《GA∕T 1788.4-2021 公安视频图像信息系统安全技术要求 第4部分:安全管理平台(公共安全).pdf》由会员分享,可在线阅读,更多相关《GA∕T 1788.4-2021 公安视频图像信息系统安全技术要求 第4部分:安全管理平台(公共安全).pdf(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 GAGA 注 注 注 注 注 注 中华人民共和国公安部 发布 XXXX-XX-XX 发布 XXXX-XX-XX 实施 公安视频图像信息系统安全技术要求 第 4 部分:安全管理平台 Security requirements for video and image information system for public securityPart 4:Security management platform(报批稿)ICS 13.310 A 91 中华人民共和国公共安全行业标准中华人民共和国公共安全行业标准 GA/T XXXX.4XXXX GA/T XXXX.4XXXX I 目 次 前言.I
2、II 1 范围.1 2 规范性引用文件.1 3 术语、定义和缩略语.1 3.1 术语和定义.1 3.2 缩略语.2 4 安全管理平台结构.2 4.1 功能组成.2 4.2 安全管理平台外部连接关系.2 5 数据采集与接入.3 5.1 数据采集.3 5.2 数据接入.4 6 数据处理与存储.4 6.1 数据处理.4 6.2 数据存储.4 7 安全防护能力.5 7.1 威胁监测.5 7.2 态势感知.5 7.3 通报预警.6 7.4 应急处置.7 8 系统管理.7 8.1 用户管理.7 8.2 权限管理.7 8.3 运维监测.7 8.4 操作审计.7 9 级联管理.7 9.1 级联注册.7 9.2
3、 业务协同.7 9.3 数据管理.8 9.4 级联安全.8 附录 A(规范性)级联注册.9 A.1 REST 协议模型和结构.9 A.2 设备与用户统一标识编码规则.9 A.3 接口资源与工作流程.9 A.4 应答消息体(ResponseStatus).11 A.5 级联接口.12 附录 B(规范性)数据格式.14 B.1 资产数据.14 B.2 脆弱性数据.14 GA/T XXXX.4XXXX II B.3 事件数据.15 B.4 通报预警数据.16 B.5 应急处置数据.18 GA/T XXXX.4XXXX III 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化
4、文件的结构和起草规则的规定起草。GA/T XXXX公安视频图像信息系统安全技术要求分为4个部分:第1部分:通用要求;第2部分:前端设备;第3部分:安全交互;第4部分:安全管理平台;本文件是 GA/T XXXX的第4部分。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由公安部科技信息化局提出。本文件由全国安全防范报警系统标准化技术委员会(SAC/TC100)归口。本文件起草单位:北京天防安全科技有限公司、公安部第一研究所、北京市公安局、云南省公安厅、公安部安全与警用电子产品质量检测中心、华为技术有限公司、北京网御星云信息技术有限公司、山东华软金盾软件股份有限
5、公司、北京旷视科技有限公司。本文件主要起草人:段伟恒、栗红梅、闫雪、张鑫、月峰、张翔、考其瑞、郜军伟、王峻安、王斌、张树强、刘光明、黄敏、杜云鹏。本文件于202X年首次发布。GA/T XXXX.4XXXX 1 公安视频图像信息系统安全技术要求 第4部分:安全管理平台 1 范围 本文件规定了公安视频图像信息系统安全管理平台的平台结构、数据采集与接入、数据处理与存储、安全防护能力、系统管理、级联管理等技术要求。本文件适用于基于公安视频传输网建设的公安视频图像信息系统安全管理平台的规划设计、软件开发、部署实施、检验验收和运行维护。其他视频图像信息系统安全管理平台可参照执行。2 规范性引用文件 下列文
