rfc3067.txt

很多RFC的中文文档

组织：中国互动出版网（http://www.china-pub.com/）
RFC文档中文翻译计划（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
译者：郝国生（booking  gs_hao@263.net） 
译文发布时间：2002-1-18
版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须
保留本文档的翻译及版权信息。



Network Working Group                                       J. Arvidsson
Request for Comments: 3067                                    Telia CERT
Category: Informational                                       A. Cormack
                                                               JANET-CERT
                                                             Y. Demchenko
                                                                   TERENA
                                                                J. Meijer
                                                                  SURFnet
                                                            February 2001
TERENA'S事件对象描述和转换格式要求 
(RFC3067—TERENA's Incident Object Description and Exchange Format equirements)

备忘录状态
该备忘录专为Internet 组织提供信息。它不指定任何类型的Internet 标准。本备忘录的
发行不受任何限制。
版权声明
Copyright (C) The Internet Society (2001).  All Rights Reserved.
摘要
事件对象描述和转换格式的目的是要定义通用数据格式，该数据格式用于CSIRTs（计
算机安全事件响应组）（包括：报警、事件调查、存档、统计、报告等）之间事件信息的描
述、存档和转换。本文献描述了对于这样一种事件对象描述和转换格式的高级要求，包括那
些要求的原因。并在必要的地方引用例子对这些要求进一步解释。
目录
1本文献约定使用	3
2介绍	3
2.1基本原理	3
2.2事件描述术语	4
2.2.1攻击	4
2.2.2攻击者	4
2.2.3 CSIRT	4
2.2.4损害	4
2.2.5事件（Event）	4
2.2.6证据	5
2.2.7事件（Incident）	5
2.2.8效果	5
2.2.9目标	5
2.2.10受害者	6
2.2.11缺陷	6
2.2.12其它术语	6
3综合要求	6
4描述格式	6
4.1 IODEF将支持完全国际化和地方化	6
4.2 IODEF必须支持事件描述的模块化以允许数据集合与过滤	7
4.3 IODEF必须支持对每一个元件访问限制策略的应用	7
5通信机制要求	7
IODEF转换将通常由使用标准协议的人发起，例如，e-mail, WWW/HTTP,	7
6信息内容	8
6.1 IO描述的根部件应当包括唯一的辨别数字（或者标识符）、IO目标以及缺省许
可级别	8
6.2 IODEF描述的内容应当包括攻击的类型，如果攻击是可知的	8
6.3 IODEF描述必须结构化以便那些诸如来自CERT/CC, CVE的任何相关的咨询都
可以涉及到	8
6.4 IODEF可以包括引起当前事件攻击的详细描述	8
6.5 IODEF描述必须包括或者能够涉及与明确的优先事件/行为相关的额外详细数
据以及经常提到的证据	9
6.6 IODEF描述必须包括对攻击者和受害者的描述	9
6.7 IODEF描述必须支持设备地址不同类型的表述，例如IP地址（版本4.0或6.0）
和国际互联网名称	9
6.8 IODEF必须包括事件对象创建者（CSIRT或其他权威）的身份	9
6.9 IODEF描述必须包括事件对目标可能影响的说明	9
6.10 IODEF必须能够声明在报告信息中的可信度	10
6.11 IODEF描述必须提供关于事件过程中以前的CSIRTs采取措施的信息	10
6.12 IODEF必须支持沿事件生命周期全阶段的时间报告	10
6.13 时间应视作当地时间和来自UTC的时区偏移	10
6.14 报告日期的格式必须适应全部的当前标准2000年翻转法，并且必须有足够的
容量持续记录直到2038年的日期有效值	10
6.15 IO时间参数中的时间间隔尺寸将不由IODEF确定	11
6.16 IODEF应当支持描述内容的机密性	11
6.17 IODEF应当确保描述内容的完整性	11
6.18 IODEF应当确保信息内容的真实性和非批判性	11
6.19 IODEF描述必须支持可能被执行者使用的扩展机制	11
6.20 必须适当定义IODEF描述的语义学	12
7 IODEF扩展性	12
IODEF自身必须是可扩展的	12
8 安全考虑	12
9 参考文献	12
致谢	13
作者地址	14
全部版权声明	14
认证	14

