北京市国家机关信息安全事件定级指南试行doc31.docx
《北京市国家机关信息安全事件定级指南试行doc31.docx》由会员分享,可在线阅读,更多相关《北京市国家机关信息安全事件定级指南试行doc31.docx(24页珍藏版)》请在冰豆网上搜索。
北京市国家机关信息安全事件定级指南试行doc31
北京市国家机关信息安全事件定级指南(试行)(doc31)
目 录
1引言...1
2信息安全事件定义...1
3信息安全事件分级...1
3.1分级参考要素...1
3.2事件的分级描述...1
3.3分级规范...2
4信息安全事件分类...3
4.1分类参考要素...3
4.2分类规范...3
5信息安全事件定级、分类的流程与方法...10
5.1事件定级分类的特点...10
5.2定级流程与方法...10
5.3分类流程与方法...11
附件1:
信息安全事件报告表...14
附件2:
信息安全事件处理结果报告表...15
1引言
为贯彻落实《国家信息化领导小组关于加大信息安全保证工作的意见》(中办发[2003]27号)的要求和2004年1月全国信息安全保证工作会议精神,依据《北京市信息化工作领导小组关于加大信息安全保证工作的实施意见》(京办发[2004]3号)关于进一步完善信息安全政策法规和标准体系的工作部署,市信息办组织制定了《北京市国家机关重大信息安全事件报告制度》(试行),该制度已于2004年8月1日起正式实施。
为配合该制度实施和北京市国家机关信息安全应急响应其他工作的开展,需要对信息安全事件进行科学地定级和分类。
《北京市国家机关信息安全事件定级指南》对信息安全事件定义,信息安全事件分级、分类规范,信息安全事件定级、分类方法及流程等进行了系统的阐述。
本指南适用于事发单位、信息安全治理部门及信息安全事件调查部门对信息安全事件的定级和分类。
2信息安全事件定义
信息安全事件是指对运算机系统或网络系统的可用性、完整性、保密性、真实性、可核查性和可靠性造成危害的事件,或者是在运算机系统或网络系统中发生的对社会造成负面阻碍的其他事件。
信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终缘故。
信息安全事件的客体是指受信息安全事件阻碍或发生信息安全事件的运算机系统或网络系统。
依据运算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
3信息安全事件分级
对信息安全事件分级是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。
本章在明确信息安全事件分级要素的基础上,给出信息安全事件的分级规范。
3.1分级参考要素
信息安全事件分级的参考要素包括信息密级、公众阻碍、业务阻碍和资产缺失等四项。
各参考要素分不讲明如下:
(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素;
(2)公众阻碍是衡量信息安全事件所造成的负面阻碍范畴和程度的要素;
(3)业务阻碍是衡量信息安全事件对事发单位正常业务开展所造成的负面阻碍程度的要素;
(4)资产缺失是衡量复原系统正常运行和排除信息安全事件负面阻碍所需付出资金代价的要素。
3.2事件的分级描述
按照信息安全事件所造成后果的严峻程度,信息安全事件可划分为5个等级。
其中1级危害程度最高,5级危害程度最低。
各级不的信息安全事件具体描述如下:
1级:
本级信息安全事件对运算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的阻碍或破坏,对社会稳固和国家安全产生灾难性的危害;
2级:
