《信息安全技術(shù) 公共信息網(wǎng)絡(luò)安全預(yù)警指南》

ICS35.040

L80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全預(yù)警指南

Informationsecuritytechnology—

Guidelinefornetworksecuritywarningandalert

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

（征求意見(jiàn)稿）

（本稿完成日期：2014年12月）

-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

I

GB/TXXXXX—XXXX

引??言

隨著信息技術(shù)的廣泛應(yīng)用與快速發(fā)展，傳統(tǒng)業(yè)務(wù)與信息系統(tǒng)的融合程度不斷加深，網(wǎng)絡(luò)安全對(duì)國(guó)家

政治、外交、經(jīng)濟(jì)、文化、公共服務(wù)活動(dòng)的影響進(jìn)一步增大。網(wǎng)絡(luò)安全形勢(shì)日趨復(fù)雜，安全威脅不斷變

化，利用網(wǎng)絡(luò)漏洞、惡意程序從事入侵、破壞的活動(dòng)頻繁發(fā)生，不僅會(huì)導(dǎo)致信息被竊取、數(shù)據(jù)遭篡改、

服務(wù)擁塞、系統(tǒng)崩潰、數(shù)據(jù)丟失和硬件永久損害，甚至?xí)?duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施造成重大破壞，嚴(yán)重

危害國(guó)家安全、社會(huì)公共安全和人民群眾切身利益。

在網(wǎng)絡(luò)安全防護(hù)工作中，社會(huì)公眾在了解網(wǎng)絡(luò)安全事件和威脅的基本情況、判斷事件嚴(yán)重程度方面

存在困難，容易導(dǎo)致對(duì)網(wǎng)絡(luò)安全事件和威脅缺乏客觀評(píng)估；另一方面，重要信息系統(tǒng)運(yùn)營(yíng)使用單位、網(wǎng)

絡(luò)安全企業(yè)和科研機(jī)構(gòu)多從技術(shù)層面判斷網(wǎng)絡(luò)安全事件和威脅的影響，需要從國(guó)家安全、社會(huì)公共安全

層面進(jìn)行通盤考慮。為進(jìn)一步明確網(wǎng)絡(luò)安全事件和威脅的重要程度和可能造成的影響，規(guī)范網(wǎng)絡(luò)安全預(yù)

警工作，有效開(kāi)展處置，降低網(wǎng)絡(luò)安全事件和威脅的影響，切實(shí)維護(hù)國(guó)家安全、公共安全和信息基礎(chǔ)設(shè)

施安全，推動(dòng)我國(guó)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制的建立，制定本標(biāo)準(zhǔn)。

II

GB/TXXXXX—XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全預(yù)警指南

1范圍

本標(biāo)準(zhǔn)建立了網(wǎng)絡(luò)安全預(yù)警分析模型，并給出了網(wǎng)絡(luò)安全預(yù)警流程指南。

本標(biāo)準(zhǔn)為及時(shí)準(zhǔn)確了解網(wǎng)絡(luò)安全事件及可能發(fā)生的網(wǎng)絡(luò)安全威脅、影響程度、后果，并采取有效措

施提供指導(dǎo)，也適用于網(wǎng)絡(luò)與信息系統(tǒng)主管和運(yùn)營(yíng)部門參考開(kāi)展網(wǎng)絡(luò)安全威脅處置工作。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)

GB/T22240—2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/Z20986—2007信息安全技術(shù)信息安全事件分類分級(jí)指南

3術(shù)語(yǔ)和定義

GB/T25069—2010中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

網(wǎng)絡(luò)安全保護(hù)對(duì)象networksecurityobject

亦指資產(chǎn)，對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。

注：主要指重要信息系統(tǒng)應(yīng)用、數(shù)據(jù)、設(shè)備。

[GB/T20984—2007，定義3.1]

3.2

網(wǎng)絡(luò)安全威脅networksecuritythreat

對(duì)網(wǎng)絡(luò)或信息系統(tǒng)可能導(dǎo)致負(fù)面結(jié)果的一個(gè)事件的潛在源。

注：例如，計(jì)算機(jī)惡意代碼、網(wǎng)絡(luò)攻擊行為等。

[GB/T25069—2010，定義2.3.94，修改：將“對(duì)資產(chǎn)或組織”改為“對(duì)網(wǎng)絡(luò)或信息系統(tǒng)”]