1本文献约定使用
在本文献中使用的关键字"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
"SHOULD", "SHOULD NOT", RECOMMENDED", "MAY", and "OPTIONAL" 将按照在
RFC 2119 [1]中所描述的那样来解释。
2介绍
本文献定义了事件对象描述和转换格式(IODEF)的要求，这些要求是事件分类工作组
(ITDWG) 在TERENA [2]方面所期望的产物。IODEF计划将成为一种标准，该标准允许
CSIRTs转换可操作和可统计的信息。这一标准也可能为兼容的和可互联操作工具的发展提
供一种基础，这些工具则用于事件记录、跟踪和转换。
另一个目标是把IETF IDWG的工作（当前主要集中在侵入检测转换格式和通讯协议两
方面）扩展到和网络安全中较高级元件相同事件的描述。这一方案将涉及到CSIRTs以及与
他们的支持者相关的诸多问题。
本文献将第一次包括文献类的IODEF设置，IODEF数据模版和XML DTD说明。关于
该文献进一步的讨论请与以下邮件地址联系：incident-taxonomy@terena.nl或者 
iodef@terena.nl ，相关文档可以通过以下网址得到：
http://hypermail.terena.nl/incident-taxonomy-list/mail-archive/  以及
http://hypermail.terena.nl/iodef-list/mail-archive/ 。
2.1基本原理
工作是以试图建立合作和信息转换为基础的，该合作以及信息转换将在欧洲最主要的/
高级的CSIRTs和FIRST团体之间完成。这些CSIRTs懂得信息转换以及合作在处理、跟
踪和调查安全事件中的优势所在。
计算机事件正在逐渐变为分布式和国际化的事件，许多CSIRTs事件突破了国界、语言
和文化的约束。对于未来事件的预防和国际互联网安全性的改善来说，邮递事件信息以及统
计学转换便显得尤为重要。在所有这些事件中，信息转换的关键因素在于事件（对象）描述
的通用格式方面。
IODEF的进一步发展或者执行可能会用于辩论的目的，这意味着事件描述必须明确，并
且允许将来保管（档案/文件）这些特征。
把开发IODEF作为目标的另一方面原因是需要有比IDS（侵入检测系统）将要提出的和
IDEF（侵入检测转换格式）所建议的更高水平的事件描述和转换格式。与IDEF以及其他相
关标准的兼容性将由IODEF对模块化和扩展性的要求给予满足。IODEF应当与IDMEF纵
向兼容，IODEF可以能够包括或者参照IDMEF报警信息作为关于事件的初始信息。
2.2事件描述术语
下面清楚地给出了本文献其余部分所使用主要术语的定义。
其中，可能使用一些现有的定义。许多定义需要附加细节和进一步考虑。
由TERENA's ITDWG [2]创建的计算机安全事件相关术语分类法在[12]中被介绍。
2.2.1攻击
是指对系统安全的侵袭，这种袭击来源于一种智能威胁，例如，经过深思熟虑试图躲避
安全服务、避开系统安全策略的这样一种智能行为。
攻击可能是主动的也可能是被动的，可能是内部知情人员也可能是外部毫不相关人员，
或者是经由攻击的中间人员。
2.2.2攻击者
攻击者是指为达到某种（些）目的而尝试一次或多次攻击的个别人员。
对于IODEF的目的，可通过其网络身份来描述攻击者，网络身份组织是引起网络/计算
机攻击和物理位置信息（任意）的所在。
2.2.3 CSIRT
CSIRT（计算机安全事件响应序列）在IODEF被用于提及权威人士处理事件和创建事件
对象描述。CSIRT也可能涉及到证据的收集和保管以及事件维护等。
在IODEF CSIRT中通过其身份、支持者、公共键等呈现出来。
2.2.4损害
是指影响目标系统或服务正常操作的攻击所产生的有意或无意后果。损害描述可以包括
实际攻击效果免费文本描述，如果可能，还会包括独特被破坏的系统、子系统或者服务的结
构化信息。
2.2.5事件（Event）
是指直接面对目标的一种行为，这种行为会趋向于引起目标状态（情形）的变化。从事
件起源的观点来看，该术语可以被定义为系统或网络中任何可见事件，而该事件会导致即将
产生的报警事件的发生。例如，在10秒钟时间内连续3次登录失败，就可能显示强行登录
攻击事件。
2.2.6证据
证据是指与事件相关的信息，该信息用来证明或支持关于事件的结论。对于安全事件（事
件），可能包括以下内容，但不局限于以下内容：由侵入检测系统(IDS)创建的数据累积、来
自系统日志文件的数据、要点统计、高速缓存、存储、临时文件系统或者其它引起报警或在
事件发生后收集的数据。
当存储、存档证据的时候必须采用专用的规则，必须十分小心，特别要保护证据的完整
性。必要的时候，证据应当加密存储。
根据证据收集和存档的指导方针，证据必须被严格保护。一系列证据保管需要被清楚证