ICS 35.040 L80 GB 中华人民共和国国家标准 GB/T366432018 信息安全技术网络安全威胁信息格式规范 Information securitytechnology-Cyber security threat informationformat 2018-10-10 2018-10-10发布 2019-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T36643—2018 目 次 前 言 II 引 言. III 1 范围 规范性引用文件 3 术语和定义 4 缩略语， 5 网络安全威胁信息模型 5.1概述... 5.2威胁信息维度 5.3威胁信息组件 6网络安全威胁信息组件 6.1 6.2 可观测数据 6.3 攻击指标. 10 6.4 安全事件， 12 6.5 攻击活动. 6.6攻击方法， 14 6.7 应对措施. 15 6.8 威胁主体， 17 6.9 攻击目标 18 附录A（资料性附录） 采用JSON表示的完整网络安全威胁信息示例 20 参考文献 29 GB/T36643—2018 前言 本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：中国电子技术标准化研究院、北京赛西科技发展有限责任公司、北京天际友盟信 息技术有限公司、北京奇安信科技有限公司、中国科学院信息工程研究所、公安部第三研究所、中国信 息安全测评中心、国家计算机网络应急技术处理协调中心、中电长城网际系统应用有限公司、中国电子 科技网络信息安全有限公司、阿里巴巴（北京）软件服务有限公司、百度在线网络技术（北京）有限公司、 北京神州绿盟信息安全科技股份有限公司、北京启明星辰信息安全技术有限公司、神州网云（北京）信 息技术有限公司、远江盛邦（北京）网络安全科技股份有限公司、北京君源创投投资管理有限公司、北 京派网软件有限公司、深信服科技股份有限公司、中国科学院软件研究所、北京天融信网络安全技术有 限公司、腾讯云计算（北京）有限责任公司、上海交通大学、北京工业大学、西安电子科技大学、北京 邮电大学、北京中电普华信息技术有限公司、中国人民公安大学、武汉大学。 本标准主要起草人：蔡磊、叶润国、杨建军、刘贤刚、范科峰、闵京华、鲍旭华、刘威歆、冯侦探、 金湘宇、董晓康、杨大路、杨泽明、李克鹏、李强、宋超、孙薇、贺新朋、李宗洋、孙波、梁露露、宋 好好、王惠莅、刘慧晶、孙成胜、权晓文、李建华、雷晓锋、装庆祺、易锦、刘玉岭、李衍、史博、孙 朝晖、周毅、邹荣新、曾志峰、叶建伟、杨震、马占宇、翟湛鹏、曹占峰、姜政伟、杜彦辉、王丽娜。 II GB/T36643—2018 引言 随着网络攻防对抗博奔的日益加剧，网络攻击方式和攻击手法皇现出多样性、复杂性特点，网络安 全威胁具有越来越明显的普遍性和持续性，且攻击者获取攻击工具越来越便利，导致网络攻击成本大大 降低、检测网络攻击的难度却越来越大。传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防 护机制，在应对这些复杂网络攻击时显得越来越低效，驱待采取新的技术手段来提升整体网络安全防护 能力。 网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施，旨在采用多种技术手段， 通过采集大规模、多渠道的碎片式攻击或异常数据，集中地进行深度融合、归并和分析，形成与网络安 全防护有关的威胁信息线索，并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应，以降 低网络安全威胁的防护成本，并提升整体的网络安全防护效率。 网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节，有利于实现跨组织 的网络安全威胁信息的快速传递，进而实现对复杂网络安全威胁的及时发现和快速响应。 规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础，因此 它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。 III GB/T36643—2018 引言 随着网络攻防对抗博奔的日益加剧，网络攻击方式和攻击手法皇现出多样性、复杂性特点，网络安 全威胁具有越来越明显的普遍性和持续性，且攻击者获取攻击工具越来越便利，导致网络攻击成本大大 降低、检测网络攻击的难度却越来越大。传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防 护机制，在应对这些复杂网络攻击时显得越来越低效，驱待采取新的技术手段来提升整体网络安全防护 能力。 网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施，旨在采用多种技术手段， 通过采集大规模、多渠道的碎片式攻击或异常数据，集中地进行深度融合、归并和分析，形成与网络安 全防护有关的威胁信息线索，并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应，以降 低网络安全威胁的防护成本，并提升整体的网络安全防护效率。 网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节，有利于实现跨组织 的网络安全威胁信息的快速传递，进而实现对复杂网络安全威胁的及时发现和快速响应。 规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础，因此 它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。 III GB/T36643—2018 引言 随着网络攻防对抗博奔的日益加剧，网络攻击方式和攻击手法皇现出多样性、复杂性特点，网络安 全威胁具有越来越明显的普遍性和持续性，且攻击者获取攻击工具越来越便利，导致网络攻击成本大大 降低、检测网络攻击的难度却越来越大。传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防 护机制，在应对这些复杂网络攻击时显得越来越低效，驱待采取新的技术手段来提升整体网络安全防护 能力。 网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施，旨在采用多种技术手段， 通过采集大规模、多渠道的碎片式攻击或异常数据，集中地进行深度融合、归并和分析，形成与网络安 全防护有关的威胁信息线索，并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应，以降 低网络安全威胁的防护成本，并提升整体的网络安全防护效率。 网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节，有利于实现跨组织 的网络安全威胁信息的快速传递，进而实现对复杂网络安全威胁的及时发现和快速响应。 规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的前提和基础，因此 它在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。 III