DB11 T 1288-2015 电子政务信息安全监控数据规范.pdf

资源描述

1、 ICS 35.040 A24 DB11 北京市地方标准 DB11/T 1288 2015 电子政务信息安全监控数据规范 Data specification of information security monitoring in electronic government 2015 - 12 - 30发布 2016 - 04 - 01实施北京市质量技术监督局发布DB11/T 1288 2015 I 目次引言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 1 5 数据交互关系 . 2 6 监控数据类型 . 2 6.1 报警信息类

2、. 2 6.2 通讯交互类 . 3 6.3 状态获取类 . 3 7 报警信息类数据格式 . 3 7.1 基本格式 . 3 7.2 报警信息公共域 . 3 7.3 报警信息专有域 . 4 8 通讯交互类数据要求 . 6 8.1 基本格式 . 6 8.2 知识库查询交互数据 . 6 8.3 审计查询数据 . 6 8.4 流量查询数据 . 9 8.5 Web监控策略下发数据 12 8.6 漏洞扫描策略下发数据 17 8.7 资产信息查询数据 19 9 状态获取类数据要求 20 9.1 基本格式 20 9.2 设备状态数据 20 9.3 系统日志数据 21 附录 A（资料性附录）报警信息类数据格式示

3、例 . 22 附录 B（资料性附录）通讯交互类数据格式示例 . 23 附录 C（资料性附录）状态获取类数据格式示例 . 35 参考文献 . 36 DB11/T 1288 2015 II 引言随着北京市信息化水平的不断提高，以电子政务为首的信息系统逐渐成为办公办事的主要平台，政务系统的安全问题也逐渐成为整个社会必须面对的公共安全问题之一。这为政务信息系统的整体安全监控提出了新目标，但是由于缺少统一的监控数据格式规范，各安全设备生产厂商对数据交互内容的理解存在差异，增加了数据交互实现的随意性，使得电子政务信息安全监控系统

4、需要耗费大量的时间、人力、物力来解决与安全设备之间的交互问题，是北京地区电子政务信息安全监控系统建设实际需要。本标准的应用便于信息安全监控系统出于数据传输或数据集成的目的进行数据访问，提高数据交换共享的质量和效率，为电子政务监控体系构建提供科学依据和规范性支持。 DB11/T 1288 2015 1 电子政务信息安全监控数据规范 1 范围本标准规定了电子政务信息安全监控数据与信息安全监控系统、安全设备的数据交互关系，监控数据的类型，报警信息类、通讯交互类和状态获取类数据

5、的格式。本标准适用于电子政务信息安全监控系统与各类安全设备之间的数据交互关系。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/Z 19669 XML在电子政务中的应用指南 3 术语和定义 GB/T 25069-2010 界定的以及下列术语和定义适用于本文件。 3.1 监控数据 monitoring data 信息安全监控系统从安全设备获取的

6、报警、通讯交互和状态获取等数据信息。 3.2 信息安全监控系统 information security monitoring system 为发现信息安全事件和及时预警提供支撑的信息系统。 3.3 报警信息类数据 alarm information class data 安全设备向信息安全监控系统发送的安全报警数据。 3.4 通讯交互类数据 communication interactive class data 信息安全监控系统与安全设备间进行信息交互的数据。包括信息查询数据和策略下发数据。 3.5 状态获取类数据 state acq

7、uisition class data 信息安全监控系统从安全设备获取运行状态和系统日志的数据。 4 缩略语下列缩略语适用于本文件。 IP：网络之间互连的协议（Internet Protocol ） DB11/T 1288 2015 2 MIB：管理信息库（Management Information Base ） OID：对象标识(Object IDentifier) SNMP：简单网络管理协议（Simple Network Management Protocol ） UTF：Unicode转换格式（ Unicode Transformation Fo

8、rmat） URL：统一资源定位符（ Uniform Resource Locator） XML：可扩展置标语言（eXtensible Markup Language ） 5 数据交互关系本标准涵盖的安全设备包含但不限于入侵检测 /防御类设备、防病毒类设备、防火墙类设备、审计类设备、Web 安全类设备和漏洞扫描类设备。信息安全监控系统与安全设备间的交互数据包括： a）报警信息类数据：信息安全监控系统接收到的安全设备报警日志数据； b）通讯交互类数据：信息安全监控系统与安全设备间进行信息交互的上下行数据； c）状态

