国家标准《信息安全技术 网络攻击和网络攻击事件判定准则》（征求意见稿）编制说明

国家标准征求意见稿材料一、工作简况1.1任务来源根据全国信息安全标准化技术委员会2022年国家标准制修订计划建议，《信息安全技术网络攻击和网络攻击事件判定准则》由国家计算机网络应急技术处理协调中心北京分中心负责承办，计划号：202XXXXX-T-XXX。本标准由全国信息安全标准化技术委员会归口管理。1.2制定背景网络攻击的多样化及网络攻击事件的日益增多，推动了网络攻击的检测方法和网络攻击事件分析方法不断升级，也促使各单位、各厂商积极建设网络安全态势感知相关能力。然而，由于缺乏对网络攻击、网络攻击事件的判定和计数标准，各单位、厂商在检测和统计网络攻击、网络攻击事件方面出现较大差异，导致难以有效实现对网络攻击态势的共享和准确感知，难以将各方能力形成合力协同解决网络安全问题。在此背景下，需研制不同类型网络攻击、网络攻击事件的判定和计数标准，为当前网络安全检测和态势分析技术、系统、产品提供统一的参考标准和依据，为有效实现网络攻击态势的共享、研判、提供基础和依据。1.3起草过程标准制定的主要工作过程如下：（1）标准申报和立项2022年5月，信安标委发布《关于发布2项网络安全国家标准需求的通知》后，成立标准编制组，组织CNCERT、国测、中国移动、安天、绿盟、360、奇安信等国内头部企业和安全厂商开展多轮讨论，针对网络攻击和网络攻击事件的判定和统计准则开展研究，形成《信息安全技术网络攻击和网络攻击事件判定准则》标准草案初稿。2022年5月31日，在2022年WG7工作组第二次全体会议线上会议汇报标准文本以及实施应用方案。2022年6月，编制组按照专家意见修改完善标准文本，持续研究国内外相关情况，细化标准实施应用方案，并将相关研究成果反馈信安标委。2022年12月，编制组获得信安标委推荐立项。2023年3月，按照信安标委要求开展参编单位征集。2023年4月，启动试点方案编制工作。2023年2月27日，信安标委发布《关于征集<信息安全技术网络攻击和网络攻击事件判定准则标准>参编单位的通知》，扩充编制组。2023年4月底，编制组对标准草案进一步讨论完善。2023年5月9日，信安标委WG7组组织专家评审，依据专家意见再次修改草案。2023年5月24日，按照相关意见，本标准转为修订GB/T37027-2018，再次修改形成草案。（2）形成征求意见稿2023年5月31日，在2023年WG7第一全体会议上现场汇报草案编制情况。2023年6月1日，根据WG7第一次全体会议工作组会议纪要，建议本标准转为征求意见稿。2023年8月17日，信安标委WG7组组织专家审查，依据专家意见对标准征求意见稿进行修改。2023年8月24日，编制组结合试点实施情况，进一步修改完善征求意见稿，并将最终版反馈信安标委。二、标准编制原则、主要内容及其确定依据2.1标准编制原则（1）通用性本标准的编制应在网络攻击和网络攻击事件判定、态势信息共享工作中，对各类网络攻击（事件）的识别、判定技术指标，该如何开展各类网络攻击（事件）的统计、比较等方面，形成符合当前主流业内实践的、切实可操作的统一认识，切实解决目前攻击检测、安全态势感知能力建设过程中的实际问题，制定具有通用性的规范。（2）实用性根据我国国情、实际使用环境和国家有关政策进行标准的制定，编制的标准应在指导网络攻击和网络攻击事件的判定、态势信息共享等工作中提供具有实用价值的参考。（3）符合性遵循国家有关法律法规和已编制标准规范的相关要求，符合我国恶意软件判定、处置和信息共享等方面的发展情况。（4）简明性标准易于理解、实现和应用。（5）中立性公正、中立，不与任何利益攸关方发生关联。（6）一致性术语与国内外标准所用术语最大程度保持一致，且与相关国家标准保持延续性。2.2主要内容及其确定依据近年来，CNCERT广泛吸纳行业力量，依托行业信息共享，结合我国公共互联网网络安全监测平台监测数据，积极开展我国面临的网络攻击的检测和分析工作。在支撑职能部门开展相关工作外，也积极向全社会发布。