版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
国家标准征求意见稿材料
一、工作简况
1.1任务来源
根据全国信息安全标准化技术委员会2022年国家标准制修订计划建议,《信
息安全技术网络攻击和网络攻击事件判定准则》由国家计算机网络应急技术处
理协调中心北京分中心负责承办,计划号:202XXXXX-T-XXX。本标准由全国
信息安全标准化技术委员会归口管理。
1.2制定背景
网络攻击的多样化及网络攻击事件的日益增多,推动了网络攻击的检测方法
和网络攻击事件分析方法不断升级,也促使各单位、各厂商积极建设网络安全态
势感知相关能力。然而,由于缺乏对网络攻击、网络攻击事件的判定和计数标准,
各单位、厂商在检测和统计网络攻击、网络攻击事件方面出现较大差异,导致难
以有效实现对网络攻击态势的共享和准确感知,难以将各方能力形成合力协同解
决网络安全问题。
在此背景下,需研制不同类型网络攻击、网络攻击事件的判定和计数标准,
为当前网络安全检测和态势分析技术、系统、产品提供统一的参考标准和依据,
为有效实现网络攻击态势的共享、研判、提供基础和依据。
1.3起草过程
标准制定的主要工作过程如下:
(1)标准申报和立项
2022年5月,信安标委发布《关于发布2项网络安全国家标准需求的通知》
后,成立标准编制组,组织CNCERT、国测、中国移动、安天、绿盟、360、奇
安信等国内头部企业和安全厂商开展多轮讨论,针对网络攻击和网络攻击事件的
判定和统计准则开展研究,形成《信息安全技术网络攻击和网络攻击事件判定
准则》标准草案初稿。
2022年5月31日,在2022年WG7工作组第二次全体会议线上会议汇报标
准文本以及实施应用方案。
2022年6月,编制组按照专家意见修改完善标准文本,持续研究国内外相
关情况,细化标准实施应用方案,并将相关研究成果反馈信安标委。
2022年12月,编制组获得信安标委推荐立项。
1
国家标准征求意见稿材料
2023年3月,按照信安标委要求开展参编单位征集。
2023年4月,启动试点方案编制工作。
2023年2月27日,信安标委发布《关于征集<信息安全技术网络攻击和网
络攻击事件判定准则标准>参编单位的通知》,扩充编制组。
2023年4月底,编制组对标准草案进一步讨论完善。
2023年5月9日,信安标委WG7组组织专家评审,依据专家意见再次修改
草案。
2023年5月24日,按照相关意见,本标准转为修订GB/T37027-2018,再
次修改形成草案。
(2)形成征求意见稿
2023年5月31日,在2023年WG7第一全体会议上现场汇报草案编制情况。
2023年6月1日,根据WG7第一次全体会议工作组会议纪要,建议本标准
转为征求意见稿。
2023年8月17日,信安标委WG7组组织专家审查,依据专家意见对标准
征求意见稿进行修改。
2023年8月24日,编制组结合试点实施情况,进一步修改完善征求意见稿,
并将最终版反馈信安标委。
二、标准编制原则、主要内容及其确定依据
2.1标准编制原则
(1)通用性
本标准的编制应在网络攻击和网络攻击事件判定、态势信息共享工作中,对
各类网络攻击(事件)的识别、判定技术指标,该如何开展各类网络攻击(事件)
的统计、比较等方面,形成符合当前主流业内实践的、切实可操作的统一认识,
切实解决目前攻击检测、安全态势感知能力建设过程中的实际问题,制定具有通
用性的规范。
(2)实用性
根据我国国情、实际使用环境和国家有关政策进行标准的制定,编制的标准
应在指导网络攻击和网络攻击事件的判定、态势信息共享等工作中提供具有实用
价值的参考。
(3)符合性
2
国家标准征求意见稿材料
遵循国家有关法律法规和已编制标准规范的相关要求,符合我国恶意软件判
定、处置和信息共享等方面的发展情况。
(4)简明性
标准易于理解、实现和应用。
(5)中立性
公正、中立,不与任何利益攸关方发生关联。
(6)一致性
术语与国内外标准所用术语最大程度保持一致,且与相关国家标准保持延续
性。
2.2主要内容及其确定依据
近年来,CNCERT广泛吸纳行业力量,依托行业信息共享,结合我国公共
互联网网络安全监测平台监测数据,积极开展我国面临的网络攻击的检测和分析
工作。在支撑职能部门开展相关工作外,也积极向全社会发布。从2010年开始,
CNCERT每年发布网络安全态势报告,对各类网络攻击和事件进行检测及统计,
包括木马和僵尸网络、网站后门、网页篡改、网页仿冒、ddos攻击、apt攻击等
