《信息安全技术 网络攻击定义及描述规范-编制说明》

一、工作简况

1.1任务来源

2012年12月，全国信息安全标准化技术委员会正式下达任务书“信息安全技术网络

攻击定义及描述规范。负责人:卿斯汉。

国家标准《信息安全技术网络攻击定义及描述规范》由北京大学软件与微电子学院牵

头，中国电子技术标准化研究院、中国科学院软件研究所共同参与起草。

随着工作任务的展开，许多单位表示希望加入标准编制队伍，今后会有更多的单位参

与该标准制定的编写工作。

1.2主要工作过程

1.2013年1月建立标准编制组，进行广泛调研

2013年1月标准编制组成立后，随即展开广泛调研，摸清国内外的研究动向，为本标

准的制定夯实牢固的基础。国内外调研包括：

（I）国外标准与技术调研

（1）网络攻击定义及描述方面的标准

NIST信息安全词汇

NISTSP800系列

FIPS系列

NISTIR系列

CNSSI-4009

美国国防部军用词汇字典（2011修订）

ISO/IEC27000:2012(E)

（2）信息安全漏洞管理方面的标准：

漏洞和补丁管理方案（SP800-40v2）

ISO/IEC27001信息技术安全技术信息安全管理系统-要求

ISO/IEC27034信息技术安全技术应用安全

ISO/IEC28001供应链安全管理体系实施、评估和规划供应链安全的最佳实践-要

求和指南

ISO/IEC17799信息安全管理实践指南

ISO/IEC29147信息技术安全技术漏洞披露

ISO/IEC30111信息技术安全技术漏洞处理过程

1

（3）漏洞处理组织或厂商及其主要管理措施：

CVE通用漏洞和暴露。

CVE在漏洞管理方面已获得世界各国的认可，CVE编号已成为漏洞的通用标识，被

广泛引用。CVE的编辑部决定哪些漏洞和暴露要包含进CVE，编辑部（Editorial

Board）成员包括了各类信息安全的组织，包括：商业安全工具厂商，学术界，研

究机构，政府机构和业界知名的安全专家。通过开放和合作式的讨论，确定每个条

目的公共名称和描述。编辑部会议和讨论的内容会保存在网站中。

CVE的漏洞处理过程主要包括收集、编号、提案、修改、中间决策、最终决策、

正式发布、再次评估和撤销。CVE为每个漏洞确定唯一的名称和标准化描述。

NVD（NationalVulnerabilityDatabase）

美国国家漏洞库NVD由美国国家标准与技术委员会中的计算机安全资源中心创

建，是美国政府基于标准的漏洞管理数据资源库，这些数据使用SCAP（Security

ContentAutomationProtocol）表示，这些数据实现了自动化漏洞管理、度量，以及

安全策略符合性评估。

NVD严格采用《通用漏洞披露》CVE（CommonVulnerabilityandExposures）的命

名标准，即所有的漏洞都有CVE编号；漏洞评级遵照《通用漏洞评估系统》CVSS

（CommonVulnerabilityScoringSystem）进行危害性评估；受影响的系统和软件使

用《通用平台列举》CPE（CommonPlatformEnumeration）规范的语言进行描述；

漏洞分类则按照《通用缺陷列举》CWE（CommonWeaknessEnumeration）进行划

分。

微软公司漏洞处理措施

微软公司成立可信赖计算中心负责微软的产品安全，其主要职责是1）开发高质量

的安全更新；2）利用基于社区的防御，通过行业的力量（通过合作伙伴、公共组

织、客户和安全研究人员）来减少漏洞攻击；3）利用全面的安全响应流程，最大

限度地减少业务中断。

微软公司通过安全响应中心及时对外发布最新漏洞的机理分析、处理方法以及临时

的解决方案，及时处理由于微软产品而导致的各类安全事件，使安全问题得到及时

沟通和有效处置。

微软公司通过严格实行安全开发生命周期以保证产品的安全，通过利用DEP、SHE

等安全及时有效提高产品的安全防护水平，有效防范软件漏洞的恶意利用。

