RFC3093_防火墙增进协议 (FEP)

发表于 5年以前  | 总阅读数:1334 次
组织:中国互动出版网(http://www.china-pub.com/)
RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm)
E-mail:ouyang@china-pub.com
译者:郝国生(booking  gs_hao@263.net) 
译文发布时间:2002-1-18
版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须
保留本文档的翻译及版权信息。



Network Working Group                                       J. Arvidsson
Request for Comments: 3067                                    Telia CERT
Category: Informational                                       A. Cormack
                                                               JANET-CERT
                                                             Y. Demchenko
                                                                   TERENA
                                                                J. Meijer
                                                                  SURFnet
                                                            February 2001
TERENA'S事件对象描述和转换格式要求 
(RFC3067―TERENA's Incident Object Description and Exchange Format equirements)

备忘录状态
该备忘录专为Internet 组织提供信息。它不指定任何类型的Internet 标准。本备忘录的
发行不受任何限制。
版权声明
Copyright (C) The Internet Society (2001).  All Rights Reserved.
摘要
事件对象描述和转换格式的目的是要定义通用数据格式,该数据格式用于CSIRTs(计
算机安全事件响应组)(包括:报警、事件调查、存档、统计、报告等)之间事件信息的描
述、存档和转换。本文献描述了对于这样一种事件对象描述和转换格式的高级要求,包括那
些要求的原因。并在必要的地方引用例子对这些要求进一步解释。
目录
1本文献约定使用	3
2介绍	3
2.1基本原理	3
2.2事件描述术语	4
2.2.1攻击	4
2.2.2攻击者	4
2.2.3 CSIRT	4
2.2.4损害	4
2.2.5事件(Event)	4
2.2.6证据	5
2.2.7事件(Incident)	5
2.2.8效果	5
2.2.9目标	5
2.2.10受害者	6
2.2.11缺陷	6
2.2.12其它术语	6
3综合要求	6
4描述格式	6
4.1 IODEF将支持完全国际化和地方化	6
4.2 IODEF必须支持事件描述的模块化以允许数据集合与过滤	7
4.3 IODEF必须支持对每一个元件访问限制策略的应用	7
5通信机制要求	7
IODEF转换将通常由使用标准协议的人发起,例如,e-mail, WWW/HTTP,	7
6信息内容	8
6.1 IO描述的根部件应当包括唯一的辨别数字(或者标识符)、IO目标以及缺省许
可级别	8
6.2 IODEF描述的内容应当包括攻击的类型,如果攻击是可知的	8
6.3 IODEF描述必须结构化以便那些诸如来自CERT/CC, CVE的任何相关的咨询都
可以涉及到	8
6.4 IODEF可以包括引起当前事件攻击的详细描述	8
6.5 IODEF描述必须包括或者能够涉及与明确的优先事件/行为相关的额外详细数
