TC260WG7N01_《信息安全事件分類分級指南》（編制說.doc

信息安全事件分類分級指南（征求意見稿）編制說明一、項目背景目前國外對信息安全事件的分類分級還沒有單獨的標(biāo)準(zhǔn)和指南，不過在與信息安全事件相關(guān)的標(biāo)準(zhǔn)或文獻(xiàn)中對信息安全事件的分類分級有所描述，例如ISO/IEC 18044信息安全事件管理、NIST SP 800-61計算機(jī)安全事件處理指南等。18044給出了信息安全事件的定義，明確提出應(yīng)建立用于給事件“定級”的信息安全事件嚴(yán)重性衡量尺度。但18044沒有給出如何確定事件的級別，以及事件級別的描述，只在附錄給出了信息安全事件負(fù)面后果評估和分類的要點指南示例。18044中沒有給出具體的信息安全事件的分類，其第6節(jié)描述了信息安全事件及其原因的舉例，介紹了拒絕服務(wù)、信息收集和未經(jīng)授權(quán)訪問三種信息安全事件。在標(biāo)準(zhǔn)的附錄A：信息安全事件報告單示例中，列出了在事件報告中可參考的事件類別。NIST SP 800-61計算機(jī)安全事件處理指南針對安全事件處理，特別是安全事件相關(guān)數(shù)據(jù)的分析以及確定采用哪種方式來響應(yīng)每一安全事件提供指南。在本指南中沒有明確給出計算機(jī)安全事件的定義，只是對安全事件作出了解釋。本治安介紹了安全事件的分類，但明確說明所列出的安全事件分類不是包羅一切的，也不打算對安全事件進(jìn)行明確的分類。2003年出版的LAND Europe在為European Commission Directorate-General Information Society研究并得到授權(quán)和贊助的在歐盟國家中計算機(jī)和網(wǎng)絡(luò)濫用立法規(guī)程手冊2002年中，提出一個計算機(jī)濫用和安全事件的分析框架來描述和分類。手冊將信息安全事件分成了九類。并給出了它們的定義、使用的技術(shù)以及攻擊方法和特點。它只是將攻擊行為描述成樣本，而不是提供無一遺漏的清單。在國內(nèi)，北京市出臺了北京市國家機(jī)關(guān)重大信息安全事件報告制度（試行），并為配合報告制度，隨同發(fā)布了北京市國家機(jī)關(guān)信息安全事件定級指南（試行），其中對安全事件的分類分級做出了描述，并于05年進(jìn)行了修訂?！皣揖W(wǎng)絡(luò)與信息安全信息通報中心”為規(guī)范和指導(dǎo)通報成員單位的信息安全事件的通報工作，編寫制定了網(wǎng)絡(luò)與信息安全事件分類分級辦法，本辦法規(guī)定了信息安全事件的分類分級原則并對事件的各類別和級別進(jìn)行了描述，還規(guī)定了事件的報告流程。根據(jù)國家關(guān)于應(yīng)急處理制度和網(wǎng)絡(luò)與信息安全信息通報制度的有關(guān)文件精神和要求，急需制定信息安全事件分類分級的標(biāo)準(zhǔn)，來指導(dǎo)用戶對信息安全事件進(jìn)行分類定級，以便于更好的對信息安全事件進(jìn)行應(yīng)急處理和通報。信息安全事件的應(yīng)急處理和通報是國家信息安全保障體系中的重要環(huán)節(jié)，也是重要的工作內(nèi)容。信息安全事件的分類分級是應(yīng)急處理和通報的基礎(chǔ)。制定信息安全事件分類分級指南的目標(biāo)是對信息安全事件進(jìn)行合理的分類分級，其意義在于：促進(jìn)信息安全事件信息的交流和共享；提高信息安全事件應(yīng)急處理和通報的自動化程度；提高信息安全事件應(yīng)急處理和通報的效率和效果；利于對信息安全事件進(jìn)行統(tǒng)計分析；利于信息安全事件嚴(yán)重程度的確定。信息安全事件分類分級指南課題組在積極學(xué)習(xí)、研究、分析相關(guān)國際標(biāo)準(zhǔn)及資料的同時，組織編寫了信息安全事件分類分級指南，主要用于為國內(nèi)各組織實施應(yīng)急處理和通報提供借鑒和參考，另外，更重要的是以國內(nèi)各組織的實際需求為基礎(chǔ)，研究合理的信息安全事件分類分級規(guī)范，為進(jìn)一步促進(jìn)該項工作，特向各專家廣泛征求意見。二、內(nèi)容概述現(xiàn)今信息安全問題日益凸現(xiàn)，信息安全事件時常發(fā)生，而且還沒有一勞永逸的解決方案能夠完全消除所有的信息安全風(fēng)險。