网络安全技术 网络攻击和网络攻击事件判定准则 GB/T37027—2025

《GB/T37027—2025 网络安全技术网络攻击和网络攻击事件判定准则》于 2025 年 2 月 28 日发布，并将于 2025 年 9 月 1 日正式实施，旨在为网络攻击及相关事件的判定提供统一、规范的准则，助力提升网络安全防护能力。

随着网络应用的飞速发展，网络攻击的频率和复杂度都呈上升趋势，严重危害着网络安全。然而，此前各组织在判定网络攻击及事件时，标准不统一，导致统计结果差异较大，难以实现有效的态势共享和感知。新准则的发布，正是为了解决这一问题，它对网络攻击的定义进行了完善，增加了网络攻击事件的定义，还细化了判定条件和计数方法，为网络安全监测分析、态势感知和信息报送等工作提供了有力指导，有助于夯实网络安全基础，增强网络安全保障能力。

标准提到攻击技术手段共计19类

网络攻击使用的技术手段,包括网络扫描探测、网络钓鱼、漏洞利用、后门利用、后门植入、凭据攻击、信号干扰、拒绝服务、网页篡改、暗链植入、域名劫持、域名转嫁、DNS污染、WLAN劫持、流量劫持、BGP劫持、广播欺诈、失陷主机、其他,共19类

注:GB/T20986—2023中的供应链攻击事件、APT攻击事件一般是综合使用上述攻击技术手段的网络攻击事件,因此不在攻击技术手段中单独设置相应的类别。

GB/T20986—2023 中,定义了21类网络攻击事件。其中供应链攻击事件和APT 攻击事件两类,主要从攻击的危害、攻击者的意图角度进行分类,其他19类主要从攻击技术进行分类,可作为“网络攻击”技术手段的分类,也即可作为“网络攻击”的分类。

攻击对象类型