ICS 35. 020 L 09 GB 中华人民共和国国家标准 GB/T 28517—2012 网络安全事件描述和交换格式 Network incident object description and exchange format 2012-06-29发布 2012-10-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T28517—2012 目 次 前言 II 引言 TV 1范围 2 规范性引用文件 3术语和定义、缩略语 3.1术语和定义 3.2缩略语 4符号约定 5安全事件描述和交换格式的基础数据类型 5. 1 整数 5.2 实数 5.3 字符和字符串 5. 4 字节 5.5 枚举类型 5.6 日期-时间 5.7 NTP时间戳· 端口列表 5.8 5. 9 邮政地址 5.10 个人或组织· 5.11 电话和传真号码 5. 12 电子邮件. 5.13 统一资源标识 5. 14 唯 一标识· 安全事件描述和交换格式 6 6.1 概述 6.2 IODEF文档类 6.3 安全事件类 6.4 事件标识类 6.5 可选标识类 6. 6 相关活动类· 其他数据类 6.7 11 6.8 联系类· 12 6.9 注册机构标识类 6.10 时间类 14 6. 11 期望类 15 6. 12 攻击方法类 16 I GB/T 28517—2012 6.13 评估类 17 6. 14 历史类 20 6.15 异常现象数据类 21 6.16 流类和系统类 24 6.17 节点类 25 6.18 服务类 27 6.19 记录类 28 6.20 分析器类 30 7 安全事件描述和交换格式的扩展和实现指南 32 7. 1 扩展机制 32 7. 2 扩展原则 32 7. 3 IODEF的扩充实例 32 7.4实现指南 40 附录A（资料性附录） 安全事件描述和交换格式实例 42 A.1红色代码检测通告 42 A.2带有XML签名的IODEF文档 44 A.3使用XML加密的IODEF文档的例子 45 参考文献 47 GB/T28517—2012 前言 本标准按照GB/T1.1一2009给出的规则起草 本标准是主要参照IETF（互联网工程任务组）RFC5070，结合我国计算机网络应急响应体系建设 的实际情况而制定的 本标准由中华人民共和国工业和信息化部提出。 本标准由中国通信标准化协会归口。 本标准起草单位：国家计算机网络应急技术处理协调中心、清华大学。 本标准主要起草人：黄元飞、袁春阳、段海新、孙蔚敏、杨臻、周勇林、焦绪录、纪玉春、梁晟、吴俊华、 孙彬。 GB/T28517—2012 引言 随着互联网的发展，计算机网络安全事件突破了国家或地区的边界，跨越多个组织，各应急响应组 织间的合作也突破了国界、语言和文化的约束。在此背景下，我国特成立了国家计算机网络应急技术处 理协调中心（CNCERT/CC），负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安 全事件；相关电信运营企业、安全服务商、国有大型公司、教育科研机构以及国家有关部门也逐步成立了 计算机安全应急响应组（简称应急响应组或CSIRT）。 为了提高各应急响应组对安全事件的响应能力 和预防能力，规范我国各应急响应组之间安全事件的描述和交换格式，特制定本标准（IODEF）。 IODEF主要用于各应急响应组的事件处理系统（IHS）之间信息交换，是一种表示层的通信协议， 其应用环境如图1所示。 应急响应组（CSIRT） 事件处理系统(IS) 解 其他应急呕应组 本地事件 1oDLI 报告数据库 网络服务商 通信协议 模 用户 块 其他组织 统计模块 预警、统计报告 图1安全事件描述交换格式的应用环境 般情况下，应急响应组需要某种软件工具把安全事件相关的信息生成IODEF的事件报告，然后 通过通信协议（如HTTP，SMTP等）发送给其他相关的组织；当CSIRT收到其他CSIRT、网络服务商、 用户或其他组织发送过来的IODEF文档时，一般需要经过事件处理系统中的IODEF解析模块或独立 的IODEF解析程序生成符合CSIRT内部定义的数据格式，然后保存到本地事件报告数据库中，并进入 事件处理的流程。 IV