信息安全技术 网络安全威胁信息表达模型-编制说明

PAGE工作简况任务来源棱镜门”事件揭示，目前敌我之间的网络安全攻防态势已经逐渐发生改变，我国现有网络安全防护能力亟需提升。斯诺登等事件揭示的NSA对我国的攻击手段，目前的技术防护措施难以有效识别发现，针对APT新型的安全攻击，签名、特征、异常等传统检测手段难以从海量的安全事件发现真正的攻击行为，IDS、SOC等传统安全产品使用效率低下，已经不能满足需要，同时国内不同类型、不同厂商的安全设备之间的漏洞、威胁信息不通用，不利于大型网络的维护管理，某一点确认的安全事件不能及时在组织内及时有效地进行共享，组织内部难以有效协同。网络安全威胁信息共享作为一项可以改变整个安全态势的新技术，已经被美国等西方国家所接受和应用，形成了STIX、TAXII、CYBOX、OpenIOC等标准，并正利用此技术建立新一代的国家级网络安全事件响应体系，将其作为解决当前国家级网络安全对抗的有效手段。2015年，《网络安全威胁信息表达模型》正式在全国信息安全标准化技术委员会立项。全国信息安全标准化技术委员会批复中国电子技术标准化研究院牵头承担《网络安全威胁信息表达模型》标准制订任务。《网络安全威胁信息表达模型》由中国电子技术标准化研究院牵头，北京天际友盟信息技术有限公司、奇虎360科技有限公司、公安部第三研究所、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中国科学院信息工程研究所、中电长城网际系统应用有限公司、阿里巴巴（北京）软件服务有限公司、百度中国有限公司、北京神州绿盟信息安全科技股份有限公司、北京启明星辰信息安全技术有限公司、深圳市深信服科技股份有限公司、神州网云（北京）信息技术有限公司、远江盛邦（北京）信息技术有限公司、北京派网软件有限公司、杭州世平信息科技有限公司、北京天融信网络安全技术有限公司、深圳市腾讯计算机系统有限公司、上海交通大学、北京工业大学、西安电子科技大学等单位共同参与起草。主要工作过程1、2015年8月22日至9月3日（集中封闭）：标准编制组成立，广泛调研并重点翻译美国STIX标准，为本标准的编制奠定基础封闭期间，编制组广泛研究了国外威胁信息共享相关标准，包括：美国联邦系统安全控制的建议（NIST800-53）；美国联邦网络威胁信息共享指南（NIST800-150）；STIX结构化威胁表达式其中，编制组详细翻译，并逐条讨论了STIX白皮书、SP800-150。2、2015年12月19日至12月20日（标准研讨会）：初步确定标准题目、适用范围、标准框架2015年12月，STIX标准转移到了OASIS，版本更新到了1.2.1，同时启动了2.0的编写工作，与1.0相比，针对STIX被厂商反应重的问题，删减了核心项和普通项。同时格式由XML修改为JSON。为此，编制组在整理STIX指标项的同时列出了2.0和1.0版本的变化，对国外标准的研究和翻译为后续标准制定工作奠定了坚实基础。3、2016年3月22日至3月23日（集中封闭、标准研讨会）：初步形成标准草案，小范围征求意见3月22日至3月23日，编制组深化上一阶段研究成果，将STIX1.2.1标准分配到各标准编制单位，分组开展研究。组织内部研讨会，成员单位提交了贡献物后，初步确定了指标项；并进行了细化，整理形成第一版、第二版、第三版草案。4、2016年5月13日-5月14日（短期封闭、标准研讨会2次）：完成第二版标准草案，讨论并完善标准的内容2016年5月13日至5月14日，编制组在研究整理国际和国外相关标准规范、编制组详细研究了OASIS近期会议纪要。同时在听取国内使用单位需求的基础上，形成了第四版、第五版标准草案。5、2016年6月13日-6月19日（全国信息安全标准化技术委员会2016年第次一工作组会议周）：完成工作汇报，讨论并完善标准的内容2016年6月13日，编制组在全国信息安全标准化技术委员会2016年第一次工作组“会议周进行工作汇报，工作组成员单位听取了编制组前期的成果，并提出了修改意见。编制组根据修改意见，将标准名称修改为《信息安全技术网络安全威胁信息表达规范》，对内容进行了大规模的修改，同时增加了观测指标实例、传输和共享的规范的内容，形成了第六版标准草案。6、2016年10月18日-10月19日（全国信息安全标准化技术委员会2016年第二次工作组会议周）：完成工作汇报，讨论并完善标准的内容2016年10月18日，编制组在全国信息安全标准化技术委员会2016年第二次工作组“会议周进行工作汇报，工作组成员单位听取了编制组前期的成果，并提出了修改意见。编制组根据修改意见，形成了第七版标准草案。7．2016年11月16日，编制组邀请部分专家和安标委专家，围绕标准草案进行讨论2016年11月16日，编制组邀请部分专家和安标委专家，围绕标准草案进行讨论，并根据专家的修改意见，按照标准格式对标准草案进行了编辑修改，形成了第八版标准草案。