DB34/T 5235-2025 电子政务外网安全监测平台接口技术规范
- 文件大小:1.05 MB
- 标准类型:地方标准规范
- 标准语言:中文版
- 文件类型:PDF文档
- 更新时间:2025-07-03
- 下载次数:
- 标签:
资料介绍
ICS 35.020 CCS L 67
安徽省地方标准
DB34/T 5235—2025
电子政务外网安全监测平台接口技术规范
Specification of interface technology for e-government extranet security monitoring platform
2025 - 05 - 06 发布
2025 - 06 - 06 实施
安徽省市场监督管理局 发 布
DB34/T 5235—2025
目次
前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 1 5 级联架构 ........................................................................... 2 6 总体要求 ........................................................................... 2
6.1 数据传输要求 ................................................................... 2 6.2 接口协议 ....................................................................... 3 6.3 数据格式 ....................................................................... 3 6.4 时间同步 ....................................................................... 3 7 数据接口类型 ....................................................................... 3 7.1 级联注册接口 ................................................................... 3 7.2 级联状态监控接口 ............................................................... 4 7.3 威胁情报接口 ................................................................... 4 7.4 预警信息接口 ................................................................... 5 7.5 统计数据接口 ................................................................... 5 7.6 绩效指标接口 ................................................................... 5 7.7 安全报表接口 ................................................................... 5 7.8 安全事件接口 ................................................................... 6 7.9 文件接口 ....................................................................... 6 附录 A(资料性) 数据格式............................................................. 7 附录 B(资料性) 接口示例............................................................ 16
I
DB34/T 5235—2025
前言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由安徽省大数据中心提出。 本文件由安徽省数据资源管理局归口。 本文件起草单位:安徽省大数据中心、安徽省数据资源管理局、安徽省数字江淮中心、阜阳市数据 资源管理局、六安市数据资源管理局、马鞍山市大数据中心、安徽省电子产品监督检验所(安徽省信息 安全测评中心)。 本文件主要起草人:朱典、王理冬、陈钢、陈先才、陶峰、闫飞、李步伟、杨阳、张浩、李珂、史 金龙、白修灵、童武俊、冯玲莉。
II
DB34/T 5235—2025
电子政务外网安全监测平台接口技术规范
1 范围
本文件规定了电子政务外网安全监测平台的级联架构、总体要求及数据接口要求。 本文件适用于指导市级电子政务外网安全监测平台(以下简称“市级平台”)与省级电子政务外网 安全监测平台(以下简称“省级平台”)级联对接。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。
GB/T 25069 信息安全技术 术语
3 术语和定义
GB/T 25069 界定的以及下列术语和定义适用于本文件。 3.1
电子政务外网安全监测平台 extranet security monitoring platform for e-govermengt 以信息安全事件为核心,通过网络流量、安全设备日志、威胁情报等数据信息进行实时采集、监测 和分析,实现电子政务外网网络风险识别、威胁发现、安全事件实时告警及可视化展示的系统。 3.2 电子政务外网安全监测平台接口 interface of extranet security monitoring platform for e-govermengt 在省市两级监测平台之间,由这两级监测平台的功能特性、物理互联特性、信号交换特性及其他适 当特性界定的共享边界。 3.3 绩效指标 performance indicators 为实现对地区电子政务外网网络安全绩效的客观评估,从安全管理、安全建设、安全运营和安全效 果4个方面设定的一系列评价的指标。 3.4 安全报表 security report 由电子政务外网安全监测平台定期自动生成的对地区电子政务外网信息安全现状进行描述的数据, 或者人工编制的安全监测月报、安全监测年报、安全事件报告单、案例分析等特定格式的文件。
