rfc3067.txt

很多RFC的中文文档

明。
根据当地的法律进行收集、存档和保护证据是必不可少的。
2.2.7事件（Incident）
该术语是指涉及到安全违例的安全事件。事件可以定义为单个或群体攻击，无论单个或
群体攻击都可以通过攻击方法区分开来，如攻击者身份、受害者、地点、目标或定时等。
事件是指IODEF的根组件。在IODEF的上下文中，所使用的术语事件是指计算机安全
事件或者IT安全事件。
然而我们应当在事件的真正定义之间加以区分，事件Incident是指可能引起损害或者损
害不太严重的事件event，接下来给出安全事件、IT安全事件的定义。
a)	安全事件incident是指涉及安全违例的事件event。这可能是指违反安全策略、
UAP、规则以及权限等的事件event。安全事件incident也可能是指已经升级到安
全事件的事件incident。安全事件比事件incident对安全或组织中的影响更糟糕。
安全事件可能是逻辑的、物理的或者组织的，例如计算机入侵、秘密暴露、信息丢
失、火警或者不能正常工作的警报等。安全事件可能是有目的的引起，也可能是不
经意间产生。后者产生的可能情况是忘记锁门或者忘记激活路由器中的访问列表。
b)	IT安全事件根据[9]定义为任何真实的或令人怀疑的与计算机或计算机网络安全相
关的不利事件event。在IT领域的典型安全事件是：计算机入侵、拒绝服务攻击、
信息丢失或者数据非法操作等。
2.2.8效果
效果用来根据用户群体所表述的描述攻击的结果，例如财政方面的花费或者其他破坏。
2.2.9目标
是指计算机或者网络逻辑实体（说明、进程或数据）或物理实体（组件、计算机、网络
或国际互联网）。
2.2.10受害者
受害者是指遭受攻击的个人或组织，这种攻击在事件报告中给予描述。
对于IODEF的这种目的，受害者可以通过其网络身份、组织以及位置信息来描述。
2.2.11缺陷
是指在系统的设计、执行或者操作、管理中的缺点或弱点，这些缺点或弱点可能会引起
违反系统的安全策略的事件发生。
大多数系统都有某些类型的缺陷，但是这并不意味着系统太差而不能使用。并不是每一
次攻击都会产生致命的结果，也并不是每一次攻击都会成功。成功攻击取决于缺陷的程度、
攻击的力度以及采用对策的有效度。如果攻击需要突破的缺陷非常难于逾越，那么这样的缺
陷是可以容忍的。如果对于攻击者来说仅得到非常小的利益，那么甚至容易被突破的缺陷也
是可以接受的。然而，如果攻击容易理解，易于实施，并且易受到攻击的系统被大范围内的
用户突破，那么实施攻击的人极有可能会得到足够多的利益。
2.2.12其它术语
其它使用的术语有：报警、行为、IDS、安全策略等，它们在相关的I-Ds, RFCs 和 
standards [3, 6, 7, 8, 9, 10]中被定义。
3综合要求
IODEF将可能涉及和使用当前出版的RFCs 。
评论
IETF已经在网络和安全领域开发了大量的标准，这些标准已经在目前的国际互联网中得
到实际配置。考虑到当前的标准为IODEF和其它相关技术的兼容性提供框架，有必要在实
际中操作/执行IODEF。对于IODEF兼容性的另一个问题，是当前IETF IDEWG正在开发
的与IDEF的兼容性。出于对时间和兼容性的考虑，已定义的和公认的标准应当在任何可能
的地方使用。
特别地，IODEF分类协议应当主要依靠现有的计算机通讯、加密技术和语言标准，当然，
如果可能的话。
4描述格式
4.1 IODEF将支持完全国际化和地方化
评论
既然许多事件需要来自不同国家、不同文化、不同地理区域CSIRTs的参与，因此必须
形成IODEF描述，以便这些事件可以被使用地方语言并坚持采用地方陈述方式的操作员引
用。
尽管对于IODEF标识符和标签的分析语言考虑采用英语，但是如果有必要的话，地方
IODEF的执行可以把分析语言标识符和标签翻译成当地语言并给予陈述。
可能也需要日期、时间、名称的地方化表述。在信息包括文本串和名称的情况下就需要
不同于Latin-1(or ISO 8859-1)的特点，信息应当更适宜使用ISO/IEC IS 10646-1字符集被
重新提出，应用UTF-8转换格式进行编码，并且可以自由使用地方字符集和编码[13]。
4.2 IODEF必须支持事件描述的模块化以允许数据集合与过滤
评论
这表明带有IODEF的事件描述可以包括外部信息，例如，来自IDS或者涉及外部存储
证据保管数据，或者可能从当前IODEF描述被除去的那些信息，比如秘密和安全目的。对
于该要求的另一种实际/真实目的在于为CSIRTs/管理者提供可能性，用以实现对IODEF
描述的过滤和/或数据集合功能，而IODEF描述则是为了统计、报告以及CSIRTs和/或他
们的支持者和赞助者之间的高水平事件信息转换。
因此IODEF描述必须结构化以简化这些操作。这也意味着要加强IODEF语义学。
4.3 IODEF必须支持对每一个元件访问限制策略的应用
评论
IODEF事件描述潜在地包括敏感和私人信息（例如密码、个人/组织标识符或者辩论信息
（证据数据）），在某些情况下这些信息可能会暴露给未经授权的个人。特别地，在CSIRTs
或者其他涉及到的实体之间进行事件信息转换的情况下，这样的情形可能会出现。在某些情
况下可以通过加密IODEF组件来完成处理，然而事情不可能总是这样。
因此，为了防止敏感数据的意外泄漏，IODEF对象的部分必须用访问限制属性来标记。
当和自动操作处理系统一起使用的时候这些标记将会非常有用。
5通信机制要求
 IODEF转换将通常由使用标准协议的人发起，例如，e-mail, 
WWW/HTTP,
LDAP.
