T/ZFIDA 0002-2024 面向网络攻击的银行安全能力评估指南

ICS 35.240.40
CCS A 11
团体标准
T/ZFIDA 0002—2024
面向网络攻击的银行安全能力评估指南
Guidelines for assessing on Bank security capabilities against network attacks
2024-12-18 发布2024-12-18 实施
中关村金融科技产业发展联盟发布

目 次
前言..................................................................II
引言.................................................................III
1 范围...................................................................... 1
2 规范性引用文件............................................................ 1
3 术语和定义................................................................ 1
4 缩略语.................................................................... 3
5 评估框架.................................................................. 3
6 数据集构建................................................................ 3
6.1 概述.................................................................... 3
6.2 威胁路径图模型.......................................................... 3
6.3 威胁路径图构建.......................................................... 4
7 评估方法.................................................................. 5
7.1 概述.................................................................... 5
7.2 自动化检验.............................................................. 5
7.2.1 正面检验............................................................ 5
7.2.2 侧面检验............................................................ 5
7.3 实战演练检验............................................................ 6
7.3.1 演练模式............................................................ 6
7.3.2 演练指标............................................................ 6
8 评估指标与计算............................................................ 7
8.1 评估指标................................................................ 7
8.1.1 预警指标............................................................ 7
8.1.2 预防指标............................................................ 8
8.1.3 防御指标............................................................ 8
8.1.4 感知指标............................................................ 9
8.1.5 响应指标............................................................ 9
8.1.6 可抵御的威胁等级................................................... 10
8.2 安全水位计算........................................................... 11
附录A （资料性） 企业攻防安全评估指标体系示例......................... 12
附录B （资料性） 威胁等级划分示例..................................... 14
附录C （资料性） 风险等级划分示例..................................... 14
参考文献..............................................................16
T/ZFIDA 0002-2024
前 言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起
草。
本文件由浙江网商银行股份有限公司提出。
本文件由中关村金融科技产业发展联盟归口。
本文件起草单位：浙江网商银行股份有限公司、蚂蚁科技集团股份有限公司、中关村金融科技产业
发展联盟、中国工商银行股份有限公司、中国邮政储蓄银行股份有限公司、中信银行股份有限公司、中
国光大银行股份有限公司、平安银行股份有限公司、广东南粤银行股份有限公司、北京知其安科技有限
公司、北京车晓科技有限公司、中关村互联网金融科技研究院、博彦科技股份有限公司、中科聚信信息
技术（北京）有限公司、中科软科技股份有限公司、北京海星科技产业服务有限公司
本文件主要起草人：高嵩、马晓航、张园超、高亭宇、李恒、陆碧波、彭晋、王嘉水、赵文逞、刘
勇、曹亭亭、王伟、王柏柱、刘学章、陈振翔、叶峻延、方蕊、李攀、王齐峰、史佳涵、李亚敏、张然、
李烨琦、陈鹏飞、吴永佳、陈善锋、郭威、师一帅、陈振、谢源、赵浚雅、齐柏尧、杨小强、王丽娜、
陈曦、刘美萍、王俊、王辉、张正、姚春阳
T/ZFIDA 0002-2024
引 言
随着企业数字化发展越来越完善，网络安全形势和企业面临的网络安全威胁越来越严峻，开展企业
网络安全能力评估有助于全面分析企业面临的威胁、存在的脆弱性以及风险，并基于安全能力评估结果
开展安全能力建设工作。
本文件从攻击者视角出发，结合红蓝双方攻防数据提出基于威胁路径图的安全能力评估体系，内容
包括威胁路径图模型、检验方法、指标计算逻辑，该体系可以有效检验企业面临真实攻击时的安全水位，
通过量化数据为安全建设提供指导。
T/ZFIDA 0002-2024
1
面向网络攻击的安全能力评估指南
1 范围
本文件提出了一种基于图论构建的网络攻击数据集评估被攻击方安全能力的评估方法，包括：评估
框架、网络攻击数据集构建、评估方法、评估指标与计算。
本文件适用于评估基于互联网开展业务的银行在面临网络攻击时的安全能力水平，也适用于各类金
融机构企业内进行安全攻防演练时评估安全能力。
2 规范性引用文件
GB/T 20984 —2022 信息安全技术信息安全风险评估方法。
3 术语和定义
GB/T 25069—2022 界定的以及下列术语和定义适用于本文件。
3.1
网络攻击network attack
通过计算机、路由器等计算资源和网络资源，利用网络中存在的漏洞和安全缺陷实施的一种行为。
其目的在于窃取、篡改、破坏网络和数据设施中传输和存储的信息；或延缓、中断网络和数据服务；或
破坏、摧毁、控制网络和数据基础设施。
[来源：GB/T 37027—2018，3.1，有修改]
3.2
威胁路径图模型threat path diagram model
