GA 中华人民共和国 公共安全 行 业 标 准 GA/T XXXX.1—XXXX 信息安全技术 网络安全事件通报预警 第1部分：术语 Information security technology —Notification and warning of cyber security incidents —Part 1: Terminology （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国公安部 发布 ICS 35.240 A 90 GA/T XXXX .1—XXXX I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 一般概念 ................................ ................................ ........... 1 3 技术类 ................................ ................................ ............. 1 4 业务类 ................................ ................................ ............. 7 汉语拼音索引 ................................ ................................ ........ 10 英文对应词索引 ................................ ................................ ...... 13 参考文献 ................................ ................................ ............ 16 GA/T XXXX.1 —XXXX II 前 言 GA/T XXXX 《信息安全技术网络安全事件通报预警》分为三个部分： ——第1部分：术语 ； ——第2部分：通报预警流程规范 ； ——第3部分：数据分类编码与标记标签系统技术规范 。 本部分为GA/T XXXX 的第1部分。 本部分按照GB/T 1.1 -2009给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位：公安部网络安全保卫局、公安部第三研究所、 中国科学院软件研究所、 太极计算 机股份有限公司、启明星辰信息技术集团股份有限公司、 奇安信科技集团股份有限公司 、国网网安（北 京）科技有限公司 。 本部分主要起草人： 杜佳颖、黄小苏、张秀东、吴辰苗、任彬、陈长松、高琪、张超、侯茂强、马 闽、李姝、殷倩、 李祉岐。 GA/T XXXX .1—XXXX III 引 言 当前，网络安全形势日趋严峻 、安全威胁日趋多样化 、漏洞隐患 频发多发、 安全事件影响日趋深远， 严重危害国家安全、公共安全和民众利益。 网络安全事件通报预警是国家网络安全保障体系的重要环节 ，是国家法律法规要求的重要工作内容。 为进一步明确网络安全事件通报预警的规范化描述语言体系、工作流程规范、分类编码方法和标记标签 体系，从而规范网络安全事件通报预警工作，切实维护国家关键信息基础设施安全，保障民众利益、公 共安全和国家安全，特 制定GA/T XXXX 。 GA/T XXXX 分为三部分，可为 网络安全职能部门 开展网络安全监测分析、通报预警、应急处置 工作 提供依据和参考。 第1部分明确了网络安全事件通报预警工作中重点需要的用语及其含义，统一规范了 通报预警工作各方的交互语言；第 2部分规范了网络安全事件定级方法、通报流 程和预警流程，可有效 提高通报预警工作效率；第 3部分规范了网络安全事件通报预警工作中相关数据的分类方法、编码方法 和标记标签体系，可为网络安全通报预警工作的机器化、智能化、数字化开展提供支撑。 GA/T XXXX.1 —XXXX 1 信息安全技术 网络安全事件通报预警 第1部分：术语 1 范围 GA/T XXXX的本部分规定 了网络安全 事件通报预警所涉及的术语 及其定义 。 本部分适用于网络安全事件监测分析、通报预警、调查处置 及相关管理和技术研究 工作，准确理解 和表达相关概念 。 2 一般概念 2.1 攻击者 attacker 故意利用技术性和非技术性安全控制措施的脆弱性，以窃取或损害信息系统和网络，或者损害信息 系统和网络资源对合法用户的可用性的任何人 。 2.2 攻击 attack 企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。 [GB/T 29246 -2017,定义2.3] 2.3 入侵 intrusion 对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统 的恶意活动或对信息系统内资源的未授权使用。 2.4 网络安全事件 cyber security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因，对网络或信息系统造成危害，或对社会造成 负面影响的事件。 [GB/T 32924 -2016，定义3.4] 注：参考GB/T 20986 -2007，网络安全事件包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、 设备设施故障、灾害性事件和其他事件。 3 技术类 3.1 有害程序 malware 恶意程序 被专门设计用来损害或破坏系统，对保密性、完整性或可用性进行攻击的 程序。 GA/T XXXX.1 —XXXX 2 注：有害程序包括 病毒、木马、后门 、蠕虫等 。 3.2 病毒 virus 在计算机程序中插入破坏计算机功能或者数据， 影响计算机使用并能 自我复制的 一组计算机指令或 者程序代码。 [GB/T 31499 -2015，定义3.6] 3.3 蠕虫 worm 通过信息系统或计算机网络进行自身传播，从而造成恶意占用可用资源等损害 的有害程序 。 注：改写GB/T25069 -2010，定义2.1.26。 3.4 特洛伊木马 trojan horse 伪装成良性应用程序的 有害程序。 注：简称木马。 3.5 后门 backdoor 绕过了系统的安全策略，可以对程序、系统进行访问、控制的程序或代码 。 3.6 网页后门 webshell 以网页文件形式存在的命令执行环境。 3.7 间谍软件 spyware 从计算机用户收集私人或保密信息的欺骗性软件 。 3.8 勒索软件 ransomware 以勒索财物等为目的 ，通过技术手段阻碍用户正常使用计算机软件 、数据等资源的有害程序。 3.9 破坏性程序 destructive program 具有对计算机信息系统的功能或存储、处理及传输的数据进行非授权获取、删除、增加、修改、干 扰、破坏等功能的程序。 3.10 恶意IP地址 malicious IP 蓄意传播病毒、木马等 有害程序，或 在网络攻击 活动中使用的 IP地址。 3.11