根据提供的GB/T 37027-2025《网络安全技术 网络攻击和网络攻击事件判定准则》国家标准文件，其核心内容如下：

本标准于2025年2月28日发布，替代2018版，将于2025年9月1日正式实施。由全国网络安全标准化技术委员会（SAC/TC 260）归口，国家计算机网络应急技术处理协调中心（CNCERT）牵头，联合40余家机构共同编制。文件旨在解决行业对网络攻击判定标准不统一、统计差异大的痛点，为网络安全监测、态势感知和信息报送提供统一技术框架。

核心内容聚焦三大维度：

1. 明确定义与区分

• 网络攻击：定义为利用安全漏洞，通过技术手段对网络实施干扰、控制、破坏或对数据实施窃取、篡改、损毁的行为。

• 网络攻击事件：强调需同时满足两个条件：存在已确认的网络攻击，且该攻击造成或潜在造成业务损失或危害（如数据泄露、服务中断）。二者关系为：攻击是行为本身，事件是行为引发的危害结果。

2. 判定条件与分类

• 拒绝服务攻击：流量超阈值或含攻击指令特征；

• 漏洞利用：流量含攻击包或工具特征字符串。

• 19类攻击技术手段：包括网络扫描探测、钓鱼攻击、拒绝服务（DoS/DDoS）、漏洞利用、后门植入、域名劫持等，每类均给出具体技术判定条件。例如：

• 事件判定逻辑：基于攻击类型叠加危害后果。特别定义供应链攻击（利用供应链脆弱性）和APT攻击（需满足组织关联性、针对性、持久性等高阶特征）。

3. 统一描述要素与计数规则

• 多个攻击/事件若信息要素（如相同攻击源、技术手段）一致，则合并统计；要素不同则单独计数；

• 明确计数输出需注明时间段、方法描述及具体次数（见附录E示例）。

• 网络攻击需包含标识号、攻击源、技术手段、时间等基本信息，及漏洞类型、攻击阶段等扩展信息；

• 网络攻击事件需增加事件类型、影响范围、攻击动机等要素，并关联相关攻击标识号。

• 信息要素规范：

• 科学计数方法：

应用价值与实施要求

• 适用范围：指导政府机关、企事业单位、安全服务机构开展攻击监测、态势感知及信息报送。

• 行业意义：

• 终结判定与统计碎片化，提升跨组织威胁情报共享效率；

• 为事件定责、分级响应（一般/较大/重大/特别重大）提供技术依据；

• 推动安全产品设计标准化，强化整体防御能力。

• 过渡期准备：2025年9月1日前，各组织需调整监测策略、升级系统以确保合规。

本标准通过严格定义、分类和技术规范化，构建了网络攻击判定的统一话语体系，为我国建立协同联动的网络安全防护体系奠定技术基石。其落地将显著提升攻击识别精度、响应效率及治理效能。

— 欢迎关注

原文始发于微信公众号（祺印说信安）：网络攻击和网络攻击事件判定准则发布