信息安全技術(shù) 網(wǎng)絡(luò)攻擊定義及描述規(guī)范-編制說明

PAGE工作簡況1.1任務(wù)來源2012年12月，全國信息安全標準化技術(shù)委員會正式下達任務(wù)書“信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范。負責人:卿斯?jié)h。國家標準《信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》由北京大學軟件與微電子學院牽頭，中國電子技術(shù)標準化研究院、中國科學院軟件研究所共同參與起草。隨著工作任務(wù)的展開，許多單位表示希望加入標準編制隊伍，今后會有更多的單位參與該標準制定的編寫工作。1.2主要工作過程1.2013年1月建立標準編制組，進行廣泛調(diào)研2013年1月標準編制組成立后，隨即展開廣泛調(diào)研，摸清國內(nèi)外的研究動向，為本標準的制定夯實牢固的基礎(chǔ)。國內(nèi)外調(diào)研包括：（I）國外標準與技術(shù)調(diào)研（1）網(wǎng)絡(luò)攻擊定義及描述方面的標準NIST信息安全詞匯NISTSP800系列FIPS系列NISTIR系列CNSSI-4009美國國防部軍用詞匯字典（2011修訂）ISO/IEC27000:2012(E)（2）信息安全漏洞管理方面的標準：漏洞和補丁管理方案（SP800-40v2）ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)-要求ISO/IEC27034信息技術(shù)安全技術(shù)應(yīng)用安全ISO/IEC28001供應(yīng)鏈安全管理體系實施、評估和規(guī)劃供應(yīng)鏈安全的最佳實踐-要求和指南ISO/IEC17799信息安全管理實踐指南ISO/IEC29147信息技術(shù)安全技術(shù)漏洞披露ISO/IEC30111信息技術(shù)安全技術(shù)漏洞處理過程（3）漏洞處理組織或廠商及其主要管理措施：CVE通用漏洞和暴露。CVE在漏洞管理方面已獲得世界各國的認可，CVE編號已成為漏洞的通用標識，被廣泛引用。CVE的編輯部決定哪些漏洞和暴露要包含進CVE，編輯部（EditorialBoard）成員包括了各類信息安全的組織，包括：商業(yè)安全工具廠商，學術(shù)界，研究機構(gòu)，政府機構(gòu)和業(yè)界知名的安全專家。通過開放和合作式的討論，確定每個條目的公共名稱和描述。編輯部會議和討論的內(nèi)容會保存在網(wǎng)站中。CVE的漏洞處理過程主要包括收集、編號、提案、修改、中間決策、最終決策、正式發(fā)布、再次評估和撤銷。CVE為每個漏洞確定唯一的名稱和標準化描述。NVD（NationalVulnerabilityDatabase）美國國家漏洞庫NVD由美國國家標準與技術(shù)委員會中的計算機安全資源中心創(chuàng)建，是美國政府基于標準的漏洞管理數(shù)據(jù)資源庫，這些數(shù)據(jù)使用SCAP（SecurityContentAutomationProtocol）表示，這些數(shù)據(jù)實現(xiàn)了自動化漏洞管理、度量，以及安全策略符合性評估。NVD嚴格采用《通用漏洞披露》CVE（CommonVulnerabilityandExposures）的命名標準，即所有的漏洞都有CVE編號；漏洞評級遵照《通用漏洞評估系統(tǒng)》CVSS（CommonVulnerabilityScoringSystem）進行危害性評估；受影響的系統(tǒng)和軟件使用《通用平臺列舉》CPE（CommonPlatformEnumeration）規(guī)范的語言進行描述；漏洞分類則按照《通用缺陷列舉》CWE（CommonWeaknessEnumeration）進行劃分。