2018年10月10日,，我國正式發(fā)布威脅情報的國家標準——《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范　Information security technology — Cyber security threat information format》(GB/T 36643-2018),。

　　該標準通過結(jié)構(gòu)化、標準化的方法描述網(wǎng)絡(luò)安全威脅信息,，以便實現(xiàn)各組織間網(wǎng)絡(luò)安全威脅信息的共享和利用,，并支持網(wǎng)絡(luò)安全威脅管理和應(yīng)用的自動化。這意味著我國網(wǎng)絡(luò)安全在法規(guī),、規(guī)范方面又更進一步,，同時，也順應(yīng)了當前階段網(wǎng)絡(luò)安全領(lǐng)域威脅情報的發(fā)展現(xiàn)狀和趨勢,。

　　標準概覽

　　標準從可觀測數(shù)據(jù),、攻擊指標、安全事件,、攻擊活動,、威脅主體,、攻擊目標、攻擊方法,、應(yīng)對措施等八個組件進行描述,，并將這些組件劃分為對象、方法和事件三個域,，最終構(gòu)建出一個完整的網(wǎng)絡(luò)安全威脅信息表達模型,。

　　其中：

　　1.威脅主體和攻擊目標構(gòu)成攻擊者與受害者的關(guān)系，歸為對象域,；

　　2.攻擊活動,、安全事件、攻擊指標和可觀測數(shù)據(jù)則構(gòu)成了完整的攻擊事件流程,，歸為事件域,；即有特定的經(jīng)濟或政治目的、對信息系統(tǒng)進行滲透入侵,，實現(xiàn)攻擊活動,、造成安全事件；而防御方則使用網(wǎng)絡(luò)中可以觀測或測量到的數(shù)據(jù)或事件作為攻擊指標,，識別出特定攻擊方法,；

　　3.在攻擊事件中，攻擊方所使用的方法,、技術(shù)和過程（TTP）構(gòu)成攻擊方法,，而防御方所采取的防護、檢測,、響應(yīng),、回復等行動構(gòu)成了應(yīng)對措施；二者一起歸為方法域,。

　　有了通用模型做參考,，業(yè)內(nèi)對網(wǎng)絡(luò)安全威脅信息的描述就可以達到一致，進而提升威脅信息共享的效率和整體的網(wǎng)絡(luò)威脅態(tài)勢感知能力,。

　　標準的適用范圍

　　這份國家標準適用于網(wǎng)絡(luò)安全威脅信息供方和需方之間進行網(wǎng)絡(luò)安全威脅信息的生成,、共享和使用，網(wǎng)絡(luò)安全威脅信息共享平臺的建設(shè)和運營可參考使用,。

　　規(guī)范網(wǎng)絡(luò)安全威脅信息的格式和交換方式是實現(xiàn)網(wǎng)絡(luò)安全威脅信息共享和利用的前提和基礎(chǔ),，因此它在推動網(wǎng)絡(luò)安全威脅信息技術(shù)發(fā)展和產(chǎn)業(yè)化應(yīng)用方面具有重要意義。網(wǎng)絡(luò)安全威脅信息共享的目的在于通過產(chǎn)品間,、系統(tǒng)間,、組織間的威脅信息共享和交換，提升整體安全檢測和防護能力,。

　　1.適用于產(chǎn)品和產(chǎn)品,、產(chǎn)品和服務(wù)之間自動化共享最新的威脅樣本,、事件、檢測和防護規(guī)則,；

　　2.適用于系統(tǒng)間自動化,、半自動化共享威脅信息和線索；

　　3.適用于組織間共享威脅分析報告和戰(zhàn)略級威脅信息,。

　　本標準的發(fā)布,，將在多個層面支撐國家網(wǎng)絡(luò)安全工作的開展：

　　1.在國家級態(tài)勢感知層面，提供了不同層級系統(tǒng)間,，統(tǒng)一的威脅信息上傳下達格式,，有助于態(tài)勢感知機制的快速建立；

　　2.在行業(yè)級通告預(yù)警層面,，提供了統(tǒng)一的預(yù)警信息格式，條件允許的場景下,，能形成可機讀的檢測和防護規(guī)則,，有助于大幅縮短響應(yīng)時間；

　　3.在產(chǎn)業(yè)級協(xié)同聯(lián)動層面,，有助于不同廠商產(chǎn)品間的自動化交互,，提升產(chǎn)業(yè)整體能力水平。

　　本次《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》的發(fā)布以及到2019年5月1日正式實施后,，我國威脅情報的發(fā)展將迎來新階段,。