GB/T 28517-2012
Network incident object description and exchange format
ICS 35.020
L09
中华人民共和国国家标准
网络安全事件描述和交换格式
2012-06-29发布
2012-10-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 3
4 符号约定 3
5 安全事件描述和交换格式的基础数据类型 4
5.1 整数 4
5.2 实数 4
5.3 字符和字符串 4
5.4 字节 4
5.5 枚举类型 4
5.6 日期-时间 4
5.7 NTP时间戳 4
5.8 端口列表 4
5.9 邮政地址 5
5.10 个人或组织 5
5.11 电话和传真号码 5
5.12 电子邮件 5
5.13 统一资源标识 5
5.14 唯一标识 5
6 安全事件描述和交换格式 5
6.1 概述 5
6.2 IODEF文档类 6
6.3 安全事件类 6
6.4 事件标识类 9
6.5 可选标识类 9
6.6 相关活动类 10
6.7 其他数据类 11
6.8 联系类 12
6.9 注册机构标识类 14
6.10 时间类 14
6.11 期望类 15
6.12 攻击方法类 16
6.13 评估类 17
6.14 历史类 20
6.15 异常现象数据类 21
6.16 流类和系统类 24
6.17 节点类 25
6.18 服务类 27
6.19 记录类 28
6.20 分析器类 30
7 安全事件描述和交换格式的扩展和实现指南 32
7.1 扩展机制 32
7.2 扩展原则 32
7.3 IODEF的扩充实例 32
7.4 实现指南 40
附录A(资料性附录) 安全事件描述和交换格式实例 42
A.1 红色代码检测通告 42
A.2 带有XML签名的IODEF文档 44
A.3 使用XML加密的IODEF文档的例子 45
参考文献 47
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准是主要参照IETF(互联网工程任务组)RFC5070,结合我国计算机网络应急响应体系建设
的实际情况而制定的。
本标准由中华人民共和国工业和信息化部提出。
本标准由中国通信标准化协会归口。
本标准起草单位:国家计算机网络应急技术处理协调中心、清华大学。
本标准主要起草人:黄元飞、袁春阳、段海新、孙蔚敏、杨臻、周勇林、焦绪录、纪玉春、梁晟、吴俊华、孙彬。
引 言
随着互联网的发展,计算机网络安全事件突破了国家或地区的边界,跨越多个组织,各应急响应组
织间的合作也突破了国界、语言和文化的约束。在此背景下,我国特成立了国家计算机网络应急技术处理协调中心(CNCERT/CC),负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安全事件;相关电信运营企业、安全服务商、国有大型公司、教育科研机构以及国家有关部门也逐步成立了计算机安全应急响应组(简称应急响应组或CSIRT)。为了提高各应急响应组对安全事件的响应能力和预防能力,规范我国各应急响应组之间安全事件的描述和交换格式,特制定本标准(IODEF)。
IODEF主要用于各应急响应组的事件处理系统(IHS)之间信息交换,是一种表示层的通信协议,
其应用环境如图1所示。
图1 安全事件描述交换格式的应用环境
一般情况下,应急响应组需要某种软件工具把安全事件相关的信息生成IODEF的事件报告,然后
通过通信协议(如HTTP、SMTP等)发送给其他相关的组织;当CSIRT收到其他CSIRT、网络服务商、用户或其他组织发送过来的IODEF文档时,一般需要经过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式,然后保存到本地事件报告数据库中,并进入事件处理的流程。
网络安全事件描述和交换格式
1 范围
本标准规定了一种描述计算机网络安全事件的通用数据格式,以便于计算机安全应急响应组间进行网络安全事件交换,并提供了XML的参考实现。
本标准适用于计算机安全应急响应组间进行计算机网络安全事件交换,也可供建设和维护计算机网络安全事件处理系统时参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)使用于本文件。
GB/T 12406-2008 表示货币和资金的代码(ISO 4217:2001,IDT)
IETFRFC1305 网络时间协议规范和执行(NetworkTimeProtocol(Version3)Specification,
Implementation)
IETFRFC2030 对于IPv4、IPv6和 OSI的简单网络定时协议第4版(SimpleNetworkTime
Protocol(SNTP)Version4forIPv4,IPv6andOSI)
IETFRFC2256 对于使用LADPv3的X.500使用者计划的概述(ASummaryoftheX.500(96)
UserSchemaforusewithLDAPv3)
IETFRFC2396 统一资源标识符(URI):一般句法(UniformResourceIdentifiers(URI):Generic
Syntax)
IETFRFC2822 英特网信息格式(InternetMessageFormat)
3 术语和定义、缩略语
3.1 术语和定义
下列术语和定义适用于本文件。
3.1.1
攻击 attack
对系统安全的袭击,主要来源于人为的、技术上的威胁。例如,企图逃避安全服务和违背系统安全策略的一次技术上的攻击行为。
攻击可能是主动的,也可能是被动的;可能是来自内部人员,也可能是来自外部人员。
3.1.2
攻击者 attacker
为达到某种(些)目的而尝试一次或多次攻击的个体。在本标准中,攻击者由其网络标识、发起网络或计算机攻击的组织以及物理位置信息(可选)来描述。
3.1.3
计算机安全应急响应组 computersecurityincidentresponseteam;CSIRT
处理计算机网络安全事件和创建安全事件报告的组织。CSIRT也可能涉及证据的收集和保管、安