本级信息安全事件对运算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严峻的阻碍或破坏,对社会稳固、国家安全造成严峻危害;
3级:
本级信息安全事件对运算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严峻的阻碍或破坏,对社会稳固、国家安全产生一定危害;
4级:
本级信息安全事件对运算机系统或网络系统所承载的业务以及事发单位利益有一定的阻碍或破坏;
5级:
本级信息安全事件对运算机系统或网络系统所承载的业务以及事发单位利益差不多不阻碍或损害极小。
3级和3级以上的信息安全事件称为重大信息安全事件。
3.3分级规范
3.3.1信息密级
综合以上方面,信息密级分级规范如表3-1所示。
表3-1信息密级分级规范
级不
信息密级
1级
2级
3级
明确标注有“隐秘”的信息失窃或泄密
4级
本单位的工作隐秘信息失窃或泄密
5级
本单位敏锐信息或个人隐私信息的失窃或泄密
加密机等保密设备失窃的信息安全事件请参照表3-1中相应密级信息失窃或泄密信息安全事件处理。
3.3.2公众阻碍
依据信息安全事件的公众阻碍,对信息安全事件分级要紧参考信息安全事件负面阻碍的范畴和程度进行划分。
分级结果如表3-2所示。
表3-2公众阻碍分级规范
发生时刻
阻碍范畴和程度
敏锐时期[1]
平常时期[2]
对国家安全造成阻碍的信息安全事件
1~2级
2~3级
对社会稳固造成阻碍的信息安全事件
1~2级
2~3级
对事发单位的正常工作秩序、单位的形象和声誉等造成阻碍的信息安全事件
3~4级
4级
只对事发单位部分人员的正常工作秩序造成阻碍的信息安全事件
4~5级
5级
[1]敏锐时期是指国家或北京市举行重大活动期间、重大节假日期间或重大政治事件、重大历史事件的发生日等专门时期。
[2]平常时期是指除敏锐时期以外的时期。
3.3.3业务阻碍
根据信息安全事件的业务阻碍,对信息安全事件分级要紧涉及信息系统的安全等级和业务中断的时刻两个因素。
那个地点信息系统的安全等级引用《关于本市各级党政机关网络与信息系统开展安全等级爱护工作的通知》和《北京市党政机关网络与信息系统安全定级指南(试行)》中信息系统安全等级的概念。
业务阻碍参考要素分级规范如表3-3所示。
表3-3业务阻碍分级规范
中断时刻
信息
系统安全等级
4小时以内
4小时(含)以上,
8小时以内
8小时(含)以上
5
2~3级
1~2级
1~2级
4
2~3级
1~2级
1~2级
3
3~4级
2~3级
1~2级
2
4~5级
3~4级
3级
1
5级
4~5级
3~4级
3.3.4资产缺失
按照信息安全事件所造成的资产缺失,对信息安全事件的分级结果如表3-4所示。
表3-4资产缺失分级规范
级不
合计资产缺失(人民币)
1级
1000万元(含)以上
2级
300万元(含)~1000万元之间
3级
50万(含)~300万元之间
4级
5万元(含)~50万元之间
5级
5万元以下
4信息安全事件分类
对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的重要依据。
本章在明确信息安全事件分类参考要素的基础上,依据分类参考要素给出信息安全事件的分类规范。
4.1分类参考要素
信息安全事件分类的参考要素包括信息安全事件行为、信息安全事件客体、信息安全事件主体和信息安全事件发生频度等。
4.2分类规范
依据分类参考要素,信息安全事件可分为环境灾难、常规事故、内容专门、网络或系统专门和其他事件等5个第一层分类,在此基础上,信息安全事件又细分成若干个第二层和第三层分类,具体类不参见表4-1。
表4-1信息安全事件分类规范
第一层分类
第二层分类
第三层分类
环境灾难
自然灾难
水灾