4 缩略语
1
DB34/T 5235—2025 下列缩略语适用于本文件。 IOC:攻陷信标(Indicator Of Compromise) IP:网络之间互连的协议(Internet Protocol) JSON:JS对象简谱(Java Script Object Notation) HTTPS:以安全为目标的超文本传输通道(Hypertext Transfer Protocol Secure) RESTFUL API:RESTFUL应用程序编程接口(Restful Application Programming Interface) URL:统一资源定位符(Uniform Resource Location)
5 级联架构 市级监测平台与省级监测平台通过数据协同对接子系统的RESTFUL API接口进行对接,级联架构图
如图1所示。
图1 电子政务外网安全监测平台级联架构 6 总体要求 6.1 数据传输要求
数据传输应满足以下要求: a) 数据协同对接子系统之间应按 RESTFUL API 标准实现数据对接; b) 采用公钥加密、私钥解密,按照 HTTPS 协议报送数据;
2
DB34/T 5235—2025 c) HTTPS 接口请求头部应增加 Authentication:Bearer xx(xx 为身份认证获取的访问令牌
(access_token))。 6.2 接口协议
接口协议应包括: a) 协议:HTTPS; b) 方法:POST,GET。 6.3 数据格式 application/json。 6.4 时间同步 省级平台提供时间服务器,以省级时间同步服务器为准。 7 数据接口类型 7.1 级联注册接口 级联注册流程见图2,接口示例参照附录B中的B.2。接口消息包括请求消息和返回消息,请求消息 字段定义参见附录A.1中表A.1,返回消息字段定义参见附录A.1中表A.2。
图2 级联注册流程
3
DB34/T 5235—2025 7.2 级联状态监控接口
市级平台调用省级平台级联状态监控接口进行状态上报,接口示例参照附录B中的B.3。该接口无请 求消息,返回消息参见附录B中的B.1通用响应内容。 7.3 威胁情报接口 7.3.1 威胁情报下发接口
数据下发对接流程见图3,接口示例参照附录B中的B.4.1。接口消息包括请求消息和返回消息,请 求消息字段定义参见附录A.2中表A.4,返回消息字段定义参见附录A中表A.3。
图3 数据下发对接流程 7.3.2 威胁情报上报接口
数据上报对接流程见图4,接口示例参照附录B中的B.4.2。接口消息包括请求消息和返回消息,请 求消息字段定义参见附录A.2中表A.3,返回消息参见附录B中的B.1通用响应内容。
4
DB34/T 5235—2025
图4 数据上报对接流程 7.4 预警信息接口 7.4.1 预警信息下发接口
数据下发对接流程见图3,接口示例参照附录B中的B.5.1。接口消息包括请求消息和返回消息,请 求消息字段定义参见附录A.3中表A.5,返回消息参见附录B中的B.1通用响应内容。 7.4.2 预警信息上报接口
数据上报对接流程见图4,接口示例参照附录B中的B.5.2。接口消息包括请求消息和返回消息,请 求消息字段定义参见附录A.3中表A.6,返回消息参见附录B中的B.1通用响应内容。 7.5 统计数据接口
数据上报对接流程见图4,接口示例参照附录B中的B.6。接口消息包括请求消息和返回消息,请求 消息字段定义参见附录A.4中表A.7,返回消息参见附录B中的B.1通用响应内容。 7.6 绩效指标接口
数据上报对接流程见图4,接口示例参照附录B中的B.7。接口消息包括请求消息和返回消息,请求 消息字段定义参见附录A.5中表A.9,返回消息参见附录B中的B.1通用响应内容。 7.7 安全报表接口
5
DB34/T 5235—2025 数据上报对接流程见图4,接口示例参照附录B中的B.8。接口消息包括请求消息和返回消息,请求
消息字段定义参见附录A.6中表A.10,返回消息参见附录B中的B.1通用响应内容。 7.8 安全事件接口 7.8.1 安全事件下发接口
数据下发对接流程见图3,接口示例参照附录B中的B.9.1。接口消息包括请求消息和返回消息,请 求消息字段定义参见附录A.7中表A.11,返回消息参见附录B中的B.1通用响应内容。
A
7.8.2 安全事件上报接口 数据上报对接流程见图4,接口示例参照附录B中的B.9.2。接口消息包括请求消息和返回消息,请
求消息字段定义参见附录A.7中表A.11,返回消息参见附录B中的B.1通用响应内容。 7.9 文件接口 7.9.1 文件下发接口
数据下发对接流程见图3,接口示例参照附录B中的B.10.1。 7.9.2 文件上报接口
数据上报对接流程见图4,接口示例参照附录B中的B.10.2。
6
DB34/T 5235—2025
附录A (资料性) 数据格式
A.1 级联注册
级联注册请求字段定义参见表A.1,级联注册返回字段参见表A.2。
表A.1 级联注册请求字段定义表
字段名称 areaCode
code sign cert oriData platformId platformSecret platformName platformUrl platformUser platformPhone platformEmail
字段类型(长度) string(255) string(255) string(2000) string(2000) string(2000) string(255) string(255) string(255) string(255) string(255) string(255) string(255)
是否必须 是 是 是 是 是 是 是 是 是 是 是 否
说明 区域代码 向省级平台请求的代码 证书签名 证书base64 用代码加密凭证数据 省级平台颁发的唯一凭证,即clientID 省级平台颁发的密码凭证,即clientSecret 市级平台名称,格式要求:XX省(市)XXX平台 市级平台通讯地址(IP) 市级平台负责人 市级平台负责人联系电话 市级平台负责人联系邮箱
字段名称 randomKey secretRandomKey
表A.2 级联注册返回字段定义表
字段类型(长度) string(255) string(2000)
是否必须 是 是
说明 省级平台访问市级平台的用户名 省级平台访问市级平台的秘钥
A.2 威胁情报