9、获取类数据：信息安全监控系统从安全设备获取运行状态和系统日志时的上下行数据。信息安全监控数据与信息安全监控系统、安全设备的关系如图 1所示：图1 监控数据与信息安全监控系统和安全设备的关系 6 监控数据类型 6.1 报警信息类报警信息类监控数据子分类包括： a）入侵检测 /防御类设备的报警信息； b）防病毒类设备的报警信息； c）审计类设备的报警信息； d） WEB安全类设备的报警信息； e）防火墙类设备的报警信息； f）其他设备的报警信息。 DB11/T 1288 2015 3 6.2 通讯交互类通讯交互类监控数据子分类包括

10、： a)知识库查询 : 安全设备为信息安全监控系统提供指定报警日志的详细信息和相关知识查询服务的标准与规范，通过使用知识库唯一标识（事件编号或报警名称）查询条件，获得知识库中相关详细描述； b)审计查询 : 审计类安全设备为信息安全监控系统提供统计信息查询、行为审计详细信息查询和内容日志详细信息查询的标准与规范，通过使用时间范围、源/ 目的ip 、源 /目的端口和协议等查询条件，获得相应范围内的网络行为统计结果和详细信息，在以上查询条件的基础上添加源账号

11、、目的账号、是否携带附件、关键字和主题等查询条件，可以查询网络行为内容详细信息； c)流量查询 : 安全设备为信息安全监控系统提供流量信息和流量趋势查询服务的标准和规范，通过使用 IP、协议及时间范围等查询条件，获得时间范围内的流量信息和流量趋势； d)资产信息查询 : 监控系统为安全设备提供资产信息查询服务的标准和规范，安全设备或其他系统通过此数据，进行监控系统上资产信息的查询，为安全设备提高报警准确性提供依据； e)Web监控策略下发: 安全设备为监控系统提供WEB

12、监控策略下发服务的标准和规范，监控系统通过此数据将WEB 监控策略下发至安全设备，设备使用该监控策略进行监控； f)漏洞扫描策略下发 : 安全设备为监控系统提供漏洞扫描策略下发服务的标准和规范，监控系统通过此数据将漏洞扫描策略下发至安全设备，策略驱动漏洞扫描设备执行一个即时扫描任务，或制定一个周期性扫描任务计划； g)其他交互通讯交互：除以上类别以外的所有交互讯息。 6.3 状态获取类状态获取类监控数据子分类包括： a)获取状态 : 周期性向安全设备轮询系统状态信息； b)获取日志：安

13、全设备实时向信息安全监控系统上报系统操作日志； c)其他状态：除以上类别以外的所有状态获取数据。 7 报警信息类数据格式 7.1 基本格式报警信息类数据由公共域和专有域组成，公共域指报警信息类监控数据的共有信息，专有域指特有信息。每个域由多个字段拼接而成，所有字段与前字段无间隔。字段格式形式为： “ name:value;”，“ name”代表字段名， “ value”代表字段值。具体格式如下： a）字段名与字段值之间为半角的冒号，字段值用半角分号作为字段结束标识；

14、b） “ value”中不应出现冒号、分号以及无意义的空格，不可避免时采用半角反斜杠转义。报警信息类数据格式参见附录A 。 7.2 报警信息公共域报警公共域描述格式见表 1。 DB11/T 1288 2015 4 表 1 公共域描述格式字段名称基本信息数据类型长度（字节）说明 Date 时间戳字符 20 安全设备产生报警日志的时间点，时间戳的数据格式为“yyyy/mm/dd hh-mm-ss” IP 设备 IP地址字符 32 产生报警日志的安全设备管理 IP 地址，数据格式 “ xxx.xxx.xxx.xxx” Severity

