DB11 T 1288-2015 电子政务信息安全监控数据规范.pdf

《DB11 T 1288-2015 电子政务信息安全监控数据规范.pdf》由会员分享，可在线阅读，更多相关《DB11 T 1288-2015 电子政务信息安全监控数据规范.pdf（39页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 35.040 A24 DB11 北京市地方 标准 DB11/T 1288 2015 电子政务信息安全监控数据规范 Data specification of information security monitoring in electronic government 2015 - 12 - 30发布 2016 - 04 - 01实施 北京市质量技术监督局 发布DB11/T 1288 2015 I 目 次 引言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 1 5 数据交互关系 . 2 6 监控数据类型 . 2 6.1 报警信息类

2、. 2 6.2 通讯交互类 . 3 6.3 状态获取类 . 3 7 报警信息类数据格式 . 3 7.1 基本格式 . 3 7.2 报警信息公共域 . 3 7.3 报警信息专有域 . 4 8 通讯交互类数据要求 . 6 8.1 基本格式 . 6 8.2 知识库查询交互数据 . 6 8.3 审计查询数据 . 6 8.4 流量查询数据 . 9 8.5 Web监控策略下发数据 12 8.6 漏洞扫描策略下发数据 17 8.7 资产信息查询数据 19 9 状态获取类数据要求 20 9.1 基本格式 20 9.2 设备状态数据 20 9.3 系统日志数据 21 附录 A（资料性附录） 报警信息类数据格式示

3、例 . 22 附录 B（资料性附录） 通讯交互类数据格式示例 . 23 附录 C（资料性附录） 状态获取类数据格式示例 . 35 参考文献 . 36 DB11/T 1288 2015 II 引 言 随着北京市信息化水平的不断提高，以电 子政务为首 的信息系统 逐渐成为办 公办事 的主 要平 台 ， 政 务系统的 安全问题也逐渐成为整个社会必须面对 的公共安全问题之一。这为政务 信息系统的 整体安全监 控提出了新目标 ， 但是由于缺少 统一 的监控数据格式规范， 各安全 设备 生产 厂商对 数据交互 内容的理解 存在差异 ， 增加了 数据交互实现的随 意性， 使得 电子政务 信息 安全 监控系统

4、 需要 耗费大 量的 时间、人力、 物力来解决与安全 设备 之间 的交互 问题 ，是 北京 地区 电 子政务 信息 安全 监控系统建 设实际需 要。 本标准 的应 用便于 信息 安全 监控系统 出于 数据 传输或 数据 集成 的目 的进行 数据 访问 ，提高数据交换 共 享 的质 量和 效率 ，为 电子政务 监控 体系 构建 提供科学依 据和规范性 支持 。 DB11/T 1288 2015 1 电子政务信息安全监控数据规范 1 范围 本标准 规定 了电 子政务 信息 安全 监控数据 与信息 安全 监控系统 、安全 设备的数据交互关系，监控数 据的类型，报警信息类 、通讯交互类和状态获取类数据

5、的格式 。 本标准 适用 于电 子政务 信息 安全 监控系统 与各 类安全 设备 之间 的数据交互关系 。 2 规范性引用文件 下列文件 对于 本文件的 应用 是必 不可 少的 。 凡 是注 日期的引用文件， 仅所注 日期的 版本 适用 于 本文 件 。 凡是 不注 日期 的引用文件， 其最 新版 本（ 包括所 有的 修改单 ）适 用于 本文件。 GB/Z 19669 XML在电 子政务 中 的应 用指南 3 术语和定义 GB/T 25069-2010 界 定的以 及 下列 术语和定义 适用 于本文件 。 3.1 监控数据 monitoring data 信息安全 监控系统 从安全 设备获取的

6、报警 、通讯交互和状态获取 等数据信息 。 3.2 信息安全监控系统 information security monitoring system 为 发 现信息 安全事 件和 及时 预 警提 供支撑 的信息系统 。 3.3 报警信息类数据 alarm information class data 安全设备 向信息 安全 监控系统发 送的 安全 报警数据 。 3.4 通讯交互类数据 communication interactive class data 信息安全 监控系统 与安全 设备间进行 信息交互的数据 。 包括 信息查询数据和策略下发数据 。 3.5 状态获取类数据 state acq