据以及经常提到的证据	9
6.6 IODEF描述必须包括对攻击者和受害者的描述	9
6.7 IODEF描述必须支持设备地址不同类型的表述,例如IP地址(版本4.0或6.0)
和国际互联网名称	9
6.8 IODEF必须包括事件对象创建者(CSIRT或其他权威)的身份	9
6.9 IODEF描述必须包括事件对目标可能影响的说明	9
6.10 IODEF必须能够声明在报告信息中的可信度	10
6.11 IODEF描述必须提供关于事件过程中以前的CSIRTs采取措施的信息	10
6.12 IODEF必须支持沿事件生命周期全阶段的时间报告	10
6.13 时间应视作当地时间和来自UTC的时区偏移	10
6.14 报告日期的格式必须适应全部的当前标准2000年翻转法,并且必须有足够的
容量持续记录直到2038年的日期有效值	10
6.15 IO时间参数中的时间间隔尺寸将不由IODEF确定	11
6.16 IODEF应当支持描述内容的机密性	11
6.17 IODEF应当确保描述内容的完整性	11
6.18 IODEF应当确保信息内容的真实性和非批判性	11
6.19 IODEF描述必须支持可能被执行者使用的扩展机制	11
6.20 必须适当定义IODEF描述的语义学	12
7 IODEF扩展性	12
IODEF自身必须是可扩展的	12
8 安全考虑	12
9 参考文献	12
致谢	13
作者地址	14
全部版权声明	14
认证	14

1本文献约定使用
在本文献中使用的关键字"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
"SHOULD", "SHOULD NOT", RECOMMENDED", "MAY", and "OPTIONAL" 将按照在
RFC 2119 [1]中所描述的那样来解释。
2介绍
本文献定义了事件对象描述和转换格式(IODEF)的要求,这些要求是事件分类工作组
(ITDWG) 在TERENA [2]方面所期望的产物。IODEF计划将成为一种标准,该标准允许
CSIRTs转换可操作和可统计的信息。这一标准也可能为兼容的和可互联操作工具的发展提
供一种基础,这些工具则用于事件记录、跟踪和转换。
另一个目标是把IETF IDWG的工作(当前主要集中在侵入检测转换格式和通讯协议两
方面)扩展到和网络安全中较高级元件相同事件的描述。这一方案将涉及到CSIRTs以及与
他们的支持者相关的诸多问题。
本文献将第一次包括文献类的IODEF设置,IODEF数据模版和XML DTD说明。关于
该文献进一步的讨论请与以下邮件地址联系:incident-taxonomy@terena.nl或者 
iodef@terena.nl ,相关文档可以通过以下网址得到:
http://hypermail.terena.nl/incident-taxonomy-list/mail-archive/  以及
http://hypermail.terena.nl/iodef-list/mail-archive/ 。
2.1基本原理
工作是以试图建立合作和信息转换为基础的,该合作以及信息转换将在欧洲最主要的/
高级的CSIRTs和FIRST团体之间完成。这些CSIRTs懂得信息转换以及合作在处理、跟
踪和调查安全事件中的优势所在。
计算机事件正在逐渐变为分布式和国际化的事件,许多CSIRTs事件突破了国界、语言
和文化的约束。对于未来事件的预防和国际互联网安全性的改善来说,邮递事件信息以及统
计学转换便显得尤为重要。在所有这些事件中,信息转换的关键因素在于事件(对象)描述
的通用格式方面。
IODEF的进一步发展或者执行可能会用于辩论的目的,这意味着事件描述必须明确,并
且允许将来保管(档案/文件)这些特征。
把开发IODEF作为目标的另一方面原因是需要有比IDS(侵入检测系统)将要提出的和
IDEF(侵入检测转换格式)所建议的更高水平的事件描述和转换格式。与IDEF以及其他相
关标准的兼容性将由IODEF对模块化和扩展性的要求给予满足。IODEF应当与IDMEF纵
向兼容,IODEF可以能够包括或者参照IDMEF报警信息作为关于事件的初始信息。
2.2事件描述术语
下面清楚地给出了本文献其余部分所使用主要术语的定义。
其中,可能使用一些现有的定义。许多定义需要附加细节和进一步考虑。
由TERENA's ITDWG [2]创建的计算机安全事件相关术语分类法在[12]中被介绍。
2.2.1攻击
