ICS 35.240 GA A 90 中华人民共和国公共安全行业标准 GA/T 1717.3—2020 信息安全技术 网络安全事件通报预警 第3部分：数据分类编码与 标记标签体系技术规范 Information security technology --Notification and warning of cyber security incident-Part3: Technical specifications for data classification coding and label system 2020-08-01实施 2020-03-24发布 中华人民共和国公安部 发布 GA/T 1717.3—2020 目 次 前言 范围 1 2 规范性引用文件 3 术语和定义 4 制定原则 网络安全数据分类方法 5 5.1 网络安全数据要素分类 5.2 网络安全数据类别分类 5.3网络安全数据活动特征分类 5.4 网络安全数据属性分类 6网络安全数据分类编码方法 6.1 编码方法 6.2 编码组成 6.3 线分类法编码规则 6.4面分类法编码规则 7网络安全数据标记标签 7.1 网络安全数据标记标签类别 7.2网络安全数据标记标签样例 附录 A（规范性附录)分类编码规则 A.1分类编码规则 A.2网络安全数据分类编码… A.3网络安全业务代码 附录B（资料性附录） 网络安全数据目录编码样例 附录C (资料性附录) 标记标签样例 13 参考文献 14 GA/T 1717.3—2020 前言 GA/T1717《信息安全技术 ：网络安全事件通报预警》分为三个部分： 第1部分：术语； 一第2部分：通报预警流程规范； 第3部分：数据分类编码与标记标签系统技术规范， 本部分为GA/T1717的第3部分。 本部分按照GB/T1.1一2009给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位：公安部网络安全保卫局、中国科学院软件研究所、公安部第三研究所。 本部分主要起草人：黄小苏、张秀东、吴辰苗、任彬、张海霞、黄克振、刘玉岭、贾文卓、陶源。 I GA/T 1717.3—2020 信息安全技术网络安全事件通报预警 第3部分：数据分类编码与 标记标签体系技术规范 1范围 GA/T1717的本部分规定了网络安全事件通报预警工作中网络安全数据的分类方法、编码方法和 标记标签体系。 本部分适用于网络安全职能部门开展网络安全监测分析、通报预警、应急处置工作。 2规范性引用文件 下列文件对于本文件的引用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T4754国民经济行业分类 GB11714全国组织机构代码编制规则 GB/T25069信息安全技术术语 GB32100法人和其他组织统一社会信用代码编码规则 GA/T1717.1信息安全技术网络安全事件通报预警第1部分：术语 3术语和定义 GB/T25069和GA/T1717.1界定的以及下列术语和定义适用于本文件。 3.1 网络安全数据分类cyber securitydata classification 根据网络安全数据的属性或特征，将其按照一定的原则和方法进行区分和归类，并建立起一定的分 类体系和排列顺序，以便更好地管理和使用数据的过程。 3.2 网络安全数据编码cybersecuritydatacoding 在分类的基础上，给网络安全数据赋予具有一定规律性、计算机容易识别与处理的符号。 3.3 事权单位responsibleorganization 提供网络安全数据并从业务上对数据内容负责的单位。 3.4 数据标记标签datalabel 网络安全数据自身属性内含的，或经由一定分析计算标记的，用于对数据或数据所描述对象进行概 括性、抽象性描述的具有一定动态性和时效性的文本型数据。 4制定原则 网络安全数据分类方法制定原则如下： 1 GA/T 1717.3—2020 稳定性。应以数据最稳定的特征和属性为依据； a) b) 唯一性。保证每一个网络安全数据编码对象仅有唯一的编码； 可扩性。应留有足够的备用码和标记标签，支持必要的修订和补充。 网络安全数据分类方法 5 5.1 网络安全数据要素分类 网络安全数据要素分类见表1。 表1网络安全数据要素分类 代码 名称 说明 以人为主体进行描述的网络安全数据要素，包括个人和组织，其中组织指按照一定宗旨和系统建 人 1 立起来的在网络空间内进行活动的团体 以物为主体进行描述的网络安全数据要素，包括特定情况下针对不同情况涵盖不同的内容，包括 2 物 资产、威胁、脆弱性、风险等 3 地 以地点为主体进行描述的网络安全数据要素，如国家、地区、省、市、县 重 以网络安全事件为主体进行描述的网络安全数据要素 5.2 网络安全数据类别分类 网络安全数据类别分类见表2。 