(高清版)GBT 20986-2023 信息安全技術(shù) 網(wǎng)絡(luò)安全事件分類分級指南

信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南I前言 Ⅲ引言 V l2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 25網(wǎng)絡(luò)安全事件分類 25.1分類方法 25.2事件類別 6網(wǎng)絡(luò)安全事件分級 66.1分級方法 66.2事件級別 6.3事件分級流程 8附錄A(資料性)網(wǎng)絡(luò)安全事件類別和級別的關(guān)聯(lián)關(guān)系 附錄B(規(guī)范性)網(wǎng)絡(luò)安全事件分類代碼 參考文獻 索引 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/Z20986—2007《信息安全技術(shù)信息安全事件分類分級指南》,與GB/Z20986—2007相比，除結(jié)構(gòu)調(diào)整和編輯性改動外，主要技術(shù)變化如下：a)由指導性技術(shù)文件GB/Z更改為推薦性國家標準GB/T;b)更改了“范圍”的表述(見第1章，2007年版的第1章);全、網(wǎng)絡(luò)安全事件”的定義(見3.1～3.4);d)更改了“縮略語”,刪除了原縮略語內(nèi)容(見2007年版的第3章),增加了新的縮略語“APT、等(見第4章);e)在“網(wǎng)絡(luò)安全事件分類”中，更改了“分類方法”的表述，將網(wǎng)絡(luò)安全事件的分類由7類增加至10類(見5.1,2007年版的4.1):1)在“惡意程序事件”中增加了“惡意代碼宿主站點事件、勒索軟件事件、挖礦病毒事件”3個事件子類(見5.2.1,2007年版的4.2.1);2)在“網(wǎng)絡(luò)攻擊事件”中增加了“后門植入事件、憑據(jù)攻擊事件、網(wǎng)頁篡改事件、暗鏈植入事劫持攻擊事件、廣播欺詐事件、失陷主機事件、供應鏈攻擊事件、APT事件”14個事件子類(見5.2.2,2007年版的4.2.2);3)將“信息破壞事件”名稱更改為“數(shù)據(jù)安全事件”,事件子類更改為“數(shù)據(jù)篡改事件、數(shù)據(jù)假冒事件、數(shù)據(jù)泄露事件、數(shù)據(jù)竊取事件、數(shù)據(jù)損失事件”,增加了“社會工程事事件、位置檢測事件、數(shù)據(jù)投毒事件、數(shù)據(jù)濫用事件、隱私侵犯事件”6個事件子類(見5.2.3,2007年版的4.2.3);4)在“信息內(nèi)容安全事件”中，事件子類由4個增加到8個，名稱更改為“反動宣傳事件、暴恐宣揚事件、色情傳播事件、虛假信息傳播事件、權(quán)益侵害事件、信息濫發(fā)事件、網(wǎng)絡(luò)欺詐事件和其他信息內(nèi)容安全事件”(見5.2.4,2007年版的4.2.4);5)在“設(shè)備設(shè)施故障事件”中，事件子類由4個增加到5個，名稱更改為“技術(shù)故障事件、配套設(shè)施故障事件、物理損害事件、輻射干擾事件、其他設(shè)備設(shè)施故障事件”(見5.2.5,2007年版的4.2.5);操作事件、誤操作事件、人員可用性破壞事件、資源未授權(quán)使用事件、版權(quán)違反事件、其他違規(guī)操作事件”9個事件子類(見5.2.6);件”3個事件子類(見5.2.7);8)增加了“異常行為事件”類，包括“訪問異常事件、流量異常事件和其他異常行為事件”3個事件子類(見5.2.8);件、社會安全事件、其他不可抗力事件”5個事件子類(見5.2.9,2007年版的4.2.6);GB/T20986—20231)更改了“分級方法”的表述(見6.1,2007年版的5.1);2)增加了3個重要等級“事件影響對象”的說明(見6.1.2);3)將“系統(tǒng)損失”更改為“業(yè)務(wù)損失”,其中的“系統(tǒng)關(guān)鍵數(shù)據(jù)”更改為“重要數(shù)據(jù)/敏感個人信息”(見6.1.3,2007年版的5.1.3);4)將“社會影響”更改為“社會危害”(見6.1.4,2007年版的5.1.4);5)更改了“事件級別”的表述(見6.2.1～6.2.5,2007年版的5.2);6)增加了“事件分級流程”(見6.3);g)為便于信息通報、事件研判等應用，增加了“附錄B”,給出了事件分類代碼。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：北京時代新威信息技術(shù)有限公司、中國科學院軟件研究所、中國長江三峽集團有限公司、杭州安恒信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、啟明星辰信息技術(shù)集團股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心、北京東方通網(wǎng)信科技有限公司、北京神州綠盟科技有限公司、國網(wǎng)智能電網(wǎng)研究院有限公司、中國軟件評測中心、中國信息安全測評中心、公安部第三研究所、國家計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中心、南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司、OPPO廣東移動通信有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2007年首次發(fā)布為GB/Z20986—2007;——本次為第一次修訂。V網(wǎng)絡(luò)安全事件的防范和處置是國家網(wǎng)絡(luò)安全保障體系中的重要環(huán)節(jié)，也是重要的工作內(nèi)容。