一个基于图论将攻防能力和企业环境相结合并进行数字化描述的数据模型。
注：威胁路径图模型使用图的概念来抽象在企业网络中发生的攻击行为，用图中的点表示企业中的IT资产，用图中
的线表示攻防场景，图中的路径表示完整的黑客可能的攻击路径。威胁路径图模型在图的基础上对点和线的属
性进行扩充，形成了可以描述完整攻击过程的数字化模型。
3.3
威胁路径图threat path diagram
按照威胁路径图模型建设的描述攻击行为的数据集。威胁路径图包含了所有黑客可能的攻击路径及
相关攻击技术，是对企业进行安全评估的基础攻击数据。
3.4
攻击技术attack techniques
攻击技术是最小的攻防单元，描述攻击的原理，用于构建攻击技术链，每个攻击技术可以用于不同
的攻击技术链。
T/ZFIDA 0002-2024
2
3.5
攻防实体offense-defense entity
威胁路径图模型中的点代表攻防实体，是对企业内一类相似属性的IT资产的抽象。
注：为了规避图中节点过多导致路径爆炸，可以将有相似属性的IT资产归为一个攻防实体，即图中的一个节点。例
如可以将Windows终端归为一个攻防实体。
3.6
攻击技术链attack techniques chain
描述从攻防实体攻击攻防实体的攻击过程，将攻击过程分为多个攻击阶段，每个攻击阶段包含一个
或多个攻击技术。
3.7
攻防场景offense-defense scenario
攻防场景代表威胁路径图模型中的线，由2个攻防实体和场景类型组成，2个攻防实体代表了攻击发
起位置和攻击目标，场景类型分为端上攻防和跨实体攻防，端上攻防描述攻击者在攻防实体内实施攻击，
跨实体攻防描述攻击者从一个攻防实体对另外一个攻防实体发起攻击，攻防场景标识了攻击发生的网络
位置信息。
3.8
攻防关联offense-defense correlation
攻防关联是将攻击技术链和攻防场景进行关联，代表在攻防场景中可以使用攻击技术链进行攻击，
攻防场景中可以包含多个攻击技术链。
3.9
攻击路径attack path
攻击路径是攻击者从开始的攻防实体到达目标攻防实体的完整路径，包含大于等于一个攻防场景和
攻防场景中可使用的攻击技术链。
3.10
预警能力warning capability
对于可能出现的风险、危机等提前做出预测、警示，提醒信息安全建设团队进行安全能力建设。
3.11
预防能力prevent capability
减少资产脆弱性的能力。
3.12
防御能力defense capability
通过安全措施阻断威胁利用脆弱性造成风险的能力。
3.13
感知能力perception capability
在攻击发生过程中对攻击行为的感知能力。
T/ZFIDA 0002-2024
3
3.14
响应能力response capability
发现攻击行为后对攻击事件的研判、溯源、止血能力。
3.15
有效载荷Payload
恶意软件运行的实际可执行代码或功能。
4 缩略语
下列缩略语适用于本文件。
RASP：运行时应用自我保护（Runtime application self-protection）
5 评估框架
面向网络攻击的安全能力评估是在威胁路径维度对企业应对攻击能力的衡量，包括：预警能力、预
防能力、防御能力、感知能力、响应能力五部分能力组成，涵盖了攻击事件发生的全生命周期。其综合
体现了企业应对攻击的能力。
预警能力可以通过情报提前避免自身遭受相同的网络攻击。预防能力的建设在最大程度上减少攻击
者的攻击面，防御能力的建设可以阻断攻击者的攻击，预防能力和防御能力提供了企业最基本的安全防
护能力。感知能力、响应能力在众多安全能力被突破后提供最后的安全保障。
6 数据集构建
6.1 概述
对机构进行安全能力综合评估需要构建包含所有黑客可能的攻击路径及相关攻击能力、防御能力的
基础数据。用图的方式抽象企业网络中发生的攻击行为构建威胁路径图，形成了可以描述完整攻击过程
的数字化模型，依托图的特性可以计算任意两个资产之间所有可能的攻击路径。依托威胁路径图，攻防
双方共同协作提升企业安全能力。
攻击方可以根据威胁路径图内的数据进行高效、有序、全面的检验工作；防守方可以根据检验的结
果了解当前安全能力建设的全貌，及时调整安全建设方向和重点工作内容。
6.2 威胁路径图模型