从2010年开始，CNCERT每年发布网络安全态势报告，对各类网络攻击和事件进行检测及统计，包括木马和僵尸网络、网站后门、网页篡改、网页仿冒、ddos攻击、apt攻击等等。此外也会开展物联网、云平台、工业控制系统等领域的专题分析研究。通过多年来对网络攻击的判定、统计、分析的业务实践，以及支撑监管部门开展相关工作，CNCERT的态势数据被政府部门、学术机构引用，但同时监管部门也反馈，发现业内存在判定网络攻击来源渠道不清晰，判定标准不统一，计数方式不统一的情况。随着网络安全的持续发展，网络安全信息来源多，且共享上报需求强，网络安全数据的统计规则和标准问题也逐步凸显。因此，为了解决以上问题，需要在业内统一对网络攻击、网络攻击事件的判定方法、指标；统一对网络攻击、网络攻击事件的计数方法。进一步，在方法、指标统一的基础上，便于网络攻击的分析研判及准确感知，进一步便于态势数据的共享利用。本标准在GB/T37027-2018的基础上，参照网络安全事件、网络攻击事件管理的相关法规、政策、标准、技术和管理等成果，参考GB/T20986《信息安全技术网络安全事件分类分级指南》等国家标准中对网络攻击事件的定义，并充分调研主管部门的需求，以及国内国家级技术支撑机构、重要企业、网络安全厂商的重要实践，尝试让各方形成符合当前主流业内实践的、切实可操作的统一认识，切实解决目前攻击检测、安全态势感知能力建设过程中的实际问题，支撑监管部门做好态势感知及研判。对比原GB/T37027-2018，本次修订拟包括的主要技术内容有：定义不同类型网络攻击、网络攻击事件的判定指标和计数标准，以判定何为“1次”网络攻击、“1次”网络攻击事件。本文件适用于指导网络或信息系统运营者、安全厂商、行业主管机构、监管机构进行系统建设、运维、管理时对网络安全的设计、感知与评估。具体包括以下几个方面的技术内容：1、网络攻击和网络攻击事件概念及不同本标准研究网络攻击和网络攻击事件的概念，两者之间的区别与不同。1）网络攻击的定义指通过计算机、路由器等计算资源和网络资源，利用网络中存在的漏洞和安全缺陷实施的一种行为，其目的在于窃取、篡改、破坏网络和数据设施中传输和存储的信息；或延缓、中断网络和数据服务；或破坏、摧毁、控制网络和数据基础设施。2）网络攻击事件的定义网络攻击造成或潜在造成业务损失或社会危害的网络安全事件，包括一次或多次被识别的网络攻击。2、网络攻击的描述、判定指标和计数标准1）网络攻击的描述基本的信息要素包括：标识号、攻击对象、攻击对象分类、攻击源、攻击技术手段、攻击时间。扩展信息要素包括：网络攻击名称、安全漏洞、安全漏洞类型、攻击源详细信息、攻击阶段、攻击详细信息、判定方法、扩展信息。2）网络攻击的判定指标对网络扫描探测攻击、网络钓鱼攻击、漏洞利用攻击、后门利用攻击、后门植入攻击、凭据攻击、信号干扰攻击、拒绝服务攻击、网页篡改攻击、暗链植入攻击、域名劫持攻击、域名转嫁攻击、DNS污染攻击、WLAN劫持攻击、流量劫持攻击、BGP劫持攻击、广播欺诈攻击、失陷主机攻击、其他网络攻击的判定指标进行分类定义。3）网络攻击的计数标准定义了什么是“单次网络攻击”，以及如何开展网络攻击的计数。此外也讨论了多个网络攻击技术结果的合并计算条件。3、网络攻击事件的描述、判定指标和计数标准1）网络攻击事件的网络攻击的描述基本的信息要素包括：标识号、事件时间、事件类型、攻击对象、攻击对象类型、攻击源、事件影响。扩展信息要素包括：网络攻击事件名称、事件分级、事件详细信息、安全漏洞、安全漏洞分类、攻击源详细信息、攻击动机、判定方法、扩展信息。2）网络攻击事件的判定指标判定网络攻击事件需同时满足两个条件：一是已判定单个或多个相关的网络攻击；二是已判定的网络攻击造成或潜在造成业务损失或社会危害。3）网络攻击事件的计数标准定义了什么是“单次网络攻击事件”，以及如何开展网络攻击事件的计数。此外也讨论了多个网络攻击事件技术结果的合并计算条件。其中单个网络攻击事件指在一个统计周期内，被判定的相关网络行为，需要具有一个或多个相同要素信息的一次或者多次网络攻击。