GB/T 28517-2012 网络安全事件描述和交换格式

　　ICS 35. 020 L 09

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 28517—2012

　　网络安全事件描述和交换格式

　　Network incidentobjectdescription and exchange format

　　2012-06-29发布 2012-10-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　GB/T 28517—2012

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 、缩略语 1

　　3. 1 术语和定义 1

　　3. 2 缩略语 3

　　4 符号约定 3

　　5 安全事件描述和交换格式的基础数据类型 4

　　5. 1 整数 4

　　5. 2 实数 4

　　5. 3 字符和字符串 4

　　5. 4 字节 4

　　5. 5 枚举类型 4

　　5. 6 日期-时间 4

　　5. 7 NTP时间戳 4

　　5. 8 端口列表 4

　　5. 9 邮政地址 5

　　5. 10 个人或组织 5

　　5. 11 电话和传真号码 5

　　5. 12 电子邮件 5

　　5. 13 统一资源标识 5

　　5. 14 唯一标识 5

　　6 安全事件描述和交换格式 5

　　6. 1 概述 5

　　6. 2 IODEF文档类 6

　　6. 3 安全事件类 6

　　6. 4 事件标识类 9

　　6. 5 可选标识类 9

　　6. 6 相关活动类 10

　　6. 7 其他数据类 11

　　6. 8 联系类 12

　　6. 9 注册机构标识类 14

　　6. 10 时间类 14

　　6. 11 期望类 15

　　6. 12 攻击方法类 16

　　Ⅰ

　　GB/T 28517—2012

　　6. 13 评估类 17

　　6. 14 历史类 20

　　6. 15 异常现象数据类 21

　　6. 16 流类和系统类 24

　　6. 17 节点类 25

　　6. 18 服务类 27

　　6. 19 记录类 28

　　6. 20 分析器类 30

　　7 安全事件描述和交换格式的扩展和实现指南 32

　　7. 1 扩展机制 32

　　7. 2 扩展原则 32

　　7. 3 IODEF的扩充实例 32

　　7. 4 实现指南 40

　　附录 A (资料性附录) 安全事件描述和交换格式实例 42

　　A. 1 红色代码检测通告 42

　　A. 2 带有 XML签名的 IODEF文档 44

　　A. 3 使用 XML加密的 IODEF文档的例子 45

　　参考文献 47

　　Ⅱ

　　GB/T 28517—2012

　　前 言

　　本标准按照 GB/T 1. 1—2009给出的规则起草 。

　　本标准是主要参照 IETF(互联网工程任务组) RFC 5070,结合我国计算机网络应急响应体系建设的实际情况而制定的 。

　　本标准由中华人民共和国工业和信息化部提出 。

　　本标准由中国通信标准化协会归 口 。

　　本标准起草单位 : 国家计算机网络应急技术处理协调中心 、清华大学 。

　　本标准主要起草人 :黄元飞 、袁春阳 、段海新 、孙蔚敏 、杨臻 、周勇林 、焦绪录 、纪玉春 、梁晟 、吴俊华 、孙彬 。

　　Ⅲ

　　GB/T 28517—2012

　　引 言

　　随着互联网的发展 ,计算机网络安全事件突破了国家或地区的边界 ,跨越多个组织 ,各应急响应组织间的合作也突破了国界 、语言和文化的约束 。在此背景下 ,我国特成立了国家计算机网络应急技术处理协调中心(CNCERT/CC) ,负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安全事件 ;相关电信运营企业 、安全服务商 、国有大型公司 、教育科研机构以及国家有关部门也逐步成立了计算机安全应急响应组(简称应急响应组或 CSIRT) 。 为了提高各应急响应组对安全事件的响应能力和预防能力 ,规范我国各应急响应组之间安全事件的描述和交换格式 ,特制定本标准(IODEF) 。

