化工儀器網(wǎng)手機(jī)版
移動(dòng)端訪問更便捷
今日焦點(diǎn) Today's Focus
查看更多+-
就等你了!“煤化工行業(yè)分析檢測技術(shù)整體解決方案線上會(huì)議”報(bào)名開啟
2025年5月9日14:00,化工儀器網(wǎng)積極響應(yīng)行業(yè)需[詳細(xì)]
最新產(chǎn)品 Latest productS
查看更多+《信息安全技術(shù) 網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準(zhǔn)則》征求意見
2023年12月13日 09:32:20
來源:儀表網(wǎng) 點(diǎn)擊量:2628
本文件給出了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的描述信息要素、判定指標(biāo)和計(jì)數(shù)標(biāo)準(zhǔn)。本文件適用于指導(dǎo)組織開展網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的監(jiān)測分析、態(tài)勢感知、信息報(bào)送等活動(dòng)。
【化工儀器網(wǎng) 標(biāo)準(zhǔn)發(fā)布】近日,由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心 、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 、國家工業(yè)信息安全發(fā)展研究中心 、長安通信科技有限責(zé)任公司 、北京神州綠盟科技有限公司 、三六零數(shù)字安全科技集團(tuán)有限公司 、奇安信科技集團(tuán)股份有限公司 、安天科技集團(tuán)股份有限公司 、螞蟻科技集團(tuán)股份有限公司 、中國移動(dòng)通信集團(tuán)有限公司 、中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司 、中國信息安全測評中心等單位起草,TC260(全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì))歸口的國家標(biāo)準(zhǔn)計(jì)劃《信息安全技術(shù) 網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件判定準(zhǔn)則》征求意見稿已編制完成,現(xiàn)公開征求意見。
網(wǎng)絡(luò)攻擊的多樣化及網(wǎng)絡(luò)攻擊事件的日益增多,推動(dòng)了網(wǎng)絡(luò)攻擊的檢測方法和網(wǎng)絡(luò)攻擊事件分析方法不斷升級,也促使各單位、各廠商積極建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)能力。然而,由于缺乏對網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件的判定和計(jì)數(shù)標(biāo)準(zhǔn),各單位、廠商在檢測和統(tǒng)計(jì)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件方面出現(xiàn)較大差異,導(dǎo)致難以有效實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊態(tài)勢的共享和準(zhǔn)確感知,難以將各方能力形成合力協(xié)同解決網(wǎng)絡(luò)安全問題。
在此背景下,需研制不同類型網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)攻擊事件的判定和計(jì)數(shù)標(biāo)準(zhǔn),為當(dāng)前網(wǎng)絡(luò)安全檢測和態(tài)勢分析技術(shù)、系統(tǒng)、產(chǎn)品提供統(tǒng)一的參考標(biāo)準(zhǔn)和依據(jù),為有效實(shí)現(xiàn)網(wǎng)絡(luò)攻擊態(tài)勢的共享、研判、提供基礎(chǔ)和依據(jù)。
本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
本文件代替GB/T 37027—2018 《信息安全技術(shù) 網(wǎng)絡(luò)攻擊定義及描述規(guī)范》,與GB/T 37027—2018相比,除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外,主要技術(shù)變化如下:
a) 調(diào)整了網(wǎng)絡(luò)攻擊的定義(見3.1);
