GBT37027-2025：新標準中網絡安全技術如何精準判定“敵我”？

#政策解讀 ·2025-11-24 16:22:24

在風云變幻的數字戰(zhàn)場上，如何精準、統(tǒng)一地識別和判定“敵情”，是構建高效防御體系的首要前提。近期，國家標準化管理委員會發(fā)布了GB/T 37027—2025《網絡安全技術 網絡攻擊和網絡攻擊事件判定準則》（以下簡稱“新標準”）。

這一標準的出臺，無疑為我國的網絡安全技術領域投下了一枚重磅炸彈。它不僅替代了2018年的舊版標準，更在網絡攻擊的定義、判定條件和計數方法上進行了全面升級，標志著我國在網絡安全技術的標準化和體系化建設上邁出了堅實的一步。新標準的核心在于提供了一套科學、統(tǒng)一的準則，幫助組織在復雜的網絡環(huán)境中，清晰界定何為“網絡攻擊”，何為“網絡攻擊事件”，從而提升整體的網絡安全技術態(tài)勢感知能力。

一、新標準的核心變革：從“描述”到“判定”的飛躍 

舊版GB/T 37027—2018更多側重于網絡攻擊的“定義及描述規(guī)范”，而新版GB/T 37027—2025則實現了從“描述”到“判定”的本質飛躍。這種轉變，體現了我國網絡安全技術從理論框架走向實戰(zhàn)應用的迫切需求。

新標準最引人注目的變化，體現在以下幾個方面：

新標準對“網絡攻擊”的定義進行了更新，并明確區(qū)分了“網絡攻擊”（行為）和“網絡攻擊事件”（造成或潛在造成業(yè)務損失或危害的安全事件）。這一區(qū)分至關重要，它指導著企業(yè)將有限的資源投入到真正具有業(yè)務影響的網絡安全技術事件響應中。

二、19類攻擊的精準判定準則 

新標準最大的亮點在于第六章，它詳細列出了19類典型網絡攻擊的判定條件，這幾乎涵蓋了當前主流的網絡安全技術攻擊手段。這些判定條件不再是模糊的描述，而是具體到“網絡請求數量超出正常閾值”、“包含典型漏洞利用攻擊包的字符串特征”、“網絡流量符合拒絕服務攻擊的特定協議類型”等可量化、可檢測的指標。

例如，針對“網絡掃描探測攻擊”，新標準明確指出，當“一定時間范圍內，針對端口、路徑、配置等的網絡請求數量超出正常閾值范圍”時，即可判定為攻擊。這為安全設備（如IDS/IPS、流量分析系統(tǒng)）的規(guī)則編寫和告警閾值設定提供了權威的網絡安全技術依據。

更進一步，新標準還對“網絡攻擊事件”的判定提出了雙重條件：

1、已判定單個或多個相關的網絡攻擊。

2、已判定的網絡攻擊造成或潛在造成業(yè)務損失或危害。

這套邏輯嚴密的判定體系，將極大地提升安全運營中心（SOC）對告警的網絡安全技術分析效率和準確性，避免將大量的“噪音”誤判為“事件”。

三、實現網絡安全技術態(tài)勢的“同頻共振” 

在舊標準下，不同組織對網絡攻擊的統(tǒng)計口徑不一，導致“態(tài)勢感知”往往是“各自為政”，難以實現有效的共享和協同防御。新標準在第七章增加了網絡攻擊和網絡攻擊事件的計數方法，旨在解決這一痛點。

通過統(tǒng)一的計數方法，例如規(guī)定了“單次網絡攻擊”的界定、以及基于“攻擊源”、“攻擊對象”和“攻擊技術手段”的組合計數方法，使得不同組織之間的數據可以進行可比較和可累加的合并計算。這對于國家層面的網絡安全技術態(tài)勢感知、威脅情報共享以及行業(yè)監(jiān)管具有不可估量的價值。只有統(tǒng)一了“度量衡”，才能實現真正的“同頻共振”，構建起全社會協同的網絡安全技術防御體系。

GB/T 37027—2025標準的發(fā)布，是我國網絡安全技術發(fā)展歷程中的一個重要里程碑。它不僅是對過去幾年網絡安全實踐經驗的總結和升華，更是對未來網絡安全防御體系建設的科學指引。

對于企業(yè)和安全廠商而言，新標準是檢驗和升級自身網絡安全技術能力的重要依據；對于安全從業(yè)者而言，它是提升專業(yè)素養(yǎng)、掌握實戰(zhàn)技能的“武功秘籍”。我們有理由相信，在這一統(tǒng)一、科學的網絡安全技術判定準則的指導下，我國的網絡安全防御能力將得到質的飛躍，為數字經濟的健康發(fā)展保駕護航。