信息安全技術(shù) 網(wǎng)絡(luò)攻擊定義及描述規(guī)范-編制說(shuō)明

PAGE工作簡(jiǎn)況1.1任務(wù)來(lái)源2012年12月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式下達(dá)任務(wù)書“信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范。負(fù)責(zé)人:卿斯?jié)h。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》由北京大學(xué)軟件與微電子學(xué)院牽頭，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)科學(xué)院軟件研究所共同參與起草。隨著工作任務(wù)的展開，許多單位表示希望加入標(biāo)準(zhǔn)編制隊(duì)伍，今后會(huì)有更多的單位參與該標(biāo)準(zhǔn)制定的編寫工作。1.2主要工作過(guò)程1.2013年1月建立標(biāo)準(zhǔn)編制組，進(jìn)行廣泛調(diào)研2013年1月標(biāo)準(zhǔn)編制組成立后，隨即展開廣泛調(diào)研，摸清國(guó)內(nèi)外的研究動(dòng)向，為本標(biāo)準(zhǔn)的制定夯實(shí)牢固的基礎(chǔ)。國(guó)內(nèi)外調(diào)研包括：（I）國(guó)外標(biāo)準(zhǔn)與技術(shù)調(diào)研（1）網(wǎng)絡(luò)攻擊定義及描述方面的標(biāo)準(zhǔn)NIST信息安全詞匯NISTSP800系列FIPS系列NISTIR系列CNSSI-4009美國(guó)國(guó)防部軍用詞匯字典（2011修訂）ISO/IEC27000:2012(E)（2）信息安全漏洞管理方面的標(biāo)準(zhǔn)：漏洞和補(bǔ)丁管理方案（SP800-40v2）ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)-要求ISO/IEC27034信息技術(shù)安全技術(shù)應(yīng)用安全I(xiàn)SO/IEC28001供應(yīng)鏈安全管理體系實(shí)施、評(píng)估和規(guī)劃供應(yīng)鏈安全的最佳實(shí)踐-要求和指南ISO/IEC17799信息安全管理實(shí)踐指南ISO/IEC29147信息技術(shù)安全技術(shù)漏洞披露ISO/IEC30111信息技術(shù)安全技術(shù)漏洞處理過(guò)程（3）漏洞處理組織或廠商及其主要管理措施：CVE通用漏洞和暴露。CVE在漏洞管理方面已獲得世界各國(guó)的認(rèn)可，CVE編號(hào)已成為漏洞的通用標(biāo)識(shí)，被廣泛引用。CVE的編輯部決定哪些漏洞和暴露要包含進(jìn)CVE，編輯部（EditorialBoard）成員包括了各類信息安全的組織，包括：商業(yè)安全工具廠商，學(xué)術(shù)界，研究機(jī)構(gòu)，政府機(jī)構(gòu)和業(yè)界知名的安全專家。通過(guò)開放和合作式的討論，確定每個(gè)條目的公共名稱和描述。編輯部會(huì)議和討論的內(nèi)容會(huì)保存在網(wǎng)站中。CVE的漏洞處理過(guò)程主要包括收集、編號(hào)、提案、修改、中間決策、最終決策、正式發(fā)布、再次評(píng)估和撤銷。CVE為每個(gè)漏洞確定唯一的名稱和標(biāo)準(zhǔn)化描述。NVD（NationalVulnerabilityDatabase）美國(guó)國(guó)家漏洞庫(kù)NVD由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)委員會(huì)中的計(jì)算機(jī)安全資源中心創(chuàng)建，是美國(guó)政府基于標(biāo)準(zhǔn)的漏洞管理數(shù)據(jù)資源庫(kù)，這些數(shù)據(jù)使用SCAP（SecurityContentAutomationProtocol）表示，這些數(shù)據(jù)實(shí)現(xiàn)了自動(dòng)化漏洞管理、度量，以及安全策略符合性評(píng)估。