國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通 告警信息格式》（征求意見稿）編制說明

國家標(biāo)準(zhǔn)報批材料一、工作簡況1.1任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會2023年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式》由國家信息中心負(fù)責(zé)承辦，計(jì)劃號：202XXXXX-T-469。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。1.2制定背景網(wǎng)絡(luò)安全產(chǎn)品作為掌握網(wǎng)絡(luò)運(yùn)行狀況、預(yù)警網(wǎng)絡(luò)安全威脅和隱患的要素，由于安全設(shè)置策略、廠商技術(shù)路線、知識產(chǎn)權(quán)和專利等因素，存在著接口規(guī)范不統(tǒng)一、業(yè)務(wù)應(yīng)用和數(shù)據(jù)難以融合的問題。亟需打通防護(hù)、分析、檢測、處置等不同類別安全產(chǎn)品間的互聯(lián)互通通道，實(shí)現(xiàn)對安全事件的快速應(yīng)對，最大化發(fā)揮各領(lǐng)域安全產(chǎn)品協(xié)同效能，有效解決由于信息格式不統(tǒng)一帶來的信息內(nèi)容難以有效整合利用、同一事件重復(fù)告警導(dǎo)致應(yīng)急處置效率較低等問題，有利于提高網(wǎng)絡(luò)安全綜合保障能力。在網(wǎng)絡(luò)安全產(chǎn)品所需要交換的數(shù)據(jù)之中，告警信息是網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行安全風(fēng)險分析和態(tài)勢感知的基礎(chǔ)，通常包括告警名稱、告警類型、IP、端口、協(xié)議等信息，是網(wǎng)絡(luò)安全產(chǎn)品之間需要交換的重要信息。為了滿足網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通的需求，本標(biāo)準(zhǔn)擬在國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》所規(guī)劃的框架下，對網(wǎng)絡(luò)安全產(chǎn)品報送的告警信息結(jié)構(gòu)和數(shù)據(jù)格式進(jìn)行規(guī)范,給出各類告警的信息結(jié)構(gòu)和數(shù)據(jù)格式，指導(dǎo)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通工作建設(shè)。1.3起草過程（1）前期工作2022年7月，為落實(shí)《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》等法律法規(guī)、政策文件提出的建立跨部門、跨行業(yè)高效聯(lián)動的現(xiàn)代化網(wǎng)絡(luò)安全防護(hù)能力要求，推動網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟成立了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通標(biāo)準(zhǔn)工作組。工作組圍繞網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通存在的信息交互格式不統(tǒng)一的問題，按照2022年立項(xiàng)的國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》的規(guī)劃設(shè)計(jì)，組織研制了《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式》技術(shù)規(guī)范，用于解決告警信息數(shù)量增長迅速，告警信息格式、粒度不統(tǒng)一帶來的處理難度增加等日益顯著的問題。2022年9月，經(jīng)充分考慮各行業(yè)客戶對告警信息互聯(lián)互通的需求，結(jié)合實(shí)際項(xiàng)目工程經(jīng)驗(yàn)，參考國內(nèi)外相關(guān)標(biāo)準(zhǔn)，形成團(tuán)體標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式（草案）》。2022年11月至2023年1月，工作組組織國家信息中心、天融信、深信服等10余家用戶單位和安全廠商，開展技術(shù)規(guī)范試點(diǎn)驗(yàn)證工作，選取典型應(yīng)用場景、典型產(chǎn)品和真實(shí)數(shù)據(jù)，對技術(shù)規(guī)范內(nèi)容合理性和可操作性進(jìn)行驗(yàn)證。