網(wǎng)絡(luò)安全事件的分類分級是快速有效處置網(wǎng)絡(luò)安全事件的基礎(chǔ)之一。本文件編制的目的是：a)利于安全事件數(shù)據(jù)的收集和分析；b)利于識別安全事件的嚴重程度；c)促進安全事件信息的交換和共享；d)便于實現(xiàn)安全事件的自動化報告和響應；e)提高安全事件通報和應急處置的效率和效果。在附錄A中給出了安全事件分類和安全事件分級的關(guān)系。1信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南1范圍本文件描述了網(wǎng)絡(luò)安全事件分類和分級的方法，界定了網(wǎng)絡(luò)安全事件類別和級別，并明確了網(wǎng)絡(luò)安全事件分類代碼。本文件適用于網(wǎng)絡(luò)運營者以及相關(guān)部門開展網(wǎng)絡(luò)安全事件研判、信息通報、監(jiān)測預警和應急處置等活動。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22240—2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南GB/T25069—2022信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。信息系統(tǒng)informationsystem應用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件的組合。注：信息系統(tǒng)通常由計算機或者其他信息終端及相關(guān)設(shè)備組成，并按照一定的應用目標和規(guī)則進行信息處理或過程控制。數(shù)據(jù)data任何以電子或者其他方式對信息的記錄。網(wǎng)絡(luò)安全cybersecurity通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障數(shù)據(jù)的完整性、保密性、可用性的能力。網(wǎng)絡(luò)安全事件cybersecurityincident由于人為原因、網(wǎng)絡(luò)遭受攻擊、網(wǎng)絡(luò)存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應用造成危害，對國家、社會、經(jīng)濟造成負面影響的事件。2[來源：GB/T38645—2020,3.1,有修改]4縮略語下列縮略語適用于本文件。APT:高級持續(xù)性威脅(advancedpersistentthreat)BGP:邊界網(wǎng)關(guān)協(xié)議(bordergatewayprotocol)DDOS:分布式拒絕服務(wù)(distributeddenialofservice)DNS:域名系統(tǒng)(domainnamesystem)IP:互聯(lián)網(wǎng)協(xié)議(internetprotocol)WLAN:無線局域網(wǎng)(wirelesslocalareanetwork)5網(wǎng)絡(luò)安全事件分類5.1分類方法綜合考慮網(wǎng)絡(luò)安全事件的起因、威脅、攻擊方式、損害后果等因素，對網(wǎng)絡(luò)安全事件進行分類，分為全隱患事件、異常行為事件、不可抗力事件和其他事件等10類，每類之下再分若干子類。附錄B確定了網(wǎng)絡(luò)安全事件分類代碼。5.2事件類別5.2.1惡意程序事件惡意程序指帶有惡意意圖所編寫的一段程序，該程序插入網(wǎng)絡(luò)損害網(wǎng)絡(luò)中的數(shù)據(jù)、應用程序或操作系統(tǒng)，或影響網(wǎng)絡(luò)的正常運行。惡意程序事件指在網(wǎng)絡(luò)蓄意制造或傳播惡意程序而導致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。惡意程序事件包括計算機病毒事件、網(wǎng)絡(luò)蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、惡意代碼內(nèi)嵌網(wǎng)頁事件、惡意代碼宿主站點事件、勒索軟件事件、挖礦病毒事件、混合攻擊程序事件和其他惡意程序事件等10個子類，具體如下：a)計算機病毒事件：制造、傳播或利用惡意程序，影響計算機使用，破壞計算機功能，毀壞或竊取數(shù)據(jù)；b)網(wǎng)絡(luò)蠕蟲事件：利用網(wǎng)絡(luò)缺陷，蓄意制造或通過網(wǎng)絡(luò)自動復制并傳播網(wǎng)絡(luò)蠕蟲；c)特洛伊木馬事件：制造、傳播或利用具有遠程控制功能的惡意程序，實現(xiàn)非法竊取或截獲數(shù)據(jù)；d)僵尸網(wǎng)絡(luò)事件：利用僵尸工具程序形成僵尸網(wǎng)絡(luò)；e)惡意代碼內(nèi)嵌網(wǎng)頁事件：在訪問被嵌入惡意代碼而受到污損的網(wǎng)頁時，該惡意代碼在訪問該網(wǎng)頁的計算機系統(tǒng)中安裝惡意軟件；f)惡意代碼宿主站點事件：誘使目標用戶到存儲惡意代碼的宿主站點下載惡意代碼；g)勒索軟件事件：采取加密或屏蔽用戶操作等方式劫持用戶對系統(tǒng)或數(shù)據(jù)的訪問權(quán)，并籍此向用戶索取贖金；h)挖礦病毒事件：以獲得數(shù)字加密貨幣為目的，控制他人的計算機并植入挖礦病毒程序完成大量運算；i)混合攻擊程序事件：利用多種方法傳播和利用多種惡意程序，例如，一個計算機病毒在侵入計3算機系統(tǒng)后在系統(tǒng)中安裝木馬程序；j)其他惡意程序事件：不在以上子類之中的惡意程序事件。