ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T36643—2018

信息安全技術(shù)

網(wǎng)絡(luò)安全威脅信息格式規(guī)范

Informationsecuritytechnology—Cybersecuritythreatinformationformat

2018-10-10發(fā)布2019-05-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T36643—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

網(wǎng)絡(luò)安全威脅信息模型

5…………………2

概述

5.1…………………2

威脅信息維度

5.2………………………2

威脅信息組件

5.3………………………2

網(wǎng)絡(luò)安全威脅信息組件

6…………………4

概述

6.1…………………4

可觀測(cè)數(shù)據(jù)

6.2…………………………4

攻擊指標(biāo)

6.3……………10

安全事件

6.4……………12

攻擊活動(dòng)

6.5……………13

攻擊方法

6.6……………15

應(yīng)對(duì)措施

6.7……………16

威脅主體

6.8……………17

攻擊目標(biāo)

6.9……………18

附錄資料性附錄采用表示的完整網(wǎng)絡(luò)安全威脅信息示例

A()JSON………………20

參考文獻(xiàn)

……………………28

Ⅰ

GB/T36643—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院北京賽西科技發(fā)展有限責(zé)任公司北京天際友盟信

:、、

息技術(shù)有限公司北京奇安信科技有限公司中國(guó)科學(xué)院信息工程研究所公安部第三研究所中國(guó)信息

、、、、

安全測(cè)評(píng)中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國(guó)電子科

、、、

技網(wǎng)絡(luò)信息安全有限公司阿里巴巴北京軟件服務(wù)有限公司百度在線網(wǎng)絡(luò)技術(shù)北京有限公司北

、()、()、

京神州綠盟信息安全科技股份有限公司北京啟明星辰信息安全技術(shù)有限公司神州網(wǎng)云北京信息技

、、()

術(shù)有限公司遠(yuǎn)江盛邦北京網(wǎng)絡(luò)安全科技股份有限公司北京君源創(chuàng)投投資管理有限公司北京派網(wǎng)

、()、、

軟件有限公司深信服科技股份有限公司中國(guó)科學(xué)院軟件研究所北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司

、、、、

騰訊云計(jì)算北京有限責(zé)任公司上海交通大學(xué)北京工業(yè)大學(xué)西安電子科技大學(xué)北京郵電大學(xué)北

()、、、、、

京中電普華信息技術(shù)有限公司中國(guó)人民公安大學(xué)武漢大學(xué)

、、。

本標(biāo)準(zhǔn)主要起草人蔡磊葉潤(rùn)國(guó)楊建軍劉賢剛范科峰閔京華鮑旭華劉威歆馮偵探

:、、、、、、、、、

金湘宇董曉康楊大路楊澤明李克鵬李強(qiáng)宋超孫薇賀新朋李宗洋孫波梁露露宋好好

、、、、、、、、、、、、、

王惠蒞劉慧晶孫成勝權(quán)曉文李建華雷曉鋒裴慶祺易錦劉玉嶺李衍史博孫朝暉周毅

、、、、、、、、、、、、、

鄒榮新曾志峰葉建偉楊震馬占宇翟湛鵬曹占峰姜政偉杜彥輝王麗娜

、、、、、、、、、。

Ⅲ

GB/T36643—2018

引言

隨著網(wǎng)絡(luò)攻防對(duì)抗博弈的日益加劇網(wǎng)絡(luò)攻擊方式和攻擊手法呈現(xiàn)出多樣性復(fù)雜性特點(diǎn)網(wǎng)絡(luò)安

,、,

全威脅具有越來(lái)越明顯的普遍性和持續(xù)性且攻擊者獲取攻擊工具越來(lái)越便利導(dǎo)致網(wǎng)絡(luò)攻擊成本大大

,,

降低檢測(cè)網(wǎng)絡(luò)攻擊的難度卻越來(lái)越大傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方案僅僅依靠各個(gè)組織獨(dú)立實(shí)施垂直的

、。

防護(hù)機(jī)制在應(yīng)對(duì)這些復(fù)雜網(wǎng)絡(luò)攻擊時(shí)顯得越來(lái)越低效亟待采取新的技術(shù)手段來(lái)提升整體網(wǎng)絡(luò)安全防

,,

護(hù)能力

。

網(wǎng)絡(luò)安全威脅信息共享和利用是提升整體網(wǎng)絡(luò)安全防護(hù)效率的重要措施旨在采用多種技術(shù)手段

,,

通過(guò)采集大規(guī)模多渠道的碎片式攻擊或異常數(shù)據(jù)集中地進(jìn)行深度融合歸并和分析形成與網(wǎng)絡(luò)安全

、,、,

防護(hù)有關(guān)的威脅信息線索并在此基礎(chǔ)上進(jìn)行主動(dòng)協(xié)同式的網(wǎng)絡(luò)安全威脅預(yù)警檢測(cè)和響應(yīng)以降低網(wǎng)

,、、,

絡(luò)安全威脅的防護(hù)成本并提升整體的網(wǎng)絡(luò)安全防護(hù)效率

,。

網(wǎng)絡(luò)安全威脅信息的共享和利用是實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的重要環(huán)節(jié)有利于實(shí)現(xiàn)跨組

,

織的網(wǎng)絡(luò)安全威脅信息的快速傳遞進(jìn)而實(shí)現(xiàn)對(duì)復(fù)雜網(wǎng)絡(luò)安全威脅的及時(shí)發(fā)現(xiàn)和快速響應(yīng)

,。

規(guī)范網(wǎng)絡(luò)安全威脅信息的格式和交換方式是實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅信息共享和利用的前提和基礎(chǔ)因

,

此它在推動(dòng)網(wǎng)絡(luò)安全威脅信息技術(shù)發(fā)展和產(chǎn)業(yè)化應(yīng)用方面具有重要意義

。

Ⅳ

GB/T36643—2018

信息安全技術(shù)

網(wǎng)絡(luò)安全威脅信息格式規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全威脅信息模型和網(wǎng)絡(luò)安全威脅信息組件包括網(wǎng)絡(luò)安全威脅信息中各組件

,

的屬性和屬性值格式等信息

。

本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)安全威脅信息供方和需方之間進(jìn)行網(wǎng)絡(luò)安全威脅信息的生成共享和使用網(wǎng)絡(luò)

、,

安全威脅信息共享平臺(tái)的建設(shè)和運(yùn)營(yíng)可參考使用

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分簡(jiǎn)介和一般

GB/T18336.1—20151:

模型

信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第部分簡(jiǎn)介和一般模型

GB/T20274.1—20061:

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范

GB/T28458—2012

3術(shù)語(yǔ)和定義

和界定的以及下列術(shù)語(yǔ)和定義適

GB/T18336.1—2015、GB/T20274.1—2006GB/T25069—2010

用于