信息安全事件分類分級指南

2015-01-28 10:15:40 大云網　點擊量：評論 (0)

引言信息安全事件的防范和處置是國家信息安全保障體系中的重要環(huán)節(jié)，也是重要的工作內容。信息安全事件的分類分級是快速有效處置信息安全事件的基礎之一。本指導性技術文件編制的目的是：1) 促進安全事件信息

引言
信息安全事件的防范和處置是國家信息安全保障體系中的重要環(huán)節(jié)，也是重要的工作內容。信息安
全事件的分類分級是快速有效處置信息安全事件的基礎之一。本指導性技術文件編制的目的是：
1) 促進安全事件信息的交流和共享；
2) 提高安全事件通報和應急處理的自動化程度；
3) 提高安全事件通報和應急處理的效率和效果；
4) 利于安全事件的統(tǒng)計分析；
5) 利于安全事件嚴重程度的確定。

信息安全技術
信息安全事件分類分級指南

1 范圍
本指導性技術文件為信息安全事件的分類分級提供指導，用于信息安全事件的防范與處置，為事前準備、事中應對、事后處理提供一個基礎指南，可供信息系統(tǒng)和基礎信息傳輸網絡的運營和使用單位以及信息安全主管部門參考使用。
2 術語和定義
下列術語和定義適用于本指導性技術文件。
2.1 信息系統(tǒng) information system
由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。
2.2 信息安全事件 information security incident
由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或對社會造成負面影響的事件。
3 縮略語
下列縮略語適用于本指導性技術文件。
MI：有害程序事件（Malware Incidents）
CVI：計算機病毒事件（Computer Virus Incidents）
WI：蠕蟲事件（Worms Incidents）
THI：特洛伊木馬事件（Trojan Horses Incidents）
BI：僵尸網絡事件（Botnets Incidents）
BAI：混合攻擊程序事件（Blended Attacks Incidents）
WBPI：網頁內嵌惡意代碼事件（Web Browser Plug-Ins Incidents）
NAI：網絡攻擊事件（Network Attacks Incidents）
DOSAI：拒絕服務攻擊事件（Denial of Service Attacks Incidents）
BDAI：后門攻擊事件（Backdoor Attacks Incidents）
VAI：漏洞攻擊事件（Vulnerability Attacks Incidents）
NSEI：網絡掃描竊聽事件（Network Scan & Eavesdropping Incidents）
PI：網絡釣魚事件（Phishing Incidents）
II：干擾事件（Interference Incidents）
IDI：信息破壞事件（Information Destroy Incidents）
IAI：信息篡改事件（Information Alteration Incidents）
IMI：信息假冒事件（Information Masquerading Incidents）
ILEI：信息泄漏事件（Information Leakage Incidents）
III：信息竊取事件（Information Interception Incidents）

ILOI：信息丟失事件（Information Loss Incidents）
ICSI：信息內容安全事件（Information Content Security Incidents）
FF：設備設施故障（Facilities Faults）
SHF：軟硬件自身故障（Software and Hardware Faults）
PSFF：外圍保障設施故障（Periphery Safeguarding Facilities Faults）
MDA：人為破壞事故（Man-made Destroy Accidents）
DI：災害性事件（Disaster Incidents）
OI：其他事件（Other Incidents）
4 信息安全事件分類
4.1 考慮要素與基本分類
信息安全事件可以是故意、過失或非人為原因引起的。本指導性技術文件綜合考慮信息安全事件的起因、表現(xiàn)、結果等，對信息安全事件進行分類。信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件等 7 個基本分類，每個基本分類分別包括若干個子類。
4.2 事件分類
4.2.1 有害程序事件（MI）
有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。
有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應用程序或操作系統(tǒng)的保密性、
完整性或可用性，或影響信息系統(tǒng)的正常運行。有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事
件、網頁內嵌惡意代碼事件和其它有害程序事件等 7 個子類，說明如下：