微軟公司漏洞處理措施微軟公司成立可信賴計算中心負責微軟的產(chǎn)品安全，其主要職責是1）開發(fā)高質(zhì)量的安全更新；2）利用基于社區(qū)的防御，通過行業(yè)的力量（通過合作伙伴、公共組織、客戶和安全研究人員）來減少漏洞攻擊；3）利用全面的安全響應(yīng)流程，最大限度地減少業(yè)務(wù)中斷。微軟公司通過安全響應(yīng)中心及時對外發(fā)布最新漏洞的機理分析、處理方法以及臨時的解決方案，及時處理由于微軟產(chǎn)品而導致的各類安全事件，使安全問題得到及時溝通和有效處置。微軟公司通過嚴格實行安全開發(fā)生命周期以保證產(chǎn)品的安全，通過利用DEP、SHE等安全及時有效提高產(chǎn)品的安全防護水平，有效防范軟件漏洞的惡意利用。（4）學術(shù)界在漏洞的披露、漏洞處置策略和漏洞管理方面的技術(shù)成果。（II）國內(nèi)標準與技術(shù)調(diào)研目前國內(nèi)已建立了第三方漏洞庫和廠商依托于自身業(yè)務(wù)的漏洞庫，已建立了漏洞的收集與處置機制，對我國信息技術(shù)產(chǎn)品的漏洞發(fā)現(xiàn)、驗證和修復起到了積極的推動作用。表1國內(nèi)主要安全漏洞庫情況介紹漏洞庫運營單位介紹備注中國國家信息安全漏洞庫中國信息安全測評中心已建立漏洞的收集、驗證、修復、發(fā)布等漏洞處置與管理規(guī)范，通過網(wǎng)站對外發(fā)布漏洞及修復措施。其漏洞主要涵蓋CVE、Bugtraq和公開收集漏洞。國家信息安全漏洞共享平臺國家互聯(lián)網(wǎng)應(yīng)急中心和國家信息技術(shù)安全研究中心通過漏洞共享平臺收集和處置漏洞信息，通過網(wǎng)站對外發(fā)布漏洞及修復措施。其漏洞主要涵蓋CVE、Bugtraq和公開收集漏洞。入侵防范中心安全漏洞庫國家計算機網(wǎng)絡(luò)入侵防范中心通過國家計算機網(wǎng)絡(luò)入侵防范中心網(wǎng)站發(fā)布漏洞信息。Sebug漏洞庫信息安全愛好者通過發(fā)布漏洞信息，具有良好的漏洞分類、產(chǎn)品分類信息。烏云漏洞庫信息安全愛好者主要公開收集和處置Web類漏洞，已與國內(nèi)146家廠商或組織建立了合作關(guān)系，協(xié)調(diào)漏洞的收集與修復。綠盟科技漏洞庫中聯(lián)綠盟信息技術(shù)（北京）有限公司在國內(nèi)最早建立的漏洞庫，長期跟蹤國際知名漏洞庫CVE、Bugtraq和Secunia。啟明星辰漏洞庫北京啟明星辰信息技術(shù)有限公司長期跟蹤國際知名漏洞庫CVE、Bugtraq和Secunia。從表1可以看出，我國現(xiàn)在已經(jīng)建立了漏洞處置的渠道，但是目前信息技術(shù)廠商、漏洞發(fā)現(xiàn)者、信息安全廠商和用戶之間相互協(xié)調(diào)、參與漏洞的發(fā)現(xiàn)、消除的積極程度并不高，尚未形成統(tǒng)一的管理規(guī)范，長此以往不利于提高我國信息技術(shù)產(chǎn)品的安全水平。2.2013年2月26日召開標準啟動會和第1次標準編制組會議2013年2月26日，在中科院軟件所會議室，召開了標準啟動會和第1次標準編制組會議，各標準編制單位的負責人與專家參加了會議。會上對編制內(nèi)容和方針、編制計劃和編制單位的分工進行了討論，明確了下一步工作計劃。會議除討論了標準草案v.1.0的修改建議外，還重點討論了3個問題：（1）攻擊和網(wǎng)絡(luò)攻擊定義的區(qū)別；（2）網(wǎng)絡(luò)攻擊的5維描述方法；（3）網(wǎng)絡(luò)攻擊的分類與典型過程。3.2013年4月19日信息安全標準重點項目檢查工作會議，報告標準編制工作2013年4月19日，全國信息安全標準化技術(shù)委員會在北京亞丁灣商務(wù)酒店，召開2012年度信息安全標準重點項目檢查工作會議。卿斯?jié)h代表標準編制組做了標準編制工作報告。