Mục lục T I Ê U C H U Ẩ N Q U Ố C G I A TCVN XXXX 2017 KHUÔN DẠNG DỮ LIỆU MÔ TẢ SỰ CỐ AN TOÀN MẠNG The Incident Object Description Exchange Format HÀ NỘI – 2017 1 TCVN TCVN xxxx 2017 2 TCVN xxxx 2017[.]
TCVN TIÊU CHUẨN QUỐC GIA TCVN XXXX:2017 KHUÔN DẠNG DỮ LIỆU MƠ TẢ SỰ CỐ AN TỒN MẠNG The Incident Object Description Exchange Format HÀ NỘI – 2017 TCVN xxxx:2017 TCVN xxxx:2017 Mục Trang lục Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ chữ viết tắt Tổng quan 6 4.1 Giới thiệu 4.2 Ký pháp 4.3 Giới thiệu mơ hình liệu IODEF .7 4.4 Về việc cài đặt IODEF Xem xét xử lý 5.1 Mã hóa 5.2 Không gian tên IODEF 5.3 Sự hợp lệ Mở rộng IODEF 6.1 Mở rộng giá trị liệt kê thuộc tính .9 6.2 Mở rộng lớp 10 Các vấn đề quốc tế hóa 12 Ví dụ 12 8.1 Sâu máy tính 12 8.2 Thăm dò 14 8.3 Báo cáo Bot-net 16 8.4 Danh mục theo dõi 18 Lược đồ IODEF 19 10 Xem xét an toàn 39 11 Tài liệu mở rộng 40 11.1 Giới thiệu 40 TCVN xxxx:2017 11.2 Áp dụng mở rộng cho IODEF 40 11.3 Lựa chọn chế cho phần mở rộng IODEF 41 11.4 Các xem xét an toàn 42 Phụ lục A (tham khảo): Mẫu tài liệu 43 A.1 Giới thiệu 43 A.2 Thuật ngữ 43 A.3 Tính áp dụng 43 A.4 Định nghĩa phần mở rộng 43 A.5 Xem xét an toàn 44 A.6 Các xem xét khả quản lý 44 A.7 Phụ lục A: Định nghĩa lược đồ XML cho phần mở rộng .44 A.8 Phụ lục B: Ví dụ 44 Phụ lục B (tham khảo): Ví dụ định nghĩa phần mở rộng kiểu liệt kê 45 Phụ lục C (tham khảo): Ví dụ định nghĩa thành phần: Test 46 Thư mục tài liệu tham khảo 47 TCVN xxxx:2017 Lời nói đầu TCVN xxxx:2017 xây dựng sở tài liệu RFC 5070:2007 RFC 6684:2012 TCVN xxxx:2017 Học viện Cơng nghệ Bưu viễn thông biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TCVN xxxx:2017 TCVN xxxx:2017 TIÊU CHUẨN QUỐC GIA TCVN XXXX:2017 Khuôn dạng liệu mô tả cố an toàn mạng The Incident Object Description Exchange Format Phạm vi áp dụng Khuôn dạng liệu mô tả cố an tồn mạng (IODEF) khn dạng diễn tả thơng tin an tồn mạng máy tính thường trao đổi đơn vị ứng cứu cố an tồn mạng (CSIRTs) Tiêu chuẩn mơ tả mơ hình thơng tin cho IODEF cung cấp mơ hình liệu liên quan quy định theo lược đồ XML Tại Việt Nam, tiêu chuẩn áp dụng trao đổi cố cho quan, tổ chức, doanh nghiệp tham gia hoạt động ứng cứu cố có điều phối Việt Nam (Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCERT quan điều phối) Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên (bao gồm sửa đổi, bổ sung) Danyliw, R., Meijer, J., and Y Demchenko, "The Incident Object Description Exchange Format", RFC 5070, December 2007 TCVN ISO 8601:2004, Phần tử liệu dạng thức trao đổi Trao đổi thông tin Biểu diễn thời gian Sciberras, A., "Schema for User Applications", RFC 4519, June 2006 Resnick, P., "Internet Message Format", RFC 2822, April 2001 Thuật ngữ chữ viết tắt Trong tiêu chuẩn sử dụng thuật ngữ chữ viết tắt sau: Thuật ngữ tiếng Việt Thuật ngữ tiếng Anh Viết tắt Khuôn dạng liệu mơ tả cố an tồn mạng Incident Object Description Exchange Format - IODEF IODEF Nhóm ứng cứu cố an tồn máy tính Computer Security Incident Response Team CSIRT