威胁情报字段定义参见表A.3,威胁情报获取字段定义参见表A.4。 表A.3 威胁情报字段定义表
字段名称 uuId tag
字段类型(长度) string(95)
array[string](95)
是否必须 是 是
数据类型 基本描述 基本描述
severity
int(5)
是
基本描述
说明
唯一标识
标签
危害等级 信息-20 低危-30 中危-50 高危-70
7
DB34/T 5235—2025
字段名称
字段类型(长度)
是否必须
confidence
int(5)
是
isMalicious
boolean(5)
是
dataSource
string(95)
否
iocType
string(95)
是
createTime
int(20)
是
threatType
string(5)
是
country
string(255)
是
region
string(255)
是
city
string(255)
是
md5
string(255)
是
fileName
string(255)
否
fileType
string(255)
否
ipv4
string(255)
是
ipv6
string(255)
是
domain
string(255)
是
string(255)
是
url
string(255)
是
数据类型
基本描述
基本描述 基本描述 基本描述 基本描述
基本描述
基本描述 基本描述 基本描述 文件hash类 文件hash类 文件hash类
ip类 ip类 domain类 mail类 url类
说明
严重-90
置信度 低可信-20 中可信-50 高可信-80
是否恶意 true,false
情报来源
情报类型: hash/domain/ip/MAIL/URL
创建时间
威胁类型: 1 恶意软件 2 溢出风险 3 拒绝服务 4 网络攻击 5 漏洞利用 6 物理攻击 7 事件风险 8 内容风险
9 其他
情报所在国家
情报所在州或省
情报所在城市
文件md5值
文件名称
文件类型
ipv4/ipv6上报一个即可
ipv4/ipv6上报一个即可
域名
邮箱
统一资源定位符
字段名称 startTime
endTime pageNum pageSize
表A.4 威胁情报获取字段定义表
字段类型(长度) int(20) int(20) int(5) int(5)
是否必须 是 是 是 是
说明 开始时间 截止时间
页数 每页显示条数
A.3 预警信息
预警信息下发字段定义见表A.5,预警信息上报字段定义见表A.6。
8
字段名称 id name
level
description createTime attachment actionType
iocName
confidence
severity
iocType dataSource
location detail vulnName
severity
cve description
solution reportName reportType reportDesc
表A.5 预警信息下发字段定义表
字段类型(长度) int(20)
string(95)
是否必须 是 是
数据类型 基本描述 基本描述
int(5)
是
基本描述
string(200)
是
int(20)
是
array[string](2000)
否
string(95)
是
string(95)
是
int(5)
是
基本描述 基本描述 基本描述 基本描述
情报类
情报类
int(5)
string(255) string(255) string(255) string(255) string(255)
int(95)
string(95) string(255) string(255) string(255)
int(95) string(95)
是
情报类
是
情报类
是
情报类
否
情报类
是
情报类
是
漏洞类
是
漏洞类
是
漏洞类
否
漏洞类
否
漏洞类
是
文件报表类
是
文件报表类
是
文件报表类
DB34/T 5235—2025
说明 预警的唯一标识
预警名称 预警等级 信息-20 低危-30
中危50 高危70 严重90 预警描述 创建时间 附件文件的唯一标识 工单的类型:ioc情报;vuln漏 洞;fileReport文件报表 情报名称 置信度 低可信-20 中可信-50 高可信-80 危害等级 信息-20 低危-30 中危-50 高危-70 严重-90 情报类型: hash/domain/ip/mail/url 情报来源 情报产生位置 情报详情 漏洞名称 危害等级 信息-20 低危-30 中危-50 高危-70 严重-90 安全漏洞编号 漏洞描述信息 解决方案 文件报表名称 文件报表类型: 1-周报;2-月报;3-年报; 4-其他 文件报表描述信息
9
DB34/T 5235—2025
字段名称 id
description attachment
dealStatus
dealDescription
表A.6 预警信息上报字段定义表
字段类型(长度) int(20)
string(2000) array[string](2000)
int(5)
string(2000)
是否必填 是 否 否
是
否
说明 原下发预警信息唯一标识
反馈的预警描述 附件文件的唯一标识
处置状态 1: 待处置 2: 处置中 3: 处置完成
处置过程描述
A.4 数据定义及数据格式
A.4.1 基本数据格式
各类数据按照指定的分类统计上报,统计数据字段定义参见表A.7。 表A.7 统计数据字段定义表
字段名 createTime incident incident.total incident.info incident.low incident.medium incident.high incident.critical incident.network incident.program incident.data incident.other incident.disposal
alert alert.total alert.info alert.low alert.medium alert.high alert.critical alert.network
10
字段类型(长度) int(20)
object(10) int(10) int(10) int(10) int(10) int(10) int(10) int(10) int(10) int(10) int(10) int(10)
object(10) int(10) int(10) int(10) int(10) int(10) int(10) int(10)
