計(jì)算機(jī)三級(jí)信息安全技術(shù)：安全事件分類分級(jí)指引

1、計(jì)算機(jī)三級(jí)信息安全技術(shù)：安全事件分類分級(jí)指南1范圍本指導(dǎo)性技術(shù)文件為信息安全事件的分類分級(jí)提供指導(dǎo)，用于信息安全事件的防范與處置、為事前準(zhǔn)備、事中應(yīng)對(duì)、事后處理提供一個(gè)基礎(chǔ)指南，可供信息系統(tǒng)和基礎(chǔ)信息傳輸網(wǎng) 絡(luò)的運(yùn)營(yíng)和使用單位以及信息安全主管部門參考使用。2術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本指導(dǎo)性技術(shù)文件.2.1信息系統(tǒng) informationsystem由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。2.2信息安全事件 informationsecurityincident .由于自然或者人為以及軟硬件本身缺

2、陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或?qū)ι鐣?huì)造成負(fù)面影響的事件。3縮略語(yǔ)下列縮略語(yǔ)適用于本指導(dǎo)性技術(shù)文件：MI 有害程序事件(Malwareincidents)CVI 計(jì)算機(jī)病毒事件(ComputerVirusIncidents)Wl 蠕蟲(chóng)事件(Wormsincidents)THI 特洛伊木馬事件(TrojanHorsesIncidents)B1 僵尸網(wǎng)絡(luò)事件(BotnetsIncidents)BAI 混合攻擊程序事件(BlendedAttacksIncidents)WBPI 網(wǎng)頁(yè)內(nèi)嵌憨意代碼事件(WebBrowserPlug-InsIncidents)NAI 網(wǎng)絡(luò)攻擊事件(NetworkAt

3、tacksIncidents)DOSAI 拒絕服務(wù)攻擊事件(DenialofServiceAttacksIncidents)BDAI 后門攻擊事件(BackdoorAtracksIncidents)VAI 漏洞攻擊事件(VulnerabilityAttacksIncidents)NSEI 網(wǎng)絡(luò)掃描竊聽(tīng)事件(NetworkScan&EavesdroppingIncidents)PI 網(wǎng)絡(luò)釣魚(yú)事件(PhishingIncidents)干擾事件(InterferenceIncidents)ID1 信息破壞事件(InformationDestroyincidents)IA1 信息篡改事件(Inform

4、ationAlterationIncidents)IMI 信息假冒事件(InformationMasqueradingIncidents)ILEI 信息泄漏事件(InformationLeakageIncidents)信息竊取事件(InformationInterceptionIncidents)ILOI 信息丟失事件(InformationLossIncidents)ICSl 信息內(nèi)容安全事件(InformationContentSecurityIncidents)FF 設(shè)備設(shè)施故障(FacililiesFaults)SHF 軟硬件自身故障(SoftwareandHardwareFaults

5、)PSFF 外圍保障設(shè)施故障(PeripherySafeguardingFacilitiesFauhs)MDA 人為破壞事故(Man-madeDestroyAccidents)DI 災(zāi)害性事件(DisasterIncidents)OI 其他事件(OtherIncidents )4信息安全事件分類考慮要素與基本分類信息安全事件可以是故意、 過(guò)失或非人為原因引起的，本指導(dǎo)性技術(shù)文件綜合考慮信息安全事件的起因、表現(xiàn)、結(jié)果等，對(duì)信息安全事件進(jìn)行分類。信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、 設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等7個(gè)基本分類，每個(gè)基本分類分別包

6、括若干個(gè)子類。事件分類有害程序事件（MI ）有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序性的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害程序事件等7個(gè)子類，說(shuō)明如下：a）計(jì)算機(jī)病毒事件（CVI ）是指蓄意制造、傳播計(jì)算機(jī)病毒，或是因受到計(jì)算機(jī)病毒影 響而導(dǎo)致的信息安全事件，計(jì)算機(jī)病毒是指編制或者再計(jì)算機(jī)程序中插入的一組計(jì)算機(jī)指令 或者程序代碼，它可

7、以破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制并傳播的有害程序。b）蠕蟲(chóng)事件（WI）是指蓄意制造、傳播蠕蟲(chóng)，或是因受到蠕蟲(chóng)影響而導(dǎo)致的信息安全 事件。蠕蟲(chóng)是指除計(jì)算機(jī)以外，利用信息系統(tǒng)缺陷，通過(guò)網(wǎng)絡(luò)自動(dòng)復(fù)制并傳播的有害程序。c）特洛伊木馬事件（THI ）是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木 馬程序影響而導(dǎo)致的信息安全事件，特洛伊木馬程序是指?jìng)窝b在信息系統(tǒng)中的一種有害程 序，具有控制該系統(tǒng)或進(jìn)行信息竊取等對(duì)該信息系統(tǒng)有害的功能。d）將是網(wǎng)絡(luò)事件（BI）是指利用僵尸工具軟件，形成將是網(wǎng)絡(luò)而導(dǎo)致的信息安全事件。 僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中控制的一群計(jì)算機(jī)，它可以被用于

