網(wǎng)絡威脅情報標準化建設分析

何志鵬 劉 鵬 王 鶴,3

1(西安郵電大學網(wǎng)絡空間安全學院 西安 710121) 2(中國科學院大學國家計算機網(wǎng)絡入侵防范中心 北京 101408) 3(西安電子科技大學網(wǎng)絡與信息安全學院 西安 710071)

近年來,隨著數(shù)字經(jīng)濟的快速發(fā)展和數(shù)字化轉型的不斷深入,以及全球網(wǎng)絡信息化程度的加劇和網(wǎng)絡空間的急劇擴張,數(shù)據(jù)資產(chǎn)不斷增大，數(shù)字業(yè)務不斷激增,網(wǎng)絡安全攻擊面持續(xù)擴大,以數(shù)據(jù)為目標的網(wǎng)絡攻擊行為日益頻繁,且復雜度與日俱增,并已呈現(xiàn)出多樣化、未知性等態(tài)勢[1].

同時在傳統(tǒng)網(wǎng)絡攻擊手段仍舊頻發(fā)的背景下,新興的網(wǎng)絡威脅手段也層出不窮,這種局面使得網(wǎng)絡安全防御變得困難重重.于是基于新安防理念、采用通用標準化數(shù)據(jù)格式運行的網(wǎng)絡威脅情報技術逐漸展露頭腳,不僅極大提高了信息的使用效率,還有助于實現(xiàn)信息的多方共享,從而大幅增強保護、檢測與響應(protect-detect-respond, PDR)能力,以獲得更好的防范效果.

1 威脅情報

網(wǎng)絡威脅情報(cyber threat intelligence, CTI)簡稱為威脅情報,是傳統(tǒng)形式下的安全情報通過網(wǎng)絡空間為載體的自然延伸,但就目前為止,整個業(yè)界內部對其并無一個公認的定義,而被公眾所普遍接受的定義是Gartner機構于2014年發(fā)布的《安全威脅情報服務市場指南》[2]中給出的.

“威脅情報是一種基于證據(jù)的知識,包括情境、機制、指標、影響和操作建議.威脅情報描述了現(xiàn)存的或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險,并可以用于通知主體針對相關威脅或危險采取某種響應”.值得強調的是“網(wǎng)絡威脅情報”并不等同于“網(wǎng)絡威脅信息”,兩者存在本質上差異,簡化或濫用“威脅情報”一詞有可能使得組織對當前發(fā)展現(xiàn)狀和趨勢作出誤判.表1為DarkReading對兩者特點的概述[3].概括來說,情報即為信息,信息不一定是情報.把握好情報的利用會對企業(yè)發(fā)展與行業(yè)進步產(chǎn)生極大的推進作用.

總之,威脅情報就是對數(shù)字資產(chǎn)安全產(chǎn)生危害的信息集合.概括地講,對數(shù)字資產(chǎn)具有危害的信息便可以稱之為威脅情報,這也是目前整個業(yè)界所默認的一種定義.

表1 “威脅信息”與“威脅情報”特點對比

網(wǎng)絡安全態(tài)勢其實作為一種權衡較量,是攻擊方和防守方間的非靜態(tài)平衡行為.由于信息的不對稱性,通常攻擊方具有先發(fā)制人的優(yōu)勢,而防守方往往處于被動的地位[4].

針對于此,以傳統(tǒng)防火墻、殺毒軟件、入侵檢測系統(tǒng)為支撐,以漏洞掃描、木馬分析為手段運作的傳統(tǒng)安防機制,其被動式防御理念已然無法完全滿足當下網(wǎng)絡空間安全建設的需求.

威脅情報技術則是以攻擊者一方視角為導向,對攻擊者手法進行刻畫,對攻擊工具進行提取,最終繪制攻擊者畫像,形成主動式防御模式機制.并通過威脅情報共享等手段,及時利用其他網(wǎng)絡中產(chǎn)生的高效威脅情報來提高防護方的應對能力,縮短響應時間,增強整體網(wǎng)絡威脅態(tài)勢感知能力,從而盡可能消除攻防雙方信息不對等狀況.

2 國內外威脅情報標準化工作

標準是最好的建設參考,以標準化的模型作參考,業(yè)內對網(wǎng)絡安全威脅情報的表征便可達成一致,威脅情報共享與交換的效率得以提升,網(wǎng)絡威脅態(tài)勢感知能力得以增強,網(wǎng)絡空間安全防范不足現(xiàn)狀得以改善.