7、uisition class data 信息安全 监控系统 从安全 设备获取 运行 状态和系统日志的数据 。 4 缩略语 下列缩略语 适用 于本文件 。 IP：网络 之间 互连 的协议 （Internet Protocol ） DB11/T 1288 2015 2 MIB：管 理信息库（Management Information Base ） OID： 对象 标识(Object IDentifier) SNMP：简单网络管 理协议 （Simple Network Management Protocol ） UTF：Unicode转 换格式（ Unicode Transformation Fo

8、rmat） URL： 统一 资源 定位符 （ Uniform Resource Locator） XML：可扩展置 标语言（eXtensible Markup Language ） 5 数据交互关系 本 标准 涵盖的 安全 设备包含 但 不限 于 入侵检测 /防御类设备 、防病毒 类设备、 防火墙 类设备 、审计 类设备 、Web 安全 类设备和漏洞扫描类设备 。 信息安全 监控系统 与安全 设备间 的交互数据 包括： a）报警信息类数据 ：信息安全监控系统 接收到 的安全 设备报警日志数据 ； b）通讯交互类数据 ：信息安全监控系统 与安全 设备 间进行 信息交互的 上下 行数据； c）状态

9、获取类数据 ：信息安全监控系统 从安全 设备获取运 行状态和系统日志 时的上 下行 数据 。 信息安全 监控数据 与信息 安全监控系统 、安全 设备的关系 如图 1所 示： 图1 监控数据与信息安全监控系统和安全设备的关系 6 监控数据类型 6.1 报警信息类 报警信息类监控数据 子分 类包括： a） 入侵检测 /防御 类设备的报警信息 ； b）防病毒 类设备的报警信息 ； c）审计类设备的报警信息； d） WEB安全 类设备的报警信息； e）防火墙 类设备的报警信息 ； f） 其他 设备的报警信息 。 DB11/T 1288 2015 3 6.2 通讯交互类 通讯交互类监控数据 子分 类包括

10、： a)知识库查询 : 安全 设备 为信息安全 监控系统提供 指定报警日志的详细 信息和 相 关知识查询服 务 的 标准与 规范，通 过 使 用知识库 唯一标 识（ 事 件 编号 或 报警 名称 ）查询 条件，获 得 知识库 中相关详细描 述； b)审计查询 : 审计类 安全设备为 信息 安全 监控系统提 供 统计信息查询 、行为 审计 详细 信息查询和 内 容 日志 详细 信息查询的 标准与规范，通 过使 用时间 范围、 源/ 目的ip 、源 /目的 端口 和协议等 查询 条 件， 获 得 相应 范围 内的 网络 行为 统计 结果 和详细 信息， 在 以 上查询 条件的基 础上添 加 源账号

11、 、目 的 账号 、是 否携带 附件 、关 键字 和主题 等 查询 条件， 可以查询 网络行为内容 详细 信息 ； c)流量查询 : 安全 设备 为 信息安全 监控系统提 供流量信息和流量 趋势 查询 服务 的 标准 和规范，通 过 使 用 IP、协议及 时间 范围 等查询 条件，获 得时间 范围 内 的流量信息和流量 趋势； d)资产信息查询 : 监控系统 为安全 设备提 供资产信息查询 服务 的标准 和规范， 安全设备 或其他 系统 通过此 数据， 进行 监控系统 上 资产信息的查询， 为安全设备提高报警 准确 性提 供 依据 ； e)Web监控策略下发: 安全设备为 监控系统提 供WEB

12、 监控策略下发 服务 的标准 和规范，监控系统通 过 此 数据 将WEB 监控策略下发至 安全 设备，设备 使用 该监控策略 进行 监控 ； f)漏洞扫描策略下发 : 安全 设备 为监控系统提 供漏洞扫描策略下发 服务 的标准 和规范，监控系统通 过 此 数据 将漏洞扫描策略下发至 安全 设备，策略 驱动 漏洞扫描设备 执行一个 即时扫描 任务 ， 或制定一个 周 期 性扫描 任务 计划 ； g)其他 交互通讯交互 ：除 以上类 别以 外的 所有交互讯息。 6.3 状态获取类 状态获取类监控数据 子分 类包括： a)获取状态 : 周期 性向 安全 设备 轮询系统状态信息 ； b)获取日志 ：安

