ICS35020

L09.

中華人民共和國國家標準

GB/T28517—2012

網絡安全事件描述和交換格式

Networkincidentobjectdescriptionandexchangeformat

2012-06-29發布2012-10-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T28517—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規范性引用文件…………………………

21

術語和定義縮略語………………………

3、1

術語和定義…………………………

3.11

縮略語………………

3.23

符號約定…………………

43

安全事件描述和交換格式的基礎數據類型……………

54

整數…………………

5.14

實數…………………

5.24

字符和字符串………………………

5.34

字節…………………

5.44

枚舉類型……………

5.54

日期時間……………

5.6-4

時間戳…………………………

5.7NTP4

端口列表……………

5.84

郵政地址……………

5.95

個人或組織…………………………

5.105

電話和傳真號碼……………………

5.115

電子郵件……………

5.125

統一資源標識………………………

5.135

唯一標識……………

5.145

安全事件描述和交換格式………………

65

概述…………………

6.15

文檔類………………………

6.2IODEF6

安全事件類…………………………

6.36

事件標識類…………………………

6.49

可選標識類…………………………

6.59

相關活動類…………………………

6.610

其他數據類…………………………

6.711

聯系類………………

6.812

注冊機構標識類……………………

6.914

時間類……………

6.1014

期望類……………

6.1115

攻擊方法類………………………

6.1216

Ⅰ

GB/T28517—2012

評估類……………

6.1317

歷史類……………

6.1420

異常現象數據類…………………

6.1521

流類和系統類……………………

6.1624

節點類……………

6.1725

服務類……………

6.1827

記錄類……………

6.1928

分析器類…………………………

6.2030

安全事件描述和交換格式的擴展和實現指南…………

732

擴展機制……………

7.132

擴展原則……………

7.232

的擴充實例………………

7.3IODEF32

實現指南……………

7.440

附錄資料性附錄安全事件描述和交換格式實例…………………

A()42

紅色代碼檢測通告………………

A.142

帶有簽名的文檔…………………

A.2XMLIODEF44

使用加密的文檔的例子…………

A.3XMLIODEF45

參考文獻……………………

47

Ⅱ

GB/T28517—2012

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準是主要參照互聯網工程任務組結合我國計算機網絡應急響應體系建設

IETF()RFC5070,

的實際情況而制定的

。

本標準由中華人民共和國工業和信息化部提出

。

本標準由中國通信標準化協會歸口

。

本標準起草單位國家計算機網絡應急技術處理協調中心清華大學

:、。

本標準主要起草人黃元飛袁春陽段海新孫蔚敏楊臻周勇林焦緒錄紀玉春梁晟吳俊華

:、、、、、、、、、、

孫彬

。

Ⅲ

GB/T28517—2012

引言

隨著互聯網的發展計算機網絡安全事件突破了國家或地區的邊界跨越多個組織各應急響應組

,,,

織間的合作也突破了國界語言和文化的約束在此背景下我國特成立了國家計算機網絡應急技術處

、。,

理協調中心負責協調國內各計算機安全應急響應組共同處理國家公共互聯網上的安

(CNCERT/CC),

全事件相關電信運營企業安全服務商國有大型公司教育科研機構以及國家有關部門也逐步成立了

;、、、

計算機安全應急響應組簡稱應急響應組或為了提高各應急響應組對安全事件的響應能力

(CSIRT)。

和預防能力規范我國各應急響應組之間安全事件的描述和交換格式特制定本標準

,,(IODEF)。

主要用于各應急響應組的事件處理系統之間信息交換是一種表示層的通信協議

IODEF(IHS),,

其應用環境如圖所示

1。

圖1安全事件描述交換格式的應用環境

一般情況下應急響應組需要某種軟件工具把安全事件相關的信息生成的事件報告然后

,IODEF,

通過通信協議如等發送給其他相關的組織當收到其他網絡服務商

(HTTP、SMTP);CSIRTCSIRT、、

用戶或其他組織發送過來的文檔時一般需要經過事件處理系統中的解析模塊或獨立

IODEF,IODEF

的解析程序生成符合內部定義的數據格式然后保存到本地事件報告數據庫中并進入

IODEFCSIRT,,

事件處理的流程

。

Ⅳ

GB/T28517—2012

網絡安全事件描述和交換格式

1范圍

本標準規定了一種描述計算機網絡安全事件的通用數據格式以便于計算機安全應急響應組間進

,

行網絡安全事件交換并提供了的參考實現

,XML。

本標準適用于計算機安全應急響應組間進行計算機網絡安全事件交換也可供建設和維護計算機

,

網絡安全事件處理系統時參考

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單使用于本文件

。,()。

表示貨幣和資金的代碼

GB/T12406—2008(ISO4217:2001,IDT)

網絡時間協議規范和執行

IETFRFC1305(NetworkTimeProtocol(Version3)Specification,

Implementation)

對于和的簡單網絡定時協議第版

IETFRFC2030IPv4、IPv6OSI4(SimpleNetworkTime

Protocol(SNTP)Version4forIPv4,IPv6andOSI)

對于使用的使用者計劃的概述

IETFRFC2256LADPv3X.500(ASummaryoftheX.500(96)

UserSchemaforusewithLDAPv3)