信息安全技术 网络攻击定义及描述规范-编制说明

PAGE工作简况1.1任务来源2012年12月，全国信息安全标准化技术委员会正式下达任务书“信息安全技术网络攻击定义及描述规范。负责人:卿斯汉。国家标准《信息安全技术网络攻击定义及描述规范》由北京大学软件与微电子学院牵头，中国电子技术标准化研究院、中国科学院软件研究所共同参与起草。随着工作任务的展开，许多单位表示希望加入标准编制队伍，今后会有更多的单位参与该标准制定的编写工作。1.2主要工作过程1.2013年1月建立标准编制组，进行广泛调研2013年1月标准编制组成立后，随即展开广泛调研，摸清国内外的研究动向，为本标准的制定夯实牢固的基础。国内外调研包括：（I）国外标准与技术调研（1）网络攻击定义及描述方面的标准NIST信息安全词汇NISTSP800系列FIPS系列NISTIR系列CNSSI-4009美国国防部军用词汇字典（2011修订）ISO/IEC27000:2012(E)（2）信息安全漏洞管理方面的标准：漏洞和补丁管理方案（SP800-40v2）ISO/IEC27001信息技术安全技术信息安全管理系统-要求ISO/IEC27034信息技术安全技术应用安全ISO/IEC28001供应链安全管理体系实施、评估和规划供应链安全的最佳实践-要求和指南ISO/IEC17799信息安全管理实践指南ISO/IEC29147信息技术安全技术漏洞披露ISO/IEC30111信息技术安全技术漏洞处理过程（3）漏洞处理组织或厂商及其主要管理措施：CVE通用漏洞和暴露。CVE在漏洞管理方面已获得世界各国的认可，CVE编号已成为漏洞的通用标识，被广泛引用。CVE的编辑部决定哪些漏洞和暴露要包含进CVE，编辑部（EditorialBoard）成员包括了各类信息安全的组织，包括：商业安全工具厂商，学术界，研究机构，政府机构和业界知名的安全专家。通过开放和合作式的讨论，确定每个条目的公共名称和描述。编辑部会议和讨论的内容会保存在网站中。CVE的漏洞处理过程主要包括收集、编号、提案、修改、中间决策、最终决策、正式发布、再次评估和撤销。CVE为每个漏洞确定唯一的名称和标准化描述。NVD（NationalVulnerabilityDatabase）美国国家漏洞库NVD由美国国家标准与技术委员会中的计算机安全资源中心创建，是美国政府基于标准的漏洞管理数据资源库，这些数据使用SCAP（SecurityContentAutomationProtocol）表示，这些数据实现了自动化漏洞管理、度量，以及安全策略符合性评估。NVD严格采用《通用漏洞披露》CVE（CommonVulnerabilityandExposures）的命名标准，即所有的漏洞都有CVE编号；漏洞评级遵照《通用漏洞评估系统》CVSS（CommonVulnerabilityScoringSystem）进行危害性评估；受影响的系统和软件使用《通用平台列举》CPE（CommonPlatformEnumeration）规范的语言进行描述；漏洞分类则按照《通用缺陷列举》CWE（CommonWeaknessEnumeration）进行划分。微软公司漏洞处理措施微软公司成立可信赖计算中心负责微软的产品安全，其主要职责是1）开发高质量的安全更新；2）利用基于社区的防御，通过行业的力量（通过合作伙伴、公共组织、客户和安全研究人员）来减少漏洞攻击；3）利用全面的安全响应流程，最大限度地减少业务中断。微软公司通过安全响应中心及时对外发布最新漏洞的机理分析、处理方法以及临时的解决方案，及时处理由于微软产品而导致的各类安全事件，使安全问题得到及时沟通和有效处置。微软公司通过严格实行安全开发生命周期以保证产品的安全，通过利用DEP、SHE等安全及时有效提高产品的安全防护水平，有效防范软件漏洞的恶意利用。（4）学术界在漏洞的披露、漏洞处置策略和漏洞管理方面的技术成果。（II）国内标准与技术调研目前国内已建立了第三方漏洞库和厂商依托于自身业务的漏洞库，已建立了漏洞的收集与处置机制，对我国信息技术产品的漏洞发现、验证和修复起到了积极的推动作用。