将名称修改为《信息安全技术网络安全威胁信息表达模型》，在图例中添加了说明和编号，修订了术语部分对于威胁信息、威胁的定义。8．2017年3月31日，WG7组标准专家评审会根据专家的修改意见，修改了标准草案中的编号等文本格式，形成了第九版标准草案。9．2017年4月7日，编制组邀请部分专家，围绕标准草案进行讨论。根据专家的修改意见，将正文中存储格式和共享方式修改为附录A威胁信息存储格式参考，附录B威胁信息共享方式参考。形成了第十版标准草案。编制原则和主要内容编制原则一是充分吸收已有信息共享相关标准。《网络安全威胁信息表达模型》充分参考了国际、国内有关信息共享的先进标准和技术规范。目前，《网络安全威胁信息表达模型》已将美国STIX、SP800-150等相关标准的长处进行了吸收，基本覆盖了上述标准的要求。二是保持技术中立，在提出要求时，不限制具体的实现方法。中立性是技术标准的基本特性，《网络安全威胁信息表达模型》应当坚持该原则。由于威胁信息共享技术仍处于发展应用的初期，各厂家使用的场景不同。《网络安全威胁信息表达模型》原则上只给出推荐格式，不对具体使用进行约束，以便于为今后的技术发展留下空间。主要内容本标准给出了网络安全威胁信息模型和数据格式，以促进威胁信息的产生和交换。模型可用于建立网络安全威胁信息的基本架构，将其组成信息分解为八个组件，并描述了组件间的关系。资料性附录中对威胁信息的描述及传输方式给出了规范建议，涉及网络安全威胁信息的存储使用用例，安全交换网络威胁信息的参与角色、服务的功能性组件、共享模式和信息服务的类型，以帮助组织改善对新兴威胁的态势感知能力，并使组织在利用现有系统的同时能够很容易地共享他们合作伙伴的信息。通常攻击者需要通过收集其他的攻击者信息、事件信息以及以往的攻击活动属性信息，利用某种工具技术和流程对某系统或攻击对象实施攻击。网络安全本标准就从系统观察动态开始进行威胁信息的收集和分析。整个架构由八个主要组件组成，呈现表象、陷落指标、安全事件、处置动作、威胁源头、突破目标、战役活动、攻击战术。八个组件之间互相关联，彼此映射。系统动态信息的呈现表象来源于子可观察属性、陷落指标、安全事件以及处置方法参数。陷落指标映射出安全事件信息。安全事件映射出战役活动。处置方法映射了安全事件、陷落指标和突破目标。突破目标映射出攻击战术。攻击战术映射出战役活动和陷落指标。突破目标和安全事件又可以进一步映射出威胁源头、攻击战术和战役活动。战役活动又映射出陷落指标信息和威胁源头。通过呈现表象定位到陷落指标、安全事件和处置方法，从处置方法再定位到安全事件、威胁源头、突破目标、战役活动、攻击战术，而安全事件、威胁源头、突破目标、战役活动、攻击战术，又关联回陷落指标和安全事件。最终使得动态信息可观测性、陷落指标、安全事件、处置动作、突破目标、攻击战术、威胁源头和战役活动，八个组件组成了统一的、可循环使用的整体架构。主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果编制组已请北京天际友盟信息技术有限公司、奇虎360科技有限公司、百度中国有限公司、远江盛邦（北京）信息技术有限公司等公司对《网络安全威胁信息表达模型》进行了试用。已开发出支持本标准的产品，标准试用效果良好。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况威胁信息共享标准及其背后的管理政策将会对产业造成重大影响，这必然引起国外机构的强烈关注。为此，编制组专门分析了美国的STIX标准，并在编制阶段有针对性的进行了研究，保持与国际标准的合理衔接。编制组参考、吸收的国外网络安全威胁信息相关标准、规范、指南主要包括：1）《美国联邦系统安全控制的建议》（NIST800-53）。这是美国对联邦政府信息安全的评估标准。2）美国联邦网络威胁信息共享指南（NIST800-150）；该指南定义了美国政府机构间信息共享的方法、流程、可共享的信息、隐私保护。3）STIX结构化威胁表达式，《网络安全威胁信息表达模型》吸收了其成熟的技术要素。本标准力求在技术要素上覆盖国际权威威胁信息共享标准。与国外相关标准的一个显著区别是，国外标准过细，造成使用困难，同时在1.0向2.0的升级过程中，造成了不兼容，导致厂商重复投入资源进行开发，《网络安全威胁信息表达模型》充分吸收了这些经验教训，只定义了总体框架和用例，并未对使用限制过死。与有关的现行法律、法规和强制性国家标准的关系《网络安全威胁信息表达模型》符合现有法律法规的要求。《网络安全威胁信息表达模型》与现有国家标准不矛盾、不冲突，也不重复。重大分歧意见的处理经过和依据《网络安全威胁信息表达模型》编制过程中未出现重大分歧。其他详见意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议《网络安全威胁信息表达模型》作为推荐性国家标准发布实施。贯彻国家标准的要求和措施