6、件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 GB/T 28181-2016 公共安全视频监控联网系统信息传输、交换、控制技术要求 GB 35114 公共安全视频监控联网信息安全技术要求 GB/T 36958 信息安全技术 网络安全等级保护安全管理中心技术要求 GA/T 1400.4-2017 公安视频图像信息应用系统 第4部分:接口技术要求 3 术语、定义和缩略语 3.1 术语和定义 GB/
7、T 28181-2016、GB 35114、GB/T 36958界定的以及下列术语和定义适用于本文件。3.1.1 安全数据 security data 公安视频传输网中与安全相关的信息,包括资产、网络流量、运行状态、告警、脆弱性、安全事件等信息。3.1.2 安全防护能力 security protection capability 通过采集公安视频传输网中的安全数据,利用数据处理、数据存储和数据挖掘分析等技术,对全网进行威胁监测、态势感知、通报预警和应急处置的能力。3.1.3 威胁监测 threat monitoring 通过主动扫描、被动监测等技术方式,对公安视频传输网的网络攻击、病毒传播、
8、违规接入、违规外联和安全漏洞等进行监测。3.1.4 态势感知 situation awareness 在公安视频传输网中,对能够引起网络安全态势发生变化的要素进行获取、理解、显示并据此预测网络安全趋势。3.1.5 安全监测 safety monitoring GA/T XXXX.4XXXX 2 通过监测公安视频传输网中资产和网络的安全状态,进行资产发现和漏洞、弱口令、边界完整性等检测。3.1.6 网络空间测绘 mapping in cyberspace 通过主动扫描技术,探测公安视频传输网各类资产分布情况和网络关系索引,描绘视频传输网的网络拓扑。3.2 缩略语 下列缩略语适用于本文件。BYOD
9、:自带办公设备(Bring Your Own Device)DVR:数字视频录像机(Digital Video Recorder IP:网际互连协议(Internet Protocol)IPC:网络摄像机(Internet Protocol Camera)IDS:入侵检测系统(Itrusion Detection System)IPS:入侵防御系统(Intrusion Prevention System)JDBC:Java 数据库连接(Java Database Connectivity)NVR:网络视频录像机(Network Video Recorder)ODBC:开放数据库连接(Open
10、Database Connectivity)SNMP:简单网管协议(Simple Network Management Protocol)SSH:安全外壳(Secure Shell)TCP:传输控制协议(Transmission Control Protocol)WMI:Windows 管理规范(Windows Management Instrumentation)4 安全管理平台结构 4.1 功能组成 公安视频图像信息系统安全管理平台(以下简称安全管理平台)由数据采集与接入、数据处理与存储、安全防护能力、系统管理和级联管理等功能模块组成,如图1所示。图 1 安全管理平台功能组成图 4.2 安
11、全管理平台外部连接关系 GA/T XXXX.4XXXX 3 4.2.1 安全管理平台通过级联接口实现上下级平台之间的连接,支持部、省、市、县四级联网。级联注册接口应符合附录 A 的规定。4.2.2 安全管理平台通过 SNMP、Syslog、JDBC、WMI、Netflow 等接口,与接入对象(安全设备/系统等)进行连接,对其安全数据进行采集。4.2.3 安全管理平台的接入对象包括:防火墙设备、病毒防护系统、IDS/IPS、堡垒机设备、安全审计系统、日志审计系统、基线配置核查系统、策略集中管理系统、视频审计系统、视频边界交互系统、其他通用安全设备/系统等。4.2.4 安全管理平台外部连接关系如图