驗(yàn)證內(nèi)容主要包括告警分類與告警信息數(shù)據(jù)格式，總表格數(shù)28項(xiàng)。圍繞惡意程序、網(wǎng)絡(luò)攻擊、數(shù)據(jù)安全、異常行為及其他告警等5大類，共計(jì)263個字段進(jìn)行驗(yàn)證。其中，必填字段72項(xiàng)，選填字段191項(xiàng)。驗(yàn)證選取的產(chǎn)品包括態(tài)勢感知、網(wǎng)絡(luò)入侵檢測、EDR、防火墻、安全監(jiān)測等10類，共計(jì)14款產(chǎn)品，有8款產(chǎn)品對28項(xiàng)告警表格的適用性超過60%。試點(diǎn)驗(yàn)證結(jié)果顯示標(biāo)準(zhǔn)和實(shí)際產(chǎn)品和工程項(xiàng)目的符合情況較好，必填字段平均符合率為80.93%，可選字段平均符合率47.39%。2023年4月，工作組就團(tuán)體標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式（征求意見稿）》公開征求意見，收到26條意見反饋后對文本進(jìn)行修改完善。后續(xù)工作轉(zhuǎn)為網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南工作進(jìn)行。2023年8月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式（征求意見稿）》，面向社會征求意見。征求意見稿規(guī)定了網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通時告警信息的描述格式，其適用于網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通功能的設(shè)計(jì)、開發(fā)、應(yīng)用和測試。征求意見稿從不同網(wǎng)絡(luò)安全產(chǎn)品告警信息有效互通和整合的角度出發(fā)，將網(wǎng)絡(luò)安全產(chǎn)品告警信息類型分為惡意程序告警、網(wǎng)絡(luò)攻擊告警、數(shù)據(jù)安全告警、異常行為告警和其他告警等五類，并細(xì)分為二十一個子類，規(guī)定了各類告警信息的通用信息和專有信息格式，并給出對應(yīng)的字段表，包括字段名稱、字段說明、字段類型以及是否必填等字段。（2）基礎(chǔ)研究和調(diào)研組建標(biāo)準(zhǔn)編制項(xiàng)目組，從相關(guān)政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、典型重點(diǎn)行業(yè)等角度對國內(nèi)外網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通工作現(xiàn)狀進(jìn)行調(diào)研，對現(xiàn)有網(wǎng)絡(luò)安全告警信息進(jìn)行梳理，研究網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通過程中的告警信息需求，為編制工作提供借鑒。（3）編制標(biāo)準(zhǔn)草案依據(jù)調(diào)研結(jié)果，編制標(biāo)準(zhǔn)框架和初稿，邀請國家網(wǎng)絡(luò)安全相關(guān)主管部門、重點(diǎn)行業(yè)應(yīng)用單位、安全廠商等，組織召開意見征詢會，根據(jù)征詢意見，調(diào)整框架并形成《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式（草案）V1.0》。標(biāo)準(zhǔn)立項(xiàng)2023年7月4日，信安標(biāo)委在北京組織召開立項(xiàng)評審會，與會專家對本標(biāo)準(zhǔn)進(jìn)行了認(rèn)真審議，提出了相關(guān)意見。李京春、李斌、汪宗斌認(rèn)為，標(biāo)準(zhǔn)制定過程中應(yīng)充分考慮機(jī)器可讀，建議在附錄中根據(jù)某個事件構(gòu)建場景，把告警格式在機(jī)器之間的傳達(dá)提供示例，便于標(biāo)準(zhǔn)使用者應(yīng)用。項(xiàng)目組對本條意見予以采納，考慮后續(xù)格式確定后，給出現(xiàn)在主流常用的接口示例。郭曉雷、張濱建議在大的主流廠商之間也應(yīng)注意開展試點(diǎn)驗(yàn)證。項(xiàng)目組對本條意見予以采納，在前期試點(diǎn)工作中已有跨廠商的產(chǎn)品互通驗(yàn)證，標(biāo)準(zhǔn)參編單位也吸納了業(yè)內(nèi)主流網(wǎng)絡(luò)安全廠商，后續(xù)的正式試點(diǎn)階段也會加強(qiáng)相關(guān)應(yīng)用場景的驗(yàn)證。