表1国内主要安全漏洞库情况介绍漏洞库运营单位介绍备注中国国家信息安全漏洞库中国信息安全测评中心已建立漏洞的收集、验证、修复、发布等漏洞处置与管理规范，通过网站对外发布漏洞及修复措施。其漏洞主要涵盖CVE、Bugtraq和公开收集漏洞。国家信息安全漏洞共享平台国家互联网应急中心和国家信息技术安全研究中心通过漏洞共享平台收集和处置漏洞信息，通过网站对外发布漏洞及修复措施。其漏洞主要涵盖CVE、Bugtraq和公开收集漏洞。入侵防范中心安全漏洞库国家计算机网络入侵防范中心通过国家计算机网络入侵防范中心网站发布漏洞信息。Sebug漏洞库信息安全爱好者通过发布漏洞信息，具有良好的漏洞分类、产品分类信息。乌云漏洞库信息安全爱好者主要公开收集和处置Web类漏洞，已与国内146家厂商或组织建立了合作关系，协调漏洞的收集与修复。绿盟科技漏洞库中联绿盟信息技术（北京）有限公司在国内最早建立的漏洞库，长期跟踪国际知名漏洞库CVE、Bugtraq和Secunia。启明星辰漏洞库北京启明星辰信息技术有限公司长期跟踪国际知名漏洞库CVE、Bugtraq和Secunia。从表1可以看出，我国现在已经建立了漏洞处置的渠道，但是目前信息技术厂商、漏洞发现者、信息安全厂商和用户之间相互协调、参与漏洞的发现、消除的积极程度并不高，尚未形成统一的管理规范，长此以往不利于提高我国信息技术产品的安全水平。2.2013年2月26日召开标准启动会和第1次标准编制组会议2013年2月26日，在中科院软件所会议室，召开了标准启动会和第1次标准编制组会议，各标准编制单位的负责人与专家参加了会议。会上对编制内容和方针、编制计划和编制单位的分工进行了讨论，明确了下一步工作计划。会议除讨论了标准草案v.1.0的修改建议外，还重点讨论了3个问题：（1）攻击和网络攻击定义的区别；（2）网络攻击的5维描述方法；（3）网络攻击的分类与典型过程。3.2013年4月19日信息安全标准重点项目检查工作会议，报告标准编制工作2013年4月19日，全国信息安全标准化技术委员会在北京亚丁湾商务酒店，召开2012年度信息安全标准重点项目检查工作会议。卿斯汉代表标准编制组做了标准编制工作报告。会议由中国电子技术标准化研究院罗锋盈副主任主持，评审专家宿忠民、吴源俊、冯惠、王立福、刘祖龙、肖京华、宮亚峰、高昆仑和郑志斌对以下方面进行了充分的肯定：（1）标准编制组做了大量前期的调查和研究工作；（2）标准具有清晰的整体架构；（3）网络攻击的5维描述方法，并对今后工作提出了具体意见和建议（参看意见汇总表）。4.2014年4月29日WG5信息安全标准检查工作会议，报告标准编制工作2014年4月29日，全国信息安全标准化技术委员会在北京应物会议中心B座十一会议室，召开WG5信息安全标准检查工作会议。卿斯汉代表标准编制组做了标准编制工作报告。评审专家崔书昆、王立福、肖京华、吴源俊等对标准的整体架构、编写思路、描述方法和充分的调研工作给予了充分肯定，对网络攻击的敏感性与在标准中的表述方法进行了热烈的讨论，并对今后工作提出了具体意见和建议（参看意见汇总表）。5.2016年2月19日召开第2次标准编制组会议2016年2月19日，在北京蟹岛会议楼2号会议室，召开了第2次标准编制组会议，各标准编制单位的负责人与专家参加了会议。卿斯汉对标准检查的情况、评审专家的建议、标准的最新进展和今后工作的思路做了说明，各标准编制单位对标准草案v.2.0进行了深入的讨论。标准编制组负责人鼓励大家进行争论，勇于发表不同意见。最后，确定了下一步计划和具体分工，鼓励提出各不相同的标准修改版本。6.2017年3月1日召开第3次标准编制组会议2017年3月1日，在中科院软件所会议室，召开了第3次标准编制组会议，各标准编制单位的负责人与专家参加了会议。卿斯汉对标准的修改思路与过程、不同意见之间的协调和适应当前的新形势等方面做了主题发言，与会专家进行了热烈的讨论。会议对标准草案v.3.0进行了最终的敲定，并一致同意在武汉标准周中在工作组内讨论，争取尽快推进到“征求意见稿”阶段。