GBT37027-2025：网络安全技术如何精准判定“敌我”？

#政策解读 ·2025-11-24 16:22:24

在风云变幻的数字战场上，如何精准、统一地识别和判定“敌情”，是构建高效防御体系的首要前提。近期，国家标准化管理委员会发布了GB/T 37027—2025《网络安全技术 网络攻击和网络攻击事件判定准则》（以下简称“新标准”）。

这一标准的出台，无疑为我国的网络安全技术领域投下了一枚重磅炸弹💣。它不仅替代了2018年的旧版标准，更在网络攻击的定义、判定条件和计数方法上进行了全面升级，标志着我国在网络安全技术的标准化和体系化建设上迈出了坚实的一步。新标准的核心在于提供了一套科学、统一的准则，帮助组织在复杂的网络环境中，清晰界定何为“网络攻击”，何为“网络攻击事件”，从而提升整体的网络安全技术态势感知能力。

一、新标准的核心变革：从“描述”到“判定”的飞跃 🚀

旧版GB/T 37027—2018更多侧重于网络攻击的“定义及描述规范”，而新版GB/T 37027—2025则实现了从“描述”到“判定”的本质飞跃。这种转变，体现了我国网络安全技术从理论框架走向实战应用的迫切需求。

新标准最引人注目的变化，体现在以下几个方面：

新标准对“网络攻击”的定义进行了更新，并明确区分了“网络攻击”（行为）和“网络攻击事件”（造成或潜在造成业务损失或危害的安全事件）。这一区分至关重要，它指导着企业将有限的资源投入到真正具有业务影响的网络安全技术事件响应中。

二、实战指南：19类攻击的精准判定准则 🎯

新标准最大的亮点在于第六章，它详细列出了19类典型网络攻击的判定条件，这几乎涵盖了当前主流的网络安全技术攻击手段。这些判定条件不再是模糊的描述，而是具体到“网络请求数量超出正常阈值”、“包含典型漏洞利用攻击包的字符串特征”、“网络流量符合拒绝服务攻击的特定协议类型”等可量化、可检测的指标。

例如，针对“网络扫描探测攻击”，新标准明确指出，当“一定时间范围内，针对端口、路径、配置等的网络请求数量超出正常阈值范围”时，即可判定为攻击。这为安全设备（如IDS/IPS、流量分析系统）的规则编写和告警阈值设定提供了权威的网络安全技术依据。

更进一步，新标准还对“网络攻击事件”的判定提出了双重条件：

1、已判定单个或多个相关的网络攻击。

2、已判定的网络攻击造成或潜在造成业务损失或危害。

这套逻辑严密的判定体系，将极大地提升安全运营中心（SOC）对告警的网络安全技术分析效率和准确性，避免将大量的“噪音”误判为“事件”。

三、统一计数：实现网络安全技术态势的“同频共振” 📊

在旧标准下，不同组织对网络攻击的统计口径不一，导致“态势感知”往往是“各自为政”，难以实现有效的共享和协同防御。新标准在第七章增加了网络攻击和网络攻击事件的计数方法，旨在解决这一痛点。

通过统一的计数方法，例如规定了“单次网络攻击”的界定、以及基于“攻击源”、“攻击对象”和“攻击技术手段”的组合计数方法，使得不同组织之间的数据可以进行可比较和可累加的合并计算。这对于国家层面的网络安全技术态势感知、威胁情报共享以及行业监管具有不可估量的价值。只有统一了“度量衡”，才能实现真正的“同频共振”，构建起全社会协同的网络安全技术防御体系。

GB/T 37027—2025标准的发布，是我国网络安全技术发展历程中的一个重要里程碑。它不仅是对过去几年网络安全实践经验的总结和升华，更是对未来网络安全防御体系建设的科学指引。

对于企业和安全厂商而言，新标准是检验和升级自身网络安全技术能力的重要依据；对于安全从业者而言，它是提升专业素养、掌握实战技能的“武功秘籍”。我们有理由相信，在这一统一、科学的网络安全技术判定准则的指导下，我国的网络安全防御能力将得到质的飞跃，为数字经济的健康发展保驾护航。