15、报警安全等级字符 2 报警日志在安全设备中所定义安全等级，规范定义为三级，用“1 、2 、3 ”表示，其意义为 1=高、 2=中、 3=低 EventCode 报警唯一标识字符 32 安全报警的唯一标识，唯一确定一条或一组报警 EventName 报警名称字符 32 安全设备对报警信息的定义 ProtocolType 协议字符 16 报警日志中记录信息安全事态所使用和涉及的网络协议 SrcIP 源 IP地址字符 32 报警日志中信息安全事态发起方的 IP 地址，数据格式“xxx.xxx.xxx.xxx” SrcPort 源端口字符 5 报警日志中

16、信息安全事态发起方使用的网络传输层端口号 DstIP 目的 IP地址字符 32 报警日志中信息安全事态受害方的 IP 地址，数据格式“xxx.xxx.xxx.xxx” DstPort 目的端口字符 5 报警日志中信息安全事态受害方使用的网络传输层端口号 7.3 报警信息专有域 7.3.1 入侵检测 /防御类专有域入侵检测 /防御类专有域描述格式见表 2。表2 入侵检测 /防御类专有域基本信息字段名称基本信息数据类型长度（字节）说明 AlarmCount 报警连续次数字符 5 安全设备检测连续发现相同报警的次数 Act

17、ion 操作字符 10 安全设备对信息安全事态的应对方式，用“ 检测、阻断、删除”表示可选项字符用于信息的扩展 7.3.2 防病毒类专有域防病毒类专有域描述格式见表3 。表3 防病毒类专有域基本信息字段名称基本信息数据类型长度（字节）说明 User 用户名字符 52 被感染病毒主机的用户名或设备名 DB11/T 1288 2015 5 表 3 防病毒类专有域基本信息( 续) 字段名称基本信息数据类型长度（字节）说明 Long 病毒长度字符 5 被感染病毒的文件大小 Site 位置字符 256 病毒所在位置 Action 操作字符 10

18、防病毒类设备对带毒文件的处置，用 “隔离、清除、放行 ”表示可选项字符用于信息的扩展 7.3.3 防火墙类专有域防火墙类专有域描述格式见表4 。表4 防火墙类专有域基本信息字段名称基本信息数据类型长度（字节）说明 LogDesc 日志描述字符 52 简要说明产生报警的网络行为 Action 操作字符 10 对信息安全事态的处置结果可选项字符用于信息的扩展 7.3.4 审计类专有域审计类专有域描述格式见表 5。表 5 审计类专有域基本信息字段名称基本信息数据类型长度（字节）说明 LogDesc 报警描述字符

19、52 对报警日志内容的简要描述 Keyword 关键字字符 20 审计检测规则中设置的关键字 RuleID 规则标识字符 5 审计报警中，网络行为活动或内容违反的检测规则所对应的标识号可选项字符用于信息的扩展 7.3.5 Web安全类专有域 Web安全类专有域描述格式见表6 。表6 Web 安全类专有域基本信息字段名称基本信息数据类型长度（字节）说明 SiteURL 网站 URL 字符 52 设定进行监测网站的 URL地址 URLID 网站 URL标识字符 20 下发网站监测策略后， WEB安全类设备针对具体网站

20、策略返回的网站 URL唯一标识 Descp 特征描述字符 5 风险行为所采用的技术特征 DB11/T 1288 2015 6 表 6 Web安全类专有域基本信息（续）字段名称基本信息数据类型长度（字节）说明 AlarmURL 报警网页地址字符 52 产生报警的网页地址 Desc 辅助信息字符 52 对报警日志的补充性说明 HttpMethod Http方法字符 20 拦截日志信息时，该字段用于指明网络行为的 Http方法可选项字符用于信息的扩展 8 通讯交互类数据要求 8.1 基本格式通讯交互类数据应采用XML Schema 格式。并遵

21、照本规范规定的逻辑结构、元素、元素属性以及元素间的关系。通讯交互类数据格式参见附录B 。 8.2 知识库查询交互数据 8.2.1 知识库查询请求数据知识库查询请求以 KBRequest字段为标识，描述格式见表7 。表7 知识库查询请求基本信息字段名称基本信息数据类型长度（字节）说明 KBNameID 查询标识字符 64 知识库的唯一标识，是知识库查询条件 8.2.2 知识库查询应答数据知识库查询应答以KBResponse字段为标识，描述格式见表8 。表8 知识库查询应答基本信息字段名称基本信息数据类型长度（字