5.2.2網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)攻擊事件指通過技術(shù)手段對網(wǎng)絡(luò)實施攻擊而導致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)攻擊事件包括網(wǎng)絡(luò)掃描探測事件、網(wǎng)絡(luò)釣魚事件、漏洞利用事件、后門利用事件、后門植入事事件、供應鏈攻擊事件、APT事件和其他網(wǎng)絡(luò)攻擊事件等21個子類，具體如下：a)網(wǎng)絡(luò)掃描探測事件：利用網(wǎng)絡(luò)掃描軟件獲取有關(guān)網(wǎng)絡(luò)配置、端口、服務(wù)和現(xiàn)有脆弱性等信息；b)網(wǎng)絡(luò)釣魚事件：利用欺詐性網(wǎng)絡(luò)技術(shù)誘使用戶泄露重要數(shù)據(jù)或個人信息；c)漏洞利用事件：通過挖掘并利用網(wǎng)絡(luò)配置缺陷、通信協(xié)議缺陷或應用程序缺陷等漏洞對網(wǎng)絡(luò)實施攻擊；d)后門利用事件：惡意利用軟件或硬件系統(tǒng)設(shè)計過程中未經(jīng)嚴格驗證所留下的接口、功能模塊、程序等，非法獲取網(wǎng)絡(luò)管理權(quán)限；e)后門植入事件：非法在網(wǎng)絡(luò)中創(chuàng)建能夠持續(xù)獲取其管理權(quán)限的后門；f)憑據(jù)攻擊事件：破解口令，解析登錄口令或憑據(jù)等；g)信號干擾事件：通過技術(shù)手段阻礙有線或無線信號在網(wǎng)絡(luò)中正常傳播；h)拒絕服務(wù)事件：通過非正常使用網(wǎng)絡(luò)資源(諸如CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬)影響或破壞i)網(wǎng)頁篡改事件：通過惡意破壞或更改網(wǎng)頁內(nèi)容影響網(wǎng)站聲譽或破壞網(wǎng)頁及網(wǎng)站可用性；j)暗鏈植入事件：通過隱形篡改技術(shù)在網(wǎng)頁內(nèi)非法植入違法網(wǎng)站鏈接；k)域名劫持事件：通過攻擊或偽造DNS的方式蓄意或惡意誘導用戶訪問非預期的指定IP地址(網(wǎng)站);1)域名轉(zhuǎn)嫁事件：把自己的域名指向一個不屬于自己的IP地址，導致針對該域名的攻擊都將被引向所指向的IP地址；m)DNS污染事件：利用刻意制造或無意制造的DNS數(shù)據(jù)包，把域名指向不正確的IP地址；n)WLAN劫持事件：通過口令破解、固件替換等方法非法獲取無線局域網(wǎng)的控制權(quán)限；o)流量劫持事件：通過惡意誘導或非法強制用戶訪問特定網(wǎng)絡(luò)資源造成用戶流量損失；p)BGP劫持攻擊事件：通過BGP惡意操縱網(wǎng)絡(luò)路由路徑；q)廣播欺詐事件：通過廣播欺騙的方式干擾網(wǎng)絡(luò)數(shù)據(jù)包正常傳輸或竊取網(wǎng)絡(luò)用戶敏感信息；r)失陷主機事件：攻擊者獲得某主機的控制權(quán)后，能以該主機為跳板繼續(xù)攻擊組織內(nèi)網(wǎng)其他主機；s)供應鏈攻擊事件：通過利用供應鏈管理中存在的脆弱性，感染合法應用來分發(fā)惡意程序；t)APT事件：通過對特定對象展開持續(xù)有效的攻擊活動，這種攻擊活動具有極強的隱蔽性和針對性，通常會運用受感染的各種介質(zhì)、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊；u)其他網(wǎng)絡(luò)攻擊事件：不在以上子類之中的網(wǎng)絡(luò)攻擊事件。5.2.3數(shù)據(jù)安全事件數(shù)據(jù)安全事件指通過技術(shù)或其他手段對數(shù)據(jù)實施篡改、假冒、泄露、竊取等導致業(yè)務(wù)損失或造成社4會危害的網(wǎng)絡(luò)安全事件。數(shù)據(jù)安全事件包括數(shù)據(jù)篡改事件、數(shù)據(jù)假冒事件、數(shù)據(jù)泄露事件、社會工程事件、數(shù)據(jù)竊取事件、數(shù)據(jù)攔截事件、位置檢測事件、數(shù)據(jù)投毒事件、數(shù)據(jù)濫用事件、隱私侵犯事件、數(shù)據(jù)損失事件和其他數(shù)據(jù)安全事件等12個子類，具體如下：a)數(shù)據(jù)篡改事件：未經(jīng)授權(quán)接觸或修改數(shù)據(jù)；b)數(shù)據(jù)假冒事件：非法或未經(jīng)許可使用、偽造數(shù)據(jù)；c)數(shù)據(jù)泄露事件：無意或惡意通過技術(shù)手段使數(shù)據(jù)或敏感個人信息對外公開泄露；d)社會工程事件：通過非技術(shù)手段(如心理學、話術(shù)等)誘導他人泄露數(shù)據(jù)或執(zhí)行行動；e)數(shù)據(jù)竊取事件：未經(jīng)授權(quán)利用技術(shù)手段(例如竊聽、間諜等)偷竊數(shù)據(jù)；f)數(shù)據(jù)攔截事件：在數(shù)據(jù)到達目標接收者之前非法捕獲數(shù)據(jù)；g)位置檢測事件：非法檢測系統(tǒng)、個人的地理位置信息或敏感數(shù)據(jù)的存儲位置；h)數(shù)據(jù)投毒事件：干預深度學習訓練數(shù)據(jù)集，在訓練數(shù)據(jù)中加入精心構(gòu)造的異常數(shù)據(jù)，破壞原有訓練數(shù)據(jù)的概率分布，導致模型在某些特定條件下產(chǎn)生分類或聚類錯誤；i)數(shù)據(jù)濫用事件：無意或惡意濫用數(shù)據(jù)；j)隱私侵犯事件：無意或惡意侵犯網(wǎng)絡(luò)中存在的敏感個人信息；k)數(shù)據(jù)損失事件：因誤操作、人為蓄意或軟硬件缺陷等因素導致數(shù)據(jù)損失；1)其他數(shù)據(jù)安全事件：不在以上子類之中的數(shù)據(jù)安全事件。