YD/T 2707-2014
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2707-2014.Host network security attribute description format.
1范围
YD/T 2707规定了互联网主机的网络安全属性基本信息,主要包括互联网主机基本信息和所包含漏洞情况、有恶意行为的主机相关信息,如发现时间、使用的域名和IP地址、地理位置、运营商、控制主机数量、控制主机列表、控制方式等具体内容的描述格式定义。
YD/T 2707适用于网络安全组织、安全企业、研究机构等进行互联网主机网络安全属性信息的共享、交换工作,以及有恶意行为主机列表的对外发布预警。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注8期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GBZ 20986-2007信息安全技术信息安全事件分类分级指南
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
信息系统Information System
由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。
3.1.2
漏洞Vulnerability
信息系统中的软件、硬件或协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。
3.1.3
恶意程序 Malicious Program
在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。
1范围
YD/T 2707规定了互联网主机的网络安全属性基本信息,主要包括互联网主机基本信息和所包含漏洞情况、有恶意行为的主机相关信息,如发现时间、使用的域名和IP地址、地理位置、运营商、控制主机数量、控制主机列表、控制方式等具体内容的描述格式定义。
YD/T 2707适用于网络安全组织、安全企业、研究机构等进行互联网主机网络安全属性信息的共享、交换工作,以及有恶意行为主机列表的对外发布预警。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注8期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GBZ 20986-2007信息安全技术信息安全事件分类分级指南
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
信息系统Information System
由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。
3.1.2
漏洞Vulnerability
信息系统中的软件、硬件或协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。
3.1.3
恶意程序 Malicious Program
在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。
标准图片预览
标准内容
ICS33.040
中华人民共和国通信行业标准
YD/T2707-2014
互联网主机网络安全属性描述格式Host network security attribute description format2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前
2规范性引用文件。
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语
4网络安全属性描述格式
4.1主机的描述方法·
4.2版本(HNSADF-Document).
4.3互联网主机(Host)
附录A(资料性附录)类图图例说明·目
附录B(资料性附录)安全属性描述格式的基础数据类型-YD/T2707-2014
YD/T2707-2014
本标准由中国通信标准化协会提出并归口。本标准起草单位:国家计算机网络应急技术处理协调中心、北京神州绿盟科技有限公司、华为技术有限公司。
本标准主要起草人:徐原、姚力、朱芸茜、周勇林、何清林、强倩、王明华、纪玉春、王营康、李佳、何世平、郑礼雄。
YD/T2707-2014
近年来,网络恶意程序肆虐传播,地下黑色产业链发展迅速。国家互联网应急中心(CNCERT)监测发现黑客利用网页挂马、攻击入侵等手段攻击了大量的互联网主机,并植入木马、厂网络等恶意程序对其进行控制,导致大量用户个人隐私信息、个人财产、国家机密数据被窃取。黑客还利用这些被控主机发动大规模拒绝服务攻击。这些行为对互联网网络安全甚至社会安全造成了严重危害。全面掌握互联网主机的网络安全属性对遏制恶意程序传播有重要意义。通过统一规范互联网主机的命名规则、描述规范,便于在网络安全组织、安全企业、研究机构、互联网企业之间进行信息交换和共享。对于含有恶意倾向的互联网主机信息,可以利用国家互联网应急中心的黑名单发布系统、安全企业的安全防护产品、以及媒体的传播等渠道,向广大互联网用户及时推送恶意服务器信息,防止用户访问这些恶意主机或站点,减少遭受入侵攻击的几率。同时,通过互联网主机存在漏洞的信息情况共享,能增加国家对互联网网络安全现状的了解,对可能发生的大规模网络攻击入侵事件能进行预警、及时防范。1范围