b) 增加了網(wǎng)絡(luò)攻擊事件的定義(見3.2);
c) 調(diào)整了網(wǎng)絡(luò)攻擊的描述(見5.1);
d) 調(diào)整了對安全漏洞的描述,刪除“表3 安全漏洞分類表”,改為“見GB/T 30279—2020”(見5.1、5.2);
e) 調(diào)整了對攻擊方式的描述,刪除“表2 攻擊方式分類表”,改為與GB/T 20986—2023具有一致性的19類攻擊技術(shù)手段(見5.1、6.1);
f) 增加了網(wǎng)絡(luò)攻擊事件的描述(見5.2);
g) 刪除了對攻擊嚴(yán)重程度的描述,增加了與GB/T 20986—2023具有一致性的事件分級描述(見5.2);
h) 刪除了對攻擊后果的描述,增加了與GB/T 20986—2023具有一致性的事件影響描述(見5.2);
i) 增加了網(wǎng)絡(luò)攻擊的判定指標(biāo)(見6.1);
j) 增加了網(wǎng)絡(luò)攻擊事件的判定指標(biāo)(見6.2);
k) 增加了網(wǎng)絡(luò)攻擊的計(jì)數(shù)標(biāo)準(zhǔn)(見7.1);
l) 增加了網(wǎng)絡(luò)攻擊事件的計(jì)數(shù)標(biāo)準(zhǔn)(見7.2)。
m) 調(diào)整了對攻擊對象分類的描述,對“表1 攻擊對象分類表”的內(nèi)容進(jìn)行調(diào)整,并將表名改為“表A.1 攻擊對象類型表”,從正文中刪除,作為資料性附錄(見附錄B);
n) 調(diào)整了對典型網(wǎng)絡(luò)攻擊過程的描述(見附錄C);
o) 增加了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的典型判定方法(見附錄D);
本文件給出了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的描述信息要素、判定指標(biāo)和計(jì)數(shù)標(biāo)準(zhǔn)。本文件適用于指導(dǎo)組織開展網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊事件的監(jiān)測分析、態(tài)勢感知、信息報(bào)送等活動(dòng)。
網(wǎng)絡(luò)掃描探測攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生網(wǎng)絡(luò)掃描探測攻擊:
a) 一定時(shí)間范圍內(nèi),針對端口、路徑、配置等的網(wǎng)絡(luò)請求數(shù)量超出正常閥值范圍,或網(wǎng)絡(luò)請求內(nèi)容存在遍歷性和構(gòu)造性;
b) 網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含網(wǎng)絡(luò)掃描軟件的特征。
網(wǎng)絡(luò)釣魚攻擊的判定指標(biāo):
當(dāng)通過網(wǎng)絡(luò)傳播的信息(如網(wǎng)頁、網(wǎng)絡(luò)郵件、軟件、文件等)具有欺詐性、偽造性,且存在誘使訪問者提交重要數(shù)據(jù)和個(gè)人信息的情況時(shí),判定發(fā)生網(wǎng)絡(luò)釣魚攻擊。
漏洞利用攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生漏洞利用攻擊:
a) 網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含漏洞利用攻擊包的特征;
b) 網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含漏洞利用工具的特征。
后門利用攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生后門利用攻擊:
a) 網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含后門利用攻擊包的特征,如后門利用工具的特征;
b) 網(wǎng)絡(luò)或信息系統(tǒng)中包含后門利用的痕跡,如后門執(zhí)行文件等。
后門植入攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生后門植入攻擊:
a) 網(wǎng)絡(luò)流量或設(shè)備/系統(tǒng)/軟件日志中包含后門植入攻擊包的特征,如后門植入工具的特征;
b) 網(wǎng)絡(luò)或信息系統(tǒng)中包含后門植入的痕跡,如被植入的后門文件。
憑據(jù)攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生憑據(jù)攻擊:
a) 網(wǎng)絡(luò)流量或者業(yè)務(wù)系統(tǒng)日志中包含攻擊者在短時(shí)間內(nèi)進(jìn)行口令枚舉猜解的行為特征;
b) 攻擊者存在識別解析登錄口令的行為。
信號干擾攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生信號干擾攻擊:
a) 通信信號質(zhì)量下降,數(shù)據(jù)包丟失,通信中斷等問題。通過監(jiān)測信號的頻譜特征、幅度變化、頻率偏移等,可以檢測到信號的異常表現(xiàn);
b) 通信信號的信噪比下降、比特錯(cuò)誤率增加、丟包率升高等指標(biāo)的變化;
c) 通過檢測與正常設(shè)備行為不一致的跡象,如未經(jīng)授權(quán)的無線電發(fā)射器的存在,可以發(fā)現(xiàn)潛在的信號干擾攻擊;
d) 過監(jiān)測鄰近通信鏈路的質(zhì)量變化和異常行為。
拒絕服務(wù)攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生拒絕服務(wù)攻擊:
a) 網(wǎng)絡(luò)流量中包含拒絕服務(wù)攻擊的指令特征;
b) 網(wǎng)絡(luò)或信息系統(tǒng)的流入流量或訪問量超過正常閾值。
網(wǎng)頁篡改攻擊的判定指標(biāo):
存在網(wǎng)頁內(nèi)容被非授權(quán)惡意更改的情況時(shí),判定發(fā)生網(wǎng)頁篡改攻擊。
暗鏈植入攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生暗鏈植入攻擊:
a) 發(fā)現(xiàn)存在未經(jīng)授權(quán)的或異常的鏈接,指向惡意網(wǎng)站、下載惡意軟件的鏈接或其他惡意資源;
b) 發(fā)現(xiàn)存在異常的訪問流量模式,突然增加的訪問量、來自不同地理位置或非正常的用戶行為
等;
c) 發(fā)現(xiàn)安全日志和監(jiān)測出現(xiàn)異常行為,網(wǎng)站或應(yīng)用程序文件被修改。
域名劫持攻擊的判定指標(biāo):
當(dāng)域名的解析結(jié)果被非域名所有者指向非預(yù)期的IP地址的情況時(shí),判定發(fā)生域名劫持攻擊。
域名轉(zhuǎn)嫁攻擊的判定指標(biāo):
當(dāng)域名的解析結(jié)果被域名所有者指向了不屬于所有者或者利益相關(guān)方所擁有的IP地址情況時(shí),判定發(fā)生域名轉(zhuǎn)嫁攻擊。
DNS 污染攻擊的判定指標(biāo):
當(dāng)網(wǎng)絡(luò)中存在錯(cuò)誤的DNS數(shù)據(jù)包,把域名的解析結(jié)果指向不正確的IP地址時(shí),判定發(fā)生DNS污染攻擊。
WLAN 劫持攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生WLAN劫持攻擊:
a) 無線網(wǎng)絡(luò)大量的數(shù)據(jù)流量被重定向到未知的目標(biāo)、數(shù)據(jù)包被篡改或通信被中斷;
b) 頻繁斷連、連接到未知的或可疑的無線網(wǎng)絡(luò)等;
c) 未經(jīng)授權(quán)的無線接入點(diǎn)的出現(xiàn)、頻繁的信道切換、無線信號干擾等。
流量劫持攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生流量劫持攻擊:
a) 實(shí)際流入流量與對端發(fā)出流量存在差別;
b) 實(shí)際流出流量與達(dá)到對端流量存在差別。
BGP 劫持攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生BGP劫持攻擊:
a) 攻擊者使用偽造或篡改等手段污染BGP邊界網(wǎng)關(guān)協(xié)議的路由數(shù)據(jù),欺騙其他AS將流量引向攻擊者指定的AS,此種情況下攻擊者正在發(fā)送污染包劫持路徑;
b) AS實(shí)際網(wǎng)絡(luò)通信路由路徑與合理的網(wǎng)絡(luò)路由通信路徑存在差別,此種情況下攻擊者已經(jīng)劫持
了路徑,并將流量引向其指定的AS。
廣播欺詐攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生廣播欺詐。
a) ARP表中IP地址與MAC地址的映射與正常情況不一致或存在重復(fù)映射;
b) 網(wǎng)絡(luò)中的數(shù)據(jù)流量和通信模式發(fā)現(xiàn)大量的沖突通信、數(shù)據(jù)包丟失、通信中斷等異常情況;
