【行业标准】 信息安全运行管理系统(SOC)与被监控设备接口技术要求

ICs33.040
中华人民共和国通信行业标准
YD/T 2255-2011
信息安全运行管理系统（SOC）
与被监控设备接口技术要求
Interface reguirement between SOC and device2011-06-01 发布
2011-06-01 实施
中华人民共和国工业和信息化部发布前言·
范围·
规范性引用文件
缩略语：
接口数据格式
5.1SensorAction类的定义..
5.2SensorAction对象样例
5.3FWAction对象样例
接口协议
Syslog接口方法
TTKNTKACA
YD/T2255-2011
YD/T 2255-2011
信息安全运行管理系统（SOC）的技术标准体系由总体架构和相关功能规范，接口规范组成。总体架构定义安全运行管理系统的技术架构；功能规范定义安全运行管理系统各项功能要求：接口规范定义安全运行管理索统内部接口和外部接口。信息安全运行管理系统目前的标推体系如下，今后将陆续制定相关的系列标雅：
（1）YDIT1800-2008息安全运行管理系统总体架构(2）YD/T2255-2011借息安全运行管理系统（SOC）与被监控设备接口技术要求本标准由中国通信标准化协会提出并归口。本标起章单位：深圳市永达电子有限公司、国家计算机网络连急技术处理协调中心、中兴通讯股份有限公司、大唐电信科技产业集团、西安邮电学院。本标准注要起草人：曾旭东、黄元飞、周智、舒敏。
TTIKANYKACA
YD/T2255-2011
信息安全运行管理系统（SOC）与被蓝控设备接口技术要求1范围
本标准规定了信息安全运行管理系统（SOC）与被监控设备间接口的技术要求，作为接口实现的指导性标推。
本标准适用于信息安全运行管理系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注期的版本适用于本文件。凡是不注日期的弓用文件，其最新版本（包括所有的修改单）造用于本文件。YD/T 1800-2008
YD/T 1827-2008
ETF RFC 4767
IETF RFC 3080
3缩略语
下列缩略语适用于本文性。
信息安全运行管理系统总体架构网络安全事件描述和交换格式
入侵检测交换协议(IDXP)
可扩展块交换协议（BEEP）
HIDSHost Intrusion Detection SystemIF
Information Technology
NIDSNetwork Intrusion Detection SystemSOC
4概述
Security Operation Center
Virtual Private Network
基于主机的入侵检测系统
信息技术
基于网络的入侵检测系统
信息安全运行管理系统
虚拟专用网
根据YD/T1800-2008，通过定义标准的SOC与设备间的接口，扩充信息安全管理系统的框架如图1所示。
图1中虚线表示SOC向设备发送控制命令，这是对YD/T1800架构的补充。SOC与设备间接口的内容包括以下三方面：一数据格式，SOC与设备间通信的数据格式通讯协议，SOC与设备间通协议，这里只定义应用居协议，并不涉及传输层、网络层、物理层的协议：
兼容现有的设备，提出基于syslog的数据采集通用方法。1
TTIKANYKACA
YD/T2255-2011
安全知识库
5接口数据格式
5.1SensorAction类的定义
流程管理/策路管理
安全对象风险数据处理、安全预警数据处理安全事件关联分析、安全事件处理安全数据采集、格式化、过滤、汇聚一的事件采集按口（资产状态采集、事件采集第）图1信息安全运行管理系统架
SOC与设备间的通讯主要完成两方面的任务：外部接口
业务管理系统
网管系统
统一的控制接口
一采集/上报安全事件：SOC主动采集设备的安全事件，或者安全设备上报安全事件：下发接收控制命令：SOC主动向设备下发控制命令，达到消解安全事件的自的。SOC从设备采集安全事件使用YD/T1827所定义的对象承载信息；根据该标准的对象扩展方法定义SOC所需的控制命令。
这里定义SensorAction对象，并从它派生出代表各种设备类型的对象，以FWAction为例，如图2所示。SenserAction
-sensorType
oeasorfrom
-scasorTo
tionTim
FWAetion
-fwAction
-Protocol
Source
Target
SrePort
DstPort
-Partlist
图2SensorAction派生示意
SensorAction作为其它类型安全设备(Sensor)的基类，SensorAction表达所有安全设备的共同属性。其他常见的派生类包括：
TTKANTKACA
IDSAction：用丁向IDS发送命令请求：HastAction：用于向主机管控器发送命请求。5.2SensorAction对象样例
一个或多个派生类。如FWAction、IDSAction、HostAction。性
表1 SenscrAction对象属性列表鳳性
seasorType
sensorFrom
sensorTo
gctionTime
Schema定义，例
枚华类型(ENUIM)
宇符串(STRING)
字符申(STRING)
时间（Time)）

