GB/T 28517-2012網(wǎng)絡(luò)安全事件描述和交換格式

ICS35020

L09.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28517—2012

網(wǎng)絡(luò)安全事件描述和交換格式

Networkincidentobjectdescriptionandexchangeformat

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28517—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義縮略語………………………

3、1

術(shù)語和定義…………………………

3.11

縮略語………………

3.23

符號(hào)約定…………………

43

安全事件描述和交換格式的基礎(chǔ)數(shù)據(jù)類型……………

54

整數(shù)…………………

5.14

實(shí)數(shù)…………………

5.24

字符和字符串………………………

5.34

字節(jié)…………………

5.44

枚舉類型……………

5.54

日期時(shí)間……………

5.6-4

時(shí)間戳…………………………

5.7NTP4

端口列表……………

5.84

郵政地址……………

5.95

個(gè)人或組織…………………………

5.105

電話和傳真號(hào)碼……………………

5.115

電子郵件……………

5.125

統(tǒng)一資源標(biāo)識(shí)………………………

5.135

唯一標(biāo)識(shí)……………

5.145

安全事件描述和交換格式………………

65

概述…………………

6.15

文檔類………………………

6.2IODEF6

安全事件類…………………………

6.36

事件標(biāo)識(shí)類…………………………

6.49

可選標(biāo)識(shí)類…………………………

6.59

相關(guān)活動(dòng)類…………………………

6.610

其他數(shù)據(jù)類…………………………

6.711

聯(lián)系類………………

6.812

注冊(cè)機(jī)構(gòu)標(biāo)識(shí)類……………………

6.914

時(shí)間類……………

6.1014

期望類……………

6.1115

攻擊方法類………………………

6.1216

Ⅰ

GB/T28517—2012

評(píng)估類……………

6.1317

歷史類……………

6.1420

異?，F(xiàn)象數(shù)據(jù)類…………………

6.1521

流類和系統(tǒng)類……………………

6.1624

節(jié)點(diǎn)類……………

6.1725

服務(wù)類……………

6.1827

記錄類……………

6.1928

分析器類…………………………

6.2030

安全事件描述和交換格式的擴(kuò)展和實(shí)現(xiàn)指南…………

732

擴(kuò)展機(jī)制……………

7.132

擴(kuò)展原則……………

7.232

的擴(kuò)充實(shí)例………………

7.3IODEF32

實(shí)現(xiàn)指南……………

7.440

附錄資料性附錄安全事件描述和交換格式實(shí)例…………………

A()42

紅色代碼檢測通告………………

A.142

帶有簽名的文檔…………………

A.2XMLIODEF44

使用加密的文檔的例子…………

A.3XMLIODEF45

參考文獻(xiàn)……………………

47

Ⅱ

GB/T28517—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)是主要參照互聯(lián)網(wǎng)工程任務(wù)組結(jié)合我國計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)體系建設(shè)

IETF()RFC5070,

的實(shí)際情況而制定的

。

本標(biāo)準(zhǔn)由中華人民共和國工業(yè)和信息化部提出

。

本標(biāo)準(zhǔn)由中國通信標(biāo)準(zhǔn)化協(xié)會(huì)歸口

。

本標(biāo)準(zhǔn)起草單位國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心清華大學(xué)

:、。

本標(biāo)準(zhǔn)主要起草人黃元飛袁春陽段海新孫蔚敏楊臻周勇林焦緒錄紀(jì)玉春梁晟吳俊華

:、、、、、、、、、、

孫彬

。

Ⅲ

GB/T28517—2012

引言

隨著互聯(lián)網(wǎng)的發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)安全事件突破了國家或地區(qū)的邊界跨越多個(gè)組織各應(yīng)急響應(yīng)組

,,,

織間的合作也突破了國界語言和文化的約束在此背景下我國特成立了國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處

、。,

理協(xié)調(diào)中心負(fù)責(zé)協(xié)調(diào)國內(nèi)各計(jì)算機(jī)安全應(yīng)急響應(yīng)組共同處理國家公共互聯(lián)網(wǎng)上的安

(CNCERT/CC),

全事件相關(guān)電信運(yùn)營企業(yè)安全服務(wù)商國有大型公司教育科研機(jī)構(gòu)以及國家有關(guān)部門也逐步成立了

;、、、

計(jì)算機(jī)安全應(yīng)急響應(yīng)組簡稱應(yīng)急響應(yīng)組或?yàn)榱颂岣吒鲬?yīng)急響應(yīng)組對(duì)安全事件的響應(yīng)能力

(CSIRT)。

和預(yù)防能力規(guī)范我國各應(yīng)急響應(yīng)組之間安全事件的描述和交換格式特制定本標(biāo)準(zhǔn)

,,(IODEF)。

主要用于各應(yīng)急響應(yīng)組的事件處理系統(tǒng)之間信息交換是一種表示層的通信協(xié)議

IODEF(IHS),,

其應(yīng)用環(huán)境如圖所示

1。

圖1安全事件描述交換格式的應(yīng)用環(huán)境

一般情況下應(yīng)急響應(yīng)組需要某種軟件工具把安全事件相關(guān)的信息生成的事件報(bào)告然后

,IODEF,

通過通信協(xié)議如等發(fā)送給其他相關(guān)的組織當(dāng)收到其他網(wǎng)絡(luò)服務(wù)商

(HTTP、SMTP);CSIRTCSIRT、、

用戶或其他組織發(fā)送過來的文檔時(shí)一般需要經(jīng)過事件處理系統(tǒng)中的解析模塊或獨(dú)立

IODEF,IODEF

的解析程序生成符合內(nèi)部定義的數(shù)據(jù)格式然后保存到本地事件報(bào)告數(shù)據(jù)庫中并進(jìn)入

IODEFCSIRT,,

事件處理的流程

。

Ⅳ

GB/T28517—2012

網(wǎng)絡(luò)安全事件描述和交換格式

1范圍

本標(biāo)準(zhǔn)規(guī)定了一種描述計(jì)算機(jī)網(wǎng)絡(luò)安全事件的通用數(shù)據(jù)格式以便于計(jì)算機(jī)安全應(yīng)急響應(yīng)組間進(jìn)

,

行網(wǎng)絡(luò)安全事件交換并提供了的參考實(shí)現(xiàn)

,XML。

本標(biāo)準(zhǔn)適用于計(jì)算機(jī)安全應(yīng)急響應(yīng)組間進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全事件交換也可供建設(shè)和維護(hù)計(jì)算機(jī)

,

網(wǎng)絡(luò)安全事件處理系統(tǒng)時(shí)參考

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單使用于本文件

。,()。

表示貨幣和資金的代碼

GB/T12406—2008(ISO4217:2001,IDT)

網(wǎng)絡(luò)時(shí)間協(xié)議規(guī)范和執(zhí)行

IETFRFC1305(NetworkTimeProtocol(Version3)Specification,

Implementation)

對(duì)于和的簡單網(wǎng)絡(luò)定時(shí)協(xié)議第版

IETFRFC2030IPv4、IPv6OSI4(SimpleNetworkTime

Protocol(SNTP)Version4forIPv4,IPv6andOSI)

對(duì)于使用的使用者計(jì)劃的概述

IETFRFC2256LADPv3X.500(ASummaryoftheX.500(96)

UserSchemaforusewithLDAPv3)