國家標(biāo)準(zhǔn)征求意見稿材料一、工作簡況1.1任務(wù)來源根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2022年國家標(biāo)準(zhǔn)制修訂計劃建議，《信息安全技術(shù)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準(zhǔn)則》由國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心負(fù)責(zé)承辦，計劃號：202XXXXX-T-XXX。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。1.2制定背景網(wǎng)絡(luò)攻擊的多樣化及網(wǎng)絡(luò)攻擊事件的日益增多，推動了網(wǎng)絡(luò)攻擊的檢測方法和網(wǎng)絡(luò)攻擊事件分析方法不斷升級，也促使各單位、各廠商積極建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)能力。然而，由于缺乏對網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件的判定和計數(shù)標(biāo)準(zhǔn)，各單位、廠商在檢測和統(tǒng)計網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件方面出現(xiàn)較大差異，導(dǎo)致難以有效實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊態(tài)勢的共享和準(zhǔn)確感知，難以將各方能力形成合力協(xié)同解決網(wǎng)絡(luò)安全問題。在此背景下，需研制不同類型網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件的判定和計數(shù)標(biāo)準(zhǔn)，為當(dāng)前網(wǎng)絡(luò)安全檢測和態(tài)勢分析技術(shù)、系統(tǒng)、產(chǎn)品提供統(tǒng)一的參考標(biāo)準(zhǔn)和依據(jù)，為有效實(shí)現(xiàn)網(wǎng)絡(luò)攻擊態(tài)勢的共享、研判、提供基礎(chǔ)和依據(jù)。1.3起草過程標(biāo)準(zhǔn)制定的主要工作過程如下：（1）標(biāo)準(zhǔn)申報和立項(xiàng)2022年5月，信安標(biāo)委發(fā)布《關(guān)于發(fā)布2項(xiàng)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求的通知》后，成立標(biāo)準(zhǔn)編制組，組織CNCERT、國測、中國移動、安天、綠盟、360、奇安信等國內(nèi)頭部企業(yè)和安全廠商開展多輪討論，針對網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的判定和統(tǒng)計準(zhǔn)則開展研究，形成《信息安全技術(shù)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準(zhǔn)則》標(biāo)準(zhǔn)草案初稿。2022年5月31日，在2022年WG7工作組第二次全體會議線上會議匯報標(biāo)準(zhǔn)文本以及實(shí)施應(yīng)用方案。2022年6月，編制組按照專家意見修改完善標(biāo)準(zhǔn)文本，持續(xù)研究國內(nèi)外相關(guān)情況，細(xì)化標(biāo)準(zhǔn)實(shí)施應(yīng)用方案，并將相關(guān)研究成果反饋信安標(biāo)委。2022年12月，編制組獲得信安標(biāo)委推薦立項(xiàng)。2023年3月，按照信安標(biāo)委要求開展參編單位征集。2023年4月，啟動試點(diǎn)方案編制工作。2023年2月27日，信安標(biāo)委發(fā)布《關(guān)于征集<信息安全技術(shù)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準(zhǔn)則標(biāo)準(zhǔn)>參編單位的通知》，擴(kuò)充編制組。2023年4月底，編制組對標(biāo)準(zhǔn)草案進(jìn)一步討論完善。2023年5月9日，信安標(biāo)委WG7組組織專家評審，依據(jù)專家意見再次修改草案。2023年5月24日，按照相關(guān)意見，本標(biāo)準(zhǔn)轉(zhuǎn)為修訂GB/T37027-2018，再次修改形成草案。（2）形成征求意見稿2023年5月31日，在2023年WG7第一全體會議上現(xiàn)場匯報草案編制情況。