是否必须 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是
数据类型 基本描述 安全事件类 安全事件类 安全事件类 安全事件类 安全事件类 安全事件类 安全事件类 安全事件类 安全事件类 安全事件类 安全事件类 安全事件类 安全告警类 安全告警类 安全告警类 安全告警类 安全告警类 安全告警类 安全告警类 安全告警类
说明 创建时间 安全事件统计数据 安全事件总数 信息等级安全事件总数 低危等级安全事件总数 中危等级安全事件总数 高危等级安全事件总数 严重等级安全事件总数 网络攻击事件总数 恶意程序事件总数 数据安全事件总数 其他类事件总数 安全事件处置数 安全告警统计数据 安全告警总数 信息等级安全告警总数 低危等级安全告警总数 中危等级安全告警总数 高危等级安全告警总数 严重等级安全告警总数 网络攻击告警总数
DB34/T 5235—2025
字段名 alert.program
alert.data alert.other alert.disposal
vul vul.total vul.info
vul.low vul.medium vul.high vul.critical
asset asset.total asset.core asset.general asset.threatened
notice notice.total notice.success notice.fail notice.timeout
字段类型(长度) int(10) int(10) int(10) int(10)
object(10) int(10) int(10) int(10) int(10) int(10) int(10)
object(10) int(10) int(10) int(10) int(10)
object(10) int(10) int(10) int(10) int(10)
A.4.2 关键数据字段定义
是否必须 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是 是
A B
数据类型 安全告警类 安全告警类 安全告警类 安全告警类 脆弱性类 脆弱性类 脆弱性类 脆弱性类 脆弱性类 脆弱性类 脆弱性类
资产类 资产类 资产类 资产类 资产类 工单类 工单类 工单类 工单类 工单类
说明 恶意程序告警总数 数据安全告警总数
其他类告警总数 安全告警处置数 漏洞统计数据
漏洞总数 信息等级漏洞总数 低危等级漏洞总数 中危等级漏洞总数 高危等级漏洞总数 严重等级漏洞总数
资产统计数据 资产总数
核心资产总数 普通资产总数 受威胁资产数 工单统计数据
工单总数 已处置工单总数 未处置工单总数 超时处理工单总数
A.4.2.1 资产
资产涵盖各类软硬件设备,包括但不限于服务器、中间件、数据库、业务系统、安全设备等。
A.4.2.2 安全告警
告警类型分为:网络攻击告警、恶意程序告警、数据安全告警、其他告警四大类。
a) 网络攻击告警:主要包括网络扫描探测、漏洞利用、后门利用、后门植入、凭据攻击、信号 干扰、拒绝服务、网页篡改、暗链植入、域名劫持、流量 劫持、APT 等;
b) 恶意程序告警:主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络、混合攻击程序、 恶意代码内嵌网页、恶意代码宿主站点、勒索软件、挖矿病毒等;
c) 数据安全告警:主要包括数据篡改、数据假冒、数据泄漏、数据窃取、数据拦截、数据丢失、 数据错误等;
d) 其他告警:不属于以上三类的其他告警。
A.4.2.3 安全事件
11
DB34/T 5235—2025
安全事件是网络安全人员对告警信息及对应的原始日志进行分析,最终认定为对网内数据、业务、 网络正常运行已造成危害或存在严重安全隐患的判定信息。安全事件必须面向处置或防范,主要描述事 件类型、攻击源 IP、目标IP、事件级别、事件分析、影响程度和处置建议等信息。
安全事件类型分为:网络攻击事件、恶意程序事件、数据安全事件、其他事件四大类。在一级分类 下可划分事件二级分类,二级分类的具体内容参考附录表A.8。
表 A.8 安全事件分类表
一级分类 恶意程序事件
网络攻击事件
数据安全事件 其他事件
二级分类 计算机病毒事件
网络蠕虫事件 特洛伊木马事件
僵尸网络事件 恶意代码内嵌网页事件 恶意代码宿主站点事件
勒索软件事件 挖矿病毒事件 混合攻击程序事件 其他恶意程序事件 网络扫描探测事件 网络钓鱼事件 漏洞利用事件 后门利用事件 后门植入事件 凭据攻击事件 信号干扰事件 拒绝服务事件 网页篡改事件 暗链植入事件 域名劫持事件 域名转嫁事件 DNS 污 染 事 件 WLAN 劫 持 事 件 流量劫持事件 BGP 劫 持 攻 击 事 件 广播欺诈事件 失陷主机事件 供应链攻击事件
APT 事 件 其他网络攻击事件
数据篡改事件 数据假冒事件 数据泄漏事件 社会工程事件 数据窃取事件 数据拦截事件 位置检测事件 数据投毒事件 数据滥用事件 隐私侵犯事件 数据损失事件 其他数据安全事件
其他事件
12
DB34/T 5235—2025
A.5 绩效指标
绩效指标字段定义见表A.9。
字段名称 notice
notice.total notice.timeout
incident incident.total incident.info
incident.low incident.medium
incident.high incident.critical
vul vul.total vul.baseline vul.weakPwd
asset asset.total
attachment
startTime endTime
表A.9
字段类型(长度) object(10) int(10) int(10) object(10) int(10) int(10) int(10) int(10) int(10) int(10) object(10) int(10) int(10) int(10) object(10) int(10) array[string] (2000) int(10) int(10)
绩效指标字段定义表
是否必须
说明
是
工单信息
是
工单总数(同 A.4 统计数据)
是
超时处置工单数(同 A.4 统计数据)
是
安全事件统计数据
是
安全事件总数(同 A.4 统计数据)
是
信息等级安全事件总数(同 A.4 统计数据)
是
低危等级安全事件总数(同 A.4 统计数据)
是
中危等级安全事件总数(同 A.4 统计数据)
是
高危等级安全事件总数(同 A.4 统计数据)
是