會議由中國電子技術(shù)標準化研究院羅鋒盈副主任主持，評審專家宿忠民、吳源俊、馮惠、王立福、劉祖龍、肖京華、宮亞峰、高昆侖和鄭志斌對以下方面進行了充分的肯定：（1）標準編制組做了大量前期的調(diào)查和研究工作；（2）標準具有清晰的整體架構(gòu)；（3）網(wǎng)絡(luò)攻擊的5維描述方法，并對今后工作提出了具體意見和建議（參看意見匯總表）。4.2014年4月29日WG5信息安全標準檢查工作會議，報告標準編制工作2014年4月29日，全國信息安全標準化技術(shù)委員會在北京應(yīng)物會議中心B座十一會議室，召開WG5信息安全標準檢查工作會議。卿斯?jié)h代表標準編制組做了標準編制工作報告。評審專家崔書昆、王立福、肖京華、吳源俊等對標準的整體架構(gòu)、編寫思路、描述方法和充分的調(diào)研工作給予了充分肯定，對網(wǎng)絡(luò)攻擊的敏感性與在標準中的表述方法進行了熱烈的討論，并對今后工作提出了具體意見和建議（參看意見匯總表）。5.2016年2月19日召開第2次標準編制組會議2016年2月19日，在北京蟹島會議樓2號會議室，召開了第2次標準編制組會議，各標準編制單位的負責人與專家參加了會議。卿斯?jié)h對標準檢查的情況、評審專家的建議、標準的最新進展和今后工作的思路做了說明，各標準編制單位對標準草案v.2.0進行了深入的討論。標準編制組負責人鼓勵大家進行爭論，勇于發(fā)表不同意見。最后，確定了下一步計劃和具體分工，鼓勵提出各不相同的標準修改版本。6.2017年3月1日召開第3次標準編制組會議2017年3月1日，在中科院軟件所會議室，召開了第3次標準編制組會議，各標準編制單位的負責人與專家參加了會議。卿斯?jié)h對標準的修改思路與過程、不同意見之間的協(xié)調(diào)和適應(yīng)當前的新形勢等方面做了主題發(fā)言，與會專家進行了熱烈的討論。會議對標準草案v.3.0進行了最終的敲定，并一致同意在武漢標準周中在工作組內(nèi)討論，爭取盡快推進到“征求意見稿”階段。7.2017年4月10日，全國信息安全標準化技術(shù)委員會2017年第一次工作組會議周，報告標準編制工作，形成標準征求意見稿全國信息安全標準化技術(shù)委員會2017年第一次工作組會議周于2017年4月8-12日舉行。2017年4月10日，在武漢東西湖區(qū)委黨校會議室，卿斯?jié)h代表標準編制組做了標準編制工作報告及標準草案版本v.3.0的說明。本次標準會議周同意本標準進入“征求意見稿”階段，根據(jù)與會代表提出的意見和建議，完成了意見匯總處理表，并在此基礎(chǔ)上修改標準文本，形成標準（征求意見稿）版本v1.0。編制原則和主要內(nèi)容2.1編制原則《信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》通過借鑒國外標準的研究，結(jié)合國內(nèi)應(yīng)用實踐和我們的科研成果，提出與國際標準接軌、適合我國國情，并具有一定創(chuàng)新性的“信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范”標準。通過該標準的實施，確保環(huán)境安全、運行安全和數(shù)據(jù)遷移安全。為規(guī)范網(wǎng)絡(luò)攻擊的定義與描述、發(fā)起網(wǎng)絡(luò)攻擊的過程與關(guān)鍵技術(shù)、評估網(wǎng)絡(luò)攻擊的效果提供指導。《信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》標準的編制遵循以下原則：(1)先進性：標準反映當今云計算與云安全的先進技術(shù)水平；(2) 開放性：標準的編制、評審與使用具有開放性；(3) 適應(yīng)性：標準結(jié)合我國國情；(4) 簡明性：標準易于理解、實現(xiàn)和應(yīng)用；(5) 中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；(6) 一致性：術(shù)語與國內(nèi)外標準所用術(shù)語最大程度保持一致。