12、 2 所示。图 2 平台外部连接关系图 5 数据采集与接入 5.1 数据采集 5.1.1 安全监测 5.1.1.1 资产识别 资产发现应符合下列规定:a)发现网络中的各类设备资产,识别设备资产类型、名称、品牌、型号、版本等并自动分类统计;b)扫描识别各类设备资产使用的操作系统类型、版本信息;c)检测发现设备的变更;d)资产数据格式符合 B.1 的规定。注:设备资产类型主要包括:IPC、NVR、DVR 等视频类设备;路由器、交换机、无线路由器等网络设备;PC 等终端设备;应用服务器设备;防火墙、IDS/IPS、网络管理系统等安全及运维设备;网络打印机设备;BYOD 设备、诱导屏、信号控制系统、信
13、号灯等其他在网设备。5.1.1.2 漏洞检测 漏洞检测应符合下列规定:GA/T XXXX.4XXXX 4 a)检测视频类设备/应用系统的安全漏洞;b)检测视频类设备/应用系统中与视频应用协议相关的安全漏洞;c)检测 Windows、Linux 操作系统中的中危以上安全漏洞;d)检测数据库、网络设备的中危以上安全漏洞;e)采用安全检测机制,防止漏洞检测造成设备的宕机、重启等故障;f)脆弱性数据格式符合 B.2 的规定。5.1.1.3 弱口令检测 弱口令检测应符合下列规定:a)检测设备/应用系统存在的弱口令;b)检测操作系统远程桌面应用的弱口令;c)检测 SQL server、MySQL、Mong
14、odb、Elasticsearch、Oracle 等常用的数据库系统的弱口令;d)采用安全检测机制,防止因弱口令检测造成设备/系统的锁定故障;e)脆弱性数据格式符合 B.2 的规定。5.1.1.4 边界完整性检测 边界完整性检测应符合下列规定:a)检测网络中采用桥接模式或 NAT 模式接入的路由设备;b)对网络内部正在使用的 IP 地址段与规划地址进行比对,以检测超出规划范围使用的地址或路由;c)检测个人热点、随身 Wi-Fi、无线 AP 连接等违规外联行为;d)检测 Windows、Linux 操作系统双网卡之间的共享网络行为;e)检测设备/系统同时启用多块网卡或配置多 IP 地址的行为;f
15、)事件数据格式符合 B.3 的规定。5.1.1.5 网络空间测绘 网络空间测绘应符合下列规定:a)应能够主动发现网络中各类资产的 IP 地址,并动态绘制所有 IP 地址的分布地图;b)应能够支持各类资产 IP 地址的使用情况的记录审计;c)应能够支持网络拓扑的发现,并能够分析与绘制网络的逻辑拓扑、网络物理拓扑。5.2 数据接入 安全管理平台应能通过接口接入外部安全设备/系统等的安全数据。数据类型包括:安全基线配置信息、拒绝服务攻击信息、病毒与木马信息、安全审计信息、安全事件信息、运维审计信息、流量监测信息、异常行为信息、认证与授权信息等。6 数据处理与存储 6.1 数据处理 6.1.1 应基于
16、相关解析规则、过滤规则、分类规则等对采集数据进行过滤、分类以及范式化处理。6.1.2 应支持自定义预处理解析规则,可根据应用场景,通过配置选择插件、正则表达式、分隔符、关键值、JSON 等方法定义解析规则,实现对安全数据的处理。6.1.3 应能对采集对象的重要字段进行标识。6.1.4 应能采用实时、离线等方式对不同类型的数据进行处理。6.2 数据存储 6.2.1 应支持分布式数据存储架构,满足数据量持续增长需求。6.2.2 应建立相应的数据存储库,包括资产数据、流量数据、日志数据、告警数据、漏洞数据、安全知识数据等数据库。GA/T XXXX.4XXXX 5 7 安全防护能力 7.1 威胁监测
17、7.1.1 资产监测 资产监测应符合下列规定:a)实时获取当前资产的类型和数量,形成一张完整的、动态的资产地图;b)对识别资产的 IP 地址、所处位置等进行统计;c)对资产运行状态、存在的潜在风险以及各类攻击行为进行监测。7.1.2 脆弱性监测 脆弱性监测应符合下列规定:a)监测前端设备、操作系统、Web 应用和第三方组件存在的常见漏洞,并对 URL 地址、弱口令类型、漏洞名称、漏洞级别、验证状态及通报状态等数据信息进行闭环管理;b)对发现的漏洞和弱口令进行汇聚研判,形成视频专用漏洞库、弱密码字典,能够覆盖各类资产设备。7.1.3 基线配置 基线配置符合下列规定:a)应对网络设备、安全设备、主
