《信息安全技术网络安全产品互联互通告警信息格式》编制说明.pdf

国家标准报批材料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安

全技术网络安全产品互联互通告警信息格式》由国家信息中心负责承办，计划

号：202XXXXX-T-469。本标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景

网络安全产品作为掌握网络运行状况、预警网络安全威胁和隐患的要素，由

于安全设置策略、厂商技术路线、知识产权和专利等因素，存在着接口规范不统

一、业务应用和数据难以融合的问题。亟需打通防护、分析、检测、处置等不同

类别安全产品间的互联互通通道，实现对安全事件的快速应对，最大化发挥各领

域安全产品协同效能，有效解决由于信息格式不统一带来的信息内容难以有效整

合利用、同一事件重复告警导致应急处置效率较低等问题，有利于提高网络安全

综合保障能力。

在网络安全产品所需要交换的数据之中，告警信息是网络安全产品进行安全

风险分析和态势感知的基础，通常包括告警名称、告警类型、IP、端口、协议等

信息，是网络安全产品之间需要交换的重要信息。

为了满足网络安全产品互联互通的需求，本标准拟在国家标准《信息安全技

术网络安全产品互联互通框架》所规划的框架下，对网络安全产品报送的告警

信息结构和数据格式进行规范,给出各类告警的信息结构和数据格式，指导网络

安全产品互联互通工作建设。

1.3起草过程

（1）前期工作

2022年7月，为落实《网络安全法》《关键信息基础设施安全保护条例》

《党委（党组）网络安全工作责任制实施办法》等法律法规、政策文件提出的建

立跨部门、跨行业高效联动的现代化网络安全防护能力要求，推动网络安全产品

互联互通，中国网络安全产业联盟成立了网络安全产品互联互通标准工作组。工

作组围绕网络安全产品互联互通存在的信息交互格式不统一的问题，按照2022

年立项的国家标准《信息安全技术网络安全产品互联互通框架》的规划设计，

组织研制了《信息安全技术网络安全产品互联互通告警信息格式》技术规范，

1

国家标准报批材料

用于解决告警信息数量增长迅速，告警信息格式、粒度不统一带来的处理难度增

加等日益显著的问题。

2022年9月，经充分考虑各行业客户对告警信息互联互通的需求，结合实

际项目工程经验，参考国内外相关标准，形成团体标准《信息安全技术网络安

全产品互联互通告警信息格式（草案）》。

2022年11月至2023年1月，工作组组织国家信息中心、天融信、深信服

等10余家用户单位和安全厂商，开展技术规范试点验证工作，选取典型应用场

景、典型产品和真实数据，对技术规范内容合理性和可操作性进行验证。验证内

容主要包括告警分类与告警信息数据格式，总表格数28项。围绕恶意程序、网

络攻击、数据安全、异常行为及其他告警等5大类，共计263个字段进行验证。

其中，必填字段72项，选填字段191项。验证选取的产品包括态势感知、网络

入侵检测、EDR、防火墙、安全监测等10类，共计14款产品，有8款产品对28

项告警表格的适用性超过60%。试点验证结果显示标准和实际产品和工程项目的

符合情况较好，必填字段平均符合率为80.93%，可选字段平均符合率47.39%。

2023年4月，工作组就团体标准《信息安全技术网络安全产品互联互通告

警信息格式（征求意见稿）》公开征求意见，收到26条意见反馈后对文本进行

修改完善。后续工作转为网络安全标准实践指南工作进行。

2023年8月，全国信息安全标准化技术委员会发布《网络安全标准实践指

南——网络安全产品互联互通告警信息格式（征求意见稿）》，面向社会征求意

见。征求意见稿规定了网络安全产品互联互通时告警信息的描述格式，其适用于

网络安全产品互联互通功能的设计、开发、应用和测试。征求意见稿从不同网络

安全产品告警信息有效互通和整合的角度出发，将网络安全产品告警信息类型分

为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警等五

类，并细分为二十一个子类，规定了各类告警信息的通用信息和专有信息格式，

并给出对应的字段表，包括字段名称、字段说明、字段类型以及是否必填等字段。

（2）基础研究和调研

组建标准编制项目组，从相关政策法