　　IODEF主要用于各应急响应组的事件处理系统(IHS) 之间信息交换 ,是一种表示层的通信协议 ,其应用环境如图 1所示 。

　　图 1 安全事件描述交换格式的应用环境

　　一般情况下 ,应急响应组需要某种软件工具把安全事件相关的信息生成 IODEF 的事件报告 ,然后通过通信协议(如 HTTP、SMTP等)发送给其他相关的组织;当 CSIRT收到其他 CSIRT、网络服务商、用户或其他组织发送过来的 IODEF文档时 ,一般需要经过事件处理系统中的 IODEF解析模块或独立的 IODEF解析程序生成符合 CSIRT 内部定义的数据格式 ,然后保存到本地事件报告数据库中 ,并进入事件处理的流程 。

　　Ⅳ

　　GB/T 28517—2012

　　网络安全事件描述和交换格式

　　1 范围

　　本标准规定了一种描述计算机网络安全事件的通用数据格式 , 以便于计算机安全应急响应组间进行网络安全事件交换 ,并提供了 XML 的参考实现 。

　　本标准适用于计算机安全应急响应组间进行计算机网络安全事件交换 ,也可供建设和维护计算机网络安全事件处理系统时参考 。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)使用于本文件 。

　　GB/T 12406—2008 表示货币和资金的代码(ISO 4217:2001,IDT)

　　IETF RFC 1305 网 络 时 间 协 议 规 范 和 执 行(Network Time Protocol(Version 3)Specification, Implementation)

　　IETF RFC 2030 对 于 IPv4、IPv6 和 OSI的 简 单 网 络 定 时 协 议 第 4 版 (Simple Network Time Protocol(SNTP) Version4 for IPv4,IPv6 andOSI)

　　IETF RFC 2256 对于使用 LADPv3的 X. 500使用者计划的概述(A Summary oftheX. 500(96) User Schema for use with LDAPv3)

　　IETF RFC 2396 统一资源标识符(URI) :一般句法(Uniform ResourceIdentifiers(URI) :Generic Syntax)

　　IETF RFC 2822 英特网信息格式(InternetMessage Format)

　　3 术语和定义、缩略语

　　3. 1 术语和定义

　　下列术语和定义适用于本文件 。

　　3. 1. 1

　　攻击 attack

　　对系统安全的袭击 ,主要来源于人为的 、技术上的威胁 。例如 ,企图逃避安全服务和违背系统安全策略的一次技术上的攻击行为 。

　　攻击可能是主动的 ,也可能是被动的 ;可能是来自内部人员 ,也可能是来自外部人员 。

　　3. 1. 2

　　攻击者 attacker

　　为达到某种(些) 目的而尝试一次或多次攻击的个体 。在本标准中 ,攻击者由其网络标识 、发起网络或计算机攻击的组织以及物理位置信息(可选)来描述 。

　　3. 1. 3

　　计算机安全应急响应组 computersecurityincidentresponse team;CSIRT

　　处理计算机网络安全事件和创建安全事件报告的组织 。CSIRT也可能涉及证据的收集和保管 、安

　　1

　　GB/T 28517—2012

　　全事件请求等活动 。CSIRT 由其身份标识 、机构名称 、公开密钥等来描述 。

　　3. 1. 4

　　损失 damage

　　攻击给目标系统产生的有意或者无意的后果 。损害的描述可以包括对攻击的实际结果的自由形式的文本描述 ,如果可能 ,还可以包括有关被损害的系统 、子系统或者服务的结构化信息 。

　　3. 1. 5

　　异常现象 event

　　操纵目标的一种行为 ,其目的是引起目标的状态发生改变 。从起源角度看 ,异常现象可以被定义为在系统或网络中任何引发报警的可观察到的现象 。例如 ,在 10 s 内连续 3 次登录失败的异常现象 ,可能表示出现强行登录攻击事件 。

　　3. 1. 6

　　证据 evidence

　　与异常现象相关的信息 ,该信息用来证明或支持异常现象相关的结论 。对于安全事件(incident) ,可能包括但不局限于如下内容 : 由入侵检测系统(IDS) 创建的数据转储(dump) 文件 、来 自系统 日志文件的数据 、内核统计信息 、高速缓存 、内存 、临时文件系统或者其他引起报警或在安全事件发生后收集的数据 。

