信息安全技术 网络攻击和网络攻击事件判定准则 编制说明.docx

1

《信息安全技术网络攻击和网络攻击事件判定准

则》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据全国信息安全标准化技术委员会2022年国家标准制修订计划建议，《信息安全技术网络攻击和网络攻击事件判定准则》由国家计算机网络应急技术处理协调中心北京分中心负责承办，计划号：202XXXXX-T-XXX。本标准由全国

信息安全标准化技术委员会归口管理。

1.2制定背景

网络攻击的多样化及网络攻击事件的日益增多，推动了网络攻击的检测方法和网络攻击事件分析方法不断升级，也促使各单位、各厂商积极建设网络安全态势感知相关能力。然而，由于缺乏对网络攻击、网络攻击事件的判定和计数标准，各单位、厂商在检测和统计网络攻击、网络攻击事件方面出现较大差异，导致难以有效实现对网络攻击态势的共享和准确感知，难以将各方能力形成合力协同解

决网络安全问题。

在此背景下，需研制不同类型网络攻击、网络攻击事件的判定和计数标准，为当前网络安全检测和态势分析技术、系统、产品提供统一的参考标准和依据，

为有效实现网络攻击态势的共享、研判、提供基础和依据。

1.3起草过程

标准制定的主要工作过程如下：

（1）标准申报和立项

2022年5月，信安标委发布《关于发布2项网络安全国家标准需求的通知》后，成立标准编制组，组织CNCERT、国测、中国移动、安天、绿盟、360、奇安信等国内头部企业和安全厂商开展多轮讨论，针对网络攻击和网络攻击事件的判定和统计准则开展研究，形成《信息安全技术网络攻击和网络攻击事件判定

准则》标准草案初稿。

2022年5月31日，在2022年WG7工作组第二次全体会议线上会议汇报标

准文本以及实施应用方案。

国家标准征求意见稿材料

2

2022年6月，编制组按照专家意见修改完善标准文本，持续研究国内外相

关情况，细化标准实施应用方案，并将相关研究成果反馈信安标委。

2022年12月，编制组获得信安标委推荐立项。

2023年3月，按照信安标委要求开展参编单位征集。

2023年4月，启动试点方案编制工作。

2023年2月27日，信安标委发布《关于征集信息安全技术网络攻击和网

络攻击事件判定准则标准参编单位的通知》，扩充编制组。

2023年4月底，编制组对标准草案进一步讨论完善。

2023年5月9日，信安标委WG7组组织专家评审，依据专家意见再次修改

草案。

2023年5月24日，按照相关意见，本标准转为修订GB/T37027-2018，再

次修改形成草案。

（2）形成征求意见稿

2023年5月31日，在2023年WG7第一全体会议上现场汇报草案编制情况。

2023年6月1日，根据WG7第一次全体会议工作组会议纪要，建议本标准

转为征求意见稿。

2023年8月17日，信安标委WG7组组织专家审查，依据专家意见对标准

征求意见稿进行修改。

2023年8月24日，编制组结合试点实施情况，进一步修改完善征求意见稿，

并将最终版反馈信安标委。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

（1）通用性

本标准的编制应在网络攻击和网络攻击事件判定、态势信息共享工作中，对各类网络攻击（事件）的识别、判定技术指标，该如何开展各类网络攻击（事件）的统计、比较等方面，形成符合当前主流业内实践的、切实可操作的统一认识，切实解决目前攻击检测、安全态势感知能力建设过程中的实际问题，制定具有通

用性的规范。

（2）实用性

根据我国国情、实际使用环境和国家有关政策进行标准的制定，编制的标准

国家标准征求意见稿材料

3

应在指导网络攻击和网络攻击事件的判定、态势信息共享等工作中提供具有实用

价值的参考。

（3）符合性

遵循国家有关法律法规和已编制标准规范的相关要求，符合我国恶意软件判

定、处置和信息共享等方面的发展情况。

（4）简明性

标准易于理解、实现和应用。

（5）中立性

公正、中立，不与任何利益攸关方发生关联。

（6）一致性

术语与国内外标准所用术语最大程度保持一致，且与相关国家标准保持延续

性。

2.2主要内容及其确定依据

近年来，CNCERT广泛吸纳行业力量，依托行业信息共享，结合我国公共互联网网络安全监测平台监测数据，积极开展我国面临的网络攻击的检测和分析工作。在支撑职能部门开展相关工作外，也积极向全社会发布。从2010年开始，CNCERT每年发布网络安全态势报告，对各类网络攻击和事件进行检测及统计，包括木马和僵尸网络、网站后门、网页篡改、网页仿冒、ddos攻击、apt攻击等等。此外也会开展物联网、云平台、工业控制系统等领域的