是指对系统安全的侵袭,这种袭击来源于一种智能威胁,例如,经过深思熟虑试图躲避
安全服务、避开系统安全策略的这样一种智能行为。
攻击可能是主动的也可能是被动的,可能是内部知情人员也可能是外部毫不相关人员,
或者是经由攻击的中间人员。
2.2.2攻击者
攻击者是指为达到某种(些)目的而尝试一次或多次攻击的个别人员。
对于IODEF的目的,可通过其网络身份来描述攻击者,网络身份组织是引起网络/计算
机攻击和物理位置信息(任意)的所在。
2.2.3 CSIRT
CSIRT(计算机安全事件响应序列)在IODEF被用于提及权威人士处理事件和创建事件
对象描述。CSIRT也可能涉及到证据的收集和保管以及事件维护等。
在IODEF CSIRT中通过其身份、支持者、公共键等呈现出来。
2.2.4损害
是指影响目标系统或服务正常操作的攻击所产生的有意或无意后果。损害描述可以包括
实际攻击效果免费文本描述,如果可能,还会包括独特被破坏的系统、子系统或者服务的结
构化信息。
2.2.5事件(Event)
是指直接面对目标的一种行为,这种行为会趋向于引起目标状态(情形)的变化。从事
件起源的观点来看,该术语可以被定义为系统或网络中任何可见事件,而该事件会导致即将
产生的报警事件的发生。例如,在10秒钟时间内连续3次登录失败,就可能显示强行登录
攻击事件。
2.2.6证据
证据是指与事件相关的信息,该信息用来证明或支持关于事件的结论。对于安全事件(事
件),可能包括以下内容,但不局限于以下内容:由侵入检测系统(IDS)创建的数据累积、来
自系统日志文件的数据、要点统计、高速缓存、存储、临时文件系统或者其它引起报警或在
事件发生后收集的数据。
当存储、存档证据的时候必须采用专用的规则,必须十分小心,特别要保护证据的完整
性。必要的时候,证据应当加密存储。
根据证据收集和存档的指导方针,证据必须被严格保护。一系列证据保管需要被清楚证
明。
根据当地的法律进行收集、存档和保护证据是必不可少的。
2.2.7事件(Incident)
该术语是指涉及到安全违例的安全事件。事件可以定义为单个或群体攻击,无论单个或
群体攻击都可以通过攻击方法区分开来,如攻击者身份、受害者、地点、目标或定时等。
事件是指IODEF的根组件。在IODEF的上下文中,所使用的术语事件是指计算机安全
事件或者IT安全事件。
然而我们应当在事件的真正定义之间加以区分,事件Incident是指可能引起损害或者损
害不太严重的事件event,接下来给出安全事件、IT安全事件的定义。
a)	安全事件incident是指涉及安全违例的事件event。这可能是指违反安全策略、
UAP、规则以及权限等的事件event。安全事件incident也可能是指已经升级到安
全事件的事件incident。安全事件比事件incident对安全或组织中的影响更糟糕。
安全事件可能是逻辑的、物理的或者组织的,例如计算机入侵、秘密暴露、信息丢
失、火警或者不能正常工作的警报等。安全事件可能是有目的的引起,也可能是不
经意间产生。后者产生的可能情况是忘记锁门或者忘记激活路由器中的访问列表。
b)	IT安全事件根据[9]定义为任何真实的或令人怀疑的与计算机或计算机网络安全相
关的不利事件event。在IT领域的典型安全事件是:计算机入侵、拒绝服务攻击、
信息丢失或者数据非法操作等。
2.2.8效果
效果用来根据用户群体所表述的描述攻击的结果,例如财政方面的花费或者其他破坏。
2.2.9目标
是指计算机或者网络逻辑实体(说明、进程或数据)或物理实体(组件、计算机、网络
或国际互联网)。
2.2.10受害者
受害者是指遭受攻击的个人或组织,这种攻击在事件报告中给予描述。
对于IODEF的这种目的,受害者可以通过其网络身份、组织以及位置信息来描述。
2.2.11缺陷
是指在系统的设计、执行或者操作、管理中的缺点或弱点,这些缺点或弱点可能会引起
违反系统的安全策略的事件发生。
大多数系统都有某些类型的缺陷,但是这并不意味着系统太差而不能使用。并不是每一
次攻击都会产生致命的结果,也并不是每一次攻击都会成功。成功攻击取决于缺陷的程度、
攻击的力度以及采用对策的有效度。如果攻击需要突破的缺陷非常难于逾越,那么这样的缺
陷是可以容忍的。如果对于攻击者来说仅得到非常小的利益,那么甚至容易被突破的缺陷也
是可以接受的。然而,如果攻击容易理解,易于实施,并且易受到攻击的系统被大范围内的
用户突破,那么实施攻击的人极有可能会得到足够多的利益。
2.2.12其它术语
其它使用的术语有:报警、行为、IDS、安全策略等,它们在相关的I-Ds, RFCs 和 
