ｌＣＳ ３３．０４０ Ｍ １６ Ｙ口 中华人民共和国通信行业标准 ＹＤ／丁２２５５－２０１ １ 信息安全运行管理系统（ＳＯＣ） 与被监控设备接口技术要求 ｎｔｅｒｆａｃｅ ｒｅｑｕｉｒｅｍｅｎｔ ｂｅｔｗｅｅｎ ＳＯＣ ａｎｄ ｄｅｖｉｃｅ ２０１１－０６－０１发布 ２０１１＿０６—０１实施 中华人民共和国工业和信息化部发布 言……………………………………………………………………………………………………………ＩＩ 次 １２３４５６７目 前 Ｓｙｓｌｏｇ接口方法………………………………………………………………………………………………４ 接口协议………………………………………………………………………………………………………４ ｌ冈ＶＡｃｔｉｏｎ对象样例……………………………………………………………………………………３ ５．３ ＳｅｎｓｏｒＡｃｔｉｏｎ对象样例…………………………………………………………………………………３ ５．２ ＳｅｎｓｏｒＡｃｔｉｏｎ类的定义…………………………………………………………………………………２ ５．１ 接口数据格式…………………………………………………………………………………………………２ 概述……………………………………………………………………………………………………………ｌ 缩略语…………………………………………………………………………………………………………Ｉ 规范性引用文件………………………………………………………………………………………………１ 范围……………………………………………………………………………………………………………Ｉ 信息安全运行管理系统（ＳＯｔ）的技术标准体系由总体架构和相关功能规范、接口规范组成。总体 罱 １刖 ２２５５－２０１ ＹＤ厂ｒ Ⅱ 本标准主要起草人：曾旭东、黄元飞、周智、舒敏。 份有限公司、大唐电信科技产业集团、西安邮电学院。 本标准起草单位；深圳市永达电子有限公司、国家计算机网络应急技术处理协调中心、中兴通讯股 本标准由中国通信标准化协会提出并归口。 ２２５５－－２０１１信息安全运行管理系统（ＳＯＣ）与被监控设备接口技术要求 ＹＤｔＴ （２） １８（Ｘ）－＇２００８信息安全运行管理系统总体架构 ＹＤ／Ｔ （１） 相关的系列标准： 安全运行管理系统内部接口和外部接口。信息安全运行管理系统目前的标准体系如下，今后将陆续制定 架构定义安全运行管理系统的技术架构；功能规范定义安全运行管理系统各项功能要求；接口规范定义 信息安全运行管理系统（ＳＯＣ）与被监控设备接口技术要求 １ ２２５５－２０１ ＹＤ厂ｒ 一兼容现有的设备，提出基于ｓｙｓｌｏｇ的数据采集通用方法。 层的协议； 一通讯协议：ＳＯＣ与设备间通信协议，这里只定义应用层协议，并不涉及传输层、网络层、物理 一数据格式：ＳＯＣ与设备间通信的数据格式； ＳＯＣ与设备间接口的内容包括以下三方面： １８００架构的补充。 图ｌ中虚线表示ＳＯＣ向设备发送控制命令，这是对ＹＤ／Ｔ 示。 １８００－２００８，通过定义标准的ＳＯＣ与设备间的接口，扩充信息安全管理系统的框架如图１所 根据ＹＤ／Ｔ 虚拟专用网 信息安全运行管理系统 基于网络的入侵检测系统 信息技术 基于主机的入侵检测系统 ４概述 Ｎｅｔｗｏｒｋ Ｐｒｉｖａｔｅ Ｖｉｒｔｕａｌ ＶＰＮ Ｃｅｎｔｅｒ Ｏｐｅｒａｔｉｏｎ Ｓｅｃｕｒｉｔｙ ＳＯＣ Ｓｙｓ＝ｍ Ｉｎｔｒｕｓｉｏｎ Ｎｅｔｗｏｒｋ ＮⅡ）Ｓ Ｔｅｃｈｎｏｌｏｇｙ Ｉｎｆｏｒｍａｔｉｏｎ ｒｒ Ｓｙｓｔｃｍ Ｄｅｔｅｃｔｉｏｎ Ｉｎｔｒｕｓｉｏｎ Ｈｏｓｔ ＨⅢＳ 下列缩略语适用于本文件。 ３缩略语 可扩展块交换协议（ＢＥＥＰ） ３０８０ ＩＥＴＦ 入侵检测交换协议０ＤＸＰ） ４７６７ ＲＦＣ ＩＥｒＦ 网络安全事件描述和交换格式 １８２７－２００８ 信息安全运行管理系统总体架构 １８００－＇２，００８ ＹＤ／Ｔ 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 ２规范性引用文件 本标准适用于信息安全运行管理系统。 导性标准。 本标准规定了信息安全运行管理系统（ＳＯＣ）与被监控设备间接口的技术要求，作为接口实现的指 １范围 圜南 ５１ＳｅｎｓｏｒＡｃｔｉｏｎ类的定义 ５接口数据格式 田１信息安全ｔ行管４系统艋架 ２ＹＤＪＴ２２５５吨０１１ 他常见的派生类包括： ＳｅｎｓｏｒＡｃｄｏｎ作为其它类型安全设备（Ｓｅｎｓｏｒ）的基粪，ＳｅｎｓｏｒＡｃｆｉｏｎ表达所有安全设备的共同属性。其 ｓＨ％ｏｍｃ幻ｎ孤生示毫 田２ 这里定义ＳｅｍｏｒＡｃｔｉｏｎ对象，井从它派生出代表各种设备类型的对象，以ＦＷＡｃｆｉｏｎ为例，如图２所示。 ｓｏｃ所需的控制命夸。 １８２７所定义的对象承载信息：根据该标准的对象扩展方法定义 ＳＯＣ从设备采集安全事件使用ＹＤ，ｒ 一下尉接收控制命令：ＳＯＣ主动向设备下发控制命令，达到消解安全事件的目的。 一采射上报安全事件：ＳＯＣ主动采集设备的安全事件，或者安全设备上报安全事件； ＳＯＣ与设备间的通讯主要完成两方面的任务： ＳＩＲ啪 譬㈣Ｇ ．ｏ岱：删幽把ｎａｍｅ＝”ｓｅｎｓｏｒＦｒｏｍ”ｕｓｅ＝’蛔ｕ砌’协 １属性 ２２５５—２０１ ＹＤ／Ｔ ＳｅｎｓｏｒＡｃｔｉｏｎ对象属性列表 裹１ 属性 一个或多个派生类。如ＦＷＡｃｔｉｏａ、ＩＤＳＡｃｔｉｏｎ、ＨｏｓｔＡｃｔｉｏｎ。 子类。 ＳｅｎｓｏｒＡｃｔｉｏｎ对象样例 ５．２ 一ＨｏｓｔＡｃｔｉｏｎ：用于向主机管控器发送命请求。 ３一ＩＤＳＡｃｔｉｏｎ：用于向ⅢＳ发送命令请求； 端口列表 Ｓｎ㈦Ｇ Ｐｏｆｔｌｉｓｔ 目的端口 Ｓｒｎ江ＮＧ ＤｓｔＰｅｔｔ 源端口 ＳｒｃＰⅢ 目的地址 Ｔｉｎ，ｇｅｔ 源地址 ＳｎⅡｍ Ｓｏｕｚｃｅ 协议类型 ｇｎｍ略 Ｐｒｏｔｏｃｏｌ 防火墙操作类型 ｇｎｍ帕 ｆｗＡｃｔｉｏｎ 属性 Ｆ＇ＷＡｏｔｉｏｎ对象属性列表 裹２ 些参数作为派生类的属性，见表２。 下面以防火墙设备的派生类．ＦＷＡｃｔｉｏｎ为例说明派生方法。执行防火墙规则一般需要以下参数，把这 的参数表示方式，暂不定义具体的参数。 ＳｅｎｓｏｒＡｃｔｉｏｎ类．的派生对象表示具体的安全设备，由于控制不同设备所需参数各异，这里只定义规范 ＦＷＡｃｔｉｏｎ对象样例 ５．３ ＜／ｘｓ：ｅｌｅｍｅｎｔ＞ ＜／ｘｓ：ｃｏｍｐｌｅｘＴｙｐｅ＞ ・ｔｏ∞：Ⅲｔｉｂ№∞ｍｃ＝’’ａａｉｏｎＴｉｍｃ”ｕｓｅ＝１＇ｒｅｑｕｉｒｅｄ＂／＞ ・ｏｍ：砒五ｂｕ把ｎ出ｎｅ＝”ｓｅｎｓｏｒＴｏ”ｕｓｅ＝’＇ｒｅｑｕｊｒｅｄ’协 ｎａｍｅ＝”∞ｍｏｆＴｙｐｃ”ＩＩｓ＃’＇ｍｑｕｉＩｅｄ’伶 ∞：毗曲ｕｔｅ ＜／ｘｓ：ｓｅｑｕｅｎｃｅ＞ ｒｅｆ＝”ＨｏｓｔＡｃｔｉｏｎ”ｍｉｎＯｃｃｕｒｓ＝…０’ｂ ｒｅｆ＝”ＩＤＳＡｃｔｉｏｎ”ｍｉｎｏｃｃｕｒｓ＝…０。