ICS 35.240 GA 06 V 中华人民共和国公共安全行业标准 GA/T 699—2007 信息安全技术 计算机网络入侵 报警通讯交换技术要求 Information security technology--Communication exchange criterion for alert of computer network intrusion 2007-07-01实施 2007-05-14发布 中华人民共和国公安部 发布 GA/T699—2007 目 次 前言 II 1 范围 2规范性引用文件 3术语和定义 4运行环境 4.1系统结构 4.2网络型人侵检测系统运行要求 4.2.1信息处理功能 4.2.2 信息上报功能 4.2.3 数据保存功能 5数据交换接口元索定义 5.1基本数据类型 5.2基本属性说明 5.3报警接口元素定义 5.3.1 Alarm元素定义 5.3.2 Alert元素定义 5.3.3 HeartBeat元素定义 5.3.4 Analyzer元素定义 5.3.5 Unit元素定义 5.3.6 Node元素定义…. 5.3.7 Address元素定义 5.3.8 Source元索定义. 5.3.9 Target元素定义 5.3.10 MatchRecord元素定义 10 5.3.11 AlertLevel元素定义 11 5.3.12 Impact元素定义 ... 12 5.3.13 Classification元素定义 13 5.3.14 CImpact元索定义 14 5.3.15 AdditionalData元素定义 15 5.3.16 StatRecord元索定义 16 5.3.17 Status元素定义 17 6数据交换保存格式· 18 6.1格式描述表 18 6.2说明 21 上报文件命名规范 22 7 7.1命名格式 22 I GA/T699—2007 7.2 示例· 22 8 报警流程 22 8.1在线报警流程· 22 8.2离线报警流程 22 9 数据接口描述文档· 22 II GA/T6992007 前 本标准由公安部公共信息网络安全监察局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、上海金诺网络安全技术发展 股份有限公司、北京中科网威信息技术有限公司、北京启明星辰信息技术有限公司、北京榕基网安科技 有限公司。 本标准主要起草人：沈亮、顾健、丁鼎、肖江、徐秋芬、朱代祥。 Ⅲ GA/T 699—2007 信息安全技术计算机网络入侵 报警通讯交换技术要求 1范围 本标准规定了报警处置系统中网络型入侵检测系统的相关接口元素定义、保存格式、命名规范和报 警流程。 本标准适用于报警处置系统的开发和建设，相关开发商或集成商可参照本标准执行。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单（不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。 GB/T2260中华人民共和国行政区划代码 GB2312一1980信息交换用汉字编码字符集基本集 GB18030一2000信息技术信息交换用汉字编码字符集 基本集的扩充 GA/Z02-2005公安业务基础数据元索代码集 GA/T7002007信息安全技术计算机网络人侵分级要求 3术语和定义 3. 1 网络型入侵检测系统networkintrusiondetectionsystem 通过监视网络中的数据包，发现是否有恶意用户或误用用户尝试非正常进入系统的产品套件。网 的网络通讯。本标准覆盖网络型人侵检测系统（英文简写为NIDS)，不涉及主机基人侵检测系统（英文 简写为HIDS)。 3. 2 报警处置系统alarmmanagersystem 对来自各类业务系统的报警进行统一处置的平台，其中包含对前端人侵检测设备的数据传输接口。 本标准涉及的是报警处置系统的前端信息接收部分。 3.3 上报数据uploaddata 网络型人侵检测系统向报警处置系统远程接口上报的信息。上报数据应符合本标准中对数据格式 的要求。 4运行环境 4.1系统结构 系统结构由网络型入侵检测系统、报警处置系统的远程接口组成。网络型入侵检测系统实现对网 络行为的识别和处理、规则匹配和报警等功能；报警处置系统定义接收上报数据的远程接口，实现了信 息收集和汇总。结构如图1所示。 1 GA/T699-2007 报警处置系统 其他业务系统 其他业务系统 入侵检测系统 报警接口模块 报警接口模块 报警接口模块 本标准覆盖的 系统范围 入侵检测系统 入侵检测系统 入侵检测系统 接口模块 接口模块 接口模块 入侵检测系统 入侵检测系统 入侵检测系统 图1 报警处置系统结构 4.2网络型入侵检测系统运行要求 4.2.1信息处理功能 网络型入侵检测系统应能够按照本标准第6章的要求生成上报信息。 4.2.2 信息上报功能 网络型入侵检测系统应提供向报警处置系统在线上报和离线上报信息的功能； a) 在线上报信息时，网络型人侵检测系统应能够通过网络向报警处置系统的远程接口上报信 息，推荐使用XML进行网络传输； 离线上报信息时，网络型入侵检测系统应按照本标准第6章的要求向固定的存储介质进行 导出。 4.2.3数据保存功能 网络型人侵检测系统应能够按照主管部门要求，在本地保存规定时间间隔的上报信息。 5数据交换接口元素定义 5.1 基本数据类型 基本数据类型见表1。 表1基本数据类型 类型名称 数据类型 解 日期时间型 datatime GA/Z02—2005 已知长度的，由多个字符组成的数据类型。 sting 字符串型 例如；“thenumber is19” 有序的一列可接受值组成的数据类型，每个值有一个等级序号。本标 准对等级序号没有要求，值之间关系为“或”。使用（)”进行内容描 枚举型 enumeration 述，“”进行分隔。 例如：(datetime|string|integer|boolean|xml) 整数型 integer 例如；“123”，“+123”，“123” 2 GA/T699—2007 表1(续) 类型名称 数据类型 注解 表示条件的有效性，使用“0”代表假，“1”代表真。 布尔型 boolean 例如：“0”，“1” 表示端口列表。使用逗号分隔整数，使用“”表示范围。 自定义型 portlist 例如：“22,80,6881-6889” 5.2 基本属性说明 本标准中在Alert、Analyzer、Unit、Node、Source、User、Userld、Process、Target、File、 MatchRecord、AlertLevel都定义了ident属性，此属性可以表示节点的唯一编号，但并不要求全局唯 一。不同的网络型人侵检测系统可以采用自身唯一的编号，在自身范围中有效。 报警处置系统与网络型入侵检测系统可以通过预定义的方式，使用ident属性传递内部定义的编 号，以达到减少通讯流量，加快信息收集的目的。 5.3报警接口元素定义 5.3.1Alarm元素定义 a）简述： Alarm元素是构成报警信息的根节点。它由version属性规定格式版本，由alarm_type属性定义 产生报警的类型。缩写的定义见表2。 表2报警的类型 等级序号 缩 写 描 述 1 nids 网络型入侵检测系统 2 hids 主机型入侵检测系统 3 扫描器系统 scanner 4 firewall 防火墙 5 sms 短信系统 6 e-mail 邮件系统 7 router 路由器 8 switch 交换机 info 9 其他信息系统 由于本标准属于网络型人侵检测系统数据接口技术规范，在alarm_type中默认为“nids”。 Alarm由报警内容信息的Alert、探测设备的同步信息的HeartBeat这两个元素组成。 h）属性表： 属性类型见表3。 表3属性 属性名 属性类型 注 解 version string 报警格式的版本，现在固定值1.0 报警的整体类型，表明属于哪一大类的报警信息。 alarm_type enumeration 内容为： (nids|hids|scanner|firewall| sms|e-mail| router| switch/info) 3