2023年6月1日，根據(jù)WG7第一次全體會議工作組會議紀(jì)要，建議本標(biāo)準(zhǔn)轉(zhuǎn)為征求意見稿。2023年8月17日，信安標(biāo)委WG7組組織專家審查，依據(jù)專家意見對標(biāo)準(zhǔn)征求意見稿進(jìn)行修改。2023年8月24日，編制組結(jié)合試點(diǎn)實(shí)施情況，進(jìn)一步修改完善征求意見稿，并將最終版反饋信安標(biāo)委。二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)2.1標(biāo)準(zhǔn)編制原則（1）通用性本標(biāo)準(zhǔn)的編制應(yīng)在網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定、態(tài)勢信息共享工作中，對各類網(wǎng)絡(luò)攻擊（事件）的識別、判定技術(shù)指標(biāo)，該如何開展各類網(wǎng)絡(luò)攻擊（事件）的統(tǒng)計、比較等方面，形成符合當(dāng)前主流業(yè)內(nèi)實(shí)踐的、切實(shí)可操作的統(tǒng)一認(rèn)識，切實(shí)解決目前攻擊檢測、安全態(tài)勢感知能力建設(shè)過程中的實(shí)際問題，制定具有通用性的規(guī)范。（2）實(shí)用性根據(jù)我國國情、實(shí)際使用環(huán)境和國家有關(guān)政策進(jìn)行標(biāo)準(zhǔn)的制定，編制的標(biāo)準(zhǔn)應(yīng)在指導(dǎo)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的判定、態(tài)勢信息共享等工作中提供具有實(shí)用價值的參考。（3）符合性遵循國家有關(guān)法律法規(guī)和已編制標(biāo)準(zhǔn)規(guī)范的相關(guān)要求，符合我國惡意軟件判定、處置和信息共享等方面的發(fā)展情況。（4）簡明性標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用。（5）中立性公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)。（6）一致性術(shù)語與國內(nèi)外標(biāo)準(zhǔn)所用術(shù)語最大程度保持一致，且與相關(guān)國家標(biāo)準(zhǔn)保持延續(xù)性。2.2主要內(nèi)容及其確定依據(jù)近年來，CNCERT廣泛吸納行業(yè)力量，依托行業(yè)信息共享，結(jié)合我國公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測平臺監(jiān)測數(shù)據(jù)，積極開展我國面臨的網(wǎng)絡(luò)攻擊的檢測和分析工作。在支撐職能部門開展相關(guān)工作外，也積極向全社會發(fā)布。從2010年開始，CNCERT每年發(fā)布網(wǎng)絡(luò)安全態(tài)勢報告，對各類網(wǎng)絡(luò)攻擊和事件進(jìn)行檢測及統(tǒng)計，包括木馬和僵尸網(wǎng)絡(luò)、網(wǎng)站后門、網(wǎng)頁篡改、網(wǎng)頁仿冒、ddos攻擊、apt攻擊等等。此外也會開展物聯(lián)網(wǎng)、云平臺、工業(yè)控制系統(tǒng)等領(lǐng)域的專題分析研究。通過多年來對網(wǎng)絡(luò)攻擊的判定、統(tǒng)計、分析的業(yè)務(wù)實(shí)踐，以及支撐監(jiān)管部門開展相關(guān)工作，CNCERT的態(tài)勢數(shù)據(jù)被政府部門、學(xué)術(shù)機(jī)構(gòu)引用，但同時監(jiān)管部門也反饋，發(fā)現(xiàn)業(yè)內(nèi)存在判定網(wǎng)絡(luò)攻擊來源渠道不清晰，判定標(biāo)準(zhǔn)不統(tǒng)一，計數(shù)方式不統(tǒng)一的情況。隨著網(wǎng)絡(luò)安全的持續(xù)發(fā)展，網(wǎng)絡(luò)安全信息來源多，且共享上報需求強(qiáng)，網(wǎng)絡(luò)安全數(shù)據(jù)的統(tǒng)計規(guī)則和標(biāo)準(zhǔn)問題也逐步凸顯。因此，為了解決以上問題，需要在業(yè)內(nèi)統(tǒng)一對網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件的判定方法、指標(biāo)；統(tǒng)一對網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件的計數(shù)方法。