Ngôn ngữ đánh dấu mở rộng Extensible Markup Language XML Ngơn ngữ mơ hình hóa thống Unified Modeling Language UML TCVN xxxx:2017 Nhà cung cấp dịch vụ Internet Internet Service Provider ISP Khuôn dạng trao đổi thông tin cố Format for Incident Information Exchange FINE Phòng thủ liên mạng thời gian thực Real-time Inter-network Defense RID Tổ chức cấp phát số hiệu Internet Internet Assigned Numbers Authority IANA Khuôn dạng liệu trao đổi thông điệp phát xâm nhập Intrusion Detection Message Exchange Format IDMEF Tổng quan 4.1 Giới thiệu Các quan, tổ chức ln có nhu cầu lưu trữ trao đổi thông tin cố với tổ chức khác nhằm làm giảm nhẹ hoạt động công phá hoại nắm bắt mối đe dọa tiềm tàng Cơng việc điều phối địi hỏi phải làm việc với nhà mạng ISP để lọc lưu lượng công, giải vấn đề tắc nghẽn mạng hay chia sẻ danh sách địa IP theo dõi xác định nguy hiểm mạng lưới quan tổ chức Mục đích quan trọng IODEF tăng cường khả hành động CSIRT Sự chấp nhận cộng đồng IODEF mang đến khả tốt để giải cố trao đổi tình cần quan tâm việc đơn giản hóa cộng tác chia sẻ liệu Khn dạng có cấu trúc cung cấp IODEF cho phép: - Tăng tự động xử lý liệu cố nhờ việc giảm nguồn tài nguyên phân tích an tồn phục vụ cho việc phân tích văn dạng tự - Giảm công sức cho việc chuẩn hóa liệu tương tự (ngay cấu trúc mức độ cao) từ nguồn khác - Một khn dạng chung mà xây dựng cơng cụ tích hợp cho việc xử lý cố phân tích tiếp theo, đặc biệt liệu đến từ nhiều khu vực khác Điều phối CSIRT khơng hồn tồn vấn đề cơng nghệ Có nhiều xem xét mang tính thủ tục, tin cậy, pháp lý ngăn cản tổ chức việc chia sẻ thông tin IODEF không tập trung vào xử lý vấn đề Mặc dù vậy, việc triển khai áp dụng IODEF cần phải xem xét yếu tố rộng Điều RFC 5070 điều mơ tả mơ hình liệu IODEF dạng văn lược đồ XML Các kiểu liệu sử dụng mơ hình liệu đề cập điều RFC 5070 Các vấn đề xử lý, giải phần mở rộng, vấn đề quốc tế liên quan đến mơ hình liệu đề cập điều 5; điều Các ví dụ liệt kê điều Điều RFC 5070 phần cung cấp tảng cho các IODEF, điều 10 dẫn chứng khuyến nghị vấn đề an toàn TCVN xxxx:2017 4.2 Ký pháp Mơ hình liệu IODEF chuẩn xác định với dạng văn điều RFC 5070 lược đồ XML điều Để giúp cho việc hiểu yếu tố liệu, điều RFC 5070 mô tả mô hình thơng tin cách sử dụng UML Để cho dễ hiểu tiêu chuẩn này, thuật ngữ “tài liệu XML” sử dụng để đề cập cách tổng quan đến trường hợp tài liệu XML Thuật ngữ “tài liệu IODEF” sử dụng để đề cập đến thành phần thuộc tính cụ thể lược đồ IODEF Cuối cùng, thuật ngữ “lớp” “thành phần” sử dụng thay cho để đề cập thành phần liệu tương ứng thông tin mơ hình liệu 4.3 Giới thiệu mơ hình liệu IODEF Mơ hình liệu IODEF biểu diễn liệu cung cấp khung để chia sẻ thông tin trao đổi chung CSIRT cố an tồn máy tính Một số xem xét đề thiết kế mơ hình liệu: - Mơ hình liệu cung cấp khn dạng truyền Vì vậy, biểu diễn cụ thể khơng phải biểu diễn tối ưu cho việc lưu trữ ổ cứng, lưu trữ dài hạn, hay xử lý nhớ - Vì khơng có quy định thống cho cố, mơ hình liệu khơng đưa định nghĩa cho cố cụ thể việc thực