NVD嚴(yán)格采用《通用漏洞披露》CVE（CommonVulnerabilityandExposures）的命名標(biāo)準(zhǔn)，即所有的漏洞都有CVE編號(hào)；漏洞評(píng)級(jí)遵照《通用漏洞評(píng)估系統(tǒng)》CVSS（CommonVulnerabilityScoringSystem）進(jìn)行危害性評(píng)估；受影響的系統(tǒng)和軟件使用《通用平臺(tái)列舉》CPE（CommonPlatformEnumeration）規(guī)范的語(yǔ)言進(jìn)行描述；漏洞分類則按照《通用缺陷列舉》CWE（CommonWeaknessEnumeration）進(jìn)行劃分。微軟公司漏洞處理措施微軟公司成立可信賴計(jì)算中心負(fù)責(zé)微軟的產(chǎn)品安全，其主要職責(zé)是1）開發(fā)高質(zhì)量的安全更新；2）利用基于社區(qū)的防御，通過(guò)行業(yè)的力量（通過(guò)合作伙伴、公共組織、客戶和安全研究人員）來(lái)減少漏洞攻擊；3）利用全面的安全響應(yīng)流程，最大限度地減少業(yè)務(wù)中斷。微軟公司通過(guò)安全響應(yīng)中心及時(shí)對(duì)外發(fā)布最新漏洞的機(jī)理分析、處理方法以及臨時(shí)的解決方案，及時(shí)處理由于微軟產(chǎn)品而導(dǎo)致的各類安全事件，使安全問(wèn)題得到及時(shí)溝通和有效處置。微軟公司通過(guò)嚴(yán)格實(shí)行安全開發(fā)生命周期以保證產(chǎn)品的安全，通過(guò)利用DEP、SHE等安全及時(shí)有效提高產(chǎn)品的安全防護(hù)水平，有效防范軟件漏洞的惡意利用。（4）學(xué)術(shù)界在漏洞的披露、漏洞處置策略和漏洞管理方面的技術(shù)成果。（II）國(guó)內(nèi)標(biāo)準(zhǔn)與技術(shù)調(diào)研目前國(guó)內(nèi)已建立了第三方漏洞庫(kù)和廠商依托于自身業(yè)務(wù)的漏洞庫(kù)，已建立了漏洞的收集與處置機(jī)制，對(duì)我國(guó)信息技術(shù)產(chǎn)品的漏洞發(fā)現(xiàn)、驗(yàn)證和修復(fù)起到了積極的推動(dòng)作用。表1國(guó)內(nèi)主要安全漏洞庫(kù)情況介紹漏洞庫(kù)運(yùn)營(yíng)單位介紹備注中國(guó)國(guó)家信息安全漏洞庫(kù)中國(guó)信息安全測(cè)評(píng)中心已建立漏洞的收集、驗(yàn)證、修復(fù)、發(fā)布等漏洞處置與管理規(guī)范，通過(guò)網(wǎng)站對(duì)外發(fā)布漏洞及修復(fù)措施。其漏洞主要涵蓋CVE、Bugtraq和公開收集漏洞。國(guó)家信息安全漏洞共享平臺(tái)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心和國(guó)家信息技術(shù)安全研究中心通過(guò)漏洞共享平臺(tái)收集和處置漏洞信息，通過(guò)網(wǎng)站對(duì)外發(fā)布漏洞及修復(fù)措施。其漏洞主要涵蓋CVE、Bugtraq和公開收集漏洞。入侵防范中心安全漏洞庫(kù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心通過(guò)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心網(wǎng)站發(fā)布漏洞信息。Sebug漏洞庫(kù)信息安全愛(ài)好者通過(guò)發(fā)布漏洞信息，具有良好的漏洞分類、產(chǎn)品分類信息。烏云漏洞庫(kù)信息安全愛(ài)好者主要公開收集和處置Web類漏洞，已與國(guó)內(nèi)146家廠商或組織建立了合作關(guān)系，協(xié)調(diào)漏洞的收集與修復(fù)。綠盟科技漏洞庫(kù)中聯(lián)綠盟信息技術(shù)（北京）有限公司在國(guó)內(nèi)最早建立的漏洞庫(kù)，長(zhǎng)期跟蹤國(guó)際知名漏洞庫(kù)CVE、Bugtraq和Secunia。啟明星辰漏洞庫(kù)北京啟明星辰信息技術(shù)有限公司長(zhǎng)期跟蹤國(guó)際知名漏洞庫(kù)CVE、Bugtraq和Secunia。從表1可以看出，我國(guó)現(xiàn)在已經(jīng)建立了漏洞處置的渠道，但是目前信息技術(shù)廠商、漏洞發(fā)現(xiàn)者、信息安全廠商和用戶之間相互協(xié)調(diào)、參與漏洞的發(fā)現(xiàn)、消除的積極程度并不高，尚未形成統(tǒng)一的管理規(guī)范，長(zhǎng)此以往不利于提高我國(guó)信息技術(shù)產(chǎn)品的安全水平。