8、伺機(jī)發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)行信息竊取或傳播木馬、蠕蟲(chóng)等其他有害程序。e）混合攻擊程序事件（BAI ）是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊 程序影響而導(dǎo)致的信息安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其他系統(tǒng)的有 害程序，可能兼有計(jì)算機(jī)病毒、 蠕蟲(chóng)、木馬或僵尸網(wǎng)絡(luò)等多種特征?；旌瞎舫绦蚴录部?以是一系列有害程序綜合作用的結(jié)果， 例如一個(gè)計(jì)算機(jī)病毒或蠕蟲(chóng)在侵入系統(tǒng)后安裝木馬程 序等。f）網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件（WBPI）是指蓄意制造、傳播網(wǎng)頁(yè)內(nèi)嵌惡意代碼， 或是因受到網(wǎng) 頁(yè)內(nèi)嵌惡意代碼影響而導(dǎo)致的惡意安全事件。網(wǎng)頁(yè)內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁(yè)中， 未經(jīng)允許由瀏覽器執(zhí)行，影響信息系統(tǒng)

9、正常運(yùn)行的有害程序。g）其他有害程序事件（OMI）是指不能包含在以上 6個(gè)子類之中的有害程序事件。網(wǎng)絡(luò)攻擊事件（NAI）網(wǎng)絡(luò)攻擊事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個(gè)子類，說(shuō)明如下：a）拒絕服務(wù)攻擊事件（DOSAI）是指利用信息系統(tǒng)缺陷，或通過(guò)暴力攻擊的手段，以大量 消耗信息系統(tǒng)的 CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系

10、統(tǒng)正常運(yùn)行為 目的的信息安全事件；b）后門攻擊事件（BDAI ）是指利用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計(jì)過(guò)程中留下的后門或有害 程序所設(shè)置的后門而對(duì)信息系統(tǒng)實(shí)施的攻擊的信息安全事件；c）漏洞攻擊事件（VAI ）是指除拒絕服務(wù)攻擊事件和后門攻擊事件之外，利用信息系統(tǒng) 配置缺陷、協(xié)議缺陷、程序缺陷等漏洞，對(duì)信息系統(tǒng)實(shí)施攻擊的信息安全事件；d）網(wǎng)絡(luò)掃描竊聽(tīng)事件（NSET）是指利用網(wǎng)絡(luò)掃描或竊聽(tīng)軟件，獲取信息系統(tǒng)網(wǎng)絡(luò)配置、 端口、服務(wù)、存在的脆弱性等特征而導(dǎo)致的信息安全事件；e）網(wǎng)絡(luò)釣魚(yú)事件（PI）是指利用欺騙性的計(jì)算機(jī)網(wǎng)絡(luò)繼續(xù)，使用戶泄露重要信息而導(dǎo)致 的信息安全事件。例如，利用欺騙性電子郵件獲取用戶銀行賬號(hào)

11、密碼等；f）干擾事件（II）是指通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)進(jìn)行干擾，或?qū)V播電視有線或無(wú)線傳徐網(wǎng)絡(luò)進(jìn)行插播，對(duì)衛(wèi)星廣播電視信號(hào)非法攻擊等導(dǎo)致的信息安全事件；g）其他網(wǎng)絡(luò)攻擊事件（ONAI ）是指不能被包含在以上 6個(gè)子類之中的網(wǎng)絡(luò)攻擊事件。信息破壞事件（IDI ）;信息破壞事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄露、竊取等而導(dǎo)致的信息安全事件；信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其他信息破壞時(shí)間等 6個(gè)子類，說(shuō)明如下：aY言息篡改事件（IAI）是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，例如網(wǎng)

12、頁(yè)篡改等導(dǎo)致的信息安全事件；b）信息假冒事件（IMI ）是指通過(guò)假冒他人信息系統(tǒng)收發(fā)信息而導(dǎo)致的信息安全事件， 例如網(wǎng)頁(yè)假冒等導(dǎo)致的信息安全事件；c）信息泄漏事件（ILEI ）是指因誤操作、軟硬件缺陷或電磁泄漏等因素導(dǎo)致信息系統(tǒng)中 的保密、敏感、個(gè)人隱私等信息暴露于未經(jīng)授權(quán)者而導(dǎo)致的信息安全事件；d）信息竊取事件（III）是指未經(jīng)授權(quán)用戶利用可能的技術(shù)手段惡意主動(dòng)獲取信息系統(tǒng)中 信息而導(dǎo)致的信息安全事件；eY言息丟失事件（ILOI ）是指因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中 的信息丟失而導(dǎo)致的信息安全事件；f）其他信息破壞事件（OIDI）是指不能被包含在以上 5個(gè)子類之中的信息破

