信息安全技术网络安全威胁信息表达模型-全国信息安全标准化技术.DOC

国家标准《信息安全技术 》编制说明 工作简况 任务来源 2015年，《网络安全威胁信息表达模型》正式在全国信息安全标准化委员会信息安全标准化委员会由等单位共同参与起草。主要工作过程 1、2015年8月22日至月3日编制组 美国联邦系统安全控制的建议（NIST 800-53） 美国联邦网络威胁信息共享指南（NIST 800-150）； STIX结构化威胁表达式 其中，编制组详细翻译，并逐条讨论了STIX白皮书、SP800-150。 2、2015年12月9日12月20日 2015年12月，STIX标准转移到了OASIS，版本更新到了1.2.1，同时启动了2.0的编写工作，与1.0相比，针对STIX被厂商反应重的问题，删减了核心项和普通项。同时格式由XML修改为JSON。为此，编制组在整理STIX指标项的同时列出了2.0和1.0版本的变化，对国外标准的研究和翻译为后续标准制定工作奠定了坚实基础。 3、2016年3月22日3月23日3月22日至3月23日，编制组深化上一阶段研究成果，将STIX1.2.1标准分配到各标准编制单位，分组开展研究 。组织内部研讨会，成员单位提交了贡献物后，初步确定了指标项；并进行了细化，整理形成第一版、第二版、第三版草案。 4、2016年5月13日-14日 2016年5月13日14日，ASIS近期会议纪要。同时在听取国内使用单位需求的基础上，形成了第四版、第五版标准草案。 5、6月13日-6月19日（全国信息安全标准化技术委员会2016年第次一工作组会议周）：完成工作汇报，讨论并完善标准的内容 2016年6月13日，编制组在全国信息安全标准化技术委员会2016年第一次工作组“会议周进行工作汇报，工作组成员单位听取了编制组前期的成果，并提出了修改意见。编制组根据修改意见，将标准名称修改为《信息安全技术 网络安全威胁信息表达规范》，对内容进行了大规模的修改，同时增加了观测指标实例、传输和共享的规范的内容，形成了第六版标准草案。 6、10月19日（全国信息安全标准化技术委员会2016年第二次工作组会议周）：完成工作汇报，讨论并完善标准的内容 2016年10月18日，编制组在全国信息安全标准化技术委员会2016年第二次工作组“会议周进行工作汇报，工作组成员单位听取了编制组前期的成果，并提出了修改意见。编制组根据修改意见，形成了第七版标准草案。 7．2016年11月16日 2016年11月16日，编制组邀请部分专家和安标委专家，围绕标准草案进行讨论，并根据专家的修改意见，按照标准格式对标准草案进行了编辑修改，形成了第八版标准草案。将名称修改为《信息安全技术 网络安全威胁信息表达模型》，在图例中添加了说明和编号，修订了术语部分对于威胁信息、威胁的定义。 8．2017年3月31日 根据专家的修改意见，修改了标准草案中的编号等文本格式，形成了第九版标准草案。 9．2017年4月7日 根据专家的修改意见，将正文中存储格式和共享方式修改为附录A威胁信息存储格式参考，附录B威胁信息共享方式参考。形成了第十版标准草案。 编制原则和主要内容 编制原则 充分了国际150等相关标准的 二是保持技术中立，在提出要求时，不限制具体的实现方法。中立性是技术标准的基本特性，《网络安全威胁信息表达模型》应当坚持该原则。由于威胁信息共享技术仍处于发展应用的初期，各厂家使用的场景不同。《网络安全威胁信息表达模型》原则上只给出推荐格式，不对具体使用进行约束，以便于为今后的技术发展留下空间。 主要内容 通常攻击者需要通过收集其他的攻击者信息、事件信息以及以往的攻击活动属性信息，利用某种工具技术和流程对某系统或攻击对象实施攻击。网络安全本标准就从系统观察动态开始进行威胁信息的收集和分析。 整个架构由八个主要组件组成，呈现表象、陷落指标、安全事件、处置动作、威胁源头、突破目标、战役活动、攻击战术。八个组件之间互相关联，彼此映射。 系统动态信息的呈现表象来源于子可观察属性、陷落指标、安全事件以及处置方法参数。陷落指标映射出安全事件信息。安全事件映射出战役活动。处置方法映射了安全事件、陷落指标和突破目标。突破目标映射出攻击战术。攻击战术映射出战役活动和陷落指标。突破目标和安全事件又可以进一步映射出威胁源头、攻击战术和战役活动。战役活动又映射出陷落指标信息和威胁源头。 通过呈现表象定位到陷落指标、安全事件和处置方法，从处置方法再定位到安全事件、威胁源头、突破目标、战役活动、攻击战术，而安全事件、威胁源头、突破目标、战役活动、攻击战术，又关联回陷落指标和安全事件。最终使得动态信息可观测性、陷落指标、安全事件、处置动作、突破目标、攻击战术、威胁源头和战役活动，八个组件组成了统一的、可循环使用的整体架构。 主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果