ICS 35.020 L 07 MH 中华人民共和国民用航空行业标准 MH/T 0075—2020 民用航空网络安全监测数据接口格式规范 Data interface format specification of ci vil aviation cyber security monitoring 2020 - 07 - 20发布　　　　　　　　　　　　　　　　　　 2020 - 10-01实施 中国民用航空局 发布 MH/T 0075— 2020 I 前 言 本标准按照GB/T 1.1-2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国民航科学技术研究院归口。 本标准起草单位：中国民航大学、中国民用航空局空中交通管理局。 本标准主要起草人：周景贤、王双、张礼哲、顾兆军、唐屹、刘春波、隋翯、刘超、吕宗平、杨锐、 陈宝刚。 MHMH/T 0075— 2020 1 民用航空网络安全监测数据接口格式规范 范围 本标准规定了民用航空（以下简称民航）重要信息系统安全监控预警及应急处置平台（以下简称平 台）接口功能要求、接口方法定义、数据代码表等要求。 本标准适用于民航重要信息系统安全监控预警及应急处置平台的数据交换接口。 民航各企事业单位建设多级网络安全监控预警及应急处置平台，可参照本标准执行。 平台框架 民航重要信息系统安全监控预警及应急处置平台分二级部署。一级平台具备组织协同、人员协同、 技术协同等网络与信息安全管理功能，实现监测、预警、处置、验证的风险闭环管理，同时具备向国家管理部门上报情况、接收信息，以及和相关部门单位交换数据功能。二级平台具备采集、分析和管理企事业单位的网络设备、安全设备和业务系统等安全信息功能。各平台间的数据交换采用安全通道和接口标准交换。其中一级平台由民航管理部门统一建设，二级平台由民航各企事业单位自行建设。平台整体框架见图1。 国家管理部门 一级平台 （行业主管部门） 外部单位 二级平台 （民航企事业单位） 二级平台 （民航企事业单位） 二级平台 （民航企事业单位） 图1 平台整体框架图 接口功能要求 一级平台数据接口 数据接收接口  包括：  二级平台报送数据接口：接收二级平台报送的数据信息； 威胁情报接收接口：接收情报合作单位的威胁情报信息。 数据输出接口 MHMH/T 0075— 2020 2 包括： a) 反馈结果输出接口：向二级平台反馈接收到数据的统计信息； b) 威胁情报输出接口：向情报需求单位输出指定的威胁情报消息。 二级平台数据接口 数据接收接口 数据接收接口是统计结果接收接口，用于接收一级平台反馈的数据统计信息。 数据输出接口 数据输出接口是数据报送接口， 用于响应一级平台的数据采集请求信息， 向一级平台上报安全数据。 接口方法定义 数据接收接口 一级平台数据接收接口 见表1。 一级平台数据接收接口 接口名称 数据接收接口（一级平台） 功能描述 接收二级平台推送的数据信息（数据类型包括4类：详见本表格中“传入参数”部分） 接口实现方 一级平台 { “taskId” ： “任务id” ，//按需监测任务编号 [1] “taskName” ： “任务名称” ，//按需监测任务名称[1] “taskType” ： “time_acquisition” ，//任务类型[2] “sender” ： “subCACSMP” ，//发送者（统一编号） “senderIP” ： “10.12.12.3” ，//发送者IP（系统获取） “senderUnit” ： “二级平台某单位” ，//发送者单位（二级平台统一编号） “senderTime” ： “2018-09-12 12:09” ，//发送时间 “dataType” ： “threat_event” ，//数据类型 [3] “data” ： “data”//list类型数据[4] } 备注： [1].在涉及按需监测任务数据上报时，参数taskId、taskName必填。 [2].taskType 取值： according_monitor - 按需监测任务 time_acquisition - 定时采集任务 [3].datatype 取值： threat_event - 攻击事件 MH/T 0075— 2020 3 表1（续） 接口名称 数据接收接口（一级平台） 传入参数 system_status - 运行状态日志 asset_info - 系统资产信息 audit - 审计数据 flow - 网络流量数据 depth_analysis - 载荷深度分析数据 vulnerability - 脆弱性数据 [4].data 攻击事件（详见5.1） 运行状态日志（详见5.2） 系统资产信息（详见5.3） 按需监测数据（审计、网络流量、载荷深度分析和脆弱性数据，详见5.4） 返回结果 //请求成功： { “status” ： “success” ， } //请求失败： { “status” ： “201” ，//状态码含义详见5.6.1 “msg” ： “error msg”// 失败原因 } 威胁情报接收接口 见表2。 威胁情报数据接收接口 接口名称 数据接收接口 功能描述 一级平台接收情报共享单位的安全情报消息 接口实现方 一级平台 传入参数 { “URL” ： “www.ads.com” … … } [1] 备注： [1].根据威胁情报不同类型传入不同的属性值（详见第5.5） MHMH/T 0075— 2020 4 表2（续） 接口名称 数据接收接口 返回结果 //请求成功： { “status” ： “success”, } //请求失败： { “status” ： “fail” ， “msg” ： “error msg”// 失败原因 } 数据输出接口 反馈结果输出接口 见表3。 反馈结果输出接口 接口名称 反馈结果输出接口（一级平台） 功能描述 返回数据处理后的结果信息，包括：成功上传的数据数量、类型、耗费时间。 该接口用于数据上传单位查询自己的数据贡献情况。 接口实现方 一级平台 传入参数 { “noticeID”:“no-012” //发送过的通知ID } //注：若输入参数noticeID 为空，则返回所有的通知反馈消息 返回结果 //请求成功： { “status” ： “success” ， “data” ： { “num” ： “102302” ，// 数量 “dataType” ： “assetInfo” ，// 类型 “uploadTotalTime” ： “3092”//耗费时间(单位：秒) } } //请求失败： { “status”:“fail”, “msg”:“error msg”// 失败原因 } MH/T 0075— 2020 5 威胁情报输出接口 见表4。 威胁情报输出接口 接口名称 威胁情报输出接口（一级平台） 功能描述 根据情报共享单位的输入请求，返回指定的威胁情报数据 接口实现方 一级平台 传入参数 { “URL” ： “www.ads.com” ，//域名url “SamMD5” ： “0240308a1ae03b98fe6628fe6fa5c59d” ，//样本的MD5值 “reqIP” ： “120.123.12.11” ，//查询者的IP “reqID” ： “A-012-12” ，//查询者的编号 } //注：输入参数URL和SamMD5不可以同时为空，否则返回数据为空，其它情况均可以返回数据 返回结果 //请求成功： { “status” ： “success” ， “data” ： { { “URL” ： “www.ads.com” //字段详见第5.5各章节 … … } } } //请求失败： { “status” ： “fail” ， “msg” ： “error msg”// 失败原因 } 数据报送接口 见表5。 数据报送接口 接口名称 数据报送接口（二级平台） 功能描述 向一级平台上报安全数据的接口。 接口实现方 二级平台 MHMH/T 0075— 2020 6 返回结果 //请求成功： { “status”:“200”,//返回响应状态码 “data”:“data”//加密后的数据 //data对应的原始数据（即解密后数据）字段表分别为： （详见5.1-5.3数据代码表）//事件和日志（SecLog）字段表 //系统运行状态（SysState）字段表 //系统资产信息（assetInfo）字段表 } //请求失败： { “status”:“201”, //返回响应状态码 “msg”:“error msg” //失败原因 } 数据交互内容及数据代码表 攻击事件 事件报告 各二级平台对各类安全监测日志进行验证分析，形成事件报告，事件