ICS35.040

L80

中華人民共和國國家標準

GB/TXXXXX.3—XXXX

信息安全技術(shù)政府部門互聯(lián)網(wǎng)安全接入要

求第3部分：網(wǎng)絡(luò)安全監(jiān)測服務(wù)接口技術(shù)

規(guī)范

InformationsecuritytechnologyRequirementsforgovernmentdepartmentsecure

Internetconnection—Part3:Technicalspecificationforcybersecuritymonitoringand

servinginterface

（草案）

（本稿完成日期：2014-4-30）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX.3—XXXX

目次

前言.................................................................錯誤！未定義書簽。

引言.................................................................................II

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語、定義和縮略語..................................................................1

4CMSI概述............................................................................1

5CMSI接口通信連接要求................................................................2

6CMSI接口功能要求....................................................................3

6.1終端狀態(tài)信息匯總功能............................................................3

6.2網(wǎng)絡(luò)攻擊特征下發(fā)功能............................................................3

6.3網(wǎng)絡(luò)安全事件下發(fā)功能............................................................3

6.4網(wǎng)絡(luò)安全態(tài)勢預(yù)警信息下發(fā)功能....................................................3

6.5網(wǎng)絡(luò)安全自主監(jiān)測事件上報功能....................................................3

6.6終端惡意代碼特征下發(fā)及查詢功能..................................................3

6.7網(wǎng)絡(luò)安全事件NAT日志查詢功能....................................................3

7CMSI接口流程要求....................................................................4

7.1終端狀態(tài)信息匯總接口流程........................................................4

7.2網(wǎng)絡(luò)攻擊特征監(jiān)測接口流程........................................................4

7.3網(wǎng)絡(luò)安全事件下發(fā)接口流程........................................................5

7.4網(wǎng)絡(luò)安全態(tài)勢預(yù)警信息下發(fā)接口流程................................................6

7.5網(wǎng)絡(luò)安全自主監(jiān)測事件上報接口流程................................................6

7.6終端惡意代碼特征下發(fā)及查詢接口流程..............................................7

7.7網(wǎng)絡(luò)安全事件NAT日志查詢接口流程................................................8

I

GB/TXXXXX.3—XXXX

引言

隨著現(xiàn)代信息技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)在政府各部門得到了廣泛應(yīng)用，對于政府部門履行社會管理

和公共服務(wù)職能，加強政府有效管理，促進政府職能轉(zhuǎn)變，提高行政辦事效率和管理水平，推動政務(wù)公

開發(fā)揮重要作用。與此同時，目前政府部門互聯(lián)網(wǎng)安全管理還存在薄弱環(huán)節(jié)，管理制度尚不完善，缺乏

統(tǒng)一的規(guī)劃和標準，各部門接入互聯(lián)網(wǎng)的入口數(shù)量眾多,安全防護水平參差不齊,互聯(lián)網(wǎng)接入成為信息安

全管理中的薄弱環(huán)節(jié)和“短板”，使政府部門信息安全面臨新的威脅和風險。因此，迫切需要規(guī)范政府

部門互聯(lián)網(wǎng)接入工作，減少互聯(lián)網(wǎng)入口數(shù)量，增強互聯(lián)網(wǎng)接入的安全防護能力，提高政府部門信息系統(tǒng)

的防攻擊、防篡改、防惡意代碼、防癱瘓和防竊密能力。

為推進政府部門互聯(lián)網(wǎng)安全接入工作，特制定本要求,用于指導(dǎo)政府部門建設(shè)互聯(lián)網(wǎng)安全接入口，

選擇合適的第三方服務(wù)商，并實現(xiàn)政府部門和政府信息安全主管部門的安全管理與防護的聯(lián)動。

II

GB/TXXXXX.3—XXXX

信息安全技術(shù)政府部門互聯(lián)網(wǎng)安全接入要求第3部分：網(wǎng)絡(luò)安全

監(jiān)測服務(wù)接口技術(shù)規(guī)范

1范圍

GB/TXXXXX—XXXX的第3部分規(guī)定了安全接入口的聯(lián)動代理與政府信息安全主管部門的網(wǎng)絡(luò)安全監(jiān)

測服務(wù)系統(tǒng)之間的網(wǎng)絡(luò)安全監(jiān)測服務(wù)接口技術(shù)規(guī)范，包括通信連接要求、功能要求和接口流程要求。

本部分適用于政府部門建設(shè)的安全接入口和互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商建設(shè)的安全接入口。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求