5.2.4信息內(nèi)容安全事件信息內(nèi)容安全事件指通過網(wǎng)絡(luò)傳播危害國家安全、社會穩(wěn)定、公共安全和利益的有害信息導致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。信息內(nèi)容安全事件包括反動宣傳事件、暴恐宣揚事件、色情傳播事件、虛假信息傳播事件、權(quán)益侵害事件、信息濫發(fā)事件、網(wǎng)絡(luò)欺詐事件和其他信息內(nèi)容安全事件等8個子類，具體如下：a)反動宣傳事件：利用網(wǎng)絡(luò)傳播煽動顛覆國家政權(quán)、推翻社會主義制度，煽動分裂國家、破壞國家統(tǒng)一等危害國家安全、榮譽和利益的非法信息；b)暴恐宣揚事件：利用網(wǎng)絡(luò)宣揚恐怖主義、極端主義，煽動民族仇恨、民族歧視的信息，引起社會恐慌和動亂；c)色情傳播事件：利用網(wǎng)絡(luò)傳播違背社會倫理道德的淫穢色情信息；d)虛假信息傳播事件：利用網(wǎng)絡(luò)編造并傳播虛假信息來擾亂經(jīng)濟秩序和社會秩序，造成負面影響；e)權(quán)益侵害事件：利用網(wǎng)絡(luò)傳播的信息侵害了社會組織或公民的合法權(quán)益；f)信息濫發(fā)事件：利用網(wǎng)絡(luò)傳播未經(jīng)接收者準許的信息，例如：垃圾郵件等；g)網(wǎng)絡(luò)欺詐事件：惡意利用技術(shù)或非技術(shù)手段對特定或不特定目標通過網(wǎng)絡(luò)進行欺詐以非法獲取信息或錢財；h)其他信息內(nèi)容安全事件：不在以上子類之中的信息內(nèi)容安全事件。5.2.5設(shè)備設(shè)施故障事件設(shè)備設(shè)施故障事件指由于網(wǎng)絡(luò)自身出現(xiàn)故障或設(shè)備設(shè)施受到破壞或干擾而導致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。設(shè)備設(shè)施故障事件包括技術(shù)故障事件、配套設(shè)施故障事件、物理損害事件、輻射干擾事件和其他設(shè)備設(shè)施故障事件等5個子類，具體如下：5a)技術(shù)故障事件：網(wǎng)絡(luò)中軟硬件的自然缺陷、設(shè)計缺陷或運行環(huán)境發(fā)生變化而引起系統(tǒng)故障，例b)配套設(shè)施故障事件：支撐網(wǎng)絡(luò)運行的配套設(shè)施發(fā)生故障，例如：電力供應故障、照明系統(tǒng)故障、溫濕度控制系統(tǒng)故障等；c)物理損害事件：故意或意外的物理行動造成網(wǎng)絡(luò)環(huán)境或網(wǎng)絡(luò)設(shè)備損壞，例如：失火、漏水、靜電、設(shè)備毀壞或丟失等；e)其他設(shè)備設(shè)施故障事件：不在以上子類之中的設(shè)備設(shè)施故障事件。5.2.6違規(guī)操作事件違規(guī)操作事件指人為故意或意外地損害網(wǎng)絡(luò)功能而導致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。違規(guī)操作事件包括權(quán)限濫用事件、權(quán)限偽造事件、行為抵賴事件、故意違規(guī)操作事件、誤操作事件、人員可用性破壞事件、資源未授權(quán)使用事件、版權(quán)違反事件和其他違規(guī)操作事件等9個子類，具體如下：a)權(quán)限濫用事件：由于網(wǎng)絡(luò)服務(wù)端功能開放過多或權(quán)限限制不嚴格，導致攻擊者通過直接或間接調(diào)用權(quán)限的方式進行攻擊；b)權(quán)限偽造事件：為了欺騙制造虛假權(quán)限；c)行為抵賴事件：用戶否認其有害行為；d)故意違規(guī)操作事件：故意執(zhí)行非法操作；e)誤操作事件：無意地執(zhí)行錯誤操作；f)人員可用性破壞事件：人力資源受損，導致人員缺失或缺席；g)資源未授權(quán)使用事件：未經(jīng)授權(quán)訪問資源；h)版權(quán)違反事件：違反版權(quán)要求安裝使用商業(yè)軟件或其他受版權(quán)保護的材料；i)其他違規(guī)操作事件：不在以上子類之中的違規(guī)操作事件。安全隱患事件指網(wǎng)絡(luò)中出現(xiàn)能被攻擊者利用的漏洞或隱患，一旦被利用可能對網(wǎng)絡(luò)造成破壞，進而導致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。提前發(fā)現(xiàn)這些漏洞或隱患能防范由此引起的其他網(wǎng)絡(luò)安全事件。安全隱患事件包括網(wǎng)絡(luò)漏洞事件、網(wǎng)絡(luò)配置合規(guī)缺陷事件、其他安全隱患事件等3個子類，具體如下：a)網(wǎng)絡(luò)漏洞事件：因操作系統(tǒng)、應用程序或安全協(xié)議開發(fā)及設(shè)計過程中，對安全性考慮不充分而出現(xiàn)安全隱患；b)網(wǎng)絡(luò)配置合規(guī)缺陷事件：由于軟硬件安全配置不合理或缺省配置，不符合網(wǎng)絡(luò)安全要求而產(chǎn)生安全缺陷或隱患；c)其他安全隱患事件：不在以上子類之中的安全隱患事件。5.2.8異常行為事件異常行為事件指網(wǎng)絡(luò)本身穩(wěn)定性不足或違規(guī)訪問網(wǎng)絡(luò)造成訪問、流量等異常行為，進而導致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。