13、全 设备 实时 向 信息 安全 监控系统 上报系统 操作 日志 ； c)其他 状态 ：除 以上 类别 以外的 所有状态获取数据 。 7 报警信息类数据格式 7.1 基本格式 报警信息类数据 由公共域和专有域 组成 ，公共域 指报警信息类监控数据的共有信息，专有域 指 特 有 信息。 每个 域由 多个 字段拼 接 而成 ，所 有字 段与 前字 段无 间隔 。 字段格式 形式 为： “ name:value;”，“ name”代表 字 段名 ， “ value”代表 字段值 。具体 格式 如下 ： a）字 段名 与字 段值 之间为半角的 冒号 ，字 段值 用半角 分号 作为 字段 结束 标识 ；

14、b） “ value”中 不应出现冒 号、分号 以及 无意 义的 空格，不 可避免 时采 用半角反斜杠 转义 。 报警信息类数据格式参 见附录A 。 7.2 报警信息公共域 报警公共域描 述格式 见表 1。 DB11/T 1288 2015 4 表 1 公共域描述格式 字段名称 基本信息 数据类型 长度（字节） 说明 Date 时间戳 字符 20 安全设备产生报警日志的时间点， 时间戳的数据格式 为“yyyy/mm/dd hh-mm-ss” IP 设备 IP地 址 字符 32 产 生 报警日志的 安全设备 管理 IP 地 址 ，数据格式 “ xxx.xxx.xxx.xxx” Severity

15、报警安全等级 字符 2 报警日志在安全设备中所定义安全等级，规范定义为 三级，用“1 、2 、3 ”表示，其 意义为 1=高 、 2=中 、 3=低 EventCode 报警唯一标识 字符 32 安全报警的唯一标识，唯一确定一条或一组报警 EventName 报警名称 字符 32 安全设备对报警信息的定义 ProtocolType 协议 字符 16 报警日志 中记 录信息 安全事 态所 使 用和 涉及 的网络 协议 SrcIP 源 IP地 址 字符 32 报警日志中信息安全事态发起方的 IP 地 址 ，数据格 式“xxx.xxx.xxx.xxx” SrcPort 源端口 字符 5 报警日志 中

16、信息 安全事 态发 起方 使 用的 网络 传输 层 端口号 DstIP 目 的 IP地 址 字符 32 报警日志中信息安全事态受害方的 IP 地 址 ，数据格 式“xxx.xxx.xxx.xxx” DstPort 目 的 端口 字符 5 报警日志 中信息 安全事 态受害方 使 用的 网络 传输 层 端口号 7.3 报警信息专有域 7.3.1 入侵检测 /防御类专有域 入侵检测 /防御 类专有域描述 格式 见表 2。 表2 入侵检测 /防御类专有域基本信息 字段名称 基本信息 数据类型 长度 （字节） 说明 AlarmCount 报警连续次数 字符 5 安全设备检测连续发现相同报警的次数 Act

17、ion 操作 字符 10 安全设备对信息安全事态的应对方式，用“ 检测、 阻断、 删除”表示 可选项 字符 用于信息的扩展 7.3.2 防病毒类专有域 防病毒 类专有域描 述格式 见表3 。 表3 防病毒类专有域基本信息 字段名称 基本信息 数据类型 长度 （字节） 说明 User 用 户 名 字符 52 被感染病毒主机的用户名或设备名 DB11/T 1288 2015 5 表 3 防病毒类专有域基本信息( 续) 字 段 名称 基本信息 数据类型 长度 （字节） 说明 Long 病毒长度 字符 5 被感染病毒的文件大小 Site 位置 字符 256 病毒所在位置 Action 操作 字符 10

18、 防病毒 类设备 对带毒 文件的 处 置，用 “隔离 、清除 、放 行 ”表示 可选项 字符 用于信息的扩展 7.3.3 防火墙类专有域 防火墙 类专有域描 述格式 见表4 。 表4 防火墙类专有域基本信息 字段名称 基本信息 数据类型 长度 （字节） 说明 LogDesc 日志描述 字符 52 简 要 说明产生报警的网络行为 Action 操作 字符 10 对 信息安全事态的处置结果 可选项 字符 用于信息的扩展 7.3.4 审计类专有域 审计类专有域描 述格式 见表 5。 表 5 审计类专有域基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 LogDesc 报警描述 字符