2.2013年2月26日召開標(biāo)準(zhǔn)啟動(dòng)會(huì)和第1次標(biāo)準(zhǔn)編制組會(huì)議2013年2月26日，在中科院軟件所會(huì)議室，召開了標(biāo)準(zhǔn)啟動(dòng)會(huì)和第1次標(biāo)準(zhǔn)編制組會(huì)議，各標(biāo)準(zhǔn)編制單位的負(fù)責(zé)人與專家參加了會(huì)議。會(huì)上對(duì)編制內(nèi)容和方針、編制計(jì)劃和編制單位的分工進(jìn)行了討論，明確了下一步工作計(jì)劃。會(huì)議除討論了標(biāo)準(zhǔn)草案v.1.0的修改建議外，還重點(diǎn)討論了3個(gè)問(wèn)題：（1）攻擊和網(wǎng)絡(luò)攻擊定義的區(qū)別；（2）網(wǎng)絡(luò)攻擊的5維描述方法；（3）網(wǎng)絡(luò)攻擊的分類與典型過(guò)程。3.2013年4月19日信息安全標(biāo)準(zhǔn)重點(diǎn)項(xiàng)目檢查工作會(huì)議，報(bào)告標(biāo)準(zhǔn)編制工作2013年4月19日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在北京亞丁灣商務(wù)酒店，召開2012年度信息安全標(biāo)準(zhǔn)重點(diǎn)項(xiàng)目檢查工作會(huì)議。卿斯?jié)h代表標(biāo)準(zhǔn)編制組做了標(biāo)準(zhǔn)編制工作報(bào)告。會(huì)議由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院羅鋒盈副主任主持，評(píng)審專家宿忠民、吳源俊、馮惠、王立福、劉祖龍、肖京華、宮亞峰、高昆侖和鄭志斌對(duì)以下方面進(jìn)行了充分的肯定：（1）標(biāo)準(zhǔn)編制組做了大量前期的調(diào)查和研究工作；（2）標(biāo)準(zhǔn)具有清晰的整體架構(gòu)；（3）網(wǎng)絡(luò)攻擊的5維描述方法，并對(duì)今后工作提出了具體意見(jiàn)和建議（參看意見(jiàn)匯總表）。4.2014年4月29日WG5信息安全標(biāo)準(zhǔn)檢查工作會(huì)議，報(bào)告標(biāo)準(zhǔn)編制工作2014年4月29日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在北京應(yīng)物會(huì)議中心B座十一會(huì)議室，召開WG5信息安全標(biāo)準(zhǔn)檢查工作會(huì)議。卿斯?jié)h代表標(biāo)準(zhǔn)編制組做了標(biāo)準(zhǔn)編制工作報(bào)告。評(píng)審專家崔書昆、王立福、肖京華、吳源俊等對(duì)標(biāo)準(zhǔn)的整體架構(gòu)、編寫思路、描述方法和充分的調(diào)研工作給予了充分肯定，對(duì)網(wǎng)絡(luò)攻擊的敏感性與在標(biāo)準(zhǔn)中的表述方法進(jìn)行了熱烈的討論，并對(duì)今后工作提出了具體意見(jiàn)和建議（參看意見(jiàn)匯總表）。5.2016年2月19日召開第2次標(biāo)準(zhǔn)編制組會(huì)議2016年2月19日，在北京蟹島會(huì)議樓2號(hào)會(huì)議室，召開了第2次標(biāo)準(zhǔn)編制組會(huì)議，各標(biāo)準(zhǔn)編制單位的負(fù)責(zé)人與專家參加了會(huì)議。卿斯?jié)h對(duì)標(biāo)準(zhǔn)檢查的情況、評(píng)審專家的建議、標(biāo)準(zhǔn)的最新進(jìn)展和今后工作的思路做了說(shuō)明，各標(biāo)準(zhǔn)編制單位對(duì)標(biāo)準(zhǔn)草案v.2.0進(jìn)行了深入的討論。標(biāo)準(zhǔn)編制組負(fù)責(zé)人鼓勵(lì)大家進(jìn)行爭(zhēng)論，勇于發(fā)表不同意見(jiàn)。最后，確定了下一步計(jì)劃和具體分工，鼓勵(lì)提出各不相同的標(biāo)準(zhǔn)修改版本。