异常带、电源异常等）性能门限告替（如CPU、内存、硬盘等超过定限度等）处理故障（始录入、配置故障等）其他
安全事件详细分类
针对安全事件子类型中的某些事件，可进-·步细分。事件详细分类见表7。囊了 享件详细分类
三件名称
HTTP Floxd
ICMPFlood
UDPFlood
TCPSYNFlood
TCP Flood
MuliPruFlood
Connection-Flood
其他扣绝服务
安全率件分级
7.1信息系统和网络分级
锋细葵型缆
501001
501002
501003
301004
501005
501006
501007
501008
子类型编号
协设类型
根据信息系统和网络所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统和网络的依赖程度，在本标准中将信息系统和网络按重要程度划分为三级，包括特别重要、重要和一般。5
TTTKAONTKACA
YD/T 2251-2011
持别重
按照GB/T22240-2008定级为4级及其以,上的信息系统在本标准中属于特别重要系统：或按照YD/T1729-2008定级为4级及其以上的系统和网络在本标准中定为特别重要的系统和网络。一董婴
按照GB/T22240-2008定级为3级的信息系统在淋标准中属于重要系统：或按照YD/T1729-2008定级为3.1和3.2级的系统和网络在本标准中属于重要系统和网络。一般
其他的系统和网绪其重要性属于一般。7.2安全事件级别定义
依据安全事件对安全对象造成损失的程度、威胁以及涉及信息系统和网络的重要程度等因素，参考GB吃20986-2007中对安全事件级别的定义，在术标准中将安全事件的级别分为4级，包括：一非常重要事件
对于特别重要系统的重大（Ⅱ级）及以上事件、重要系统的特别重大（I级）事件，级别为非常重要；一重要级别事件
对丁特别重要系统的较大（Ⅱ级）事件、重要系统的重大（Ⅱ级）事件，级别为重要：中等级别事件
对于特别重要系统的一般（IV级）事件、重要系统的较大（Ⅲ级）事件、一般系统的重火（Ⅱ级）事件，级别为中等；
一般级别事件
对于重要系统的-一般（IV级）事件、一般系统的较大（Ⅱ级）和一般（IV级）事件，级别为一般。8安全事件统一描述格式
对树络安全事件的统一捕述格式见表8。该格式中的信息主要由报送信息的设备、产生告警的系统信息和事件本身的信息三部分组成。囊B网络安全事件统一描述格式
数据项名称名称数据类型
发送时安全事件的
event _id
唯一标识
senddev_ip
senddey_mac
send_dev_type_id
warn_sys_locate
发送安全事件的设
备地址
varchar(52)
varchar (15)
varchar(17)
发送安全事件的设
备的MAC地址
发送安全事件的系
统类型
报警系统位置
varchar(4)
yarchart7)
摄香必需游
TTTKAONATKACA
由安全理系统产生的，用于标识安全事件的唯一编号。应急处理平台可用该号追踪事件来源，编码方式建议为“安全事件来源单位编码+自出编码”的形式，其安全事件来源单忆编码见附录A.2
发逆该事件的设备地址
以分隔符隔离的 6 学节地址
该设备的设备类型名称：见附录A3设备类型编码方式
产生事件告警息的系统位置由省市份四位和单位编码三位组成。具体编码见附录A2数据项名称
warn_sys_id
warn_sys_ip
warn_sys_narre
wan_antivinus_sys_id
warn_sys_netcodc
event_type_id
event_detail_type_id
yuln_id
protocot_id
feature
Tenige
areport
dstport
invaol
outyol
inunit
outunit
inpitnum
报整系统ID
报警系统I卫地址
报警系统名称
反病毒系统名称D
报警系统网络编号
基本安全事件类型
详细事件类型 LD
瀚洞编号
事件名称
协设类型
特征中
匹配范围
事作源IP
事件且的F
事件源端口
事件目的端口
发送流量
接收流量
发送流盛单位
接收流显单位
进入数据包数
表8（续）
数据类型
varchar(6)
varchar(15)
varchar(50)
Smalliat
umsigned
varchar(10)
smalint
unsigned
Smallint
unsigned
varchar(13)
varchar(50)
amallint
unsigned
varchar(256)
smallin(5)
unsigned
int10)
unsigned
int10)
unsigned
smallint(5)
unsigned
smallint(s)
unsigned
bigint(20)
unsigned
bigint(20)
unsigned
