信息安全事态事件法律法规方面脆弱性报告及表单分类分级方法示例
(完整word版)信息资产威胁和脆弱性对应表
轻微受电压波动影响,易造成严重损失
易受电压波动影响,不易造成严重损失
14
静电
位于易产生静电环境,资产易受静电破坏
位于易产生静电环境,资产不易受静电破坏
位于不易产生静电环境,资产易受静电破坏
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
软件无合法数据验证机制
48
提供给操作人员错误的指南信息
文件匮乏
文档管理混乱
49
软件维护失误
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
无软件更新控制
50
硬件的操作失误
工作人员操作不熟练
设备易损坏
无硬件访问控制
缺乏物理安全措施
51
存储介质的故障
工作人员注重个人利益
工作人员无法律ቤተ መጻሕፍቲ ባይዱ识
工作人员法律意识弱
无数据访问控制
无硬件访问控制
40
内部人员身份假冒
工作人员无法律意识
工作人员弱法律意识
弱密码管理
不易辨认身份的真伪
41
内部人员出卖个人信息
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
数据中心无物理安全措施
数据中心弱物理安全措施
无劳工协议,竞业禁止等保密要求
不易辨认身份的真伪
信息不易辨认真伪
无逻辑访问控制
30
系统篡改
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
操作系统存在漏洞
应用软件存在漏洞
信息技术安全事件分类与等级划分
附件 1信息技术安全事件分类与等级划分《信息安全事件分类分级指南》(GB/Z 20986-2007)根据信息技术安全事件的起因、表现、结果等,将信息技术安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件和其他信息安全事件6个基本分类,每个基本分类分别包括若干个子类;根据信息系统重要程度、系统损失和社会影响,将信息技术安全事件划分为4个等级。
一、信息技术安全事件分类1.有害程序事件有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。
有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类。
2.网络攻击事件网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类。
3.信息破坏事件信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类。
4.设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类。
5.灾害性事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
信息安全脆弱性评估方法
信息安全脆弱性评估方法信息安全是当今社会中的一个重要问题,随着技术的不断进步和信息化的快速发展,越来越多的安全脆弱性问题暴露出来。
为了保障信息系统的安全性和可靠性,需要进行脆弱性评估。
本文将介绍几种常见的信息安全脆弱性评估方法。
一、漏洞扫描漏洞扫描是通过自动化软件工具对计算机系统或网络进行扫描,以发现其中的安全漏洞。
该方法适用于大规模系统和网络的脆弱性评估,能够快速发现系统中存在的常见漏洞。
漏洞扫描工具通常基于先进的漏洞数据库,可以进行全面的端口扫描、配置错误扫描、弱口令扫描等,发现并报告系统中存在的脆弱性问题。
二、渗透测试渗透测试是指通过模拟黑客攻击手法,对信息系统进行主动探测,以评估系统的安全性。
渗透测试可以模拟各种攻击场景,包括外部攻击、内部攻击等,对系统进行全面的安全性评估。
利用渗透测试,可以发现系统中存在的未授权访问、缓冲区溢出、代码注入等脆弱性问题,并提供相应的修补建议。
三、安全代码审计安全代码审计是通过对软件源代码进行分析与检查,发现其中存在的安全漏洞和脆弱性问题。
安全代码审计需要深入了解软件的设计与实现,发现其中潜在的安全风险。
通过静态分析、动态分析和测试用例编写等手段,可以找出代码中的安全漏洞,如输入验证不充分、SQL注入、跨站脚本等问题。
四、安全评估框架安全评估框架是对信息系统进行综合评估的方法,包括风险评估、安全需求评估、安全架构评估等。
安全评估框架将信息安全问题视为一个整体,对系统的各个方面进行评估和分析,为系统提供全面的安全性建议。
安全评估框架通常包括需求分析、威胁建模、系统漏洞分析和安全风险评估等环节,能够为系统的安全性提供高水平的保障。
综上所述,信息安全脆弱性评估是确保信息系统安全的重要环节。
通过漏洞扫描、渗透测试、安全代码审计和安全评估框架等方法,可以全面评估系统的安全性,发现并修补系统中的脆弱性问题,提高信息系统的安全性和可靠性。
只有不断加强对信息安全脆弱性的评估工作,才能更好地保护个人隐私和企业数据的安全。
(单位)信息系统脆弱性评估报告-
系统物理安全漏洞
评估发现,组织的信息系统物理安全防护存在一些关键漏洞。这些隐患可能被恶意分子利用,对系统和数据造成直接威胁。我们将重点分析这些物理安全方面的隐患,并提出切实可行的加固措施。
风险等级划分
针对前述发现的各类系统安全隐患,我们采用风险评估矩阵对其进行了严格的等级划分。根据漏洞的严重程度和发生概率,将其划分为高、中、低三个风险等级,以便制定针对性的修复策略。
为确保评估报告内容的隐私性和安全性,我们将严格按照组织制定的保密规定进行管理。报告涉及的敏感信息只能由授权人员查阅,不得擅自外泄。报告电子文件需采取加密等安全措施进行储存和传输,纸质报告则需置于专用保密柜中。同时建立完善的权限审核和日志记录机制,对访问行为进行全程监控。
评估报告附件清单
为确保评估报告信息完整,我们将附加相关的支持文件,包括关键系统配置信息、漏洞检测报告、风险评估分析、整改建议明细等。这些附件可为报告的理解和实施提供详尽的依据和参考。
低风险漏洞分析
除了高风险和中风险漏洞,评估过程中还发现了一些相对较低风险的系统安全隐患。这些问题虽然不会直接造成严重后果,但如果长期存在,仍可能被黑客利用来渗透系统或窃取数据。我们将重点分析这些低风险漏洞,制定适当的修复计划,确保组织整体信息安全水平的提升。
漏洞修复建议
基于对各类系统漏洞的深入分析,我们针对每一类漏洞都制定了切实可行的修复建议。这些措施涉及系统配置优化、软件补丁更新、权限管理加强、密码策略完善等多个层面,全面提升组织的整体信息安全防护水平。
系统权限漏洞
评估发现,部分系统的权限管理存在严重漏洞,关键用户账号和特权权限没有得到有效控制。这些权限缺陷可能被黑客利用来提升权限,从而访问敏感信息或破坏系统运行。我们将深入分析这些权限安全隐患并提出改进建议。
学院信息系统安全事件分类分级