19、52 对 报警日志内容的简要描述 Keyword 关 键字 字符 20 审计检测规则中设置的关键字 RuleID 规 则 标 识 字符 5 审计报警 中， 网络 行为 活动 或内容违反 的检测 规则 所对 应 的 标 识 号 可 选项 字符 用于信息的扩展 7.3.5 Web安全类专有域 Web安全 类专有域描 述格式见表6 。 表6 Web 安全类专有域基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 SiteURL 网 站 URL 字符 52 设定进行监测网站的 URL地 址 URLID 网 站 URL标 识 字符 20 下发网站监测策略后， WEB安全 类设备针对具体网站

20、策略 返回的网站 URL唯 一标识 Descp 特征描述 字符 5 风险行为所采用的技术特征 DB11/T 1288 2015 6 表 6 Web安全类专有域基本信息（续） 字 段 名称 基本信息 数据类型 长度 （字节） 说明 AlarmURL 报警网页地址 字符 52 产 生 报警的网页地址 Desc 辅助信息 字符 52 对 报警日志的补充性说明 HttpMethod Http方 法 字符 20 拦截日志信息时， 该字段用于指明网络行为的 Http方 法 可选项 字符 用于信息的扩展 8 通讯交互类数据要 求 8.1 基本格式 通讯交互类数据 应采 用XML Schema 格式 。 并遵

21、照 本规范规定的 逻辑 结构、 元素 、 元素属 性以及 元素 间的关系 。 通讯交互类数据格式参 见附录B 。 8.2 知识库查询 交互数据 8.2.1 知识库查询请求 数据 知识库查询 请求以 KBRequest字段 为标 识，描 述格式 见表7 。 表7 知识库查询请求 基本信息 字段名称 基本信息 数据类型 长度 （字节） 说明 KBNameID 查询标识 字符 64 知识库的唯一标识，是知识库查询条件 8.2.2 知识库查询应答 数据 知识库查询 应答 以KBResponse字 段为标 识，描 述格式见表8 。 表8 知识库查询应答 基本信息 字段名称 基本信息 数据类型 长度 （字

22、节） 说明 KB 应 答 内容 字符 不限 返回查询 标识 在知识库 中所 对应 的 详细 描述 内容 ，未 查 询 到结果则此字段内容为空 8.3 审计查询 数据 8.3.1 审计查询请求 数据 审计查询 请求以 AuditInfoQueryRequest字 段为标 识， RequestType字段 标识查询 应 答的类 别，描 述 格式见表 9。 DB11/T 1288 2015 7 表 9 审计查询请求 基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 StartTime 开始时间 字符 20 查询限定 时间范围的 开始 时间，数据格式为 “ yyyy/mm/dd hh-

23、mm-ss” EndTime 结 束 时间 字符 20 查询限定 时间范围的 结束 时间，数据格式为 “ yyyy/mm/dd hh-mm-ss” SrcIP 源 IP 字符 32 查询请 求中限 定的 网络 行为 源 IP地 址 ， 可 为 单 个地 址， 也 可 为地址段 DstIP 目 的 IP 字符 32 查询请求中限定的网络行为目的IP地 址 ， 可 为 单 个地址， 也可为地址段 SrcPort 源端口号 字符 5 查询条件中限定的网络行为源传输层端口号 DstPort 目 的 端口号 字符 5 查询条件中限定的网络行为目的传输层端口号 Protocol 应 用 协议 字符 64

24、查询条件中限定的网络行为所采用的网络应用协议 Application 应 用 服 务 字符 64 应 用 服 务在指定应用前，指定协议类别字段 URL 具 体 URL 字符 256 针 对 协议类型选择http 协议时 ，填写的具体URL Keyword 限 定 条 件 字符 128 内容详细信息查询中设置的限定条件 SrcAccount 发件人账号 字符 64 Protocol字 段选 择邮件 或即时 通讯类别 时，填写 的发件 人 账号或者即时通讯账号 DstAccount 收 件 人 账号 字符 64 Protocol字 段选 择邮件 或即时 通讯类别 时，填写 的 收 件 人 账号或者