3.3

攻擊attack

在信息系統(tǒng)中，對(duì)系統(tǒng)或信息進(jìn)行破壞、泄露、更改或使其喪失功能的嘗試（包括竊取數(shù)據(jù)）。

[GB/T25069—2010,定義2.2.1.58]

3.4

1

GB/TXXXXX—XXXX

網(wǎng)絡(luò)安全事件networksecurityincident

由于自然或者人為以及軟硬件本身缺陷或故障的原因，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)造成危害，或?qū)ι鐣?huì)造成

負(fù)面影響的事件。

[GB/Z20986—2007，定義2.2，修改：將“對(duì)信息系統(tǒng)”改為“對(duì)網(wǎng)絡(luò)和信息系統(tǒng)”]

3.5

預(yù)警warningandalert

針對(duì)正在發(fā)生或即將發(fā)生的網(wǎng)絡(luò)安全事件或威脅，及時(shí)或提前發(fā)出的安全警示。

4網(wǎng)絡(luò)安全預(yù)警分級(jí)

4.1網(wǎng)絡(luò)安全預(yù)警分級(jí)要素

4.1.1概述

對(duì)網(wǎng)絡(luò)安全預(yù)警的分級(jí)主要考慮兩個(gè)要素：網(wǎng)絡(luò)安全保護(hù)對(duì)象的重要程度和網(wǎng)絡(luò)安全保護(hù)對(duì)象可能

受到破壞的程度。

4.1.2網(wǎng)絡(luò)安全保護(hù)對(duì)象重要程度的判定

網(wǎng)絡(luò)安全保護(hù)對(duì)象的重要程度主要考慮它所承載的業(yè)務(wù)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活的重要性

以及業(yè)務(wù)對(duì)它的依賴程度，劃分為特別重要、重要和一般三個(gè)級(jí)別。

確定網(wǎng)絡(luò)安全保護(hù)對(duì)象的重要程度應(yīng)綜合考慮對(duì)象所服務(wù)的用戶量、日活躍用戶數(shù)、交易額、等級(jí)

保護(hù)的等級(jí)、所包含敏感信息程度等因素。在重大活動(dòng)期間，保護(hù)對(duì)象的重要程度應(yīng)適當(dāng)進(jìn)行調(diào)整。

a)特別重要的保護(hù)對(duì)象，包括：

——按照GB/T22240—2008的規(guī)定定級(jí)為四級(jí)及四級(jí)以上的信息系統(tǒng)；

——用戶量?jī)|級(jí)或每天活躍用戶千萬(wàn)級(jí)的互聯(lián)網(wǎng)重要應(yīng)用；

——日交易量?jī)|元級(jí)的電子交易平臺(tái)；

——行業(yè)占有率前五的互聯(lián)網(wǎng)重要應(yīng)用；

——提供互聯(lián)網(wǎng)支撐服務(wù)的重要系統(tǒng)，如域名解析服務(wù)；

——由多個(gè)重要的網(wǎng)絡(luò)安全保護(hù)對(duì)象共同組成的群體；

——其他與國(guó)家安全關(guān)系密切，或者與經(jīng)濟(jì)建設(shè)、社會(huì)生活關(guān)系非常密切的系統(tǒng)。

b)重要的保護(hù)對(duì)象，包括：

——按照GB/T22240—2008的規(guī)定定級(jí)為三級(jí)的信息系統(tǒng)；

——用戶量千萬(wàn)級(jí)或每天活躍用戶百萬(wàn)級(jí)的互聯(lián)網(wǎng)重要應(yīng)用；

——日交易量千萬(wàn)元級(jí)的電子交易平臺(tái)；

——行業(yè)占有率較高的互聯(lián)網(wǎng)應(yīng)用；

——涉及大量個(gè)人信息保護(hù)的系統(tǒng)；

——由多個(gè)一般的網(wǎng)絡(luò)安全保護(hù)對(duì)象共同組成的群體；

——與國(guó)家安全關(guān)系一般，或者與經(jīng)濟(jì)建設(shè)、社會(huì)生活關(guān)系密切的系統(tǒng)。

c)一般的保護(hù)對(duì)象，包括：

——按照GB/T22240—2008的規(guī)定定級(jí)為二級(jí)及二級(jí)以下的信息系統(tǒng)；

——其他公共互聯(lián)網(wǎng)服務(wù)及網(wǎng)站等。

4.1.3網(wǎng)絡(luò)安全保護(hù)對(duì)象可能受到損害程度的判定

2

GB/TXXXXX—XXXX

網(wǎng)絡(luò)安全保護(hù)對(duì)象可能受到損害的程度是指網(wǎng)絡(luò)安全事件或威脅對(duì)網(wǎng)絡(luò)安全保護(hù)對(duì)象的軟硬件、功