图1从全局视角展示了威胁路径图模型的数据结构，图中圆圈代表攻防实体，代表企业的IT资产。
圆圈之间的连线代表攻防场景，代表攻击发生的位置信息。攻防场景上关联了场景内从攻防实体对攻防
实体进行攻击所有可能的攻击技术链。如图1中黑色加粗部分代表一条完整攻击路径，包含黑客从攻击
起点实体“S”到攻击目标实体“E”经过的路径及使用的攻击技术链。
T/ZFIDA 0002-2024
4
图1 威胁路径图模型
6.3 威胁路径图构建
威胁路径图中包含攻防实体数据、攻防场景数据、攻击技术数据、攻击技术链数据、攻击用例以及
攻防关联。
攻防实体数据：通过对企业内的IT资产进行抽象归一化获得攻防实体数据，例如办公网的Windows
系统终端在网络位置、存在风险等方面是相同的，所有办公网的Windows系统终端可以归一化为一个攻
防实体。
攻防场景数据：将企业内有网络交互的2个攻防实体组合成攻防场景，如办公网Windows系统可访问
测试网某测试系统，可以建立一个攻防场景。
攻击技术数据：攻击技术数据以ATT&CK攻击矩阵作为基础，筛选哪些攻击技术是可以在企业内用于
攻击的进行保留，哪些是在企业内没有攻击实施环境的进行剔除，同时根据企业特有的系统和环境增加
适合企业的攻击技术。
攻击技术链数据：根据专家经验梳理攻防场景中可能发生的攻击过程，通过组合攻击技术形成攻击
技术链，例如邮件钓鱼攻击是一个攻击技术链，其中包括的攻击阶段有邮件投递内容、木马加载方式、
木马上线方式等。其中每个阶段都包括多个可以达成该阶段任务的攻击技术，如木马上线方式可以包括
TCP协议上线、HTTP协议上线、DNS协议上线等多个可替换的攻击技术。
攻防关联数据：将攻防场景中可以使用的攻击技术链和攻防场景相关联，构建攻防场景中可以使用
的攻击技术链列表，防守方对所有的攻击技术链中的攻击技术进行预防能力、防御能力、感知感知等安
全能力进行自评，形成攻防关联数据。
7 评估方法
7.1 概述
T/ZFIDA 0002-2024
5
通过实战演练不断发现未知风险，通过自动化检验能力对已知风险进行周期性检验。
7.2 自动化检验
自动化检验是通过程序自动化模拟攻击行为，然后根据返回结果、告警日志等信息判断安全能力有
效性。根据每个攻击技术的描述实现多个剧本对不同安全能力进行检验，例如针对预防能力会通过模拟
将漏洞发布上线的方式检验预防能力是否有效，针对防御能力和感知能力会通过产生攻击行为然后根据
攻击是否被防御或者感知判断防御能力和感知能力是否有效。每个攻击技术在检验过程中会实现多个检
验Payload或者脆弱性信息。自动化检验过程中会将剧本根据攻防关联信息在不同的攻防场景中进行检
验。
为了更全面的对资产和安全能力进行检验，检验中引入了侧面检验的方式来保证检验结果的全面
性。侧面验证在靶场环境对安全能力进行检验，然后根据检验结果及真实环境中安全能力覆盖情况进行
计算指标。通过正面检验和侧面检验两种方式对威胁路径图中各个攻防场景中的攻击技术进行攻击行为
模拟，形成对已知风险的自动化全量检验。
7.2.1 正面检验
为了防止检验影响业务稳定性，在保证攻击特征的前提下应尽可能对检验内容进行无害化处理。为
了保证全面的检验，可以接入防守方资产数据和运维能力，使得检验内容可通过下发通道对全量资产进
行自动化检验。
7.2.2 侧面检验
在理想的情况下可以下发任务运行在所有资产上，但现实情况总有一部分场景是无法下发任务运
行。例如以下场景：
 下发的任务（检验内容）容易影响终端或容器的运行状态
 特殊攻击技术需要存在漏洞才能触发安全产品防御，如运行时防御RASP
为了确保此类场景下资产检验的全面性，引入侧面检验方式。首先在靶场环境部署和实际安全能力
相同版本、策略的安全产品，靶场环境不需要运行真实业务。在靶场环境中进行安全能力有效性检验，
得出安全能力有效率。然后利用资产信息采集能力采集所有资产上对应安全能力的版本、策略、运行状
态等信息，使用靶场检验结果来侧面验证这些无法全量检验的场景。根据不同的信息，可以使用不同的
计算方法得出侧面验证后的相关指标。
 根据已检验的安全产品相关信息（版本，策略等），推算所有资产的感知[防御]能力有效率
 根据已检验的安全能力覆盖情况，推算所有资产的感知[防御]有效率（无明确版本号等用于区
分产品版本的信息）
通过上述两种检验模式，可以建设起月度的自动化检验模式，周期性的产出安全能力有效率、企业
