YD_T 2389-2022 网络威胁指数评估方法.docx

ICS 35.020 CCS L70 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 2389—2022 代替 YD/T 2389—2011 网络威胁指数评估方法 Index assessment methods for network threat 2022-04-08发布 2022-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 2389—2022 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 网络威胁指数评估体系 2 4.1 网络威胁指数评估原则 2 4.2 网络威胁指数定量评价 2 4.3 网络威胁指数定性评价 3 5 网络事件分类及特征确定 4 5.1 分类指导原则 4 5.2 特征定义原则 4 5.3 网络威胁事件分类 4 5.4 网络特征量化 6 附录A(资料性)网络威胁指数计算方法 10 Ⅱ YD/T 2389—2022 前 言 本文件按照GB/T1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件代替 YD/T2389—2011 《网络威胁指数评估方法》,与 YD/T 2389—2011 相比，除结构调整 和编辑性改动外，主要技术变化如下： ——更改了术语和定义，删除了缩略语； ——更改了网络威胁指数评估原则； 更改了2011版中网络威胁指数评估计算体系为网络威胁指数评定量评价，修改了部分内容； 更改了网络事件分类及特征确定中分类指导原则、威胁事件分类； ——新增了附录 A 中网络威胁指数计算示例。 本文件由中国通信标准化协会提出并归口。 本文件牵头起草单位：国防科技大学计算机学院、广州大学网络空间先进技术研究院、国家计算机 网络应急技术处理协调中心、鹏城实验室。 本文件参与起草单位：中国信息通信研究院、湖南星汉数智科技有限公司、西北工业大学、山东中 创软件商用中间件股份有限公司、中国科学院计算技术所、湖南蚁坊软件有限公司、四川亿览态势科技 有限公司、恒安嘉新(北京)科技有限公司、北京天融信网络安全技术有限公司、西安邮电大学、上海 数据分析与处理技术研究所。 本文件主要起草人：贾焰、杨行、韩伟红、周斌、李树栋、张伟哲、李爱平、江荣、亓玉璐、王震、 张勇、赵晓娟、朱争、刘海天、谢浩程、钟浩成、于晗、崔婷婷、陈乔。 本文件于2011年首次发布，本次为第一次修订。 YD/T 2389—2022 网络威胁指数评估方法 1 范围 本文件规定了网络威胁的量化评估方法。 本文件适用于计算机网络应急响应组织对网络威胁指数的采集、计算等，也可供其他相关部门参考 使用。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 攻击 attack 企图破坏、泄露、篡改、未授权访问或未授权使用资产的行为。 3.2 可用性 availability 信息对授权实体可访问和可使用的特性。 3.3 完整性 integrity 信息对未授权的实体不可更改和不可破坏的特性。 3.4 机密性 confidentiality 信息对未授权的实体不可用和不泄露的特性。 3.5 威胁 threat 一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。 2 YD/T 2389—2022 3.6 威胁指数 threat Index 反映网络威胁性程度的指示数据。在设定的取值范围内，数值越大，说明外部的网络活动对监控对 象的威胁程度越高。 3.7 网络威胁指数评估体系 network threat index assessment system 由网络威胁事件的各方面特性组成的指标集合以及其评估方法，所构成的有机整体。 4 网络威胁指数评估体系 4.1 网络威胁指数评估原则 构建网络威胁指数评估体系应遵循科学性、完备性、可操作性原则，包括： a) 应科学准确地反映出当前网络所面临的攻击威胁状况； b) 应全面客观地从不同角度、不同层面反映网络攻击威胁； c) 应具有可操作性，采用数据必须稳定、可靠，可以进行数学计算。 4.2 网络威胁指数定量评价 根据4.1条的网络威胁指数评估的原则，为了对网络威胁指数进行合理科学的计算，本文件提出了 一种基于网络威胁事件特征的网络威胁指数计算模型。如图1所示，该模型采用分层分级计算原理，按 照网络拓扑的规模，先算出基础网络的网络威胁指数，再通过基础网络威胁指数算高一级的网络威胁指 数。网络威胁指数的计算主要分为以下两步。 第一步是按照一定的分类标