22、节）说明 KB 应答内容字符不限返回查询标识在知识库中所对应的详细描述内容，未查询到结果则此字段内容为空 8.3 审计查询数据 8.3.1 审计查询请求数据审计查询请求以 AuditInfoQueryRequest字段为标识， RequestType字段标识查询应答的类别，描述格式见表 9。 DB11/T 1288 2015 7 表 9 审计查询请求基本信息字段名称基本信息数据类型长度（字节）说明 StartTime 开始时间字符 20 查询限定时间范围的开始时间，数据格式为 “ yyyy/mm/dd hh-

23、mm-ss” EndTime 结束时间字符 20 查询限定时间范围的结束时间，数据格式为 “ yyyy/mm/dd hh-mm-ss” SrcIP 源 IP 字符 32 查询请求中限定的网络行为源 IP地址，可为单个地址，也可为地址段 DstIP 目的 IP 字符 32 查询请求中限定的网络行为目的IP地址，可为单个地址，也可为地址段 SrcPort 源端口号字符 5 查询条件中限定的网络行为源传输层端口号 DstPort 目的端口号字符 5 查询条件中限定的网络行为目的传输层端口号 Protocol 应用协议字符 64

24、查询条件中限定的网络行为所采用的网络应用协议 Application 应用服务字符 64 应用服务在指定应用前，指定协议类别字段 URL 具体 URL 字符 256 针对协议类型选择http 协议时，填写的具体URL Keyword 限定条件字符 128 内容详细信息查询中设置的限定条件 SrcAccount 发件人账号字符 64 Protocol字段选择邮件或即时通讯类别时，填写的发件人账号或者即时通讯账号 DstAccount 收件人账号字符 64 Protocol字段选择邮件或即时通讯类别时，填写的收件人账号或者

25、即时通讯账号 Subject 邮件主题字符 64 行为详细信息查询和内容详细信息查询中，邮件类查询的邮件主题 HasAttachment 是否携带附件字符 5 行为详细信息查询中邮件类是否携带附件，字段值域为： Yes/No Limit 最大条数字符 5 最大条数 RequestType 查询类别字符 2 查询类别，RequestType=1 表示行为统计信息查询； RequestType=2表示行为详细信息查询； RequestType=3 表示内容详细信息查询 Classificatio n 统计分类字符 64 统计分类在查询

26、类别为行为统计信息查询时，返回结果的统计分类依据，包括SrcIP: 源 IP、 DstIP:目的 IP、 Protocol:协议、Application: 应用、 SrcAccount:发件人、 DstAccount:收件人、 SrcPort:源端口、 DstPort:目的端口、Day: 时间- 天、 Hour:时间-小时 8.3.2 行为统计信息应答数据 DB11/T 1288 2015 8 行为统计信息应答以LogStatResponse 字段为标识，描述格式见表 10。表10 行为统计信息应答基本信息字段名称基本信息数据类

27、型长度（字节）说明 Logs 结果集字符不限按classification 进行统计分类后得到的结果集 TotalCount 结果集大小字符 32 按 classification进行统计分类后得到的结果集大小 Log 单一结果字符 32 结果集的一条结果 ID 结果编号字符 32 结果编号 Classificatio n 统计分类字符 64 统计分类，当查询类别为行为统计信息查询时，返回结果的统计分类依据，包括 SrcIP:源 IP、 DstIP:目的 IP、 Protocol:协议、Application: 应用、 SrcAccount:发

28、件人、 DstAccount:收件人、 SrcPort:源端口、 DstPort:目的端口、Day: 时间- 天、 Hour:时间-小时 ClassifyValue 具体值字符 64 根据 Classification字段而返回的具体值 Count 数量字符 8 根据统计条件统计后的数量 Percentage 比例字符 2 百分比 8.3.3 行为详细信息应答数据行为详细信息应答以LogDetailResponse字段为标识，描述格式见表 11。表11 行为详细信息应答基本信息字段名称基本信息数据类型长度（字节

