YDT 2255-2011 信息安全运行管理系统（SOC）与被监控设备接口技术要求.pdf

1、l C S3 3 0 4 0M1 6Y 口中华人民共和国通信行业标准Y D 丁2 2 5 5 - 2 0 11信息安全运行管理系统( S O C )与被监控设备接口技术要求n t e r f a c er e q u i r e m e n tb e t w e e nS O Ca n dd e v i c e2 0 1 1 - 0 6 - 0 1 发布2 0 1 1 _ 0 6 0 1 实施中华人民共和国工业和信息化部发布前1234567目次言I I范围I规范性引用文件1缩略语I概述l接口数据格式25 1S e n s o r A c t i o n 类的定义25 2S e n s o r

2、A c t i o n 对象样例35 3l 冈V A c t i o n 对象样例3接口协议4S y s l o g 接口方法4Y D 厂r2 2 5 5 - 2 0 11刖罱信息安全运行管理系统( S O t ) 的技术标准体系由总体架构和相关功能规范、接口规范组成。总体架构定义安全运行管理系统的技术架构；功能规范定义安全运行管理系统各项功能要求；接口规范定义安全运行管理系统内部接口和外部接口。信息安全运行管理系统目前的标准体系如下，今后将陆续制定相关的系列标准：( 1 )Y D T1 8 ( X ) - 2 0 0 8 信息安全运行管理系统总体架构( 2 )Y D t T2 2 5 5 -

3、 - 2 0 1 1 信息安全运行管理系统( S O C ) 与被监控设备接口技术要求本标准由中国通信标准化协会提出并归口。本标准起草单位；深圳市永达电子有限公司、国家计算机网络应急技术处理协调中心、中兴通讯股份有限公司、大唐电信科技产业集团、西安邮电学院。本标准主要起草人：曾旭东、黄元飞、周智、舒敏。Y D 厂r2 2 5 5 - 2 0 11信息安全运行管理系统( S O C ) 与被监控设备接口技术要求1 范围本标准规定了信息安全运行管理系统( S O C ) 与被监控设备间接口的技术要求，作为接口实现的指导性标准。本标准适用于信息安全运行管理系统。2 规范性引用文件下列文件对于本文件的

4、应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本( 包括所有的修改单) 适用于本文件。Y D T1 8 0 0 - 2 , 0 0 8信息安全运行管理系统总体架构Y D T1 8 2 7 - 2 0 0 8网络安全事件描述和交换格式I E r FR F C4 7 6 7入侵检测交换协议0 D X P )I E T FR F C3 0 8 0可扩展块交换协议( B E E P )3 缩略语下列缩略语适用于本文件。H SH o s tI n t r u s i o nD e t e c t i o nS y s t c mr rI n f o

5、 r m a t i o nT e c h n o l o g yN ) SN e t w o r kI n t r u s i o nD e t e c t i o nS y s = mS O CS e c u r i t yO p e r a t i o nC e n t e rV P NV i r t u a lP r i v a t eN e t w o r k4 概述基于主机的入侵检测系统信息技术基于网络的入侵检测系统信息安全运行管理系统虚拟专用网根据Y D T1 8 0 0 - 2 0 0 8 ，通过定义标准的S O C 与设备间的接口，扩充信息安全管理系统的框架如图1 所示。图l

6、 中虚线表示S O C 向设备发送控制命令，这是对Y D T1 8 0 0 架构的补充。S O C 与设备间接口的内容包括以下三方面：一数据格式：S O C 与设备间通信的数据格式；一通讯协议：S O C 与设备间通信协议，这里只定义应用层协议，并不涉及传输层、网络层、物理层的协议；一兼容现有的设备，提出基于s y s l o g 的数据采集通用方法。Y D J T 2 2 5 5 吨0 1 1田1 信息安全t 行管4 系统艋架5 接口数据格式51S e n s o r A c t i o n 类的定义S O C 与设备间的通讯主要完成两方面的任务：一采射上报安全事件：S O C 主动采集设备

7、的安全事件，或者安全设备上报安全事件；一下尉接收控制命令：S O C 主动向设备下发控制命令，达到消解安全事件的目的。S O C 从设备采集安全事件使用Y D ，r1 8 2 7 所定义的对象承载信息：根据该标准的对象扩展方法定义s o c 所需的控制命夸。这里定义S e m o r A c t i o n 对象，井从它派生出代表各种设备类型的对象，以F W A c f i o n 为例，如图2 所示。田2s H o m c 幻n 孤生示毫S e n s o r A c d o n 作为其它类型安全设备( S e n s o r ) 的基粪，S e n s o r A c f i o n 表达