等。此外也会开展物联网、云平台、工业控制系统等领域的专题分析研究。通过
多年来对网络攻击的判定、统计、分析的业务实践,以及支撑监管部门开展相关
工作,CNCERT的态势数据被政府部门、学术机构引用,但同时监管部门也反
馈,发现业内存在判定网络攻击来源渠道不清晰,判定标准不统一,计数方式不
统一的情况。随着网络安全的持续发展,网络安全信息来源多,且共享上报需求
强,网络安全数据的统计规则和标准问题也逐步凸显。
因此,为了解决以上问题,需要在业内统一对网络攻击、网络攻击事件的判
定方法、指标;统一对网络攻击、网络攻击事件的计数方法。进一步,在方法、
指标统一的基础上,便于网络攻击的分析研判及准确感知,进一步便于态势数据
的共享利用。本标准在GB/T37027-2018的基础上,参照网络安全事件、网络攻
击事件管理的相关法规、政策、标准、技术和管理等成果,参考GB/T20986《信
息安全技术网络安全事件分类分级指南》等国家标准中对网络攻击事件的定义,
并充分调研主管部门的需求,以及国内国家级技术支撑机构、重要企业、网络安
全厂商的重要实践,尝试让各方形成符合当前主流业内实践的、切实可操作的统
一认识,切实解决目前攻击检测、安全态势感知能力建设过程中的实际问题,支
3
国家标准征求意见稿材料
撑监管部门做好态势感知及研判。
对比原GB/T37027-2018,本次修订拟包括的主要技术内容有:定义不同类
型网络攻击、网络攻击事件的判定指标和计数标准,以判定何为“1次”网络攻
击、“1次”网络攻击事件。本文件适用于指导网络或信息系统运营者、安全厂
商、行业主管机构、监管机构进行系统建设、运维、管理时对网络安全的设计、
感知与评估。具体包括以下几个方面的技术内容:
1、网络攻击和网络攻击事件概念及不同
本标准研究网络攻击和网络攻击事件的概念,两者之间的区别与不同。
1)网络攻击的定义
指通过计算机、路由器等计算资源和网络资源,利用网络中存在的漏洞和安
全缺陷实施的一种行为,其目的在于窃取、篡改、破坏网络和数据设施中传输和
存储的信息;或延缓、中断网络和数据服务;或破坏、摧毁、控制网络和数据基
础设施。
2)网络攻击事件的定义
网络攻击造成或潜在造成业务损失或社会危害的网络安全事件,包括一次或
多次被识别的网络攻击。
2、网络攻击的描述、判定指标和计数标准
1)网络攻击的描述
基本的信息要素包括:标识号、攻击对象、攻击对象分类、攻击源、攻击技
术手段、攻击时间。扩展信息要素包括:网络攻击名称、安全漏洞、安全漏洞类
型、攻击源详细信息、攻击阶段、攻击详细信息、判定方法、扩展信息。
2)网络攻击的判定指标
对网络扫描探测攻击、网络钓鱼攻击、漏洞利用攻击、后门利用攻击、后门
植入攻击、凭据攻击、信号干扰攻击、拒绝服务攻击、网页篡改攻击、暗链植入
攻击、域名劫持攻击、域名转嫁攻击、DNS污染攻击、WLAN劫持攻击、流量劫持
攻击、BGP劫持攻击、广播欺诈攻击、失陷主机攻击、其他网络攻击的判定指标
进行分类定义。
3)网络攻击的计数标准
定义了什么是“单次网络攻击”,以及如何开展网络攻击的计数。此外也讨
4
国家标准征求意见稿材料
论了多个网络攻击技术结果的合并计算条件。
3、网络攻击事件的描述、判定指标和计数标准
1)网络攻击事件的网络攻击的描述
基本的信息要素包括:标识号、事件时间、事件类型、攻击对象、攻击对象
类型、攻击源、事件影响。扩展信息要素包括:网络攻击事件名称、事件分级、
事件详细信息、安全漏洞、安全漏洞分类、攻击源详细信息、攻击动机、判定方
法、扩展信息。
2)网络攻击事件的判定指标
判定网络攻击事件需同时满足两个条件:一是已判定单个或多个相关的网络
攻击;二是已判定的网络攻击造成或潜在造成业务损失或社会危害。
3)网络攻击事件的计数标准
定义了什么是“单次网络攻击事件”,以及如何开展网络攻击事件的计数。
此外也讨论了多个网络攻击事件技术结果的合并计算条件。其中单个网络攻击事
件指在一个统计周期内,被判定的相关网络行为,需要具有一个或多个相同要素
信息的一次或者多次网络攻击。
2.3修订前后技术内容的对比[仅适用于国家标准修订项目]
本文件代替GB/T37027—2018《信息安全技术网络攻击定义及描述规范》,
与GB/T37027—2018相比,除结构调整和编辑性改动外,主要技术变化如下:
a)调整了网络攻击的定义(见3.1);
b)增加了网络攻击事件的定义(见3.2);
c)调整了网络攻击的描述(见5.1);