，＞ ｒｅｆ＝”ＦＷＡｃｆｉｏｎ”ｍｉｎＯｅｃＬｗｓ－－”０”ｂ ＜ｘｓ：ｅｌｅｍｅｒｉｔ ＜ｘｓ：ｓｅｑｕｅｎｃｅ＞ ＜ｘｓ：ｃｏｍｐｌｅｘＴｙｐｅ＞ ｆｌａｍｅ＝”ＳｅｎｓｏｒＡｃｔｉｏｎ”＞ ＜ｘｓ：ｅｌｅｍｅｎｔ Ｓｃｈｅｍａ定义，例： 该命令发出的时间 时问Ｏ缶哟 ａｃｆｉｏｎＴｉｍｅ 行消息路由 字符串暇ＩＲⅢＧ） ｓ自皓０，ｒｂ 接收该命令的对象名称。在级联的情况下，可根据此名称进 发出控审啦青求的源对象名称，一般是ＳＯＣ的某个代理节点 字符串（Ｓ１Ｒ矾Ｇ） ｓｃｎｓｏｒＦｒｏｍ 安全设备的类型 枚举类型（ＥｌＸｑ２Ｍ） ｓｅａｓｏ—ｒｙｐｃ 说明 类型 ＳＮＭＰ设备，可以使用ｓ彻１ｐ呐ｔ工具转换为ｓｙｓｌｏｇ １ ｃｈｅｍａ定义，例： ２２５５．哩０１ ＹＤ厂ｒ ７Ｓ ＪＤｘＰ协议栈结构 围３ 协议栈结构 ＩＤＸＰ协议栈结构如图３所示。 息。 １８２７中规定的数据格式承载设备与ＳＯＣ间交换的信 完整性和保密性等安全特征。在本标准中，使用ＹＤ，ｒ ＩＤＭＥＦ消息、ＩＯＤＥＦ消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、 ４７６７，它是一个用于入侵检测实体之间交换数据的应用层协议，能够实现 ＲＦＣ 接１２１协议应符合ＩＥＴＦ ６接口协议 ＜／ｘｓ：ｅｌｅｍｅｎｔ＞ ＜，ｘｓ：ｃｏｍｐｌｅｘｌｒｙｐｅ＞ ｎａＩＩ口”Ｐ‘ｒｔｌｉｓｔ“６ ＜ｘｓ：ａｔｎｌｂｕｔｅ ｎｍｎｅ＝“ＤｓｔＰｏｒｔ”ｕｓｄ嘲血盯ｂ ＜ｘｓ：ａｔｔｒｉｂｕｔｅ ｎａｍｅ＝”ＳｒｅＰｏｆｔ”ｌｌ∞一＇ｒｅｑ血ｄ。协 ＜ｘｓ：ａｔａｉｂｕｔｅ ｎａｌｎｅｍ”Ｔａｒｇｅｔ”ｕｓｅ＝＂ｘｔｑｕｉｍ：ｒ＇ｂ． ＜ｘｓ：ａｔｔｒｉｂｕｔｅ ｕｓｅ＝”ｌｅｑｕｉｒｅｄ＂／＞ ＩＩａｍｅ＝“Ｓｏｕｒｃｅ” ＜ｘｓ：ａｔａ＇ｉｂｕｔｃ ｎａｍｃ＝“Ｐｒｏｔｏｃｏｌ”ｒｉｓｅ＝’ｈｑＩｄｒｅｄ’ｖ＞ ＜ｘｓ：耐ｂｕｔｃ ｆｗＡｃｔｉｏｎ”ｕｓｅ＝。＇ｒｖｑｕｈ．Ⅸｌ＇７＞ ｎａｍｃ；’１ ＜ｘｓ：ｍａ＇ｉｂｕｔｃ ＜ｘｓ：ｃｏｍｐｌｅｘＴｙｐｅ＞ Ｂａｉｎｃ－＝－”ＦＷＡｃｆｉｏｎ”＞ ４＜ｘｓ：ｅｌｅｍｅｎｔ 表３是应用该方法的一个例子。 编写提取信息的正则表达式。 一定义提取信息的正则表达式。一般可以由设备厂商提供，或工程人员根据设备的ｓｙｓｌｏｇ输出特点 一安全设备的事件输出统一重定向到ｓｙｓｌｏｇ。对于特殊设备，可以使用工具转换为ｓｙｓｌｏｇ输出，如 方法说明： 为了兼容现有设备，本标准定义一种通用的方法，从ｓｙｓｌｏｇ输出中提取所需的信息。 ｙｓｌｏｇ接口方法 将所提取的结果转换为ＩＯＤＩ撇 ￥脚 ｐ噼却 ｐｌｕｇｉｎ．．汹３ （呲｝呻：？Ｍ＋）７ （＼ｗ¨洲（１，２】＼¨小∞小∞击ｄ）＼卧０１ＩＨ．）＼咖０ｒｔ＾¨【ｏｄ＋）：似＋）：ｕ枷．＋？（呻巾 １设备 ２２５５—２０１ ＹＤ厂ｒ ５裹３鼬ｓＩｏｇ接口应用示例 ＩＯＤＥＦ桔ｒ式 ｄｓｔ 曲秘嘲 邸ｊｐ＝￥６ ｐｒｏｔｏｃｏｌ－－．￥５ ｐｌｕｇｉｎ商ｄ＝￥４ ｓｅｎｓｏｒ－＝￥２ ｄａ虹－￥１ 提取结果 正则表达式 １９２．１６８．７．１２５：１７６３－＞１９２１６８．７１９１：２２ ｍｌｏｒｔ：【Ｉ：Ｉ：Ｉ】ＩＰＰａｃｋｅｔｄｅｔｅｃｔｅｄｌＴＣＰｌ ｈｏｓｔｌ １１：１２：０８ ＭａｙＩ Ｓｙｓｌｏｇ输出样例 Ｓｎｏｒｔ刀口Ｓ