GB/Z20986-2007信息安全事件分類分級指南

GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/TXXXXX.1—XXXX信息安全技術(shù)政府部門互聯(lián)網(wǎng)安全接入要求第1部分：基本要求

3術(shù)語、定義和縮略語

GB/T25069-2010和GB/TXXXXX.1—XXXX中界定的術(shù)語、定義和縮略語適用于本文件。

4CMSI概述

網(wǎng)絡(luò)安全監(jiān)測服務(wù)接口（CMSI）是網(wǎng)絡(luò)安全監(jiān)測服務(wù)系統(tǒng)（CMSS）與安全接入口的聯(lián)動代理(LA)

之間的外部數(shù)據(jù)接口，簡稱CMSI接口。

網(wǎng)絡(luò)安全監(jiān)測服務(wù)系統(tǒng)（CMSS）是指政府網(wǎng)絡(luò)信息安全主管部門所運行管理的，為接入互聯(lián)網(wǎng)的政

府部門網(wǎng)絡(luò)提供網(wǎng)絡(luò)安全監(jiān)測服務(wù)的系統(tǒng)。CMSS通過CMSI接口與該政府網(wǎng)絡(luò)安全主管部門管轄范圍下的

各個政府部門的安全接入口聯(lián)動代理(LA)連接，并為安全接入口的安全防護、安全管理以及日志服務(wù)器

等設(shè)備提供網(wǎng)絡(luò)攻擊監(jiān)測特征推送、網(wǎng)絡(luò)攻擊監(jiān)測事件數(shù)據(jù)匯總分析、網(wǎng)絡(luò)安全事件數(shù)據(jù)推送、網(wǎng)絡(luò)安

全態(tài)勢預(yù)警數(shù)據(jù)推送、上網(wǎng)終端惡意代碼特征推送查詢、政府部門終端狀態(tài)信息匯總、網(wǎng)絡(luò)安全事件NAT

日志查詢等監(jiān)測服務(wù)功能。

聯(lián)動代理(LA)是部署在政府部門安全接入口的通信代理設(shè)施。LA與CMSS系統(tǒng)連接，并且與安全接入

口的安全防護、安全管理、日志服務(wù)器等相關(guān)設(shè)備連接。LA負責CMSS系統(tǒng)與安全接入口的安全防護、安

全管理、日志服務(wù)器等之間的監(jiān)測服務(wù)數(shù)據(jù)通信代理轉(zhuǎn)發(fā)。

本文件規(guī)定了CMSI接口通信要求、功能要求及接口流程規(guī)范。CMSI與LA、CMSS之間的關(guān)系如圖1所

示：

1

GB/TXXXXX.3—XXXX

圖1CMSI接口示意圖

5CMSI接口通信連接要求

CMSI接口進行數(shù)據(jù)傳輸時采用XML-RPC協(xié)議，并使用HTTPS進行可靠安全傳輸，調(diào)用參數(shù)與返回值一

律采用struct類型（關(guān)于XML-RPC協(xié)議規(guī)范可以參見/spec.html）。

網(wǎng)絡(luò)安全監(jiān)測服務(wù)系統(tǒng)CMSS與聯(lián)動代理LA通過CMSI接口建立連接傳輸數(shù)據(jù)前，需通過聯(lián)動代理的身

份鑒別。認證方式采用授權(quán)IP地址、證書和帳號口令三種方式相結(jié)合，CMSS只接受已經(jīng)通過上述認證的

數(shù)據(jù)通信請求。授權(quán)IP地址、頒發(fā)證書和帳號口令流程如下：

a)政府部門向政府網(wǎng)絡(luò)安全主管機構(gòu)報送需要與CMSS系統(tǒng)對接的聯(lián)動代理公網(wǎng)IP地址，政府網(wǎng)

絡(luò)安全主管機構(gòu)驗證確認IP地址正確無誤；

2

GB/TXXXXX.3—XXXX

b)CMSS系統(tǒng)登記IP地址，并關(guān)聯(lián)安全接入口聯(lián)動代理及其授權(quán)IP地址；

c)CMSS系統(tǒng)向聯(lián)網(wǎng)政府部門及其安全接入口聯(lián)動代理頒發(fā)證書及帳號口令，其中證書更新周期

為1年，口令更新周期為3個月。

6CMSI接口功能要求

6.1終端狀態(tài)信息匯總功能

CMSI實現(xiàn)從安全接入口安全管理設(shè)備定時向網(wǎng)絡(luò)安全監(jiān)測服務(wù)系統(tǒng)上傳政府部門活躍上網(wǎng)終端的

