《信息安全技术 网络安全事件通报预警 第1-3部分-2020》由会员分享,可在线阅读,更多相关《信息安全技术 网络安全事件通报预警 第1-3部分-2020(51页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术 网络安全事件通报预警 第1部分:术语 _GA_T 1717.1-2020.pdf 信息安全技术 网络安全事件通报预警 第2部分:通报预警流程规范 _GA_T 1717.2-2020.pdf 信息安全技术 网络安全事件通报预警 第3部分:数据分类编码与标记标签技术体系技术规范 _GA_T 1717.3-2020.pdf GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX.1XXXX 信息安全技术 网络安全事件通报预警 第 1 部分:术语 Information security technology Notification and warning
2、 of cyber security incidents Part 1: Terminology (报批稿) XXXX-XX-XX 发布 XXXX-XX-XX 实施 中华人民共和国公安部发 布 ICS 35.240 A 90 GA/T XXXX.1XXXX I 目 次 前言 . II 引言 . III 1 范围 . 1 2 一般概念 . 1 3 技术类 . 1 4 业务类 . 7 汉语拼音索引 . 10 英文对应词索引 . 13 参考文献 . 16 GA/T XXXX.1XXXX II 前 言 GA/T XXXX信息安全技术网络安全事件通报预警分为三个部分: 第 1 部分:术语; 第 2 部分
3、:通报预警流程规范; 第 3 部分:数据分类编码与标记标签系统技术规范。 本部分为GA/T XXXX的第1部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位:公安部网络安全保卫局、公安部第三研究所、中国科学院软件研究所、太极计算 机股份有限公司、启明星辰信息技术集团股份有限公司、奇安信科技集团股份有限公司、国网网安(北 京)科技有限公司。 本部分主要起草人:杜佳颖、黄小苏、张秀东、吴辰苗、任彬、陈长松、高琪、张超、侯茂强、马 闽、李姝、殷倩、李祉岐。 GA/T XXXX.1XXXX
4、III 引 言 当前, 网络安全形势日趋严峻、 安全威胁日趋多样化、 漏洞隐患频发多发、 安全事件影响日趋深远, 严重危害国家安全、公共安全和民众利益。 网络安全事件通报预警是国家网络安全保障体系的重要环节, 是国家法律法规要求的重要工作内容。 为进一步明确网络安全事件通报预警的规范化描述语言体系、 工作流程规范、 分类编码方法和标记标签 体系,从而规范网络安全事件通报预警工作,切实维护国家关键信息基础设施安全,保障民众利益、公 共安全和国家安全,特制定GA/T XXXX。 GA/T XXXX分为三部分,可为网络安全职能部门开展网络安全监测分析、通报预警、应急处置工作 提供依据和参考。第1部分
5、明确了网络安全事件通报预警工作中重点需要的用语及其含义,统一规范了 通报预警工作各方的交互语言;第2部分规范了网络安全事件定级方法、通报流程和预警流程,可有效 提高通报预警工作效率;第3部分规范了网络安全事件通报预警工作中相关数据的分类方法、编码方法 和标记标签体系,可为网络安全通报预警工作的机器化、智能化、数字化开展提供支撑。 GA/T XXXX.1XXXX 1 信息安全技术 网络安全事件通报预警 第 1 部分:术语 1 范围 GA/T XXXX的本部分规定了网络安全事件通报预警所涉及的术语及其定义。 本部分适用于网络安全事件监测分析、通报预警、调查处置及相关管理和技术研究工作,准确理解 和
6、表达相关概念。 2 一般概念 2.1 攻击者 attacker 故意利用技术性和非技术性安全控制措施的脆弱性, 以窃取或损害信息系统和网络, 或者损害信息 系统和网络资源对合法用户的可用性的任何人。 2.2 攻击 attack 企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。 GB/T 29246-2017,定义2.3 2.3 入侵 intrusion 对网络或联网系统的未授权访问, 即对信息系统进行有意或无意的未授权访问, 包括针对信息系统 的恶意活动或对信息系统内资源的未授权使用。 2.4 网络安全事件cyber security incident 由于自然或者人为以及
7、软硬件本身缺陷或故障的原因, 对网络或信息系统造成危害, 或对社会造成 负面影响的事件。 GB/T 32924-2016,定义3.4 注:参考GB/T 20986-2007,网络安全事件包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、 设备设施故障、灾害性事件和其他事件。 3 技术类 3.1 有害程序 malware 恶意程序 被专门设计用来损害或破坏系统,对保密性、完整性或可用性进行攻击的程序。 GA/T XXXX.1XXXX 2 注:有害程序包括病毒、木马、后门、蠕虫等。 3.2 病毒 virus 在计算机程序中插入破坏计算机功能或者数据, 影响计算机使用并能自我复制的一组