a)計算機病毒事件（CVI）是指蓄意制造、傳播計算機病毒，或是因受到計算機病毒影響而導致的信息安全事件。計算機病毒是指編制或者在計算機b)程序中插入的一組計算機指令或者程序代碼，它可以破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制；
c)蠕蟲事件（WI）是指蓄意制造、傳播蠕蟲，或是因受到蠕蟲影響而導致的信息安全事件。蠕蟲是指除計算機病毒以外，利用信息系統(tǒng)缺陷，通過網絡自動復制并傳播的有害程序；
d)特洛伊木馬事件（THI）是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影響而導致的信息安全事件。特洛伊木馬程序是指偽裝在信息系統(tǒng)中的一種有害程序，具有控制該信息系統(tǒng)或進行信息竊取等對該信息系統(tǒng)有害的功能；
e)僵尸網絡事件（BI）是指利用僵尸工具軟件，形成僵尸網絡而導致的信息安全事件。僵尸網絡是指網絡上受到黑客集中控制的一群計算機，它可以被用于伺機發(fā)起網絡攻擊，進行信息竊取或傳播木馬、蠕蟲等其他有害程序；
f)混合攻擊程序事件（BAI）是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導致的信息安全事件。混合攻擊程序是指利用多種方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計算機病毒、蠕蟲、木馬或僵尸網絡等多種特征。混合攻擊程序事件也可以是一系列有害程序綜合作用的結果，例如一個計算機病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等；
g)網頁內嵌惡意代碼事件（WBPI）是指蓄意制造、傳播網頁內嵌惡意代碼，或是因受到網頁內嵌惡意代碼影響而導致的信息安全事件。網頁內嵌惡意代碼是指內嵌在網頁中，未經允許由瀏覽器執(zhí)行，影響信息系統(tǒng)正常運行的有害程序；
h)其它有害程序事件（OMI）是指不能包含在以上 6 個子類之中的有害程序事件。
4.2.2 網絡攻擊事件（NAI）
網絡攻擊事件是指通過網絡或其他技術手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；驅π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全
注 2
事件。
網絡攻擊事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣
魚事件、干擾事件和其他網絡攻擊事件等 7 個子類，說明如下：

a)拒絕服務攻擊事件（DOSAI）是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的 CPU、內存、磁盤空間或網絡帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安全事件；
b)后門攻擊事件（BDAI）是指利用軟件系統(tǒng)、硬件系統(tǒng)設計過程中留下的后門或有害程序所設置的后門而對信息系統(tǒng)實施的攻擊的信息安全事件；
c)漏洞攻擊事件（VAI）是指除拒絕服務攻擊事件和后門攻擊事件之外，利用信息系統(tǒng)配置缺陷、協(xié)議缺陷、程序缺陷等漏洞，對信息系統(tǒng)實施攻擊的信息安全事件；
d)網絡掃描竊聽事件（NSEI）是指利用網絡掃描或竊聽軟件，獲取信息系統(tǒng)網絡配置、端口、服務、存在的脆弱性等特征而導致的信息安全事件；
e)網絡釣魚事件（PI）是指利用欺騙性的計算機網絡技術，使用戶泄漏重要信息而導致的信息安全事件。例如，利用欺騙性電子郵件獲取用戶銀行帳號密碼等；
f)干擾事件（II）是指通過技術手段對網絡進行干擾，或對廣播電視有線或無線傳輸網絡進行插播，對衛(wèi)星廣播電視信號非法攻擊等導致的信息安全事件；
g)其他網絡攻擊事件（ONAI）是指不能被包含在以上 6 個子類之中的網絡攻擊事件。
4.2.3 信息破壞事件（IDI）
信息破壞事件是指通過網絡或其他技術手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。
信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等 6 個子類，說明如下：
a)信息篡改事件（IAI）是指未經授權將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件，例如網頁篡改等導致的信息安全事件；
b)信息假冒事件（IMI）是指通過假冒他人信息系統(tǒng)收發(fā)信息而導致的信息安全事件，例如網頁假冒等導致的信息安全事件；
c)信息泄漏事件（ILEI）是指因誤操作、軟硬件缺陷或電磁泄漏等因素導致信息系統(tǒng)中的保密、敏感、個人隱私等信息暴露于未經授權者而導致的信息安全事件；
d)信息竊取事件（III）是指未經授權用戶利用可能的技術手段惡意主動獲取信息系統(tǒng)中信息而導致的信息安全事件；
e)信息丟失事件（ILOI）是指因誤操作、人為蓄意或軟硬件缺陷等因素導致信息系統(tǒng)中的信息丟失而導致的信息安全事件；
f)其它信息破壞事件（OIDI）是指不能被包含在以上 5 個子類之中的信息破壞事件。
4.2.4 信息內容安全事件（ICSI）
信息內容安全事件是指利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內容的安全事件。
信息內容安全事件包括以下 4 個子類，說明如下：

