书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３６６４３ — ２０１８ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G23 /G24 /G29 /G2A /G21 /G22 /G2B /G2C /G2D /G2E 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犆狔犫犲狉狊犲犮狌狉犻狋狔狋犺狉犲犪狋犻狀犳狅狉犿犪狋犻狅狀犳狅狉犿犪狋 ２０１８  １０  １０ /G2F /G30 ２０１９  ０５  ０１ /G31 /G32 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G21 /G27 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G2F /G30书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 网络安全威胁信息模型 ２ ………………………………………………………………………………… 　 ５．１ 　 概述 ２ ………………………………………………………………………………………………… 　 ５．２ 　 威胁信息维度 ２ ……………………………………………………………………………………… 　 ５．３ 　 威胁信息组件 ２ ……………………………………………………………………………………… ６ 　 网络安全威胁信息组件 ４ ………………………………………………………………………………… 　 ６．１ 　 概述 ４ ………………………………………………………………………………………………… 　 ６．２ 　 可观测数据 ４ ………………………………………………………………………………………… 　 ６．３ 　 攻击指标 １０ …………………………………………………………………………………………… 　 ６．４ 　 安全事件 １２ …………………………………………………………………………………………… 　 ６．５ 　 攻击活动 １３ …………………………………………………………………………………………… 　 ６．６ 　 攻击方法 １５ …………………………………………………………………………………………… 　 ６．７ 　 应对措施 １６ …………………………………………………………………………………………… 　 ６．８ 　 威胁主体 １７ …………………………………………………………………………………………… 　 ６．９ 　 攻击目标 １８ …………………………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 采用 ＪＳＯＮ 表示的完整网络安全威胁信息示例 ２０ ……………………………… 参考文献 ２８ …………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３６６４３ — ２０１８ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 中国电子技术标准化研究院 、 北京赛西科技发展有限责任公司 、 北京天际友盟信息技术有限公司 、 北京奇安信科技有限公司 、 中国科学院信息工程研究所 、 公安部第三研究所 、 中国信息安全测评中心 、 国家计算机网络应急技术处理协调中心 、 中电长城网际系统应用有限公司 、 中国电子科技网络信息安全有限公司 、 阿里巴巴 （ 北京 ） 软件服务有限公司 、 百度在线网络技术 （ 北京 ） 有限公司 、 北京神州绿盟信息安全科技股份有限公司 、 北京启明星辰信息安全技术有限公司 、 神州网云 （ 北京 ） 信息技术有限公司 、 远江盛邦 （ 北京 ） 网络安全科技股份有限公司 、 北京君源创投投资管理有限公司 、 北京派网软件有限公司 、 深信服科技股份有限公司 、 中国科学院软件研究所 、 北京天融信网络安全技术有限公司 、 腾讯云计算 （ 北京 ） 有限责任公司 、 上海交通大学 、 北京工业大学 、 西安电子科技大学 、 北京邮电大学 、 北京中电普华信息技术有限公司 、 中国人民公安大学 、 武汉大学 。 本标准主要起草人 ： 蔡磊 、 叶润国 、 杨建军 、 刘贤刚 、 范科峰 、 闵京华 、 鲍旭华 、 刘威歆 、 冯侦探 、 金湘宇 、 董晓康 、 杨大路 、 杨泽明 、 李克鹏 、 李强 、 宋超 、 孙薇 、 贺新朋 、 李宗洋 、 孙波 、 梁露露 、 宋好好 、 王惠莅 、 刘慧晶 、 孙成胜 、 权晓文 、 李建华 、 雷晓锋 、 裴庆祺 、 易锦 、 刘玉岭 、 李衍 、 史博 、 孙朝晖 、 周毅 、 邹荣新 、 曾志峰 、 叶建伟 、 杨震 、 马占宇 、 翟湛鹏 、 曹占峰 、 姜政伟 、 杜彦辉 、 王丽娜 。 Ⅲ 犌犅 ／ 犜 ３６６４３ — ２０１８ 引 　　 言 　　 随着网络攻防对抗博弈的日益加剧 ， 网络攻击方式和攻击手法呈现出多样性 、 复杂性特点 ， 网络安全威胁具有越来越明显的普遍性和持续性 ， 且攻击者获取攻击工具越来越便利 ， 导致网络攻击成本大大降低 、 检测网络攻击的难度却越来越大 。 传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防护机制 ， 在应对这些复杂网络攻击时显得越来越低效 ， 亟待采取新的技术手段来提升整体网络安全防护能力 。 网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施 ， 旨在采用多种技术手段 ， 通过采集大规模 、 多渠道的碎片式攻击或异常数据 ， 集中地进行深度融合 、 归并和分析 ， 形成与网络安全防护有关的威胁信息线索 ， 并在此基础上进行主动 、 协同式的网络安全威胁预警 、 检测和响应 ， 以降低网络安全威胁的防护成本 ， 并提升整体的网络安全防护效率 。 网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节 ， 有利于实现跨组织的网络安全威胁信息的快速传递 ， 进而实现对复杂网络安全威胁的及时发现和快速响应 。 规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础 ， 因此它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义 。 Ⅳ 犌犅 ／ 犜 ３６６４３ — ２０１８ 信息安全技术网络安全威胁信息格式规范 １ 　 范围 本标准规定了网络安全威胁信息模型和网络安全威胁信息组件 ， 包括网络安全威胁信息中各组件的属性和属性值格式等信息 。 本标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成 、 共享和使用 ， 网络安全威胁信息共享平台的建设和运营可参考使用 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１８３３６．１ — ２０１５ 　 信息技术 　 安全技术 　 信息技术安全评估准则 　 第 １ 部分 ： 简介和一般模型 ＧＢ ／ Ｔ２０２７４．１ — ２００６ 　 信息安全技术 　 信息系统安全保障评估框架 　 第 １ 部分 ： 简介和一般模型 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ２８４５８ — ２０１２ 　 信息安全技术 　 安全漏洞标识与描述规范 ３ 　 术语和定义 ＧＢ ／ Ｔ１８３３６．１ — ２０１５ 、 ＧＢ ／ Ｔ２０２７４．１ — ２００６ 和 ＧＢ ／ Ｔ２５０６９ — ２０１０ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 网络安全 ／ 网络空间安全 　 犮狔犫犲狉狊犲犮狌狉犻狋狔 在网络空间中对信息保密性 、 完整性和可用性的保持 。 ［ ＩＳＯ ／ ＩＥＣ２７０３２ ： ２０１２ ， 定义 ４．２０ ］ ３ ． ２ 　 威胁 　 狋犺狉犲犪狋 可能对系统或组织造成危害的不期望事件的潜在原由 。 ［ ＧＢ ／ Ｔ２９２４６ — ２０１７ ， 定义 ２．８３ ］。 ３ ． ３ 　 威胁信息 　 狋犺狉犲犪狋犻狀犳狅狉犿犪狋犻狅狀 一种基于证据的知识 ， 用于描述现有或可能出现的威胁 ， 从而实现对威胁的响应和预防 。 注 ： 威胁信息包括上下文 、 攻击机制 、 攻击指标 、 可能影响等信息 。 ３ ． ４ 　 脆弱性 　 狏狌犾狀犲狉犪犫犻犾犻狋狔 可能被一个或多个威胁利用的资产或控制的弱点 。 ［ ＧＢ ／ Ｔ２９２４６ — ２０１７ ， 定义 ２．８９ ］ １ 犌犅