1、中华人民共和国国家标准信息技术开放系统互连系统管理第部分安全告警报告功能发布实施国家技术监督局发布前言本标准等同采用信息技术开放系统互连系统管理安全告警报告功能在信息技术开放系统互连系统管理总标题下目前包括以下个部分第部分即客体管理功能第部分即状态管理功能第部分即表示关系的属性第部分即告警报告功能第部分即事件报告管理功能第部分即日志控制功能第部分即安全告警报告功能第部分即安全审计跟踪功能本标准由中华人民共和国电子工业部提出本标准由电子工业部标准化研究所归口本标准起草单位电子工业部标准化研究所本标准主要起草人郑洪仁周小华张小涛黄家英前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成
2、员体他们都是或的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成是由信息技术联合技术委员会与合作制定的等同文本为在信息技术开放系统互连系统管理总标题下目前包括以下个部分第部分客体管理功能第部分状态管理功能第部分表示关系的属性第部分告警报告功能第部分事件报告管理功能第部分日志控制功能第部分安全告警报告功能第部分安全审
3、计跟踪功能第部分访问控制的客体和属性第部分记帐计量功能第部分工作负荷监控功能第部分测试管理功能第部分概括功能第部分可信度及诊断测试分类引言是遵照和制定的由多个部分组成的标准与以下标准有关信息技术开放系统互连公共管理信息服务定义信息技术开放系统互连系统管理综述信息技术开放系统互连管理信息结构信息技术开放系统互连公共管理信息协议中华人民共和国国家标准信息技术开放系统互连系统管理第部分安全告警报告功能国家技术监督局批准实施范围本标准定义了安全告警报告功能安全告警报告功能是一项系统管理功能它可供应用进程在集中式或分散式管理环境中交换信息以便用于所定义的系统管理本标准位于的应用层并按提供的模型定义系统管
4、理功能的作用由描述由本系统管理功能定义的安全告警通知提供关于操作条件和服务质量的信息它们附属于安全安全相关事件与安全条款有关每当一个安全相关事件发生时安全策略决定要采取的行动例如安全策略可规定生成安全告警报告或在安全审计跟踪时建立事件记录或递增阈值计数器或忽略该事件或者采取这些行动的组合本标准只涉及安全告警报告本标准为需要用来支持安全告警报告功能的服务定义建立用户需求定义由安全告警报告功能提供的服务规定为提供服务所必需的协议定义服务与管理通知之间的关系定义与其他系统管理功能之间的关系规定一致性要求本标准不定义旨在提供安全告警报告功能的任何实现的特性不规定由安全告警报告功能的用户完成管理的方式不
5、定义任何导致使用安全告警报告功能的交互的特性不规定建立正常释放和异常释放管理联系所必需的服务不定义由其他标准定义的安全管理者可能感兴趣的任何其他通知引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型信息处理系统开放系统互连基本参考模型第部分安全体系结构信息处理系统开放系统互连基本参考模型第部分管理框架信息处理系统开放系统互连服务约定信息技术开放系统互连抽象语法记法一规范信息技术开放系统互连抽象语法记法一基本编码规则规范信息技术开放系统互连公共管理信
6、息服务定义信息技术开放系统互连系统管理综述信息技术开放系统互连系统管理第部分告警报告功能信息技术开放系统互连系统管理第部分事件报告管理功能信息技术开放系统互连系统管理第部分日志控制功能信息技术开放系统互连管理信息结构第部分管理信息定义信息技术开放系统互连管理信息结构第部分被管客体的定义指南信息技术开放系统互连应用层结构信息技术开放系统互连一致性测试方法和框架第部分基本概念定义本标准采用下列定义基本参考模型定义本标准采用中定义的下列术语开放系统安全体系结构定义本标准采用中定义的下列术语鉴别机密性完整性抗抵赖安全策略安全服务管理框架定义本标准采用中定义的下列术语被管客体系统管理综述定义本标准采用中
7、定义的下列术语代理作用依赖一致性一般一致性管理者作用通知系统管理功能单元事件报告管理功能定义本标准采用中定义的下列术语辨别器服务约定定义本标准采用中定义的下列术语服务用户服务提供者一致性测试定义本标准采用中定义的下列术语系统一致性声明补充定义安全告警被安全策略标识为潜在违反安全的安全相关事件安全相关事件认为与安全有关的事件缩略语抽象语法记法一公共管理信息服务证实指示管理应用协议数据单元开放系统互连请求响应系统管理应用协议机约定本标准遵循定义的描述性约定为安全告警报告功能定义了服务在第章中每项服务的定义包括一个列出服务原语参数的表对一条给定的服务原语每个参数的出现由下列值之一描述参数是必备的参数