能及數(shù)據(jù)的損害，導(dǎo)致系統(tǒng)業(yè)務(wù)緩慢或中斷，或者數(shù)據(jù)泄露、篡改、丟失或損壞，從而給保護(hù)對(duì)象所造

成的損失程度，其大小主要考慮保護(hù)對(duì)象自身可能的損失程度，以及對(duì)保護(hù)對(duì)象進(jìn)行防御攻擊、恢復(fù)系

統(tǒng)正常運(yùn)行和消除負(fù)面影響所需付出的代價(jià)，劃分為特別嚴(yán)重、嚴(yán)重、較大和一般。

確定網(wǎng)絡(luò)安全保護(hù)對(duì)象可能受到損害的程度可從網(wǎng)絡(luò)安全威脅本身和網(wǎng)絡(luò)安全保護(hù)對(duì)象等方面考

慮：

——網(wǎng)絡(luò)安全威脅方面包括攻擊者能力、攻擊工具、攻擊行為破壞性等；

——網(wǎng)絡(luò)安全保護(hù)對(duì)象方面包括脆弱性嚴(yán)重程度、防護(hù)措施、攻擊造成的損失程度等；

——其他：數(shù)據(jù)泄露的程度等。

具體為：

a)特別嚴(yán)重的損害，是指可能造成或已造成保護(hù)對(duì)象網(wǎng)絡(luò)或信息系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)

處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消

除安全事件負(fù)面影響所需付出的代價(jià)十分巨大，例如：

——大規(guī)模的、持續(xù)性的網(wǎng)絡(luò)攻擊，可能造成或已造成保護(hù)對(duì)象網(wǎng)絡(luò)和系統(tǒng)大面積癱瘓，使其喪失

業(yè)務(wù)處理能力；

——涉及管理權(quán)限的安全漏洞及漏洞利用過(guò)程被披露，并出現(xiàn)自動(dòng)化攻擊工具，可能造成或已造成

大規(guī)模用戶個(gè)人信息泄露，包含賬號(hào)密碼、銀行卡號(hào)等可能影響財(cái)物的信息。

b)嚴(yán)重的損害，是指可能造成或已造成保護(hù)對(duì)象網(wǎng)絡(luò)或信息系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓，使其業(yè)

務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正

常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)巨大，例如：

——有組織的、針對(duì)性的攻擊，可能造成或已造成保護(hù)對(duì)象網(wǎng)絡(luò)和系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓，使

其業(yè)務(wù)處理能力受到極大影響；

——涉及遠(yuǎn)程命令執(zhí)行的安全漏洞及漏洞利用過(guò)程被披露，可能造成或已造成大規(guī)模用戶個(gè)人信息

泄露，但不含財(cái)物信息。

c)較大的損害，是指可能造成或已造成保護(hù)對(duì)象網(wǎng)絡(luò)或信息系統(tǒng)中斷，明顯影響系統(tǒng)效率，使其

業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常

運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較大，例如：

——針對(duì)性的攻擊，可能造成或已造成保護(hù)對(duì)象網(wǎng)絡(luò)和系統(tǒng)中斷，明顯影響系統(tǒng)效率，使其業(yè)務(wù)處

理能力受到極大影響；

——涉及遠(yuǎn)程數(shù)據(jù)讀取的安全漏洞被披露，可能造成或已造成用戶個(gè)人信息泄露。

d)一般的損害，是指可能造成或已造成保護(hù)對(duì)象網(wǎng)絡(luò)或信息系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系

統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正

常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較小，例如：

——造成保護(hù)對(duì)象網(wǎng)絡(luò)和系統(tǒng)短暫中斷，影響系統(tǒng)效率，使其業(yè)務(wù)處理能力受到影響。

4.2網(wǎng)絡(luò)安全預(yù)警級(jí)別及判定

4.2.1概述

網(wǎng)絡(luò)安全預(yù)警根據(jù)網(wǎng)絡(luò)安全保護(hù)對(duì)象的重要程度和網(wǎng)絡(luò)安全保護(hù)對(duì)象可能受到破壞的程度分為四