7.2017年4月10日，全国信息安全标准化技术委员会2017年第一次工作组会议周，报告标准编制工作，形成标准征求意见稿全国信息安全标准化技术委员会2017年第一次工作组会议周于2017年4月8-12日举行。2017年4月10日，在武汉东西湖区委党校会议室，卿斯汉代表标准编制组做了标准编制工作报告及标准草案版本v.3.0的说明。本次标准会议周同意本标准进入“征求意见稿”阶段，根据与会代表提出的意见和建议，完成了意见汇总处理表，并在此基础上修改标准文本，形成标准（征求意见稿）版本v1.0。编制原则和主要内容2.1编制原则《信息安全技术网络攻击定义及描述规范》通过借鉴国外标准的研究，结合国内应用实践和我们的科研成果，提出与国际标准接轨、适合我国国情，并具有一定创新性的“信息安全技术网络攻击定义及描述规范”标准。通过该标准的实施，确保环境安全、运行安全和数据迁移安全。为规范网络攻击的定义与描述、发起网络攻击的过程与关键技术、评估网络攻击的效果提供指导。《信息安全技术网络攻击定义及描述规范》标准的编制遵循以下原则：(1)先进性：标准反映当今云计算与云安全的先进技术水平；(2) 开放性：标准的编制、评审与使用具有开放性；(3) 适应性：标准结合我国国情；(4) 简明性：标准易于理解、实现和应用；(5) 中立性：公正、中立，不与任何利益攸关方发生关联；(6) 一致性：术语与国内外标准所用术语最大程度保持一致。2.2主要内容1范围 2规范性引用文件3术语和定义4网络攻击的定义5网络攻击的描述5.1网络攻击涉及的角色5.1.1网络攻击者角色5.1.2网络攻击的受害者角色5.1.3网络监控者角色5.1.4网络服务提供者角色5.1.5网络带宽提供者角色5.2网络攻击分类5.2.1攻击名称5.2.2第1维：攻击对象5.2.3第2维：攻击方式5.2.4第3维：漏洞利用5.2.5第4维：攻击后果5.2.6第5维：严重程度5.2.7网络攻击分类的举例5.3网络攻击的典型过程5.3.1攻击源的隐藏5.3.2信息搜集判断5.3.3选择入侵方式5.3.4提升攻击权限5.3.5安装系统后门5.3.6清除入侵记录5.4网络攻击的关键技术5.4.1获取口令5.4.2安装木马程序5.4.3WWW欺骗5.4.4电子邮件攻击5.4.5通过一个节点攻击其他节点5.4.6网络监听5.4.7挖掘系统漏洞5.4.8窃取特权5.4.9零日攻击5.4.10高级持续性攻击（APT）5.5网络攻击后果的评估5.5.1信息泄露5.5.2拒绝服务5.5.3代码执行5.5.4权限提升主要试验（或验证）的分析、综述报告、技术经济论证、预期的经济效果标准编制单位对标准进行了初步试用与验证，并邀请相关单位进行进一步试用与验证，目前正在进展中，反馈的建议对标准的制定奠定了良好基础。采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、或与测试的国外样品、样机的有关数据对比情况本标准调研并参考了以下相关的标准：NIST信息安全词汇、NISTSP800系列、FIPS系列、NISTIR系列、CNSSI-4009、美国国防部军用词汇字典（2011修订）、ISO/IEC27000:2012(E)、漏洞和补丁管理方案（SP800-40v2）、ISO/IEC27001信息技术安全技术信息安全管理系统-要求、ISO/IEC27034信息技术安全技术应用安全、ISO/IEC28001供应链安全管理体系实施、评估和规划供应链安全的最佳实践-要求和指南、 ISO/IEC17799信息安全管理实践指南、ISO/IEC29147信息技术安全技术漏洞披露、ISO/IEC30111信息技术安全技术漏洞处理过程等。在国内外标准和技术的调研与吸收的基础上，结合目前的技术发展、我国的应用实践，以及我们的科研成果，提出与国际标准接轨、适合我国国情，并具有一定创新性的《信息安全技术网络攻击定义及描述规范》标准。与有关的现行法律、法规和强制性国家标准的关系本标准符合现有法律法规的要求。重大分歧意见的处理经过和依据本标准在编制过程中未出现重大分歧，其他详见意见汇总处理表。国家标准作为强制性国家标准