8、值等于左列参数之值使用该参数是服务用户的选项在该原语所描述的交互中不存在此参数参数是有条件的条件由描述该参数的文本定义参数受的强制制约注在本标准服务表中标明表中的参数在不改变参数的语义或语法的情况下直接映射到服务原语的相应参数上其余参数用于构造需求每当检测到一个指出攻击或潜在攻击系统安全的事件时安全管理用户需要引起警觉一个安全攻击可能被一个安全服务一个安全机制或另一个进程检测到一个安全告警通知既可由任一通信端用户也可由端用户之间的任何中间系统或进程生成安全告警报告应如安全策略所规定的那样标识出安全告警的原因检测安全性相关事件的源合适的端用户任何误操作的被察觉的严重性攻击或违反安全等为满足这些需
9、求本标准描述了这些服务和技术的用法模型安全告警报告的模型在中定义信息可以根据记入日志类属定义类属通知本标准定义一组类属安全审计跟踪通知及其可用的参数和语义由本标准定义的这组类属通知参数和语义集合详细提供了由定义的服务的下列参数事件类型事件信息事件应答所有通知都是系统管理日志的潜在项本标准为此目的定义了被管客体类定义了由它派生出所有项的类属事件日志记录客体类由事件信息规定的附加信息和事件应答参数事件类型本参数定义了安全告警报告的类型本标准定义了下列事件类型完整性违规指出信息可能已被非法修改插入或删除操作违规指出所请求的服务是不可能的原因在于不可用性故障或差错的服务调用物理违规暗示物理资源受到安全
10、攻击的方式安全服务或机制违规指出安全攻击已由安全服务或机制检测到时间域违规指出一个事件发生在不期望的或禁止的时刻事件信息下列参数构成了通知特定的事件信息安全告警原因本参数为安全告警的可能原因定义了进一步的限定本参数值与事件类型值一起决定哪些参数均衡构成安全告警事件报告以及这些参数可以是什么可能值用于通知的安全告警原因值应在客体类定义的行为条款中指出为在定义的系统管理应用上下文中使用本标准定义对被管客体类具有广泛适用性的安全告警原因这些值按进行登记安全告警原因的语法应是类型客体标识符为在中定义的系统管理应用上下文中使用补充的安全告警原因可被增加到本标准中并使用中为客体标识符值定义的登记规程进行登
11、记为在定义的系统管理应用上下文中使用其他安全告警原因可以在本标准范围之外定义并使用在中为客体标识符值定义的登记规程登记表为本标准规定的事件类型标出了安全告警原因表安全告警原因事件类型安全告警原因完整性违规信息重复信息失踪检测到信息修改信息失序不期望的信息操作违规拒绝服务停止服务规程差错未规定的原因物理违规电缆窜改发现侵入未规定的原因安全服务或机制违规鉴别失败违反机密性抗抵赖失败未授权的访问企图未规定的原因时间域违规延迟信息密钥期满违时活动本标准定义下列安全告警原因鉴别失败指出鉴别用户的尝试不成功违反机密性指出信息可能已被未授权用户读出电缆窜改指出发生了通信媒体的物理破坏延迟信息指出收到信息比预
12、期的晚拒绝服务指出对服务的有效请求已被阻止或不允许信息重复指出一条信息已经不止一次被收到因此可能是重复攻击信息失踪指出未收到所期待的信息检测到信息修改指出信息已经被修改例如由数据完整性机制指出信息失序指出接收到的信息顺序不正确发现侵入指出标识的设备所安放的地方已被非法进入或者设备本身已被破坏密钥期满指出有一个过时的加密钥匙已出现或已使用抗抵赖失败指出由于抗抵赖服务的失败或不可用性而阻止或停止通信违时活动指出资源利用发生在不期望的时间停止服务指出对服务的有效请求由于服务提供者的不可用性而不能得到满足规程差错指出在调用服务时使用了一个不正确的规程未授权的访问企图指出访问控制机制已检测到访问资源的非
13、法企图不期望的信息指出收到一个不期望的信息未规定的原因指出发生了一个未规定的与安全有关的事件被管客体类定义者应选择最具体的安全告警的可用原因安全告警严重性本参数定义由被管客体察觉出的安全告警的重要性定义了下列严重性级别不确定的检测到安全攻击尚不知道系统的完整性临界的发生了安全破坏并已危及系统为支持安全策略不再认为系统可正确操作临界的严重性可能涉及未经正确的授权就修改安全信息泄漏对系统安全至关重要的信息诸如口令专用加密密钥等或破坏物理安全重要的检测到安全破坏并已危及重要的信息或机制次要的检测到安全破坏并已危及次要的信息或机制警告检测到安全攻击据信尚未危及系统安全安全告警检测者本参数标识安全告警的
14、检测者服务用户本参数标识其服务请求导致产生安全告警的服务用户服务提供者本参数标识导致产生安全告警的服务的预期服务提供者事件应答该标准不规定用于事件应答参数中的管理信息被管客体安全告警记录是被管客体类它派生于中定义的事件日志记录客体类安全告警记录客体类表示存储在由安全告警通知引起的日志中的信息引入的类属定义也使用下列参数这些参数由定义附加信息附加文本相关通知通知标识符符合性通过引用在中定义的通知样本结合通知规范被管客体类定义支持本标准定义的功能引用机制在中定义对每个安全告警报告的实例都要求引入本标准定义的一个或多个安全告警通知的被管客体类定义以便选择安全告警类型和安全告警原因使之最贴切地反映导致