学院信息系统安全事件分类分级一、事件分类信息系统安全事件分为有害程序事件、网络攻击事件、信息破事件、信息内容安全事件、设备设施故障和祸患性事件等。
1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3.信息破事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破事件。
4.信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽集会游行或炒作敏感问题并危害、社会、学校稳定和公众利益的事件。
5.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破事故和其他设备设施故障。
6.祸患性事件是指由自然祸患等其他突发事件导致的信息系统安全事件。
二、事件分级信息系统安全事件的分级:学校信息安全事件分为四级:I级(特别重大的信息系统安全事件)、II级(重大信息系统安全事件)、III级(较大信息系统安全事件)、IV级(一般信息系统安全事件)。
(一)符合下列情形之一的,为特别重大信息系统安全事件(I级):1.校园网瘫痪;2.信息系统中的数据丢失或被窃取、篡改、假冒,对社会或校园安全和稳定构成特别严重威胁;3.其他对社会或校园安全、秩序、利益构成特别严重威胁、造成特别严重影响的信息系统安全事件。
(二)符合下列情形之一且未达到特别重大信息系统安全事件(I级)的,为重大信息系统安全事件(II级):1.校园网大部分中断;2.信息系统中的数据丢失或被窃取、篡改、假冒,对社会或校园安全和稳定构成严重威胁;3.其他对社会或校园安全、秩序、利益构成严重威胁、造成严重影响的信息系统安全事件。
(三)符合下列情形之一且未达到重大信息系统安全事件(II级)的,为较大信息系统安全事件(III级):1.校园网局部中断;2.信息系统中的数据丢失或被窃取、篡改、假冒,对社会或校园安全和社会稳定构成较严重威胁;3.其他对社会或校园安全、秩序、利益构成较严重威胁、造成较严重影响的信息系统安全事件。
信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》
服务器脆弱性识别表格依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。
项目子项内容是否符合备注安全功能身份鉴别a) 按GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能:——凡需进入操作系统的用户,应先进行标识(建立账号);——操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID 等之间的一致性;b) 按GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能:——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别,并在每次用户登录系统时进行鉴别;——鉴别信息应是不可见的,在存储和传输时应按GB/T 20271-2006 中6.3.3.8 的要求,用加密方法进行安全保护;——过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。
c) 对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能:——将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;——将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。
自主访问控制a) 允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问。
b) 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地具有该主体的默认值;c) 有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户。
对系统中的每一个客体,都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限,而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予;d) 自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承担明确的责任;e) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体;f) 定义访问控制属性,并保护这些属性。
信息系统脆弱性评估报告
信息系统脆弱性评估报告密级: 内部文档编号:2007002-010:2007002 项目编号XX市地税局信息系统脆弱性评估报告XX 市地税局信息系统脆弱性评估报告目录1 概述...................................................................... ..................................... 32 风险值分布 ..................................................................... ........................... 4 2.1 主机资产 ..................................................................... .......................................... 4 2.1.1 工具评估分析布情况 ..................................................................... .................... 4 2.1.2 人工评估 ..................................................................... .................................... 39 2.1.3 渗透测试 ..................................................................... .................................... 64 2.1.4 管理评估 ..................................................................... .................................... 