严重等级安全事件总数(同 A.4 统计数据)
是
漏洞信息
是
漏洞总数(同 A.4 统计数据)
是
配置风险总数
是
弱密码总数
是
资产信息
是
资产总数(同 A.4 统计数据)
否
附件文件的唯一标识
见章节 5.10
是
考核周期-开始时间
是
考核周期-结束时间
A.6 安全报表
安全报表字段定义见表A.10。
字段名称 id
reportName reportType reportDesc attachment
表A.10 安全报表字段定义表
字段类型(长度)
是否必须
long(20)
是
string(100)
否
int(5)
否
int(255)
是
string(2000)
是
说明 唯一标识 报表名称 1周报 2月报 3年报 4其他 报表描述信息
文件
A.7 安全事件
安全事件字段定义见表A.11。
字段名称 id
platformId platformName platformLevel
name level
表A.11 安全事件字段定义表
字段类型(长度)
是否必填
说明
integer(20)
否
安全事件的唯一标识
string(50)
否
平台的唯一标识
string(50)
否
平台名
integer(10)
否
平台等级
string(10)
是
预警名称
integer(i10)
是
预警等级
13
DB34/T 5235—2025
字段名称 description attachment actionType
iocName confidence severity
iocType dataSource location
detail vulnName
cve vulnDesc solution reportType reportDesc platformIds headIds dispatchTime createById createBy dispatchStatus createByPhone deadline urgingStatus urgingPlatformJson urgingTime eventName eventId alertLevel
字段类型(长度) string(255) string(2000) string(10) string(95) integer(10) integer(10) string(95) string(95) string(95) string(2000) string(95) string(95) string(2000) string(2000) integer(10) string(95)
[string](2000) [string](2000) string(date-time)(20)
integer(20) string(95) integer(10) string(95) string(date-time)(20) boolean(1) string(2000) string(date-time)(20) string(255) string(95) integer(10)
sourceIp destinationIp
startTime fallenReasonDesc
attachFile businessSystem
institute reviewer
string(255) string(255) string(date-time)(20) string(2000) string(2000) string(255) string(255) string(255)
14
是否必填 是 否 否 否 是 是 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 是 是 是
是 是 是 是 是 是 是 是
说明 预警描述 附件文件 工单的类型 情报名称
置信度 危害等级 情报类型 情报来源 情报产生位置 情报详情 漏洞名称 安全漏洞编号 漏洞描述信息 解决方案 文件报表类型 文件报表描述信息 下发平台的唯一标识符 负责人的唯一标识符 分派时间 预留方法名称的唯一标识 预留方法名称 分派状态 新增用户联系电话 办理时限 催办状态 催办平台json格式{platform_id,urging_time} 催办时间 事件名称 事件的唯一标识 威胁等级1-一般事件,2-较大事件,3-重大事件, 4-特别重大事件 源IP(影响资产)
目的IP 发生时间时间 事件(漏洞)描述
附件 所属业务系统
所属单位 审核人
字段名称 disposer isUpload
uuid status
sn enterprisesId enterprisesName
processId startUser attackResult
endTime type
eventSource occurrence disposeSuggest incidentStage
字段类型(长度) string(255) integer(10) string(255) integer(10) string(255) string(255) string(255) string(255) string(255) string(255)
string(date-time)(20) string(10)
integer(int32)(10) integer(10) string(255) integer(10)
disposeInstructions disposeTime threatLevel
attachmentUrl isXf isSend xfMsg inTime
outTime timeConsuming
isTimeout sysId sysName
claimStatus reportUrl
ktype platformIds zkjgDataId
zkjgHash pid
string(255) string(date-time)(20)
integer(int32)(10) string(2000) integer(10) integer(10) string(2000)
string(date-time)(20) string(date-time)(20)
integer(int64)(20) integer(int32)(20)
string(255) string(255) integer(int32)(20) string(255) integer(int32)(20) string(2000) string(255) string(255) string(255)
是否必填 是 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否