6.2017年3月1日召開第3次標(biāo)準(zhǔn)編制組會(huì)議2017年3月1日，在中科院軟件所會(huì)議室，召開了第3次標(biāo)準(zhǔn)編制組會(huì)議，各標(biāo)準(zhǔn)編制單位的負(fù)責(zé)人與專家參加了會(huì)議。卿斯?jié)h對(duì)標(biāo)準(zhǔn)的修改思路與過(guò)程、不同意見(jiàn)之間的協(xié)調(diào)和適應(yīng)當(dāng)前的新形勢(shì)等方面做了主題發(fā)言，與會(huì)專家進(jìn)行了熱烈的討論。會(huì)議對(duì)標(biāo)準(zhǔn)草案v.3.0進(jìn)行了最終的敲定，并一致同意在武漢標(biāo)準(zhǔn)周中在工作組內(nèi)討論，爭(zhēng)取盡快推進(jìn)到“征求意見(jiàn)稿”階段。7.2017年4月10日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第一次工作組會(huì)議周，報(bào)告標(biāo)準(zhǔn)編制工作，形成標(biāo)準(zhǔn)征求意見(jiàn)稿全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第一次工作組會(huì)議周于2017年4月8-12日舉行。2017年4月10日，在武漢東西湖區(qū)委黨校會(huì)議室，卿斯?jié)h代表標(biāo)準(zhǔn)編制組做了標(biāo)準(zhǔn)編制工作報(bào)告及標(biāo)準(zhǔn)草案版本v.3.0的說(shuō)明。本次標(biāo)準(zhǔn)會(huì)議周同意本標(biāo)準(zhǔn)進(jìn)入“征求意見(jiàn)稿”階段，根據(jù)與會(huì)代表提出的意見(jiàn)和建議，完成了意見(jiàn)匯總處理表，并在此基礎(chǔ)上修改標(biāo)準(zhǔn)文本，形成標(biāo)準(zhǔn)（征求意見(jiàn)稿）版本v1.0。編制原則和主要內(nèi)容2.1編制原則《信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》通過(guò)借鑒國(guó)外標(biāo)準(zhǔn)的研究，結(jié)合國(guó)內(nèi)應(yīng)用實(shí)踐和我們的科研成果，提出與國(guó)際標(biāo)準(zhǔn)接軌、適合我國(guó)國(guó)情，并具有一定創(chuàng)新性的“信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范”標(biāo)準(zhǔn)。通過(guò)該標(biāo)準(zhǔn)的實(shí)施，確保環(huán)境安全、運(yùn)行安全和數(shù)據(jù)遷移安全。為規(guī)范網(wǎng)絡(luò)攻擊的定義與描述、發(fā)起網(wǎng)絡(luò)攻擊的過(guò)程與關(guān)鍵技術(shù)、評(píng)估網(wǎng)絡(luò)攻擊的效果提供指導(dǎo)?！缎畔踩夹g(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》標(biāo)準(zhǔn)的編制遵循以下原則：(1)先進(jìn)性：標(biāo)準(zhǔn)反映當(dāng)今云計(jì)算與云安全的先進(jìn)技術(shù)水平；(2) 開放性：標(biāo)準(zhǔn)的編制、評(píng)審與使用具有開放性；(3) 適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國(guó)國(guó)情；(4) 簡(jiǎn)明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；(5) 中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；(6) 一致性：術(shù)語(yǔ)與國(guó)內(nèi)外標(biāo)準(zhǔn)所用術(shù)語(yǔ)最大程度保持一致。