standards [3, 6, 7, 8, 9, 10]中被定义。
3综合要求
IODEF将可能涉及和使用当前出版的RFCs 。
评论
IETF已经在网络和安全领域开发了大量的标准,这些标准已经在目前的国际互联网中得
到实际配置。考虑到当前的标准为IODEF和其它相关技术的兼容性提供框架,有必要在实
际中操作/执行IODEF。对于IODEF兼容性的另一个问题,是当前IETF IDEWG正在开发
的与IDEF的兼容性。出于对时间和兼容性的考虑,已定义的和公认的标准应当在任何可能
的地方使用。
特别地,IODEF分类协议应当主要依靠现有的计算机通讯、加密技术和语言标准,当然,
如果可能的话。
4描述格式
4.1 IODEF将支持完全国际化和地方化
评论
既然许多事件需要来自不同国家、不同文化、不同地理区域CSIRTs的参与,因此必须
形成IODEF描述,以便这些事件可以被使用地方语言并坚持采用地方陈述方式的操作员引
用。
尽管对于IODEF标识符和标签的分析语言考虑采用英语,但是如果有必要的话,地方
IODEF的执行可以把分析语言标识符和标签翻译成当地语言并给予陈述。
可能也需要日期、时间、名称的地方化表述。在信息包括文本串和名称的情况下就需要
不同于Latin-1(or ISO 8859-1)的特点,信息应当更适宜使用ISO/IEC IS 10646-1字符集被
重新提出,应用UTF-8转换格式进行编码,并且可以自由使用地方字符集和编码[13]。
4.2 IODEF必须支持事件描述的模块化以允许数据集合与过滤
评论
这表明带有IODEF的事件描述可以包括外部信息,例如,来自IDS或者涉及外部存储
证据保管数据,或者可能从当前IODEF描述被除去的那些信息,比如秘密和安全目的。对
于该要求的另一种实际/真实目的在于为CSIRTs/管理者提供可能性,用以实现对IODEF
描述的过滤和/或数据集合功能,而IODEF描述则是为了统计、报告以及CSIRTs和/或他
们的支持者和赞助者之间的高水平事件信息转换。
因此IODEF描述必须结构化以简化这些操作。这也意味着要加强IODEF语义学。
4.3 IODEF必须支持对每一个元件访问限制策略的应用
评论
IODEF事件描述潜在地包括敏感和私人信息(例如密码、个人/组织标识符或者辩论信息
(证据数据)),在某些情况下这些信息可能会暴露给未经授权的个人。特别地,在CSIRTs
或者其他涉及到的实体之间进行事件信息转换的情况下,这样的情形可能会出现。在某些情
况下可以通过加密IODEF组件来完成处理,然而事情不可能总是这样。
因此,为了防止敏感数据的意外泄漏,IODEF对象的部分必须用访问限制属性来标记。
当和自动操作处理系统一起使用的时候这些标记将会非常有用。
5通信机制要求
 IODEF转换将通常由使用标准协议的人发起,例如,e-mail, 
WWW/HTTP,
LDAP.
评论
IODEF描述通常是由使用专用的或标准的文本编辑器的人创建的。IODEF以通过自动操作
事件处理系统实现处理为目标,但是对于人来说仍然必须是易读、可见和可用标准工具(例
如,浏览器或电子桌面处理器或类似于微软Excel 或者Access的数据库工具)浏览的。事
件信息转换将通常需要操作人员或者CSIRT管理人员的认可,因此并不是期望的那样自动
发起。事件处理系统的作用是为实现转换提供帮助和工具。
把机制易读、可交换的IDEF侵入信息格式、人员导向和创建IODEF事件描述各自的目
的区分开来是非常重要的。
通信安全要求根据地方策略将单独应用,因此在本文献中没有给出定义。
6信息内容
6.1 IO描述的根部件应当包括唯一的辨别数字(或者标识符)、IO目
标以及缺省许可级别
评论
唯一的辨别数字(或者标识符)对于把一个事件与另一个事件区分开来是非常必要的。
这意味着唯一的辨别数字将至少包括关于IO创建者的信息,例如CSIRT或相关实体。事件
的分类也可能被用来形成唯一的辨别数字。IO目的是将实际控制那些包含在IODEF对象中
的元件。这些目的可能包括事件报警/注册、事件处理、存档、报告或统计。目的、事件类
型或事件研究的状态可能需要事件信息访问许可的不同级别。
IODEF的根元件将看作事件,而额外的信息将被看作根元件的属性。
6.2 IODEF描述的内容应当包括攻击的类型,如果攻击是可知的
期望攻击类型能够从事件的标准列表中提取到,如果事件的类型还没有被标准化,则事
件的新类型可以使用暂时实行的特别类型。
评论