18、机、数据库、中间件、应用系统等进行安全基线核查,并对配置核查信息进行集中管理;b)宜从外部基线配置核查系统接入数据,并结合配置核查信息进行多维度分析和展示。7.1.4 策略管理 策略管理应符合下列规定:a)对数据接入与采集策略、安全事件告警策略、监测策略等安全策略进行集中管理;b)支持安全策略的统一设置。7.1.5 安全风险分析 安全风险分析符合下列规定:a)应能对资产安全风险分析,包括漏洞利用、口令暴力破解、系统漏洞扫描、WEB 漏洞扫描等;b)应对网络攻击行为分析,包括 SQL 注入攻击、XSS 跨站脚本攻击、WebShell 攻击、网页篡改攻击、拒绝服务攻击、病毒木马蠕虫、APT 高级持
19、续性威胁攻击和失陷主机等;c)应能对业务安全风险分析,包括未授权登录、越权访问、频繁访问、跨区域访问等;d)宜对数据安全风险分析,包括敏感信息泄露分析模型,数据篡改模型,撞库脱库模型等。7.1.6 安全事件管理 安全事件管理应符合下列规定:a)对安全事件信息进行清洗、分类、合并整理形成统一的安全事件库;b)支持对安全事件进行历史分析和实时分析;c)安全事件包含发生时间、IP 地址、区域、事件类型、数量和危害等级等信息;d)根据安全事件的起因、表现、结果等对事件进行分类;e)根据安全事件发生后的危害程度、影响范围等因素对事件进行分级;f)安全事件分类分级应符合 GB/Z 209862007 相关
20、规定;g)支持对安全事件的告警。7.2 态势感知 7.2.1 全网资产态势感知 资产态势感知应符合下列规定:a)对全网资产进行态势展示,展示内容包括资产的类型、属性、脆弱性、风险分布等信息;GA/T XXXX.4XXXX 6 b)基于统计、聚类、分类、相似性分析、关联分析等一种或多种分析手段,对资产进行风险评估,并对存在风险的资产进行展示;c)对资产安全事件的分布、发生情况、发展趋势进行态势展示。7.2.2 风险威胁态势感知 风险威胁态势感知应符合下列规定:a)对网络攻击、恶意代码等数据进行多维度分析;b)对全网风险威胁进行态势展示,展示内容包括恶意 IP、恶意程序、攻击手段和攻击次数等信息;
21、c)对风险威胁扩散趋势、病毒蔓延趋势等进行展示。7.2.3 违规行为态势感知 违规行为态势感知应符合下列规定:a)对违规行为和违规事件分布等信息进行分析;b)对违规主体、违规对象、违规事件等进行展示。7.2.4 安全事件态势感知 安全事件态势感知符合下列规定:a)应对全网安全事件进行展示,展示内容包括攻击链分布、事件时间、事件类型、事件级别、区域分布等信息;b)应对安全事件的分布、发展趋势等进行分析和态势展示;c)宜结合安全知识库等数据,对安全事件进行追溯。7.2.5 脆弱性态势感知 脆弱性态势感知应符合下列规定:a)应基于漏洞和基线核查信息,结合区域、资产等基础数据,进行多维度分析;b)应对
22、全网脆弱性进行态势展示,展示内容包括漏洞、弱口令的分布情况、排名情况、影响范围、危害程度、综合处置情况等信息。7.3 通报预警 7.3.1 安全通报管理 安全通报管理应符合下列规定:a)建立安全通报流程,包括通报的建立、审批、变更、发布和归档等;b)对安全事件、威胁、漏洞、违规行为等发起通报;c)通过安全管理平台级联接口,实现安全通报的上报及下达。7.3.2 安全风险预警 安全风险预警应符合下列规定:a)支持对不同的安全事件类型、风险级别、影响范围等进行预警;b)基于威胁、漏洞、违规行为、恶意代码等进行安全风险预警;c)支持结合外部威胁情报进行预警;d)通过安全管理平台级联接口,实现风险预警的
23、上报及下达。7.3.3 通报预警统计 应对安全通报和风险预警信息进行统一收集,并按照不同的安全事件类型、风险级别、影响范围等进行分类、归档。7.3.4 安全能力评估 依据公安视频传输网安全运行管理相关规定,对各地安全管理水平进行能力评估,应符合下列规定:a)提供安全管理、安全运维等能力的评估;GA/T XXXX.4XXXX 7 b)通过安全管理平台级联接口将各项评估指标信息上报至上级平台。7.4 应急处置 7.4.1 应急响应管理 应急响应管理应符合下列规定:a)支持对响应对象、处置流程、处置要求等进行设置,形成安全事件应急响应预案;b)根据安全事件的风险等级、危害程度、影响范围等建立相应的处