地震灾难
地质灾难
气象灾难
自然火灾
其他自然灾难
人为灾难
人为火灾
恐惧突击
战争
其他人为灾难
外围保证设施
故障
电力故障
外围网络故障
其他外围保证设施故障
常规事故
有意事故
硬件窃取
软件窃取
数据窃取
有意破坏硬件设备
有意破坏软件
有意破坏数据
其他有意事故
无意事故
硬件设备遗失
软件遗失
数据遗失
误操作破坏硬件
误操作破坏软件
误操作破坏数据
其他无意事故
软硬件自身故障
软件自身故障
硬件自身故障
内容专门
反动内容
通过邮件传播反动信息
网页被篡改为反动页面
通过网页传播反动信息
通过其他方式传播反动信息
色情内容
通过邮件传播色情信息
网页被篡改为色情页面
通过网页传播色情信息
通过其他方式传播色情信息
敏锐内容
通过邮件传播敏锐信息
通过网页传播敏锐信息
通过其他方式传播敏锐信息
其他专门内容
垃圾邮件
网页被篡改成专门信息
通过网页传播其他专门信息
通过其他方式传播专门信息
网络或系统专门
运算机病毒
传统运算机病毒
邮件病毒
脚本病毒
蠕虫病毒
木马程序
其他运算机病毒
间接攻击
扫描探测
网络监听
口令攻击
网络社交攻击
其他方式间接攻击
直截了当攻击
拒绝服务攻击
后门攻击
漏洞攻击
其他方式直截了当攻击
其他事件
不能归为以上四个第一层分类的信息安全事件
4.2.1环境灾难
环境灾难类不是指对运算机系统或网络系统的自身运行环境或外围保证条件造成阻碍而导致的信息安全事件。
环境灾难类不包括自然灾难、人为灾难和外围保证设施故障等三个第二层分类。
4.2.1.1自然灾难
自然灾难类不是指由于自然灾难对运算机系统或网络系统造成物理破坏而导致的信息安全事件。
自然灾难类不的信息安全事件按照成因的不同又能够分为水灾、地震灾难、地质灾难、气象灾难、自然火灾和其他自然灾难等第三层分类,各第三层分类的描述如表4-2所示。
表4-2自然灾难类不
类不
讲明
水灾
由暴雨、洪涝灾难等自然因素而导致的信息安全事件
地震灾难
由地震而导致的信息安全事件
地质灾难
由地质或建筑设计不合理等因素造成的坍塌事故而导致的信息安全事件
气象灾难
由雷击等气象灾难而导致的信息安全事件
自然火灾
由电力线路老化和易燃易爆物自然氧化等非人为因素引起的火灾而导致的信息安全事件
其他自然灾难
由于除以上五类因素之外的自然灾难因素而导致的信息安全事件
4.2.1.2人为灾难
人为灾难类不是指由于人为因素对事发单位运算机系统或网络系统造成破坏而导致的信息安全事件。
按照成因的不同,人为灾难类不的信息安全事件可分为人为火灾、恐惧突击、战争及其他人为灾难等第三层分类,各第三层分类的描述如表4-3所示。
表4-3人为灾难类不
类不
讲明
人为火灾
人为纵火或人为失火而导致的信息安全事件
恐惧突击
由汽车炸弹、人体炸弹、施放毒气等恐惧活动而导致的信息安全事件
战争
由战争因素而导致的信息安全事件
其他人为灾难
由以上三类因素之外的人为灾难因素而导致的信息安全事件
4.2.1.3外围保证设施故障
外围保证设施故障类不是指由于保证事发单位运算机系统或网络系统正常运行所必须的外部设施显现故障而导致的信息安全事件。
按照成因的不同,外围故障设施类不的信息安全事件可分为电力故障、外围网络故障及其他外围保证设施故障等第三层分类,各第三层分类的描述如表4-4所示。
表4-4外围保证设施故障类不
不
讲明
电力故障
由于供电线路、供电设备显现故障或供电调配的缘故而导致的信息安全事件
外围网络故障
事发单位自身运算机系统和网络系统正常,但由于保证该单位信息系统正常工作的外围网络传输信道显现故障而导致该单位信息系统无法对外正常服务的信息安全事件,例如因施工切断光缆或非法偷盗光缆而导致信息安全事件
其他外围保证
设施故障