安全水位等相关指标，衡量指导后续的企业安全建设。
T/ZFIDA 0002-2024
6
7.3 实战演练检验
实战演练检验基于企业自建威胁路径图中梳理的攻防场景，模拟外部攻击者对企业可能的攻防场景
发起真实攻击，尝试挖掘企业面临的未知风险，检验企业在真实攻击发生时的预防能力、防御能力、感
知能力和响应能力。同时，借助实战演练检验，不断发现企业新的攻击技术、攻击技术链和攻防场景，
持续完善企业威胁路径图数据。
7.3.1 演练模式
实战演练检验主要用来发现企业的未知风险，为了使实战攻防演练更为高效，攻击方可以根据具体
攻击路径的难度等因素来判断选择何种演练模式，全链路演练需要从互联网发起攻击难度最高，预设场
景演练可以以预设已经获取办公网权限、测试网权限等为起点发起攻击；同样为了使得实战攻防演练能
发现的未知风险更多，实战演练模式也是分为两种：止血演练模式和观察者模式，止血演练模式防守方
全程正常的对攻击行为进行感知和拦截，观察者模式下防守方对攻击方的攻击行为仅进行感知不进行拦
截，可以让攻击方检验一条攻击路径下所有的感知能力是否有效。
7.3.2 演练指标
按照上述演练模式开展实战演练后，攻击方梳理本次演练所使用的攻击用例并和企业威胁路径图具
体场景关联起来，防守方将根据演练实际情况对攻击方录入的攻击用例进行预防、防御和感知情况进行
确认，最终计算出单次演练红蓝双方的各项指标数据。常见的演练指标数据如下：
（1）攻击用例数：单次实战演练中，在各个攻防场景下攻击方所使用的攻击技术链总数
（2）新攻击技术和攻击技术链数：单次实战演练中，攻击方暴露新的攻击技术和攻击技术链路数量
（3）新的攻防场景数：单次实战演练中，攻击方发现企业威胁路径图新的攻防场景数量
（4）攻击用例演练感知率：单次演练中，针对攻击方使用的攻击用例，防守方成功感知的攻击用例
数量
（5）安全产品绕过数：单次演练中，针对防守方的安全产品，攻击方发现安全产品防御能力的绕过
数量
（6）止血时效：单次演练中，针对攻击方获取的主机、账号权限，从告警产生到完成止血处置的耗
时
通过上述各项演练指标，数字化衡量企业在单次安全演练中攻击事件发生时各个安全能力，指导企
业防守方针对性的防控和建设，同时，借助安全演练暴露的风险输入，持续完善企业的威胁路径图数据。
T/ZFIDA 0002-2024
7
图2 检验方式
8 评估指标与计算
8.1 评估指标
8.1.1 预警指标
图3 GB/T 20984 中的风险要素及其关系图
T/ZFIDA 0002-2024
8
参考GB/T 20984中的风险要素及其关系图，风险分析应关注脆弱性和威胁。针对可能发生的风险，
提前或及时发出安全警示，称为风险预警。依据风险的对应的威胁等级、风险影响大小和风险涉及的企
业资产重要性，将风险划分为红色、橙色、黄色和蓝色四个等级，分别对应不同的处置优先级。红色风
险表示需要立即处置，橙色表示需要尽快处置，黄色表示需要排期处置，蓝色表示需要保持关注。
预警能力的强弱主要通过内外部真实发生的安全事件是否在企业内部提前有效预警来衡量，主要参
考的指标是有效预警率和遗漏次数。有效预警率体现预警的准确性，遗漏次数体现预警的全面性，两个
指标相互牵制来衡量预警能力，计算公式如下：
8.1.2 预防指标
预防指标是对预防能力的衡量，主要衡量在真实攻击发生之前减少资产脆弱性的能力，例如在应用
发布过程中建设安全卡点，提前阻止存在漏洞的代码发布到线上。以威胁路径图数据为依据，对已经建
设预防能力的路径进行检验，针对预防能力的检验方法是模拟预防能力，结合检验结果和防守方自评结
果计算指标。
指标主要包括预防能力自评覆盖率、预防能力有效率、预防能力检验覆盖率，预防能力自评覆盖率
是用来评价当前防守方自评预防能力覆盖攻击技术情况，预防能力有效率是评价已建设的预防能力实际
有效预防风险的比例，预防能力检验覆盖率是用来评价通过检验和自评数据计算实际预防能力覆盖情
况。
攻击技术i自评预防能力= 防守方自评的攻击技术预防能力覆盖情况（自评具备预防能力取值1，自评
不具备预防能力取值0，此处未检验情况下默认预防能力有效率为100%）。
注：x=检验覆盖的攻击技术数量，y=自评具备安全能力且未检验的攻击技术数量。对于y所属的攻击技术为当前无
法采用实际检验的方式得出检验结果的攻击技术，采用自评情况作为一部分计算数据，防止指标数据过于偏离
