我们回顾一下2004年66号文关于等级保护的基本概念：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

这个概念的语境，放到今天就需要根据《网络安全法》做一些调整：网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管，对网络中使用的网络安全产品实行按等级管理，对网络中发生的安全事件分等级响应、处置。

结合定义，我做了一个“网络安全等级保护”概念魔方图，以三面来立体呈现之。一是，正对着我们的一面，是大家最熟悉的内容，信息化中的信息系统，而今概念扩大化至计算机或者其他信息终端及相关设备组成各类系统；二是正上面，是信息化过程中各类产品；三是右侧面，是网络安全事件为主，进而引出网络安全事件背后各利益相关方。

从网络运营者或者说网络安全主体责任单位，与产品、事件打交道过程中，产生的各类大事小情，都是等级保护的内容。而这三个方面，又根据各自特点给出了各自分类分级的方法论。比如，信息系统是一到五级，而产品则有基本级和增强级、安全事件则是一级至四级。

而安全事件分级，一级对应着特别重大事件，二级对应着重大事件，三级对应着较大事件，四级对应着一般事件。分别从业务损失和社会危害视角进行定义，取或的关系，二者之中取高。

今天探讨的是《网络安全技术 网络攻击和网络攻击事件判定准则》。根据提供的GB/T 37027-2025《网络安全技术 网络攻击和网络攻击事件判定准则》国家标准文件，其核心内容如下：

本标准于2025年2月28日发布，替代2018版，将于2025年9月1日正式实施。由全国网络安全标准化技术委员会（SAC/TC 260）归口，国家计算机网络应急技术处理协调中心（CNCERT）牵头，联合40余家机构共同编制。文件旨在解决行业对网络攻击判定标准不统一、统计差异大的痛点，为网络安全监测、态势感知和信息报送提供统一技术框架。

核心内容聚焦三大维度：

1. 明确定义与区分

• 网络攻击：定义为利用安全漏洞，通过技术手段对网络实施干扰、控制、破坏或对数据实施窃取、篡改、损毁的行为。

• 网络攻击事件：强调需同时满足两个条件：存在已确认的网络攻击，且该攻击造成或潜在造成业务损失或危害（如数据泄露、服务中断）。二者关系为：攻击是行为本身，事件是行为引发的危害结果。

2. 判定条件与分类

• 拒绝服务攻击：流量超阈值或含攻击指令特征；

• 漏洞利用：流量含攻击包或工具特征字符串。

• 19类攻击技术手段：包括网络扫描探测、钓鱼攻击、拒绝服务（DoS/DDoS）、漏洞利用、后门植入、域名劫持等，每类均给出具体技术判定条件。例如：

• 事件判定逻辑：基于攻击类型叠加危害后果。特别定义供应链攻击（利用供应链脆弱性）和APT攻击（需满足组织关联性、针对性、持久性等高阶特征）。

3. 统一描述要素与计数规则

• 多个攻击/事件若信息要素（如相同攻击源、技术手段）一致，则合并统计；要素不同则单独计数；

• 明确计数输出需注明时间段、方法描述及具体次数（见附录E示例）。

• 网络攻击需包含标识号、攻击源、技术手段、时间等基本信息，及漏洞类型、攻击阶段等扩展信息；

• 网络攻击事件需增加事件类型、影响范围、攻击动机等要素，并关联相关攻击标识号。

• 信息要素规范：

• 科学计数方法：

应用价值与实施要求

• 适用范围：指导政府机关、企事业单位、安全服务机构开展攻击监测、态势感知及信息报送。

• 行业意义：

• 终结判定与统计碎片化，提升跨组织威胁情报共享效率；

• 为事件定责、分级响应（一般/较大/重大/特别重大）提供技术依据；

• 推动安全产品设计标准化，强化整体防御能力。

• 过渡期准备：2025年9月1日前，各组织需调整监测策略、升级系统以确保合规。

  本标准通过严格定义、分类和技术规范化，构建了网络攻击判定的统一话语体系，为我国建立协同联动的网络安全防护体系奠定技术基石。其落地将显著提升攻击识别精度、响应效率及治理效能。

— 欢迎关注

原文始发于微信公众号（祺印说信安）：网络攻击和网络攻击事件判定准则思维导图