29、）说明 TotalCount 数量字符 32 返回结果的数量 Log 单一结果字符 32 一个返回结果 ID 结果编号字符 32 一个返回结果的编号 Time 统计分类字符 20 行为日志发生的时间，格式为“yyyy/mm/dd hh-mm-ss ” SrcIP 源 IP 字符 32 返回行为日志的源IP地址，格式为 “ xxx.xxx.xxx.xxx” DstIP 目的 IP 字符 32 返回行为日志的目的 IP 地址，格式为 “ xxx.xxx.xxx.xxx” SrcPort 源端口号字符 5 返回行为日志的源端口号 DstPort 目的端口号字符 5

30、返回行为日志的目的端口号 SrcMac 源 MAC地址字符 32 返回行为日志的源MAC 地址，格式为 “ xx-xx-xx-xx-xx-xx” DB11/T 1288 2015 9 表 11 行为详细信息应答基本信息（续）字段名称基本信息数据类型长度（字节）说明 DstMac 目的 MAC地址字符 32 返回行为日志的目的MAC 地址，格式为 “ xx-xx-xx-xx-xx-xx” Protocol 应用协议字符 64 查询条件中限定的网络行为所采用的网络应用协议 SessionSize 日志大小字符 10 返回网络行为活动日志的大小 SrcA

31、ccount 发件人账号字符 64 源账号 DstAccount 收件人账号字符 64 目的账号 8.3.4 内容详细信息应答数据内容详细信息应答以ContentResponse 字段为标识，描述格式见表 12。表12 内容详细信息应答基本信息字段名称基本信息数据类型长度（字节）说明 TotalCount 数量字符 32 返回结果的数量。 Log 单一结果字符 32 一个返回结果。 ID 结果编号字符 32 一个返回结果的编号。 Time 统计分类字符 20 行为日志发生的时间，格式为“yyyy/mm/dd hh-mm-

32、ss ” SrcIP 源 IP 字符 32 返回行为日志的源IP地址，格式为 “ xxx.xxx.xxx.xxx” DstIP 目的 IP 字符 32 返回行为日志的目的 IP 地址，格式为 “ xxx.xxx.xxx.xxx” SrcAccount 发件人账号字符 64 源账号，指内容日志审计为电子邮件时，日志的发件人账号 DstAccount 收件人账号字符 64 目的账号，指内容审计为电子邮件时，日志的收件人帐户 Subject 邮件主题字符 64 主题，指当内容审计为电子邮件时邮件的主题 MailSize 邮件大

33、小字符 32 邮件大小，单位为KB HasAttachment 是否携带附件字符 6 邮件中是否带附件，值域：true/false ， true代表邮件中存在附件，false代表邮件中不存在附件 8.4 流量查询数据 8.4.1 流量信息查询请求数据 DB11/T 1288 2015 10 流量信息查询请求以 FlowStatQueryRequest字段为标识，描述格式见表 13。表13 流量信息查询请求基本信息字段名称基本信息数据类型长度（字节）说明 StartTime 开始时间字符 20 查询限定时间范围的开始

34、时间，格式为 “ yyyy/mm/dd hh-mm-ss” EndTime 结束时间字符 20 查询限定时间范围的结束时间，格式为 “ yyyy/mm/dd hh-mm-ss” IPList 地址列表字符 32 指定需要查询流量的IP 地址，为单个地址或地址段，单个 IP格式 “ xxx.xxx.xxx.xxx” ， IP地址段格式 “ xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx” Protocol 应用协议字符 32 应用协议 Direction 方向字符 2 流量方向，包括：双方向、流入、

35、流出，用 0、1 、2 表示， 0表示双方向，1 表示流入，2 表示流出 Count 数量字符 2 前 TOP多少数据，小于 50的整数， 0表示全部数据 8.4.2 流量信息查询应答数据流量信息查询应答以FlowStatQueryResponse字段为标识，描述格式见表 14。表14 流量信息查询应答基本信息字段名称基本信息数据类型长度（字节）说明 TotalCount 数量字符 2 前 TOP多少数据，小于 50的整数， 0表示全部数据 FlowIP 流量字符 32 对应一个IP的一个返回结果 ID 编