事发单位自身运算机系统和网络系统正常,但由于保证该单位信息系统正常工作的除电力系统、外围网络之外的外围保证设施的故障而导致该单位信息系统无法对外正常服务的信息安全事件,如:
DNS服务器、CA服务器等故障
4.2.2常规事故
常规事故类不指因为使用常规手段人为地对硬件、软件、数据造成危害,或者由于软硬件自然故障而导致的信息安全事件。
那个地点的常规手段特指网络技术之外的常规手段。
按照事件行为动机或缘故,常规事件类不能够进一步分为有意事故、无意事故和软硬件故障等三个第二层分类。
4.2.2.1有意事故
有意事故类不是指蓄意对保证运算机系统或网络系统正常运行的硬件、软件及数据等实施窃取、破坏造成的信息安全事件。
按照事件行为的不同,有意事故类不的信息安全事件可分为硬件窃取、软件窃取、数据窃取、有意破坏硬件设备、有意破坏软件、有意破坏数据及其他有意造成的事故等第三层分类,各第三层分类的描述如表4-5所示。
表4-5有意事故类不
类不
讲明
硬件窃取
窃取运算机系统、运算机部件、网络设备、信息安全设备等硬件的信息安全事件
软件窃取
因非法复制软件或窃取软件储备介质等导致的信息安全事件
数据窃取
因非法复制重要数据或窃取重要数据信息储备介质等导致的信息安全事件
有意破坏
硬件设备
蓄意破坏运算机系统、运算机部件、网络设备、信息安全设备等,造成硬件设备物理损坏的信息安全事件
有意破坏软件
通过非法删除、篡改等方式蓄意破坏支撑信息系统正常运行的操作系统、数据库系统、应用业务系统等有关软件系统,导致信息系统无法正常运行的信息安全事件
有意破坏数据
非法删除、篡改信息系统中重要数据,导致信息系统无法正常运行的信息安全事件
其他有意事故
除以上六类情形之外的其他蓄意行为导致的信息安全事件
4.2.2.2无意事故
无意事故类不是指由于遗失、误操作以及其他无意行为造成的,阻碍运算机系统或网络系统正常运行的信息安全事件。
按照事件行为的不同,无意事故类不的信息安全事件可分为硬件设备遗失、软件遗失、数据遗失、误操作破坏硬件、误操作破坏软件、误操作破坏数据及其他无意造成的事故等第三层分类。
各第三层分类的描述如表4-6所示。
表4-6无意事故类不
类不
讲明
硬件设备遗失
与信息系统正常运行和使用有关的运算机系统、运算机部件、网络设备、信息安全设备等硬件丢失的信息安全事件
软件遗失
由于与信息系统正常运行和使用有关的软件遗失而导致的信息安全事件
数据遗失
因信息系统中重要数据信息遗失而导致的信息安全事件
误操作破坏硬件
因误操作造成与信息系统正常运行和使用有关的运算机系统、运算机部件、网络设备、信息安全设备等硬件损坏而导致的信息安全事件
误操作破坏软件
因误操作造成与信息系统正常运行和使用有关的软件系统损坏而导致的信息安全事件
误操作破坏数据
因误操作造成信息系统重要数据信息损坏的信息安全事件
其他无意事故
以上六种情形之外的人为失误而造成的信息安全事件
4.2.2.3软硬件自身故障
软硬件自身故障类不是指因信息系统中硬件设备的自然故障、软硬件设计或者软硬件运行环境发生变化等缘故而导致的信息安全事件。
软硬件自身故障类不分为软件自身故障和硬件自身故障两个第三层分类,各第三层分类描述如表4-7。
表4-7软硬件自身故障类不
类不
讲明
软件自身故障
由于软件设计存在漏洞或软件系统运行环境发生变化等缘故而导致软件运行不正常的信息安全事件
硬件自身故障
由于硬件设计不合理、硬件自然老化失效等缘故引起硬件设备故障而导致信息系统不能正常运行的信息安全事件
4.2.3内容专门
内容专门类不是指因制造、传播专门内容信息而导致的信息安全事件,专门内容信息是指对人们身心健康、事发单位声誉、社会稳固或国家安全等具有负面阻碍的数据信息。
内容专门类不包括反动内容、色情内容、敏锐内容及其他专门内容等第二层分类。
