GB/T 28517-2012網(wǎng)絡(luò)安全事件描述和交換格式

ICS35020

L09.

中華人民共和國國家標準

GB/T28517—2012

網(wǎng)絡(luò)安全事件描述和交換格式

Networkincidentobjectdescriptionandexchangeformat

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T28517—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義縮略語………………………

3、1

術(shù)語和定義…………………………

3.11

縮略語………………

3.23

符號約定…………………

43

安全事件描述和交換格式的基礎(chǔ)數(shù)據(jù)類型……………

54

整數(shù)…………………

5.14

實數(shù)…………………

5.24

字符和字符串………………………

5.34

字節(jié)…………………

5.44

枚舉類型……………

5.54

日期時間……………

5.6-4

時間戳…………………………

5.7NTP4

端口列表……………

5.84

郵政地址……………

5.95

個人或組織…………………………

5.105

電話和傳真號碼……………………

5.115

電子郵件……………

5.125

統(tǒng)一資源標識………………………

5.135

唯一標識……………

5.145

安全事件描述和交換格式………………

65

概述…………………

6.15

文檔類………………………

6.2IODEF6

安全事件類…………………………

6.36

事件標識類…………………………

6.49

可選標識類…………………………

6.59

相關(guān)活動類…………………………

6.610

其他數(shù)據(jù)類…………………………

6.711

聯(lián)系類………………

6.812

注冊機構(gòu)標識類……………………

6.914

時間類……………

6.1014

期望類……………

6.1115

攻擊方法類………………………

6.1216

Ⅰ

GB/T28517—2012

評估類……………

6.1317

歷史類……………

6.1420

異?，F(xiàn)象數(shù)據(jù)類…………………

6.1521

流類和系統(tǒng)類……………………

6.1624

節(jié)點類……………

6.1725

服務(wù)類……………

6.1827

記錄類……………

6.1928

分析器類…………………………

6.2030

安全事件描述和交換格式的擴展和實現(xiàn)指南…………

732

擴展機制……………

7.132

擴展原則……………

7.232

的擴充實例………………

7.3IODEF32

實現(xiàn)指南……………

7.440

附錄資料性附錄安全事件描述和交換格式實例…………………

A()42

紅色代碼檢測通告………………

A.142

帶有簽名的文檔…………………

A.2XMLIODEF44

使用加密的文檔的例子…………

A.3XMLIODEF45

參考文獻……………………

47

Ⅱ

GB/T28517—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準是主要參照互聯(lián)網(wǎng)工程任務(wù)組結(jié)合我國計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)體系建設(shè)

IETF()RFC5070,

的實際情況而制定的

。

本標準由中華人民共和國工業(yè)和信息化部提出

。

本標準由中國通信標準化協(xié)會歸口

。

本標準起草單位國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心清華大學

:、。

本標準主要起草人黃元飛袁春陽段海新孫蔚敏楊臻周勇林焦緒錄紀玉春梁晟吳俊華

:、、、、、、、、、、

孫彬

。

Ⅲ

GB/T28517—2012

引言

隨著互聯(lián)網(wǎng)的發(fā)展計算機網(wǎng)絡(luò)安全事件突破了國家或地區(qū)的邊界跨越多個組織各應(yīng)急響應(yīng)組

,,,

織間的合作也突破了國界語言和文化的約束在此背景下我國特成立了國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處

、。,

理協(xié)調(diào)中心負責協(xié)調(diào)國內(nèi)各計算機安全應(yīng)急響應(yīng)組共同處理國家公共互聯(lián)網(wǎng)上的安

(CNCERT/CC),

全事件相關(guān)電信運營企業(yè)安全服務(wù)商國有大型公司教育科研機構(gòu)以及國家有關(guān)部門也逐步成立了

;、、、

計算機安全應(yīng)急響應(yīng)組簡稱應(yīng)急響應(yīng)組或為了提高各應(yīng)急響應(yīng)組對安全事件的響應(yīng)能力

(CSIRT)。

和預(yù)防能力規(guī)范我國各應(yīng)急響應(yīng)組之間安全事件的描述和交換格式特制定本標準

,,(IODEF)。

主要用于各應(yīng)急響應(yīng)組的事件處理系統(tǒng)之間信息交換是一種表示層的通信協(xié)議

IODEF(IHS),,

其應(yīng)用環(huán)境如圖所示

1。

圖1安全事件描述交換格式的應(yīng)用環(huán)境

一般情況下應(yīng)急響應(yīng)組需要某種軟件工具把安全事件相關(guān)的信息生成的事件報告然后

,IODEF,

通過通信協(xié)議如等發(fā)送給其他相關(guān)的組織當收到其他網(wǎng)絡(luò)服務(wù)商

(HTTP、SMTP);CSIRTCSIRT、、

用戶或其他組織發(fā)送過來的文檔時一般需要經(jīng)過事件處理系統(tǒng)中的解析模塊或獨立

IODEF,IODEF

的解析程序生成符合內(nèi)部定義的數(shù)據(jù)格式然后保存到本地事件報告數(shù)據(jù)庫中并進入

IODEFCSIRT,,

事件處理的流程

。

Ⅳ

GB/T28517—2012

網(wǎng)絡(luò)安全事件描述和交換格式

1范圍

本標準規(guī)定了一種描述計算機網(wǎng)絡(luò)安全事件的通用數(shù)據(jù)格式以便于計算機安全應(yīng)急響應(yīng)組間進

,

行網(wǎng)絡(luò)安全事件交換并提供了的參考實現(xiàn)

,XML。

本標準適用于計算機安全應(yīng)急響應(yīng)組間進行計算機網(wǎng)絡(luò)安全事件交換也可供建設(shè)和維護計算機

,

網(wǎng)絡(luò)安全事件處理系統(tǒng)時參考

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單使用于本文件

。,()。

表示貨幣和資金的代碼

GB/T12406—2008(ISO4217:2001,IDT)

網(wǎng)絡(luò)時間協(xié)議規(guī)范和執(zhí)行

IETFRFC1305(NetworkTimeProtocol(Version3)Specification,

Implementation)

對于和的簡單網(wǎng)絡(luò)定時協(xié)議第版

IETFRFC2030IPv4、IPv6OSI4(SimpleNetworkTime

Protocol(SNTP)Version4forIPv4,IPv6andOSI)

對于使用的使用者計劃的概述

IETFRFC2256LADPv3X.500(ASummaryoftheX.500(96)

UserSchemaforusewithLDAPv3)