個(gè)級(jí)別：紅色預(yù)警、橙色預(yù)警、黃色預(yù)警和藍(lán)色預(yù)警

4.2.2紅色預(yù)警（I級(jí)預(yù)警）

3

GB/TXXXXX—XXXX

當(dāng)發(fā)生極其嚴(yán)重的網(wǎng)絡(luò)安全事件或威脅，極大威脅國(guó)家安全、引起社會(huì)動(dòng)蕩、對(duì)經(jīng)濟(jì)建設(shè)有極其惡

劣的負(fù)面影響、或者嚴(yán)重?fù)p害公眾利益，應(yīng)發(fā)布紅色預(yù)警，包括以下情況：

a)可能對(duì)特別重要的網(wǎng)絡(luò)安全保護(hù)對(duì)象產(chǎn)生特別嚴(yán)重的損害。

4.2.3橙色預(yù)警（II級(jí)預(yù)警）

當(dāng)發(fā)生嚴(yán)重的網(wǎng)絡(luò)安全事件或威脅，威脅國(guó)家安全、引起社會(huì)恐慌、對(duì)經(jīng)濟(jì)建設(shè)有重大的負(fù)面影響、

或者損害公眾利益，應(yīng)發(fā)布橙色預(yù)警，包括以下情況：

a)可能對(duì)特別重要的網(wǎng)絡(luò)安全保護(hù)對(duì)象產(chǎn)生嚴(yán)重的損害；

b)可能對(duì)重要的網(wǎng)絡(luò)安全保護(hù)對(duì)象產(chǎn)生特別嚴(yán)重的損害。

4.2.4黃色預(yù)警（III級(jí)預(yù)警）

當(dāng)發(fā)生較嚴(yán)重的網(wǎng)絡(luò)安全事件或威脅，可能影響國(guó)家安全、擾亂社會(huì)秩序、對(duì)經(jīng)濟(jì)建設(shè)有一定的負(fù)

面影響、或者影響公眾利益，應(yīng)發(fā)布黃色預(yù)警，包括以下情況：

a)可能對(duì)特別重要的網(wǎng)絡(luò)安全保護(hù)對(duì)象產(chǎn)生較大或一般的損害；

b)可能對(duì)重要的網(wǎng)絡(luò)安全保護(hù)對(duì)象產(chǎn)生嚴(yán)重或較大的損害；

c)可能對(duì)一般的網(wǎng)絡(luò)安全保護(hù)對(duì)象產(chǎn)生特別嚴(yán)重的損害。

4.2.5藍(lán)色預(yù)警（IV級(jí)預(yù)警）

當(dāng)發(fā)生一般的網(wǎng)絡(luò)安全事件或威脅，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益基本沒(méi)有影響，

但對(duì)個(gè)別公民、法人或其他組織的利益會(huì)造成損害，應(yīng)發(fā)布藍(lán)色預(yù)警，特別輕微的可以不發(fā)預(yù)警，包括

以下情況：

a)可能對(duì)重要的網(wǎng)絡(luò)安全保護(hù)對(duì)象產(chǎn)生一般的損害；

b)可能對(duì)一般的網(wǎng)絡(luò)安全保護(hù)對(duì)象產(chǎn)生較大或一般的損害。

4.2.6網(wǎng)絡(luò)安全預(yù)警分級(jí)表

表1網(wǎng)絡(luò)安全預(yù)警分級(jí)表

網(wǎng)絡(luò)安全保護(hù)對(duì)象的重要程度網(wǎng)絡(luò)安全保護(hù)對(duì)象可能受到損害的程度

特別嚴(yán)重嚴(yán)重較大一般

特別重要紅色預(yù)警（I級(jí)）橙色預(yù)警（II級(jí)）黃色預(yù)警（III級(jí)）黃色預(yù)警（III級(jí)）

重要橙色預(yù)警（II級(jí)）黃色預(yù)警（III級(jí)）黃色預(yù)警（III級(jí)）藍(lán)色預(yù)警（IV級(jí)）

藍(lán)色預(yù)警（IV級(jí)）

一般黃色預(yù)警（III級(jí)）黃色預(yù)警（III級(jí)）藍(lán)色預(yù)警（IV級(jí)）

/無(wú)預(yù)警

5網(wǎng)絡(luò)安全預(yù)警流程

5.1預(yù)警的發(fā)