否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否 否
DB34/T 5235—2025
说明 处置人 市是否上报 安全事件的唯一标识 安全事件的状态 工单编号 被监控单位 被监控单位名称 进程的唯一标识 发起的用户 企图、失败、成功 事件结束时间 事件类型 1监管单位发现、2被监管单位上报、3其他 发生次数 处置建议 事件阶段:侦查、工具制作、投送、攻击渗透、 安装工具、命令控制、恶意活动 处置备注 处置时间 中台-威胁等级 中台的附件统一资源定位符 信息泄露的状态码 事件信息传递的状态码 泄露信息详情 流入时间 流出时间 流程用时 事件处置时间的状态码 事件来源系统的唯一标识 事件来源系统的名称 安全事件的认领状态码 上传事件报告的统一资源定位符 安全事件类型 转发平台的唯一标识符 上链的唯一标识 上链哈希值 安全事件进程的唯一标识
15
DB34/T 5235—2025
附录B (资料性) 接口示例
B.1 通用响应
通用响应包含状态码(code)、提示信息(message)和返回数据(data),返回状态码说明见表 B.1。
{ "code": 200, "message": "请求成功", "data": {},
}
状态码(code) 200 400 401 403 404 408
表B.1 返回状态码说明表
说明 请求成功 参数错误 认证失败 没有权限访问 资源不存在 Token已过期
B.2 级联注册接口
B.2.1 身份认证接口
B.2.1.1 获取国密算法的加密公钥
接口描述:
市级平台通过调用省级平台的“获取国密算法的加密公钥”接口获取省级平台公钥,省级平台通过 调用市级平台的“获取国密算法的加密公钥”接口获取市级平台公钥。
请求方法:GET 请求内容:无 响应内容:
16
DB34/T 5235—2025
{ "code": 200, "message": "请求成功", "data": { "SM4": "MIGfMA0GCSqGSIb3DQEBAQUAA4GN1293jakshdCBiQKBgQDOD12312mjAC3l5AQivbY9TxxZK5bpbzcA" }
}
B.2.1.2 获取 access_token
接口描述:
省级平台利用市级平台公钥对省级平台密钥进行加密,并使用省级平台客户端唯一凭证和加密后的 密钥向市级平台请求获取access_token。
市级平台利用省级平台公钥对市级平台密钥进行加密,并使用市级平台客户端唯一凭证和加密后的 密钥向省级平台请求获取access_token。
请求方法:GET 请求内容: Content-Type: application/json
{ "grantType": "client_credentials", "clientId": "CLIENT_ID", "clientSecret": "CLIENT_SECRET"
}
请求参数说明:
序号
字段名称
字段类型(长度)
1
grantType
string(95)
2
clientId
string(95)
3 响应内容:
clientSecret
string(95)
{ "code": 200, "message": "请求成功", "data": { "accessToken": "access_token", "tokenType": "bearer", "expiresIn": 3600 }
}
是否必须 是 是 是
说明 固定参数 客户端唯一凭证 经过国密算法加密过后的密钥
B.2.2 注册接口
17
DB34/T 5235—2025
B.2.2.1 服务器连接注册
接口描述:
市级平台用省级平台颁发的唯一凭证和密钥,调用省级平台注册接口进行注册。
请求办法:POST
请求内容: {
"areaCode": "string", "code": "string", "sign": "string", "cert": "string", "oriData": "string" }
请求参数说明:参见附录A.1中的表A.1。
响应内容:
{ "status": 0, "data": { "tokenName": "string", "tokenValue": "string", "isLogin": true, "loginId": {}, "loginType": "string", "tokenTimeout": 0, "sessionTimeout": 0, "tokenSessionTimeout": 0, "tokenActiveTimeout": 0, "loginDevice": "string", "tag": "string" }, "msg": "string", "errorConstant": [ "string" ], "respResultTime": "2019-08-24T14:15:22Z"
}
返回参数说明:参见附录 B.1 通用响应。
B.2.2.2 获取 token
接口描述:
市级平台通过调用省级平台接口获取token。
18
请求办法:POST 请求内容:
DB34/T 5235—2025
{ "id": 0, "platformId": "string", "platformSecret": "string", "areaCode": "string"
}
请求参数说明:参见附录A.1中的表A.1。 响应内容: {
"status": 0, "data": {
"tokenName": "string", "tokenValue": "string", "isLogin": true, "loginId": {}, "loginType": "string", …… "loginDevice": "string", "tag": "string" }, "msg": "string", "errorConstant": [ "string" ], "respResultTime": "2019-08-24T14:15:22Z" } 注:响应内容示例中省略了非必填字段。 返回参数说明:参见附录 B.1 通用响应。
B.3 级联状态监控接口
接口描述:
市级平台调用省级电子政务外网安全监测平台级联状态监控接口进行状态上报。
请求方法:POST 请求内容:无 响应内容:参见附录 B.1 通用响应。
19
DB34/T 5235—2025
B.4 威胁情报接口
B.4.1 威胁情报下发接口
接口描述: 按照收集时间获取威胁情报。该接口由省级平台实现,市级平台调用。