2

（4）学术界在漏洞的披露、漏洞处置策略和漏洞管理方面的技术成果。

（II）国内标准与技术调研

目前国内已建立了第三方漏洞库和厂商依托于自身业务的漏洞库，已建立了漏洞的收集

与处置机制，对我国信息技术产品的漏洞发现、验证和修复起到了积极的推动作用。

表1国内主要安全漏洞库情况介绍

漏洞库运营单位介绍备注

已建立漏洞的收集、验证、修复、发布等

漏洞处置与管理规范，通过

中国国家信息安全中国信息安全测评

网站对外发布漏洞及

漏洞库中心

修复措施。其漏洞主要涵盖CVE、Bugtraq

和公开收集漏洞。

通过漏洞共享平台收集和处置漏洞信息，

国家互联网应急中

国家信息安全漏洞通过网站对外发布漏洞

心和国家信息技术

共享平台及修复措施。其漏洞主要涵盖CVE、

安全研究中心

Bugtraq和公开收集漏洞。

入侵防范中心安全国家计算机网络入通过国家计算机网络入侵防范中心网站

漏洞库侵防范中心发布漏洞信息。

通过发布漏洞信息，具有良好的

Sebug漏洞库信息安全爱好者

漏洞分类、产品分类信息。

主要公开收集和处置Web类漏洞，已与国

乌云漏洞库信息安全爱好者内146家厂商或组织建立了合作关系，协

调漏洞的收集与修复。

中联绿盟信息技术在国内最早建立的漏洞库，长期跟踪国际

绿盟科技漏洞库

（北京）有限公司知名漏洞库CVE、Bugtraq和Secunia。

北京启明星辰信息长期跟踪国际知名漏洞库CVE、Bugtraq

启明星辰漏洞库

技术有限公司和Secunia。

从表1可以看出，我国现在已经建立了漏洞处置的渠道，但是目前信息技术厂商、漏洞

发现者、信息安全厂商和用户之间相互协调、参与漏洞的发现、消除的积极程度并不高，尚

未形成统一的管理规范，长此以往不利于提高我国信息技术产品的安全水平。

3

2.2013年2月26日召开标准启动会和第1次标准编制组会议

2013年2月26日，在中科院软件所会议室，召开了标准启动会和第1次标准编制组会

议，各标准编制单位的负责人与专家参加了会议。会上对编制内容和方针、编制计划和编制

单位的分工进行了讨论，明确了下一步工作计划。会议除讨论了标准草案v.1.0的修改建议

外，还重点讨论了3个问题：（1）攻击和网络攻击定义的区别；（2）网络攻击的5维描述方

法；（3）网络攻击的分类与典型过程。

3.2013年4月19日信息安全标准重点项目检查工作会议，报告标准编制工作

2013年4月19日，全国信息安全标准化技术委员会在北京亚丁湾商务酒店，召开2012

年度信息安全标准重点项目检查工作会议。卿斯汉代表标准编制组做了标准编制工作报告。

会议由中国电子技术标准化研究院罗锋盈副主任主持，评审专家宿忠民、吴源俊、冯惠、王

立福、刘祖龙、肖京华、宮亚峰、高昆仑和郑志斌对以下方面进行了充分的肯定：（1）标准

编制组做了大量前期的调查和研究工作；（2）标准具有清晰的整体架构；（3）网络攻击的5

维描述方法，并对今后工作提出了具体意见和建议（参看意见汇总表）。

4.2014年4月29日WG5信息安全标准检查工作会议，报告标准编制工作

2014年4月29日，全国信息安全标准化技术委员会在北京应物会议中心B座十一会议

室，召开WG5信息安全标准检查工作会议。卿斯汉代表标准编制组做了标准编制工作报告。

评审专家崔书昆、王立福、肖京华、吴源俊等对标准的整体架构、编写思路、描述方法和充

分的调研工作给予了充分肯定，对网络攻击的敏感性与在标准中的表述方法进行了热烈的讨

论，并对今后工作提出了具体意见和建议（参看意见汇总表）。

5.2016年2月19日召开第2次标准编制组会议

2016年2月19日，在北京蟹岛会议楼2号会议室，召开了第2次标准编制组会议，各

标准编制单位的负责人与专家参加了会议。卿斯汉对标准检查的情况、评审专家的建议、标

准的最新进展和今后工作的思路做了说明，各标准编制单位对标准草案v.2.0进行了深入的

