YD1827-2008 网络安全事件描述和交换格式

YD1827-2008 网络安全事件描述和交换格式 组的协调工作。各商业网络运营商、大型公司、教育科研机构以及国家相关部门也逐步成立了计算机安全应急组。为了提高各CSIRT对计算机安全事件的响应能力和预防能力，规范我国各CSIRT之间计算机安全事件的描述和相关事件交换格式，特制定安全事件描述交换格式（Incident Object Description ExchangeFormat，ODEF） 安全事件描述交换格式（IODEF）主要用于各应急响应组事件处理系统（Incident Handling System） 之间的信息交换，是一种表示层的通信协议，它的应用环境如图1所示。 一般情况下，应急响应组需要某种软件工具把安全事件相关的信息生成IODEF的事件报告，然后通过任意的通信协议（比如HTTP、SMTP等）发送给其他相关的组织：当CSIRT收到其他CSIRT、网络服务商、用户或其他组织发送过来的IODEF文档时，一般需要经过事件处理系统中的IODEF解析模块或独立的IODEF解析程序生成符合CSIRT内部定义的数据格式，然后保存到本地事件报告数据库中，并进入事件处理的流程中。 本标准规定了计算机安全事件描述和交换格式（IODEF）的术语、事件描述格式，并提供XML的参考实现。 本标准适用于在我国提供计算机安全事件应急响应服务的各种应急响应组，也可供其他建设、使用计算机安全事件处理系统或安全事件交换系统的组织参考。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些档的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 19716-2005信息技术 信息安全管理实用规则（idt ISO/IEC 17799：2000） GB/T 19715.1-2005信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型 （idt ISO/IEC TR 13335.1：1996） GB/T 19715.2-2005信息技术 信息技术安全管理指南 第2部分：管理和规划信息技术安全 （idt ISO/IEC TR 13335.2：1997） ISO/IEC TR 13335.3：1998信息技术 信息技术安全管理指南 第3部分：信息技术安全管理技术ISO/IEC TR 13335.4：2000信息技术 信息技术安全管理指南 第4部分：防护措施的选择ISO/IEC TR 13335.5：2001信息技术 信息技术安全管理指南 第5部分：网络安全管理指南draft-ietf-inch-iodef-04安全事件描述交换格式数据模型和XML实现 RFC 1305网络时间协议规范和执行 RFC 2030对于IPv4、IPv6和OSI的简单网络定时协议第4版RFC 2256对于使用LADPv3的X.509使用者计划的概述RFC 2822英特网信息格式 RFC 2396统一资源标识符（URI）：一般句法 3 术语和缩略语 3.1 术语和定义 下列术语和定义适用于本标准。 3.1.1 攻击 Attack指对系统安全的袭击，主要来源于人为的、技术上的威胁，例如，企图逃避安全服务和违背系统安全策略的一次技术上的攻击行为。 攻击可能是主动的，也可能是被动的；可能是内部人员，也可能是外部人员。 3.1.3 计算机安全应急响应组 CSIRT指处理计算机安全事件和创建安全事件报告的机构。CSIRT也可能涉及证据的收集和保管、安全事件请求等活动。CSIRT由其身份标识、机构名称、公开密钥等来描述。 3.1.4损失 Damage指攻击给目标系统产生的有意或者无意的后果。损害的描述可以包括对攻击的实际结果的自由形式的文本描述，如果可能，还可以包括有关被损害的系统、子系统或者服务的结构化信息。 3.1.5 活动 Event指操纵目标的一种行为，其目的是引起目标的状态发生改变。从起源角度看，活动可以被定义为在引发报警的系统或网络中任何可观察到的现象。例如，在10秒钟内连续3次登录失败的活动，可能表示出现强行登录攻击事件。 3.1.6 证据 Evidence指与活动（Event）相关的信息，该信息用来证明或支持活动相关的结论。对于安全事件（incident），可能包括但不局限于如下内容：由侵入检测系统（IDS）创建的数据转储（dump）文件、来自系统日志文件的数据、内核统计信息、高速缓存、内存、临时文件系统或者其他引起报警或在安全事件发生后收集的数据。 在存储、归档证据，特别是需要保持证据的完整性时，必须高度小心并采取特殊的规则，必要的时候，应当加密存储证据。按照证据收集和存档的原则，必须严格保护证据的安全。必须详细记录证据保管链，证据应当按照当地的法律进行收集、存档和保护是非常必要的。 3.1.7 安全事件 Incident指涉及违反安全策略的安全性事件。安全事件可以定义为单次攻击或者一组攻击，可以根据攻击的方法、攻击者的身份、受害者、站点、目标和时间等特性将此单次攻击或此组攻击从其他的攻击中区分开来。 3.1.8影响Impact 3.1.9 目标 Target用来描述根据用户或机构对攻击的结果的表述，例如资金上的损失或者时间花费等方面的代价。 指计算机或网络逻辑实体（如账号、进程或数据）、物理实体（组件、计算机、网络或国际互联网）。 3.1.10 受害者 Victim指在安全事件报告中所描述的遭受到攻击的个人或组织。在IODEF中，受害者通常用其网络身份标识、组织或者物理位置等信息来描述。