6異常行為事件包括訪問異常事件、流量異常事件和其他異常行為事件等3個子類，具體如下：a)訪問異常事件：因網(wǎng)絡(luò)軟硬件運行環(huán)境發(fā)生變化導致不能提供服務(wù)；b)流量異常事件：網(wǎng)絡(luò)流量行為模式偏離正常基線；c)其他異常行為事件：不在以上子類之中的異常行為事件。5.2.9不可抗力事件不可抗力事件指因突發(fā)事件損害網(wǎng)絡(luò)的可用性而導致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。不可抗力事件包括自然災害事件、事故災難事件、公共衛(wèi)生事件、社會安全事件和其他不可抗力事件等5個子類，具體如下：b)事故災難事件：具有災難性后果的事故導致信息和信息系統(tǒng)受損，例如：公共設(shè)施和設(shè)備事故、環(huán)境污染事故等；c)公共衛(wèi)生事件：傳染病疫情等導致信息和信息系統(tǒng)受損；d)社會安全事件：危害國家和社會的突發(fā)性群體性事件導致信息和信息系統(tǒng)受損，例如：恐怖襲擊事件等；e)其他不可抗力事件：不在以上子類之中的不可抗力事件。其他事件指未歸為上述分類的網(wǎng)絡(luò)安全事件。6網(wǎng)絡(luò)安全事件分級6.1分級方法網(wǎng)絡(luò)安全事件按照事件影響對象的重要程度、業(yè)務(wù)損失的嚴重程度和社會危害的嚴重程度三個要素進行分級。事件影響對象主要包括信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)等。6.1.2事件影響對象的重要程度按GB/T22240—2020描述的網(wǎng)絡(luò)安全等級保護定級方法，事件影響對象的重要程度根據(jù)國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益以及業(yè)務(wù)對事件影響對象的依賴程度進行評估，分為3個等級：特別a)特別重要：受到破壞后，對國家安全造成危害，或?qū)ι鐣刃?、?jīng)濟建設(shè)和公共利益造成嚴重危害或特別嚴重危害；b)重要：受到破壞后，對社會秩序、經(jīng)濟建設(shè)和公共利益造成危害，或?qū)ο嚓P(guān)公民、法人和其他組織的合法權(quán)益造成嚴重或特別嚴重損害，但不危害國家安全；c)一般：指受到破壞后，對相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害，但不危害國家安6.1.3業(yè)務(wù)損失的嚴重程度業(yè)務(wù)損失的嚴重程度由網(wǎng)絡(luò)的硬件/軟件、功能和數(shù)據(jù)的損壞導致業(yè)務(wù)中斷影響的嚴重程度進行評7估，其大小可取決于恢復業(yè)務(wù)正常運行和消除網(wǎng)絡(luò)安全事件負面影響所需付出的代價，分為4個級別：a)特別嚴重：造成網(wǎng)絡(luò)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或重要數(shù)據(jù)/敏感個人信息遭到嚴重破壞，恢復業(yè)務(wù)正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發(fā)組織是不可承受的；b)嚴重：造成網(wǎng)絡(luò)長時間中斷或局部業(yè)務(wù)癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或重要數(shù)據(jù)/敏感個人信息遭到破壞，恢復業(yè)務(wù)正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發(fā)組織是可承受的；c)較大：造成網(wǎng)絡(luò)中斷，導致業(yè)務(wù)處理能力受到較大影響，或數(shù)據(jù)/敏感個人信息受到損害，恢復業(yè)務(wù)正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；d)較?。涸斐删W(wǎng)絡(luò)短暫中斷，導致業(yè)務(wù)處理能力受到一定影響，或數(shù)據(jù)/敏感個人信息受到影響，恢復業(yè)務(wù)正常運行和消除安全事件負面影響所需付出的代價較小。6.1.4社會危害的嚴重程度社會危害的嚴重程度根據(jù)對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益等方面的危害程度進行評a)特別重大：波及一個或多個省市的大部分地區(qū)，危害到國家安全，引起社會動蕩，對經(jīng)濟建設(shè)有極其惡劣的負面影響，或者特別嚴重損害公眾利益；b)重大：波及一個或多個地市的大部分地區(qū)，影響到國家安全，引起社會恐慌，對經(jīng)濟建設(shè)有惡劣的負面影響，或者嚴重損害公眾利益；c)較大：波及一個或多個地市的部分地區(qū)，不影響國家安全，但是擾亂社會秩序，對經(jīng)濟建設(shè)或者公眾利益造成一般損害，對相關(guān)公民、法人或其他組織的利益會造成嚴重損害或特別嚴重損害；d)一般：波及一個地市的部分地區(qū)，不影響國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益，但是對相關(guān)公民、法人或其他組織的利益會造成一般損害。6.2事件級別按照事件影響對象的重要程度、業(yè)務(wù)損失的嚴重程度和社會危害的嚴重程度三個要素，網(wǎng)絡(luò)安全事件分為4個級別：特別重大事件、重大事件、較大事件和一般事件，由高到低分別為一級、二級、三級和四級。