Network incident object description and exchange format
ICS 35.020
L09
中华人民共和国国家标准
网络安全事件描述和交换格式
2012-06-29发布
2012-10-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 3
4 符号约定 3
5 安全事件描述和交换格式的基础数据类型 4
5.1 整数 4
5.2 实数 4
5.3 字符和字符串 4
5.4 字节 4
5.5 枚举类型 4
5.6 日期-时间 4
5.7 NTP时间戳 4
5.8 端口列表 4
5.9 邮政地址 5
5.10 个人或组织 5
5.11 电话和传真号码 5
5.12 电子邮件 5
5.13 统一资源标识 5
5.14 唯一标识 5
6 安全事件描述和交换格式 5
6.1 概述 5
6.2 IODEF文档类 6
6.3 安全事件类 6
6.4 事件标识类 9
6.5 可选标识类 9
6.6 相关活动类 10
6.7 其他数据类 11
6.8 联系类 12
6.9 注册机构标识类 14
6.10 时间类 14
6.11 期望类 15
6.12 攻击方法类 16
6.13 评估类 17
6.14 历史类 20
6.15 异常现象数据类 21
6.16 流类和系统类 24
6.17 节点类 25
6.18 服务类 27
6.19 记录类 28
6.20 分析器类 30
7 安全事件描述和交换格式的扩展和实现指南 32
7.1 扩展机制 32
7.2 扩展原则 32
7.3 IODEF的扩充实例 32
7.4 实现指南 40
附录A(资料性附录) 安全事件描述和交换格式实例 42
A.1 红色代码检测通告 42
A.2 带有XML签名的IODEF文档 44
A.3 使用XML加密的IODEF文档的例子 45
参考文献 47
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准是主要参照IETF(互联网工程任务组)RFC5070,结合我国计算机网络应急响应体系建设
的实际情况而制定的。
本标准由中华人民共和国工业和信息化部提出。
本标准由中国通信标准化协会归口。
本标准起草单位:国家计算机网络应急技术处理协调中心、清华大学。
本标准主要起草人:黄元飞、袁春阳、段海新、孙蔚敏、杨臻、周勇林、焦绪录、纪玉春、梁晟、吴俊华、孙彬。
引 言
随着互联网的发展,计算机网络安全事件突破了国家或地区的边界,跨越多个组织,各应急响应组
织间的合作也突破了国界、语言和文化的约束。在此背景下,我国特成立了国家计算机网络应急技术处理协调中心(CNCERT/CC),负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安全事件;相关电信运营企业、安全服务商、国有大型公司、教育科研机构以及国家有关部门也逐步成立了计算机安全应急响应组(简称应急响应组或CSIRT)。为了提高各应急响应组对安全事件的响应能力和预防能力,规范我国各应急响应组之间安全事件的描述和交换格式,特制定本标准(IODEF)。
IODEF主要用于各应急响应组的事件处理系统(IHS)之间信息交换,是一种表示层的通信协议,
其应用环境如图1所示。
图1 安全事件描述交换格式的应用环境
一般情况下,应急响应组需要某种软件工具把安全事件相关的信息生成IODEF的事件报告,然后
通过通信协议(如HTTP、SMTP等)发送给其他相关的组织;当CSIRT收到其他CSIRT、网络服务商、用户或其他组织发送过来的IODEF文档时,一般需要经过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式,然后保存到本地事件报告数据库中,并进入事件处理的流程。
网络安全事件描述和交换格式
1 范围
本标准规定了一种描述计算机网络安全事件的通用数据格式,以便于计算机安全应急响应组间进行网络安全事件交换,并提供了XML的参考实现。
本标准适用于计算机安全应急响应组间进行计算机网络安全事件交换,也可供建设和维护计算机网络安全事件处理系统时参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)使用于本文件。
GB/T 12406-2008 表示货币和资金的代码(ISO 4217:2001,IDT)
IETFRFC1305 网络时间协议规范和执行(NetworkTimeProtocol(Version3)Specification,
Implementation)
IETFRFC2030 对于IPv4、IPv6和 OSI的简单网络定时协议第4版(SimpleNetworkTime
Protocol(SNTP)Version4forIPv4,IPv6andOSI)
IETFRFC2256 对于使用LADPv3的X.500使用者计划的概述(ASummaryoftheX.500(96)
UserSchemaforusewithLDAPv3)
IETFRFC2396 统一资源标识符(URI):一般句法(UniformResourceIdentifiers(URI):Generic
Syntax)
IETFRFC2822 英特网信息格式(InternetMessageFormat)
3 术语和定义、缩略语
3.1 术语和定义
下列术语和定义适用于本文件。
3.1.1
攻击 attack
对系统安全的袭击,主要来源于人为的、技术上的威胁。例如,企图逃避安全服务和违背系统安全策略的一次技术上的攻击行为。
攻击可能是主动的,也可能是被动的;可能是来自内部人员,也可能是来自外部人员。
3.1.2
攻击者 attacker
为达到某种(些)目的而尝试一次或多次攻击的个体。在本标准中,攻击者由其网络标识、发起网络或计算机攻击的组织以及物理位置信息(可选)来描述。
3.1.3
计算机安全应急响应组 computersecurityincidentresponseteam;CSIRT
处理计算机网络安全事件和创建安全事件报告的组织。CSIRT也可能涉及证据的收集和保管、安
评论
发表评论