36、号字符 32 一个返回结果的编号 IP IP地址字符 32 标签内的流量信息为此IP 产生，格式为 “ xxx.xxx.xxx.xxx” FlowSize 流量大小字符 32 流量大小，每个流量大小标签对应一个协议 Protocol 协议字符 32 流量信息查询所基于的网络协议，查询条件为单个协议查询时，返回所查询的协议对应的流量大小；查询条件为多个协议查询时，则返回统计流量总和以及每个协议对应的流量大小 8.4.3 流量趋势查询请求数据流量趋势查询请求数据以FlowTrendQueryRequest字段为

37、标识，查询条件包括时间段、IP地址、流量方向、返回方式和协议，描述格式见表 15。 DB11/T 1288 2015 11 表 15 流量趋势查询请求基本信息字段名称基本信息数据类型长度（字节）说明 StartTime 开始时间字符 20 查询限定时间范围的开始时间，格式为 “ yyyy/mm/dd hh-mm-ss” EndTime 结束时间字符 20 查询限定时间范围的结束时间，格式为 “ yyyy/mm/dd hh-mm-ss” IPList 地址列表字符 32 指定需要查询流量的IP 地址，

38、为单个地址或地址段，单个 IP格式 “ xxx.xxx.xxx.xxx” ， IP地址段格式 “ xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx” Protocol 应用协议字符 32 应用协议 Direction 方向字符 2 流量方向，包括：双方向、流入、流出，用 0、1 、2 表示， 0表示双方向，1 表示流入，2 表示流出 ReturnType 返回方式字符 10 查询结果返回方式，当ReturnType=month 时，表示返回结果时以月为单位；当ReturnType=day 时，表示返回结果时

39、以天为单位；当ReturnType=hour 时，表示返回结果时以小时为单位；当ReturnType=minute 时，表示返回结果以分钟为单位 8.4.4 流量趋势查询应答数据流量趋势查询应答数据以 FlowTrendQueryResponse字段为标识，描述格式见表 16。表 16 流量趋势查询应答基本信息字段名称基本信息数据类型长度（字节）说明 TotalCount 数量字符 2 前 TOP多少数据，小于 50的整数， 0表示全部数据 FlowIP 流量字符 32 对应一个IP的一个返回结果 I

40、D 编号字符 32 一个以IP为基准的返回结果的编号 IP IP地址字符 32 流量趋势查询的IP地址，每个 IP地址对应多个FlowTime FlowTime 结果时间字符 20 一个时间点对应的返回结果 Time 时间点字符 20 返回结果中的时间点，流量趋势查询数据中 ReturnType 字段指定了返回结果中时间的单位：ReturnType=month 时，时间以月为单位；ReturnType=day 时，时间以天为单位；ReturnType=hour 时，时间以小时为单位； ReturnType=minute时，时间

41、以分钟为单位 FlowSize 流量大小字符 10 流量大小信息，单位为KB DB11/T 1288 2015 12 表 16 流量趋势查询应答基本信息（续）字段名称基本信息数据类型长度（字节）说明 Protocol 协议字符 32 协议信息，查询条件为单个协议查询时，返回所查询的协议， “xxx”代表协议名称；查询全部协议时，返回all 项；查询条件为多个协议查询时，返回多个协议对应的项，此时流量大小标记有多项 8.5 Web监控策略下发数据 8.5.1 策略下发数据策略下发数据以 WebMonitorPolic

42、yIssue字段为标识，描述格式见表 17。表17 策略下发数据基本信息字段名称基本信息数据类型长度（字节）说明 PolicyIssue 策略主题字符 32 针对一个站点的web监控策略下发 ID 编号字符 32 policyIssue的编号 SiteURL 站点地址字符 256 策略中定义的站点，对此站点进行监控，站点为单个站点 SiteInfo 站点信息字符 32 站点信息站点检测功能 Usability 可用性字符 32 可用性检测功能 Content 内容字符 32 内容检测功能 Vul 脆弱性字符 32 脆弱性检测功能

43、 IsUse 是否使用字符 2 策略是否被使用， Web监控策略所包括的四种功能中，每一种功能都与一个isUse 对应，isUse=0 表示不使用该功能， isUse=1表示使用该功能 SycleSize 执行周期字符 2 策略的执行周期，分为立即执行、分钟、小时、天、周和月。值域为： 0-立即执行， 1-分钟， 2-小时， 3-天， 4-周， 5-月 SycleValue 执行周期字符 2 周期值，当执行周期选择除 0以外的选项值时才有作用。周期值分别为分钟 0-

