GB/T 28517-2012网络安全事件描述和交换格式

ICS35020

L09.

中华人民共和国国家标准

GB/T28517—2012

网络安全事件描述和交换格式

Networkincidentobjectdescriptionandexchangeformat

2012-06-29发布2012-10-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T28517—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义缩略语………………………

3、1

术语和定义…………………………

3.11

缩略语………………

3.23

符号约定…………………

43

安全事件描述和交换格式的基础数据类型……………

54

整数…………………

5.14

实数…………………

5.24

字符和字符串………………………

5.34

字节…………………

5.44

枚举类型……………

5.54

日期时间……………

5.6-4

时间戳…………………………

5.7NTP4

端口列表……………

5.84

邮政地址……………

5.95

个人或组织…………………………

5.105

电话和传真号码……………………

5.115

电子邮件……………

5.125

统一资源标识………………………

5.135

唯一标识……………

5.145

安全事件描述和交换格式………………

65

概述…………………

6.15

文档类………………………

6.2IODEF6

安全事件类…………………………

6.36

事件标识类…………………………

6.49

可选标识类…………………………

6.59

相关活动类…………………………

6.610

其他数据类…………………………

6.711

联系类………………

6.812

注册机构标识类……………………

6.914

时间类……………

6.1014

期望类……………

6.1115

攻击方法类………………………

6.1216

Ⅰ

GB/T28517—2012

评估类……………

6.1317

历史类……………

6.1420

异常现象数据类…………………

6.1521

流类和系统类……………………

6.1624

节点类……………

6.1725

服务类……………

6.1827

记录类……………

6.1928

分析器类…………………………

6.2030

安全事件描述和交换格式的扩展和实现指南…………

732

扩展机制……………

7.132

扩展原则……………

7.232

的扩充实例………………

7.3IODEF32

实现指南……………

7.440

附录资料性附录安全事件描述和交换格式实例…………………

A()42

红色代码检测通告………………

A.142

带有签名的文档…………………

A.2XMLIODEF44

使用加密的文档的例子…………

A.3XMLIODEF45

参考文献……………………

47

Ⅱ

GB/T28517—2012

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准是主要参照互联网工程任务组结合我国计算机网络应急响应体系建设

IETF()RFC5070,

的实际情况而制定的

。

本标准由中华人民共和国工业和信息化部提出

。

本标准由中国通信标准化协会归口

。

本标准起草单位国家计算机网络应急技术处理协调中心清华大学

:、。

本标准主要起草人黄元飞袁春阳段海新孙蔚敏杨臻周勇林焦绪录纪玉春梁晟吴俊华

:、、、、、、、、、、

孙彬

。

Ⅲ

GB/T28517—2012

引言

随着互联网的发展计算机网络安全事件突破了国家或地区的边界跨越多个组织各应急响应组

,,,

织间的合作也突破了国界语言和文化的约束在此背景下我国特成立了国家计算机网络应急技术处

、。,

理协调中心负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安

(CNCERT/CC),

全事件相关电信运营企业安全服务商国有大型公司教育科研机构以及国家有关部门也逐步成立了

;、、、

计算机安全应急响应组简称应急响应组或为了提高各应急响应组对安全事件的响应能力

(CSIRT)。

和预防能力规范我国各应急响应组之间安全事件的描述和交换格式特制定本标准

,,(IODEF)。

主要用于各应急响应组的事件处理系统之间信息交换是一种表示层的通信协议

IODEF(IHS),,

其应用环境如图所示

1。

图1安全事件描述交换格式的应用环境

一般情况下应急响应组需要某种软件工具把安全事件相关的信息生成的事件报告然后

,IODEF,

通过通信协议如等发送给其他相关的组织当收到其他网络服务商

(HTTP、SMTP);CSIRTCSIRT、、

用户或其他组织发送过来的文档时一般需要经过事件处理系统中的解析模块或独立

IODEF,IODEF

的解析程序生成符合内部定义的数据格式然后保存到本地事件报告数据库中并进入

IODEFCSIRT,,

事件处理的流程

。

Ⅳ

GB/T28517—2012

网络安全事件描述和交换格式

1范围

本标准规定了一种描述计算机网络安全事件的通用数据格式以便于计算机安全应急响应组间进

,

行网络安全事件交换并提供了的参考实现

,XML。

本标准适用于计算机安全应急响应组间进行计算机网络安全事件交换也可供建设和维护计算机

,

网络安全事件处理系统时参考

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单使用于本文件

。,()。

表示货币和资金的代码

GB/T12406—2008(ISO4217:2001,IDT)

网络时间协议规范和执行

IETFRFC1305(NetworkTimeProtocol(Version3)Specification,

Implementation)

对于和的简单网络定时协议第版

IETFRFC2030IPv4、IPv6OSI4(SimpleNetworkTime

Protocol(SNTP)Version4forIPv4,IPv6andOSI)

对于使用的使用者计划的概述

IETFRFC2256LADPv3X.500(ASummaryoftheX.500(96)

UserSchemaforusewithLDAPv3)