　　在存储 、归档证据 ,特别是需要保持证据的完整性时 , 必须高度小心并采取特殊的规则 , 必要的时候 ,应当加密存储证据 。按照证据收集和存档的原则 ,必须严格保护证据的安全 。必须详细记录证据保管链 ,证据应当按照当地的法律进行收集 、存档和保护是非常必要的 。

　　3. 1. 7

　　安全事件 incident

　　涉及违反安全策略的安全性异常现象 。安全事件可以定义为单次攻击或者一组攻击 ,可以根据攻击的方法 、攻击者的身份 、受害者 、站点 、目标和时间等特性将此单次攻击或此组攻击从其他的攻击中区分开来 。

　　3. 1. 8

　　影响 impact

　　用来描述根据用户或机构对攻击的结果的表述 ,例如资金上的损失或者时间花费等方面的代价 。 3. 1. 9

　　目标 target

　　计算机或网络逻辑实体(如账号 、进程或数据) 、物理实体(组件 、计算机 、网络或国际互联网) 。

　　3. 1. 10

　　受害者 victim

　　在安全事件报告中所描述的遭受到攻击的个人或组织 。在本标准中 ,受害者通常用其网络身份标识 、组织或者物理位置等信息来描述 。

　　3. 1. 11

　　漏洞 vulnerability

　　在系统的设计 、实现或者运行和管理中的缺陷或弱点 ,这些缺陷或弱点可能会被利用 , 以突破系统的安全策略 。

　　大多数系统都有某些类型的漏洞 ,但是这并不意味着系统不能使用 。并不是每个漏洞都会导致攻击 ,也并不是每次攻击都会成功 。攻击是否成功和漏洞的危险程度 、攻击的力度以及采用应对措施的有效性有关 。如果攻击需要利用的漏洞非常难实现 ,那么这样的漏洞是可以容忍的 。如果攻击者从攻击中获得的收益非常小 ,此时即便是非常容易被利用的漏洞也是可以容忍的 。然而 ,漏洞系统被大量的用户利用来实施攻击 ,此时某些攻击者可能从中获益 。

　　2

　　GB/T 28517—2012

　　3. 1. 12

　　安全事件处理系统 incidenthandlesystem

　　对计算机网络安全事件 、资产 、漏洞 、威胁 、风险 、预警 、安全策略 、安全知识等安全要素进行收集 、分析 、管理 ,并提供安全事件响应的流程管理软件系统 。