a)違反憲法和法律、行政法規(guī)的信息安全事件；
b)針對社會事項進行討論、評論形成網上敏感的輿論熱點，出現(xiàn)一定規(guī)模炒作的信息安全事件；
c)組織串連、煽動集會游行的信息安全事件；
d)其他信息內容安全事件等 4 個子類。
4.2.5 設備設施故障（FF）
設備設施故障是指由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的信息安全事件，以及人為的使用非技術手段有意或無意的造成信息系統(tǒng)破壞而導致的信息安全事件。
設備設施故障包括軟硬件自身故障、外圍保障設施故障、人為破壞事故、和其它設備設施故障等 4 個子類，說明如下：

a)軟硬件自身故障（SHF）是指因信息系統(tǒng)中硬件設備的自然故障、軟硬件設計缺陷或者軟硬件運行環(huán)境發(fā)生變化等而導致的信息安全事件；
b)外圍保障設施故障（PSFF）是指由于保障信息系統(tǒng)正常運行所必須的外部設施出現(xiàn)故障而導致的信息安全事件，例如電力故障、外圍網絡故障等導致的信息安全事件；
c)人為破壞事故（MDA）是指人為蓄意的對保障信息系統(tǒng)正常運行的硬件、軟件等實施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無意行為造成信息系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運行的信息安全事件；
d)其它設備設施故障（IF-OT）是指不能被包含在以上 3 個子類之中的設備設施故障而導致的信息安全事件。
4.2.6 災害性事件（DI）
災害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。
災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰(zhàn)爭等導致的信息安全事件。
4.2.7 其他事件（OI）
其他事件類別是指不能歸為以上 6 個基本分類的信息安全事件。
5 信息安全事件分級
5.1 分級考慮要素
5.1.1 概述
對信息安全事件的分級主要考慮三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。
5.1.2 信息系統(tǒng)的重要程度
信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務對國家安全、經濟建設、社會生活的重要性以及業(yè)務對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。
5.1.3 系統(tǒng)損失
系統(tǒng)損失是指由于信息安全事件對信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導致系統(tǒng)業(yè)務中斷，從而給事發(fā)組織所造成的損失，其大小主要考慮恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價，劃分為特別嚴重的系統(tǒng)損失、嚴重的系統(tǒng)損失、較大的系統(tǒng)損失和較小的系統(tǒng)損失，說明如下：

a)特別嚴重的系統(tǒng)損失：造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務處理能力，或系統(tǒng)關鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴重破壞，恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發(fā)組織是不可承受的；
b)嚴重的系統(tǒng)損失：造成系統(tǒng)長時間中斷或局部癱瘓，使其業(yè)務處理能力受到極大影響，或系統(tǒng) 關鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發(fā)組織是可承受的；
c)較大的系統(tǒng)損失：造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；
d)較小的系統(tǒng)損失：造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務處理能力受到影響，或系統(tǒng) 重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價較小。
5.1.4 社會影響
社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經濟建設和公眾利益等方面的影響，劃分為特別重大的社會影響、重大的社會影響、較大的社會影響和一般的社會影響，說明如下：
注 4
a)特別重大的社會影響：波及到一個或多個省市的大部分地區(qū)，極大威脅國家安全，引起社會動蕩，對經濟建設有極其惡劣的負面影響，或者嚴重損害公眾利益；
b)重大的社會影響：波及到一個或多個地市的大部分地區(qū)，威脅到國家安全，引起社會恐慌，對經濟建設有重大的負面影響，或者損害到公眾利益；
c)較大的社會影響：波及到一個或多個地市的部分地區(qū)，可能影響到國家安全，擾亂社會秩序，對經濟建設有一定的負面影響，或者影響到公眾利益；
d)一般的社會影響：波及到一個地市的部分地區(qū)，對國家安全、社會秩序、經濟建設和公眾利益基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。
5.2 事件分級
5.2.1 概述
根據(jù)信息安全事件的分級考慮要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件。
5.2.2 特別重大事件（Ⅰ級）
特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件，包括以下情況：

a)會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；
b)產生特別重大的社會影響。
5.2.3 重大事件（Ⅱ級）
重大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：
a)會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；
b)產生的重大的社會影響。
5.2.4 較大事件（Ⅲ級）
較大事件是指能夠導致較嚴重影響或破壞的信息安全事件，包括以下情況：

a)會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；
b)產生較大的社會影響。
5.2.5 一般事件（Ⅳ級）
一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

a)會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失；
b)產生一般的社會影響。

附件:·信息安全事件分類分級指南.doc