请求方法:GET 请求内容:无。 请求参数说明:
序号
字段名称
1
height
2
size
响应内容:
字段类型 Path path
数据类型 Long Long
是否必须 是 是
说明 高度 区块数
{ "code": 200, "messages": [ "请求成功" ], "data": { "count": 128, "height": 1600, "tBlocks": [ { "amount": "0", "balance": "0", "code": "0x5b34b966", "codeHash": "0x411e2f3ded43****d425f1aa80c8051931692e37707b710a2e98b8a
d456532", "daemonHash": "0x1fb11b6ae****a64437c19cca2866513245a9b7a04cce5a1336ae
c8e9f0e7", "deposit": "0", "difficulty": 0, "hash": "0x66a97133f578****8efb13f22167deac54c060763b124cb470400a608f7
b", "hub": [
35f2", 20
], "income": "0", "joule": 0, "linker": "zltc_kDpRzPk6VtnCW****m2BatRzv9EVM2QNN", "nonce": 584, "number": 586, "owner": "zltc_Z1pnS94bP4****BP9pH8bEvhi", "parentHash": "0xc16178df3d0****4f51d1a5b33b0a20af9fe0251dc9bbd50fe76a
"payload": "0x", "pow": "0", "proofOfWork": "0x", "record": 0, "size": 312, "timestamp": 1700127508048, "type": "execute", "version": 3 } ] } } 返回参数说明:参见附录A.2中的表A.3、A.4。
B.4.2 威胁情报上报接口
接口描述:
该接口由省级平台实现,市级平台调用。
请求方法:POST 请求内容: Content-Type: application/json(以合肥为例) Header 添加:--header 'credentials: 569d66c8bfd59f62a23e514623e315b8752376ae9424dbc5f03403574abeeb2a4d0eb9f7921885d 200d2b97ef8963f553fe43f155a7d87a5b777e326ec002001b9bc56443c1c841b9c8b98c27af9b7 3b5494f180f1d6dfc9668513' {
"uri": 55834574849, "businessAddress": "zltc_kZnwhpaz*********XkgWRtfDT", "data": {
"platformId": "合肥市", "file": "⽂件", "uuid": "123456789", "tag": [
"info" ], "severity": 20, "confidence": 50, "isMalicious": false, "dataSource": "website", "iocType": "ip", "createTime": 1701650404, "threatType": "1", "country": "China", "region": "AnHui",
DB34/T 5235—2025
21
DB34/T 5235—2025
"city": "HeFei", "md5": "8b1a9953******f8c47804d7", "fileName": "java", "fileType": "book", "ipv4": "192.168.1.110", "ipv6": "0", "domain": "https://www.xxx.com", "mail": "xx@xx.com", "url": "https://www.xx.com" }, "version": 0, "key": "@KMS" } 请求参数说明:参见附录A.2中的表A.3。 响应内容: { "status": 0, "data": { …… "uuId": "string", "tag": "string", "severity": 0, "confidence": 0, "isMalicious": true, "dataSource": "string", "iocType": "string", "threatTypes": "string", "country": "string", "region": "string", "city": "string", "md5": "string", "fileName": "string", "fileType": "string", "file": "string", "ipType": "string", "ipv4": "string", "ipv6": "string", "domain": "string", "mail": "string", "url": "string", "status": 0, "isSyc": 0, "platformIds": "string", "zkjgDataId": "string",
22
"zkjgHash": "string", "pid": "string" }, "msg": "string", "errorConstant": [ "string" ], "respResultTime": "2019-08-24T14:15:22Z" } 注:响应内容示例中省略了非必填字段。
返回参数说明:参见附录 B.1 通用响应。
B.5 预警信息接口
B.5.1 预警信息下发接口
接口描述: 该接口由市级平台实现,省级平台调用。
请求方法:POST 请求内容: Content-Type: application/json {