13、壞事件。信息內(nèi)容安全事件（ICSI）信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。信息內(nèi)容安全事件包括以下4個(gè)子類，說(shuō)明如下：a）違反憲法和法律、行政法規(guī)的信息安全事件;b）針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論，形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息 安全事件；c）串連、煽動(dòng)集會(huì)游行的信息安全事件；d）其他信息內(nèi)容安全事件等 4個(gè)子類。設(shè)備設(shè)施故障（FF）設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件， 以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故

14、障、 人為破壞故障、和其他設(shè)備設(shè)施故障等4個(gè)子類，說(shuō)明如下：a）軟硬件自身故障（SHF）是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計(jì)缺陷或者 軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致的信息安全事件；b）外圍保障設(shè)施故障（PSFF）是指由于保障信息系統(tǒng)正常運(yùn)行所必須的外部設(shè)施出現(xiàn) 故障而導(dǎo)致的信息安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障而導(dǎo)致的信息安全事件c）人為破壞事故（MDA ）是指人為蓄意的對(duì)保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí) 施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無(wú)意行為造成信息 系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運(yùn)行的信息安全事件；d）其他設(shè)備設(shè)施故障（IF-O

15、T ）是指不能被包含在以上3個(gè)子類之中的設(shè)備設(shè)施故障而導(dǎo)致的信息安全事件.災(zāi)害性事件（DI）災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息 安全事件。其他事件（0I）其他事件類別是指不能歸為以上6個(gè)基本分類的信息安全事件。5信息安全事件分級(jí)分級(jí)考慮要素概述對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素信息系統(tǒng)的重要程度，系統(tǒng)損失和社會(huì)影響。信息系統(tǒng)的重要程度信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承裁的業(yè)務(wù)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活的重要性以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)

16、和一般信息系統(tǒng).系統(tǒng)損失系統(tǒng)損失是指由于信息安全事件對(duì)信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)業(yè)務(wù)中斷，從而給事發(fā)組織所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)，劃分為特別嚴(yán)重的系統(tǒng)損失、嚴(yán)重的系統(tǒng)損失、較大的系統(tǒng)損失 和較小的系統(tǒng)損失，說(shuō)明如下：a）特別嚴(yán)重的系統(tǒng)損失；造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù) 據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞， 恢復(fù)系統(tǒng)正常運(yùn)行和消除安全零件負(fù)面影響所 需付出的代價(jià)十分巨大，對(duì)于事發(fā)組織是不可承受的；b）嚴(yán)重的系統(tǒng)損失。造成系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓， 使其業(yè)務(wù)處理能力受到極大影響， 或系統(tǒng)關(guān)鍵數(shù)據(jù)

17、的保密性、完整性和可磁性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù) 面影響所需付出的代價(jià)巨大，但對(duì)于事發(fā)組織是不可承受的。c）較大的系統(tǒng)損失；造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系 統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較大。但對(duì)于事發(fā)組織是完全可以承受 的；d）較小的系統(tǒng)損失；造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響， 或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù) 面影響所需付出的代價(jià)較小。社會(huì)影響社會(huì)影響是指信息安全事件對(duì)社會(huì)所造成

18、影響的范圍和程度，其大小主要考慮國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益等方面的影響，劃分為特別重大的社會(huì)影響、較大的社會(huì)影響和一般的社會(huì)影響，說(shuō)明如下：a）特別重大的社會(huì)影響：波及到一個(gè)或多個(gè)省市的大部分地區(qū)，極大威脅國(guó)家安全，引 起社會(huì)動(dòng)蕩.對(duì)經(jīng)濟(jì)建設(shè)有極其惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害公眾利益；b）重大的社會(huì)影響：波及到一個(gè)或多個(gè)地市的大部分地區(qū)，威脅到國(guó)家安全，引起社會(huì)恐慌，對(duì)經(jīng)濟(jì)建設(shè)有重大的負(fù)面影響，或者損害到公眾利益；c）較大的社會(huì)影響：波及到一個(gè)或多個(gè)地市的部分地區(qū)，可能影響到國(guó)家安全，擾亂社會(huì)秩序，對(duì)經(jīng)濟(jì)建設(shè)有一定的負(fù)面影響，或者影響到公眾利益；d）一般的社會(huì)影響：波及到一個(gè)地市的部分地區(qū)，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益基本沒(méi)有影響.但對(duì)個(gè)別公民、法人或其他組織的利益會(huì)造成損害。事件分級(jí)概述根據(jù)信息安全事件的分級(jí)考慮要素，將信息安全事件劃分為四個(gè)級(jí)別：特別重大事件、 重大事件、較大事件和一般事件。特別重大事件（I級(jí)）特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：a）會(huì)使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；b）產(chǎn)生特別重大的社會(huì)影響。重大事件（n級(jí)）重大事件是指能夠?qū)е聡?yán)重影響或破壞