25、即时通讯账号 Subject 邮 件 主题 字符 64 行为详细 信息查询和 内容详细信息查询 中， 邮件类查询 的 邮 件 主题 HasAttachment 是否携带附件 字符 5 行为详细信息查询中邮件类是否携带附件， 字段值域为： Yes/No Limit 最 大 条 数 字符 5 最 大 条 数 RequestType 查询类别 字符 2 查询类别，RequestType=1 表 示 行为统计信息查询； RequestType=2表 示 行为 详细 信息查询； RequestType=3 表 示 内容详细信息查询 Classificatio n 统计分类 字符 64 统计分 类在 查询

26、类 别为行为 统计信息查询 时， 返回 结果 的统计分类依据，包括SrcIP: 源 IP、 DstIP:目 的 IP、 Protocol:协议、Application: 应 用 、 SrcAccount:发件 人、 DstAccount:收 件 人、 SrcPort:源端口、 DstPort:目 的 端口、Day: 时间- 天 、 Hour:时间-小 时 8.3.2 行为统计信息 应答 数据 DB11/T 1288 2015 8 行为统计信息 应答 以LogStatResponse 字段 为标 识，描 述 格式 见表 10。 表10 行为统计信息 应答 基本信息 字 段 名称 基本信息 数据类

27、型 长度 （字节） 说明 Logs 结果集 字符 不限 按classification 进行统计分 类后得到的结果集 TotalCount 结果集大小 字符 32 按 classification进行统计分 类后得到的结果集大小 Log 单 一 结果 字符 32 结果集的一条结果 ID 结果编号 字符 32 结果编号 Classificatio n 统计分类 字符 64 统计分 类， 当查询类 别为行为统计信息查询 时， 返回 结 果的统计分类 依据，包括 SrcIP:源 IP、 DstIP:目 的 IP、 Protocol:协议、Application: 应 用 、 SrcAccount:发

28、件 人、 DstAccount:收 件 人、 SrcPort:源端口、 DstPort:目 的 端口、Day: 时间- 天 、 Hour:时间-小 时 ClassifyValue 具体值 字符 64 根 据 Classification字 段而返回 的 具 体 值 Count 数量 字符 8 根 据统计条件统计后的数量 Percentage 比 例 字符 2 百 分 比 8.3.3 行为详细 信息 应答 数据 行为详细 信息 应答 以LogDetailResponse字 段为标 识，描述 格式 见表 11。 表11 行为详细 信息 应答 基本信息 字 段 名称 基本信息 数据类型 长度 （字节

29、） 说明 TotalCount 数量 字符 32 返回结果的数量 Log 单 一 结果 字符 32 一个返回结果 ID 结果编号 字符 32 一个返回结果的编号 Time 统计分类 字符 20 行为日志发生的时间，格式为“yyyy/mm/dd hh-mm-ss ” SrcIP 源 IP 字符 32 返回行为日志的源IP地 址 ，格式 为 “ xxx.xxx.xxx.xxx” DstIP 目 的 IP 字符 32 返回行为日志的 目的 IP 地 址 ，格式为 “ xxx.xxx.xxx.xxx” SrcPort 源端口号 字符 5 返回行为日志的源端口号 DstPort 目 的 端口号 字符 5

30、 返回行为日志的目的端口号 SrcMac 源 MAC地 址 字符 32 返回行为日志的源MAC 地 址 ，格式为 “ xx-xx-xx-xx-xx-xx” DB11/T 1288 2015 9 表 11 行为详细 信息 应答基本信息（续） 字段名称 基本信息 数据类型 长度 （字节） 说明 DstMac 目 的 MAC地 址 字符 32 返回行为日志的目 的MAC 地 址 ，格式为 “ xx-xx-xx-xx-xx-xx” Protocol 应 用 协议 字符 64 查询条件中限定的网络行为所采用的网络应用协议 SessionSize 日志大小 字符 10 返回网络行为活动日志的大小 SrcA

31、ccount 发件人账号 字符 64 源账号 DstAccount 收 件 人 账号 字符 64 目 的 账号 8.3.4 内容详细 信息 应答 数据 内容详细 信息 应答 以ContentResponse 字段 为标 识，描 述 格式 见表 12。 表12 内容详细 信息 应答 基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 TotalCount 数量 字符 32 返回结果的数量。 Log 单 一 结果 字符 32 一个返回结果。 ID 结果编号 字符 32 一个返回结果的编号。 Time 统计分类 字符 20 行为日志发生的时间，格式为“yyyy/mm/dd hh-mm-