網(wǎng)絡威脅情報是構筑“情報驅動的網(wǎng)絡安全主動式防御”的關鍵,而威脅情報標準的建設則是網(wǎng)絡威脅情報能否有效實踐、積極共享、實現(xiàn)價值最大化的關鍵點和重要發(fā)力點,是網(wǎng)絡安全適應新發(fā)展理念的重要技術基礎,更是國家網(wǎng)絡安全保障水平的集中體現(xiàn).因此威脅情報標準的制定具有重大現(xiàn)實意義.本節(jié)將對國際上部分國家(組織)開展的威脅情報標準化工作進行概述.

2.1 美國標準化工作

作為互聯(lián)網(wǎng)領域的先行者,美國率先完成網(wǎng)絡空間安全防御理念的轉變,積極從被動式防御轉向為主動式防御,在確保自身網(wǎng)絡空間處于安全的前提下,再次實現(xiàn)對網(wǎng)絡空間這一戰(zhàn)略制高點的絕對控制權[5].

在威脅情報領域,美國憑借其技術上的優(yōu)勢,先后推出了多種威脅情報共享標準,形成了集“表征—共享—自動化”為一體的網(wǎng)絡威脅情報體系,且已經(jīng)發(fā)展得十分成熟并在實踐中得到了廣泛應用.表2詳細介紹了美國用于網(wǎng)絡威脅情報共享的主流相關標準.其中,結構化威脅信息表征格式(STIX)、威脅指標信息可信自動交換機制(TAXII)與網(wǎng)絡觀測特征描述格式(CybOX)3項標準與美國聯(lián)邦網(wǎng)絡威脅信息共享指南(NIST SP 800-150)，這些指導性文件為國際間網(wǎng)絡威脅情報的交流和分享提供了可靠的參考.

表2 美國用于網(wǎng)絡威脅情報共享主流相關標準

下面對上述3項主流標準和1份指導性指南作簡要闡述.

圖1 STIX標準發(fā)展表

1) 結構化威脅信息表征格式(structured threat information expression, STIX[6])提供了基于JSON(2.x版本)/XML(1.x版本)數(shù)據(jù)格式表征威脅情報內容的方法,由MITRE聯(lián)合DHS發(fā)布,是一種由OASIS負責開發(fā)和維護的情報表達規(guī)范.實踐證明,STIX標準可以表征威脅情報中威脅元素、威脅行為、安全事件等多方面的特征.圖1為STIX標準發(fā)展表,至2021年1月,OASIS發(fā)布了STIX 2.1版本最新修訂稿.

2) 威脅指標信息可信自動交換機制(trusted automated exchange of intelligence information, TAXII[7])是基于HTTP(S)交換威脅情報信息的一個應用層協(xié)議,提供威脅情報信息的安全傳輸與交換服務,可兼容多種傳輸格式的數(shù)據(jù).同時TAXII可支持多種共享模型,包括hub-and-spoke,peer-to-peer,subscription等.TAXII最大的優(yōu)勢在于進行情報安全傳輸時,無需將拓撲結構、信任認證、授權管理等策略納入考慮范圍,而是將其留給更高等級的協(xié)議處理,極大提升了傳輸?shù)男?圖2為TAXII標準發(fā)展表,至2021年3月,OASIS發(fā)布了TAXII 2.1版本最新修訂稿.

圖2 TAXII標準發(fā)展表

3) 網(wǎng)絡可觀察對象描述(cyber observable expression, CybOX[8])規(guī)范給出了一種用于表征計算機可觀察對象與網(wǎng)絡動態(tài)和實體的方法,現(xiàn)已被集成于STIX 2.x中.其中可觀察對象包括文件、HTTP會話、X509證書、系統(tǒng)配置項等,該規(guī)范提供了一套標準且支持擴展的語法,用來描述所有可被從計算系統(tǒng)和操作上觀察到的內容.可觀察對象由于具有某個特定值,故通常作為威脅存在與否的研判指標.圖3為CybOX標準發(fā)展年代表.

圖3 CybOX標準發(fā)展表

4) 《網(wǎng)絡威脅信息共享指南》(NIST SP 800-150[9])由美國國家標準與技術研究院(NIST)依據(jù)《2014年聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)所規(guī)定的法定職責進行擬定,并協(xié)同美國商務部于2016年4月正式發(fā)布.《網(wǎng)絡威脅信息共享指南》作為《計算機安全事件響應指南》(SP 800-61)的擴充,將信息共享、協(xié)調、協(xié)同擴展至事件響應的全生命周期中,為建立、參與網(wǎng)絡威脅信息共享關系提供了指導,幫助組織設定信息共享目標、識別網(wǎng)絡威脅信息源、確定信息共享范圍、制定威脅信息發(fā)布與分發(fā)規(guī)則等,從而指導其總體網(wǎng)絡安全實踐.