互联网主机网络安全属性描述格式YD/T2707-2014
本标准规定了互联网主机的网络安全属性基本信息,主要包括互联网主机基本信息和所包含漏洞情况、有恶意行为的主机-相关信息,如发现时间、使用的域名和IP地址、地理位置、运营商、控制主机数量、控制主机列表、控制方式等具体内容的描述格式定义。本标准适用于网络安全组织、安全企业、研究机构等进行互联网主机网络安全属性信息的共享、交换工作,以及有恶意行为主机列表的对外发布预警。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GBZ20986-2007信息安全技术信息安全事件分类分级指南3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
信息系统InformationSystem
由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。3.1.2
漏洞Vulnerability
信息系统中的软件、硬件或协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。3.1.3
恶意程序MaliciousProgram
在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。3.1.4
拒绝服务攻击DenialofService
向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务。3.1.5
网页幕改WebpageDefacement
恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。3.1.6
网页仿冒Phishing
YD/T2707-2014
通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天,手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人信息(如银行账号和账户密码)。3.1.7
网页挂马Web-basedMalwareWebsite通过在网页中嵌入恶意程序或链接,致使用户计算机在访问该页面时可能被植入恶意程序。3.1.8
垃圾邮件Spam
将不需要的消息(通常是未经请求的广告)发送给众多收件人。包括:(1)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件:(2)收件人无法拒收的电子邮件:(3)隐藏发件人身份、地址、标题等信息的电子邮件:(4)含有虚假的信息源、发件人,路由等信息的电子邮件。
非授权访问UnauthorizedAccess没有访问权限的用户以非正当的手段访问数据信息。非授权访问事件一般发生在存在漏洞的信息系统中,黑客利用专门的漏洞利用程序(Exploit)来获取信息系统访问权限。3.2缩略语
下列缩略语适用于本文件。
HNSADF
Autonomous System Number
China National Vulnerability DatabaseCommon Vulnerabilities and ExposuresHost Network Security Attribute Description FormatInternetProtocol
Internet Service Provider
Message-Digest Algorithm 5
Uniform/Universal Resource LocatorExtensible Markup Language
4网络安全属性描述格式
4.1主机的描述方法
自治系统号
国家信息安全漏洞共享平台
通用漏洞披露
互联网主机安全属性描述格式
互联网协议
互联网服务提供商
信息摘要算法第5版
统一资源定位符(网页地址)
可扩展的标记语言
对于每个本标准所定义的类(Class),首先给出其语义,并用类图来表现和其他类之间的关系,然后用XML的文档结构定义模式(Schema)给出该类的具体描述格式。对于每个类的描述包括五个部分:类说明:简要描述类的具体含义一类图:以图形的方式说明类的构成一子类:描述该类所包含的子类,是否是必须的,存在实例个数及其简要说明一属性:用于说明该类所具有的属性名,及其含义一Schema定义:给出该类XMLSchema实现片段2
4.2版本(HNSADF-Document)
类说明
YD/T2707-2014