數(shù)量，各活躍終端內(nèi)網(wǎng)IP地址、主機名、MAC地址等信息。

6.2網(wǎng)絡(luò)攻擊特征下發(fā)功能

CMSI實現(xiàn)從網(wǎng)絡(luò)安全監(jiān)測服務(wù)系統(tǒng)向安全接入口安全防護設(shè)備下發(fā)網(wǎng)絡(luò)攻擊監(jiān)測特征。網(wǎng)絡(luò)攻擊監(jiān)

測用于監(jiān)測政府部門網(wǎng)絡(luò)安全事件，安全事件類型包括但不限于蠕蟲、木馬、僵尸網(wǎng)絡(luò)、漏洞利用、網(wǎng)

站后門、網(wǎng)頁篡改。

安全接入口相關(guān)設(shè)備和系統(tǒng)應(yīng)保證網(wǎng)絡(luò)安全監(jiān)測服務(wù)系統(tǒng)網(wǎng)絡(luò)攻擊監(jiān)測特征存儲和傳輸?shù)陌踩?/p>

6.3網(wǎng)絡(luò)安全事件下發(fā)功能

CMSI實現(xiàn)從網(wǎng)絡(luò)安全監(jiān)測服務(wù)系統(tǒng)向安全接入口安全管理設(shè)備下發(fā)網(wǎng)絡(luò)安全事件數(shù)據(jù)。網(wǎng)絡(luò)安全事

件數(shù)據(jù)是指政府主管部門收集或自行監(jiān)測到的涉及相關(guān)聯(lián)網(wǎng)政府部門的網(wǎng)絡(luò)安全事件數(shù)據(jù)，該聯(lián)網(wǎng)政府

部門根據(jù)接收到的事件信息進行網(wǎng)絡(luò)安全處置。

6.4網(wǎng)絡(luò)安全態(tài)勢預(yù)警信息下發(fā)功能

CMSI實現(xiàn)從CMSS系統(tǒng)向安全接入口安全管理設(shè)備下發(fā)網(wǎng)絡(luò)安全態(tài)勢預(yù)警數(shù)據(jù)。網(wǎng)絡(luò)安全態(tài)勢預(yù)警數(shù)

據(jù)是指政府主管部門掌握的網(wǎng)絡(luò)安全漏洞預(yù)警信息、網(wǎng)絡(luò)攻擊前期預(yù)警信息等數(shù)據(jù)，聯(lián)網(wǎng)政府部門根據(jù)

接收到的預(yù)警信息開展前期應(yīng)對措施（包括軟硬件系統(tǒng)漏洞修復(fù)、系統(tǒng)加固等）。

6.5網(wǎng)絡(luò)安全自主監(jiān)測事件上報功能

CMSI實現(xiàn)從安全接入口安全防護設(shè)備向CMSS系統(tǒng)上報網(wǎng)絡(luò)安全事件數(shù)據(jù)，上報的網(wǎng)絡(luò)安全事件數(shù)據(jù)

僅限于由CMSS下發(fā)的網(wǎng)絡(luò)攻擊監(jiān)測特征所監(jiān)測發(fā)現(xiàn)。

6.6終端惡意代碼特征下發(fā)及查詢功能

CMSI實現(xiàn)從CMSS系統(tǒng)向終端安全防護軟件下發(fā)聯(lián)網(wǎng)終端惡意代碼特征（包括但不限于惡意代碼文件

名、MD5值、文件特征碼和注冊表鍵值等），并接收惡意代碼特征掃描情況的反饋以及掃描到的疑似惡

意代碼樣本。

終端惡意代碼特征的查詢是一次性查詢，終端安全防護軟件接收惡意代碼特征查詢要求后，按代碼

特征對終端主機進行一次性查詢掃描，然后上傳掃描結(jié)果及疑似惡意代碼樣本。

終端特征碼描述表達式P，P形如單個TypeName:Offset:TypeValue鍵指對，或者多個TypeName:

Offset:TypeValue鍵指對的邏輯與、邏輯或、邏輯非的組合。特征鍵TypeName可以是惡意代碼文件名

Filename,MD5值FileMd5,文件特征碼FileBinaryFragment,注冊表鍵RegKey，特征值TypeValue是字

符串或者二進制數(shù)據(jù)的ASCII碼串，匹配偏移量Offset是指字符串或者二進制數(shù)據(jù)的ASCII碼串的起始匹

配位置（Offset是整數(shù)，0表示從首位位置開始匹配）。

6.7網(wǎng)絡(luò)安全事件NAT日志查詢功能

3

GB/TXXXXX.3—XXXX

實現(xiàn)網(wǎng)絡(luò)安全事件中內(nèi)網(wǎng)IP地址（NAT轉(zhuǎn)換前的內(nèi)網(wǎng)地址）查詢功能，根據(jù)公網(wǎng)IP地址、公網(wǎng)端口、