32、ss ” SrcIP 源 IP 字符 32 返回行为日志的源IP地 址 ，格式 为 “ xxx.xxx.xxx.xxx” DstIP 目 的 IP 字符 32 返回行为日志的 目的 IP 地 址 ，格式为 “ xxx.xxx.xxx.xxx” SrcAccount 发件人账号 字符 64 源账号 ，指 内容 日志审计为 电 子邮件 时，日志的发件 人 账号 DstAccount 收 件 人 账号 字符 64 目 的 账号 ，指 内容 审计 为 电子邮 件 时，日志的 收件 人帐 户 Subject 邮 件 主题 字符 64 主题，指当内容审计为电子邮件时邮件的主题 MailSize 邮 件 大

33、 小 字符 32 邮 件 大 小 ， 单位为KB HasAttachment 是否携带附件 字符 6 邮 件 中 是 否带附件，值 域：true/false ， true代表邮件 中 存在附件，false代表邮件中 不存在附件 8.4 流量查询 数据 8.4.1 流 量信息 查询请求 数据 DB11/T 1288 2015 10 流量信息查询 请求以 FlowStatQueryRequest字段 为标识，描 述格式 见表 13。 表13 流量信息 查询请求 基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 StartTime 开始时间 字符 20 查询限 定时间 范围的 开始

34、时间 ，格式 为 “ yyyy/mm/dd hh-mm-ss” EndTime 结 束 时间 字符 20 查询限 定时间 范围的 结束 时间 ，格式 为 “ yyyy/mm/dd hh-mm-ss” IPList 地 址 列 表 字符 32 指 定 需 要查询流量的IP 地 址 ， 为 单 个地 址或地 址段 ，单 个 IP格式 “ xxx.xxx.xxx.xxx” ， IP地 址段 格式 “ xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx” Protocol 应 用 协议 字符 32 应 用 协议 Direction 方 向 字符 2 流量方向， 包括： 双方向、 流入、

35、 流出，用 0、1 、2 表 示， 0表示双方向，1 表示流入，2 表 示流出 Count 数量 字符 2 前 TOP多 少 数据，小于 50的 整 数， 0表 示 全 部 数据 8.4.2 流 量信息 查询应答 数据 流量信息查询 应答 以FlowStatQueryResponse字 段为标 识，描 述格式 见表 14。 表14 流量信息 查询应答 基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 TotalCount 数量 字符 2 前 TOP多 少 数据，小于 50的 整 数， 0表 示 全 部 数据 FlowIP 流量 字符 32 对应一个IP的 一个返回结果 ID 编

36、号 字符 32 一个返回结果的编号 IP IP地 址 字符 32 标 签 内 的流量信息为 此IP 产 生 ，格式为 “ xxx.xxx.xxx.xxx” FlowSize 流量大小 字符 32 流量大小，每个流量大小标签对应一个协议 Protocol 协议 字符 32 流量信息查询 所基 于的 网络协议 ，查询 条件 为单 个协议 查询时 ，返回 所查询的 协议 对应 的流量 大小 ；查询 条件 为多个 协议 查询 时， 则返回 统计流量 总和以 及每 个协议 对应的流量大小 8.4.3 流 量 趋势查询请求 数据 流量趋势 查询 请求数据以FlowTrendQueryRequest字 段为

37、标 识，查询 条 件包括 时间段 、IP地 址、 流 量方向 、返回方 式和 协议 ，描述 格式 见表 15。 DB11/T 1288 2015 11 表 15 流量趋势查询请求 基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 StartTime 开始时间 字符 20 查询限 定时间 范围的 开始 时间 ，格式 为 “ yyyy/mm/dd hh-mm-ss” EndTime 结 束 时间 字符 20 查询限 定时间 范围的 结束 时间 ，格式 为 “ yyyy/mm/dd hh-mm-ss” IPList 地 址 列 表 字符 32 指 定 需 要查询流量的IP 地 址 ，