　　3. 1. 13

　　XML模式 XML schema

　　一种基于 XML 的语法或规范 ,用来定义 XML文档的标记方式 ,是对 XML文档的词汇表和语法进行约束和形式化 。

　　3. 2 缩略语

　　下列缩略语适用于本文件 。

　　CSIRT Computer Security IncidentResponse Team 计算机安全应急响应组

　　CVE Common Vulnerabilities and Exposures 通用漏洞批漏 , 一 种 常 见 的 漏 洞

　　描述字典

　　DTD DocumentType Definition 文档类型定义

　　FQDN Fully Qualified Domain Name 完整域名

　　IDMEF Intrusion Detection Message Exchange Format 入侵检测信息交换格式

　　IDS Intrusion Detection System 入侵检测系统

　　IHS Incident Handle System 事件处理系统

　　IODEF IncidentObjectDescription and Exchange Format 安全事件描述和交换格式

　　XML Extensible Markup Language 可扩展的标记语言

　　4 符号约定

　　本标准使用类图来描述数据模型 。在类图中 ,各符号图例含义见表 1。

　　表 1 类图的图例说明表

　　符号图例

　　含 义

　　类 IODEF-Document是聚合类 ,包含有子类

　　类 IncidentID是聚合父类必须包含的单个子类 ,只能存在一个实例

　　类 Contact是聚合父类必须包含的子类 ,可以存在多个实例 ,个数不限

　　类 DetectTime是聚合父类可能包含的子类 ,最多存在一个实例

　　类 AlternativeID是聚合父类 可 能 包 含 的 子 类 , 最 多 存 在 一 个 实 例 , 类 Alterna- tiveID本身是聚合类

　　类 Expectation是聚合父类可能包含的子 类 , 可 以 存 在 多 个 实 例 ,类 Expectation本身是聚合类

　　3

　　GB/T 28517—2012

　　5 安全事件描述和交换格式的基础数据类型

　　5. 1 整数

　　由 INTEGER数据类型表示整数属性 ,整数数据必需以 10或者 16为基底编码 。

　　以 10为基底的整数编码使用 阿 拉 伯 数 字 “0”到 “9”, 以 及 可 选 符 号 “+ ”或 者 “- ”。例 如 , “123”, “-456”。

　　以 16为基底的编码使用阿拉伯数字“0”到“9”, 以及 “a”到 “f”(或者它们的大写形式) ,并且在前面加上字符“0x”。例如 ,“0x1a2b”。

　　5. 2 实数

　　由 REAL数据类型来描述实数(浮点)属性 。实数数据必需以 10为基底编码 。

　　实数编码和 POSIX 函数例库中的 “strtod”一样 : 一个可选符号后跟一个非空的小数位数串 , 可选地包含一个基数字符 ,然后是一个可选的指数部分 。一个指数部分由一个 “e”或者 “E”,后跟一个可选的符号 ,接下来是一个或者多个小数位数 。例如 ,“123. 45e02”,“-567,89e-03”。

　　与本标准兼容的应用程序必需支持“. ”和 “,”基数字符 。

　　5. 3 字符和字符串

　　由 CHARACTER 数 据 类 型 来 描 述 单 字 符 属 性 , 由 STRING 数 据 类 型 描 述 已 知 长 度 的 多 字 符属性 。

　　字符和字符串数据没有特殊的格式要求 ,除了偶尔需要使用转义字符来表示特殊的字符 。

　　5. 4 字节

　　字节数据类型 BYTE用于描述二进制数据 。

　　5. 5 枚举类型

　　由 ENUM数据类型描述枚举类型 ,枚举类型是由可接受的值构成的一个有序列表 。 每一个值代表一个关键字 。在本标准中 ,枚举类型关键字被用作属性值 。

　　5. 6 日期-时间

　　由本标准的 DATETIME数据类型描述日期-时间串 。

　　5. 7 NTP 时间戳

　　由 NTP STAMP数据类型描述 NTP时间戳 ,在 IETF RFC 1305和 IETF RFC 2030 中有详细的规定 。一个 NTP时间戳是一个 64 比特的无符号定点数字 。前 32 比特是整数部分 ,后 32 比特为小数(分数)部分 。

　　IODEF文 档 必 须 将 NTP 时 间 戳 编 码 为 两 个 32 比 特 的 十 六 进 制 值 , 使 用 “. ”分 隔 。 例 如 , “0x12345678. 0x87654321”。

　　5. 8 端口列表

　　由 PORTLIST数据类型描述网络端口列表 ,它由一个以逗号分隔的数字和范围(N-M 表示端口号N 至端口号 M ,包括 M)的序列组成 ,可以在一个单独的序列中使用数字和范围的任意组合 。 例如 “5- 25,37,42,43,53,69-119,123-514”。

　　4

　　GB/T 28517—2012

　　5. 9 邮政地址

　　由 POSTAL数据类型描述邮政地址 。

　　如用英语表示 ,其格式如下 :

　　建筑物 ,街道 , 邮政编码 ,城市 , 国家 ,或者邮政信箱 , 邮政编码 ,城市 , 国家如用汉语表示 ,其格式如下 :

　　国家 ,城市 ,街道 ,建筑物 , 邮政编码 ,或者国家 ,城市 , 邮政信箱 , 邮政编码POSTAL数据格式见 IETF RFC 2256 的 5. 17~ 5. 19。

　　5. 10 个人或组织

　　由 NAME数据类型描述个人或者组织的名称 。

　　如用英语表示 ,其格式如下 :

　　名 姓

　　如用汉语表示 ,其格式如下 :

　　姓 名

　　NAME数据类型的格式见 IETF RFC 2256 的 5. 4。

　　5. 11 电话和传真号码

　　由 PHONE数据类型描述电话号码 。 电话和传真号码遵循 ITU规定的表达格式 :

　　+(国际电码)(本地代码)(电话号码)

　　PHONE数据类型的格式见 IETF RFC 2256的 5. 21。

　　5. 12 电子邮件

　　由 EMAIL数据类型描述电子邮件地址 。EMAIL数据类型的格式见 IETF RFC 2822的 3. 4. 1。

　　5. 13 统一资源标识

　　由 URI数据类型描述统一资源标识符(URI) 。URI数据类型的格式在 IETF RFC 2396中规定 。

　　5. 14 唯一标识

　　由 UID数据类型描述 IODEF文档的某个特定创建者(例如某个 CSIRT)的唯一标识符 。 由 GUID数据类型描述全局唯一的标识符 。UID和 GUID数据类型是由字母数字串构成 。

　　6 安全事件描述和交换格式

　　6. 1 概述

　　本章详细描述安全事件描述和交换格式所定义的类(Class) 。对于每一个类 ,首先给出其语义 ,并用类图来表现和其他类之间的关系 ,然后用 XML 的文档类型定义(DTD)和模式(Schema)两种形式给出该类的具体描述格式 。

　　对于每个类的描述包括 6个部分 :

　　— 类说明 : 简要描述类的具体含义 ;

　　— 类图 : 以图形的方式说明类的构成 ;

　　— 子类 :描述该类所包含的子类 ,是否是必须的 ,存在实例个数及其简要说明 ;

　　— 属性 :用于说明该类所具有的属性名 ,及其含义 ;

　　5

　　GB/T 28517—2012

　　—Schema定义 :给出该类 XML Schema实现片段 ;

　　—DTD定义 :给出该类 XML DTD实现片段 。

　　6. 2 IODEF文档类

　　类说明

　　IODEF文档(IODEF-Document) 类在 IODEF数据模型是顶层类 ,所有 IODEF文档都是 IODEF- Document的实例 。

　　类图

　　IODEF-Document类如图 2所示 。

　　图 2 IODEF-Document类

　　子类

　　—Incident:只能包括一个子类 。包含所有与安全事件相关信息的安全事件类 。

　　属性

　　version:必需 ,字符串 。IODEF文档所遵循的本标准的版本号 。本标 准 以 下 讨 论 的 格 式 以 IETF RFC 5070为参考 。

　　Schema定义

　　< xs:complexType>

　　< xs:elementname= "IODEF-Document">

　　< xs:sequence>

　　< xs:elementref= "Incident"/>

　　< xs:attribute name= "version"type= "xs:string"fixed= "04"/>

　　DTD定义

　　< ! ELEMENT IODEF-Document(Incident)>

　　6. 3 安全事件类

　　类说明

　　每一个报告给 CSIRT、或者由 CSIRT处理的安全事件 , 由安全事件(Incident) 类的一个实例来描述 。Incident类为通常交换的安全事件数据提供一个标准的表示法 ,并且把所描述的活动和一个唯 一的标识符联系起来 。

　　Incident类概述安全事件活动以及某 CSIRT信息处理的详细信息 ,也对构成 incident的安全事件进行分类 。

　　Incident的许多聚合类也会出现在 EventData中 ,尽管出现的次数不同 。然而 ,它们的语义是有区别的 。Incident中的聚合类反映的是整个安全事件的相关信息 , 而 EventData中的聚合类仅仅提供所描述的给定动作或者系统节点的相关信息 。IncidentData类和 EventData类的聚合类是互补关系 。前者提供概要信息 ,而后者提供更加明确的细节 。例如 ,在 Incident中描述安全事件的总体影响可能是拒绝服务 ,但 ,在 EventData描述中也可能会提及被彻底毁坏的机器 。另一个例子 , 可以在 IncidentData类中提供一个组织的联系信息 ,而在 EventData类中提供更加明确的单个主机的联系信息 。

