rfc3067.txt

很多RFC的中文文档

的信息
评论
IODEF对事件的描述贯穿其始终，从报警开始一直到结束和存档。跟踪全部相关成员采
取的措施是必不可少的。这将有助于确定进一步采取什么样的措施，如果需要的话。这对于
在CSIRTs调查过程之间的事件信息转换来说尤其重要。
6.12 IODEF必须支持沿事件生命周期全阶段的时间报告
评论
从报告和意见的相关点来说时间都是非常重要的。如果事件或攻击来自许多个站点或遍
布整个互联网络，时间是能够辨别相同事件或攻击的主要组成部分之一。对于能够跟踪事件
的全过程来说事件也是不可或缺的，这事件包括在CSIRTs调查过程之间的事件转换。
6.13 时间应视作当地时间和来自UTC的时区偏移
（注意：参见RFC 1902报告时间指导方针）
评论
对于事件相关性目的来说，管理者能够规范化记录在IODEF描述中的时间信息是非常重
要的。
6.14 报告日期的格式必须适应全部的当前标准2000年翻转法，并
且必须有足够的容量持续记录直到2038年的日期有效值
评论
由IODEF的目标所确定，IODEF将贯穿描述事件的整个生命周期。在事件存档的情况
下，这一持续时间可以是无限的。因此，必须避免限制时间有效值（例如，在"Unix time"
中注明2038日期表述限制）表达的执行。
6.15 IO时间参数中的时间间隔尺寸将不由IODEF确定
评论
通过现有的信息系统IODEF描述可以包括时间数据，重新找回事件报告信息或者从IDS
数据中得到或者是其它的注册工具。这些事件中的每一种都可以有它自己不同的时间间隔尺
寸。为了实现这一目的，根据当地系统的性能应该可以在不同的阶段处理时间。
6.16 IODEF应当支持描述内容的机密性
所选的设计应该能够支持加密算法的多样性和必须适应环境的广泛多样性。
评论
IODEF事件描述潜在地包含敏感和私人信息（例如，辩论数据（证据数据）、密码或者
个人/组织标识符等），这些信息对攻击者或犯罪分子有着极大诱惑力。事件信息通常会存储
在网络化的计算机上，而网络化的计算机可能潜在地暴露给攻击者。事件信息可以通过不受
控制的网段进行传送。因此，防止内容被未经授权访问和修改是非常重要的。另外，由于隐
私和加密技术会随着地区和国家的不同而有所差别，并且经常发生变化，所以，已选择的设
计能够支持大量的加密选项并可以适应用户和环境的多样性是非常重要的。为确保通信过程
中事件的安全，可采用额外的措施，但是这个问题超出了IODEF的范围，因为这意味着IO
的常规存档和存储会有更多的规则。
6.17 IODEF应当确保描述内容的完整性
所选的设计应当能够支持完整性机制的多样性，并且必须适应环境的广泛多样性。
评论
应当采取专门的措施防止恶意的IO变化。
为确保通信过程中事件的安全，可采用额外的措施，但是这个问题超出了IODEF的范围。
6.18 IODEF应当确保信息内容的真实性和非批判性
评论
信息内容的真实性和可说明性是许多工作组所需要的，特别是提供要求自动处理Ios的
工作组，因此，真实性和可说明性必须包括在IODEF中。由于IO真实性和非批判性对于
众多工作组的重要性，尤其是在工作组之间进行通信的情况下，因此强烈建议实现真实性和
非批判要求。
6.19 IODEF描述必须支持可能被执行者使用的扩展机制
这一点承认将来的执行细节或者实验数据。执行者必须指明如何解释任何包括在内的扩
展。
评论
执行者可能希望支持额外的信息，诸如内在的目的信息或者他们的事件处理系统的独特
实现所必需的信息。这些数据可能被删除或者并不在客观的通信中，但是把它们标记为额外
的信息用以防止不同系统的错误解释是必不可少的。
6.20 必须适当定义IODEF描述的语义学
评论
对于事件描述来说IODEF是一种人为导向格式，并且IODEF描述应该能够被人为的阅
读。自动解析工具可以用于预测，但是不应当将其视作是非常必要的。因此，IODEF必须
提供良好的语义学，该语义学将是理解描述所包括内容的关键因素。在某些情况下，IODEF
描述将用作自动确定决断，因此正确解释描述非常重要。这是使用基于语言的语义学的论据。
IODEF标识符和标签的语言分析用的语言被建议使用英语，如果需要，地方的IODEF执行
可以能够把语言分析用的语言标识符和标签翻译成当地语言和表述方法。
7 IODEF扩展性
IODEF自身必须是可扩展的
当使用新技术和开发自动化事件处理系统的时候，对IODEF扩展性的需要是必不可少
的，IODEF将能够包括新的信息。
评论
除了需要扩展IODEF支持新的事件处理工具外，也意味着IODEF将合并来自相关标准
化区域的新的发展，相关标准化区域如IDS的IDEF或者证据保管的专用格式开发。扩展程
序应当基于CSIRT/IODEF委员会接受/承认。
8 安全考虑
 本备忘录介绍了对事件对象描述和转换格式的一些要求，并尝试为事件描述定义通用数
据格式，存档以及CSIRTs（包括报警、事件调查、存档、统计、报告等）之间关于事件信
息的转换。在IODEF执行的另一方面是出于对安全考虑的主题。访问限制指出的特殊安全
要求在4.3节给出了讨论，对事件描述的机密性、完整性、真实性和非批判性要求在6.16, 
6.17, 6.18节给出了相应的描述。
9 参考文献
    [1]  Bradner, S., "Key words for use in RFCs to Indicate Requirement
         Levels", BCP 14, RFC 2119, March 1997.
    [2]  Incident Taxonomy and Description Working Group Charter -
         http://www.terena.nl/task-forces/tf-csirt/i-taxonomy/
    [3]  Intrusion Detection Exchange Format Requirements by Wood, M. -
         December 2000, Work in Progress.
    [4]  Intrusion Detection Message Exchange Format Extensible Markup
         Language (XML) Document Type Definition by D. Curry, H. Debar -