实际情况。
8.1.3 防御指标
防御指标是评价企业应对不同攻击技术的防御能力。指标主要包括防御能力自评覆盖率、防御能力
有效率、防御能力检验覆盖率。防御能力自评覆盖率用来评价当前防守方自评下防御能力覆盖情况，防
御能力有效率是评价已建设的防御能力实际防御攻击的比例，防御能力检验覆盖率是用来评价实际防御
能力覆盖情况。
T/ZFIDA 0002-2024
9
注：x=正面检验覆盖的攻击技术数量，y=侧面检验覆盖的攻击技术数量，z=自评具备安全能力且未检验的攻击技术
数量。对于z所属的攻击技术为当前无法采用实际检验的方式得出检验结果的攻击技术，采用自评情况作为一
部分计算数据，防止指标数据过于偏离实际情况。
8.1.4 感知指标
感知指标是评价企业对不同攻击技术的感知能力，主要涉及感知能力自评覆盖率、感知能力有效率、
感知能力检验覆盖率。感知能力自评覆盖率用来评价当前防守方自评下感知能力对攻击技术的覆盖情
况，感知能力有效率用来评价已建设的感知能力有效感知攻击行为的比例，感知能力检验覆盖率是用来
评价实际感知能力覆盖情况。
注：x=正面检验覆盖的攻击技术数量，y=侧面检验覆盖的攻击技术数量，z=自评具备安全能力且未检验的攻击技术
数量。对于z所属的攻击技术为当前无法采用实际检验的方式得出检验结果的攻击技术，采用自评情况作为一
部分计算数据，防止指标数据过于偏离实际情况。
8.1.5 响应指标
响应指标是评价企业在感知到攻击行为后对攻击行为进行分析处置的能力。响应流程包括产生告警
后对告警信息的研判，判断告警是否为真实攻击，分析攻击影响范围，对攻击行为进行止血等操作。响
应时效表示从产生攻击行为开始到对攻击行为止血完成的时间，止血能力表示利用技术手段阻断攻击的
能力。
8.1.6 可抵御的威胁等级
T/ZFIDA 0002-2024
10
企业当前可抵御的威胁等级，以通过数据库窃取数据为例，威胁路径图可以计算出所有外部黑客攻
击核心数据库窃取数据的攻击路径。安全对抗存在木桶效应，所有攻击路径中安全能力水位最低的路径
代表了整体的安全水位等级，此处安全能力考虑预防能力、防御能力、感知能力。单条路径可抵御威胁
等级计算逻辑如下：
如图4所示加粗部分是一条示例攻击路径，在这条攻击路径中有5个攻防实体“S”、“A”、“B”、
“D”、“E”和4个攻防场景组成，每个攻防场景中存在3个攻击技术链，每个攻击技术链都有对应的威
胁等级（威胁等级代表该能力的攻击者可以使用该攻击技术链进行攻击，根据技术能力进行划分），威
胁等级分为5级，1级业余非针对性威胁、2级一般非针对性威胁、3级专业针对性威胁、4级有组织的高
级针对性威胁、5级国家力量支撑的高级针对性威胁，其中1到5级威胁程度递增。在一条攻击路径中攻
击者想完成完整的攻击路径需要绕过各个场景的安全能力，路径上任何一个攻防场景无法突破都不能达
成最终窃取数据的攻击目的，所以攻击路径可抵御威胁等级取各个攻防场景可抵御威胁等级的最大值。
图4 威胁等级图
攻防场景的可抵御威胁等级根据攻防场景内可用的攻击技术链的安全能力覆盖情况判断，以图中外
部黑客攻击办公网终端为例，这个攻防场景中有3个攻击技术链，其中威胁等级分别是2级、3级、3级，
其中3级的攻击技术链AA3未覆盖任何安全能力，其他攻击技术链均有至少一个安全能力覆盖，在这个攻
防场景中3级威胁的攻击者可以利用AA3进行攻击获取权限，因此企业在这个攻防场景中可以抵御2级威
胁的攻击，不能抵御3级及以上威胁的攻击。
根据上述判断逻辑，图4所示4个攻防场景可抵御威胁等级分别是2级、2级、3级、2级，攻击路径可
抵御威胁等级取最大值为3级，因此该条攻击路径可以抵御3级威胁的攻击。以此类推可以计算出所有路
T/ZFIDA 0002-2024
11
径可抵御的威胁等级，然后根据木桶效应取所有路径可抵御威胁等级最低值即为企业整体可抵御的威胁
等级。
8.2 安全水位计算
安全水位评估的范围是网络安全。网络安全水位评估模型可以从多个安全能力维度（预防能力、防
御能力、感知能力等）全面评估企业的安全水位。最终产生的指标分为两部分，一部分是威胁路径维度
的全局指标，另一部分是安全能力维度的细化指标。全局指标包括企业可抵御威胁等级、不同等级威胁
路径覆盖率、预防能力威胁路径覆盖率、防御能力威胁路径覆盖率、感知能力威胁路径覆盖率。细化指
标包括安全能力的有效率、安全能力的检验覆盖率、安全能力的自评覆盖率，预警能力有效率、预警能
