信息安全技術(shù)信息安全事件分類分級指南

信息安全技術(shù)信息安全大事分類分級指南范圍本指導(dǎo)性技術(shù)文件為信息安全大事的分類分級供給指導(dǎo),用于信息安全大事的防范與處置,為事前預(yù)備、事中應(yīng)對、事后處理供給一個根底指南,可供信息系統(tǒng)和根底信息傳輸網(wǎng)絡(luò)的運營和使用單位以及信息安全主管部門參考使用。術(shù)語和定義以下術(shù)語和定義適用于本指導(dǎo)性技術(shù)文件。信息系統(tǒng)informationsystem由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,依據(jù)確定的應(yīng)用目標(biāo)和規(guī)章對信息進(jìn)展采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。informationsecurityincident由于自然或者人為以及軟硬件本身缺陷或故障的緣由,對信息系統(tǒng)造成危害,或?qū)ι鐣斐韶?fù)面影響的大事?？s略語以下縮略語適用于本指導(dǎo)性技術(shù)文件。MI:有害程序大事(MalwareIncidents)CVI:計算機(jī)病毒大事(ComputerVirusIncidents)WI:蠕蟲大事(WormsIncidents)THI:特洛伊木馬大事(TrojanHorsesIncidents)BI:(BotnetsIncidents)BAI:混合攻擊程序大事(BlendedAttacksIncidents)WBPI:網(wǎng)頁內(nèi)嵌惡意代碼大事(WebBrowserPlug-InsIncidents)NAI:(NetworkAttacksIncidents)DOSAI拒絕效勞攻擊大事(DenialofServiceAttacksIncidents)BDAI:后門攻擊大事(BackdoorAttacksIncidents)VAI:漏洞攻擊大事(VulnerabilityAttacksIncidents)NSEI:網(wǎng)絡(luò)掃描竊聽大事(NetworkScan&EavesdroppingIncidents)PI:(PhishingIncidents)II:干擾大事(InterferenceIncidents)IDI:信息破壞大事(InformationDestroyIncidents)IAI:信息篡改大事(InformationAlterationIncidents)IMI:信息假冒大事(InformationMasqueradingIncidents)ILEI:(InformationLeakageIncidents)III:信息竊取大事(InformationInterceptionIncidents)ILOI:(InformationLossIncidents)ICSI:信息內(nèi)容安全大事(InformationContentSecurityIncidents)FF:(FacilitiesFaults)SHF:軟硬件自身故障SoftwareandHardwareFaults)PSFF:外圍保障設(shè)施故障(PeripherySafeguardingFacilitiesFaults)MDA人為破壞事故(Man-madeDestroyAccidents)DI:災(zāi)難性大事(DisasterIncidents)OI:其他大事(OtherIncidents)信息安全大事分類考慮要素與根本分類信息安全大事可以是有意、過失或非人為緣由引起的。本指導(dǎo)性技術(shù)文件綜合考慮信息安全大事的起因、表現(xiàn)、結(jié)果等,對信息安全大事進(jìn)展分類。信息安全大事分為有害程序大事、網(wǎng)絡(luò)攻擊大事、信息破壞大事、信息內(nèi)容安全大事、設(shè)備設(shè)施故障、災(zāi)難性大事和其他信息安全大事等7個根本分類,每個根本分類分別包括假設(shè)干個子類。大事分類有害程序大事(MI)有害程序大事是指蓄意制造、傳播有害程序,或是因受到有害程序的影響而導(dǎo)致的信息安全大事。有害程序是指插入到信息系統(tǒng)中的一段程序,有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性,或影響信息系統(tǒng)的正常運行。有害程序大事包括計算機(jī)病毒大事、蠕蟲大事、特洛伊木馬大事、僵尸網(wǎng)絡(luò)大事、混合攻擊程序大事、網(wǎng)頁內(nèi)嵌惡意代碼大事和其它有害程序大事等說明如下:計算機(jī)病毒大事(CVI)

7個子類,是指蓄意制造、傳播計算機(jī)病毒,或是因受到計算機(jī)病毒影響而導(dǎo)致的信息安全大事。計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的一組計算機(jī)指令或者程序代碼,它可以破壞計算機(jī)功能或者毀壞數(shù)據(jù),影響計算機(jī)使用,并能自我復(fù)制;(WI)是指蓄意制造、傳播蠕蟲,或是因受到蠕蟲影響而導(dǎo)致的信息安全大事。蠕蟲是指除計算機(jī)病毒以外,利用信息系統(tǒng)缺陷,通過網(wǎng)絡(luò)自動復(fù)制并傳播的有害程序;(THI)是指蓄意制造、傳播特洛伊木馬程序,或是因受到特洛伊木馬程序影響而導(dǎo)致的信息安全大事。特洛伊木馬程序是指偽裝在信息系統(tǒng)中的一種有害程序,具有控制該信息系統(tǒng)或進(jìn)展信息竊取等對該信息系統(tǒng)有害的功能;(BI)是指利用僵尸工具軟件,形成僵尸網(wǎng)絡(luò)而導(dǎo)致的信息安全大事。僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中把握的一群計算機(jī),它可以被用于伺機(jī)發(fā)起網(wǎng)絡(luò)攻擊,進(jìn)展信息竊取或傳播木馬、蠕蟲等其他有害程序;(BAI)是指蓄意制造、傳播混合攻擊程序,或是因受到混合攻擊程序影響而導(dǎo)致的信息安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其它系統(tǒng)的有害程序,可能兼有計算機(jī)病毒、蠕蟲、木馬或僵尸網(wǎng)絡(luò)等多種特征?；旌瞎舫绦虼笫乱部梢允且幌盗杏泻Τ绦蚓C合作用的結(jié)果,例如一個計算機(jī)病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等;(WBPI)是指蓄意制造、傳播網(wǎng)頁內(nèi)嵌惡意代碼,或是因受到網(wǎng)頁內(nèi)嵌惡意代碼影響而導(dǎo)致的信息安全大事。網(wǎng)頁內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁中,未經(jīng)允許由掃瞄器執(zhí)行,影響信息系統(tǒng)正常運行的有害程序;其它有害程序大事(OMI)是指不能包含在以上6個子類之中的有害程序大事。(NAI)網(wǎng)絡(luò)攻擊大事是指通過網(wǎng)絡(luò)或其他技術(shù)手段,利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊,并造成信息系統(tǒng)特別或?qū)π畔⑾到y(tǒng)當(dāng)前運行造成潛在危害的信息安全大事。網(wǎng)絡(luò)攻擊大事包括拒絕效勞攻擊大事、后門攻擊大事、漏洞攻擊大事、網(wǎng)絡(luò)掃描竊聽大事、網(wǎng)絡(luò)釣魚大事、干擾大事和其他網(wǎng)絡(luò)攻擊大事等7個子類,說明如下:拒絕效勞攻擊大事(DOSAI)是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段,以大量消耗信息系統(tǒng)的CPU內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安;后門攻擊大事(BDAI)是指利用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計過程中留下的后門或有害程序所設(shè)置的后門而對信息系統(tǒng)實施的攻擊的信息安全大事;(VAI)是指除拒絕效勞攻擊大事和后門攻擊大事之外,利用信息系統(tǒng)配置缺陷、協(xié)議缺陷、程序缺陷等漏洞,對信息系統(tǒng)實施攻擊的信息安全大事;網(wǎng)絡(luò)掃描竊聽大事(NSEI)是指利用網(wǎng)絡(luò)掃描或竊聽軟件,獵取信息系統(tǒng)網(wǎng)絡(luò)配置、端口、效勞、存在的脆弱性等特征而導(dǎo)致的信息安全大事;(PI)是指利用哄騙性的計算機(jī)網(wǎng)絡(luò)技術(shù),使用戶泄漏重要信息而導(dǎo)致的信息安全大事。例如,利用哄騙性電子郵件獵取用戶銀行帳號密碼等;(II)是指通過技術(shù)手段對網(wǎng)絡(luò)進(jìn)展干擾,或?qū)Σニ碗娨曈芯€或無線傳輸網(wǎng)絡(luò)進(jìn)展插播,對衛(wèi)星播送電視信號非法攻擊等導(dǎo)致的信息安全大事;(ONAI)是指不能被包含在以上6個子類之中的網(wǎng)絡(luò)攻擊大事(IDI)信息破壞大事是指通過網(wǎng)絡(luò)或其他技術(shù)手段,造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全大事。信息破壞大事包括信息篡改大事、信息假冒大事、信息泄漏大事、信息竊取大事、信息喪失大事和其它信息破壞大事等6個子類,說明如下:(IAI)是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所供給的信息而導(dǎo)致的信息安全大事,例如網(wǎng)頁篡改等導(dǎo)致的信息安全大事;信息假冒大事(IMI)是指通過假冒他人信息系統(tǒng)收發(fā)信息而導(dǎo)致的信息安全大事,例如網(wǎng)頁假冒等導(dǎo)致的信息安全大事;信息泄漏大事(ILEI)是指因誤操作、軟硬件缺陷或電磁泄漏等因素導(dǎo)致信息系統(tǒng)中的保密、敏感、個人隱私等信息暴露于未經(jīng)授權(quán)者而導(dǎo)致的信息安全大事;(III)是指未經(jīng)授權(quán)用戶利用可能的技術(shù)手段惡意主動獵取信息系統(tǒng)中信息而導(dǎo)致的信息安全大事;信息喪失大事(ILOI)是指因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中的信息喪失而導(dǎo);其它信息破壞大事(OIDI)是指不能被包含在以上5個子類之中的信息破壞大事。信息內(nèi)容安全大事(ICSI)信息內(nèi)容安全大事是指利用信息網(wǎng)絡(luò)公布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全大事。信息內(nèi)容安全大事包括以下4個子類,說明如下:違反憲法和法律、行政法規(guī)的信息安全大事;針對社會事項進(jìn)展?fàn)幷?、評論形成網(wǎng)上敏感的輿論熱點,消滅確定規(guī)模炒作;組織串連、煽動集會游行的信息安全大事;其他信息內(nèi)容安全大事等4個子類。