15、被管客体发出通知的真正事件还要求被管客体类定义规定安全告警生成者服务用户服务提供者并也应在特性条款中规定安全告警严重性参数是如何规定的对每一项引入的通知被管客体类定义应在行为条款中规定要使用哪些可选参数和条件参数使用它们的条件以及它们的值允许声明对参数的使用保留为可选服务定义引言本标准定义一项服务安全告警通知提供报告安全攻击安全服务机制误操作或其他安全相关事件的能力本参数运送与安全告警有关的信息安全告警报告服务安全告警报告服务使用本标准中第章定义的参数以及在中定义的一般服务参数表列出安全告警报告服务的参数事件时间相关通知和通知标识符参数可由发出通知的被管客体或被管理系统分配表安全告警报告参数参
16、数名称调用标识符方式被管客体类被管客体实例事件类型事件时间事件信息安全告警原因安全告警严重性安全告警检测者服务用户服务提供者通知标识符相关通知附加文本附加信息当前时间事件应答差错功能单元安全告警报告功能构成单个系统管理功能单元协议规程元素代理作用调用安全告警报告规程由安全告警报告请求原语启动在收到安全告警报告请求原语时应构造一个并发出一个带有参数的服务原语参数来自安全告警报告请求原语在非证实方式下不使用中的规程接收响应在收到一个含有响应安全告警报告通知的服务原语时应发出一个带有参数的安全告警报告证实原语给安全告警报告服务用户参数来自服务原语从而完成安全告警报告规程注忽略收到的中的所有差错安全告
17、警报告服务用户可以忽略这些差错或者因此而联系夭折管理者作用接收请求在收到一个含有请求安全告警报告服务的服务原语时如果完好无损则应发出一个带有参数的安全告警报告指示原语给安全告警报告服务用户参数来自服务原语否则在证实方式下应构造一个适当的含有差错通知的并发出一个带有差错参数存在的服务原语在非证实方式下不使用中的规程响应在证实方式下应接收安全告警报告响应原语并构造一个以证实通知并发出一个带有参数的服务原语参数来自安全告警报告响应原语抽象语法被管客体本标准引用下列支持客体其抽象语法在中规定属性表标出了本标准中定义的参数与中的属性类型规范之间的关系表属性参数属性名安全告警原因安全告警严重性安全告警检测
18、者服务用户服务提供者属性组本系统管理功能没有定义属性组动作本系统管理功能没有定义特定的动作通知表标出了本标准中定义的通知与中的通知类型规范之间的关系表通知安全告警类型通知类型完整性违规操作违规物理违规安全服务或机制违规时间域违规在中携带通知类型规范所引用的抽象语法安全告警原因表标出了本标准中定义的安全告警原因与中定义的参考值之间的关系表安全告警原因安全告警原因参考值鉴别失败违反机密性电缆窜改信息延迟拒绝服务信息重复信息失踪检测到信息修改信息失序发现侵入密钥期满抗抵赖失败违时活动停止服务规程差错未授权的访问企图不期望的信息未规定的原因安全告警严重性值表标出了本标准中为安全告警严重性参数定义的值与
19、中定义的参考值之间的关系表安全告警严重性值安全告警严重性值引用不确定的临界的重要的次要的警告安全告警报告功能单元的协商本标准分配下列客体标识符作为在中定义的类型之值来协商下列功能单元此处的数字标出了分配给功能单元的比特位置该名称引用第章中定义的功能单元在系统管理应用的上下文范围内协商安全告警报告功能单元的机制由描述注协商功能单元的需求由应用上下文规定与其他功能的关系对安全告警报告服务的控制由规定的机制提供安全告警报告服务可以独立于的控制机制而存在一致性有两个一致性类别一般一致性类和依赖一致性类一个声称实现了本标准定义的系统管理服务规程元素的系统应遵守在下面各条中定义的一般一致性类或者依赖一致性
20、类的要求实现的供应者应说明声称了哪种一致性类一般一致性类要求一个声称与本标准一般一致性的系统应支持这种系统管理功能以便引入由本标准定义的管理信息的所有被管客体类静态一致性对安全告警报告功能单元系统应支持管理者代理或两者的角色系统应支持由规定的名为的编码规则派生出的传送语法目的是生成和解释中引用的抽象数据类型所定义的各动态一致性系统应以声称的一致性角色支持本标准中定义的安全告警报告服务的规程元素依赖一致性类要求静态一致性系统应提供一份标识出该系统管理功能标准化使用的系统一致性声明按照这种系统管理功能标准化使用的要求系统应支持由规定的名为的编码规则派生出的传送语法目的是生成和解释中引用的抽象数据类型所定义的各动态一致性按照这种系统管理功能标准化使用的要求系统应支持本标准中定义的规程元素