24、置措施。7.4.2 应急响应处置 应急响应处置符合下列规定:a)应基于恶意代码检查、安全检测、电子取证和数据恢复等技术,对安全事件进行快速诊断;b)应对安全事件进行应急处置,包括故障定位、受损恢复、安全加固、影响消除等;c)宜对应急响应处置事件进行建模,通过可编排的流程引擎,提升安全事件的自动化响应和处置能力。7.4.3 应急处置统计 应对应急处置事件信息进行统计,并按照不同的应急处置事件类型、影响范围、处置结果等进行分类、归档。7.4.4 应急处置分析 应对应急处置的事件信息结合资产信息、安全态势、通报预警等数据进行多维度分析,并形成应急处置报告。8 系统管理 8.1 用户管理 应采用安全管
25、理员、审计管理员、系统管理员三权分立的方式进行用户统一管理,并划分相应的权限。8.2 权限管理 应遵循最小权限原则对用户进行权限分配。8.3 运维监测 应提供对安全管理平台自身运行情况进行监测和告警。8.4 操作审计 应对安全管理平台所有用户的操作行为进行日志记录和审计。日志留存时间不少于180d。9 级联管理 9.1 级联注册 应使用级联接口向上级安全管理平台进行注册,注册认证成功后开启级联工作。9.2 业务协同 上下级安全管理平台的通报预警和应急处置的工作流程通过业务协同来实现,应符合下列规定:a)上级安全管理平台发现潜在威胁、攻击事件、预警等情况时,通报下发至下级平台,下级平台收到通告后
26、进行反馈,同时符合 B.4.1、B.4.2 的规定;b)安全管理平台向上级平台上报处理记录,处理记录符合 B.4.3 的规定;c)下级平台处置安全事件后上报给上级平台,符合 B.5 的规定;d)采用分布式的发布订阅消息系统进行数据上报和业务协同。GA/T XXXX.4XXXX 8 9.3 数据管理 上下级安全管理平台数据管理应符合下列规定:a)上下级安全管理平台完成级联业务时,数据规范符合附录 B 的规定;b)自动进行数据的格式检查、规则校验,保障级联数据的准确性和数据质量。9.4 级联安全 上下级安全管理平台的级联管理过程应包括注册、访问控制和行为审计等安全措施,保障数据安全。GA/T XX
27、XX.4XXXX 9 附 录 A(规范性)级联注册 A.1 REST 协议模型和结构 A.1.1 REST 协议模型应符合 GA/T 1400.4-2017 中附录 A 的要求。A.1.2 接口交互信息定义为 REST 架构下的资源,使用 URI 唯一标识。A.2 设备与用户统一标识编码规则 安全管理平台的编码规则应符合GB/T 28181-2016中附录D的规定,其中第11、12、13位类型编码取值应为520。A.3 接口资源与工作流程 A.3.1 接口资源描述 级联接口资源列表应符合表 A.1 的规定。表A.1 级联接口资源 URL 序号 资源 URI 说明 1/VCMS 2/VCMS/R
28、egister 级联注册资源 3/VCMS/UnRegister 级联注销资源 A.3.2 级联接口工作流程 A.3.2.1 级联注册 本级安全管理平台应向上级安全管理平台注册。本级安全管理平台发送注册命令,并随命令发送基本信息,上级安全管理平台返回 200 状态码,表示注册成功。若注册失败,本级安全管理平台进行异常处理后再次注册。注册流程如图 A.1 所示。GA/T XXXX.4XXXX 10 图A.1 注册流程 A.3.2.2 本级安全管理平台注销 本级安全管理平台向上级安全管理平台注销后,上级安全管理平台停止对此平台的管理。本级安全管理平台发送注销命令,上级安全管理平台返回 200 状态
