随网络技术的不断发展,网络安全事件时常发生,由于网络攻击手段不断翻新,从传统的恶意软件、网络钓鱼,向更为复杂的供应链攻击、零日漏洞攻击转变;且这些新型攻击方式影响范围广、危害程度深,随着物联网、5G 网络、云网等新兴技术普及,网络边界愈发模糊,安全风险呈指数级增长。因此网络安全事件提出相关管理要求也成为了国家网络安全保障体系中的重要环节,也是重要的工作内容。为此,国家关于网络安全事件的相关管理要求制定并发布了相关国家标准,这里对这类国家标准情况给予介绍。
网络安全事件(cybersecurity incident)是指:由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。
欲具体了解网络安全事件介绍的请进入。
一、标准的基本情况
有关网络安全事件相关管理要求的国家标准目前有三个,它们是:网络安全事件分类分级指南(GB/T 20986)、网络安全事件描述和交换格式(GB/T 28517)和网络安全事件应急演练指南(GB/T 38645)。GB/T 20986标准首版发布于2007年,当时以国家标准化指导性技术文件的形式发布,即GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》,在2023年进行了第1次修订,正式升格为GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》国家标准,标准名称和内容发生了很大的变化。GB/T 28517和GB/T 38645标准首版分别发布于2012年和2020年,目前都没有被修订。因此,有关网络安全事件相关管理要求的国家标准的基本情况详见于下表1中,包括标准编号与标准名称、标准的发布日期与实施日期、标准的摘要与适用范围等。
表 1:有关网络安全事件相关管理要求国家标准的基本情况
二、标准的修订情况
目前,仅有网络安全事件分类分级指南(GB/T 20986)标准在2023年进行了第1次修订,其修订的背景与意义详见下表2-1的描述。本次修订不仅是标准名称发生了变化,关键是标准的内容发生了很大的变化,它实现了四大突破:一是指导性文件升格为国家推荐性标准;二是事件分类从7类扩展至10类、其子类从28个增至45个(新旧版本对比详见下表2-2);三是新增了网络安全事件的代码;四是新增APT攻击、数据投毒等新型威胁分类,反映云计算、物联网等新技术环境下的安全挑战。下表2-3列出了新旧版本相比变化的其它内容。
表 2-1:网络安全事件分类分级指南(GB/T 20986)修订的背景与意义
表 2-2:网络安全事件分类分级指南(GB/T 20986)新旧版本中安全事件分类的变化
表 2-3:网络安全事件分类分级指南(GB/T 20986)新旧版本相比变化的其它内容
三、标准的内容构成情况
1、网络安全事件分类分级指南(GB/T 20986)
GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》发布时间较早,是根据当时所发生的网络安全事件(当时称之为信息安全事件)所编制。长期以来,GB/Z 20986-2007标准促进了安全事件信息的交流和共享;提高了安全事件通报和应急处理的自动化程度、效率和效果;促进了安全事件的统计分析和严重程度的确定。GB/Z 20986-2007标准的主要内容是由5章所组成,具体的章节名称详见下表3-1-1。
表 3-1-1:GB/Z 20986-2007标准的目录
随着网络技术的发展,网络安全事件情况严峻,新型威胁场景涌现(如供应链攻击、 APT攻击、勒索软件、数据投毒等)、法规驱动管理升级(《网络安全法》、《数据安全法》和《个人信息保护法》等法规的颁布)、网络安全威胁升级(造成损失较严重)、等等。对GB/Z 20986-2007标准的修订与升格势在必行,于是,在2023年重新发布了GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》。该标准的主要内容是由6章和2个附录所组成,具体的章节与附录的名称详见下表3-1-2。
表 3-1-2:GB/T 20986-2023标准的目录
欲详细了解GB/T 20986-2023标准具体内容的请进入。
2、网络安全事件描述和交换格式(GB/T 28517)
由于网络安全事件突破了国家或地区的边界,跨越多个组织,各应急响应组织间的合作也突破了国界、语言和文化的约束。在此背景下,我国特成立了国家计算机网络应急技术处理协调中心(CNCERT/CC),负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安全事件;相关电信运营企业、安全服务商、国有大型公司、教育科研机构以及国家有关部门也逐步成立了计算机安全应急响应组。为了提高各应急响应组对安全事件的响应能力和预防能力,规范我国各应急响应组之间安全事件的描述和交换格式(IODEF,Incident Object Description and Exchange Format),我国与2012年特制定并发布了GB/T 28517-2012《网络安全事件描述和交换格式》标准。标准的制定明确了三大目标,具体详见下表3-2-1的描述。
表 3-2-1:GB/T 28517-2012标准制定明确的三大目标
IODEF主要用于各应急响应组的事件处理系统之间信息交换,是一种表示层的通信协议。GB/T 28517-2012标准的主要内容是由7章和1个资料性附录所组成,具体的章节与附录的名称详见下表3-2-2;若要详细了解该标准具体内容的请查阅下附件3-2。
表 3-2-2:GB/T 28517-2012标准的目录
附件 3-2:GB/T 28517-2012《网络安全事件描述和交换格式》
3、网络安全事件应急演练指南(GB/T 38645)
建立网络安全事件应急工作机制,开展应急演练是减少和预防网络安全事件造成损失和危害的重要保证。为规范和指导网络安全事件应急演练工作,制定网络安全事件应急演练指南是必要的。于是,2020年国家发布了GB/T 38645-2020《信息安全技术 网络安全事件应急演练指南》标准,下表3-3-1给出了发布该标准的现实意义。该标准的主要内容是由9章和4个附录所组成,具体的章节与附录的名称详见下表3-3-2;若要详细了解该标准具体内容的请查阅下附件3-3。
表 3-3-1:发布GB/T 38645-2020标准的现实意义
表 3-3-2:GB/T 38645-2020标准的目录
附录 3-3:GB/T 38645-2020《信息安全技术 网络安全事件应急演练指南》
欲进一步了解关于网络安全等级保护方面的国家标准情况的请进入。