對端IP地址、對端端口、時間等數(shù)據(jù)，檢索終端內(nèi)網(wǎng)IP地址，終端內(nèi)網(wǎng)端口，終端MAC地址等數(shù)據(jù)。

7CMSI接口流程要求

7.1終端狀態(tài)信息匯總接口流程

安全接入口安全管理設(shè)備對活躍上網(wǎng)終端數(shù)量、內(nèi)網(wǎng)IP地址、主機名、MAC地址進行管理，并通過

CMSI定時向CMSS系統(tǒng)上傳政府部門上網(wǎng)終端的上述狀態(tài)信息。更新頻率不低于每5分鐘1次。詳細流程如

圖2所示：

時機：安全接入口終端管理系統(tǒng)收集到各上網(wǎng)終端狀態(tài)信息

發(fā)起方：LA

接收方：CMSS

圖2終端狀態(tài)監(jiān)測數(shù)據(jù)上報流程

7.2網(wǎng)絡(luò)攻擊特征監(jiān)測接口流程

安全接入口入侵檢測/入侵防御設(shè)備應(yīng)能通過CMSI接口接收CMSS系統(tǒng)推送的網(wǎng)絡(luò)攻擊監(jiān)測特征，并

根據(jù)接收到的特征對政府部門之間的內(nèi)部網(wǎng)絡(luò)流量、經(jīng)由安全接入口的互聯(lián)網(wǎng)流量進行監(jiān)測。詳細流程

如圖3所示

時機：CMSS系統(tǒng)有新增特征規(guī)則，并且需要下發(fā)給安全接入口安全管理系統(tǒng)

發(fā)起方：CMSS

接收方：IA

4

GB/TXXXXX.3—XXXX

圖3特征規(guī)則下發(fā)流程

7.3網(wǎng)絡(luò)安全事件下發(fā)接口流程

網(wǎng)絡(luò)安全事件下發(fā)是指CMSS系統(tǒng)將判定為惡意的事件數(shù)據(jù)通過CMSI接口下發(fā)至安全接入口安全管

理系統(tǒng)上，供用戶單位處置。詳細流程如圖4所示：

時機：CMSS系統(tǒng)監(jiān)測到惡意程序事件

發(fā)起方：CMSS

接收方：LA

圖4惡意事件下發(fā)流程

5

GB/TXXXXX.3—XXXX

7.4網(wǎng)絡(luò)安全態(tài)勢預(yù)警信息下發(fā)接口流程

網(wǎng)絡(luò)安全態(tài)勢預(yù)警下發(fā)是指CMSS系統(tǒng)將監(jiān)管部門掌握到的最新網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)以及預(yù)警信息數(shù)

據(jù)下發(fā)至安全接入口安全管理系統(tǒng)上，供用戶單位應(yīng)對和處置參考。詳細流程如圖5所示：

時機：CMSS系統(tǒng)有新的態(tài)勢數(shù)據(jù)或預(yù)警信息

發(fā)起方：CMSS

接收方：LA

圖5態(tài)勢和預(yù)警信息下發(fā)流程

7.5網(wǎng)絡(luò)安全自主監(jiān)測事件上報接口流程

網(wǎng)絡(luò)安全自主監(jiān)測事件是指安全接入口安全防護檢測設(shè)備(入侵檢測、入侵防御、防火墻等設(shè)備）

判定為可疑或惡意的事件數(shù)據(jù)（僅由CMSS系統(tǒng)推送特征產(chǎn)生的監(jiān)測數(shù)據(jù)）通過CMSI接口上報至CMSS系統(tǒng)

上，供監(jiān)管部門關(guān)聯(lián)分析判定。詳細流程如圖6所示：

時機：安全接入口安全防護檢測設(shè)備監(jiān)測到可疑或惡意程序事件

發(fā)起方：LA

接收方：CMSS

6

GB/TXXXXX.3—XXXX

圖6可疑或惡意的事件數(shù)據(jù)上報流程

7.6終端惡意代碼特征下發(fā)及查詢接口流程

安全接入口應(yīng)能通過CMSI接口