2.2主要內(nèi)容1范圍 2規(guī)范性引用文件3術(shù)語(yǔ)和定義4網(wǎng)絡(luò)攻擊的定義5網(wǎng)絡(luò)攻擊的描述5.1網(wǎng)絡(luò)攻擊涉及的角色5.1.1網(wǎng)絡(luò)攻擊者角色5.1.2網(wǎng)絡(luò)攻擊的受害者角色5.1.3網(wǎng)絡(luò)監(jiān)控者角色5.1.4網(wǎng)絡(luò)服務(wù)提供者角色5.1.5網(wǎng)絡(luò)帶寬提供者角色5.2網(wǎng)絡(luò)攻擊分類5.2.1攻擊名稱5.2.2第1維：攻擊對(duì)象5.2.3第2維：攻擊方式5.2.4第3維：漏洞利用5.2.5第4維：攻擊后果5.2.6第5維：嚴(yán)重程度5.2.7網(wǎng)絡(luò)攻擊分類的舉例5.3網(wǎng)絡(luò)攻擊的典型過(guò)程5.3.1攻擊源的隱藏5.3.2信息搜集判斷5.3.3選擇入侵方式5.3.4提升攻擊權(quán)限5.3.5安裝系統(tǒng)后門5.3.6清除入侵記錄5.4網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù)5.4.1獲取口令5.4.2安裝木馬程序5.4.3WWW欺騙5.4.4電子郵件攻擊5.4.5通過(guò)一個(gè)節(jié)點(diǎn)攻擊其他節(jié)點(diǎn)5.4.6網(wǎng)絡(luò)監(jiān)聽(tīng)5.4.7挖掘系統(tǒng)漏洞5.4.8竊取特權(quán)5.4.9零日攻擊5.4.10高級(jí)持續(xù)性攻擊（APT）5.5網(wǎng)絡(luò)攻擊后果的評(píng)估5.5.1信息泄露5.5.2拒絕服務(wù)5.5.3代碼執(zhí)行5.5.4權(quán)限提升主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告、技術(shù)經(jīng)濟(jì)論證、預(yù)期的經(jīng)濟(jì)效果標(biāo)準(zhǔn)編制單位對(duì)標(biāo)準(zhǔn)進(jìn)行了初步試用與驗(yàn)證，并邀請(qǐng)相關(guān)單位進(jìn)行進(jìn)一步試用與驗(yàn)證，目前正在進(jìn)展中，反饋的建議對(duì)標(biāo)準(zhǔn)的制定奠定了良好基礎(chǔ)。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度、以及與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)水平的對(duì)比情況、或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況本標(biāo)準(zhǔn)調(diào)研并參考了以下相關(guān)的標(biāo)準(zhǔn)：NIST信息安全詞匯、NISTSP800系列、FIPS系列、NISTIR系列、CNSSI-4009、美國(guó)國(guó)防部軍用詞匯字典（2011修訂）、ISO/IEC27000:2012(E)、漏洞和補(bǔ)丁管理方案（SP800-40v2）、ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)-要求、ISO/IEC27034信息技術(shù)安全技術(shù)應(yīng)用安全、ISO/IEC28001供應(yīng)鏈安全管理體系實(shí)施、評(píng)估和規(guī)劃供應(yīng)鏈安全的最佳實(shí)踐-要求和指南、 ISO/IEC17799信息安全管理實(shí)踐指南、ISO/IEC29147信息技術(shù)安全技術(shù)漏洞披露、ISO/IEC30111信息技術(shù)安全技術(shù)漏洞處理過(guò)程等。在國(guó)內(nèi)外標(biāo)準(zhǔn)和技術(shù)的調(diào)研與吸收的基礎(chǔ)上，結(jié)合目前的技術(shù)發(fā)展、我國(guó)的應(yīng)用實(shí)踐，以及我們的科研成果，提出與國(guó)際標(biāo)準(zhǔn)接軌、適合我國(guó)國(guó)情，并具有一定創(chuàng)新性的《信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》標(biāo)準(zhǔn)。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求。重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)本標(biāo)準(zhǔn)在編制過(guò)程中未出現(xiàn)重大分歧，其他詳見(jiàn)意見(jiàn)匯總處理表。國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)