4.2.3.1反动内容
反动内容是指煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;煽动民族仇恨、民族鄙视,破坏民族团结;组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施等损害国家全然利益的信息。
反动内容类不是指通过运算机系统或网络系统传播反动信息的信息安全事件。
按照传播途径的不同,反动内容类不的信息安全事件可分为通过邮件传播反动信息、网页被篡改为反动页面、通过网页传播反动信息或以其他方式传播反动信息等第三层分类,各第三层分类的描述如表4-8所示。
表4-8反动内容类不
类不
讲明
通过邮件传播
反动信息
利用电子邮件传播反动内容的信息安全事件
网页被篡改为
反动页面
XX将网站中的网页更换为攻击者所提供的、包含反动信息的网页的信息安全事件
通过网页传播
反动信息
通过非法架设网站、开启论坛,或利用职务之便在所管辖的服务器上传播反动信息的信息安全事件
通过其他方式传播反动信息
通过除电子邮件、网页以外的其他方式传播反动信息的事件
4.2.3.2色情内容
色情内容类不是指通过运算机系统或网络系统传播色情信息的信息安全事件。
按照传播途径的不同,色情内容类不的信息安全事件可分为通过邮件传播色情信息、网页被篡改为色情页面、通过网页传播色情信息或以其他方式传播色情信息等第三层分类,各第三层分类的描述如表4-9所示。
表4-9色情内容类不
类不
讲明
通过邮件传播
色情信息
利用电子邮件传播色情内容的信息安全事件
网页被篡改为
色情页面
XX将网站中的网页更换为攻击者所提供的、包含色情内容的网页的信息安全事件
通过网页传播
色情信息
通过非法架设网站、开启论坛,或利用职务之便在所管辖的服务器上传播色情信息的信息安全事件
通过其他方式传播色情信息
通过除电子邮件、网页以外的其他方式传播色情信息的事件
4.2.3.3敏锐内容
敏锐信息是指可能引起公众不满情绪的内容信息。
敏锐内容类不是指通过运算机系统或网络系统传播敏锐信息的信息安全事件。
按照传播途径的不同,敏锐内容类不的信息安全事件可分为通过邮件传播敏锐信息、通过网页传播敏锐信息或以其他方式传播敏锐信息等第三层分类,各第三层分类的描述如表4-10所示。
表4-10敏锐内容类不
类不
讲明
通过邮件传播
敏锐信息
利用电子邮件传播敏锐信息的信息安全事件
通过网页传播
敏锐信息
通过非法架设网站、开启论坛,或利用职务之便在所管辖的服务器上传播敏锐信息的信息安全事件
通过其他方式传播敏锐信息
通过除电子邮件、网页以外的其他方式传播敏锐信息的事件
4.2.3.4其他专门内容
其他专门内容类不是指通过运算机系统或网络系统传播除反动信息、色情信息和敏锐信息之外的专门信息的信息安全事件。
按照传播途径的不同,其他专门内容类不的信息安全事件可分为垃圾邮件、网页被篡改为其他专门信息、通过网页传播其他专门信息或以其他方式传播专门信息等第三层分类,各第三层分类的描述如表4-11所示。
表4-11其他专门内容类不
类不
讲明
垃圾邮件
因在互联网上大量复制并发送内容相同、收件人不情愿接收的电子邮件而导致的信息安全事件
网页被篡改成
专门信息
XX将网站中的网页更换为攻击者所提供的、包含除反动信息、色情信息、敏锐信息以外其他专门内容的网页的信息安全事件
通过网页传播其他专门信息
通过非法架设网站、开启论坛,或利用职务之便在所管辖的服务器上传播如赌博、暴力等其他专门信息的信息安全事件
通过其他方式
传播专门信息
以邮件和网页以外的其他方式,传播除反动信息、色情信息、敏锐信息以外的其他专门信息的信息安全事件
4.2.4网络或系统专门