c) 頻繁地發(fā)送ARP請求、自動(dòng)更新ARP表、重置網(wǎng)絡(luò)接口等。
失陷主機(jī)攻擊的判定指標(biāo):
存在下列一種或者多種情況,判定發(fā)生失陷主機(jī)攻擊:
a) 被控設(shè)備對外發(fā)送心跳包、控制指令響應(yīng)包或開啟非授權(quán)端口服務(wù);
b) 被控設(shè)備中包含具有遠(yuǎn)程控制功能的惡意代碼或者相關(guān)感染痕跡,例如特洛伊木馬文件等;
其他網(wǎng)絡(luò)攻擊的判定指標(biāo):
采取其他攻擊技術(shù)手段的網(wǎng)絡(luò)攻擊行為。
更多詳情請見附件。
相關(guān)閱讀 Related Reading
查看更多+-
涉及1.3萬企業(yè)專利權(quán)人!2025年全國專利調(diào)查工作即將啟動(dòng)
近日,國家知識產(chǎn)權(quán)局將組織開展2025年全國專利調(diào)查工作,為知識產(chǎn)權(quán)宏觀管理、政策制定、規(guī)劃實(shí)施和知識產(chǎn)權(quán)強(qiáng)國建設(shè)提供數(shù)據(jù)支撐。<...2025-05-10 10:00:00 -
湖南出臺新規(guī)!力推招投標(biāo)市場規(guī)范健康發(fā)展
近日,湖南省人民政府辦公廳印發(fā)《關(guān)于創(chuàng)新完善體制機(jī)制推動(dòng)招標(biāo)投標(biāo)市場規(guī)范健康發(fā)展的實(shí)施意見》,旨在推動(dòng)湖南形成高效規(guī)范、公平競爭、...2025-05-09 14:30:18 -
覆蓋19個(gè)細(xì)分領(lǐng)域 《中國再制造產(chǎn)業(yè)發(fā)展報(bào)告(2025)》發(fā)布
5月8日,由機(jī)械工業(yè)環(huán)保產(chǎn)業(yè)發(fā)展中心主辦的2025再制造產(chǎn)業(yè)發(fā)展大會(huì)在河北唐山舉行,會(huì)上發(fā)布了《中國再制造產(chǎn)業(yè)發(fā)展報(bào)告(2025)...2025-05-09 13:57:51 -
2025年朱良漪分析儀器創(chuàng)新獎(jiǎng)申報(bào)進(jìn)行中
中國儀器儀表學(xué)會(huì)分析儀器分會(huì)發(fā)布《2025年朱良漪分析儀器創(chuàng)新獎(jiǎng)申報(bào)通知》,其中申報(bào)時(shí)間明確為2025年1月1日-2025年6月3...2025-05-09 13:27:49 -
儀器儀表類共8家 首批重點(diǎn)培育中試平臺初步名單公布
5月8日,工業(yè)和信息化部公布首批重點(diǎn)培育中試平臺初步名單。經(jīng)自愿申報(bào)、地方推薦、形式審查、專家評審、征求意見等程序,共選出242家...2025-05-09 13:27:34 -
守護(hù)安全“邊際線” 全鏈條監(jiān)管護(hù)航特種設(shè)備安全
近日,國家市場監(jiān)管總局印發(fā)了《市場監(jiān)管總局關(guān)于試行特種設(shè)備安全沙盒監(jiān)管制度的通告》《缺陷特種設(shè)備召回管理規(guī)則》等系列文件,以此來加...2025-05-09 13:16:05
版權(quán)與免責(zé)聲明
- ①凡本網(wǎng)注明“來源:化工儀器網(wǎng)”的所有作品,均為浙江興旺寶明通網(wǎng)絡(luò)有限公司-化工儀器網(wǎng)合法擁有版權(quán)或有權(quán)使用的作品,未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其他方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明“來源:化工儀器網(wǎng)”。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。
- ②本網(wǎng)轉(zhuǎn)載并注明自其他來源(非化工儀器網(wǎng))的作品,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé),不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個(gè)人從本網(wǎng)轉(zhuǎn)載時(shí),必須保留本網(wǎng)注明的作品第一來源,并自負(fù)版權(quán)等法律責(zé)任。
- ③如涉及作品內(nèi)容、版權(quán)等問題,請?jiān)谧髌钒l(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。