29、码,表示注销成功。注销流程如图 A.2 所示。本级安全管理平台发送/VCMS/Register向上级安全管理平台注册注册成功上级安全管理平台返回200是否注册完成本级安全管理平台异常处理GA/T XXXX.4XXXX 11 图A.2 注销流程 A.4 应答消息体(ResponseStatus)所有请求的应答消息体应符合表 A.2 的规定。其中,“必选/可选”项中,R=requirement 表示必选字段;O=Option 表示可选字段;R/O 表示特定条件下必选,其他可选。表A.2 应答消息体描述 序号 名称 标识符 类型 JSON 长度 必选/可选 备注 1 资源定位符 RequestURL
30、 string 256 R 对应操作的 URL 2 状态码 StatusCode string 2 R 00-OK,正常 01-OtherError,其他未知错误 02-System Busy,平台忙 03-System Error,平台错误 04-Invalid Operation,无效操作 05-Invalid JSON Format,JSON 格式无效 06-Invalid JSON Content,JSON 内容无 07-Rebooting,系统重启中 08-Invalid ID,本级平台 ID 不符合本标准的规定 09-ID Not Found,指定 ID 的本级平台未注册 10-保
31、留 是发送/VCMS/UnRegister向上级安全管理平台注销注销完成本级安全管理平台注销成功上级安全管理平台返回200本级安全管理平台异常处理否GA/T XXXX.4XXXX 12 表 A.2 应答消息体描述(续)3 状态描述 StatusString string 256 R 为本次注册的操作响应说明 4 资源 Id SourceID string 64 R POST 方法创建资源时会返回 SourceID,创建成功后应返回新的 SourceID,创建失败则无此 SourceID 此资源 ID 的编码规则为 64 位随机值,由上级安全管理平台定义生成 5 日期时间 LocalTime d
32、ateTime O 为消息发送方的当前时间,用于需要校时的场合 A.5 级联接口 A.5.1 注册 A.5.1.1 功能描述说明 在本级安全管理平台启动后向上级安全管理平台注册,注册成功后,上级安全管理平台会返回一个 64 位的资源 ID 用以唯一标识已成功注册的本级安全管理平台。注册失败时,应延迟 300s 内的随机时间后重新注册。A.5.1.2 消息描述 本级安全管理平台注册消息应符合表 A.3 的规定。表A.3 注册消息 URI/VCMS/Register 功能 向上级平台注册 方法 查询字符串 消息体 返回结果 POST 无 注释 Register 的定义应符合附录 A 中的 A.5.
33、1.3 的规定 A.5.1.3 消息体描述 本级安全管理平台注册消息体应符合表 A.4 的规定。表A.4 注册消息体描述 序号 名称 标识符 类型 JSON 长度 必选/可选 备注 1 本级安全管理平台ID ObjectID string 20 R 20 位本级安全管理平台的 ID,应符合GB/T 28181-2016 中附录 D 的规定 2 资源唯一标识 SourceID string 64 O 64 位资源 ID 3 厂家名称 Manufacturer string 64 O 本级安全管理平台制造商厂家名称 4 中文名称 NameChn string 64 O 本级安全管理平台中文名称 5
34、 英文简称 NameEn string 64 O 本级安全管理平台英文简称 6 型号 Model string 32 O 产品型号 7 版本 Version string 32 O 产品版本 8 主机 IP HostIP IPAddrType 16 R 本级安全管理平台 IP(IPv4 格式)9 主机 IPV6 HostIPV6 IPV6AddrType 128 O 本级安全管理平台 IP(IPv6 格式)GA/T XXXX.4XXXX 13 A.5.2 注销 A.5.2.1 功能描述说明 本级安全管理平台从上级安全管理平台注销。发送此消息后,上级安全管理平台注销对本级平台的注册。A.5.2.