李京春建議補(bǔ)充完善縮略語。項(xiàng)目組對本條意見予以采納，并補(bǔ)充SHA-1、UDP等縮略語。修改標(biāo)準(zhǔn)草案2023年10月27日，WG5工作組召開標(biāo)準(zhǔn)研討會，與會專家對《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式（草案）V1.0》內(nèi)容進(jìn)行評審，提出相關(guān)意見。李斌對當(dāng)前標(biāo)準(zhǔn)所定義的五類告警是否已涵蓋足夠的網(wǎng)絡(luò)安全產(chǎn)品告警，如主機(jī)存儲資源、網(wǎng)絡(luò)狀態(tài)、漏洞檢測結(jié)果等提出疑問，建議結(jié)合網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架標(biāo)準(zhǔn)進(jìn)一步確認(rèn)本標(biāo)準(zhǔn)的邊界。項(xiàng)目組對本條意見部分采納，考慮到安全產(chǎn)品一般不涉及運(yùn)行類的告警，一般由運(yùn)維平臺等非安全類產(chǎn)品產(chǎn)生，標(biāo)準(zhǔn)結(jié)合20986中對涉及網(wǎng)絡(luò)安全產(chǎn)品的安全事件的定義、互聯(lián)互通框架中對告警信息的定義明確告警分類。任衛(wèi)紅建議將英文中“network”修改為“cyber”。項(xiàng)目組對本條意見予以采納，并已進(jìn)行全文替換。鐘力、顧健建議明確告警信息字段的長度和交換格式。項(xiàng)目組對本條意見予以采納，后續(xù)組織內(nèi)部討論，和互聯(lián)互通系列標(biāo)準(zhǔn)編制組溝通確認(rèn)，明確相關(guān)要求。顧健建議編制說明中應(yīng)補(bǔ)充告警格式確定的依據(jù)，且編制說明1.3起草過程過于簡單，建議補(bǔ)充團(tuán)標(biāo)編制階段征求意見和應(yīng)用試點(diǎn)的情況。項(xiàng)目組對本條意見予以采納，并補(bǔ)充團(tuán)標(biāo)編制和試點(diǎn)的工作過程、實(shí)踐指南的過程。顧健建議系列標(biāo)準(zhǔn)中應(yīng)明確哪些網(wǎng)絡(luò)安全產(chǎn)品具體對應(yīng)哪些告警。項(xiàng)目組對本條意見予以采納，后續(xù)組織編制組討論，和互聯(lián)互通系列標(biāo)準(zhǔn)編制組溝通確認(rèn)，明確相關(guān)要求。李京春、張建軍建議突出信息，當(dāng)前標(biāo)準(zhǔn)內(nèi)容有對告警信息的分類但沒有分級，建議增加告警信息分級，將告警信息劃分為重要告警信息、一般告警信息等級別。項(xiàng)目組對本條意見予以采納，并補(bǔ)充告警信息分級：a)重要告警信息：對關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級及以上信息系統(tǒng)、單位重點(diǎn)業(yè)務(wù)系統(tǒng)進(jìn)行保護(hù)的網(wǎng)絡(luò)安全產(chǎn)品所產(chǎn)生的告警信息，以及字段中攜帶重要數(shù)據(jù)、個人信息的告警信息；b)一般告警信息：重要告警信息以外的其他告警信息。李京春建議明確如何對告警數(shù)據(jù)進(jìn)行標(biāo)識、標(biāo)簽（例如告警來源、類型的標(biāo)識）處理。項(xiàng)目組對本條意見予以采納，考慮到本標(biāo)準(zhǔn)已經(jīng)有部分標(biāo)識“告警等級”、“告警級別”、“告警所屬網(wǎng)絡(luò)”、“是否加密”等，其他數(shù)據(jù)來源的標(biāo)識建議從整個互聯(lián)互通工作的角度來確定，一般通過接口的定義來實(shí)現(xiàn)。李京春建議，告警數(shù)據(jù)能否采用類似二維碼方案，上報流量少，用告警數(shù)據(jù)單位可隨時調(diào)用告警數(shù)據(jù)。項(xiàng)目組對本條意見予以采納，放在后續(xù)接口實(shí)現(xiàn)的設(shè)計(jì)中考慮。例如告警一般需要實(shí)時上傳，但是如果分析需要原始流量的話可以通過這種方案來上傳或查詢。通過對專家建議進(jìn)行充分吸收采納，修改標(biāo)準(zhǔn)文本，形成《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息格式（草案）V2.0》。