進(jìn)一步，在方法、指標(biāo)統(tǒng)一的基礎(chǔ)上，便于網(wǎng)絡(luò)攻擊的分析研判及準(zhǔn)確感知，進(jìn)一步便于態(tài)勢數(shù)據(jù)的共享利用。本標(biāo)準(zhǔn)在GB/T37027-2018的基礎(chǔ)上，參照網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)攻擊事件管理的相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)、技術(shù)和管理等成果，參考GB/T20986《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南》等國家標(biāo)準(zhǔn)中對網(wǎng)絡(luò)攻擊事件的定義，并充分調(diào)研主管部門的需求，以及國內(nèi)國家級技術(shù)支撐機(jī)構(gòu)、重要企業(yè)、網(wǎng)絡(luò)安全廠商的重要實(shí)踐，嘗試讓各方形成符合當(dāng)前主流業(yè)內(nèi)實(shí)踐的、切實(shí)可操作的統(tǒng)一認(rèn)識，切實(shí)解決目前攻擊檢測、安全態(tài)勢感知能力建設(shè)過程中的實(shí)際問題，支撐監(jiān)管部門做好態(tài)勢感知及研判。對比原GB/T37027-2018，本次修訂擬包括的主要技術(shù)內(nèi)容有：定義不同類型網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件的判定指標(biāo)和計數(shù)標(biāo)準(zhǔn)，以判定何為“1次”網(wǎng)絡(luò)攻擊、“1次”網(wǎng)絡(luò)攻擊事件。本文件適用于指導(dǎo)網(wǎng)絡(luò)或信息系統(tǒng)運(yùn)營者、安全廠商、行業(yè)主管機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)進(jìn)行系統(tǒng)建設(shè)、運(yùn)維、管理時對網(wǎng)絡(luò)安全的設(shè)計、感知與評估。具體包括以下幾個方面的技術(shù)內(nèi)容：1、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件概念及不同本標(biāo)準(zhǔn)研究網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的概念，兩者之間的區(qū)別與不同。1）網(wǎng)絡(luò)攻擊的定義指通過計算機(jī)、路由器等計算資源和網(wǎng)絡(luò)資源，利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷實(shí)施的一種行為，其目的在于竊取、篡改、破壞網(wǎng)絡(luò)和數(shù)據(jù)設(shè)施中傳輸和存儲的信息；或延緩、中斷網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)；或破壞、摧毀、控制網(wǎng)絡(luò)和數(shù)據(jù)基礎(chǔ)設(shè)施。2）網(wǎng)絡(luò)攻擊事件的定義網(wǎng)絡(luò)攻擊造成或潛在造成業(yè)務(wù)損失或社會危害的網(wǎng)絡(luò)安全事件，包括一次或多次被識別的網(wǎng)絡(luò)攻擊。2、網(wǎng)絡(luò)攻擊的描述、判定指標(biāo)和計數(shù)標(biāo)準(zhǔn)1）網(wǎng)絡(luò)攻擊的描述基本的信息要素包括：標(biāo)識號、攻擊對象、攻擊對象分類、攻擊源、攻擊技術(shù)手段、攻擊時間。擴(kuò)展信息要素包括：網(wǎng)絡(luò)攻擊名稱、安全漏洞、安全漏洞類型、攻擊源詳細(xì)信息、攻擊階段、攻擊詳細(xì)信息、判定方法、擴(kuò)展信息。2）網(wǎng)絡(luò)攻擊的判定指標(biāo)對網(wǎng)絡(luò)掃描探測攻擊、網(wǎng)絡(luò)釣魚攻擊、漏洞利用攻擊、后門利用攻擊、后門植入攻擊、憑據(jù)攻擊、信號干擾攻擊、拒絕服務(wù)攻擊、網(wǎng)頁篡改攻擊、暗鏈植入攻擊、域名劫持攻擊、域名轉(zhuǎn)嫁攻擊、DNS污染攻擊、WLAN劫持攻擊、流量劫持攻擊、BGP劫持攻擊、廣播欺詐攻擊、失陷主機(jī)攻擊、其他網(wǎng)絡(luò)攻擊的判定指標(biāo)進(jìn)行分類定義。3）網(wǎng)絡(luò)攻擊的計數(shù)標(biāo)準(zhǔn)定義了什么是“單次網(wǎng)絡(luò)攻擊”，以及如何開展網(wǎng)絡(luò)攻擊的計數(shù)。