事件处理可能会涉及到许多不同的职员成员或工作组。因此必不可少地使用通用术语来
描述事件。
如果事件类型还没有标准化,暂时的类型定义可以由IO的创建组提供。期望新的类型名
将会是自解释性的并且来自类似现有的类型定义。
6.3 IODEF描述必须结构化以便那些诸如来自CERT/CC, CVE的任
何相关的咨询都可以涉及到
评论
使用标准咨询以及可知攻击和缺陷的列表将允许应用它们对事件处理/预防的评论。这样
的信息可能会作为攻击或缺陷类型定义的属性被包括进来。
6.4 IODEF可以包括引起当前事件攻击的详细描述
评论
攻击的描述包括关于攻击者和受害人的信息、攻击的表现现象以及可能的影响。在侵入
的初期阶段,报警和事件处理可能是最小的信息,在事件的处理过程中,对于事件调查和补
救来说这一信息将会逐渐变得足够大。元件攻击应当是事件描述的主要部分之一。
6.5 IODEF描述必须包括或者能够涉及与明确的优先事件/行为相关
的额外详细数据以及经常提到的证据
评论
许多目的事件描述并不需要导致事件发生的明确事件/行为的详细信息,这种信息可以被
参考作外部信息(通过URL方式)。在某些情况下可以方便地分别存储有不同访问许可的证
据。可以预测另一个将要被提议的标准针对证据保管[5]。
6.6 IODEF描述必须包括对攻击者和受害者的描述
评论
为了辨别攻击的来源和目标,信息是所必需的。关于攻击者和受害者的最少信息是他们
的IP或者网络地址,扩展信息将识别他们的组织,允许CSIRTs为他们的独特支持者采取
适当的保护措施。
6.7 IODEF描述必须支持设备地址不同类型的表述,例如IP地址(版
本4.0或6.0)和国际互联网名称
评论
发起攻击的站点可能在网络协议层的不同层次(例如,数据层2 MAC地址,网络层3 IP
地址)都有地址。另外,涉及到入侵事件的设备可以使用非IP中央的地址,例如ATM地址。
容易理解,关于攻击的来源和目标的信息可以从IDS中得到,并且包括IP地址或MAC地
址,或者两者都有。
6.8 IODEF必须包括事件对象创建者(CSIRT或其他权威)的身份
这可能是信息转换的发送者或当前处理事件的队列。
评论
事件描述创建者的身份对于事件响应来说通常是有价值的信息。在某一种可能的情况下,
攻击可能贯穿整个网络取得进展,通过比较不同权威记录的相应事件可能会获得某些关于攻
击来源的额外信息。这也是在传递事件信息处理/转换阶段的有用信息。
6.9 IODEF描述必须包括事件对目标可能影响的说明
如果攻击被看作是可知的,或者是由可靠CSIRT组成员用公开语言表述的,则该领域的
价值应当从标准列表的评价中得出。
评论
关于事件对目标可能影响的信息,系统提供对攻击者试图所要做的说明,提供CSIRTs
用来完成损害评估的关键数据的说明。如果没有可靠的参考信息(咨询委员会),该领域可
以基于CSIRT工作组的经验予以实现。
根据当今的资讯委员会(例如,那些来自CERT/CC, CVE等),预计大多数CSIRTs将
会开发事件处理支持系统。这些咨询委员会通常包括识别攻击可能影响的列表。
这也与IDEF的开发有关,IDEF将会在智能IDS中得以实现,并能够从遭受攻击和带有
缺陷的标准数据库中重新找回信息[3]。
6.10 IODEF必须能够声明在报告信息中的可信度
评论
在事件的创建阶段包含这一信息是必不可少的,特别是在智能自动化IDS或专用系统被
使用的情况下。这些通常使用统计方法用来估计事件的可能性。
6.11 IODEF描述必须提供关于事件过程中以前的CSIRTs采取措施
的信息
评论
IODEF对事件的描述贯穿其始终,从报警开始一直到结束和存档。跟踪全部相关成员采
取的措施是必不可少的。这将有助于确定进一步采取什么样的措施,如果需要的话。这对于
在CSIRTs调查过程之间的事件信息转换来说尤其重要。
6.12 IODEF必须支持沿事件生命周期全阶段的时间报告
评论
从报告和意见的相关点来说时间都是非常重要的。如果事件或攻击来自许多个站点或遍
布整个互联网络,时间是能够辨别相同事件或攻击的主要组成部分之一。对于能够跟踪事件
的全过程来说事件也是不可或缺的,这事件包括在CSIRTs调查过程之间的事件转换。
6.13 时间应视作当地时间和来自UTC的时区偏移
(注意:参见RFC 1902报告时间指导方针)
评论
对于事件相关性目的来说,管理者能够规范化记录在IODEF描述中的时间信息是非常重
要的。
6.14 报告日期的格式必须适应全部的当前标准2000年翻转法,并