44、60 、小时 1-24、天 1-7、周 1-52、月 1-12 Depth 深度字符 2 检测的深度，指进行检测的页面深度，对于不同的功能模块定义不同的深度 8.5.2 策略下发应答数据 DB11/T 1288 2015 13 策略下发应答以WebMonitorPolicyResponse 字段为标识，描述格式见表 18。表18 策略下发应答基本信息字段名称基本信息数据类型长度（字节）说明 TotalCount 数量字符 32 返回结果的数量 URLBack 返回信息字符 32 一个返回的URL信息，包括配置的UR

45、L和对应 URLID ID 编号字符 32 URLBack的编号 URLID 站点信息字符 256 站点ID ，指策略中定义的 URL所对应的ID ，对策略中URL 的相关配置进行修改和删除可通过此ID进行标识 SiteURL 站点信息字符 256 站点URL，指策略中定义的要进行监控的某单个站点 8.5.3 策略编辑数据策略编辑数据以 WebMonitorPolicyUpdate字段为标识，描述格式见表 19。表19 策略编辑数据基本信息字段名称基本信息数据类型长度（字节）说明 WebMonitorPol icy

46、Update 监控策略编辑字符 32 一次 Web监控策略编辑，下发对象包括多个站点 PolicyUpdate URL 字符 32 针对一个URL的 Web监控策略编辑 ID 编号字符 32 policyUpdate的编号 SiteInfo 站点信息字符 32 站点信息站点检测功能 Usability 可用性字符 32 可用性检测功能 Content 内容字符 32 内容检测功能 Vul 脆弱性字符 32 脆弱性检测功能 URLID 站点ID 字符 256 指策略中定义的 URL所对应的ID ，对策略中URL 的相关配置进行修改和删除可通过此I

47、D 进行标识 OperateState 操作类型字符 2 策略操作类型，1-修改，2- 删除 SiteURL 站点URL 字符 256 站点URL，策略中定义的进行监控的某单个站点 IsUse 是否使用字符 2 策略是否被使用， Web监控策略所包括的四种功能中，每一种功能都与一个isUse 对应，isUse=0 表示不使用该功能， isUse=1表示使用该功能 SycleSize 执行周期字符 2 策略的执行周期，分为立即执行、分钟、小时、天、周和月。值域为： 0-立即执行， 1-分钟， 2-小时， 3

48、-天， 4-周， 5-月 DB11/T 1288 2015 14 表 19 策略编辑数据基本信息（续）字段名称基本信息数据类型长度（字节）说明 SycleValue 执行周期字符 2 周期值，当执行周期选择除 0以外的选项值时才有作用。周期值分别为分钟 0-60 、小时 1-24、天 1-7、周 1-52、月 1-12 Depth 深度字符 2 检测的深度，指进行检测的页面深度，对于不同的功能模块定义不同的深度 8.5.4 策略执行状态查询请求数据策略执行状态查询请求以 PolicySt

49、ateQueryRequest字段为标识，描述格式见表 20。表20 策略执行状态查询请求基本信息字段名称基本信息数据类型长度（字节）说明 PolicyStateQu eryRequest 状态查询字符 32 一个执行状态查询 URLID 站点 ID 字符 256 站点ID，是策略中定义的 URL对应的 ID，进行一个或多个 URL对应检测状态查询 8.5.5 策略执行状态查询应答数据策略执行状态查询应答以policyStateQueryResponse字段为标识，描述格式见表 21。表21 策略执行状态查询应答基本信息字段名称基本信息数据类型长度（字节）说明 PolicyStateQu eryResponse 状态查询应答字符 32 一个策略状态查询应答 ResponseState 应答状态字符 32 在一个 URL上执行检测动作的状态，包括 URLID和动作执行的具体状态信息 URLID 站点 ID 字符 256 站点ID，是策略中定义的 URL对应的 ID，进行一个或多个 URL对应检测状态查询 URLState 监测状态字符 4 执行检测动作的状态，返回值为两种情况: 一种为-1 ，表示策略不存

展开阅读全文