信息安全事件分類分級指南規(guī)定了信息安全事件的分類分級規(guī)范，用于信息安全事件的防范與處置，為事前準(zhǔn)備、事中應(yīng)對、事后處理提供一個基礎(chǔ)指南，可供信息系統(tǒng)的運(yùn)營和使用組織參考使用。本標(biāo)準(zhǔn)旨在給出信息安全事件分類分級的普適性原則，各單位在使用時，可根據(jù)本標(biāo)準(zhǔn)規(guī)定的原則，結(jié)合自己單位的實際情況，制定適合自己單位的行業(yè)或部門規(guī)范，以便于操作。2.1 術(shù)語和定義本指南給出了信息系統(tǒng)以及信息安全事件的定義。信息安全事件一般發(fā)生于信息系統(tǒng)之中，但目前的標(biāo)準(zhǔn)中缺乏對信息系統(tǒng)的準(zhǔn)確定義，因此，本指南在研究相關(guān)資料的基礎(chǔ)上，定義了信息系統(tǒng)的術(shù)語，參考了中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例中關(guān)于“計算機(jī)信息系統(tǒng)”的定義。一個準(zhǔn)確的信息安全事件的定義對于理解掌握信息安全事件的內(nèi)涵非常關(guān)鍵，另外，定義也要給出對信息安全事件的界定。本指南通過對現(xiàn)有信息安全事件的研究分析，對其特征進(jìn)行歸納和總結(jié)，并參考其他標(biāo)準(zhǔn)以及專家的反饋意見，根據(jù)現(xiàn)有的一些定義結(jié)合項目要求總結(jié)出了信息安全事件的定義：由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響的事件。2.2 信息安全事件分類信息安全事件的分類有利于對事件的快速確認(rèn)，本指南給出了信息安全事件的分類規(guī)范，將事件劃分為七個基本類別：有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等。這七個基本分類的劃分主要考慮了信息安全事件發(fā)生的原因、表現(xiàn)形式等，以體現(xiàn)事件分類的可操作性，另一方面，為更清晰的對信息安全事件的類別進(jìn)行說明，突出事件分類的科學(xué)性，本指南還給出了二層子類的劃分。其中“有害程序事件”不僅僅包括由“計算機(jī)病毒”所導(dǎo)致的信息安全事件，還包括由蠕蟲、木馬、僵尸網(wǎng)絡(luò)、混合攻擊程序以及網(wǎng)頁內(nèi)嵌惡意代碼等所導(dǎo)致的信息安全事件。對于此概念的解釋，我們參考了NIST SP 800-83中“Malware”的概念，同時結(jié)合我國的實際情況，對其進(jìn)行了調(diào)整。信息內(nèi)容安全事件由于其特殊性，沒有完全按照其他類別的格式來描述。由于信息安全事件本身具有發(fā)生、發(fā)展以及事件發(fā)生后人們對事件認(rèn)識程度會不斷深入的特性，因此，信息安全事件的分類具有動態(tài)性的特點。這意味著對同一信息安全事件的分類，從事中應(yīng)對、事后處理的整個過程中的不同階段可能有不同的結(jié)果。另外，由于人們認(rèn)知水平的差異性、局限性以及事件本身的復(fù)雜性，信息安全事件發(fā)生后，人們對信息安全事件的行為、表現(xiàn)形式、關(guān)注度、發(fā)生頻度等方面的認(rèn)識會有較大的差異，在事件處理完畢、最終的評估分析結(jié)果確定之前，對信息安全事件的分類更多地取決于事件的判別主體對事件已知信息的快速匯總分析和主觀判斷的結(jié)果。因此，事件的分類具有主觀性的特點。信息安全事件分類是一個由粗逐步細(xì)化的過程。根據(jù)直觀判斷，可以對部分信息安全事件進(jìn)行基本分類；借助工具和經(jīng)驗，可以對不能通過直觀判斷分類的信息安全事件進(jìn)行基本分類和二層分類。由于事件的動態(tài)性和認(rèn)識事件的主觀性，有時候無法對信息安全事件進(jìn)行深入分類，事件分類流程可以中止在基本分類。在借助工具判斷時，可使用的工具有：各種類別的掃描工具、入侵檢測系統(tǒng)、殺毒軟件、日志分析工具、完整性校驗工具等。2.3 信息安全事件分級對信息安全事件進(jìn)行分級的主要目的是使用戶可以根據(jù)不同的級別，制定并在需要時啟動相應(yīng)的事件處理流程，級別描述的準(zhǔn)確與否會影響用戶對事件級別的確定。