38、 为 单 个地 址或地 址段 ，单 个 IP格式 “ xxx.xxx.xxx.xxx” ， IP地 址段 格式 “ xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx” Protocol 应 用 协议 字符 32 应 用 协议 Direction 方 向 字符 2 流量方向， 包括： 双方向、 流入、 流出，用 0、1 、2 表 示， 0表示双方向，1 表示流入，2 表 示流出 ReturnType 返回方式 字符 10 查询结果返回方式，当ReturnType=month 时 ， 表 示 返回 结果时以月为单位；当ReturnType=day 时 ， 表 示 返回结 果 时

39、以 天 为 单位； 当ReturnType=hour 时 ， 表 示 返回结果 时以小时为单位； 当ReturnType=minute 时 ， 表 示 返回结 果以分钟为单位 8.4.4 流 量 趋势查询应答 数据 流量趋势 查询 应答 数据以 FlowTrendQueryResponse字 段为标 识，描 述格式 见表 16。 表 16 流量趋势查询应答 基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 TotalCount 数量 字符 2 前 TOP多 少 数据，小于 50的 整 数， 0表 示 全 部 数据 FlowIP 流量 字符 32 对应一个IP的 一个返回结果 I

40、D 编号 字符 32 一个以IP为 基 准 的 返回结果的 编号 IP IP地 址 字符 32 流量趋势查询的IP地 址 ， 每 个 IP地 址 对应多个FlowTime FlowTime 结果时间 字符 20 一个时间点对应的返回结果 Time 时间点 字符 20 返回结果中的 时间点，流量趋势 查询数据中 ReturnType 字 段 指 定 了 返回结果中时间的 单位：ReturnType=month 时 ， 时间以月为单位；ReturnType=day 时 ， 时间以天为 单位；ReturnType=hour 时 ， 时间以小时为 单位； ReturnType=minute时 ， 时间

41、以 分钟为单位 FlowSize 流量大小 字符 10 流量大小信息，单位为KB DB11/T 1288 2015 12 表 16 流量 趋势查询应答基本信息（续） 字段名称 基本信息 数据类型 长度 （字节） 说明 Protocol 协议 字符 32 协议信息，查询 条件 为单个 协议 查询 时， 返回 所查询的 协议， “xxx”代表协议名称； 查询全部协议时， 返回all 项 ； 查询 条件 为多 个协议查询时 ， 返回多 个协议 对应 的 项 ， 此 时 流量大小标记有多项 8.5 Web监控 策略 下发数据 8.5.1 策 略 下发数据 策略下发数据以 WebMonitorPolic

42、yIssue字 段为标 识，描述 格式 见表 17。 表17 策略下 发数据基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 PolicyIssue 策略主题 字符 32 针 对一个站点的web监控策略下发 ID 编号 字符 32 policyIssue的 编号 SiteURL 站点地址 字符 256 策略中 定义的 站点 ，对 此站点进行监控， 站点 为单 个站 点 SiteInfo 站点信息 字符 32 站点信息站点检测功能 Usability 可 用性 字符 32 可 用性检测功能 Content 内容 字符 32 内容检测功能 Vul 脆弱性 字符 32 脆弱性检测功能

43、 IsUse 是 否 使 用 字符 2 策略是否被使用， Web监控策略 所包括的四种功能中， 每 一 种功能都与一个isUse 对应 ，isUse=0 表 示不 使 用 该 功 能 ， isUse=1表 示 使 用 该 功能 SycleSize 执 行 周 期 字符 2 策略的 执行 周期 ，分 为立即执行、分 钟、 小时、 天、 周 和 月 。值 域为 ： 0-立 即执行 ， 1-分 钟 ， 2-小 时 ， 3-天 ， 4-周 ， 5-月 SycleValue 执 行 周 期 字符 2 周 期 值 ， 当 执 行 周 期 选 择 除 0以 外 的 选项值时才有作用。 周期值分别为分钟 0-

44、60 、 小 时 1-24、 天 1-7、 周 1-52、 月 1-12 Depth 深 度 字符 2 检测的 深度 ，指 进行 检测的 页 面深度 ，对于 不同 的功能 模块定义不同的深度 8.5.2 策 略 下发 应答 数据 DB11/T 1288 2015 13 策略下发 应答 以WebMonitorPolicyResponse 字段 为标识，描 述格式 见表 18。 表18 策略下 发应答 基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 TotalCount 数量 字符 32 返回结果的数量 URLBack 返回信息 字符 32 一个返回的URL信息，包括配置 的UR

