2018 年 10 月 10 日，我國正式發(fā)布威脅情報的國家標準——《信息安全技術(shù)網(wǎng)絡(luò )安全威脅信息格式規范Information security technology — Cyber security threat information format》(GB/T 36643-2018)。

這份標準由中國電子技術(shù)標準化研究院牽頭制定，共有 29 家單位共同參與完成。通過(guò)結構化、標準化的方法描述網(wǎng)絡(luò )安全威脅信息，以便實(shí)現各組織間網(wǎng)絡(luò )安全威脅信息的共享和利用，并支持網(wǎng)絡(luò )安全威脅管理和應用的自動(dòng)化。這意味著(zhù)我國網(wǎng)絡(luò )安全在法規、規范方面又更進(jìn)一步，同時(shí)，也順應了當前階段網(wǎng)絡(luò )安全領(lǐng)域威脅情報的發(fā)展現狀和趨勢。

國內外威脅情報共享發(fā)展現狀

國外的威脅信息共享標準已經(jīng)有成熟且廣泛的應用。其中，美國聯(lián)邦系統安全控制建議（NIST 800-53）、美國聯(lián)邦網(wǎng)絡(luò )威脅信息共享之南（NIST 800-150）、STIX 結構化威脅表達式、CyboX 網(wǎng)絡(luò )可觀(guān)察表達式以及指標信息的可信自動(dòng)化交換 TAXII 等都為國際間威脅情報的交流和分享題攻克可靠參考。而 STIX 和 TAXII 作為兩大標準，不僅得到了包括 IBM、思科、戴爾、大型金融機構以及美國國防部、國家安全局等主要安全行業(yè)機構的支持，還積累了大量實(shí)踐經(jīng)驗，在實(shí)踐中不斷優(yōu)化。

在國內，安全廠(chǎng)商、甲方企業(yè)和國家政府都越來(lái)越重視威脅情報的發(fā)展，他們對網(wǎng)絡(luò )安全情報信息的共享以及自動(dòng)化有著(zhù)迫切的期待和需求。這次標準恰巧應運而生。

標準概覽

標準從可觀(guān)測數據、攻擊指標、安全事件、攻擊活動(dòng)、威脅主體、攻擊目標、攻擊方法、應對措施等八個(gè)組件進(jìn)行描述，并將這些組件劃分為對象、方法和事件三個(gè)域，最終構建出一個(gè)完整的網(wǎng)絡(luò )安全威脅信息表達模型。

其中：

威脅主體和攻擊目標構成攻擊者與受害者的關(guān)系，歸為對象域；

攻擊活動(dòng)、安全事件、攻擊指標和可觀(guān)測數據則構成了完整的攻擊事件流程，歸為事件域；即有特定的經(jīng)濟或政治目的、對信息系統進(jìn)行滲透入侵，實(shí)現攻擊活動(dòng)、造成安全事件；而防御方則使用網(wǎng)絡(luò )中可以觀(guān)測或測量到的數據或事件作為攻擊指標，識別出特定攻擊方法；

在攻擊事件中，攻擊方所使用的方法、技術(shù)和過(guò)程（TTP）構成攻擊方法，而防御方所采取的防護、檢測、響應、回復等行動(dòng)構成了應對措施；二者一起歸為方法域。

有了通用模型做參考，業(yè)內對網(wǎng)絡(luò )安全威脅信息的描述就可以達到一致，進(jìn)而提升威脅信息共享的效率和整體的網(wǎng)絡(luò )威脅態(tài)勢感知能力。

標準的適用范圍

這份國家標準適用于網(wǎng)絡(luò )安全威脅信息供方和需方之間進(jìn)行網(wǎng)絡(luò )安全威脅信息的生成、共享和使用，網(wǎng)絡(luò )安全威脅信息共享平臺的建設和運營(yíng)可參考使用。

規范網(wǎng)絡(luò )安全威脅信息的格式和交換方式是實(shí)現網(wǎng)絡(luò )安全威脅信息共享和利用的前提和基礎，因此它在推動(dòng)網(wǎng)絡(luò )安全威脅信息技術(shù)發(fā)展和產(chǎn)業(yè)化應用方面具有重要意義。 

網(wǎng)絡(luò )安全威脅信息共享的目的在于通過(guò)產(chǎn)品間、系統間、組織間的威脅信息共享和交換，提升整體安全檢測和防護能力。

適用于產(chǎn)品和產(chǎn)品、產(chǎn)品和服務(wù)之間自動(dòng)化共享最新的威脅樣本、事件、檢測和防護規則；

適用于系統間自動(dòng)化、半自動(dòng)化共享威脅信息和線(xiàn)索；

適用于組織間共享威脅分析報告和戰略級威脅信息。

本標準的發(fā)布，將在多個(gè)層面支撐國家網(wǎng)絡(luò )安全工作的開(kāi)展。

在國家級態(tài)勢感知層面，提供了不同層級系統間，統一的威脅信息上傳下達格式，有助于態(tài)勢感知機制的快速建立；

在行業(yè)級通告預警層面，提供了統一的預警信息格式，條件允許的場(chǎng)景下，能形成可機讀的檢測和防護規則，有助于大幅縮短響應時(shí)間；

在產(chǎn)業(yè)級協(xié)同聯(lián)動(dòng)層面，有助于不同廠(chǎng)商產(chǎn)品間的自動(dòng)化交互，提升產(chǎn)業(yè)整體能力水平。

此前，多位業(yè)內專(zhuān)家或廠(chǎng)商都曾在會(huì )議或其他場(chǎng)合表達過(guò)對威脅情報共享和標準化的期望。也有人分析稱(chēng)自動(dòng)化、標準化、體系化將是威脅情報發(fā)展的必由之路。本次《信息安全技術(shù)網(wǎng)絡(luò )安全威脅信息格式規范》的發(fā)布以及到 2019 年 5 月 1 日正式實(shí)施后，我國威脅情報的發(fā)展將迎來(lái)新階段。

參考來(lái)源：全國標準信息公共服務(wù)平臺，天際友盟