35、2 消息描述 本级安全管理平台注销消息应符合表 A.5 的规定。表A.5 注销消息 URI/VCMS/UnRegister 功能 向上级平台注销。方法 查询字符串 消息体 返回结果 POST 无 注释 UnRegister 的定义应符合附录 A 中的 A.5.2.3 的规定 A.5.2.3 消息体描述 本级安全管理平台注销消息体应符合表 A.6 的规定。表A.6 注销消息体描述 序号 名称 标识符 类型 JSON 长度 必选/可选 备注 1 本级安全管理平台 ID ObjectID string 20 R 已注册的本级安全管理平台 20 位 ID,应符合 GB/T 28181-2016 中附录
36、 D 的规定 2 资源 ID SourceID string 64 R 本级平台注册成功后上级安全管理平台返回的 64 位资源 ID GA/T XXXX.4XXXX 14 附 录 B(规范性)数据格式 B.1 资产数据 本级管理平台向上级管理平台上报的关于资产相关的数据,具体数据格式应符合表 B.1 的规定。表 B.1 资产数据格式说明 序号 名称 标识符 类型(JSON)长度 必选/可选 备注 1 ip 地址 ip string 16 R IPv4 格式 2 mac 地址 mac string 20 O 3 iPV6 地址 ipv6 string 128 O IPv6 格式 4 主机名 ho
37、st string 128 O 5 设备序列号 sn string 128 O 6 开放端口 port string 256 R 设备开放的端口列表,若设备没有开放端口,用 0 标识,若存在多个端口,通过逗号进行分割。例:80,81,443 7 资产设备类型 asset_device_type int R 01:视频类设备 02:网络设备 03:应用服务设备 04:安全及运维设备 05:网络打印机 06:BYOD 设备 09:其他 8 设备厂商 net_device_vendor string 64 O 设备生产厂商名称 9 资产设备型号 asset_device_model string 1
38、28 O 10 操作系统名称 os string 64 O 11 操作系统版本 os_version string 32 O 12 操作系统提供商 os_vender string 32 O 13 组件版本 component string 256 O 对外提供应用服务的组件名称及版本,例:nginx 1.10,weblogic 2.2 14 入库时间 create_time string 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 15 更新时间 update_time string 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 16 平台 ID stati
39、on string 20 R 本级平台 ID B.2 脆弱性数据 GA/T XXXX.4XXXX 15 本级管理平台向上级管理平台上报的关于资产的脆弱性数据,具体数据格式应符合表 B.2 的规定。表 B.2 脆弱性数据格式说明 序号 名称 标识符 类型(JSON)长度 必选/可选 备注 1 ip 地址 ip string 16 R IPv4 格式 2 iPV6 地址 ipv6 string 128 O IPv6 格式 3 开放端口 port string 256 R 设备开放的端口列表,若设备没有开放端口,用 0 标识,若存在多个端口,通过逗号进行分割。例:80,81,443 4 脆弱性类型
40、type string 16 R webvuln:web 漏洞 sysvuln:系统漏洞 password:弱口令 compliance:边界完整性 other:其他 5 危险级别 level int R 1-提示 2-低危 3-中危 4-高危 5-超危 6 脆弱性名称 name string 32 R 漏洞名称,例:系统登录绕过漏洞 7 脆弱性对象 object string 64 O 对象名称,例:https:/192.168.1.1/8 详细信息 message string 512 O 脆弱性详细描述,例:https:/192.168.1.1/index.html?username=a
41、dmin&password=skkdsdor|1=1 9 CVE 编号 cve string 32 O CVE-2020-XXXXX 10 CNNVD 编号 cnnvd string 32 O CNNVD-202001-XXX 11 CNVD 编号 cnvd string 32 O CNVD-2020-XXXXX 12 时间 time string 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 13 平台 ID station string 20 R 本级平台 ID B.3 事件数据 本级管理平台向上级管理平台上报的事件相关的数据,具体数据格式应符合表 B.3 的规定。GA/T
42、 XXXX.4XXXX 16 表 B.3 事件数据说明 序号 名称 标识符 类型(JSON)长度 必选/可选 备注 1 事件类型 type int R 01:违规事件 02:安全事件 03:其他事件 2 触发事件 ip 地址 srcip string 16 R IPv4 格式 3 源端口 srcport Int O 4 目的地址 dstip string 16 O IPv4 格式 5 目的端口 dstport Int O 6 危险级别 level int R 1-提示 2-低危 3-中危 4-高危 5-超危 7 事件名称 eventname string 128 R 例:无线 AP 接入等 8
