GB/T 17143.7-1997
基本信息
标准号: GB/T 17143.7-1997
中文名称:信息技术 开放系统互连 系统管理 第7部分:安全告警报告功能
标准类别:国家标准(GB)
标准状态:现行
发布日期:1997-01-02
实施日期:1998-08-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:443745
标准分类号
标准ICS号:信息技术、办公机械设备>>开放系统互连(OSI)>>35.100.70应用层
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
采标情况:idt ISO/IEC 10164-7:1992
出版信息
出版社:中国标准出版社
书号:155066.1-15093
页数:平装16开, 页数:16, 字数:25千字
标准价格:13.0 元
出版日期:2004-04-12
相关单位信息
首发日期:1997-12-15
复审日期:2004-10-14
起草单位:电子工业部标准化研究所
归口单位:全国信息技术标准化技术委员会
发布部门:国家技术监督局
主管部门:国家标准化管理委员会
标准简介
本标准定义了安全告警报告功能。 GB/T 17143.7-1997 信息技术 开放系统互连 系统管理 第7部分:安全告警报告功能 GB/T17143.7-1997 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
GB/T17143.7—1997
本标准等同采用ISO/IEC10164-7:1992《信息技术开放系统互连系统管理:安全告警报告功
能》。
开放系统互连
系统管理》总标题下,目前包括以下8个部分:GB/T17143在《信息技术
第1部分(即GB/T17143.1):
第2部分(即GB/T17143.2):
第3部分(即GB/T17143.3):
第4部分(即GB/T17143.4):
第5部分(即GB/T17143.5)
第6部分(即GB/T17143.6):
第7部分(即GB/T17143.7)
客体管理功能
状态管理功能
表示关系的属性
告警报告功能
事件报告管理功能
日志控制功能
安全告警报告功能
第8部分(即GB/T17143.8):
安全审计跟踪功能
本标准由中华人民共和国电子工业部提出。本标准由电子工业部标准化研究所归口。本标准起草单位:电子工业部标准化研究所。本标准主要起草人:郑洪仁、周小华、张小涛、黄家英。279
GB/T 17143. 7—1997
ISO/IEC前言
ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(他们都是 ISO 或IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO 和 IEC 的各技术委员会在共同感兴趣的领域内进行合作。与ISO 和 IEC 有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术,ISO 和 IEC建立了一个联合技术委员会,即 ISO/IEC JTC 1。由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准,至少需要75%的参与表决的国家成员体投票费成。
ISO/IEC10164-7是由ISO/IECJTC1\信息技术\联合技术委员会与CCITT合作制定的。等同文本为 CCITT X.736。
ISO/IEC10164在《信息技术开放系统互连系统管理》总标题下,目前包括以下14个部分:第1部分:客体管理功能
第2部分:状态管理功能
一第3部分:表示关系的属性
第4部分:告警报告功能
一第5部分:事件报告管理功能
第6部分:日志控制功能
第7部分:安全告警报告功能
第8部分安全审计跟踪功能
第9部分:访问控制的客体和属性第10部分:记帐计量功能
第11部分:工作负监控功能
第12部分:测试管理功能
第13部分:概括功能
一第14部分:可信度及诊断测试分类280
GB/T17143.71997
GB/T17143是遵照GB9387和GB/T9387.4制定的由多个部分组成的标准。GB/T17143与以下标准有关:
GB/T 16644
GB/T 17142
GB/T 17175
GB/T 16645
信息技术
开放系统互连
开放系统互连
信息技术
信息技术
开放系统互连
信息技术
开放系统互连
公共管理信息服务定义
系统管理综述
管理信息结构
公共管理信息协议
中华人民共和国国家标准
信息技术开放系统互连系统管理第7部分:安全告警报告功能
Information technology-Open Systems Interconnection--Systemns Management-Part 7 : Security alarm reporting function1范圈
GB/T 17143.7—1997
idt IS0/IEC 10164-7:1992
本标准定义了安全告警报告功能。安全告警报告功能是一项系统管理功能,它可供应用进程在集中式或分散式管理环境中交换信息,以便用于GB/T9387.4所定义的系统管理。本标准位于GB9387的应用层,并按GB/T17176提供的模型定义。系统管理功能的作用由GB/T17142描述。由本系统管理功能定义的安全告警通知提供关于操作条件和服务质量的信息,它们附属于安全。安全相关事件与安全条款有关。每当一个安全相关事件发生时,安全策略决定要采取的行动。例如,安全策略可规定生成安全告警报告,或在安全审计跟踪时建立事件记录,或递增阀值计数器,或忽略该事件,或者采取这些行动的组合。本标准只涉及安全告警报告。本标准
一为需要用来支持安全告警报告功能的服务定义建立用户需求;一一定义由安全告警报告功能提供的服务,一规定为提供服务所必需的协议;一定义服务与管理通知之间的关系,一定义与其他系统管理功能之间的关系,一规定一致性要求。
本标准
一不定义旨在提供安全告警报告功能的任何实现的特性;一一不规定由安全告警报告功能的用户完成管理的方式;一一不定义任何导致使用安全告警报告功能的交互的特性,—不规定建立、正常释放和异常释放管理联系所必需的服务,一一不定义由其他标准定义的,安全管理者可能感兴趣的任何其他通知。2引用标准
下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB9387—88信息处理系统开放系统互连基本参考模型(idtISO7498:1984,eqvCCITTX.200:1988)
GB/T9387.2一1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idt ISO/IEC 7498-2:1988,eqv CCITT X.800:1991)信息处理系统开放系统互连基本参考模型第4部分:管理框架(idtGB/T 9387.4—1996
国家技术监督局1997-12-15批准282
1998-08-01实施
GB/T 17143. 7—1997
ISO/IEC 7498-4:1989,egv CCITT X.700:1992)GB/T15129—94信息处理系统开放系统互连服务约定(idtISO/TR8509:1987,eqvCCITTX. 210:1988)
GB/T 16262—19961
信息技术开放系统互连抽象语法记法-(ASN.1)规范(idtISO/IEC8824:1990,eqv CCITT X.208:1988)信息技术开放系统互连抽象语法记法一(ASN.1)基本编码规则规范GB/T 16263—1996
(idt ISO/IEC 8825:1990,eqv CCITT X.209:1988)信息技术开放系统互连公共管理信息服务定义(idtISO/IEC9595:GB/T 16644--1996
1991,eqv CCITT X.710:1991)wwW.bzxz.Net
GB/T 17142—1997
信息技术开放系统互连系统管理综述(idtISO/IEC10040:1992)GB/T 17143.4—1997
信息技术开放系统互连系统管理第4部分:告警报告功能(idtISO/IEC10164-4:1992)
GB/T 17143.5—1997
信息技术开放系统互连
ISO/IEC 10164-5:1993)
系统管理第5部分:事件报告管理功能(idt信息技术开放系统互连
GB/T 17143.61997
第6部分:日志控制功能(idtISO/系统管理
IEC 10164-6:1993)
GB/T17175.2--1997信息技术开放系统互连ISO/IEC 10165-2:1992)
管理信息结构第2部分:管理信息定义idt信息技术开放系统互连管理信息结构第4部分:被管客体的定义指GB/T 17175. 4—19971
南(idtISO/IEC10165-4:1992)
信息技术开放系统互连应用层结构(idtISO/IEC9545:1994)GB/T 17176-—1997
GB/T 17178. 1—1997
信息技术开放系统互连一致性测试方法和框架第1部分:基本概念(idt ISO/IEC 9646-1:1994)
3定义
本标准采用下列定义。
3.1基本参考模型定义
本标准采用GB9387中定义的下列术语:开放系统。
3.2安全体系结构定义
本标准采用GB/T 9387.2中定义的下列术语:a)鉴别,
b)机密性;
c)完整性;
d)抗抵赖,
e)安全策略;
f)安全服务。
3.3管理框架定义
本标准采用GB/T9387.4中定义的下列术语:被管客体。
3.4系统管理综述定义
本标准采用GB/T17142中定义的下列术语:a)代理作用,
b)依赖一致性
)一般一致性:
d)管理者作用:
e)通知;
1)系统管理功能单元。
3.5事件报告管理功能定义
GB/T 17143. 7 --1997
本标准采用GB/T17143.1中定义的下列术语:辫别器。
3.6服务约定定义
本标准采用GB/T15129中定义的下列术罐:)服务用户#
b)服务提供者,
3.?Os致性测试义
本标准采用GB/T17178.1中定义的下列米语:系统致性声明。
3.8补充定义
3.8.1安全告警security alarm
被安全策标识为潜在违反安全的安全柑关事件。3.82安全相关事件security-relared event认为与安全有关的事件。
4缩略语
5约定
抽象语法记法一
公共体理信息服务
管理应用协议数据单元
开放系统互连
系统管理应用协议机
本标准遵循GB/T15129定义的描述性约定为安全告警报告功能定义了服务。在第9章中,每项服务的定义包活一个列出服务原语参数的表。对一一条给定的服务原谱,每个参数的出现由下列值之一描述:
M参数是必备的;
(=)参数值等于左列参数之值:U使用该参数悬服务用户的选项
在该原语所描述的交互中不存在此参数C参数是有条件的,条件曲描述该参数的文本定义,P参数受GB/T16644的强制制约?
注:在本标准服务表中标明表中\P\的参数,在不教变参数的语义或语法的情况下直接映射CMIS服务原语的284
GB/T17143.7—1997
相应参数上。其余参数用于构造MAPDU。6需求
每当检测到一个指出攻击或潜在攻击系统安全的事件时,安全管理用户需要引起警觉。一个安全攻击可能被一个安全服务、一个安全机制或另一个进程检测到。一个安全告警通知既可由任一通信端用户,也可由端用户之间的任何中间系统或进程生成。安全告警报告应如安全策略所规定的那样,标识出安全告警的原、检测安全性相关事件的源、合适的端用户、任何误操作的被察觉的严重性、攻击或违反安全等。为满足这些需求,本标准描述了这些服务和技术的用法。7模型
安全告警报告的模型在GB/T17143.5中定义。信息可以根据GB/T17143.6记入日志。8类属定义
8.1类属通知
本标准定义一组类属安全审计跟踪通知及其可用的参数和语义。由本标准定义的这组类属通知、参数和语义集合详细提供了由GB/T16644定义的M-EVENTREPORT服务的下列参数:
——事件类型,
事件信息,
~一事件应答。
所有通知都是系统管理日志的潜在项,本标准为此目的定义了被管客体类。GB/T17175.2定义了由它派生出所有项的类属事件日志记录客体类、由事件信息规定的附加信息和事件应答参数。8.1.1事件类型
本参数定义了安全告警报告的类型。本标准定义了下列事件类型:一完整性违规:指出信息可能已被非法修改、插入或删除;操作违规:指出所请求的服务是不可能的,原因在于不可用性、故障或差错的服务调用;一物理违规:暗示物理资源受到安全攻击的方式;一—安全服务或机制违规:指出安全攻击已由安全服务或机制检测到,一时间域违规:指出一个事件发生在不期望的或禁止的时刻。8.1.2事件信息
下列参数构戒了通知特定的事件信息。8.1.2.1安全告警原因
本参数为安全告警的可能原因定义了进一步的限定。本参数值与事件类型值一起,决定哪些参数均衡构成安全告警事件报告,以及这些参数可以是什么可能值。用于通知的安全告警原因值应在客体类定义的行为条款中指出。为在GB/T17142定义的系统管理应用上下文中使用,本标准定义对被管客体类具有广泛适用性的安全告警原因。这些值按GB/T17175.2进行登记。安全告警原因的语法应是ASN.1类型客体标识符。为在GB/T17142中定义的系统管理应用上下文中使用,补充的安全告警原因可被增加到本标准中,并使用GB/T16262中为ASN.1客体标识符值定义的登记规程进行登记。为在GB/T17142定义的系统管理应用上下文中使用,其他安全告警原因可以在本标准范围之外定义,并使用在GB/T16262中为ASN.1客体标识符值定义的登记规程登记。表1为本标准规定的事件类型标出了安全告警原因。285
完整性违规
操作违规
物理违规
安全服务或机制违规
时间域违规
事件类型
本标准定义下列安全告警原因:GB/T 17143. 7—1997
表1安全告警原因
信息重复
信息失踪
检测到信息修改
信息失序
不期望的信息
拒绝服务
停止服务
规程差错
未规定的原因
电缆窜改
发现侵入
未规定的原因
鉴别失败
违反机密性
抗抵赖失败
未授权的访问企图
未规定的原因
延迟信息
密钥期满
违时活动
鉴别失败:指出鉴别用户的尝试不成功;违反机密性:指出信息可能已被未授权用户读出;电缆窜改:指出发生了通信媒体的物理破坏;延迟信息:指出收到信息比预期的晚;-拒绝服务:指出对服务的有效请求已被阻止或不允许;安全告警原因
信息重复:指出一条信息已经不止一次被收到,因此可能是重复攻击;信息失踪:指出未收到所期待的信息,检测到信息修改:指出信息已经被修改(例如由数据完整性机制指出);信息失序:指出接收到的信息顺序不正确;发现侵入:指出标识的设备所安放的地方已被非法进入,或者设备本身已被破坏,密钥期满:指出有一个过时的加密钥匙已出现或已使用;抗抵赖失败:指出由于抗抵赖服务的失败或不可用性而阻止或停止通信;违时活动:指出资源利用发生在不期望的时间;停止服务:指出对服务的有效请求由于服务提供者的不可用性而不能得到满足,规程差错:指出在调用服务时,使用了一个不正确的规程,未授权的访问企图:指出访问控制机制已检测到访问资源的非法企图;不期望的信息:指出收到一个不期望的信息,一未规定的原因:指出发生了一个未规定的、与安全有关的事件。被管客体类定义者应选择最具体的安全告警的可用原因。8.1.2.2安全告警严重性
本参数定义由被管客体察觉出的安全告警的重要性。定义了下列严重性级别:286
GB/T 17143. 7 --- 1997
…不确定的:检测到安全攻击。尚不知遵系统的究整性;临界的:发生了安全破坏并已危及系统。为支持安全策略,不再认为系统可正确操作。临界的严重性可能涉及未经正确的授权就修改安全信息,泄漏对系统安全至关要的信意(诸如口令、专用加密密钥等),或破坏物理安全,
一重要的:检测到安全破坏,并已危及重要的信意或机制,次要的:检测到安全破坏,并已危及次要的信息或机制:警告:检测到安全攻击。据信尚未危及系统安全。8.1.2.3安全告警检测者
本参数标识安全告警的检测者。8.1.2.4服务用产
本参数标识其服务诸求导致产生安全告警的服务用户。8.1.2.5服务提供者
本参数标识导致产生安全告警的服务的预期服务提供者。8.1.3事件应答
该标准不规定用于事件应答参数中的管理信息。8.2被管客体
安全告警记录是被管客体类,它派生于GB/T17175,2中定义的事件日志记录客体类。安全告警记录客体类表示存储在由安全告警通知引起的日志中的信息。8.3引入的类属定义
也使用下列参数。这些参数由GB/T17143.4定义:附加信息,
附加文本,
相关通知;
通知标识符。
8.4符合性
通过号用在GB/T17175.2中定义的通知样本,结合通知规范,被管客体类定义支持本标准定义的功能。引用机制在GB/T17175.4中定义。对每个安全告警报告的实例,都要求引人本标准定义的一个或多个安全告警通知的被管客体类定义,以便选择安全告警类型和安全告警原因,使之最贴切地反映导致被管客体发出通知的真正事件。还要求被管客体类定义规定安全告警生成者、服务用户、服务提供者,并也应在特性条款中规定:安全告警严重性参数是如何规定的。
,对每项引入的通知,被管客体类定义应在行为条款中规定要使用哪些可选参数和条件参数、使用它们的条件,以及它们的值。允许声明对参数的使用保为可选。9服务定义
本标准定义项服务。安全告警通知提供报告安全击、安全服务、机制误操作或其他安全相关事件的能力。本参数运送与安全告警有关的信息。9.2安全告警报告服务
安全告警报告服务使用本标准中第8章定义的参数,以及在GB/T16644中定义的般MEVENT-REPORT服务参数。
表2列出安全告警报告服务的参数。事件时间、相关通知和通知标识符参数可由发出通知的被管客体或被管理系统分配。287
调用标识符
被管客体类
被管客体实例
事件类型
事件时间
事件信息
参数名称
安全告警原因
安全告警严重性
安全告警检测者
服务用户
服务提供者
通知标识符
相关通知
附加文本
附加信息
当前时间
事件应答
10功能单元
GB/T 17143. 7—1997
表2安全告警报告参数
Reg/Ind
安全告警报告功能构成单个系统管理功能单元。11协议
11.1规程元素
11.1.1代理作用
11.1.1.1 调用
Rsp/Conf
安全告警报告规程由安全告警报告请求原语启动。在收到安全告警报告请求原语时,SMAPM应构造一个MAPDU,并发出一个带有参数的CMIS M-EVENT-REPORT request服务原语,参数来自安全告警报告请求原语。在非证实方式下,不使用11.1.1.2中的规程。11.1.7.2接收响应
在收到一个含有MAPDU响应安全告警报告通知的CMISM-EVENT-REPORTconfirm服务原语时,SMAPM应发出一个带有参数的安全告警报告证实原语给安全告警报告服务用户,参数来自CMISM-EVENT-REPORTconfirm服务原语,从而完成安全告警报告规程。注:SMAPM忽略收到的MAPDU中的所有差错。安全告警报告服务用户可以忽略这些差错,或者因此而联系天折。
11.1.2管理者作用
11.1.2.1接收请求
在收到一个含有MAPDU请求安全告警报告服务的CMISM-EVENT-REPORT indication服务原语时,如果MAPDU完好无损,则SMAPM应发出一个带有参数的安全告警报告指示原语给安全告288
GB/T 17143. 7-1997
警报告服务用户,参数来自CMISM-EVENT-REPORTindication服务原语。否则,在证实方式下,SMAPM应构造个适当的含有差错通知的MAPDU,并发出一个带有差错参数存在的CMISMEVENT-REPORTrespOns服务原语。在非证实方式下,不使用11.1.2.2中的规程。11.1.2.2响应
在证实方式下,SMAPM应接收安全告警报告响应原语,并构造一个MAPDU以证实通知,并发出一个带有参数的CMISM-EVENT-REPORTresPOnSe服务原语,参数来自安全告警报告响应原语。11.2抽象语法
11.2.1被管客体
本标准引用下列支持客体,其抽象语法在GB/T17175.2中规定:securityAlarmReportRecord
11.2.2属性
表3标出了本标准8.1.2中定义的参数与GB/T17175.2甲的属性类型规范之间的关系。表3属性
安全告警愿因
安全告警严重性
安全告警检测者
服务用户
服务提供者
11.2.3属性组
本系统管理功能没有定义属性组。11.2.4动作
本系统管理功能没有定义特定的动作。11.2.5通知
securityAlarmCause
secturityAlarmSeverity
securityAlarmDetector
serviceUser
serviceProvider
属性名
表4标出了本标准 8. 1.1中定义的通知与 GB/T 17175.2 的通知类型规范之间的关系。表4通知
安全告警类型
完整性违规
操作违规
物理透规
安全服务威机制违规
时间域进规
integrity Violation
operationalViolation
physicalViolation
避知类型
securityServiceOrMechanismViolationtimeDomain Violation
在MAPDU中携带通知类型规范所引用的抽象语法。11.2.6安全告警源因
表5标出了本标准8.1.2.1中定义的安全告警原因与GB/T17175.2中定义的ASN.1参考值之闻的关系。
鉴别失败
违反机密性
电缆窜改
信息延迟
拒绝服务
信息重复
信息失踪
检测到信息修改
信息失序
发现侵入
密钥期满
抗抵赖失败
违时活动
停止服务
规程差错
未授权的访问企图
不期望的信息
未规定的原因
安全告警原因
11.2.7安全告警严重性值
GB/T 17143. 7 -— 1997
表5安全告警原因
authenticationFailure
ASN.1参考值
breachOfConfidentiality
cableTamper
delayedInformation
denialOfService
duplicateInformation
informationMissing
informationModificationDetectedinformationOutOfSequence
intrusionDetection
keyExpired
nonRepudiationFailure
outOfHoursActivity
outOfService
proceduralError
unauthorizedAccessAttempt
unexpectedInformation
unspecifiedReason
表6标出了本标准8.1.2.2中为安全告警严重性参数定义的值与GB/T17175.2中定义的ASN.1参考值之间的关系:
表6安全告警严重性值
安全告警严重性
不确定的
临界的
重要的
次要的
11.3安全告警报告功能单元的协商本标准分配下列客体标识符:
indeterminate
critical
warning
ASN.1值引用
( joint-iso-ccitt ms(9)function(2)part7(7)functionalUnitPackage(1))作为在GB/T 17142 中定义的ASN.1类型FunctionalUnitPackageId之值来协商下列功能单元:0 security alarm reporting functional unit此处的数字标出了分配给功能单元的比特位置,该名称引用第10章中定义的功能单元。在系统管理应用的上下文范围内,协商安全告警报告功能单元的机制由GB/T17142描述。注:协商功能单元的需求由应用上下文规定。290
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
本标准等同采用ISO/IEC10164-7:1992《信息技术开放系统互连系统管理:安全告警报告功
能》。
开放系统互连
系统管理》总标题下,目前包括以下8个部分:GB/T17143在《信息技术
第1部分(即GB/T17143.1):
第2部分(即GB/T17143.2):
第3部分(即GB/T17143.3):
第4部分(即GB/T17143.4):
第5部分(即GB/T17143.5)
第6部分(即GB/T17143.6):
第7部分(即GB/T17143.7)
客体管理功能
状态管理功能
表示关系的属性
告警报告功能
事件报告管理功能
日志控制功能
安全告警报告功能
第8部分(即GB/T17143.8):
安全审计跟踪功能
本标准由中华人民共和国电子工业部提出。本标准由电子工业部标准化研究所归口。本标准起草单位:电子工业部标准化研究所。本标准主要起草人:郑洪仁、周小华、张小涛、黄家英。279
GB/T 17143. 7—1997
ISO/IEC前言
ISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体(他们都是 ISO 或IEC的成员国)通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准。ISO 和 IEC 的各技术委员会在共同感兴趣的领域内进行合作。与ISO 和 IEC 有联系的其他官方和非官方国际组织也可参与国际标准的制定工作。对于信息技术,ISO 和 IEC建立了一个联合技术委员会,即 ISO/IEC JTC 1。由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决。发布一项国际标准,至少需要75%的参与表决的国家成员体投票费成。
ISO/IEC10164-7是由ISO/IECJTC1\信息技术\联合技术委员会与CCITT合作制定的。等同文本为 CCITT X.736。
ISO/IEC10164在《信息技术开放系统互连系统管理》总标题下,目前包括以下14个部分:第1部分:客体管理功能
第2部分:状态管理功能
一第3部分:表示关系的属性
第4部分:告警报告功能
一第5部分:事件报告管理功能
第6部分:日志控制功能
第7部分:安全告警报告功能
第8部分安全审计跟踪功能
第9部分:访问控制的客体和属性第10部分:记帐计量功能
第11部分:工作负监控功能
第12部分:测试管理功能
第13部分:概括功能
一第14部分:可信度及诊断测试分类280
GB/T17143.71997
GB/T17143是遵照GB9387和GB/T9387.4制定的由多个部分组成的标准。GB/T17143与以下标准有关:
GB/T 16644
GB/T 17142
GB/T 17175
GB/T 16645
信息技术
开放系统互连
开放系统互连
信息技术
信息技术
开放系统互连
信息技术
开放系统互连
公共管理信息服务定义
系统管理综述
管理信息结构
公共管理信息协议
中华人民共和国国家标准
信息技术开放系统互连系统管理第7部分:安全告警报告功能
Information technology-Open Systems Interconnection--Systemns Management-Part 7 : Security alarm reporting function1范圈
GB/T 17143.7—1997
idt IS0/IEC 10164-7:1992
本标准定义了安全告警报告功能。安全告警报告功能是一项系统管理功能,它可供应用进程在集中式或分散式管理环境中交换信息,以便用于GB/T9387.4所定义的系统管理。本标准位于GB9387的应用层,并按GB/T17176提供的模型定义。系统管理功能的作用由GB/T17142描述。由本系统管理功能定义的安全告警通知提供关于操作条件和服务质量的信息,它们附属于安全。安全相关事件与安全条款有关。每当一个安全相关事件发生时,安全策略决定要采取的行动。例如,安全策略可规定生成安全告警报告,或在安全审计跟踪时建立事件记录,或递增阀值计数器,或忽略该事件,或者采取这些行动的组合。本标准只涉及安全告警报告。本标准
一为需要用来支持安全告警报告功能的服务定义建立用户需求;一一定义由安全告警报告功能提供的服务,一规定为提供服务所必需的协议;一定义服务与管理通知之间的关系,一定义与其他系统管理功能之间的关系,一规定一致性要求。
本标准
一不定义旨在提供安全告警报告功能的任何实现的特性;一一不规定由安全告警报告功能的用户完成管理的方式;一一不定义任何导致使用安全告警报告功能的交互的特性,—不规定建立、正常释放和异常释放管理联系所必需的服务,一一不定义由其他标准定义的,安全管理者可能感兴趣的任何其他通知。2引用标准
下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB9387—88信息处理系统开放系统互连基本参考模型(idtISO7498:1984,eqvCCITTX.200:1988)
GB/T9387.2一1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idt ISO/IEC 7498-2:1988,eqv CCITT X.800:1991)信息处理系统开放系统互连基本参考模型第4部分:管理框架(idtGB/T 9387.4—1996
国家技术监督局1997-12-15批准282
1998-08-01实施
GB/T 17143. 7—1997
ISO/IEC 7498-4:1989,egv CCITT X.700:1992)GB/T15129—94信息处理系统开放系统互连服务约定(idtISO/TR8509:1987,eqvCCITTX. 210:1988)
GB/T 16262—19961
信息技术开放系统互连抽象语法记法-(ASN.1)规范(idtISO/IEC8824:1990,eqv CCITT X.208:1988)信息技术开放系统互连抽象语法记法一(ASN.1)基本编码规则规范GB/T 16263—1996
(idt ISO/IEC 8825:1990,eqv CCITT X.209:1988)信息技术开放系统互连公共管理信息服务定义(idtISO/IEC9595:GB/T 16644--1996
1991,eqv CCITT X.710:1991)wwW.bzxz.Net
GB/T 17142—1997
信息技术开放系统互连系统管理综述(idtISO/IEC10040:1992)GB/T 17143.4—1997
信息技术开放系统互连系统管理第4部分:告警报告功能(idtISO/IEC10164-4:1992)
GB/T 17143.5—1997
信息技术开放系统互连
ISO/IEC 10164-5:1993)
系统管理第5部分:事件报告管理功能(idt信息技术开放系统互连
GB/T 17143.61997
第6部分:日志控制功能(idtISO/系统管理
IEC 10164-6:1993)
GB/T17175.2--1997信息技术开放系统互连ISO/IEC 10165-2:1992)
管理信息结构第2部分:管理信息定义idt信息技术开放系统互连管理信息结构第4部分:被管客体的定义指GB/T 17175. 4—19971
南(idtISO/IEC10165-4:1992)
信息技术开放系统互连应用层结构(idtISO/IEC9545:1994)GB/T 17176-—1997
GB/T 17178. 1—1997
信息技术开放系统互连一致性测试方法和框架第1部分:基本概念(idt ISO/IEC 9646-1:1994)
3定义
本标准采用下列定义。
3.1基本参考模型定义
本标准采用GB9387中定义的下列术语:开放系统。
3.2安全体系结构定义
本标准采用GB/T 9387.2中定义的下列术语:a)鉴别,
b)机密性;
c)完整性;
d)抗抵赖,
e)安全策略;
f)安全服务。
3.3管理框架定义
本标准采用GB/T9387.4中定义的下列术语:被管客体。
3.4系统管理综述定义
本标准采用GB/T17142中定义的下列术语:a)代理作用,
b)依赖一致性
)一般一致性:
d)管理者作用:
e)通知;
1)系统管理功能单元。
3.5事件报告管理功能定义
GB/T 17143. 7 --1997
本标准采用GB/T17143.1中定义的下列术语:辫别器。
3.6服务约定定义
本标准采用GB/T15129中定义的下列术罐:)服务用户#
b)服务提供者,
3.?Os致性测试义
本标准采用GB/T17178.1中定义的下列米语:系统致性声明。
3.8补充定义
3.8.1安全告警security alarm
被安全策标识为潜在违反安全的安全柑关事件。3.82安全相关事件security-relared event认为与安全有关的事件。
4缩略语
5约定
抽象语法记法一
公共体理信息服务
管理应用协议数据单元
开放系统互连
系统管理应用协议机
本标准遵循GB/T15129定义的描述性约定为安全告警报告功能定义了服务。在第9章中,每项服务的定义包活一个列出服务原语参数的表。对一一条给定的服务原谱,每个参数的出现由下列值之一描述:
M参数是必备的;
(=)参数值等于左列参数之值:U使用该参数悬服务用户的选项
在该原语所描述的交互中不存在此参数C参数是有条件的,条件曲描述该参数的文本定义,P参数受GB/T16644的强制制约?
注:在本标准服务表中标明表中\P\的参数,在不教变参数的语义或语法的情况下直接映射CMIS服务原语的284
GB/T17143.7—1997
相应参数上。其余参数用于构造MAPDU。6需求
每当检测到一个指出攻击或潜在攻击系统安全的事件时,安全管理用户需要引起警觉。一个安全攻击可能被一个安全服务、一个安全机制或另一个进程检测到。一个安全告警通知既可由任一通信端用户,也可由端用户之间的任何中间系统或进程生成。安全告警报告应如安全策略所规定的那样,标识出安全告警的原、检测安全性相关事件的源、合适的端用户、任何误操作的被察觉的严重性、攻击或违反安全等。为满足这些需求,本标准描述了这些服务和技术的用法。7模型
安全告警报告的模型在GB/T17143.5中定义。信息可以根据GB/T17143.6记入日志。8类属定义
8.1类属通知
本标准定义一组类属安全审计跟踪通知及其可用的参数和语义。由本标准定义的这组类属通知、参数和语义集合详细提供了由GB/T16644定义的M-EVENTREPORT服务的下列参数:
——事件类型,
事件信息,
~一事件应答。
所有通知都是系统管理日志的潜在项,本标准为此目的定义了被管客体类。GB/T17175.2定义了由它派生出所有项的类属事件日志记录客体类、由事件信息规定的附加信息和事件应答参数。8.1.1事件类型
本参数定义了安全告警报告的类型。本标准定义了下列事件类型:一完整性违规:指出信息可能已被非法修改、插入或删除;操作违规:指出所请求的服务是不可能的,原因在于不可用性、故障或差错的服务调用;一物理违规:暗示物理资源受到安全攻击的方式;一—安全服务或机制违规:指出安全攻击已由安全服务或机制检测到,一时间域违规:指出一个事件发生在不期望的或禁止的时刻。8.1.2事件信息
下列参数构戒了通知特定的事件信息。8.1.2.1安全告警原因
本参数为安全告警的可能原因定义了进一步的限定。本参数值与事件类型值一起,决定哪些参数均衡构成安全告警事件报告,以及这些参数可以是什么可能值。用于通知的安全告警原因值应在客体类定义的行为条款中指出。为在GB/T17142定义的系统管理应用上下文中使用,本标准定义对被管客体类具有广泛适用性的安全告警原因。这些值按GB/T17175.2进行登记。安全告警原因的语法应是ASN.1类型客体标识符。为在GB/T17142中定义的系统管理应用上下文中使用,补充的安全告警原因可被增加到本标准中,并使用GB/T16262中为ASN.1客体标识符值定义的登记规程进行登记。为在GB/T17142定义的系统管理应用上下文中使用,其他安全告警原因可以在本标准范围之外定义,并使用在GB/T16262中为ASN.1客体标识符值定义的登记规程登记。表1为本标准规定的事件类型标出了安全告警原因。285
完整性违规
操作违规
物理违规
安全服务或机制违规
时间域违规
事件类型
本标准定义下列安全告警原因:GB/T 17143. 7—1997
表1安全告警原因
信息重复
信息失踪
检测到信息修改
信息失序
不期望的信息
拒绝服务
停止服务
规程差错
未规定的原因
电缆窜改
发现侵入
未规定的原因
鉴别失败
违反机密性
抗抵赖失败
未授权的访问企图
未规定的原因
延迟信息
密钥期满
违时活动
鉴别失败:指出鉴别用户的尝试不成功;违反机密性:指出信息可能已被未授权用户读出;电缆窜改:指出发生了通信媒体的物理破坏;延迟信息:指出收到信息比预期的晚;-拒绝服务:指出对服务的有效请求已被阻止或不允许;安全告警原因
信息重复:指出一条信息已经不止一次被收到,因此可能是重复攻击;信息失踪:指出未收到所期待的信息,检测到信息修改:指出信息已经被修改(例如由数据完整性机制指出);信息失序:指出接收到的信息顺序不正确;发现侵入:指出标识的设备所安放的地方已被非法进入,或者设备本身已被破坏,密钥期满:指出有一个过时的加密钥匙已出现或已使用;抗抵赖失败:指出由于抗抵赖服务的失败或不可用性而阻止或停止通信;违时活动:指出资源利用发生在不期望的时间;停止服务:指出对服务的有效请求由于服务提供者的不可用性而不能得到满足,规程差错:指出在调用服务时,使用了一个不正确的规程,未授权的访问企图:指出访问控制机制已检测到访问资源的非法企图;不期望的信息:指出收到一个不期望的信息,一未规定的原因:指出发生了一个未规定的、与安全有关的事件。被管客体类定义者应选择最具体的安全告警的可用原因。8.1.2.2安全告警严重性
本参数定义由被管客体察觉出的安全告警的重要性。定义了下列严重性级别:286
GB/T 17143. 7 --- 1997
…不确定的:检测到安全攻击。尚不知遵系统的究整性;临界的:发生了安全破坏并已危及系统。为支持安全策略,不再认为系统可正确操作。临界的严重性可能涉及未经正确的授权就修改安全信息,泄漏对系统安全至关要的信意(诸如口令、专用加密密钥等),或破坏物理安全,
一重要的:检测到安全破坏,并已危及重要的信意或机制,次要的:检测到安全破坏,并已危及次要的信息或机制:警告:检测到安全攻击。据信尚未危及系统安全。8.1.2.3安全告警检测者
本参数标识安全告警的检测者。8.1.2.4服务用产
本参数标识其服务诸求导致产生安全告警的服务用户。8.1.2.5服务提供者
本参数标识导致产生安全告警的服务的预期服务提供者。8.1.3事件应答
该标准不规定用于事件应答参数中的管理信息。8.2被管客体
安全告警记录是被管客体类,它派生于GB/T17175,2中定义的事件日志记录客体类。安全告警记录客体类表示存储在由安全告警通知引起的日志中的信息。8.3引入的类属定义
也使用下列参数。这些参数由GB/T17143.4定义:附加信息,
附加文本,
相关通知;
通知标识符。
8.4符合性
通过号用在GB/T17175.2中定义的通知样本,结合通知规范,被管客体类定义支持本标准定义的功能。引用机制在GB/T17175.4中定义。对每个安全告警报告的实例,都要求引人本标准定义的一个或多个安全告警通知的被管客体类定义,以便选择安全告警类型和安全告警原因,使之最贴切地反映导致被管客体发出通知的真正事件。还要求被管客体类定义规定安全告警生成者、服务用户、服务提供者,并也应在特性条款中规定:安全告警严重性参数是如何规定的。
,对每项引入的通知,被管客体类定义应在行为条款中规定要使用哪些可选参数和条件参数、使用它们的条件,以及它们的值。允许声明对参数的使用保为可选。9服务定义
本标准定义项服务。安全告警通知提供报告安全击、安全服务、机制误操作或其他安全相关事件的能力。本参数运送与安全告警有关的信息。9.2安全告警报告服务
安全告警报告服务使用本标准中第8章定义的参数,以及在GB/T16644中定义的般MEVENT-REPORT服务参数。
表2列出安全告警报告服务的参数。事件时间、相关通知和通知标识符参数可由发出通知的被管客体或被管理系统分配。287
调用标识符
被管客体类
被管客体实例
事件类型
事件时间
事件信息
参数名称
安全告警原因
安全告警严重性
安全告警检测者
服务用户
服务提供者
通知标识符
相关通知
附加文本
附加信息
当前时间