本指南力求在對信息安全事件進(jìn)行分級時，做到科學(xué)準(zhǔn)確、描述嚴(yán)密，同時本指南主要用于信息安全事件的防范與處置，因此分級要考慮應(yīng)急響應(yīng)的因素，為與國家突發(fā)公共事件總體應(yīng)急預(yù)案的相關(guān)內(nèi)容相協(xié)調(diào)，本指南將信息安全事件劃分為四級：特別重大事件（級）、重大事件（級）、較大事件（級）和一般事件（級），并給出了級別劃分的主要參考要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對國家、社會和公眾的重要性，以及業(yè)務(wù)對信息系統(tǒng)的依賴程度，可據(jù)此劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)；系統(tǒng)損失是指由于信息安全事件對信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)業(yè)務(wù)中斷，從而給事發(fā)組織和國家所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價；社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益等方面的影響，其中“國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益”四個詞匯引自66號文：“關(guān)于信息安全等級保護(hù)工作的實施意見”。在使用信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響這三個參考要素確定事件級別時，為避免形成復(fù)雜的矩陣關(guān)系，我們將每個級別的滿足條件分兩個方面進(jìn)行闡述，其中第一個方面主要考慮信息系統(tǒng)的重要程度和系統(tǒng)損失，第二個方面主要考慮社會影響，這兩個方面是或的關(guān)系，滿足其中任一個條件，都屬于此級別。在對信息系統(tǒng)的重要程度進(jìn)行分級描述時，沒有對特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)做出解釋，我國的等級保護(hù)制度已經(jīng)在這方面做出了規(guī)定，為與等級保護(hù)制度相對應(yīng)，特別重要信息系統(tǒng)對應(yīng)于信息系統(tǒng)等級保護(hù)中的4級和5級系統(tǒng)，重要信息系統(tǒng)對應(yīng)于3級系統(tǒng)，一般信息系統(tǒng)對應(yīng)于1級和2級系統(tǒng)。另外，在分級時的一個原則是：“在特別重要信息系統(tǒng)中發(fā)生的最大級別事件為特別重大事件，在重要信息系統(tǒng)中發(fā)生的最大級別事件為重大事件，在一般信息系統(tǒng)中發(fā)生的最大級別事件為較大事件?！睂τ诜旨壱?guī)范的描述，考慮到不同的組織有不同的需求，很難用統(tǒng)一的定量的方式描述定義的參考要素，因此在本指南中，我們基本采用了抽象的描述方式，而沒有給出細(xì)粒度的量化，各組織在使用本指南時，可根據(jù)分級原則，結(jié)合組織的實際業(yè)務(wù)情況，確定不同級別的具體量化指標(biāo)，以此指導(dǎo)信息安全事件的定級。三、編制過程為制定信息安全事件分類分級指南做準(zhǔn)備，根據(jù)安標(biāo)委WG7工作組的安排，2005年9月28日，由北京知識安全工程中心牽頭，在中心召開了信息安全事件分類分級研討會，邀請了多位專家出席。此次研討會在信息安全事件分類分級指南編制課題負(fù)責(zé)人趙戰(zhàn)生教授的主持下，重點討論研究了信息安全事件分類分級中的幾個關(guān)鍵問題，包括信息安全事件分類分級的目的、標(biāo)準(zhǔn)使用的范圍、信息安全事件的定義、分類原則以及分級原則等，與會專家表達(dá)了自己對這些關(guān)鍵問題的看法。2005年10月27日，由北京知識安全工程中心牽頭，成立了信息安全事件分類分級指南編制課題組，課題組成員包括：趙戰(zhàn)生、徐國愛、高志民、王連強(qiáng)、筍大偉、謝宗曉。課題組在11月4日召開討論會，在9月28日會議紀(jì)要的基礎(chǔ)上，對幾個關(guān)鍵問題初步達(dá)成了一致意見，并形成了基本的任務(wù)分工，明確了標(biāo)準(zhǔn)的編寫期限。在經(jīng)過信息安全事件分類分級指南編制課題組多次討論的基礎(chǔ)上，2005年11月底形成了信息安全事件分類分級指南的初稿，后經(jīng)過修正與完善，最終于2005年12月14日形成了征求意見稿。隨后將征求意見稿在部