2023年11月3日，信安標(biāo)委在武漢召開第二次會議周，編制組在WG5組內(nèi)作了標(biāo)準(zhǔn)編制情況匯報，與會專家和組內(nèi)單位聽取了匯報并提出修改意見，編制組按照意見對標(biāo)準(zhǔn)進(jìn)行了修改，一是明確標(biāo)準(zhǔn)的范圍是“網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通”場景下，二是在后續(xù)系列的接口標(biāo)準(zhǔn)中會考慮身份識別和安全問題。會上，組內(nèi)同意標(biāo)準(zhǔn)推進(jìn)為征求意見稿。（6）修改標(biāo)準(zhǔn)征求意見稿2023年11月29日，信安標(biāo)委在北京組織召開標(biāo)準(zhǔn)評審會，與會專家對本標(biāo)準(zhǔn)進(jìn)行了審議并提出相關(guān)意見，編制組按照意見對標(biāo)準(zhǔn)進(jìn)行了修改。張建軍建議附錄A的內(nèi)容示例按JSON語法再檢查一下，尤其是整數(shù)型的表示。項(xiàng)目組對附錄A的示例按照J(rèn)SON語法格式進(jìn)行修改。李娜、李斌提出告警信息中的字段需要和資產(chǎn)編碼中有對應(yīng)關(guān)系，方便處置。項(xiàng)目組對本條意見予以采納，明確告警涉及的資產(chǎn)和資產(chǎn)信息可以通過IP、產(chǎn)品型號、產(chǎn)品版本進(jìn)行關(guān)聯(lián)。李娜、李京春建議表2中增加備用擴(kuò)展字段。項(xiàng)目組采納本條意見并補(bǔ)充擴(kuò)展字段，在完整告警信息之后可增加自定義擴(kuò)展字段。顧健提出應(yīng)在前言中說清楚其他互聯(lián)互通標(biāo)準(zhǔn)。項(xiàng)目組對本條意見予以采納，本標(biāo)準(zhǔn)與互聯(lián)互通框架標(biāo)準(zhǔn)保持一致。顧健提出附錄B表頭有誤，項(xiàng)目組對附錄B表頭進(jìn)行修改。魏昊提出3.1節(jié)術(shù)語中“interconnect”應(yīng)改為“interconnectivity”，項(xiàng)目組采納專家意見并進(jìn)行修改。魏昊建議5.2節(jié)惡意程序告警分類與正在制定的國標(biāo)進(jìn)行銜接。項(xiàng)目組對本條意見予以采納并充分調(diào)研，了解到當(dāng)前惡意程序的國標(biāo)沒有給出明確分類，目前標(biāo)準(zhǔn)中參考GB/T20986-2023中規(guī)定的網(wǎng)絡(luò)安全事件分類對惡意程序告警進(jìn)行分類。2023年12月21日，信安標(biāo)委在北京組織召開標(biāo)準(zhǔn)評審會，與會專家對本標(biāo)準(zhǔn)進(jìn)行了認(rèn)真審議并提出了相關(guān)意見，編制組按照意見對標(biāo)準(zhǔn)進(jìn)行了修改。顧建國提出去除前言中的“網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通系列標(biāo)準(zhǔn)擬由8個標(biāo)準(zhǔn)組成”表述，標(biāo)準(zhǔn)編制組對本條意見進(jìn)行部分采納。根據(jù)此前框架標(biāo)準(zhǔn)送審稿審查會上專家意見，專家提出應(yīng)在前言部分對“網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通系列標(biāo)準(zhǔn)擬由8個標(biāo)準(zhǔn)組成”等相關(guān)內(nèi)容進(jìn)行補(bǔ)充，在研究討論過程中，編制組查閱了GB/T1.1—2020相關(guān)內(nèi)容，依據(jù)GB/T1.1—2020第8.3節(jié)相關(guān)規(guī)定，在前言中對本文件與網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通系列標(biāo)準(zhǔn)的關(guān)系進(jìn)行補(bǔ)充，后續(xù)編制組將進(jìn)一步對標(biāo)準(zhǔn)前言內(nèi)容進(jìn)行細(xì)化完善。顧建國、王新杰提出附錄C要與“資產(chǎn)信息格式”一致，編制組對本條意見予以采納。顧建國提出刪除3.2中的“或模型”，編制組對本條意見予以采納并進(jìn)行相應(yīng)修改。李京春、李斌、陳馳、劉毅建議本標(biāo)準(zhǔn)應(yīng)與網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準(zhǔn)則標(biāo)準(zhǔn)協(xié)調(diào)統(tǒng)一，編制組對本條意見予以采納。楊震建議在標(biāo)準(zhǔn)文本中補(bǔ)充網(wǎng)絡(luò)安全產(chǎn)品定義，編制組對本條意見予以采納并補(bǔ)充相應(yīng)內(nèi)容。