且必须有足够的容量持续记录直到2038年的日期有效值
评论
由IODEF的目标所确定,IODEF将贯穿描述事件的整个生命周期。在事件存档的情况
下,这一持续时间可以是无限的。因此,必须避免限制时间有效值(例如,在"Unix time"
中注明2038日期表述限制)表达的执行。
6.15 IO时间参数中的时间间隔尺寸将不由IODEF确定
评论
通过现有的信息系统IODEF描述可以包括时间数据,重新找回事件报告信息或者从IDS
数据中得到或者是其它的注册工具。这些事件中的每一种都可以有它自己不同的时间间隔尺
寸。为了实现这一目的,根据当地系统的性能应该可以在不同的阶段处理时间。
6.16 IODEF应当支持描述内容的机密性
所选的设计应该能够支持加密算法的多样性和必须适应环境的广泛多样性。
评论
IODEF事件描述潜在地包含敏感和私人信息(例如,辩论数据(证据数据)、密码或者
个人/组织标识符等),这些信息对攻击者或犯罪分子有着极大诱惑力。事件信息通常会存储
在网络化的计算机上,而网络化的计算机可能潜在地暴露给攻击者。事件信息可以通过不受
控制的网段进行传送。因此,防止内容被未经授权访问和修改是非常重要的。另外,由于隐
私和加密技术会随着地区和国家的不同而有所差别,并且经常发生变化,所以,已选择的设
计能够支持大量的加密选项并可以适应用户和环境的多样性是非常重要的。为确保通信过程
中事件的安全,可采用额外的措施,但是这个问题超出了IODEF的范围,因为这意味着IO
的常规存档和存储会有更多的规则。
6.17 IODEF应当确保描述内容的完整性
所选的设计应当能够支持完整性机制的多样性,并且必须适应环境的广泛多样性。
评论
应当采取专门的措施防止恶意的IO变化。
为确保通信过程中事件的安全,可采用额外的措施,但是这个问题超出了IODEF的范围。
6.18 IODEF应当确保信息内容的真实性和非批判性
评论
信息内容的真实性和可说明性是许多工作组所需要的,特别是提供要求自动处理Ios的
工作组,因此,真实性和可说明性必须包括在IODEF中。由于IO真实性和非批判性对于
众多工作组的重要性,尤其是在工作组之间进行通信的情况下,因此强烈建议实现真实性和
非批判要求。
6.19 IODEF描述必须支持可能被执行者使用的扩展机制
这一点承认将来的执行细节或者实验数据。执行者必须指明如何解释任何包括在内的扩
展。
评论
执行者可能希望支持额外的信息,诸如内在的目的信息或者他们的事件处理系统的独特
实现所必需的信息。这些数据可能被删除或者并不在客观的通信中,但是把它们标记为额外
的信息用以防止不同系统的错误解释是必不可少的。
6.20 必须适当定义IODEF描述的语义学
评论
对于事件描述来说IODEF是一种人为导向格式,并且IODEF描述应该能够被人为的阅
读。自动解析工具可以用于预测,但是不应当将其视作是非常必要的。因此,IODEF必须
提供良好的语义学,该语义学将是理解描述所包括内容的关键因素。在某些情况下,IODEF
描述将用作自动确定决断,因此正确解释描述非常重要。这是使用基于语言的语义学的论据。
IODEF标识符和标签的语言分析用的语言被建议使用英语,如果需要,地方的IODEF执行
可以能够把语言分析用的语言标识符和标签翻译成当地语言和表述方法。
7 IODEF扩展性
IODEF自身必须是可扩展的
当使用新技术和开发自动化事件处理系统的时候,对IODEF扩展性的需要是必不可少
的,IODEF将能够包括新的信息。
评论
除了需要扩展IODEF支持新的事件处理工具外,也意味着IODEF将合并来自相关标准
化区域的新的发展,相关标准化区域如IDS的IDEF或者证据保管的专用格式开发。扩展程
序应当基于CSIRT/IODEF委员会接受/承认。
8 安全考虑
 本备忘录介绍了对事件对象描述和转换格式的一些要求,并尝试为事件描述定义通用数
据格式,存档以及CSIRTs(包括报警、事件调查、存档、统计、报告等)之间关于事件信
息的转换。在IODEF执行的另一方面是出于对安全考虑的主题。访问限制指出的特殊安全
要求在4.3节给出了讨论,对事件描述的机密性、完整性、真实性和非批判性要求在6.16, 
6.17, 6.18节给出了相应的描述。
9 参考文献
    [1]  Bradner, S., "Key words for use in RFCs to Indicate Requirement
         Levels", BCP 14, RFC 2119, March 1997.
