《GB∕T 20986-2023 信息安全技术网络安全事件分类分级指南.docx》由会员分享,可在线阅读,更多相关《GB∕T 20986-2023 信息安全技术网络安全事件分类分级指南.docx(25页珍藏版)》请在第一文库网上搜索。
1、ICS35.030CCSA90GB中华人民共和国家标准GB/T209862023代替GB/Z209862007信息安全技术网络安全事件分类分级指南Informationsecuritytechno1ogyGuide1inesforcategoryandc1assificationofcybersecurityincidents2023-12-01实施2023-05-23发布国家市场监督管理总局老布国家标准化管理委员会及也目次前言III引言V1范围12规范性引用文件13术语和定义14缩略语25网络安全事件分类25. 1分类方法26. 2事件类别26网络安全事件分级67. 1分级方法66.2 事件
2、级别76.3 事件分级流程8附录A(资料性)网络安全事件类别和级别的关联关系10附录B(规范性)网络安全事件分类代码12参考文献16索引17本文件按照GB/T1.12023标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件代替GB/Z20986-2007信息安全技术信息安全事件分类分级指南,与GB/Z20986-2007相比,除结构调整和编辑性改动外,主要技术变化如下:a)由指导性技术文件GB/Z更改为推荐性国家标准GB/T;b)更改了范围的表述(见第1章,2007年版的第1章);c)在术语和定义”中,更改了信息系统”的定义(见3.1,2007年版的2.1),增加了数据、网络
3、安全、网络安全事件”的定义(见3.13.4);d)更改了缩略语,删除了原缩略语内容(见2007年版的第3章),增加了新的缩略语APT、BGP、DDOS、DNS、IP、W1AN”等(见第4章);e)在“网络安全事件分类”中,更改了分类方法的表述,将网络安全事件的分类由7类增加至10类(见5.1,2007年版的4.1):1)在“恶意程序事件”中增加了恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件”3个事件子类(见5.2.1,2007年版的4.2.1);2)在“网络攻击事件”中增加了后门植入事件、凭据攻击事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、DNS污染事件、劫持事件、流量劫
4、持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件”M个事件子类(见5.2.2,2007年版的4.2.2);3)将“信息破坏事件”名称更改为“数据安全事件,事件子类更改为“数据篡改事件、数据假冒事件、数据泄露事件、数据窃取事件、数据损失事件”,增加了社会工程事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件”6个事件子类(见5.2.3,2007年版的4.2.3);4)在“信息内容安全事件”中,事件子类由4个增加到8个,名称更改为反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内
5、容安全事件”(见5.2.4,2007年版的4,2.4);5)在“设备设施故障事件”中,事件子类由4个增加到5个,名称更改为技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件、其他设备设施故障事件”(见5.2.5,2007年版的4.2.5);6)增加了“违搬作事件”类,包括“权限滥用事件、权限伪造事件、行为抵事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件、其他违规操作事件”9个事件子类(见5.2.6);7)增加了安全隐患事件”类,包括网络漏洞事件、网络配置合规缺陷事件,其他安全隐患事件”3个事件子类(见5.2.7);8)增加了“异常行为事件”类,
6、包括“访问异常事件、流量异常事件和其他异常行为事件”3个事件子类(见5.2.8);9)将“灾害性事件更改为“不可抗力事件”,包括“自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件、其他不可抗力事件”5个事件子类(见5.2.9,2007年版的4.2.6);f)在网络安全事件分级”中,将“信息系统”更改为“事件影响对象”:1)更改了“分级方法的表述(见6.1,2007年版的5.1);2)增加了3个重要等级“事件影响对象”的说明(见6.1.2);3)将系统损失”更改为“业务损失”,其中的系统关键数据更改为重要数据/敏感个人信息”(见6.1.3,2007年版的5.13);4)将社会影响更改为“社
7、会危害”(见6.14,2007年版的5.14);5)更改了“事件级别”的表述(见6.2.16.2.5,2007年版的5.2);6)增加了“事件分级流程”(见6.3);g)为便于信息通报、事件研判等应用,增加了附录B,给出了事件分类代码。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:北京时代新威信息技术有限公司、中国科学院软件研究所、中国长江三峡集团有限公司、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、启明星辰信息技术集团股份有限公司、陕西省网络与信息安全测评中心、