楊震建議6.2節(jié)中事件格式采用ISO8601/GB/T7408，編制組對本條意見予以采納，通過研究討論認(rèn)為通過YYYYMMDDhh24mmss的形式表達(dá)的值的類型符合GB/T7408。楊震提出應(yīng)明確附錄1中消息格式是否采用XML、JSON，編制組對本條意見予以采納，并明確附錄A中給出以JSON作為數(shù)據(jù)交換格式的示例。魏昊建議5.2節(jié)去掉“發(fā)現(xiàn)攻擊者”字樣，編制組對本條意見予以采納并刪除相關(guān)表述。魏昊建議5.4b）小節(jié)刪除“通過技術(shù)手段”的限定，編制組對本條意見予以采納并刪除內(nèi)容。高峰提出6.4.5小節(jié)中“見表26”應(yīng)改為“見表25”，編制組對本條意見予以采納并進(jìn)行相應(yīng)修改。王新杰提出標(biāo)準(zhǔn)是否考慮互操作的表述，編制組對本條意見予以采納，經(jīng)研究討論認(rèn)為本標(biāo)準(zhǔn)暫不涉及互操作內(nèi)容。王新杰提出是否考慮將“日志信息”納入本標(biāo)準(zhǔn)，編制組對本條意見予以采納，經(jīng)研究討論暫不將內(nèi)容擴(kuò)展到所有日志信息。二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)2.1標(biāo)準(zhǔn)編制原則為了使標(biāo)準(zhǔn)的內(nèi)容從一開始就與國家標(biāo)準(zhǔn)保持一致，本標(biāo)準(zhǔn)的編寫參考了其他國家有關(guān)標(biāo)準(zhǔn)，主要有GB/T20986-2023、GB/T25066-2020、GB/T25069-2022等，另外牽頭單位國家信息中心參與了國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》的編制工作。本標(biāo)準(zhǔn)符合我國的實(shí)際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。具體原則與要求如下：（1）先進(jìn)性標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。目前，國家管理機(jī)構(gòu)及用戶單位對網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通越來越重視，要制定出先進(jìn)的產(chǎn)品國家標(biāo)準(zhǔn)，必須參考國內(nèi)外先進(jìn)技術(shù)和標(biāo)準(zhǔn)，吸收其精華，才能制定出具有先進(jìn)水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原則。（2）實(shí)用性標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義，因此本標(biāo)準(zhǔn)的編寫是在對國內(nèi)外標(biāo)準(zhǔn)的相關(guān)技術(shù)內(nèi)容消化、吸收的基礎(chǔ)上，結(jié)合我國的實(shí)際情況，廣泛了解了市場上主流產(chǎn)品的功能，吸收其精華，制定出符合我國國情的、可操作性強(qiáng)的標(biāo)準(zhǔn)。（3）兼容性本標(biāo)準(zhǔn)既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一致。編制組在對標(biāo)準(zhǔn)起草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。2.2主要內(nèi)容及其確定依據(jù)本標(biāo)準(zhǔn)是國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通框架》的配套標(biāo)準(zhǔn)，用于細(xì)化告警信息描述的格式。通過研究國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通的現(xiàn)狀和需求，規(guī)范網(wǎng)絡(luò)安全產(chǎn)品的告警分類和告警信息數(shù)據(jù)字段類型的取值、告警信息通用部分格式和告警信息專用部分格式。本標(biāo)準(zhǔn)主要技術(shù)內(nèi)容如下：（1）告警信息分類分級參考GB/T20986-2023中規(guī)定的網(wǎng)絡(luò)安全事件分類，將網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警分為惡意程序告警、網(wǎng)絡(luò)攻擊告警、數(shù)據(jù)安全告警、異常行為告警和其他告警等類別，每個類別分別包括若干子類。將告警信息分為重要告警信息和一般告警信息等級別。