HNSADF-Document类在HNSADF数据模型是顶层类,所有HNSADF文档都是HNSADF-Document类的实例,在此显示了版本号。
类图(如图1所示)
ettribgtn
20E万00
nSADF-DoeoantE
图1版本类图
Host:包括一个或多个实例。包含所有与互联网主机安全属性信息相关的互联网主机类。属性
version:必选。字符串。指出HNSADF文档所遵循的描述格式的版本号。本标准以下定义的格式是第一个版本,版本号为01。
Schema定义
xsd:elements
4.3互联网主机(Host)
类说明
每一个报告或处理的互联网主机,由Host类的一个实例来描述。Host类为通常交换的互联网主机数据提供一个标准的表示法,并且把所描述的活动和一个惟一的标识符联系起来。Host类概述互联网主机安全属性信息,也对构成Host类的安全属性进行分类。类图(如图2所示)
BasicInfo:存在一个实例。主机的基本信息;SecurityAttribute:存在一个或多个实例。主机的网络安全属性信息;AdditionalData:存在零个或多个实例。使用不能在其他地方描述的信息来扩展数据模型的区域:Contact:存在一个或多个实例。与主机有关的参与方的联系信息:Assessment:最多存在一个实例。评估互联网主机活动影响的描述。3
YD/T2707-2014
hostin
nounaan
BasicInfo
Securitydeiribate
Fadaiciancinaea
图2互联网主机类图
HostID:必选。文档的产生方指派给该主机的跟踪号,或者是惟一标识符:AlternativeID:可选。由其他单位用来引用文中所描述的同一活动的一列主机跟踪号;Time:必选。发生时间:
Rreporttime:必选。报告时间:Purpose:必选。枚举类型:指出HNSADF文档的目的。本属性被定义为一个枚举列表:handling:发送本HNSADF-文档的目的是期望接收者处理互联网主机:statistics:发送本HNSADF.文档,只用于统计目的:一warming:发送本HNSADF-文档,只是作为一个警告;other:发送HNSADF-文档目的将在AdditionalData元素中指明。restriction:必选。枚举类型:指出HNSADF-文档的发送者期望接收者应该遵守的保密原则,由文档的接收者自由决定是否遵守这个原则。逻辑上,子类可以继承父类的这个属性值。由于多数高层类都有restriction属性,这就有可能设置细粒度的保密策略。如果子类加紧或者放松保密规则,子类可以不考虑父类的保密规则。对一个没有指定restriction属性值的类,可以在其指定了restriction属性值的最邻近的祖先类中得出该类的restriction属性值。restriction属性被定义为一个枚举类型值,缺省值为“private”:public:对信息没有任何级别的限制;need-to-know:信息可以被和互联网主机有关的其他方共享(举例来说,多个受害站点能够相互通告);
private:信息不能被共享:
一default:按照通信各方预先安排的信息保密规则,决定是否可共享信息。description:可选。字符串类型。互联网主机的自由形式的文本描述。Schema定义
/xsd:element>
4.3.1基本信息(Basiclnfo)
类说明
描述该主机的基本信息。
类图(如图3所示)
BosieInfo E
Jonnin
图3基本信息类图
IP:存在一个或多个实例。描述该主机的所有IP地址:Domain:存在零个或多个实例。描述该主机的所有域名信息;5
YD/T2707-2014
ISPZone:存在零个或多个实例。描述该主机所处的运营商区域信息;Service:存在零个或多个实例。描述该主机提供的服务信息。属性
Os:可选。描述该主机使用的操作系统信息。Hardware:可选。描述该主机的硬件信息。Schema定义
xsd:element>
4.3.1.1地址(IP)
类说明
描述主机的网络地址信息。
类图(如图4所示)
图4IP地址类图
Type:必选。表明是IPv4还是IPv6的地址:Ip:必选。IP值:
ASN:可选。IP地址所在自治系统的惟一标识号;Stime:可选。该IP在此主机上使用的开始时间:Eime:可选。该IP在此主机上使用的结束时间。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2707-2014
互联网主机网络安全属性描述格式Host network security attribute description format2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前
2规范性引用文件。
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语
4网络安全属性描述格式
4.1主机的描述方法·
4.2版本(HNSADF-Document).
4.3互联网主机(Host)
附录A(资料性附录)类图图例说明·目
附录B(资料性附录)安全属性描述格式的基础数据类型-YD/T2707-2014
YD/T2707-2014
本标准由中国通信标准化协会提出并归口。本标准起草单位:国家计算机网络应急技术处理协调中心、北京神州绿盟科技有限公司、华为技术有限公司。
本标准主要起草人:徐原、姚力、朱芸茜、周勇林、何清林、强倩、王明华、纪玉春、王营康、李佳、何世平、郑礼雄。
YD/T2707-2014
近年来,网络恶意程序肆虐传播,地下黑色产业链发展迅速。国家互联网应急中心(CNCERT)监测发现黑客利用网页挂马、攻击入侵等手段攻击了大量的互联网主机,并植入木马、厂网络等恶意程序对其进行控制,导致大量用户个人隐私信息、个人财产、国家机密数据被窃取。黑客还利用这些被控主机发动大规模拒绝服务攻击。这些行为对互联网网络安全甚至社会安全造成了严重危害。全面掌握互联网主机的网络安全属性对遏制恶意程序传播有重要意义。通过统一规范互联网主机的命名规则、描述规范,便于在网络安全组织、安全企业、研究机构、互联网企业之间进行信息交换和共享。对于含有恶意倾向的互联网主机信息,可以利用国家互联网应急中心的黑名单发布系统、安全企业的安全防护产品、以及媒体的传播等渠道,向广大互联网用户及时推送恶意服务器信息,防止用户访问这些恶意主机或站点,减少遭受入侵攻击的几率。同时,通过互联网主机存在漏洞的信息情况共享,能增加国家对互联网网络安全现状的了解,对可能发生的大规模网络攻击入侵事件能进行预警、及时防范。1范围
互联网主机网络安全属性描述格式YD/T2707-2014
本标准规定了互联网主机的网络安全属性基本信息,主要包括互联网主机基本信息和所包含漏洞情况、有恶意行为的主机-相关信息,如发现时间、使用的域名和IP地址、地理位置、运营商、控制主机数量、控制主机列表、控制方式等具体内容的描述格式定义。本标准适用于网络安全组织、安全企业、研究机构等进行互联网主机网络安全属性信息的共享、交换工作,以及有恶意行为主机列表的对外发布预警。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GBZ20986-2007信息安全技术信息安全事件分类分级指南3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
信息系统InformationSystem
由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。3.1.2
漏洞Vulnerability
信息系统中的软件、硬件或协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。3.1.3
恶意程序MaliciousProgram
在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。3.1.4
拒绝服务攻击DenialofService
向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务。3.1.5
网页幕改WebpageDefacement
恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。3.1.6
网页仿冒Phishing
YD/T2707-2014
通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天,手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人信息(如银行账号和账户密码)。3.1.7
网页挂马Web-basedMalwareWebsite通过在网页中嵌入恶意程序或链接,致使用户计算机在访问该页面时可能被植入恶意程序。3.1.8
垃圾邮件Spam
将不需要的消息(通常是未经请求的广告)发送给众多收件人。包括:(1)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件:(2)收件人无法拒收的电子邮件:(3)隐藏发件人身份、地址、标题等信息的电子邮件:(4)含有虚假的信息源、发件人,路由等信息的电子邮件。
非授权访问UnauthorizedAccess没有访问权限的用户以非正当的手段访问数据信息。非授权访问事件一般发生在存在漏洞的信息系统中,黑客利用专门的漏洞利用程序(Exploit)来获取信息系统访问权限。3.2缩略语
下列缩略语适用于本文件。
HNSADF
Autonomous System Number
China National Vulnerability DatabaseCommon Vulnerabilities and ExposuresHost Network Security Attribute Description FormatInternetProtocol
Internet Service Provider
Message-Digest Algorithm 5
Uniform/Universal Resource LocatorExtensible Markup Language
4网络安全属性描述格式