設(shè)備設(shè)施故障(FF)設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全大事,以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全大事。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其4個子類,:軟硬件自身故障(SHF)是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計缺陷或者軟硬件運行環(huán)境發(fā)生變化等而導(dǎo)致的信息安全大事;外圍保障設(shè)施故障(PSFF)是指由于保障信息系統(tǒng)正常運行所必需的外部設(shè)施消滅故障而導(dǎo)致的信息安全大事,例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的信息安全事;人為破壞事故(MDA)是指人為蓄意的對保障信息系統(tǒng)正常運行的硬件、軟件等實施竊取、破壞造成的信息安全大事;或由于人為的遺失、誤操作以及其他無意行為造成信息系統(tǒng)硬件、軟件等遭到破壞,影響信息系統(tǒng)正常運行的信息安全大事;其它設(shè)備設(shè)施故障(IF-OT)是指不能被包含在以上3個子類之中的設(shè)備設(shè)施故障而導(dǎo)致的信息安全事件。災(zāi)難性大事(DI)災(zāi)難性大事是指由于不行抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)難性大事包括水災(zāi)、臺風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐驚攻擊、戰(zhàn)斗等導(dǎo)致的信息安全大事。其他大事(OI)其他大事類別是指不能歸為以上6個根本分類的信息安全大事信息安全大事分級分級考慮要素概述對信息安全大事的分級主要考慮三個要素:信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。信息系統(tǒng)的重要程度信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對國家安全、經(jīng)濟(jì)建設(shè)、社會生活的重要性以及業(yè)務(wù)對信息系統(tǒng)的依靠程度,劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。系統(tǒng)損失系統(tǒng)損失是指由于信息安全大事對信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞 ,導(dǎo)致系統(tǒng)業(yè)務(wù)中斷,從而給事發(fā)組織所造成的損失,其大小主要考慮恢復(fù)系統(tǒng)正常運行和消退安全大事負(fù)面影響所需付出的代價,劃分為特別嚴(yán)峻的系統(tǒng)損失、嚴(yán)峻的系統(tǒng)損失、較大的系統(tǒng)損失和較小的系統(tǒng)損失,說明如下:特別嚴(yán)峻的系統(tǒng)損失:造成系統(tǒng)大面積癱瘓,使其喪失業(yè)務(wù)處理力氣,或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)峻破壞,恢復(fù)系統(tǒng)正常運行和消退安全大事,;嚴(yán)峻的系統(tǒng)損失:造成系統(tǒng)長時間中斷或局部癱瘓,使其業(yè)務(wù)處理力氣受到極大影響,或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞,恢復(fù)系統(tǒng)正常運行和消退,;較大的系統(tǒng)損失:造成系統(tǒng)中斷,明顯影響系統(tǒng)效率,使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理力氣受到影響,或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞,恢復(fù)系統(tǒng)正常運行和消退安全大事負(fù)面影響所需付出的代價較大,但對于事發(fā)組織是;較小的系統(tǒng)損失:造成系統(tǒng)短暫中斷,影響系統(tǒng)效率,使系統(tǒng)業(yè)務(wù)處理力氣受到影響,或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響,恢復(fù)系統(tǒng)正常運行和消退安全大事負(fù)面影響所需付出的代價較小。社會影響社會影響是指信息安全大事對社會所造成影響的范圍和程度,其大小主要考慮國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益等方面的影響,劃分為特別重大的社會影響、,:特別重大的社會影響:涉及到一個或多個省市的大局部地區(qū),極大威逼國家安全,引起社會動亂,對經(jīng)濟(jì)建設(shè)有極其惡劣的負(fù)面影響,或者嚴(yán)峻損害公眾利益;重大的社會影響:涉及到一個或多個地市的大局部地區(qū),威逼到國家安全,引,,;較大的社會影響:涉及到一個或多個地市的局部地區(qū),可能影響到國家安全擾,,;一般的社會影響:涉及到一個地市的局部地區(qū),對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益根本沒有影響,但對個別公民、法人或其他組織的利益會造成損害。大事分級概述依據(jù)信息安全大事的分級考慮要素,將信息安全大事劃分為四個級別:特別重大大事、重大大事、較大大事和一般大事。522特別重大大事〔I級〕特別重大大事是指能夠?qū)е绿貏e嚴(yán)峻影響或破壞的信息安全大事,包括以下