　　6

　　GB/T 28517—2012

　　类图

　　Incident类如图 3所示 。

　　图 3 Incident类

　　子类

　　—IncidentID:一个 。文档的产生方指派给安全事件的事件跟踪号 ,或者唯一标识符 ;

　　—AlternativeID:零个或者一个 。 由其他 CSIRT用来引用文档中所描述的同一活动的一列安全事件跟踪号 ;

　　—RelatedActivity:零个或者一个 。 引用相关安全事件的一列安全事件跟踪号 ;

　　—Description:零个或者多个 ,字符串类型 。安全事件活动的自由形式的文本描述 ;

　　—Contact:一个或多个 。安全事件有关的参与方的联系信息 ;

　　—ReportTime:一个 。报告安全事件的时间 ;

　　—DetectTime:零个或者一个 。安全事件活动最初被检测出的时间 ;

　　—StartTime:零个或者一个 。安全事件活动开始的时间 ;

　　—EndTime:零个或者一个 。安全事件活动结束的时间 ;

　　7

　　GB/T 28517—2012

　　—Expectation:零个或多个 。文档接收者将执行的预期动作 ;

　　—Method:零个或者多个 。入侵者所使用的技术(譬如工具 ,漏洞) ;

　　—Assessment:一个或者多个 。评估安全事件活动影响的描述 ;

　　—EventData:零个或者多个 。导致安全事件的异常现象数据的详细信息 ;

　　— History:零个或者 1个 。记录在处理安全事件的期间 ,发生的重要的事件或者采取的行动 ;

　　—AdditionalData:零个或者多个 。使用不能在别的地方描述的信息来扩展数据模型的区域 。属性

　　purpose(目的) :必需 ,枚举类型 。

　　说明 :指出 IODEF文档的 目的 。本属性被定义为一个枚举列表 :

　　—handling:发送本 IODEF-文档的目的是期望接收者处理安全事件 ;

　　— statistics:发送本 IODEF-文档 ,只用于统计目的 ;

　　— warning:发送本 IODEF-文档 ,只是作为一个警告 ;

　　— other:发送 IODEF-文档目的将在 AdditionalData元素中指明 。

　　Restriction(限制) :可选 ,枚举类型 。

　　说明 :指出 IODEF-Document的发送者期望接收者应该遵守的保密原则 , 当然文档的接收者自 由决定是否遵守这个原则 。逻辑上 ,子类可以继承父类的这个属性值 。 由于多数高层类都有 re- striction属性 ,这就有可能设置细粒度的保密策略 。如果子类加紧或者放松保密规则 ,子类可以不考虑父类的保密规则 。对一个没有指定 restriction属性值的类 , 可以在其指定了 restriction属性值的最邻近的祖先类中得出该类的 restriction属性值 。restriction属性被定义为一个枚举类型值 ,缺省值为“private”。

　　—public:对信息没有任何级别的限制 ;

　　— need-to-know:信息可以被和安全事件有关的其他方共享(举例来说 , 多个受害站点能够相互通告) ;

　　—private:信息不能被共享 ;

　　—default:按照通信各方预先安排的信息保密规则 ,决定是否可共享信息 。

　　Schema定义

　　< xs:complexType>

　　< xs:elementname= "Incident">

　　< xs:sequence>

　　< xs:elementref= "(")IncidentID"/>" " "

　　< xs:elementref= AlternativeID minOccurs= 0 />

　　< xs:elementref= "RelatedActivity"minOccurs= "0"/>

　　< xs:elementref= "Contact"maxOccurs= "unbounded"/>

　　< xs:elementref= "(")ReportTime""/> " "