8、计算机指令或 者程序代码。 GB/T 31499-2015,定义3.6 3.3 蠕虫 worm 通过信息系统或计算机网络进行自身传播,从而造成恶意占用可用资源等损害的有害程序。 注:改写GB/T25069-2010,定义2.1.26。 3.4 特洛伊木马trojan horse 伪装成良性应用程序的有害程序。 注:简称木马。 3.5 后门 backdoor 绕过了系统的安全策略,可以对程序、系统进行访问、控制的程序或代码。 3.6 网页后门webshell 以网页文件形式存在的命令执行环境。 3.7 间谍软件 spyware 从计算机用户收集私人或保密信息的欺骗性软件。 3.8 勒索软件 ra
9、nsomware 以勒索财物等为目的,通过技术手段阻碍用户正常使用计算机软件、数据等资源的有害程序。 3.9 破坏性程序 destructive program 具有对计算机信息系统的功能或存储、处理及传输的数据进行非授权获取、删除、增加、修改、干 扰、破坏等功能的程序。 3.10 恶意IP地址 malicious IP 蓄意传播病毒、木马等有害程序,或在网络攻击活动中使用的IP地址。 3.11 GA/T XXXX.1XXXX 3 恶意域名 malicious domain name 蓄意传播有害内容、有害程序,或在网络攻击活动中使用的域名。 3.12 隐患 potential hazard
10、在网络空间环境下的技术、管理等方面存在的潜在危害。 3.13 漏洞vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以 不同形式存在于计算机信息系统的各个层次和环节之中, 一旦被恶意主体所利用, 就会对计算机信息系 统的安全造成损害,从而影响计算机信息系统的正常运行。 GB/T 284582012,定义3.2 3.14 漏洞等级vulnerabilitylevel 根据漏洞的影响对象、影响范围、利用难度、造成的后果等要素划分的危害级别。一般分为高危、 中危和低危漏洞。 3.15 通用型漏洞universal vulnerabilit
11、y 通用软硬件的漏洞。 3.16 事件型漏洞 incident vulnerability 不具有通用性,对特定信息系统或网络构成安全威胁的漏洞。 3.17 扫描scan 对网络上的网络设备、 主机和应用进行鉴识的过程, 是进行网络安全评估或实施网络攻击的前提之 一。 注:改写GB/T 25069-2010,定义2.2.1.109。 3.18 嗅探 sniff 通过程序或设备捕获网络中的信息。 注:改写GB/T 25069-2010,定义2.2.1.120。 3.19 渗透 penetration 绕过信息系统安全机制的未授权行为。 3.20 GA/T XXXX.1XXXX 4 暴力破解 br
12、ute force 针对密码或身份认证等进行穷举尝试,试图破解加密信息,突破认证方式的方法。 3.21 僵尸网络 botnet 被攻击者集中控制的大量主机或网络设备, 可被用于发动大规模恶意活动, 如分布式拒绝服务攻击 等。 3.22 攻击模式 attack pattern 针对应用程序或系统的攻击方法的抽象 注:例如SQL注入攻击、中间人攻击、会话劫持等。 3.23 漏洞利用vulnerability exploit 通过漏洞试图获取系统权限、数据资源的技术或代码,通常采用脚本形式。 3.24 注入 injection 将一些包含指令的数据发送到解释程序中, 使得解释程序将收到的数据转换为指
13、令执行, 导致数据 破坏、泄露,权限绕过等。 3.25 SQL注入SQL injection;structured query language(SQL) injection 通过将一些恶意的SQL命令作为参数传递到应用程序中,欺骗数据库执行恶意命令的攻击方式,可 导致数据窃取、更改、删除等后果。 3.26 跨站脚本攻击 cross-site scripting attack 攻击者通过向目标网站注入恶意代码,从而对此网站的用户发起攻击的攻击行为。可造成Cookie 资料窃取、会话劫持、钓鱼欺骗等后果。 3.27 命令执行攻击 command execution attack 命令注入 利用应用程序中对用户提交数据验证不足的缺陷,通过构造特殊命令字符串,提交到系统shell中 执行。 3.28 代码执行攻击 code execution attack 代码注入 利用应用程序缺乏输入、输出数据验证的缺陷,通过构造恶意代码,提交应用程序中执行。 3.29 GA/T XXXX.1XXXX 5 URL跳转攻击URL jump attack;Uniform Resource Locator(URL)jump attack URL重定向攻击 利用应用程序未对传入的URL变量进行检查的缺陷,构造恶意URL,诱导用户跳转到恶意网站。 3.30