d)调整了对安全漏洞的描述,删除“表3安全漏洞分类表”,改为“见
GB/T30279—2020”(见5.1、5.2);
e)调整了对攻击方式的描述,删除“表2攻击方式分类表”,改为与GB/T
20986—2023具有一致性的19类攻击技术手段(见5.1、6.1);
f)增加了网络攻击事件的描述(见5.2);
g)删除了对攻击严重程度的描述,增加了与GB/T20986—2023具有一致
性的事件分级描述(见5.2);
h)删除了对攻击后果的描述,增加了与GB/T20986—2023具有一致性的
5
国家标准征求意见稿材料
事件影响描述(见5.2);
i)增加了网络攻击的判定指标(见6.1);
j)增加了网络攻击事件的判定指标(见6.2);
k)增加了网络攻击的计数标准(见7.1);
l)增加了网络攻击事件的计数标准(见7.2)。
m)调整了对攻击对象分类的描述,对“表1攻击对象分类表”的内容进行
调整,并将表名改为“表A.1攻击对象类型表”,从正文中删除,作为资料性
附录(见附录B);
n)调整了对典型网络攻击过程的描述(见附录C);
o)增加了网络攻击和网络攻击事件的典型判定方法(见附录D);
本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
三、试验验证的分析、综述报告,技术经济论证,预期的经济效益、社会
效益和生态效益
3.1试验验证的分析、综述报告
共征集到50余家有参编意向的参编单位,目前初步选定包括CNCERT、国
测、公安部三所、中国移动、信工所、360、奇安信、安天等30家单位开展标准
研制,结合各自对网络攻击和网络攻击事件的判定和统计等情况开展研制标准。
参编单位根据长期一线的实践经验,提出了具有符合性和可操作性的技术方案。
本标准可指导网络或信息系统运营者、安全厂商、行业主管机构、监管机构
进行系统建设、运维、管理时对网络安全的设计、感知与评估。参编单位中的网
络安全企业可以作为推广试点,通过推广试点,对国家标准内容的可操作性和适
用性进行验证,探索形成标准实施应用工作模式,提升我国网络攻击事件研判、
网络安全态势信息共享等方面能力。
3.2技术经济论证
无。
3.3预期的经济效益、社会效益和生态效益
本标准适用于安全厂商、网络与信息系统运营者、行业主管、监管部门、地
方网络安全管理、职能部门、科研院所、大型企业等。适用于指导网络或信息系
统运营者、安全厂商、行业主管机构、监管机构进行系统建设、运维、管理时对
6
国家标准征求意见稿材料
网络安全的设计、感知与评估。可应用于网络攻击及网络攻击事件的检测识别、
统计上报,以及各方网络安全数据融合、安全态势感知研判等。可涵盖重大信息
报送、重保信息报送、各行业、各区域以及国家级态势感知能力建设等,可为网
络运营者、网络安全厂商、网络监管机构进行网络建设、运维、管理时对网络安
全的设计、感知与评估提供指导,提出不同类型网络攻击、网络攻击事件的判定
指标,以判定何为“1次”网络攻击、“1次”网络攻击事件。期望形成符合当
前主流业内实践的、切实可操作的统一认识,切实解决目前攻击检测、安全态势
感知能力建设过程中的实际问题,支撑监管部门做好态势感知及研判。预计作用
和效益为拟解决当前网络攻击、网络攻击事件判定和计数标准不统一,导致各单
位识别和统计网络攻击出现较大差异、难以实现网络攻击态势的共享和准确
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 危险化学品储存作业人员安全操作考核试卷
- 电子乐器全球音乐教育资源共享考核试卷
- 物业管理实习报告锦集8篇
- 2024年模糊控制变频空调器项目发展计划
- 2024年钣金加工项目建议书
- 2024年转基因抗虫树木新品种项目发展计划
- 2024年体外循环管路合作协议书
- 2024年隔音降噪设备:隔音吸声材料项目建议书
- 2024年喷枪及类似器具项目发展计划
- 有关新学期学习计划集锦四篇
- 办公设备及耗材投标实施方案
- 2023年制冷工程师年度总结及下年规划
- 2024年上海申能集团招聘笔试参考题库含答案解析
- 车间6S管理知识培训教材
- MTBF测试报告文档
- 商业银行数据资产体系白皮书 2023
- 农产品展会投标方案(技术标)
- 天麻素和天麻多糖的提取工艺及应用
- 《红楼梦讲稿》课件
- 管线工程信息化施工方案
- 体育专业英语全套教学课件
评论
0/150
提交评论