thi Thay vào quy ước rộng sử dụng IODEF để đủ linh hoạt bao hàm phần lớn trường hợp ứng dụng - Mô tả cố cho tất trường hợp địi hỏi mơ hình liệu phức tạp Vì vậy, IODEF dự định lược đồ để trao đổi thông tin cố chung Nó đảm bảo có nhiều chế mở rộng để hỗ trợ thông tin cho tổ chức cụ thể, kỹ thuật để tham chiếu thông tin bên ngồi mơ hình liệu - Vùng phân tích an tồn an tồn chưa chuẩn hóa đầy đủ phải dựa mô tả văn dạng tự IODEF cố gắng nhằm vào cân hỗ trợ nội dung dạng tự này, cho phép xử lý tự động thông tin cố - IODEF số biểu diễn liệu có liên quan đến an tồn chuẩn hóa Các mơ hình liệu IDMEF [17] chịu ảnh hưởng từ thiết kế IODEF Các thảo luận khác đặc tính mong muốn IODEF tìm thấy FINE [16] 4.4 Về việc cài đặt IODEF Việc cài đặt IODEF mô tả dạng ngôn ngữ đánh dấu mở rộng XML [1] Lược đồ [2] điều Thực IODEF XML mang lại nhiều lợi Tính mở rộng lý tưởng cho xác định lược đồ mã hóa liệu có khả hỗ trợ nhiều mã ký tự khác Tương tự vậy, đa dạng cơng nghệ liên quan (ví dụ XSL, Xpath, XML-Signature) làm cho thao tác trở lên TCVN xxxx:2017 đơn giản Tuy nhiên XML biểu diễn văn bản, không hiệu liệu nhị phân phải nhúng khối lượng liệu cần trao đổi lớn Xem xét xử lý Mục yêu cầu khác việc tạo phân tích tài liệu IODEF 5.1 Mã hóa Tất tài liệu IODEF PHẢI bắt đầu khai báo XML phải xác định phiên XML sử dụng Nếu mã hóa UTF-8 không sử dụng, mã ký tự phải xác định rõ IODEF tuân thủ tất quy ước ràng buộc mã hóa liệu XML Khai báo XML không kèm mã ký tự viết sau: Nếu có xác định mã ký tự, khai báo XML viết sau: Trong “charset” tên mã ký tự đăng ký với tổ chức cấp phát số hiệu Internet IANA, xem [9] Các ký tự sau có ý nghĩa đặc biệt XML phải sử dụng ứng với tham chiếu thực thể tương ứng: "&", "", "\"" (dấu ngoặc kép), "'" (dấu ngoặc đơn) Các tham chiếu thực thể chúng "&", "<", ">", """, "'" 5.2 Không gian tên IODEF Lược đồ IODEF khai báo không gian tên "urn:ietf:params:xml:ns:iodef-1.0" đăng ký theo [4] Mỗi tài liệu IODEF NÊN bao gồm tham chiếu hợp lệ đến lược đồ IODEF sử dụng thuộc tính "xsi:schemaLocation" Ví dụ khai báo có dạng sau: 5.3 Sự hợp lệ Các tài liệu IODEF PHẢI tài liệu XML mẫu chuẩn NÊN phù hợp với lược đồ trình bày điều Tuy nhiên, tuân thủ theo lược đồ chưa đủ cho tài liệu IODEF hợp lệ mặt ngữ nghĩa Có đặc điểm khác văn điều RFC 5070 chưa sẵn sàng để mã hóa lược đồ phải xử lý phân tích IODEF Dưới danh sách khác biệt phần mô tả chặt chẽ văn chuẩn (Điều RFC 5070), nhiên, điều không bắt buộc lược đồ IODEF: ● Các thành phần thuộc tính khai báo kiểu liệu POSTAL, NAME, PHONE ... 44 A.7 Phụ lục A: Định nghĩa lược đồ XML cho phần mở rộng .44 A.8 Phụ lục B: Ví dụ 44 Phụ lục B (tham khảo): Ví dụ định nghĩa phần mở rộng kiểu liệt kê 45 Phụ lục C (tham...TCVN xxxx:2017 TCVN xxxx:2017 Mục Trang lục Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn ... hỗ trợ nhiều dịch văn dạng tự Ở chỗ văn sử dụng với mục đích giải thích, lớp cho ln ln có nhiều tập hợp đến lớp cha (ví dụ, lớp Description) Mục đích văn giống mã hóa theo thể khác lớp, thể dùng