2.3修订前后技术内容的对比[仅适用于国家标准修订项目]本文件代替GB/T37027—2018《信息安全技术网络攻击定义及描述规范》，与GB/T37027—2018相比，除结构调整和编辑性改动外，主要技术变化如下：a) 调整了网络攻击的定义（见3.1）；b) 增加了网络攻击事件的定义（见3.2）；c) 调整了网络攻击的描述（见5.1）；d) 调整了对安全漏洞的描述，删除“表3安全漏洞分类表”，改为“见GB/T30279—2020”（见5.1、5.2）；e) 调整了对攻击方式的描述，删除“表2攻击方式分类表”，改为与GB/T20986—2023具有一致性的19类攻击技术手段（见5.1、6.1）；f) 增加了网络攻击事件的描述（见5.2）；g) 删除了对攻击严重程度的描述，增加了与GB/T20986—2023具有一致性的事件分级描述（见5.2）；h) 删除了对攻击后果的描述，增加了与GB/T20986—2023具有一致性的事件影响描述（见5.2）；i) 增加了网络攻击的判定指标（见6.1）；j) 增加了网络攻击事件的判定指标（见6.2）；k) 增加了网络攻击的计数标准（见7.1）；l) 增加了网络攻击事件的计数标准（见7.2）。m) 调整了对攻击对象分类的描述，对“表1攻击对象分类表”的内容进行调整，并将表名改为“表A.1攻击对象类型表”，从正文中删除，作为资料性附录（见附录B）；n) 调整了对典型网络攻击过程的描述（见附录C）；o) 增加了网络攻击和网络攻击事件的典型判定方法（见附录D）；本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告共征集到50余家有参编意向的参编单位，目前初步选定包括CNCERT、国测、公安部三所、中国移动、信工所、360、奇安信、安天等30家单位开展标准研制，结合各自对网络攻击和网络攻击事件的判定和统计等情况开展研制标准。参编单位根据长期一线的实践经验，提出了具有符合性和可操作性的技术方案。本标准可指导网络或信息系统运营者、安全厂商、行业主管机构、监管机构进行系统建设、运维、管理时对网络安全的设计、感知与评估。参编单位中的网络安全企业可以作为推广试点，通过推广试点，对国家标准内容的可操作性和适用性进行验证，探索形成标准实施应用工作模式，提升我国网络攻击事件研判、网络安全态势信息共享等方面能力。3.2技术经济论证无。3.3预期的经济效益、社会效益和生态效益本标准适用于安全厂商、网络与信息系统运营者、行业主管、监管部门、地方网络安全管理、职能部门、科研院所、大型企业等。适用于指导网络或信息系统运营者、安全厂商、行业主管机构、监管机构进行系统建设、运维、管理时对网络安全的设计、感知与评估。可应用于网络攻击及网络攻击事件的检测识别、统计上报，以及各方网络安全数据融合、安全态势感知研判等。可涵盖重大信息报送、重保信息报送、各行业、各区域以及国家级态势感知能力建设等，可为网络运营者、网络安全厂商、网络监管机构进行网络建设、运维、管理时对网络安全的设计、感知与评估提供指导，提出不同类型网络攻击、网络攻击事件的判定指标，以判定何为“1次”网络攻击、“1次”网络攻击事件。期望形成符合当前主流业内实践的、切实可操作的统一认识，切实解决目前攻击检测、安全态势感知能力建设过程中的实际问题，支撑监管部门做好态势感知及研判。预计作用和效益为拟解决当前网络攻击、网络攻击事件判定和计数标准不统一，导致各单位识别和统计网络攻击出现较大差异、难以实现网络攻击态势的共享和准确感知等问题。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况不涉及。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因不涉及。六、与有关法律、行政法规及相关标准的关系本标准为落实《中华人民共和国网络安全法》和《国家网络安全事件应急预案》等相关要求，符合现有法律法规的要求。本标准与国内相关标准一致，可配套支持《信息安全技术网络安全事件分类分级指南》等国家标准。七、重大分歧意见的处理经过和依据无。八、涉及专利的