4.1主机的描述方法
自治系统号
国家信息安全漏洞共享平台
通用漏洞披露
互联网主机安全属性描述格式
互联网协议
互联网服务提供商
信息摘要算法第5版
统一资源定位符(网页地址)
可扩展的标记语言
对于每个本标准所定义的类(Class),首先给出其语义,并用类图来表现和其他类之间的关系,然后用XML的文档结构定义模式(Schema)给出该类的具体描述格式。对于每个类的描述包括五个部分:类说明:简要描述类的具体含义一类图:以图形的方式说明类的构成一子类:描述该类所包含的子类,是否是必须的,存在实例个数及其简要说明一属性:用于说明该类所具有的属性名,及其含义一Schema定义:给出该类XMLSchema实现片段2
4.2版本(HNSADF-Document)
类说明
YD/T2707-2014
HNSADF-Document类在HNSADF数据模型是顶层类,所有HNSADF文档都是HNSADF-Document类的实例,在此显示了版本号。
类图(如图1所示)
ettribgtn
20E万00
nSADF-DoeoantE
图1版本类图
Host:包括一个或多个实例。包含所有与互联网主机安全属性信息相关的互联网主机类。属性
version:必选。字符串。指出HNSADF文档所遵循的描述格式的版本号。本标准以下定义的格式是第一个版本,版本号为01。
Schema定义
xsd:elements
4.3互联网主机(Host)
类说明
每一个报告或处理的互联网主机,由Host类的一个实例来描述。Host类为通常交换的互联网主机数据提供一个标准的表示法,并且把所描述的活动和一个惟一的标识符联系起来。Host类概述互联网主机安全属性信息,也对构成Host类的安全属性进行分类。类图(如图2所示)
BasicInfo:存在一个实例。主机的基本信息;SecurityAttribute:存在一个或多个实例。主机的网络安全属性信息;AdditionalData:存在零个或多个实例。使用不能在其他地方描述的信息来扩展数据模型的区域:Contact:存在一个或多个实例。与主机有关的参与方的联系信息:Assessment:最多存在一个实例。评估互联网主机活动影响的描述。3
YD/T2707-2014
hostin
nounaan
BasicInfo
Securitydeiribate
Fadaiciancinaea
图2互联网主机类图
HostID:必选。文档的产生方指派给该主机的跟踪号,或者是惟一标识符:AlternativeID:可选。由其他单位用来引用文中所描述的同一活动的一列主机跟踪号;Time:必选。发生时间:
Rreporttime:必选。报告时间:Purpose:必选。枚举类型:指出HNSADF文档的目的。本属性被定义为一个枚举列表:handling:发送本HNSADF-文档的目的是期望接收者处理互联网主机:statistics:发送本HNSADF.文档,只用于统计目的:一warming:发送本HNSADF-文档,只是作为一个警告;other:发送HNSADF-文档目的将在AdditionalData元素中指明。restriction:必选。枚举类型:指出HNSADF-文档的发送者期望接收者应该遵守的保密原则,由文档的接收者自由决定是否遵守这个原则。逻辑上,子类可以继承父类的这个属性值。由于多数高层类都有restriction属性,这就有可能设置细粒度的保密策略。如果子类加紧或者放松保密规则,子类可以不考虑父类的保密规则。对一个没有指定restriction属性值的类,可以在其指定了restriction属性值的最邻近的祖先类中得出该类的restriction属性值。restriction属性被定义为一个枚举类型值,缺省值为“private”:public:对信息没有任何级别的限制;need-to-know:信息可以被和互联网主机有关的其他方共享(举例来说,多个受害站点能够相互通告);
private:信息不能被共享:
一default:按照通信各方预先安排的信息保密规则,决定是否可共享信息。description:可选。字符串类型。互联网主机的自由形式的文本描述。Schema定义
/xsd:element>
4.3.1基本信息(Basiclnfo)
类说明
描述该主机的基本信息。
类图(如图3所示)
BosieInfo E
Jonnin
图3基本信息类图
IP:存在一个或多个实例。描述该主机的所有IP地址:Domain:存在零个或多个实例。描述该主机的所有域名信息;5
YD/T2707-2014
ISPZone:存在零个或多个实例。描述该主机所处的运营商区域信息;Service:存在零个或多个实例。描述该主机提供的服务信息。属性
Os:可选。描述该主机使用的操作系统信息。Hardware:可选。描述该主机的硬件信息。Schema定义
xsd:element>
4.3.1.1地址(IP)
类说明
描述主机的网络地址信息。
类图(如图4所示)
图4IP地址类图
Type:必选。表明是IPv4还是IPv6的地址:Ip:必选。IP值:
ASN:可选。IP地址所在自治系统的惟一标识号;Stime:可选。该IP在此主机上使用的开始时间:Eime:可选。该IP在此主机上使用的结束时间。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。