此外也討論了多個網(wǎng)絡(luò)攻擊技術(shù)結(jié)果的合并計算條件。3、網(wǎng)絡(luò)攻擊事件的描述、判定指標(biāo)和計數(shù)標(biāo)準(zhǔn)1）網(wǎng)絡(luò)攻擊事件的網(wǎng)絡(luò)攻擊的描述基本的信息要素包括：標(biāo)識號、事件時間、事件類型、攻擊對象、攻擊對象類型、攻擊源、事件影響。擴(kuò)展信息要素包括：網(wǎng)絡(luò)攻擊事件名稱、事件分級、事件詳細(xì)信息、安全漏洞、安全漏洞分類、攻擊源詳細(xì)信息、攻擊動機(jī)、判定方法、擴(kuò)展信息。2）網(wǎng)絡(luò)攻擊事件的判定指標(biāo)判定網(wǎng)絡(luò)攻擊事件需同時滿足兩個條件：一是已判定單個或多個相關(guān)的網(wǎng)絡(luò)攻擊；二是已判定的網(wǎng)絡(luò)攻擊造成或潛在造成業(yè)務(wù)損失或社會危害。3）網(wǎng)絡(luò)攻擊事件的計數(shù)標(biāo)準(zhǔn)定義了什么是“單次網(wǎng)絡(luò)攻擊事件”，以及如何開展網(wǎng)絡(luò)攻擊事件的計數(shù)。此外也討論了多個網(wǎng)絡(luò)攻擊事件技術(shù)結(jié)果的合并計算條件。其中單個網(wǎng)絡(luò)攻擊事件指在一個統(tǒng)計周期內(nèi)，被判定的相關(guān)網(wǎng)絡(luò)行為，需要具有一個或多個相同要素信息的一次或者多次網(wǎng)絡(luò)攻擊。2.3修訂前后技術(shù)內(nèi)容的對比[僅適用于國家標(biāo)準(zhǔn)修訂項(xiàng)目]本文件代替GB/T37027—2018《信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》，與GB/T37027—2018相比，除結(jié)構(gòu)調(diào)整和編輯性改動外，主要技術(shù)變化如下：a) 調(diào)整了網(wǎng)絡(luò)攻擊的定義（見3.1）；b) 增加了網(wǎng)絡(luò)攻擊事件的定義（見3.2）；c) 調(diào)整了網(wǎng)絡(luò)攻擊的描述（見5.1）；d) 調(diào)整了對安全漏洞的描述，刪除“表3安全漏洞分類表”，改為“見GB/T30279—2020”（見5.1、5.2）；e) 調(diào)整了對攻擊方式的描述，刪除“表2攻擊方式分類表”，改為與GB/T20986—2023具有一致性的19類攻擊技術(shù)手段（見5.1、6.1）；f) 增加了網(wǎng)絡(luò)攻擊事件的描述（見5.2）；g) 刪除了對攻擊嚴(yán)重程度的描述，增加了與GB/T20986—2023具有一致性的事件分級描述（見5.2）；h) 刪除了對攻擊后果的描述，增加了與GB/T20986—2023具有一致性的事件影響描述（見5.2）；i) 增加了網(wǎng)絡(luò)攻擊的判定指標(biāo)（見6.1）；j) 增加了網(wǎng)絡(luò)攻擊事件的判定指標(biāo)（見6.2）；k) 增加了網(wǎng)絡(luò)攻擊的計數(shù)標(biāo)準(zhǔn)（見7.1）；l) 增加了網(wǎng)絡(luò)攻擊事件的計數(shù)標(biāo)準(zhǔn)（見7.2）。m) 調(diào)整了對攻擊對象分類的描述，對“表1攻擊對象分類表”的內(nèi)容進(jìn)行調(diào)整，并將表名改為“表A.1攻擊對象類型表”，從正文中刪除，作為資料性附錄（見附錄B）；n) 調(diào)整了對典型網(wǎng)絡(luò)攻擊過程的描述（見附錄C）；o) 增加了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的典型判定方法（見附錄D）；本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。三、試驗(yàn)驗(yàn)證的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會效益和生態(tài)效益3.1試驗(yàn)驗(yàn)證的分析、綜述報告共征集到50余家有參編意向的參編單位，目前初步選定包括CNCERT、國測、公安部三所、中國移動、信工所、360、奇安信、安天等30家單位開展標(biāo)準(zhǔn)研制，結(jié)合各自對網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的判定和統(tǒng)計等情況開展研制標(biāo)準(zhǔn)。參編單位根據(jù)長期一線的實(shí)踐經(jīng)驗(yàn)，提出了具有符合性和可操作性的技術(shù)方案。