8、北京东方通网信科技有限公司、北京神州绿盟科技有限公司、国网智能电网研究院有限公司、中国软件评测中心、中国信息安全测评中心、公安部第三研究所、国家计算机网络应急技术处理协调中心、南方电网数字电网研究院有限公司、OPPO广东移动通信有限公司。本文件主要起草人:王连强、王新杰、郭启全、黄小苏、杨玉忠、阎若彤、俞政臣、任娟娟、夏雨、任彬、连一峰、张海霞、黄克振、频照、黎奇、梁伟、杨剑、刘书鹏、魏玉峰、崔婷婷、李文瑾、张道娟、李媒尚可、曲洁、郭晶、左晓(东、王健、王小璞、余国平、何余、王元戎、吕明、高琪、朱建兴。本文件及其所代替文件的历次版本发布情况为:2007年首次发布为GB/Z209862007;本
9、次为第一次修订。网络安全事件的防范和处置是国家网络安全保障体系中的重要环节,也是重要的工作内容。网络安全事件的分类分级是快速有效处置网络安全事件的基础之一。本文件编制的目的是:a)利于安全事件数据的收集和分析;b)利于识别安全事件的严重程度;c)促进安全事件信息的交换和共享;d)便于实现安全事件的自动化报告和响应;e)提高安全事件通报和应急处置的效率和效果。在附录A中给出了安全事件分类和安全事件分级的关系。信息安全技术网络安全事件分类分级指南1ISS本文件描述了网络安全事件分类和分级的方法,界定了网络安全事件类别和级别,并明确了网络安全事件分类代码。本文件适用于网络运营者以及相关部门开展网络安
10、全事件研判、信息通报、监测预警和应急处置等活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注口期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T222402023信息安全技术网络安全等级保护定级指南GB/T25069-2023信息安全技术术语3术语和定义GB/T25069-2023界定的以及下列术语和定义适用于本文件。信息系统informationsystem应用、服务、信息技术资产或其他信息处理组件的组合。注:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标
11、和规则进行信息处理或过程控制。来源:GB/T250692023,3.696,有修改数据data任何以电子或者其他方式对信息的记录。Rcybersecurity通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障数据的完整性、保密性、可用性的能力。来源:GB/T222392019,3.1W1cybersecurityincident由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。来源:GB/T386452023,3.
12、1,有修改4缩略语下列缩略语适用于本文件。APT:高级持续性威胁(advancedpersistentthreat)BGP:边界网关协议(bordergatewayprotoco1)DDOS:分布式拒绝f1艮务(distributeddenia1ofservice)DNS:域名系统(domainnamesystem)IP:互联网协议(internetprotoco1)W1AN:无线局域网(WireIeSS1oca1areanetwork)5网络安全事件分类5.1 分类方法综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素,对网络安全事件进行分类,分为恶意程序事件、网络攻击事件、数据安全
13、事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐患事件、异常行为事件、不可抗力事件和其他事件等10类,每类之下再分若干子类。附录B确定了网络安全事件分类代码。5.2 事件类别5.2.1恶意程序事件恶意程序指带有恶意意图所编写的一段程序,该程序插入网络损害网络中的数据、应用程序或操作系统,或影响网络的正常运行。恶意程序事件指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件。恶意程序事件包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件等10个
14、子类,具体如下:a)计算机病毒事件:制造、传播或利用恶意程序,影响计算机使用,破坏计算机功能,毁坏或窃取数据;b)网络蠕虫事件:利用网络缺陷,蓄意制造或通过网络自动复制并传播网络蠕虫;c)特洛伊木马事件:制造、传播或利用具有远程控制功能的恶意程序,实现非法窃取或截获数据;d)僵尸网络事件:利用僵尸工具程序形成僵尸网络;e)恶意代码内战网页事件:在访问被嵌入恶意代码而受到污损的网页时,该恶意代码在访问该网页的计算机系统中安装恶意软件;f)恶意代码宿主站点事件:诱使目标用户到存储恶意代码的宿主站点下载恶意代码;g)勒索软件事件:采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权,并籍此向用户
15、索取赎金;h)挖矿病毒事件:以获得数字加密货币为目的,控制他人的计算机并植入挖矿病毒程序完成大量运算;i)混合攻击程序事件:利用多种方法传播和利用多种恶意程序,例如,一个计算机病毒在侵入计算机系统后在系统中安装木马程序;j)其他恶意程序事件:不在以上子类之中的恶意程序事件。5.2.2网络攻击事件网络攻击事件指通过技术手段对网络实施攻击而导致业务损失或造成社会危害的网络安全事件。网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、DNS污染事件、W1AN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件和其他网络攻击事件等21个子类,具体如下:a)网络扫描探测事件:利用网络扫描软件获取有关网络配置、端口、服务和现有脆弱性等信息;b)网络钓鱼事件:利用欺诈性网络技术诱使用户泄露重要数据或个人信息;c)漏洞利用事件:通过