    [2]  Incident Taxonomy and Description Working Group Charter -
         http://www.terena.nl/task-forces/tf-csirt/i-taxonomy/
    [3]  Intrusion Detection Exchange Format Requirements by Wood, M. -
         December 2000, Work in Progress.
    [4]  Intrusion Detection Message Exchange Format Extensible Markup
         Language (XML) Document Type Definition by D. Curry, H. Debar -
         February 2001, Work in Progress.
    [5]  Guidelines for Evidence Collection and Archiving by Dominique
         Brezinski, Tom Killalea - July 2000, Work in Progress.
    [6]  Brownlee, N. and E. Guttman, "Expectations for Computer Security
         Incident Response", BCP 21, RFC 2350, June 1998.
    [7]  Shirey, R., "Internet Security Glossary", FYI 36, RFC 2828, May
         2000.
    [8]  Establishing a Computer Security Incident Response Capability
         (CSIRC). NIST Special Publication 800-3, November, 1991
    [9]  Handbook for Computer Security Incident Response Teams (CSIRTs),
         Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski. -
         CMU/SEI-98-HB-001. - Pittsburgh, PA: Carnegie Mellon University,
         1998.
    [10] A Common Language for Computer Security Incidents by John D.
         Howard and Thomas A. Longstaff. -  Sandia Report: SAND98-8667,
         Sandia National Laboratories -
         http://www.cert.org/research/taxonomy_988667.pdf
    [11] Best Current Practice of incident classification and reporting
         schemes currently used by active CSIRTs. -
         http://www.terena.nl/task-forces/tf-csirt/i-
         taxonomy/docs/BCPreport1.rtf
    [12] Taxonomy of the Computer Security Incident related terminology -
         http://www.terena.nl/task-forces/tf-csirt/i-taxonomy/docs/i-
         taxonomy_terms.html
    [13] Multilingual Support in Internet/IT Applications. -
         http://www.terena.nl/projects/multiling/
致谢
本文献在事件分类和描述工作组研讨会上被讨论,(http://www.terena.nl/task-forces/tf-
csirt/tf-csirt000929prg.html#itdwg),采用TERENA 任务组TF-CSIRT (http://www.-
terena.nl/task-forces/tf-csirt/)结构。可以通过以下邮件列表与在TERENA的事件分类和描
述工作组联系:
incident-taxonomy@terena.nl或者iodef@terena.nl
文档可以通过以下相关网址得到:
http://hypermail.terena.nl/incident-taxonomy-list/mail-archive/ 和
http://hypermail.terena.nl/iodef-list/mail-archive/
作者地址
Jimmy Arvidsson
   Telia CERT
   EMail: Jimmy.J.Arvidsson@telia.se
   Andrew Cormack
   JANET-CERT
   EMail: Andrew.Cormack@ukerna.ac.uk
   Yuri Demchenko
   TERENA
   EMail: demch@terena.nl
   Jan Meijer
   SURFnet
   EMail: jan.meijer@surfnet.nl
全部版权声明
Copyright (C) The Internet Society (2001). All Rights Reserved.
 该文献及其译文可能被其他人员拷贝或转载,由此而产生的对本文献的评论或者其它不
同的解释或者对其执行的帮助等作品,可能会被筹备、复制、出版以及发布,假如上述版权
声明以及本段内容被包括在此类拷贝和派生作品中,则从整体或者局部来说,都没有任何类
型的限制。然而,除为发展Internet标准目的所需之外,本文献自身不可以采取任何形式进
行修改,诸如删除版权声明或者Internet协会或其它Internet组织,这种情况下,版权定义
程序必须遵循Internet标准进行,或者必须将其翻译成英语之外的其它语言。
上述有限许可的授予是永久的,不会被Internet协会、其继承者或者其委派者所废除。
本文献及包括于此的信息是基于“参见”和INTERNET协会以及INTERNET工程任务
组放弃的所有依据、表示或者暗示等,包括但不局限于任何依据,在此信息的使用将不违反
任何规则或任何商业性暗示依据或适用于特别的目的。
认证
RFC编辑功能基金当前由Internet协会提供。
RFC3067――TERENA's Incident Object Description and Exchange Format equirements
TERENA'S事件对象描述和转换格式要求


1
RFC文档中文翻译计划
 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »