明。
根據當地的法律進行收集、存檔和保護證據是必不可少的。
2.2.7事件（Incident）
該術語是指涉及到安全違例的安全事件。事件可以定義為單個或群體攻擊，無論單個或
群體攻擊都可以通過攻擊方法區分開來，如攻擊者身份、受害者、地點、目標或定時等。
事件是指IODEF的根組件。在IODEF的上下文中，所使用的術語事件是指計算機安全
事件或者IT安全事件。
然而我們應當在事件的真正定義之間加以區分，事件Incident是指可能引起損害或者損
害不太嚴重的事件event，接下來給出安全事件、IT安全事件的定義。
a)	安全事件incident是指涉及安全違例的事件event。這可能是指違反安全策略、
UAP、規則以及權限等的事件event。安全事件incident也可能是指已經升級到安
全事件的事件incident。安全事件比事件incident對安全或組織中的影響更糟糕。
安全事件可能是邏輯的、物理的或者組織的，例如計算機入侵、秘密暴露、信息丟
失、火警或者不能正常工作的警報等。安全事件可能是有目的的引起，也可能是不
經意間產生。后者產生的可能情況是忘記鎖門或者忘記激活路由器中的訪問列表。
b)	IT安全事件根據[9]定義為任何真實的或令人懷疑的與計算機或計算機網絡安全相
關的不利事件event。在IT領域的典型安全事件是：計算機入侵、拒絕服務攻擊、
信息丟失或者數據非法操作等。
2.2.8效果
效果用來根據用戶群體所表述的描述攻擊的結果，例如財政方面的花費或者其他破壞。
2.2.9目標
是指計算機或者網絡邏輯實體（說明、進程或數據）或物理實體（組件、計算機、網絡
或國際互聯網）。
2.2.10受害者
受害者是指遭受攻擊的個人或組織，這種攻擊在事件報告中給予描述。
對于IODEF的這種目的，受害者可以通過其網絡身份、組織以及位置信息來描述。
2.2.11缺陷
是指在系統的設計、執行或者操作、管理中的缺點或弱點，這些缺點或弱點可能會引起
違反系統的安全策略的事件發生。
大多數系統都有某些類型的缺陷，但是這并不意味著系統太差而不能使用。并不是每一
次攻擊都會產生致命的結果，也并不是每一次攻擊都會成功。成功攻擊取決于缺陷的程度、
攻擊的力度以及采用對策的有效度。如果攻擊需要突破的缺陷非常難于逾越，那么這樣的缺
陷是可以容忍的。如果對于攻擊者來說僅得到非常小的利益，那么甚至容易被突破的缺陷也
是可以接受的。然而，如果攻擊容易理解，易于實施，并且易受到攻擊的系統被大范圍內的
用戶突破，那么實施攻擊的人極有可能會得到足夠多的利益。
2.2.12其它術語
其它使用的術語有：報警、行為、IDS、安全策略等，它們在相關的I-Ds, RFCs 和 
standards [3, 6, 7, 8, 9, 10]中被定義。
3綜合要求
IODEF將可能涉及和使用當前出版的RFCs 。
評論
IETF已經在網絡和安全領域開發了大量的標準，這些標準已經在目前的國際互聯網中得
到實際配置。考慮到當前的標準為IODEF和其它相關技術的兼容性提供框架，有必要在實
際中操作/執行IODEF。對于IODEF兼容性的另一個問題，是當前IETF IDEWG正在開發
的與IDEF的兼容性。出于對時間和兼容性的考慮，已定義的和公認的標準應當在任何可能
的地方使用。
特別地，IODEF分類協議應當主要依靠現有的計算機通訊、加密技術和語言標準，當然，
如果可能的話。
4描述格式
4.1 IODEF將支持完全國際化和地方化
評論
既然許多事件需要來自不同國家、不同文化、不同地理區域CSIRTs的參與，因此必須
形成IODEF描述，以便這些事件可以被使用地方語言并堅持采用地方陳述方式的操作員引
用。
盡管對于IODEF標識符和標簽的分析語言考慮采用英語，但是如果有必要的話，地方
IODEF的執行可以把分析語言標識符和標簽翻譯成當地語言并給予陳述。
可能也需要日期、時間、名稱的地方化表述。在信息包括文本串和名稱的情況下就需要
不同于Latin-1(or ISO 8859-1)的特點，信息應當更適宜使用ISO/IEC IS 10646-1字符集被
重新提出，應用UTF-8轉換格式進行編碼，并且可以自由使用地方字符集和編碼[13]。
4.2 IODEF必須支持事件描述的模塊化以允許數據集合與過濾
評論
這表明帶有IODEF的事件描述可以包括外部信息，例如，來自IDS或者涉及外部存儲
證據保管數據，或者可能從當前IODEF描述被除去的那些信息，比如秘密和安全目的。對
于該要求的另一種實際/真實目的在于為CSIRTs/管理者提供可能性，用以實現對IODEF
描述的過濾和/或數據集合功能，而IODEF描述則是為了統計、報告以及CSIRTs和/或他
們的支持者和贊助者之間的高水平事件信息轉換。
因此IODEF描述必須結構化以簡化這些操作。這也意味著要加強IODEF語義學。
4.3 IODEF必須支持對每一個元件訪問限制策略的應用
評論
IODEF事件描述潛在地包括敏感和私人信息（例如密碼、個人/組織標識符或者辯論信息
（證據數據）），在某些情況下這些信息可能會暴露給未經授權的個人。特別地，在CSIRTs
或者其他涉及到的實體之間進行事件信息轉換的情況下，這樣的情形可能會出現。在某些情
況下可以通過加密IODEF組件來完成處理，然而事情不可能總是這樣。
因此，為了防止敏感數據的意外泄漏，IODEF對象的部分必須用訪問限制屬性來標記。
當和自動操作處理系統一起使用的時候這些標記將會非常有用。
5通信機制要求
 IODEF轉換將通常由使用標準協議的人發起，例如，e-mail, 
WWW/HTTP,
LDAP.
評論
IODEF描述通常是由使用專用的或標準的文本編輯器的人創建的。IODEF以通過自動操作
事件處理系統實現處理為目標，但是對于人來說仍然必須是易讀、可見和可用標準工具（例
如，瀏覽器或電子桌面處理器或類似于微軟Excel 或者Access的數據庫工具）瀏覽的。事
件信息轉換將通常需要操作人員或者CSIRT管理人員的認可，因此并不是期望的那樣自動
發起。事件處理系統的作用是為實現轉換提供幫助和工具。
把機制易讀、可交換的IDEF侵入信息格式、人員導向和創建IODEF事件描述各自的目
的區分開來是非常重要的。
通信安全要求根據地方策略將單獨應用，因此在本文獻中沒有給出定義。
6信息內容
6.1 IO描述的根部件應當包括唯一的辨別數字（或者標識符）、IO目
標以及缺省許可級別
評論
唯一的辨別數字（或者標識符）對于把一個事件與另一個事件區分開來是非常必要的。
這意味著唯一的辨別數字將至少包括關于IO創建者的信息，例如CSIRT或相關實體。事件
的分類也可能被用來形成唯一的辨別數字。IO目的是將實際控制那些包含在IODEF對象中
的元件。這些目的可能包括事件報警/注冊、事件處理、存檔、報告或統計。目的、事件類
型或事件研究的狀態可能需要事件信息訪問許可的不同級別。
IODEF的根元件將看作事件<INCIDENT>，而額外的信息將被看作根元件的屬性。
6.2 IODEF描述的內容應當包括攻擊的類型，如果攻擊是可知的
期望攻擊類型能夠從事件的標準列表中提取到，如果事件的類型還沒有被標準化，則事
件的新類型可以使用暫時實行的特別類型。
評論
事件處理可能會涉及到許多不同的職員成員或工作組。因此必不可少地使用通用術語來
描述事件。
如果事件類型還沒有標準化，暫時的類型定義可以由IO的創建組提供。期望新的類型名
將會是自解釋性的并且來自類似現有的類型定義。
6.3 IODEF描述必須結構化以便那些諸如來自CERT/CC, CVE的任
何相關的咨詢都可以涉及到
評論
使用標準咨詢以及可知攻擊和缺陷的列表將允許應用它們對事件處理/預防的評論。這樣
的信息可能會作為攻擊或缺陷類型定義的屬性被包括進來。
6.4 IODEF可以包括引起當前事件攻擊的詳細描述
評論
攻擊的描述包括關于攻擊者和受害人的信息、攻擊的表現現象以及可能的影響。在侵入
的初期階段，報警和事件處理可能是最小的信息，在事件的處理過程中，對于事件調查和補
救來說這一信息將會逐漸變得足夠大。元件攻擊應當是事件描述的主要部分之一。
6.5 IODEF描述必須包括或者能夠涉及與明確的優先事件/行為相關
的額外詳細數據以及經常提到的證據
評論
許多目的事件描述并不需要導致事件發生的明確事件/行為的詳細信息，這種信息可以被
參考作外部信息（通過URL方式）。在某些情況下可以方便地分別存儲有不同訪問許可的證
據。可以預測另一個將要被提議的標準針對證據保管[5]。
6.6 IODEF描述必須包括對攻擊者和受害者的描述
評論
為了辨別攻擊的來源和目標，信息是所必需的。關于攻擊者和受害者的最少信息是他們
的IP或者網絡地址，擴展信息將識別他們的組織，允許CSIRTs為他們的獨特支持者采取
適當的保護措施。
6.7 IODEF描述必須支持設備地址不同類型的表述，例如IP地址（版
本4.0或6.0）和國際互聯網名稱
評論
發起攻擊的站點可能在網絡協議層的不同層次（例如，數據層2 MAC地址，網絡層3 IP
地址）都有地址。另外，涉及到入侵事件的設備可以使用非IP中央的地址，例如ATM地址。
容易理解，關于攻擊的來源和目標的信息可以從IDS中得到，并且包括IP地址或MAC地
址，或者兩者都有。
6.8 IODEF必須包括事件對象創建者（CSIRT或其他權威）的身份
這可能是信息轉換的發送者或當前處理事件的隊列。
評論
事件描述創建者的身份對于事件響應來說通常是有價值的信息。在某一種可能的情況下，
攻擊可能貫穿整個網絡取得進展，通過比較不同權威記錄的相應事件可能會獲得某些關于攻
擊來源的額外信息。這也是在傳遞事件信息處理/轉換階段的有用信息。
6.9 IODEF描述必須包括事件對目標可能影響的說明
如果攻擊被看作是可知的，或者是由可靠CSIRT組成員用公開語言表述的，則該領域的
價值應當從標準列表的評價中得出。
評論
關于事件對目標可能影響的信息，系統提供對攻擊者試圖所要做的說明，提供CSIRTs
用來完成損害評估的關鍵數據的說明。如果沒有可靠的參考信息（咨詢委員會），該領域可
以基于CSIRT工作組的經驗予以實現。
根據當今的資訊委員會（例如，那些來自CERT/CC, CVE等），預計大多數CSIRTs將
會開發事件處理支持系統。這些咨詢委員會通常包括識別攻擊可能影響的列表。
這也與IDEF的開發有關，IDEF將會在智能IDS中得以實現，并能夠從遭受攻擊和帶有
缺陷的標準數據庫中重新找回信息[3]。
6.10 IODEF必須能夠聲明在報告信息中的可信度
評論
在事件的創建階段包含這一信息是必不可少的，特別是在智能自動化IDS或專用系統被
使用的情況下。這些通常使用統計方法用來估計事件的可能性。
6.11 IODEF描述必須提供關于事件過程中以前的CSIRTs采取措施