2018 年 10 月 10 日，我國正式發布威脅情報的國家標準——《信息安全技術網絡安全威脅信息格式規范Information security technology — Cyber security threat information format》(GB/T 36643-2018)。這份標準由中國電子技術標準化研究院牽頭制定，共有 29 家單位共同參與完成。

　　通過結構化、標準化的方法描述網絡安全威脅信息，以便實現各組織間網絡安全威脅信息的共享和利用，并支持網絡安全威脅管理和應用的自動化。這意味著我國網絡安全在法規、規范方面又更進一步，同時，也順應了當前階段網絡安全領域威脅情報的發展現狀和趨勢。

　　國內外威脅情報共享發展現狀

　　國外的威脅信息共享標準已經有成熟且廣泛的應用。其中，美國聯邦系統安全控制建議（NIST 800-53）、美國聯邦網絡威脅信息共享之南（NIST 800-150）、STIX 結構化威脅表達式、CyboX 網絡可觀察表達式以及指標信息的可信自動化交換 TAXII 等都為國際間威脅情報的交流和分享題攻克可靠參考。而 STIX 和 TAXII 作為兩大標準，不僅得到了包括 IBM、思科、戴爾、大型金融機構以及美國國防部、國家安全局等主要安全行業機構的支持，還積累了大量實踐經驗，在實踐中不斷優化。

　　在國內，安全廠商、甲方企業和國家政府都越來越重視威脅情報的發展，他們對網絡安全情報信息的共享以及自動化有著迫切的期待和需求。這次標準恰巧應運而生。

　　標準概覽

　　標準從可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個組件進行描述，并將這些組件劃分為對象、方法和事件三個域，最終構建出一個完整的網絡安全威脅信息表達模型。

　　其中：

　　威脅主體和攻擊目標構成攻擊者與受害者的關系，歸為對象域；

　　攻擊活動、安全事件、攻擊指標和可觀測數據則構成了完整的攻擊事件流程，歸為事件域；即有特定的經濟或政治目的、對信息系統進行滲透入侵，實現攻擊活動、造成安全事件；而防御方則使用網絡中可以觀測或測量到的數據或事件作為攻擊指標，識別出特定攻擊方法；

　　在攻擊事件中，攻擊方所使用的方法、技術和過程（TTP）構成攻擊方法，而防御方所采取的防護、檢測、響應、回復等行動構成了應對措施；二者一起歸為方法域。

　　有了通用模型做參考，業內對網絡安全威脅信息的描述就可以達到一致，進而提升威脅信息共享的效率和整體的網絡威脅態勢感知能力。

　　標準的適用范圍

　　這份國家標準適用于網絡安全威脅信息供方和需方之間進行網絡安全威脅信息的生成、共享和使用，網絡安全威脅信息共享平臺的建設和運營可參考使用。

　　規范網絡安全威脅信息的格式和交換方式是實現網絡安全威脅信息共享和利用的前提和基礎，因此它在推動網絡安全威脅信息技術發展和產業化應用方面具有重要意義。

　　網絡安全威脅信息共享的目的在于通過產品間、系統間、組織間的威脅信息共享和交換，提升整體安全檢測和防護能力。

　　適用于產品和產品、產品和服務之間自動化共享最新的威脅樣本、事件、檢測和防護規則；

　　適用于系統間自動化、半自動化共享威脅信息和線索；

　　適用于組織間共享威脅分析報告和戰略級威脅信息。

　　本標準的發布，將在多個層面支撐國家網絡安全工作的開展。

　　在國家級態勢感知層面，提供了不同層級系統間，統一的威脅信息上傳下達格式，有助于態勢感知機制的快速建立；

　　在行業級通告預警層面，提供了統一的預警信息格式，條件允許的場景下，能形成可機讀的檢測和防護規則，有助于大幅縮短響應時間；

　　在產業級協同聯動層面，有助于不同廠商產品間的自動化交互，提升產業整體能力水平。

　　此前，多位業內專家或廠商都曾在會議或其他場合表達過對威脅情報共享和標準化的期望。也有人分析稱自動化、標準化、體系化將是威脅情報發展的必由之路。本次《信息安全技術網絡安全威脅信息格式規范》的發布以及到 2019 年 5 月 1 日正式實施后，我國威脅情報的發展將迎來新階段。

責任編輯：王超