其中STIX和TAXII兩大標準不僅被IBM、戴爾、思科以及大型金融機構所采納,而且獲得了美國國防部、美國國土安全部等主要政府安全機構的支持,在實踐中積累經(jīng)驗并進行不斷優(yōu)化.從目前來看,國際上尚無一款通用的網(wǎng)絡威脅情報標準規(guī)范,通常比較主流的情報共享平臺的做法是以《網(wǎng)絡威脅信息共享指南》指導文件為參照,在STIX模型框架下,采用CybOX提供的詞匯表征威脅情報,并使用TAXII協(xié)議進行情報安全傳輸.

2.2 我國標準化工作

2013年斯諾登“棱鏡門”事件所揭示的美國國家安全局對我國的網(wǎng)絡攻擊手段,讓我國深刻意識到網(wǎng)絡安全攻防態(tài)勢已經(jīng)逐漸發(fā)生改變,目前的技術防護措施難以從海量的安全威脅事件中發(fā)現(xiàn)真正的網(wǎng)絡攻擊行為,現(xiàn)有網(wǎng)絡安全防護能力亟需提升.

網(wǎng)絡安全威脅情報作為一項可以改變整個安全態(tài)勢的新興技術迅速引起了我國的關注,在面對國內不同類型、不同廠商的安全設備之間的漏洞，威脅信息不通用,無法進行大型網(wǎng)絡的維護管理,某一點確認的安全事件不能及時在組織內及時有效地進行共享,組織內部難以有效協(xié)同的情形下,我國迅速調研已經(jīng)被美國和國際社會所采納并應用的STIX,TAXII,CybOX,TLP,OpenIOC等網(wǎng)絡威脅情報共享標準,并大力推動我國網(wǎng)絡安全威脅情報相關標準的制定、發(fā)布和執(zhí)行,并計劃利用威脅情報技術來打造新一代國家級網(wǎng)絡空間安全事件響應體系,將其用作解決當前國家網(wǎng)絡安全對抗的戰(zhàn)略手段[10].

2018年10月10日,我國正式頒布威脅情報國家標準《信息安全技術網(wǎng)絡安全威脅信息格式規(guī)范》(GB/T 36643—2018),該規(guī)范成為我國首個針對網(wǎng)絡威脅情報領域的相關標準[11].該標準給出了一種標準化的安全威脅信息模型和數(shù)據(jù)結構,其創(chuàng)建目的是促進各組織間安全威脅信息的共享與利用,并支持安全威脅管理和應用進程的自動化.

2.3 其他國家(組織)標準化工作

就目前來看,僅有中美兩國公布了網(wǎng)絡威脅情報領域的相關標準,但這并不意味其他國家不重視威脅情報標準化的建設,相反一些國家在很多方面的發(fā)展已十分成熟,如專項立法、機構設立、平臺建設等,下面將簡要概述部分國家(組織)在威脅情報領域開展的標準化工作.

1) 歐盟委員會

歐盟是最為關切網(wǎng)絡威脅情報領域的組織之一.近年來,歐盟提出了許多法律法規(guī)以促進網(wǎng)絡威脅情報共享,為全球相關法律的實踐提供了經(jīng)驗.其中,較為重要的法規(guī)是2016年7月頒布的歐盟指令2016/1148,也稱為“網(wǎng)絡和信息系統(tǒng)指令”(NIS)[12]；以及《一般數(shù)據(jù)保護條例》(GDPR)[13]；以及2019年頒布的《歐盟網(wǎng)絡安全法》[14].其中在《網(wǎng)絡和信息系統(tǒng)指令》法案中要求各成員國通過符合或改編自該指令的國家法規(guī),建立信息共享與分析中心的有利環(huán)境,以促進歐盟成員國內與成員國間的網(wǎng)絡威脅情報共享,從而保護關鍵基礎架構領域的網(wǎng)絡和信息系統(tǒng).