网络或系统专门类不是指通过网络或其他手段,使用暴力攻击或利用运算机系统或网络系统的配置缺陷、协议缺陷、程序缺陷对运算机系统或网络系统实施攻击而导致的信息安全事件。
网络或系统专门类不的信息安全事件可分为运算机病毒、间接攻击和直截了当攻击等三个第二层分类。
4.2.4.1运算机病毒
运算机病毒类不是指蓄意制造、传播运算机病毒或因受到运算机病毒阻碍而导致的信息安全事件。
运算机病毒类不的信息安全事件能够分为传统运算机病毒、邮件病毒、脚本病毒、蠕虫病毒、木马程序和其他运算机病毒等第三层分类,各第三层分类的描述如表4-12所示。
表4-12运算机病毒类不
类不
讲明
传统运算机病毒
由于制造、传播或因受到传统运算机病毒阻碍而导致的信息安全事件,其中传统运算机病毒特指不能通过电子邮件、网站页面等常见互联网服务进行直截了当传播和感染的运算机病毒
邮件病毒
由于制造、传播或因受到邮件病毒阻碍而导致的信息安全事件,其中邮件病毒是指通过电子邮件方式进行传播和感染的运算机病毒
脚本病毒
由于制造、传播或因受到脚本病毒阻碍而导致的信息安全事件,其中脚本病毒是指通过JavaScript、VBScript、ActiveX等网页脚本语言方式进行传播和感染的运算机病毒
蠕虫病毒
由于制造、传播或因受到蠕虫病毒阻碍而导致的信息安全事件,其中蠕虫病毒特指除邮件病毒以外,利用网络系统或运算机系统缺陷,通过网络自动传播的运算机病毒
木马程序
由于制造、传播或因受到木马程序阻碍而导致的信息安全事件
其他运算机病毒
由于制造、传播或因受到不能归为以上类不的运算机病毒阻碍而导致的信息安全事件
4.2.4.2间接攻击
间接攻击类不是指除属常规事故类不和运算机病毒类不以外的,以猎取运算机系统或网络系统配置、账号、口令、服务等重要信息为要紧目的,对运算机系统或网络系统当前运行造成潜在危害的信息安全事件。
按照实施途径的不同,间接攻击类不的信息安全事件可分为扫描探测、网络监听、口令攻击、网络社交攻击和其他方式间接攻击等第三层分类,各第三层分类的描述如表4-13所示。
表4-13间接攻击类不
类不
讲明
扫描探测
通过网络扫描的手段猎取重要信息的信息安全事件
网络监听
通过监听的手段猎取重要信息的信息安全事件
口令攻击
利用口令攻击软件或程序,通过暴力推测口令的方式猎取口令信息的信息安全事件
网络社交攻击
因在网络谈天室、网络虚拟社区、电子论坛等互联网虚拟场所骗取重要信息而导致的信息安全事件
其他方式间接攻击
通过其他方式非法猎取重要信息的信息安全事件
4.2.4.3直截了当攻击
直截了当攻击是指除属运算机病毒类不以外的,通过网络或其他途径,利用运算机系统或网络系统的配置缺陷、协议缺陷、程序缺陷或使用暴力对运算机系统或网络系统实施攻击,并造成运算机系统或网络系统专门的信息安全事件。
按照实施途径的不同,直截了当攻击类不的信息安全事件可分为拒绝服务攻击、后门攻击、漏洞攻击及其他方式恶意攻击等第三层分类,各第三层分类的描述如表4-14所示。
表4-14直截了当攻击类不
类不
讲明
拒绝服务攻击
利用运算机系统或网络系统缺陷、或通过暴力的手段,以大量消耗运算机系统或网络系统的CPU、内存、磁盘空间或网络带宽等资源为目标的信息安全事件
后门攻击
利用软件系统、硬件系统设计过程中留下的后门而对信息系统实施攻击的信息安全事件
漏洞攻击
除拒绝服务攻击、后门攻击之外的,利用运算机系统或网络系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击而导致的信息安全事件
其他方式
直截了当攻击
利用其他方式对运算机系统和网络系统实施直截了当攻击的信息安全事件
4.2.5其他事件
其他事件类不是指不能归为以上四个第一层分类的信息安全事件。
5信息安全事件定级、分类的流程与方法
在给出信息安全事件定义、信息
升级会员 