讨论。标准编制组负责人鼓励大家进行争论，勇于发表不同意见。最后，确定了下一步计划

和具体分工，鼓励提出各不相同的标准修改版本。

6.2017年3月1日召开第3次标准编制组会议

2017年3月1日，在中科院软件所会议室，召开了第3次标准编制组会议，各标准编

制单位的负责人与专家参加了会议。卿斯汉对标准的修改思路与过程、不同意见之间的协调

和适应当前的新形势等方面做了主题发言，与会专家进行了热烈的讨论。会议对标准草案

v.3.0进行了最终的敲定，并一致同意在武汉标准周中在工作组内讨论，争取尽快推进到“征

4

求意见稿”阶段。

7.2017年4月10日，全国信息安全标准化技术委员会2017年第一次工作组会议周，

报告标准编制工作，形成标准征求意见稿

全国信息安全标准化技术委员会2017年第一次工作组会议周于2017年4月8-12日举

行。2017年4月10日，在武汉东西湖区委党校会议室，卿斯汉代表标准编制组做了标准编

制工作报告及标准草案版本v.3.0的说明。本次标准会议周同意本标准进入“征求意见稿”

阶段，根据与会代表提出的意见和建议，完成了意见汇总处理表，并在此基础上修改标准文

本，形成标准（征求意见稿）版本v1.0。

二、编制原则和主要内容

2.1编制原则

《信息安全技术网络攻击定义及描述规范》通过借鉴国外标准的研究，结合国内应用

实践和我们的科研成果，提出与国际标准接轨、适合我国国情，并具有一定创新性的“信息

安全技术网络攻击定义及描述规范”标准。通过该标准的实施，确保环境安全、运行安全

和数据迁移安全。为规范网络攻击的定义与描述、发起网络攻击的过程与关键技术、评估网

络攻击的效果提供指导。

《信息安全技术网络攻击定义及描述规范》标准的编制遵循以下原则：

(1)先进性：标准反映当今云计算与云安全的先进技术水平；

(2)开放性：标准的编制、评审与使用具有开放性；

(3)适应性：标准结合我国国情；

(4)简明性：标准易于理解、实现和应用；

(5)中立性：公正、中立，不与任何利益攸关方发生关联；

(6)一致性：术语与国内外标准所用术语最大程度保持一致。

2.2主要内容

1范围

2规范性引用文件

3术语和定义

4网络攻击的定义

5网络攻击的描述

5.1网络攻击涉及的角色

5.1.1网络攻击者角色

5

5.1.2网络攻击的受害者角色

5.1.3网络监控者角色

5.1.4网络服务提供者角色

5.1.5网络带宽提供者角色

5.2网络攻击分类

5.2.1攻击名称

5.2.2第1维：攻击对象

5.2.3第2维：攻击方式

5.2.4第3维：漏洞利用

5.2.5第4维：攻击后果

5.2.6第5维：严重程度

5.2.7网络攻击分类的举例

5.3网络攻击的典型过程

5.3.1攻击源的隐藏

5.3.2信息搜集判断

5.3.3选择入侵方式

5.3.4提升攻击权限

5.3.5安装系统后门

5.3.6清除入侵记录

5.4网络攻击的关键技术

5.4.1获取口令

5.4.2安装木马程序

5.4.3WWW欺骗

5.4.4电子邮件攻击

5.4.5通过一个节点攻击其他节点

5.4.6网络监听

5.4.7挖掘系统漏洞

5.4.8窃取特权

5.4.9零日攻击

5.4.10高级持续性攻击（APT）

6

5.5网络攻击后果的评估

5.5.1信息泄露

5.5.2拒绝服务

5.5.3代码执行

5.5.4权限提升

三、主要试验（或验证）的分析、综述报告、技术经济论证、预期的经济效果

标准编制单位对标准进行了初步试用与验证，并邀请相关单位进行进一步试用与验证，

目前正在进展中，反馈的建议对标准的制定奠定了良好基础。

四、采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、

或与测试的国外样品、样机的有关数据对比情况

本标准调研并参考了以下相关的标准：NIST信息安全词汇、NISTSP800系列、FIPS

系列、NIST