8、所有安全设备的共同属性。其他常见的派生类包括：2圜南一I D S A c t i o n ：用于向S 发送命令请求；一H o s t A c t i o n ：用于向主机管控器发送命请求。5 2S e n s o r A c t i o n 对象样例子类。一个或多个派生类。如F W A c t i o a 、I D S A c t i o n 、H o s t A c t i o n 。属性裹1S e n s o r A c t i o n 对象属性列表Y D T2 2 5 5 2 0 11属性类型说明s e a s o r y p c枚举类型( E l X q 2 M )安全设备的类型s c

9、 n s o r F r o m字符串( S 1 R 矾G )发出控审啦青求的源对象名称，一般是S O C 的某个代理节点接收该命令的对象名称。在级联的情况下，可根据此名称进s 自皓0 ，r b字符串暇I R G )行消息路由a c f i o n T i m e时问O 缶哟该命令发出的时间S c h e m a 定义，例： x s ：e l e m e r i tr e f = ”F W A c f i o n ”m i n O e c L w s - - ”0 ”b x s ：e l e m e n tr e f = ”H o s t A c t i o n ”m i n O c c u

10、r s = 0 b：毗曲u t en a m e = ”m o f T y p c ”I I s # m q u i I e d 伶o 岱：删幽把n a m e = ”s e n s o r F r o m ”u s e = 蛔u 砌协o m ：砒五b u 把n 出n e = ”s e n s o r T o ”u s e = r e q u j r e d 协t o ：t i b m c = a a i o n T i m c ”u s e = 1 r e q u i r e d 5 3F W A c t i o n 对象样例S e n s o r A c t i o n 类的派生对象表示具

11、体的安全设备，由于控制不同设备所需参数各异，这里只定义规范的参数表示方式，暂不定义具体的参数。下面以防火墙设备的派生类F W A c t i o n 为例说明派生方法。执行防火墙规则一般需要以下参数，把这些参数作为派生类的属性，见表2 。裹2F W A o t i o n 对象属性列表属性类型说明f w A c t i o ng n m 帕防火墙操作类型P r o t o c o lg n m 略协议类型S o u z c eS n m源地址T i n , g e t譬G目的地址S r c P S I R 啪源端口D s t P e t tS r n 江N G目的端口P o f t l i s

12、 tS n G端口列表3Y D 厂r2 2 5 5 哩0 11S c h e m a 定义，例： x s ：a t t r i b u t en a l n e m ”T a r g e t ”u s e = x t q u i m ：r b x s ：a t a i b u t en a m e = ”S r e P o f t ”l l 一 r e q 血d 。协 x s ：a t t r i b u t en m n e = “D s t P o r t ”u s d 嘲血盯b x s ：a t n l b u t en a I I 口”P r t l i s t “66 接口协议接1

13、2 1 协议应符合I E T FR F C4 7 6 7 ，它是一个用于入侵检测实体之间交换数据的应用层协议，能够实现I D M E F 消息、I O D E F 消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、完整性和保密性等安全特征。在本标准中，使用Y D ，r1 8 2 7 中规定的数据格式承载设备与S O C 间交换的信息。I D X P 协议栈结构如图3 所示。协议栈结构围3J D x P 协议栈结构7S y s l o g 接口方法为了兼容现有设备，本标准定义一种通用的方法，从s y s l o g 输出中提取所需的信息。方法说明：一安全设备的事件输出统一

14、重定向到s y s l o g 。对于特殊设备，可以使用工具转换为s y s l o g 输出，如S N M P 设备，可以使用s 彻1 p 呐t 工具转换为s y s l o g 输出。一定义提取信息的正则表达式。一般可以由设备厂商提供，或工程人员根据设备的s y s l o g 输出特点编写提取信息的正则表达式。表3 是应用该方法的一个例子。4裹3 鼬s I o g 接口应用示例Y D 厂r2 2 5 5 2 0 11设备S n o r t 刀口SS y s l o g 输出样例M a y I1 1 ：1 2 ：0 8h o s t lm l o r t ：【I ：I ：I 】I P P

15、a c k e t d e t e c t e d l T C P l1 9 2 1 6 8 7 1 2 5 ：1 7 6 3 - 1 9 2 1 6 8 7 1 9 1 ：2 2正则表达式( w 洲( 1 ，2 】小小击d ) 卧0 1 I H ) 咖0 r t 【o d + ) ：似+ ) ：u 枷+ ? ( 呻巾) 州陋】+ ) ：? + ) 帆( 呲 呻：? M + ) 7提取结果d a 虹- $ 1s e n s o r - = $ 2p l u g i n 汹3p l u g i n 商d = $ 4p r o t o c o l - - $ 5邸j p = $ 6$ 脚曲秘嘲d s tp 噼却I O D E F 桔r 式将所提取的结果转换为I O D I 撇5