表2网络安全数据类别分类 代码 名称 说明 1 基本信息 对主体和主体行为的基本要素进行描述，包括ID信息、日志信息 2 关系信息 对主体在网络安全活动中与主体主要关系进行描述 3 活动信息 对主体参与的各种网络安全活动进行描述 图片影像信息 与主体有关的以图片、音频或影像的格式存储的网络安全数据 4 文档资料信息 与主体相关的文字档案信息 5 5.3 网络安全数据活动特征分类 网络安全数据活动特征分类见表3。 表3网络安全数据活动特征分类 代码 名称 说明 登录、发表观点、关注、浏览、转发等网络空间的数据记录，以及生成日志、使用工具等 网络空间基本活动 1 价值性活动 2 GA/T1717.3—2020 表3 (续) 代码 名称 说明 网络安全活动 2 安全扫描、漏洞利用、攻击工具下载等网络安全相关的活动记录 实名活动 主体以实名进行的各类活动 3 4 非实名活动 主体以网络ID等未实名认证的虚拟标识进行的各类活动 5.4 网络安全数据属性分类 网络安全数据属性分类见表4。 表4网络安全数据属性分类 代码 说明 名称 1 基础信息 IP基础信息、域名基础信息等社会公共主体可以提供的数据 端口服务资源信息、黑客档案资源信息、网站/设备指纹资源信息、木马特征资源信息、病毒 资源信息 特征资源、漏洞资源信息、钓鱼网站资源信息、违法网站资源信息等用于辅助网络安全监测 2 分析、通报预警、应急处置的数据 案（事)件信息、情报数据业务信息、通报预警业务信息、应急处置业务信息等网络安全防 业务信息 3 护、通报、预警和处置过程中产生的过程性或结果性数据 网络安全数据分类编码方法 6.1 编码方法 采用线分类法和面分类法混合编码的方法。 6.2 编码组成 由英文字母、阿拉伯数字和破折号组成。 6.3线分类法编码规则 以线分类法构建左第1～45位： a）第1～2位用英文字母"CS”表示该编码为网络安全数据编码； b）第3位为破折号； 第4～21位由阿拉伯数字和英文字母组成，表示网络安全数据的事权单位，应根据不同情况分 别符合GB11714、GB32100和GA/T380的规定，其中，不足18位时以前补零方式补齐； d）第22位为破折号； 第23～45位由英文字母、阿拉伯数字和破折号组成，表示网络安全数据的所属目录编码，具体 e） 编码规则见6.4和附录A,网络安全数据目录编码参见附录B中的表B.1。 6.4面分类法编码规则 以面分类法构建左起第23～45位： a）第23～27位由英文字母和阿拉伯数字表示网络安全数据的行业门类代码，应符合GB/T4754 3 GA/T 1717.3—2020 的规定； b）第28位为破折号； c） 第29位阿拉伯数字表示该网络安全数据的属性代码，应符合5.4的规定； d) 第29～31位阿拉伯数字和字母表示该网络安全数据的网络安全业务代码，其中，不足3位时 以前补零方式补齐； 第32位阿拉伯数字表示网络安全数据的类别代码，应符合5.2的规定； e) f) 第33位阿拉伯数字表示网络安全数据的要素代码，应符合5.1的规定； g） 第34位阿拉伯数字表示网络安全数据的活动特征代码，应符合5.3的规定； 第35位为破折号； 第36～45位为预留位，可根据具体分类特征进行扩展分类。 i) 7网络安全数据标记标签 7.1 网络安全数据标记标签类别 网络安全数据标记标签分类包括： a）网络安全类目标签： 根据第5章所标识的数据所属多个分类所显示的标签称为网络安全类目标签。网络安全数据 分类通常为多级,类目标签带有级别属性,如：使用分类树一级分类为数据打标签,标签便是一 级类目标签； b）威胁攻击属性标签： 由数据记录的具体属性字段直观显示的标签，如后门控制事件发生省、攻击者的性别、安全隐 患事件的级别等。属性标签无须增加标签字段进行标识，需要时可从数据属性直接抽取； c） 威胁攻击统计标签： 不能由数据记录的具体属性字段显示，而需要运用一定的统计分析手段处理所得的概括性、抽 象性或聚类标签，如：为某攻击者描述数据所打的“青年”“中年”标签，为某钓鱼网站数据所打 的影响范围标签等； d) 关联/关系标签： 在网络要素间直接关系、间接关系以及多维度关联关系的基础上，采用一定的关联关系计算方 法生成的，标示某数据网络安全威胁攻击的标签，如：利用深度学习算法为网络安全事件数据 所打的准确性标签,利用关联分析算法为IP标记的是否恶意或者与某类事件关联度标签等； e): 场景标签： 标示某网络威胁攻击数据所关联某项事务、某种场景、某种专项等的标签，例如：2019两会、通 报预警