xs:seuence
安全设备的类型
YD/T 2255-2011
发出控制请求的源对象名称，一般是SOC的某个代理节点接收该命令的对蒙名称。在级联的情况下，可根据此名称进行消息路由
该命令发出的时间

Os:atribert? name-\actionTinme \ use-\required\/>
c/xs:elements
5.3FwAction对象样例
SensorAction类的派生对象表示具体的安全设备，由于控制不同设备所需参数各异，这里只定义规范的参数表示方式，暂不定义其体的参数。下面以防火墙设备的派生类FWAction为例说明派生方法。执行防火墙规则一般需要以下参数，把这些参数作为派生类的属性，见表2。表2 FWAction对象属性列表
fwAction
Protocol
Sounce
Tarnget
SrePaat
DstPart
Portlist
STRING
STRING
STRING
STRING
STRING
STRING免费标准bzxz.net
STRING
TTTKNTKACA
防火璃操作类型
协议类型
尽的地址
潮端口
目的端口
端口列表
YD/T 2255-2011
Schema定义，例：

xs:atribute numea\ fwAction *use-\required\?rs:artnihutename\Source\use-\required\>xs:acribute nane-\Target\ ust-\required\>s:atribute nane\SrcPort\ usc-\required\/>xs:atmbute nane-\ Portlist\t>xs:element
6接口协议
接口协议应符合IETFRFC4767.它是一个用于入侵检测实体之间交换数据的应用层协议，能够实现IDMEF消息、IODEF消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证，完整性和保密性等安全特征。在本标准中，使用YD/T1827中规定的数据格式承载设备与SOC间交换的信息。
IDXP协议栈结构如图3所示。
传输层（TCP/P）
链路层
物理层
7Syslog接口方法
协议栈结构
图3DXP协设构结构
安全设备
传输层（TCP/IP）
链路层
物匯层
为了兼容现有设备，本标准定义一种通用的方法，从syslog输出中提取所需的信息。方法说明：
安全设备的事件输出统一重定向到syslog。对于特殊设备，可以使用工具转换为syslog输出，如SNMP设备，可以使用snmptrapfmt工具转换为syslag输出。一定义提取信息的正则表达式。一般可以由设备厂商供，或工程人员根据设备的syslog输出特点编写提取信息的正则表达式。
表3是应用该方法的一个例子。
TTTKANTKACA
Syslog拍出样例
正则表达式
提取结果
IODEF格式
表3Syso口应用示候
Snort IS
YD/T 2255-201
May 1 11:12:C8 host1 snort: [1:1:1] IP Packet delected [TCP] 192.168.7.125:1763 -> 192.168.7.191:22(w+$+d(1.2] $+dd:wd:dd)$+(w+)$+nort's+[d+):(d+):d+)].*?[(w+)J$+([u +):7(d+)2s+ **+({t+):d+)?
datesi
sensor=$2
plugin_id=$3
plngin_sirn=$4
protocol=ss
sinc_ ip=$6
src_prort-$?
dgt ip=$8
dst port=$9
将所提取的结果转换为IODEF格式TTTKAONT KAcA
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。