评论
IODEF描述通常是由使用专用的或标准的文本编辑器的人创建的。IODEF以通过自动操作
事件处理系统实现处理为目标，但是对于人来说仍然必须是易读、可见和可用标准工具（例
如，浏览器或电子桌面处理器或类似于微软Excel 或者Access的数据库工具）浏览的。事
件信息转换将通常需要操作人员或者CSIRT管理人员的认可，因此并不是期望的那样自动
发起。事件处理系统的作用是为实现转换提供帮助和工具。
把机制易读、可交换的IDEF侵入信息格式、人员导向和创建IODEF事件描述各自的目
的区分开来是非常重要的。
通信安全要求根据地方策略将单独应用，因此在本文献中没有给出定义。
6信息内容
6.1 IO描述的根部件应当包括唯一的辨别数字（或者标识符）、IO目
标以及缺省许可级别
评论
唯一的辨别数字（或者标识符）对于把一个事件与另一个事件区分开来是非常必要的。
这意味着唯一的辨别数字将至少包括关于IO创建者的信息，例如CSIRT或相关实体。事件
的分类也可能被用来形成唯一的辨别数字。IO目的是将实际控制那些包含在IODEF对象中
的元件。这些目的可能包括事件报警/注册、事件处理、存档、报告或统计。目的、事件类
型或事件研究的状态可能需要事件信息访问许可的不同级别。
IODEF的根元件将看作事件<INCIDENT>，而额外的信息将被看作根元件的属性。
6.2 IODEF描述的内容应当包括攻击的类型，如果攻击是可知的
期望攻击类型能够从事件的标准列表中提取到，如果事件的类型还没有被标准化，则事
件的新类型可以使用暂时实行的特别类型。
评论
事件处理可能会涉及到许多不同的职员成员或工作组。因此必不可少地使用通用术语来
描述事件。
如果事件类型还没有标准化，暂时的类型定义可以由IO的创建组提供。期望新的类型名
将会是自解释性的并且来自类似现有的类型定义。
6.3 IODEF描述必须结构化以便那些诸如来自CERT/CC, CVE的任
何相关的咨询都可以涉及到
评论
使用标准咨询以及可知攻击和缺陷的列表将允许应用它们对事件处理/预防的评论。这样
的信息可能会作为攻击或缺陷类型定义的属性被包括进来。
6.4 IODEF可以包括引起当前事件攻击的详细描述
评论
攻击的描述包括关于攻击者和受害人的信息、攻击的表现现象以及可能的影响。在侵入
的初期阶段，报警和事件处理可能是最小的信息，在事件的处理过程中，对于事件调查和补
救来说这一信息将会逐渐变得足够大。元件攻击应当是事件描述的主要部分之一。
6.5 IODEF描述必须包括或者能够涉及与明确的优先事件/行为相关
的额外详细数据以及经常提到的证据
评论
许多目的事件描述并不需要导致事件发生的明确事件/行为的详细信息，这种信息可以被
参考作外部信息（通过URL方式）。在某些情况下可以方便地分别存储有不同访问许可的证
据。可以预测另一个将要被提议的标准针对证据保管[5]。
6.6 IODEF描述必须包括对攻击者和受害者的描述
评论
为了辨别攻击的来源和目标，信息是所必需的。关于攻击者和受害者的最少信息是他们
的IP或者网络地址，扩展信息将识别他们的组织，允许CSIRTs为他们的独特支持者采取
适当的保护措施。
6.7 IODEF描述必须支持设备地址不同类型的表述，例如IP地址（版
本4.0或6.0）和国际互联网名称
评论
发起攻击的站点可能在网络协议层的不同层次（例如，数据层2 MAC地址，网络层3 IP
地址）都有地址。另外，涉及到入侵事件的设备可以使用非IP中央的地址，例如ATM地址。
容易理解，关于攻击的来源和目标的信息可以从IDS中得到，并且包括IP地址或MAC地
址，或者两者都有。
6.8 IODEF必须包括事件对象创建者（CSIRT或其他权威）的身份
这可能是信息转换的发送者或当前处理事件的队列。
评论
事件描述创建者的身份对于事件响应来说通常是有价值的信息。在某一种可能的情况下，
攻击可能贯穿整个网络取得进展，通过比较不同权威记录的相应事件可能会获得某些关于攻
击来源的额外信息。这也是在传递事件信息处理/转换阶段的有用信息。
6.9 IODEF描述必须包括事件对目标可能影响的说明
如果攻击被看作是可知的，或者是由可靠CSIRT组成员用公开语言表述的，则该领域的
价值应当从标准列表的评价中得出。
评论
关于事件对目标可能影响的信息，系统提供对攻击者试图所要做的说明，提供CSIRTs
用来完成损害评估的关键数据的说明。如果没有可靠的参考信息（咨询委员会），该领域可
以基于CSIRT工作组的经验予以实现。
根据当今的资讯委员会（例如，那些来自CERT/CC, CVE等），预计大多数CSIRTs将
会开发事件处理支持系统。这些咨询委员会通常包括识别攻击可能影响的列表。
这也与IDEF的开发有关，IDEF将会在智能IDS中得以实现，并能够从遭受攻击和带有
缺陷的标准数据库中重新找回信息[3]。
6.10 IODEF必须能够声明在报告信息中的可信度
评论
在事件的创建阶段包含这一信息是必不可少的，特别是在智能自动化IDS或专用系统被
使用的情况下。这些通常使用统计方法用来估计事件的可能性。
6.11 IODEF描述必须提供关于事件过程中以前的CSIRTs采取措施