6.2.2特別重大事件(一級)特別重大事件發(fā)生在特別重要的事件影響對象上，并且：a)導致特別嚴重的業(yè)務(wù)損失，或b)造成特別重大的社會危害。6.2.3重大事件(二級)重大事件發(fā)生在特別重要或重要的事件影響對象上，并且：a)導致特別重要的事件影響對象遭受嚴重的業(yè)務(wù)損失或?qū)е轮匾氖录绊憣ο笤馐芴貏e嚴重8b)造成重大的社會危害。6.2.4較大事件(三級)較大事件發(fā)生在特別重要或重要或一般的事件影響對象上，并且：a)導致特別重要的事件影響對象遭受較大或較小的業(yè)務(wù)損失，或重要的事件影響對象遭受嚴重或較大的業(yè)務(wù)損失，或?qū)е乱话愕氖录绊憣ο笤馐茌^大(含)以上級別的業(yè)務(wù)損失，或b)造成較大的社會危害。6.2.5一般事件(四級)一般事件發(fā)生在重要或一般的事件影響對象上，并且：a)導致較小的業(yè)務(wù)損失，或b)造成一般的社會危害。6.3事件分級流程對網(wǎng)絡(luò)安全事件的分級根據(jù)三個分級要素進行評定，流程如下：a)確定網(wǎng)絡(luò)安全事件影響對象的重要程度；b)分別評定業(yè)務(wù)損失的嚴重程度和社會危害的嚴重程度；c)根據(jù)表1、表2分別評定對應的網(wǎng)絡(luò)安全事件級別；d)兩者中取高者確定為網(wǎng)絡(luò)安全事件級別。表1網(wǎng)絡(luò)安全事件級別與業(yè)務(wù)損失的嚴重程度的關(guān)系事件影響對象的重要程度業(yè)務(wù)損失的嚴重程度特別嚴重嚴重較大較小特別重要一級二級三級三級重要二級三級三級四級一般三級三級三級四級表2網(wǎng)絡(luò)安全事件級別與社會危害的嚴重程度的關(guān)系事件影響對象的重要程度社會危害的嚴重程度特別重大重大較大一般特別重要一級二級三級—重要二級三級四級一般 三級四級注：“—”表示忽略這種情況，或依據(jù)實際情況綜合判斷網(wǎng)絡(luò)安全事件級別。網(wǎng)絡(luò)安全事件分級流程示意圖如圖1所示。9確定網(wǎng)絡(luò)安全事件影響對象的重要程度評定業(yè)務(wù)損失的嚴審程度評定社會危害的嚴重程度評定網(wǎng)絡(luò)安全事件級別評定網(wǎng)絡(luò)安全事件級別確定網(wǎng)絡(luò)安全事件級別圖1網(wǎng)絡(luò)安全事件分級流程示意圖(資料性)網(wǎng)絡(luò)安全事件類別和級別的關(guān)聯(lián)關(guān)系一個網(wǎng)絡(luò)安全事件類別可能具有不同的網(wǎng)絡(luò)安全事件級別(以下簡稱“事件級別”),這不僅取決于表A.1給出了具有不同嚴重級別的網(wǎng)絡(luò)安全事件類的示例。表A.1網(wǎng)絡(luò)安全事件類別和級別的關(guān)聯(lián)關(guān)系示例事件類別事件級別一般事件(四級)較大事件(三級)重大事件(二級)(一級)一次已知的惡意程序事件，被防病毒保護發(fā)現(xiàn)并攔截，沒有導致業(yè)務(wù)損失或?qū)е螺^小的業(yè)務(wù)損失重要信息系統(tǒng)受單次的惡意程序感染，或一般信息系統(tǒng)受惡意程序多次感染，導致較大業(yè)務(wù)損失特別重要信息系統(tǒng)遭受單次惡意程序，或重要信息系統(tǒng)受惡意程序多次感染或嚴重感染，對系統(tǒng)用戶、應用程序造成損害，導致嚴重的業(yè)務(wù)損失特別重要信息系統(tǒng)遭受惡意程序多次感染或嚴重感染，導致特別嚴重的業(yè)務(wù)損失一次嘗試失敗的網(wǎng)絡(luò)攻擊事件，沒有導致業(yè)務(wù)損失或?qū)е螺^小的業(yè)務(wù)損失重要信息系統(tǒng)受到騷擾或少量攻擊，或一般信息系統(tǒng)遭受多次網(wǎng)絡(luò)攻擊，導致較大業(yè)務(wù)損失特別重要的信息系統(tǒng)擊，或重要信息系統(tǒng)受到多次網(wǎng)絡(luò)攻擊，導致嚴重的業(yè)務(wù)損失針對特別重要的信息系統(tǒng)進行持續(xù)、大量、有組織的網(wǎng)絡(luò)攻擊，對系統(tǒng)功能造成損害，導致特別嚴重的業(yè)務(wù)損失一般信息系統(tǒng)少量敏感信息或業(yè)務(wù)數(shù)據(jù)泄制，沒有導致業(yè)務(wù)損失或?qū)е螺^小的業(yè)務(wù)損失重要信息系統(tǒng)少量敏感信息或業(yè)務(wù)數(shù)據(jù)泄露，或一般信息系統(tǒng)大量敏感信息或業(yè)務(wù)數(shù)據(jù)泄露，導致較大的業(yè)務(wù)損失，造成較大的社會危害特別重要信息系統(tǒng)少量敏感信息或業(yè)務(wù)數(shù)據(jù)泄露，或重要信息系統(tǒng)大量敏感信息或重要業(yè)務(wù)數(shù)據(jù)泄露，導致嚴重的業(yè)務(wù)損失，造成重大的社會危害特別重要的信息系統(tǒng)大量敏感信息或業(yè)務(wù)數(shù)據(jù)泄露，導致特別嚴重的業(yè)務(wù)損失，造成特別重大的社會危害信息系統(tǒng)出現(xiàn)輕微有害信息，及時發(fā)現(xiàn)并刪除，沒有造成不良影響或影響較小重要信息系統(tǒng)出現(xiàn)輕微有害信息，或一般信息系統(tǒng)出現(xiàn)嚴重有害信息，經(jīng)有限傳播造成較大的社會危害重要信息系統(tǒng)出現(xiàn)嚴重有害信息，或特別重要信息系統(tǒng)出現(xiàn)輕微泛，造成重大社會危害特別重要的信息系統(tǒng)出現(xiàn)嚴重有害信息，傳播廣泛，造成特別重大的社會危害事件類別事件級別一般事件(四級)較大事件(三級)重大事件(二級)(一級)一般信息系統(tǒng)非主要設(shè)備設(shè)施故障，及時發(fā)現(xiàn)并解決，沒有導致業(yè)務(wù)損失或?qū)е螺^小的業(yè)務(wù)損失重要信息系統(tǒng)非主要設(shè)備設(shè)施故障，或一般信息系統(tǒng)主要設(shè)備設(shè)施故障，故障持續(xù)一段時間，導致系統(tǒng)部分功能停止運行，導致較大的業(yè)務(wù)損失，或造成較大的社會危害重要信息系統(tǒng)主要設(shè)備設(shè)施故障，導致系統(tǒng)大部分或全部功能停止運行，或特別重要信息系統(tǒng)非主要設(shè)備設(shè)施故障，使系統(tǒng)部分功能停止運行，持續(xù)時間較長，導致嚴重的業(yè)務(wù)損失，或造成重大的社會危害特別重要信息系統(tǒng)主要設(shè)備設(shè)施故障，使系統(tǒng)大部分或全部功能停止運行，持續(xù)時間較長，導致特別嚴重的業(yè)務(wù)損失，或造成特別重大的社會危害單次對信息系統(tǒng)的非授權(quán)訪問行為，沒有導致業(yè)務(wù)損失或?qū)е螺^小的業(yè)務(wù)損失單次或多次對信息系統(tǒng)非授權(quán)訪問行為，導致系統(tǒng)功能損害或數(shù)據(jù)泄露，導致較大的業(yè)務(wù)損失單次或多次對重要信息系統(tǒng)非授權(quán)訪問行為，導致系統(tǒng)功能損害或數(shù)據(jù)泄露，導致嚴重的業(yè)務(wù)損失單次或多次對特別重要信息系統(tǒng)非授權(quán)訪問行為，導致系統(tǒng)功能損害或數(shù)據(jù)泄露，導致特別嚴重的業(yè)務(wù)損失一般信息系統(tǒng)存在已知的漏洞隱患，漏洞風險級別較低，及時發(fā)現(xiàn)并修復，沒有造成業(yè)務(wù)損失或造成較小的業(yè)務(wù)損失重要信息系統(tǒng)存在漏洞隱患，漏洞風險級別較低，或一般信息系統(tǒng)存在漏洞隱患，漏洞風險級別較高，處理不當造成較大的業(yè)務(wù)損失特別重要信息系統(tǒng)或重要信息系統(tǒng)存在漏洞隱患，漏洞風險級別較高，處理不當導致嚴重的業(yè)務(wù)損失一般信息系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，及時發(fā)現(xiàn)損失或?qū)е螺^小的業(yè)務(wù)損失重要信息系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，對系統(tǒng)功能造成損害，導致較大的業(yè)務(wù)損失特別重要信息系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，對系統(tǒng)功能造成損害，導致嚴重的業(yè)務(wù)損失——發(fā)生不可抗力事件，及時啟動了備份系統(tǒng)或災備中心，沒有導致業(yè)務(wù)損失或?qū)е螺^小的業(yè)務(wù)損失發(fā)生不可抗力事件，對重要信息系統(tǒng)或一般信息系統(tǒng)導致較大的業(yè)務(wù)損失發(fā)生不可抗力事件，對特別重要信息系統(tǒng)或重要信息系統(tǒng)導致嚴重的業(yè)務(wù)損失發(fā)生不可抗力事件，對特別重要信息系統(tǒng)導致特別嚴重的業(yè)務(wù)損失(規(guī)范性)網(wǎng)絡(luò)安全事件分類代碼B.1編碼方法網(wǎng)絡(luò)安全事件分類代碼(以下簡稱“事件代碼”)是對網(wǎng)絡(luò)安全事件類別(以下簡稱“事件類別”)的編碼，采用層次編碼方法，代碼由5位等長碼構(gòu)成，其中：a)第一層表示網(wǎng)絡(luò)安全事件類(如：網(wǎng)絡(luò)攻擊事件),用兩位阿拉伯數(shù)字(01～99)表示；b)第二層表示網(wǎng)絡(luò)安全事件類下的子類(如：網(wǎng)絡(luò)攻擊事件中的網(wǎng)絡(luò)釣魚),用三位阿拉伯數(shù)字(001～999)表示。編碼結(jié)構(gòu)如圖B.1所示—網(wǎng)絡(luò)安全事件子類-網(wǎng)絡(luò)安全事件類圖B.1網(wǎng)絡(luò)安全事件編碼結(jié)構(gòu)B.2分類代碼表網(wǎng)絡(luò)安全事件分類代碼見表B.1。表B.1網(wǎng)絡(luò)安全事件分類代碼表事件代碼事件類別英文名稱惡意程序事件計算機病毒事件computervirusinciden網(wǎng)絡(luò)蠕蟲事件networkwormincident特洛伊木馬事件僵尸網(wǎng)絡(luò)事件惡意代碼內(nèi)嵌網(wǎng)頁事件maliciouscodeembeddedwebpageincident惡意代碼宿主站點事件maliciouscodehostingsiteincident勒索軟件事件挖礦病毒事件混合攻擊程序事件blendedattackincident其他惡意程序事件othermalwareincidents網(wǎng)絡(luò)攻擊事件事件代碼事件類別英文名稱網(wǎng)絡(luò)掃描探測事件networkscandetectionincident網(wǎng)絡(luò)釣魚事件networkphishingincident漏洞利用事件exploitationofvulnerabilityincident后門利用事件exploitationofbackdoorincident后門植入事件implantationofbackdoorincident憑據(jù)攻擊事件信號干擾事件拒絕服務(wù)事件網(wǎng)頁篡改事件webpagetamperingincident暗鏈植入事件域名劫持事件DNShijackingincident域名轉(zhuǎn)嫁事件DNSredirectionincidentDNScachepoisoningincidentWLANhijackingincident流量劫持事件traffichijackingincidentBGP劫持攻擊事件BGPhijackingattackincident廣播欺詐事件broadcastdeceptionincident失陷主機事件供應鏈攻擊事件supplychainattackinadvancedpersistentthreatincident其他網(wǎng)絡(luò)攻擊事件othernetworkattackincidents數(shù)據(jù)安全事件數(shù)據(jù)篡改事件數(shù)據(jù)假冒事件數(shù)據(jù)泄露事件社會工程事件數(shù)據(jù)竊取事件數(shù)據(jù)攔截事件位置檢測事件positiondetectionincident事件類別英文名稱數(shù)據(jù)投毒事件數(shù)據(jù)濫用事件隱私侵犯事件數(shù)據(jù)損失事件其他數(shù)據(jù)安全事件反動宣傳事件reactionarypropagandai暴恐宣揚事件色情傳播事件pornographydisseminationinci虛假信息傳播事件權(quán)益侵害事件信息濫發(fā)事件網(wǎng)絡(luò)欺詐事件其他信息內(nèi)容安全事件技術(shù)故障事件配套設(shè)施故障事件物理損害事件輻射干擾事件radiationdisturbancei其他設(shè)備設(shè)施故障事件權(quán)限濫用事件權(quán)限偽造事件行為抵賴事件故意違規(guī)操作事件誤操作事件人員可用性破壞事件breachofpersonnelavaila資源未授權(quán)使用事件unauthorizeduseofresou版權(quán)違反事件事件代碼事件類別英文名稱其他違規(guī)操作事件網(wǎng)絡(luò)漏洞事件cybersecurityvulnerability網(wǎng)絡(luò)配置缺陷事件其他安全隱患事件訪問異常事件流量異常事件其他異常行為事件自然災害事件事故災難事件公共衛(wèi)生事件社會安全事件其他不可抗力事件劃和準備指南20985.2—2020信息技術(shù)安全技術(shù)信息安全事件管理第2部分：事件響應規(guī)22239-201929246—201731722—201535561—201738645—2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯信息技術(shù)安全技術(shù)信息安全風險管理突發(fā)事件分類與編碼信息安全技術(shù)網(wǎng)絡(luò)安全事件應急演練指南A暗鏈植入事件……………5.2.2,表B.1安全隱患事件……………5.1,5.2.7,表A.1,表B.1B版權(quán)違反事件……………5.2.6,表B.1暴恐宣揚事件……………5.2.4,表B.1不可抗力事件……………5.1,5.2.9,表A.1,表B.1E惡意程序事件……………5.1,5.2.1,表A.1,表B.1惡意代碼內(nèi)嵌網(wǎng)頁事件………………5.2.1,表B.1惡意代碼宿主站點事件………………5.2.1,表B.1F反動宣傳事件…………………………5.2.4,表B.1訪問異常事件……………5.2.8,表B.1輻射干擾事件……………5.2.5,表B.1G公共衛(wèi)生事件……………5.2.9,表B.1故意違規(guī)操作事件……………………5.2.6,表B.1供應鏈攻擊事件…………………………5.2.2,表B.1廣播欺詐事件……………5.2.2,表B.1H后門利用事件……………5.2.2,表B.1后門植入事件……………5.2.2,表B.1混合攻擊程序事件………………………5.2.1,表B.1J計算機病毒事件…………………………5.2.1,表B.1技術(shù)故障事件……………5.2.5,表B.1僵尸網(wǎng)絡(luò)事件……………5.2.1,表B.1拒絕服務(wù)事件……………5.2.2,表B.1L勒索軟件事件…………………………5.2.1,表B.1流量劫持事件……………5.2.2,表B.1流量異常事件……………5.2.8,表B.1漏洞利用事件……………5.2.2,表B.1P配套設(shè)施故障事件………………………5.2.5,表B.1憑據(jù)攻擊事件……………5.2.2,表B.1Q其他安全隱患事件………………………5.2.7,表B.1其他不可抗力事件………………………5.2.9,表B.1其他惡意程序事件………………………5.2.1,表B.1其他設(shè)備設(shè)施故障事件…………………5.2.5,表B.1其他事件…………………………5.1,5.2.10,表B.1其他數(shù)據(jù)安全事件………………………5.2.3,表B.1其他網(wǎng)絡(luò)攻擊事件………………………5.2.2,表B.1其他違規(guī)操作事件………………………5.2.6,表B.1其他信息內(nèi)容安全事件…………………5.2.4,表B.1其他異常行為事件………………………5.2.8,表B.1權(quán)限濫用事件……………5.2.6,表B.1權(quán)益侵害事件……………5.2.4,表B.1權(quán)限偽造事件……………5.2.6,表B.1R人員可用性破壞事件……………………5.2.6,表B.1S色情傳播事件……………5.2.4,表B.1設(shè)備設(shè)施故障事件…………5.1,5.2.5,表A.1,表B.1社會安全事件……………5.2.9,表B.1社會工程事件……………5.2.3,表B.1事故災難事件……………5.2.9,表B.1失陷主機事件……………5.2.2,表B.1數(shù)據(jù)安全事件………………5.1,5.2.3,表A.1,表B.1數(shù)據(jù)篡改事件……………5.2.3,表B.1數(shù)據(jù)損失事件……………