YDT 1827-2008网络安全事件描述和交换格式.pdf

ICS 33 020M01YO中华人民共和国通信行业标准YD/T 1827-2008网络安全事件描述和交换格式Network Incident Object Description Exchange Format2008-07-28 发布2008-11-01 实施中华人民共和国工业和信息化部发布 YD/T 1827-2008目次前言1引言I1范围·2 规范性引用文件·3术语和缩略语·4符号约定和格式?5安全事件描述与交换格式的基础数据类型6　安全事件描述与交换格式·7安全事件描述交换格式的扩展和实现指南附录A（资料性附录）事件描述实例3参考文献·X1 YD/T 1827-2008前言本标准是参照国家标准和RFC有关文档，结合我国计算机网络安全和应急响应的特点制定的。本标准的附录A为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位：国家计算机网络应急技术处理协调中心、清华大学臻、梁晟、孙蔚敏、纪玉本标准主要起草人：袁春阳、段海新、周勇林、黄元飞、焦绪录、杨春、吴俊华、孙彬11 YD/T 1827-2008引言制定本标准的目的是为计算机安全应急响应组（Computer Security Incident Response Team，以下简称应急响应组或CSRT）之间的安全事件交换提供统一的安全事件描述方法和交换格式。随着互联网的发展，计算机安全事件突破了国家或地区的边界，跨越多个组织，各应急响应组织间的合作也突破了国界、语言和文化的约束。在我国，国家计算机网络与信息安全管理中心成立了国家计算机网络应急技术处理协调中心（简称CNCERT/CC），负责国内各部门、行业与机构的计算机安全应急响应组的协调工作。各商业网络运营商、大型公司、教育科研机构以及国家相关部门也逐步成立了计算机安全应急组。为了提高各CSIRT对计算机安全事件的响应能力和预防能力，规范我国各CSIRT之间计算机安全事件的描述和相关事件交换格式，特制定安全事件描述交换格式（Incident Object DescriptionExchange Format，IODEF）。安全事件描述交换格式（IODEF）主要用于各应急响应组事件处理系统（Incident Handling System）之间的信息交换，是一种表示层的通信协议，它的应用环境如图1所示。应急响应组（CSIRT)事件处理系统（IHS）解其他应急响应组本地事件安全事件交换格式（IODEF）析网络服务商报告数据库用户模通信协议y块其他组织统计模块预警、统计报告图1安全事件描述交换格式的应用环境般情况下，应急响应组需要某种软件工具把安全事件相关的信息生成IODEF的事件报告，然后通过任意的通信协议（比如HTTP、SMTP等）发送给其他相关的组织；当CSIRT收到其他CSIRT、网络服务商、用户或其他组织发送过来的IODEF文档时，一般需要经过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式，然后保存到本地事件报告数据库中，并进入事件处理的流程中。II YD/T 1827-2008网络安全事件描述和交换格式1范围本标准规定了计算机安全事件描述和交换格式（IODEF）的术语、事件描述格式，并提供XML的参考实现。本标准适用于在我国提供计算机安全事件应急响应服务的各种应急响应组，也可供其他建设、使用计算机安全事件处理系统或安全事件交换系统的组织参考。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些档的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。信息技术信息安全管理实用规则（idtISO/IEC17799:2000）GB/T 19716-2005信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型GB/T 19715.1-2005(idt ISO/IEC TR 13335.1:1996)信息技术信息技术安全管理指南第2部分：管理和规划信息技术安全GB/T 19715.2-2005(idt ISO/IEC TR 13335.2:1997)信息技术信息技术安全管理指南第3部分：信息技术安全管理技术ISO/IEC TR 13335.3:1998ISO/IEC TR 13335.4:2000信息技术信息技术安全管理指南 第4部分：防护措施的选择ISO/IEC TR 13335.5:2001信息技术信息技术安全管理指南第5部分：网络安全管理指南安全事件描述交换格式数据模型和XML实现draft-ietf-inch-iodef-04RFC 1305网络时间协议规范和执行RFC 2030对于IP