本標(biāo)準(zhǔn)可指導(dǎo)網(wǎng)絡(luò)或信息系統(tǒng)運(yùn)營者、安全廠商、行業(yè)主管機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)進(jìn)行系統(tǒng)建設(shè)、運(yùn)維、管理時對網(wǎng)絡(luò)安全的設(shè)計、感知與評估。參編單位中的網(wǎng)絡(luò)安全企業(yè)可以作為推廣試點(diǎn)，通過推廣試點(diǎn)，對國家標(biāo)準(zhǔn)內(nèi)容的可操作性和適用性進(jìn)行驗(yàn)證，探索形成標(biāo)準(zhǔn)實(shí)施應(yīng)用工作模式，提升我國網(wǎng)絡(luò)攻擊事件研判、網(wǎng)絡(luò)安全態(tài)勢信息共享等方面能力。3.2技術(shù)經(jīng)濟(jì)論證無。3.3預(yù)期的經(jīng)濟(jì)效益、社會效益和生態(tài)效益本標(biāo)準(zhǔn)適用于安全廠商、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營者、行業(yè)主管、監(jiān)管部門、地方網(wǎng)絡(luò)安全管理、職能部門、科研院所、大型企業(yè)等。適用于指導(dǎo)網(wǎng)絡(luò)或信息系統(tǒng)運(yùn)營者、安全廠商、行業(yè)主管機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)進(jìn)行系統(tǒng)建設(shè)、運(yùn)維、管理時對網(wǎng)絡(luò)安全的設(shè)計、感知與評估?？蓱?yīng)用于網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)攻擊事件的檢測識別、統(tǒng)計上報，以及各方網(wǎng)絡(luò)安全數(shù)據(jù)融合、安全態(tài)勢感知研判等?？珊w重大信息報送、重保信息報送、各行業(yè)、各區(qū)域以及國家級態(tài)勢感知能力建設(shè)等，可為網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)安全廠商、網(wǎng)絡(luò)監(jiān)管機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)建設(shè)、運(yùn)維、管理時對網(wǎng)絡(luò)安全的設(shè)計、感知與評估提供指導(dǎo)，提出不同類型網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件的判定指標(biāo)，以判定何為“1次”網(wǎng)絡(luò)攻擊、“1次”網(wǎng)絡(luò)攻擊事件。期望形成符合當(dāng)前主流業(yè)內(nèi)實(shí)踐的、切實(shí)可操作的統(tǒng)一認(rèn)識，切實(shí)解決目前攻擊檢測、安全態(tài)勢感知能力建設(shè)過程中的實(shí)際問題，支撐監(jiān)管部門做好態(tài)勢感知及研判。預(yù)計作用和效益為擬解決當(dāng)前網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件判定和計數(shù)標(biāo)準(zhǔn)不統(tǒng)一，導(dǎo)致各單位識別和統(tǒng)計網(wǎng)絡(luò)攻擊出現(xiàn)較大差異、難以實(shí)現(xiàn)網(wǎng)絡(luò)攻擊態(tài)勢的共享和準(zhǔn)確感知等問題。四、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況不涉及。五、以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標(biāo)準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因不涉及。六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)為落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》和《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等相關(guān)要求，符合現(xiàn)有法律法規(guī)的要求。本標(biāo)準(zhǔn)與國內(nèi)相關(guān)標(biāo)準(zhǔn)一致，可配套支持《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南》等國家標(biāo)準(zhǔn)。七、重大分歧意見的處理經(jīng)過和依據(jù)無。八、涉及專利的