　　< xs:elementref= DetectTime minOccurs= 0 />

　　< xs:elementref= "StartTime"minOccurs= "0"/>

　　< xs:elementref= "EndTime"minOccurs= "0"/>

　　< xs:elementref= "Method"minOccurs= "0"maxOccurs= "unbounded"/>

　　< xs:elementref= "Assessment"maxOccurs= "unbounded"/>

　　< xs:elementref= "History"minOccurs= "0"/>

　　8

　　GB/T 28517—2012

　　< xs:attribute ref= "purpose"use= "required"/>

　　< xs:attribute ref= "restriction"default= "default"/>

　　DTD定义

　　< ! ELEMENT Incident(IncidentID,AlternativeID? ,RelatedActivity? ,Description* ,Con- tact+ ,ReportTime,DetectTime? , StartTime? , EndTime? , Expectation * , Method * , Assess- ment+ ,EventData* , History? ,AdditionalData* )>

　　6. 4 事件标识类

　　类说明

　　事件标识(IncidentID)类 的 内 容 代 表 一 个 安 全 事 件 跟 踪 号(UID) , 该 UID 在 一 个 CSIRT 中 是 唯一的 。

　　类图

　　IncidentID类如图 4所示 。

　　图 4 IncidentID 类

　　子类

　　无 。

　　属性

　　restriction:可选 ,枚举类型 ,见 6. 3 中对这个属性的定义 ;

　　name:必需 ,GUID类型 。产生 IODEF-Document的 CSIRT 的标识符 。

　　Schema定义

　　< xs:complexTypename= IncidentIDType mixed= true >

　　< xs:elementname= "IncidentI"type= "Incide"(n)tIDType"(")/> "

　　< xs:attribute name= "name"/>

　　< xs:attribute ref= "restriction"/>

　　DTD定义

　　< ! ELEMENT IncidentID( #PCDATA)>

　　6. 5 可选标识类

　　类说明

　　可选标识(AlternativeID) 类 引 用 其 他 组 织 实 体(例 如 其 他 CSIRT) 的 事 件 编 号 , 用 来 在 IODEF- Document中跟踪不同组织对同一安全事件的处理活动 。 因此 ,被列出作为 AlternativeID 的跟踪号的事件 ,是指由其他的 CSIRT从不同的角度 ,检测到的同样的事件 。

　　如果希望表示的不是同一个安全事件 ,而是相关的安全事件(譬如同样的方法或者入侵者) ,则其安全事件跟踪号用在下面将要讨论的 RelatedActivity类描述 。

　　类图

　　AlternativeID类如图 5所示 。

　　9

　　GB/T 28517—2012

　　图 5 AlternativeID 类

　　子类

　　—IncidentID:一个或多个 ,表示由其他 CSIRT 分配给在 IODEF-Document中描 绘 的 同 样 的 活动的唯一标识符 。

　　属性

　　restriction:可选 ,枚举类型 ,见 Incident类的 restriction属性说明 。

　　Schema定义

　　< xs:complexType>

　　< xs:elementname= "AlternativeID">

　　< xs:sequence>

　　< xs:elementref= "IncidentID"maxOccurs= "unbounded"/>

　　< xs:attribute ref= "restriction"/>

　　DTD定义

　　< ! ELEMENT AlternativeID(IncidentID+)>

　　6. 6 相关活动类

　　类说明

　　相关活动(RelatedActivity)类引用在 IODEF文档中所描述的与安全事件有关的其他安全事件跟踪号 ,或者安全事件的唯一标识符 。这些引用可能是本地安全事件跟踪号 ,也可能是其他 CSIRT 的安全事件跟踪号 。

　　类图

　　RelatedActivity类如图 6所示 。

　　图 6 RelatedActivity类

　　子类

　　—IncidentID:IncidentID:一个或者多个 ,表示 CSIRT分配安全事件的唯一标识符 。属性

　　restriction:可选 ,枚举类型 ,见 6. 3 中对这个属性的定义 。

　　Schema定义

　　< xs:complexType>

　　< xs:elementname= "RelatedActivity">

　　< xs:sequence>

　　< xs:elementref= "IncidentID"maxOccurs= "unbounded"/>