2) 日本

隨著日美軍事一體化的加深,兩國在威脅情報共享領域的合作愈發(fā)緊密.日美采取了搭建高級別的情報共享磋商平臺、提升情報信息化共享水平、制定關于情報共享的法律法規(guī)等諸多措施,形成了相對完備的威脅情報共享機制.在情報傳輸標準方面,日美同盟協(xié)議中明確規(guī)定,日本自衛(wèi)隊所有骨干線路均需與駐日美軍的數(shù)字線網(wǎng)相連,于是日本采用美國Link-11，Link-16等數(shù)據(jù)鏈作標準通信格式[15].

3) 俄羅斯

2019年,俄羅斯通過了最新網(wǎng)絡安全法案《主權互聯(lián)網(wǎng)法》,該法案呼吁建立一個互聯(lián)網(wǎng)的備用基礎設施,以便應對可能出現(xiàn)的網(wǎng)絡威脅[16],這體現(xiàn)出俄羅斯在網(wǎng)絡威脅情報領域對網(wǎng)絡安全乃至國家安全方面的戰(zhàn)略考慮.

4) 英國

近年來國際安全局勢復雜，恐怖襲擊事件頻發(fā),英國政府以國家安全局(MI5)、軍事情報第六處(MI6)和政府通信總部(GCHQ)三大機構為支點,強化網(wǎng)絡監(jiān)管和威脅情報監(jiān)聽,搶占“情報預警先機”,以保護國家安全和經(jīng)濟發(fā)展[17].

3 我國國標與美STIX標準對比

美國STIX標準作為當前最成熟的威脅情報共享標準已被國際社會所公認，并得到了廣泛應用,作為我國威脅情報領域標準化建設的開篇之作——《信息安全技術網(wǎng)絡安全威脅信息格式規(guī)范》，正是參照美國STIX標準并充分吸收其長處的基礎上提出的.本節(jié)將從發(fā)布歷程、模型框架、信息示例、平臺應用4個方面對2種標準展開對比論述.

3.1 發(fā)布歷程

美國網(wǎng)絡威脅情報標準化工作由美國國土安全部(DHS)下屬的網(wǎng)絡安全和通訊辦公室(CS&C)具體落實,并由國防信息系統(tǒng)局(DSIA)和國家標準與技術研究院(NIST)負責基礎環(huán)境的搭建,依托網(wǎng)絡安全服務商MITRE加以呈現(xiàn),再由OASIS-CTI-TC負責開發(fā)與維護[18]

STIX標準正是在如上環(huán)境中誕生的標準化產(chǎn)品,根據(jù)美國計算機應急響應小組(US-CERT)和CERT.org于2010年擬定的名單,參與最初版本制定的討論者為IDXWG郵件的安全運營師及網(wǎng)絡威脅情報專家.通過針對網(wǎng)絡安全事件的自動化數(shù)據(jù)交換問題的討論,提出了粗略的結構化威脅信息架構草圖.

我國國家標準《信息安全技術網(wǎng)絡安全威脅信息格式規(guī)范》由國家市場監(jiān)督管理總局和中國國家標準化管理委員會共同發(fā)布,是在《網(wǎng)絡安全威脅信息表達模型》上發(fā)展制定的.2015年,《網(wǎng)絡安全威脅信息表達模型》正式在全國信息安全標準化技術委員會立項,由中國電子技術標準化研究院負責牽頭,天際友盟、百度等互聯(lián)網(wǎng)企業(yè),公安部第三研究所、中科院信工所等科研機構,上海交大、西電科大等高等院校多家單位共同參與起草.

3.2 模型框架

為了便于威脅信息的管理、分析與共享,并支持網(wǎng)絡安全威脅管理和應用的自動化,便需要一種標準化的模型框架來實現(xiàn)對安全威脅信息的統(tǒng)一劃分,以確保描述時的一致性與規(guī)范性,進而提升威脅信息共享的效率與互操作性,最終達到增強整體網(wǎng)絡安全威脅態(tài)勢感知能力的目的.

STIX標準最初便將靈活性、可讀性、可擴展性、自動化性等特性貫穿于設計指導原則當中,并在每一代新版本的基礎上不斷完善.其中在表現(xiàn)力方面,STIX標準的目標是在所有目標用例上提供匯總的表達范圍,而不是僅專門針對單個對象,以支持網(wǎng)絡安全領域內與威脅相關用例的多樣性,為網(wǎng)絡威脅域內的所有相關信息提供完整的表達能力.