         February 2001, Work in Progress.
    [5]  Guidelines for Evidence Collection and Archiving by Dominique
         Brezinski, Tom Killalea - July 2000, Work in Progress.
    [6]  Brownlee, N. and E. Guttman, "Expectations for Computer Security
         Incident Response", BCP 21, RFC 2350, June 1998.
    [7]  Shirey, R., "Internet Security Glossary", FYI 36, RFC 2828, May
         2000.
    [8]  Establishing a Computer Security Incident Response Capability
         (CSIRC). NIST Special Publication 800-3, November, 1991
    [9]  Handbook for Computer Security Incident Response Teams (CSIRTs),
         Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski. -
         CMU/SEI-98-HB-001. - Pittsburgh, PA: Carnegie Mellon University,
         1998.
    [10] A Common Language for Computer Security Incidents by John D.
         Howard and Thomas A. Longstaff. -  Sandia Report: SAND98-8667,
         Sandia National Laboratories -
         http://www.cert.org/research/taxonomy_988667.pdf
    [11] Best Current Practice of incident classification and reporting
         schemes currently used by active CSIRTs. -
         http://www.terena.nl/task-forces/tf-csirt/i-
         taxonomy/docs/BCPreport1.rtf
    [12] Taxonomy of the Computer Security Incident related terminology -
         http://www.terena.nl/task-forces/tf-csirt/i-taxonomy/docs/i-
         taxonomy_terms.html
    [13] Multilingual Support in Internet/IT Applications. -
         http://www.terena.nl/projects/multiling/
致谢
本文献在事件分类和描述工作组研讨会上被讨论，(http://www.terena.nl/task-forces/tf-
csirt/tf-csirt000929prg.html#itdwg)，采用TERENA 任务组TF-CSIRT (http://www.-
terena.nl/task-forces/tf-csirt/)结构。可以通过以下邮件列表与在TERENA的事件分类和描
述工作组联系：
incident-taxonomy@terena.nl或者iodef@terena.nl
文档可以通过以下相关网址得到：
http://hypermail.terena.nl/incident-taxonomy-list/mail-archive/ 和
http://hypermail.terena.nl/iodef-list/mail-archive/
作者地址
Jimmy Arvidsson
   Telia CERT
   EMail: Jimmy.J.Arvidsson@telia.se
   Andrew Cormack
   JANET-CERT
   EMail: Andrew.Cormack@ukerna.ac.uk
   Yuri Demchenko
   TERENA
   EMail: demch@terena.nl
   Jan Meijer
   SURFnet
   EMail: jan.meijer@surfnet.nl
全部版权声明
Copyright (C) The Internet Society (2001). All Rights Reserved.
 该文献及其译文可能被其他人员拷贝或转载，由此而产生的对本文献的评论或者其它不
同的解释或者对其执行的帮助等作品，可能会被筹备、复制、出版以及发布，假如上述版权
声明以及本段内容被包括在此类拷贝和派生作品中，则从整体或者局部来说，都没有任何类
型的限制。然而，除为发展Internet标准目的所需之外，本文献自身不可以采取任何形式进
行修改，诸如删除版权声明或者Internet协会或其它Internet组织，这种情况下，版权定义
程序必须遵循Internet标准进行，或者必须将其翻译成英语之外的其它语言。
上述有限许可的授予是永久的，不会被Internet协会、其继承者或者其委派者所废除。
本文献及包括于此的信息是基于“参见”和INTERNET协会以及INTERNET工程任务
组放弃的所有依据、表示或者暗示等，包括但不局限于任何依据，在此信息的使用将不违反
任何规则或任何商业性暗示依据或适用于特别的目的。
认证
RFC编辑功能基金当前由Internet协会提供。
RFC3067——TERENA's Incident Object Description and Exchange Format equirements
TERENA'S事件对象描述和转换格式要求


1
RFC文档中文翻译计划