Smellint(3)
unsigned
smallint(3)
unsigned
bigint(20)
wnsigned
是否必需
TTTKAONTKACA
YD/T 2251-2011
产生事件告警信息的系统 ID 出系统类型两位和手工填写四位构感
产生该事件告警的设备地址。例如防火墙产生的事件则填写防火墙管弹IP
产生事件告警信息的系统名称
为期确病每命名，该字段说明反病毒系统名称，对于病毒事件类必须填写。反病毒系统称ID编码见附录 A4
说明产生事件告警信息的系统属于哪个网际网络（即自治域号）。如无自治城号，可以按邮编编写
见表9。
即漏洞信息的CVE编号，如CVE-2009-055格式如\HTTP_读命令\
涉及网络协议的事件必填。参照常用协议类型表，未列出的自行填写
详细事件特征中
匹配前多少个字节
按网络字节序存
按网络宁节序存。在病毒、蟠虫类事件中，为感染这些恶意代码的系统卫
接网络字节序存
按网络字节序存
发送的流量。异常流量事件必填。接收的流益。异带流事件必填
如有发送流量，必填。其中，0：B；1：MB
如有发送流监，必填。其中，0，kB；1:MB
接收数据包数量。异常流量事件必填了
YD/T 2251-2011
数据项名称
outpktnum
fai_time
isdealbzxZ.net
menge_count
time_start
lime_end
event_content
离开数据包数
故障发生时间
是否处理
事件棋关域名和LRL
原始危害等级
归并数量
事件归并的开始时间
事件归并的结束时间
事件内容
囊的 (填)
数据类型
bigant(20)
unsigned
datetime
smallint(3)
unsigned
varchar(256)
smallint
unsigned
smallin(S)
unsigned
datetime
datetime
注：“是否必带”字段为上报安全事件时是否应填写的内容是必斋
几个重要子类的安金事件填写指南和实例参见附录。数据交换的相关要求
9.1应上报的安全事件子类型及其基本信患说
发送数据包数量。异常流量事件必填设备发生放障的时间
0 为米处理，1为已删除，2 为已隔离，3为其他已处理情况
网页挂马、域名劫持、CGI攻市、网络仿宜等涉及域名和URL的事件必填
直接取原始事件中的某个字符串在切始化部分赋给它即可
多个事件归并的数量
如为归并事件必填，若事件未归并，则表示事件发生或被发现的时间，
如为妇并事件必填
事件内容描述(从原始日志中提取衔关键字)，例如ayslog包所有原始内容急处理平台重点针对DDoS攻击，僵网络和虫等事件进行综合分析和协调处置，关注危害级别较高的安全事件。安念管理系统问应意处理平台工报的安全事件子类型见表9。囊9应上报的安全事件子类型
子类塑编号明学类型名秘务学类型编零子类型名称心201
漏润告柔借息
计算机病毒
网络蝎虫
画尸软件
网贞挂
跨站脚本xss
拒绝服务攻出
漏润攻击
螺攻击
后门攻击
安全事件子类型上报时需填写的基本信息下面定义每类事件上报时填驾的基本信息。上报的满洞告警信息事件信息见表10。505
猜测口令
非法访间
域名劫持
CGI攻击【含注入攻市》
网页改
网络仿冒
垃圾邮件
估息泄舜与窃取
设备故障
通信线路故障
系统功能失效
YD/T2251-2011
费10满润告客信惠上报基本信想你血基本信息患物统一搭述格式中的对应好段是否必需围漏润CVE编号
词名称
原始严重级别
扫摘出漏测的资产止
打描山漏制的端口
协议类型
漏洞扫描产品信息
浠洞发现时间
漏洞描述
上报的计算机病毒事件信息见表11。vuln-id
dstport
protocol_id
warn_sys_name
time_start
event_content
表11计算机病毒事件上报基本信患基本信息了了续一插述病中的对应学段是生题病毒名称
反病毒系统名称ID
传播病毒的IP地址
感染病毒的IP地址
病传播端口号
病够染端口号
病毒特征申串
匹配范
原始危害等级
病却描述
足否记清除（消除对系统的影响，如隔离，删除等）上报的网络虫事件信息见表12。mane
wamn_antivirus_sys_id
srcport
dstxont
fealure
eveut_content
isdeal
2网络蝠虫事件上报基本信息
家基本信息品就播述格式中的对应学既！香
是资必需
是否必需
蟠虫名称
协议类型
传播频虫的P地址
感染螺出的 IP 地址
蟠出传播端口号
婿出感梁端口号
螨虫特征串
匹配范田
原始危害等级
韬虫描述
是否已消除（消除对系统的影响，如隔离、删除等）上报的每软件事件信息见表13。name
protocol_id
srcport
dstport
feature
event_content
isdeal
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。