43、 详细信息 message string 512 O 例:系统检测到无线AP 接入,其 IP 地址为:192.168.1.2,Mac地址:00-11-22-33-CC-DD 9 事件次数 times int O 重复发生的次数 10 设备 IP dev_ip string 16 R IPv4 格式 11 设备名称 cdevname string 128 R 12 设备类型 cdevtype int R 01:视频类设备 02:网络设备 03:应用服务设备 04:安全及运维设备 05:网络打印机 06:BYOD 设备 09:其他 13 时间 time string 19 R 时间格式为:yyyy
44、-MM-dd hh:mm:ss 14 平台 ID station string 20 R 本级平台 ID B.4 通报预警数据 B.4.1 通报下发 本级安管平台向下级安管平台下发的通报预警信息,具体数据格式应符合表 B.4 的规定。GA/T XXXX.4XXXX 17 表 B.4 通报下发数据格式说明 序号 名称 标识符 类型(JSON)长度 必选/可选 备注 1 创建时间 create_time string 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 2 通报编号 id string 32 R 编号格式为:本级平台 ID-yyyyMMdd-编号,编号为 0001 开始的
45、 4 位数字 3 通报类型 type int R 1-事件 2-漏洞 3-预警 9-其他 4 状态 status int R 1-下发 2-签收 3-已整改/已处置 5 通报标题 title string 400 R 例:关于某厂商摄像头新型漏洞的预警 6 通报内容 body string 4000 R 例:某设备存在越权漏洞。攻击者在低权限帐户下可通过一定方式获得高权限用户的帐号信息,进而窃取设备信息或攻击设备。请各单位展开相关预防工作。相关资料参见: 7 通报来源 fromStation string 20 R 本级平台 ID 8 通报对象 tostation string 20 R 下级
46、平台 ID B.4.2 通报反馈 本级管理平台向上级管理平台对通报预警信息的反馈,具体数据格式应符合表 B.5 的规定。表 B.5 通报反馈数据格式说明 序号 名称 标识符 类型(JSON)长度 必选/可选 备注 1 创建时间 create_time string 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 2 通报编号 id string 32 R 编号格式为:平台 ID-yyyyMMdd-编号,编号为 0001 开始的 4 位数字 3 反馈状态 status int R 1-签收 2-已整改/已经处置 4 反馈内容 body string 4000 R 例:计划对该厂商设
47、备进行全面排查 5 平台 ID station string 20 R 本级平台 ID B.4.3 通报记录上报 管理平台对自身平台或下级管理平台的通报记录向上级管理平台上报,具体数据格式应符合表B.6 的规定。GA/T XXXX.4XXXX 18 表 B.6 通报记录上报格式说明 序号 名称 标识符 类型(JSON)长度 必选/可选 备注 1 创建时间 create_time string 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 2 通报编号 id string 32 R 编号格式为:平台 ID-yyyyMMdd-编号,编号为 0001 开始的 4 位数字 3 通报类型
48、 type int R 1-事件 2-漏洞 3-预警 9-其他 4 状态 status int R 1-下发 2-签收 3-已整改/已处置 5 通报标题 title string 400 R 例:关于某厂商摄像机新型漏洞的预警 6 通报内容 body string 4000 R 例:某厂商部分设备存在越权漏洞。攻击者在低权限帐户下可通过一定方式获得高权限用户的帐号信息,进而窃取设备信息或攻击设备。请各单位展开相关预防工作。相关资料参见: 7 签收时间 receive_time string 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 8 签收反馈 receive_desc s
49、tring 4000 R 例:已签收,计划对该厂商设备进行全面排查 9 整改/处置时间 disposal_time string 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 10 整改/处置反馈 disposal_desc string 4000 R 例:已整改,共发现 5 台设备受此漏洞影响,通过厂家升级完成该漏洞修复工作 11 通报来源 fromstation string 20 R 本级平台 ID 12 通报对象 tostation string 20 R 下级平台 ID B.5 应急处置数据 本级管理平台向上级管理平台上报的应急处置事件信息,具体数据格式应符合表 B.
50、7 的规定。GA/T XXXX.4XXXX 19 表 B.7 应急处置格式说明 序号 名称 标识符 类型(JSON)长度 必选/可选 备注 1 创建时间 create_time String 19 R 时间格式为:yyyy-MM-dd hh:mm:ss 2 处置编号 id id 32 R 编号格式为:平台 ID-yyyyMMdd-编号,编号为 0001 开始的 4 位数字 3 标题 title String 400 R 例:蠕虫传播 4 内容 body String 4000 R 例:在 4 月 4 日发现内网设备192.168.1.1 存在蠕虫传播情况 5 状态 status int R 1