針對于此,STIX 1.x開創(chuàng)性地設計了將核心網(wǎng)絡威脅概念標識為獨立且可重用的結構,并根據(jù)每種組件的內在含義和內容來表征其所有的相互關系,以此來對威脅信息進行結構化和系統(tǒng)化的描述和表達.我國國家標準在充分吸取已有標準長處的基礎上,最終參照STIX 1.x模型,設計和構建出了國產(chǎn)網(wǎng)絡安全威脅信息模型,以規(guī)范化威脅信息的產(chǎn)生與類別劃分.模型可用于搭建網(wǎng)絡安全威脅信息的基本架構,將其組成信息分解為3個維度及下屬的8個組件,并描述了組件間的關系.

隨著威脅情報在共享與交換方面的發(fā)展,因而對威脅情報的描述提出了更高的需求.STIX 1.x版本模型雖然在威脅情報表達的結構化、系統(tǒng)化方面較之前有了很大的改進,但在部分概念的定義和關系的描述方面還不夠準確,另外在描述組件間的關聯(lián)關系時也較為模糊,并無細致闡述具體是何種關系.

于是MITRE公司在STIX 1.x模型的基礎上,相繼推出了STIX 2.0模型和STIX 2.1模型.相較于之前模型,STIX 2.x模型采用全新分類模式對原有獨立組件描述法進行更新替換,如圖4所示.同時指出STIX模型構建應當基于圖的語言,是節(jié)點與邊的連接圖.其中STIX域對象和STIX網(wǎng)絡可觀察對象定義圖的節(jié)點,STIX關系定義圖的邊.得益于上述工作的完善,使得STIX標準變得更加實用,更加易于集成,表達能力也更加豐富.

結合以上闡述,表3對各版本的STIX標準和我國國家標準在模型框架內容與意義上進行粗粒度對比[19].

STIX對象STIX核心對象STIX元對象STIX域對象(SDO)STIX網(wǎng)絡可觀測對象(SCO)STIX關系對象(SRO)語言內容對象標記定義對象STIX捆綁對象

圖4 STIX 2.x對象分類

表3 我國標準與美國STIX模型框架對比

3.3 信息示例

STIX標準和我國威脅情報標準作為業(yè)界共同合作開發(fā)的通用結構化語言,其必然需要具有強可讀性及延伸性,且方便使用者與機器解讀或編寫擴展并用于封裝情報的數(shù)據(jù)編碼格式.

STIX 1.x版本采用基于SGML的可擴展標記語言(XML)進行數(shù)據(jù)編碼,之所以選用該語言是因為XML可以在不兼容的系統(tǒng)之間交換數(shù)據(jù),并以純文本格式進行存儲,這樣不僅可以大大減少交換數(shù)據(jù)時的復雜性,還使得XML便于記錄，更便于調試,是各種應用程序之間進行數(shù)據(jù)傳輸時最常用的工具.

然而STIX 2.x版本和我國國家標準認為XML語言旨在傳輸數(shù)據(jù),而不是顯示數(shù)據(jù),所以采用了更便于理解和閱讀的基于JavaScript的JSON數(shù)據(jù)格式. JSON格式相較于XML來說具有良好的自我描述性,結構簡單,生成和解析都更為方便.在實際應用中如果使用XML格式,則需要讀取XML文檔,然后用XML DOM來遍歷文檔、讀取數(shù)值并存儲在變量中,而使用JSON格式則只需讀取JSON字符串即可,極大提升了數(shù)據(jù)的表征速率,更適用于追求響應速度的威脅情報領域.

3.4 平臺應用

目前面對復雜的攻擊形式和嚴重的攻擊后果,僅依靠單個組織的技術體量無法構建起全局性的攻防視野,使之無法發(fā)揮出威脅情報的最大價值,進而也無法對攻擊威脅作出及時響應和有效防御.

網(wǎng)絡威脅情報共享平臺在精準發(fā)現(xiàn)關鍵威脅、確立報警優(yōu)先級、重大安全事件預警和建立情報運營體系等方面發(fā)揮著重要作用.該模式下威脅情報的價值得以充分體現(xiàn),情報的搜集成本大大降低,信息孤島問題明顯改善,共享成員的威脅檢測與應急響應能力大幅提升.