45、L和 对应 URLID ID 编号 字符 32 URLBack的 编号 URLID 站点信息 字符 256 站点ID ， 指 策略 中定义的 URL所 对应 的ID ， 对 策略 中URL 的 相 关 配 置 进行修改和删除可通过此ID进行标识 SiteURL 站点信息 字符 256 站点URL， 指 策略中定义的要进行 监控的某单个站点 8.5.3 策 略 编辑 数据 策略编 辑数据以 WebMonitorPolicyUpdate字段 为标 识，描述 格式 见表 19。 表19 策略编辑 数据基本信息 字 段 名称 基本信息 数据类型 长度 （字节） 说明 WebMonitorPol icy

46、Update 监控策略编辑 字符 32 一 次 Web监控策略编辑，下发对 象包括多个站点 PolicyUpdate URL 字符 32 针 对一个URL的 Web监控策略编 辑 ID 编号 字符 32 policyUpdate的 编号 SiteInfo 站点信息 字符 32 站点信息站点检测功能 Usability 可 用性 字符 32 可 用性检测功能 Content 内容 字符 32 内容检测功能 Vul 脆弱性 字符 32 脆弱性检测功能 URLID 站点ID 字符 256 指 策略 中定义的 URL所 对应 的ID ， 对 策略 中URL 的 相 关 配 置 进行修改和删除可通过此I

47、D 进行标识 OperateState 操作类型 字符 2 策略操作类型，1-修改，2- 删除 SiteURL 站点URL 字符 256 站点URL，策略中定义的进行监控的某单个站点 IsUse 是 否 使 用 字符 2 策略是否被使用， Web监控策略 所包括的四种功能中， 每 一 种功能都与一个isUse 对应 ，isUse=0 表 示不 使 用 该 功 能 ， isUse=1表 示 使 用 该 功能 SycleSize 执 行 周 期 字符 2 策略的 执行 周期 ，分 为立即执行、分 钟、 小时、 天、 周 和 月 。值 域为 ： 0-立 即执行 ， 1-分 钟 ， 2-小 时 ， 3

48、-天 ， 4-周 ， 5-月 DB11/T 1288 2015 14 表 19 策略 编辑 数据基本信息（续） 字段名称 基本信息 数据类型 长度 （字节） 说明 SycleValue 执 行 周 期 字符 2 周 期 值 ， 当 执 行 周 期 选 择 除 0以 外 的 选项值时才有作用。 周期值分别为分钟 0-60 、 小 时 1-24、 天 1-7、 周 1-52、 月 1-12 Depth 深 度 字符 2 检测的 深度 ，指 进行 检测的 页 面深度 ，对于 不同 的功能 模块定义不同的深度 8.5.4 策 略 执行 状态 查询请求 数据 策略执 行状态查询 请求以 PolicySt

49、ateQueryRequest字段为标 识，描 述格式 见表 20。 表20 策略执行 状态 查询请求 基本信息 字段名称 基本信息 数据类型 长度 （字节） 说明 PolicyStateQu eryRequest 状态查询 字符 32 一个执行状态查询 URLID 站点 ID 字符 256 站点ID， 是 策略中定义的 URL对应 的 ID， 进行一个或多个 URL对应检测状态查询 8.5.5 策 略 执行 状态 查询应答 数据 策略执 行状态查询 应答 以policyStateQueryResponse字 段 为标 识，描 述格式 见表 21。 表21 策略执行 状态 查询应答 基本信息 字段名称 基本信息 数据类型 长度 （字节） 说明 PolicyStateQu eryResponse 状态查询应答 字符 32 一个策略状态查询应答 ResponseState 应答状态 字符 32 在一个 URL上 执 行 检测 动作的状态， 包括 URLID和 动作执 行 的 具 体 状态信息 URLID 站点 ID 字符 256 站点ID， 是 策略中定义的 URL对应 的 ID， 进行一个或多个 URL对应检测状态查询 URLState 监 测 状态 字符 4 执 行 检测动作的状态， 返回值为两种情况: 一种为-1 ， 表 示策略不存