力遗漏数，响应能力时效、响应能力覆盖率、响应能力有效率。同时通过折线图形式展示最近6次检验
指标结果，体现水位变化趋势。
T/ZFIDA 0002-2024
12
附录A
（资料性）
企业攻防安全评估指标体系示例
网商银行基于评估指南建立了威胁路径图管理系统、自动化检验系统、自动化指标计算系统。通过
季度的红蓝演练不断发现新的攻击路径，对威胁路径图数据进行不断更新。同时通过建立的自动化检验
系统进行周期性水位检验，网商银行自动化检验系统使用安全编排技术，将攻击技术和安全能力以编排
剧本的形式进行灵活的组合，实现高效的周期化检验。同时结合了靶机侧面验证与运维通道两种剧本执
行模式，实现了对企业资产的全面覆盖；采用RPA技术自动化模拟企业员工遭受攻击后的操作行为，大
大提升了检验效率，降低人力成本。通过自动化指标计算系统自动计算展示多个水位指标，可视化展示
水位检验结果。
组织基于威胁路径模型目前已经常态化每月产出组织当前安全水位指标月报，其中包括可抵御的威
胁等级、预防指标（预防能力自评覆盖率、预防能力检验覆盖率、预防能力有效率）、感知指标（感知
能力自评覆盖率能力、检验覆盖率、感知能力有效率）、防御指标（防御能力自评覆盖率、防御能力检
验覆盖率、防御能力有效率）等。图A-1为网络安全水位报告示例（数据为测试数据）。
T/ZFIDA 0002-2024
13
图A-1 网络安全水位报告
T/ZFIDA 0002-2024
14
附录B
（资料性）
威胁等级划分示例
根据威胁来源的技术能力、意图、资源储备和组织程度等因素，将威胁来源划分为五个等级，示例
如下：
等级名称描述常见威胁来源评价
1 业余非针对性威胁无专业技术能力、非针对性的
威胁群体
扫描器、员工/客户无意识
操作
可以防御，发生频
率较高
2 一般非针对性威胁具有初级攻防技术能力、非针
对性的威胁群体
勒索团伙、初级黑客一般可以防御，发
生频率较高
3 专业针对性威胁具有中级攻防能力、有针对性
威胁群体
黑灰产团伙、小型黑客团
伙
需要付出一定精
力才能防御，发生
频率一般
4 有组织的高级针对性威
胁
具有高级攻防能力、强针对性、
有组织和一定资源的威胁群体
商业间谍、国际黑客组织很难防御，发生频
率较低
5 国家力量支撑的高级针
对性威胁
具有顶尖攻防能力、强针对性、
有组织和国家力量支撑的威胁
群体
国家级APT 组织基本无法防御，发
生频率极低
表格中从技术能力、攻击意图、资源储备和组织程度对每个威胁等级进行了描述，同时举例了常见
的威胁来源，并对其防御难度和攻击发生频率进行了描述。
T/ZFIDA 0002-2024
15
附录C
（资料性）
风险等级划分示例
根据风险可能对企业的影响和发生概率，将其划分为红色、橙色、黄色、蓝色四个等级。其中红色
风险代表需要立即处置，橙色风险代表需要尽快处置，黄色风险代表需要排期处置，蓝色风险代表需要
保持关注。其中发生概率表示风险实际可能发生的可能性，其与附录B所描述的威胁等级可以关联，因
为威胁等级越高表示其能利用更高技术难度的风险，往往也代表着低概率；对企业的影响包括风险涉及
的企业资产的重要性和风险本身能造成的影响大小。其中对企业的影响可划分为严重、较大、一般三个
级别，发生概率划分为4段，与威胁等级对应关系为，一段对应1-2级，二段对应3级，三段对应4级，四
段对应5级。风险等级划分表示例如下：
表C.1 风险等级划分表
对企业影响发生概率（威胁等级）
1 段（1-2 级） 2 段（3 级） 3 段（4 级） 4 段（5 级）
严重红色风险橙色风险橙色风险橙色风险
较大橙色风险黄色风险黄色风险黄色风险
一般黄色风险黄色风险蓝色风险蓝色风险
T/ZFIDA 0002-2024
16
参考文献
[1] GB/T 32924 — 2016 信息安全技术网络安全预警指南
[2] GB/T 20984 — 2022 信息安全技术信息安全风险评估方法
[3] GB/T 42460 — 2023信息安全技术个人信息去标识化效果评估指南
[4] GB/T 42926 — 2023 金融信息系统网络安全风险评估规范
[5] T/HFS 001 — 2023 商业银行外部数据价值评估指南
[6] 姚传军. WPDRRC 信息安全模型在安全等级保护中的应用[A].光通信研究,2010,10(5):27-28