一個威脅情報共享標準的成熟程度與受眾范圍也可以從平臺應用上得以體現(xiàn),下面將選取國內外知名的威脅情報共享平臺進行對比,對其選用的共享標準與支持的數(shù)據(jù)格式進行分析總結,如表4所示:

表4 國內外知名威脅情報共享平臺比較

4 啟 發(fā)

通過第3節(jié)對我國國家標準與美國STIX標準在發(fā)布歷程、模型框架、信息示例、平臺應用4個方面的比對,本文嘗試以威脅情報標準為切入點,總結美國在網(wǎng)絡威脅情報標準建設工作中值得借鑒的方面:

1) 從項目定位上,美國的網(wǎng)絡威脅情報標準化工作從一開始就是站在國家戰(zhàn)略高度進行部署和推進的,將其與國土安全和國家利益緊密相連.并且項目不止局限于標準的制定工作,而是將大量的人力、物力、財力資源應用于標準的管理、更新和推廣上.

2) 從模型建設上,美國威脅情報標準更加趨向于構建更細粒度且更易共享的知識模型和框架.從STIX 1.x版本模型到STIX 2.x版本模型,可以觀察到STIX對威脅信息的結構化、系統(tǒng)化的表征是一個從無到有、從實用化再到自動化的過程.

3) 從生態(tài)搭建上,美國正打造以新標準、新技術、新平臺為支點的網(wǎng)絡威脅情報生態(tài)系統(tǒng),用于提升網(wǎng)絡的安全性、交互性.以信息安全理念變革為驅使,從情報標準進入實體項目,進而實現(xiàn)產(chǎn)業(yè)平臺以及與之相適應的協(xié)同體系,形成“標準—項目—平臺—體系”的邏輯路徑.

5 建 議

為了應對不斷激增的新型網(wǎng)絡攻擊行為,縮小同美國等網(wǎng)絡空間強國間的差距,我國在威脅情報領域還需要進行長時間的探索與積累.就針對威脅情報標準的建設而言,我國應從如下4個方面進行深入研究：

1) 以國家力量為核心進行威脅情報標準化工作.

就目前來說,我國對威脅情報標準化工作的重視程度還遠遠不夠,而標準化工作則是推動威脅情報技術發(fā)展的前提和重要環(huán)節(jié).在今后的標準建設中,應當以國家力量進行部署與落實,以“政、用、產(chǎn)、學、研”的合作形式完成資源上的協(xié)同與集成化,真正做到各司其職、各盡其職.加快威脅情報領域技術的發(fā)展,從而提升我國網(wǎng)絡空間安全態(tài)勢感知水平.

2) 加緊建設具有我國特色的威脅情報標準體系.

鑒于我國威脅情報技術仍處在發(fā)展應用的初期,各廠商、企業(yè)使用的場景也不盡相同,同時最新STIX標準版本規(guī)定得又過于細致,應用時較為困難繁瑣,并不適合用于我國目前發(fā)展現(xiàn)狀.所以我國急需在現(xiàn)有國標的基礎上,積極調研國際上成熟的威脅情報共享標準,重點研究對我國威脅情報領域有建設性幫助的章節(jié),建設一套針對我國國情的威脅情報標準體系,為今后技術的發(fā)展奠定基礎.

3) 逐步將標準融入網(wǎng)絡威脅情報生態(tài)環(huán)境.

歸根結底,標準是應當作用于整個網(wǎng)絡威脅生態(tài)環(huán)境當中,而絕不是狹義地去描述單個威脅情報,所以在今后的標準框架設計中,應當充分考慮基于威脅情報的共享機制、共享平臺、智能化應用等生態(tài)元素,切實做好網(wǎng)絡威脅情報生態(tài)環(huán)境的底層支持.建立起行之有效的獎懲制度,對于積極應用國家標準并提出建設性意見的企業(yè)和組織提供合理的獎勵.同時加強相關法律法規(guī)的建設,引入正確的道德輿論導向,促進形成良性的網(wǎng)絡威脅情報生態(tài)環(huán)境.

6 結束語

網(wǎng)絡威脅情報作為一種全新的網(wǎng)絡安防理念,自提出起便一直處于不斷發(fā)展之中,相較于傳統(tǒng)的安防模式,能夠更加有效地面對日趨復雜的網(wǎng)絡安全威脅.而標準化的建設則是確保整個威脅情報系統(tǒng)正常運作的關鍵,是維系整個生態(tài)環(huán)境良性循環(huán)的必然要求,其發(fā)展的重要性和必然性不言而喻.

本文總結了國際上部分國家(組織)于網(wǎng)絡威脅情報領域開展的標準化工作,重點從發(fā)布歷程、模型框架、信息示例、平臺應用4個方面對美國STIX標準與我國國家標準展開對比論述,總結了美國在標準化工作上值得借鑒的方面,并給出了我國在今后標準建設時的建議.