事件应答
10功能单元
GB/T 17143. 7—1997
表2安全告警报告参数
Reg/Ind
安全告警报告功能构成单个系统管理功能单元。11协议
11.1规程元素
11.1.1代理作用
11.1.1.1 调用
Rsp/Conf
安全告警报告规程由安全告警报告请求原语启动。在收到安全告警报告请求原语时,SMAPM应构造一个MAPDU,并发出一个带有参数的CMIS M-EVENT-REPORT request服务原语,参数来自安全告警报告请求原语。在非证实方式下,不使用11.1.1.2中的规程。11.1.7.2接收响应
在收到一个含有MAPDU响应安全告警报告通知的CMISM-EVENT-REPORTconfirm服务原语时,SMAPM应发出一个带有参数的安全告警报告证实原语给安全告警报告服务用户,参数来自CMISM-EVENT-REPORTconfirm服务原语,从而完成安全告警报告规程。注:SMAPM忽略收到的MAPDU中的所有差错。安全告警报告服务用户可以忽略这些差错,或者因此而联系天折。
11.1.2管理者作用
11.1.2.1接收请求
在收到一个含有MAPDU请求安全告警报告服务的CMISM-EVENT-REPORT indication服务原语时,如果MAPDU完好无损,则SMAPM应发出一个带有参数的安全告警报告指示原语给安全告288
GB/T 17143. 7-1997
警报告服务用户,参数来自CMISM-EVENT-REPORTindication服务原语。否则,在证实方式下,SMAPM应构造个适当的含有差错通知的MAPDU,并发出一个带有差错参数存在的CMISMEVENT-REPORTrespOns服务原语。在非证实方式下,不使用11.1.2.2中的规程。11.1.2.2响应
在证实方式下,SMAPM应接收安全告警报告响应原语,并构造一个MAPDU以证实通知,并发出一个带有参数的CMISM-EVENT-REPORTresPOnSe服务原语,参数来自安全告警报告响应原语。11.2抽象语法
11.2.1被管客体
本标准引用下列支持客体,其抽象语法在GB/T17175.2中规定:securityAlarmReportRecord
11.2.2属性
表3标出了本标准8.1.2中定义的参数与GB/T17175.2甲的属性类型规范之间的关系。表3属性
安全告警愿因
安全告警严重性
安全告警检测者
服务用户
服务提供者
11.2.3属性组
本系统管理功能没有定义属性组。11.2.4动作
本系统管理功能没有定义特定的动作。11.2.5通知
securityAlarmCause
secturityAlarmSeverity
securityAlarmDetector
serviceUser
serviceProvider
属性名
表4标出了本标准 8. 1.1中定义的通知与 GB/T 17175.2 的通知类型规范之间的关系。表4通知
安全告警类型
完整性违规
操作违规
物理透规
安全服务威机制违规
时间域进规
integrity Violation
operationalViolation
physicalViolation
避知类型
securityServiceOrMechanismViolationtimeDomain Violation
在MAPDU中携带通知类型规范所引用的抽象语法。11.2.6安全告警源因
表5标出了本标准8.1.2.1中定义的安全告警原因与GB/T17175.2中定义的ASN.1参考值之闻的关系。
鉴别失败
违反机密性
电缆窜改
信息延迟
拒绝服务
信息重复
信息失踪
检测到信息修改
信息失序
发现侵入
密钥期满
抗抵赖失败
违时活动
停止服务
规程差错
未授权的访问企图
不期望的信息
未规定的原因
安全告警原因
11.2.7安全告警严重性值
GB/T 17143. 7 -— 1997
表5安全告警原因
authenticationFailure
ASN.1参考值
breachOfConfidentiality
cableTamper
delayedInformation
denialOfService
duplicateInformation
informationMissing
informationModificationDetectedinformationOutOfSequence
intrusionDetection
keyExpired
nonRepudiationFailure
outOfHoursActivity
outOfService
proceduralError
unauthorizedAccessAttempt
unexpectedInformation
unspecifiedReason
表6标出了本标准8.1.2.2中为安全告警严重性参数定义的值与GB/T17175.2中定义的ASN.1参考值之间的关系:
表6安全告警严重性值
安全告警严重性
不确定的
临界的
重要的
次要的
11.3安全告警报告功能单元的协商本标准分配下列客体标识符:
indeterminate
critical
warning
ASN.1值引用
( joint-iso-ccitt ms(9)function(2)part7(7)functionalUnitPackage(1))作为在GB/T 17142 中定义的ASN.1类型FunctionalUnitPackageId之值来协商下列功能单元:0 security alarm reporting functional unit此处的数字标出了分配给功能单元的比特位置,该名称引用第10章中定义的功能单元。在系统管理应用的上下文范围内,协商安全告警报告功能单元的机制由GB/T17142描述。注:协商功能单元的需求由应用上下文规定。290
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。