2.2主要內(nèi)容1范圍 2規(guī)范性引用文件3術(shù)語和定義4網(wǎng)絡(luò)攻擊的定義5網(wǎng)絡(luò)攻擊的描述5.1網(wǎng)絡(luò)攻擊涉及的角色5.1.1網(wǎng)絡(luò)攻擊者角色5.1.2網(wǎng)絡(luò)攻擊的受害者角色5.1.3網(wǎng)絡(luò)監(jiān)控者角色5.1.4網(wǎng)絡(luò)服務(wù)提供者角色5.1.5網(wǎng)絡(luò)帶寬提供者角色5.2網(wǎng)絡(luò)攻擊分類5.2.1攻擊名稱5.2.2第1維：攻擊對象5.2.3第2維：攻擊方式5.2.4第3維：漏洞利用5.2.5第4維：攻擊后果5.2.6第5維：嚴重程度5.2.7網(wǎng)絡(luò)攻擊分類的舉例5.3網(wǎng)絡(luò)攻擊的典型過程5.3.1攻擊源的隱藏5.3.2信息搜集判斷5.3.3選擇入侵方式5.3.4提升攻擊權(quán)限5.3.5安裝系統(tǒng)后門5.3.6清除入侵記錄5.4網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù)5.4.1獲取口令5.4.2安裝木馬程序5.4.3WWW欺騙5.4.4電子郵件攻擊5.4.5通過一個節(jié)點攻擊其他節(jié)點5.4.6網(wǎng)絡(luò)監(jiān)聽5.4.7挖掘系統(tǒng)漏洞5.4.8竊取特權(quán)5.4.9零日攻擊5.4.10高級持續(xù)性攻擊（APT）5.5網(wǎng)絡(luò)攻擊后果的評估5.5.1信息泄露5.5.2拒絕服務(wù)5.5.3代碼執(zhí)行5.5.4權(quán)限提升主要試驗（或驗證）的分析、綜述報告、技術(shù)經(jīng)濟論證、預(yù)期的經(jīng)濟效果標準編制單位對標準進行了初步試用與驗證，并邀請相關(guān)單位進行進一步試用與驗證，目前正在進展中，反饋的建議對標準的制定奠定了良好基礎(chǔ)。采用國際標準和國外先進標準的程度、以及與國際、國外同類標準水平的對比情況、或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況本標準調(diào)研并參考了以下相關(guān)的標準：NIST信息安全詞匯、NISTSP800系列、FIPS系列、NISTIR系列、CNSSI-4009、美國國防部軍用詞匯字典（2011修訂）、ISO/IEC27000:2012(E)、漏洞和補丁管理方案（SP800-40v2）、ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)-要求、ISO/IEC27034信息技術(shù)安全技術(shù)應(yīng)用安全、ISO/IEC28001供應(yīng)鏈安全管理體系實施、評估和規(guī)劃供應(yīng)鏈安全的最佳實踐-要求和指南、 ISO/IEC17799信息安全管理實踐指南、ISO/IEC29147信息技術(shù)安全技術(shù)漏洞披露、ISO/IEC30111信息技術(shù)安全技術(shù)漏洞處理過程等。在國內(nèi)外標準和技術(shù)的調(diào)研與吸收的基礎(chǔ)上，結(jié)合目前的技術(shù)發(fā)展、我國的應(yīng)用實踐，以及我們的科研成果，提出與國際標準接軌、適合我國國情，并具有一定創(chuàng)新性的《信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范》標準。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系本標準符合現(xiàn)有法律法規(guī)的要求。重大分歧意見的處理經(jīng)過和依據(jù)本標準在編制過程中未出現(xiàn)重大分歧，其他詳見意見匯總處理表。國家標準作為強制性國家標準