ICS!!! "#$%"%! CCS !! &!'%! ! 中华人民共和国国家标准 !"#$%&'()'—)()*% !"#$%&'()*+),+*-.' ! "#$%&'! ()*+,()*+-. /012! Information security technology—Criteria for determinations of network attack and network attack incident (+,-./0123456789:;4<) （征求意见稿） 2023-08-24 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 **** = ** = ** >? **** = ** = ** @A ()*+!",%-,—-%-.! ! "# 前言 ..................................................................................... III 引言 ...................................................................................... IV 1 范围 .................................................................................... 1 2 规范性引用文件 .......................................................................... 1 3 术语和定义 .............................................................................. 1 4 缩略语 .................................................................................. 1 5 描述 .................................................................................... 2 5.1 网络攻击的描述 ...................................................................... 2 5.2 网络攻击事件的描述 .................................................................. 2 6 判定指标 ................................................................................ 3 6.1 网络攻击的判定指标 .................................................................. 3 6.2 网络攻击事件的判定指标 .............................................................. 5 7 计数标准 ................................................................................ 6 7.1 网络攻击的计数标准 .................................................................. 6 7.2 网络攻击事件计数标准 ................................................................ 6 附录 A （资料性） 网络攻击概述 .............................................................. 9 附录 B （资料性） 典型攻击对象类型 ......................................................... 10 附录 C （资料性） 典型网络攻击过程 ......................................................... 12 附录 D （资料性） 网络攻击和网络攻击事件的典型判定方法 ..................................... 14 参考文献 .................................................................................. 15 I ()*+!",%-,—-%-.! II ()*+!",%-,—-%-.! $ %# 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T 37027—2018 《信息安全技术 网络攻击定义及描述规范》，与GB/T 37027—2018 相比，除结构调整和编辑性改动外，主要技术变化如下： a) 调整了网络攻击的定义（见3.1）； b) 增加了网络攻击事件的定义（见3.2）； c) 调整了网络攻击的描述（见5.1）； d) 调整了对安全漏洞的描述，删除“表3 安全漏洞分类表”，改为“见GB/T 30279—2020”（见 5.1、5.2）； e) 调整了对攻击方式的描述，删除“表2 攻击方式分类表”，改为与GB/T 20986—2023具有一致 性的19类攻击技术手段（见5.1、6.1）； f) 增加了网络攻击事件的描述（见5.2）； g) 删除了对攻击严重程度的描述，增加了与GB/T 20986—2023具有一致性的事件分级描述（见 5.2）； h) 删除了对攻击后果的描述，增加了与GB/T 20986—2023具有一致性的事件影响描述（见5.2）； i) 增加了网络攻击的判定指标（见6.1）； j) 增加了网络攻击事件的判定指标（见6.2）； k) 增加了网络攻击的计数标准（见7.1）； l) 增加了网络攻击事件的计数标准（见7.2）。 m) 调整了对攻击对象分类的描述，对“表1 攻击对象分类表”的内容进行调整，并将表名改为“表 A.1 攻击对象类型表”，从正文中删除，作为资料性附录（见附录B）； n) 调整了对典型网络攻击过程的描述（见附录C）； o) 增加了网络攻击和网络攻击事件的典型判定方法（见附录D）； 本文件由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。 本文件起草单位：国家计算机网络应急技术处理协调中心北京分中心、国家计算机网络应急技术处 理协调中心、中国移动通信集团有限公司、启明星辰信息技术集团股份有限公司、安天科技集团股份有 限公司、北京长亭科技有限公司、国家工业信息安全发展研究中心、国能数智科技开发（北京）有限公 司、郑州信大捷安信息技术股份有限公司、北京天融信网络安全技术有限公司、国家信息中心（国家电 子政务外网管理中心）、中国信息通信研究院、广东省信息安全测评中心、中科信息安全共性技术国家 工程研究中心有限公司、杭州安恒信息技术股份有限公司、北京升鑫网络科技有限公司、奇安信科技集 团股份有限公司、中国电子信息产业集团有限公司第六研究所、北京时代新威信息技术有限公司、江苏 君立华域信息安全技术股份有限公司、北京中测安华科技有限公司、中电科网络安全科技股份有限公司、 北京神州绿盟科技有限公司、三六零科技集团有限公司、杭州迪普科技股份有限公司、公安部第三研究 所、国家计算机网络应急技术处理协调中心黑龙江分中心、长安通信科技有限责任公司。 本文件主要起草人：赵彦、饶毓、卢卫、严寒冰、郭晶、徐剑、吕志泉、韩志辉、徐雅丽、陈亮、 周莹莹、李一鸣、邱勤、杨天识、刘佳男、杨坤、张晓菲、牛月坤、刘为华、杨剑、闫桂勋、董航、甄 茁、胡建勋、袁明坤、徐晓星、刘勇、赵云龙、俞政臣、刘德志、严默默、曹旭博、肖岩军、耿贵宁、 刘吉林、陶源、刘琨、张洛什。 本文件及其所代替文件的历次版本发布情况为： ——2018年首次发布为GB/T 37027—2018 《信息安全技术 网络攻击定义及描述规范》。 III /0 ()*+!",%-,—-%-.! & %# 近年来,随着网络应用的普及和迅猛发展,网络攻击也日渐增多,攻击的方法更加先进和复杂,攻击 的形式更是多种多样,无孔不入,对网络安全造成了严重威胁。 网络攻击涉及多方面的问题,包括：网络攻击和网络攻击事件有何不同；网络攻击和网络攻击事件 的界定和分类；网络攻击及网络攻击事件涉及的角色、过程、关键技术、后果评估；各类网络攻击的和 网络攻击事件的判定及计数方法等内容。随着网络攻击事件的日益增多，当前各组织对网络攻击、网络 攻击事件判定和计数标准不统一，导致各组织判定和统计网络攻击出现较大差异，难以有效实现网络攻 击态势的共享和准确感知。面对各个层面的挑战,需对网络攻击和网络攻击事件进行准确的定义、描述， 以及统一分类、判定及统计准则,提升网络攻击态势的感知效果，增强网络安全保障,为抵御网络攻击夯 实基础。 IV # ()*+!",%-,—-%-.! '()*+,# -./01-./0234567# 1 23! 本文件给出了网络攻击和网络攻击事件的描述信息要素、判定指标和计数标准。 本文件适用于指导组织开展网络攻击和网络攻击事件的监测分析、态势感知、信息报送等活动。 - 4256789! 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20986－2023 信息安全技术 网络安全事件分类分级指南 GB/T 30279—2020 信息安全技术 网络安全漏洞分类分级指南 " :;<=>! GB/T 20986—2023、GB/T 30279—2020界定的以及下列术语和定义适用于本文件。 ! ?@AB! CDEFGHI!JEEJKI! 指通过计算机、路由器等计算资源和网络资源，利用网络中存在的漏洞和安全缺陷实施的一种行为， 其目的在于窃取、篡改、破坏网络和数据设施中传输和存储的信息；或延缓、中断网络和数据服务；或 破坏、摧毁、控制网络和数据基础设施。 ! ?@ABL9! CDEFGHI!JEEJKI!MCKMNDCE! 网络攻击（3.1）造成或