"id": 0, "platformId": "string", "platformName": "string", "platformLevel": 0, "name": "string", "level": 0, …… "confidence": 0, "severity": 0, …… "reportType": 0, "reportDesc": "string", "circulationStatus": 0, …… "inTime": "2019-08-24T14:15:22Z", "outTime": "2019-08-24T14:15:22Z", "headIds": "string", "dispatchTime": "2019-08-24T14:15:22Z", "dispatchStatus": 0, "createByPhone": "string", "deadline": "2019-08-24T14:15:22Z", "urgingStatus": true, "urgingPlatformJson": "string",
DB34/T 5235—2025
23
DB34/T 5235—2025
"urgingTime": "2019-08-24T14:15:22Z", "eventName": "string", "eventId": "string", "alertLevel": 0, "sourceIp": "string", "destinationIp": "string", "startTime": "2019-08-24T14:15:22Z", …… } 注:请求内容示例中省略了非必填字段。
请求参数说明:参见附录A.3中的表A.5。 响应内容:参见附录B.1通用响应。
B.5.2 预警处置上报接口
接口描述: 该接口由省级平台实现,市级平台调用。
请求方法:POST 请求内容: Content-Type: application/json {
"id": 0, "platformId": "string", "platformName": "string", "platformLevel": 0, "noticeId": 0, "headName": "string", "headPhone": "string", "dealStatus": 0, "operation": "string", "noticeDesc": "string", "attachment": "string" } 请求参数说明:参见附录A.3中的表A.6。 响应内容:参见附录B.1通用响应。
B.6 统计数据上报接口
接口说明: 该接口由省级平台实现,市级平台调用。
请求方法:POST 请求内容:
24
Content-Type: application/json
{ "data": [ "createTime": 1665490539, "incident": { "total": 100, "info": 10, "low": 10, "medium": 10, "high": 10, "critical": 60 }, "alert": { "total": 100, "info": 10, "low": 10, "medium": 10, "high": 10, "critical": 60 }, "vul": { "total": 100, "info": 10, "low": 10, "medium": 10, "high": 10, "critical": 60 }, "asset": { "total": 100, "core": 50, "general": 50 }, "notice": { "total": 100, "timeout": 50 } ]
}
参数说明:参见附录A.4中的表A.7。 响应内容:参见附录B.1通用响应。
B.7 绩效指标上报接口
接口描述:
DB34/T 5235—2025
25
DB34/T 5235—2025
该接口由省级平台实现,市级平台调用。 请求方法:POST 请求内容: Content-Type: application/json {
"data": [ "notice": { "total": 100, "timeout": 10 }, "incident": { "total": 100, "info": 10, "low": 20, "medium": 30, "high": 30, "critical": 10 }, "vul": { "total": 100, "baseline": 50, "wealPwd": 50 }, "asset": { "total": 100 }, "attachment": ["fileId1", "fileId2"], "startTime": 1665490539, "endTime": 1665490539
] } 请求参数说明:参见附录A.5中的表A.9。 响应内容:参见附录B.1通用响应。
B.8 安全报表上报接口
接口说明: 该接口由省级平台实现,市级平台调用。
请求方法:POST 请求内容: Content-Type: application/json {
"data": [ "id": "123456789", "reportName": "文件报表名称",
26
DB34/T 5235—2025
"reportType": 1, "reportDesc": "描述信息", "attachment": ["fileId1", "fileId2"], "createTime": 1665490539 ] } 请求参数说明:参见附录A.6中的表A.10。 响应内容:参见附录B.1通用响应。
B.9 文件接口
B.9.1 文件下发接口
接口说明: 该接口由省级平台实现,市级平台调用。
请求方法:GET 请求参数说明:
序号
字段名称
1
fileId
字段类型 string(95)
B.9.2 文件上传接口
是否必须 是
说明 文件的唯一标识
接口描述: 该接口由省级平台实现,市级平台调用。 市级平台在上报包含附件类型数据时,需要先上报文件,再上报其他信息。限制:文件大小:30M
型:.txt、.png、.jpg、.jpeg、.doc、.docx、.pdf、.xlxs等。 请求方法:POST 请求内容: Content-Type: multipart/form-data
文件类
{ "file": "文件字节流"
}
请求参数说明:
序号
字段名称
字段类型(长度)
是否必须
说明
1
file
Bytes(30M)
是
文件字节流
响应内容:
{ "code": 200, "message":"请求成功" , "data": { "fileId": "xxx" }
} 返回参数说明:
27
DB34/T 5235—2025
序号 1
字段名称 fileId
字段类型(长度) String(95)
是否必须 是
说明 文件的唯一标识
28