（2）告警信息格式告警信息由通用信息和專用信息組成，通用信息是描述各類告警的共性信息，專用信息是描述不同類別告警的信息，包括告警分類基礎(chǔ)信息和告警子類擴(kuò)展信息。通用信息為告警信息的通用字段，專用信息中的告警子類基礎(chǔ)信息為該告警基本分類的通用字段，專用信息中的告警子類擴(kuò)展信息為詳細(xì)子類告警的特有字段。本標(biāo)準(zhǔn)將給出告警信息格式字段表，包括中英文名稱、字段說明、字段類型以及是否必填等。為對告警信息格式信息分類代碼和產(chǎn)品代碼字段的取值給出說明，本標(biāo)準(zhǔn)將以文本或附錄的形式，給出網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通告警信息分類代碼和網(wǎng)絡(luò)安全設(shè)備類型編碼。2.3修訂前后技術(shù)內(nèi)容的對比[僅適用于國家標(biāo)準(zhǔn)修訂項(xiàng)目]無。三、試驗(yàn)驗(yàn)證的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會效益和生態(tài)效益3.1試驗(yàn)驗(yàn)證的分析、綜述報告尚未開展試驗(yàn)驗(yàn)證。3.2技術(shù)經(jīng)濟(jì)論證無。3.3預(yù)期的經(jīng)濟(jì)效益、社會效益和生態(tài)效益本標(biāo)準(zhǔn)有助于打通網(wǎng)絡(luò)安全產(chǎn)品間聯(lián)通壁壘，實(shí)現(xiàn)網(wǎng)絡(luò)安全產(chǎn)品間互聯(lián)互通，促進(jìn)網(wǎng)絡(luò)安全數(shù)據(jù)高效及時的匯聚、共享和分析，提升網(wǎng)絡(luò)安全風(fēng)險預(yù)警和協(xié)同能力，進(jìn)一步降低網(wǎng)絡(luò)安全風(fēng)險。四、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況無國際、國外同類標(biāo)準(zhǔn)及國外樣品、樣機(jī)有關(guān)數(shù)據(jù)。五、以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標(biāo)準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因國外無完全對應(yīng)的標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)在編制過程中參考了國外相關(guān)的標(biāo)準(zhǔn)研究工作：圍繞漏洞、威脅信息等，國外標(biāo)準(zhǔn)包括通用漏洞披露（CVE）、結(jié)構(gòu)化威脅信息表達(dá)（STIX）和可信自動情報信息交換（TAXII）等；圍繞網(wǎng)絡(luò)安全信息交換功能接口實(shí)現(xiàn)，國外標(biāo)準(zhǔn)包括開放命令和控制語言（OpenC2）、開放消息總線規(guī)范（OpenDXL）、集成自適應(yīng)網(wǎng)絡(luò)防護(hù)（IACD）等。本標(biāo)準(zhǔn)面向網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通需求，可為各國網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通提供示范和參考，具有轉(zhuǎn)為國際標(biāo)準(zhǔn)的可能性。六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與國內(nèi)現(xiàn)行法律、法規(guī)、強(qiáng)制性國家標(biāo)準(zhǔn)及相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致。本標(biāo)準(zhǔn)在同《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《“十四五”國家信息化規(guī)劃》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等相關(guān)法律法規(guī)和政策文件及現(xiàn)行國家標(biāo)準(zhǔn)GB/T28458-2020《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范》、GB/T28517-2012《網(wǎng)絡(luò)安全事件描述和交換格式》、GB/T36643-2018《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》、GB/T37027-2018《信息安全技術(shù)網(wǎng)絡(luò)