65 2.1.5 主机资产最终风险值 ..................................................................... .................. 66 2.2 网络资产 ..................................................................... ........................................ 67 2.2.1 工具评估 ..................................................................... .................................... 67 2.2.2 人工评估 ..................................................................... .................................... 68 2.2.3 管理评估 ..................................................................... .................................... 70 2.2.4 网络设备最终风险值 ..................................................................... .................. 70 2.3 安全资产 ..................................................................... ........................................ 71 2.3.1 管理评估 ..................................................................... .................................... 71 2.3.2 安全资产最终风险值 ..................................................................... .................. 71 2.4 存储资产 ..................................................................... ........................................ 72 2.4.1 管理评估 ..................................................................... .................................... 72 2.4.2 存储资产最终风险值 ..................................................................... .................. 73 2.5 数据资产 ..................................................................... ........................................ 73 2.5.1 工具评估 ..................................................................... (73)第 1 页共79页XX 市地税局信息系统脆弱性评估报告2.5.2 管理评估 ..................................................................... .................................... 74 2.5.3 数据资产最终风险值 ..................................................................... .................. 75 2.6 保障资产 ..................................................................... ........................................ 75 2.6.1 管理评估 ..................................................................... .................................... 75 2.6.2 保障资产最终风险值 ..................................................................... .................. 76 2.7 线路资产 ..................................................................... ........................................ 76 2.7.1 管理评估 ..................................................................... .................................... 76 2.7.2 线路资产最终风险值 ..................................................................... (77)第 2 页共79页XX 市地税局信息系统脆弱性评估报告1 概述根据《XX省人民政府信息化工作办公室关于印发<信息安全风险评估试点工作实施方案>的通知》文件精神~XX省信息安全测评中心承担了XX市地税局‚征管信息系统?的风险评估工作。
信息安全风险评估脆弱性识别路由器脆弱性表格GBT18018
审计---潜在侵害分析
路由器应能监控可审计行为,并指出潜在的侵害。路由器应在检测到可能有安全侵害发生时做出响应,如:通知管理员,向管理员提供一组遏制侵害的或采取矫正的行动。
简单网络管理协议的保护
路由器应支持SNMP V3。路由器可通过设置SNMP Community参数,采用访问控制列表(ACL)保护SNMP访问权限。路由器应支持对SNMP访问的认证功能,能够监测并阻断对管理信息模块(MIB)的非授权访问,能够防范对于SNMP的拒绝服务攻击。SNMP认证失败时,路由器应向陷阱消息接收工作站发送认证失败消息。
c)开发者应提供路由器安全功能的低层设计。低层设计应以模块术语描述安全功能,并描述每一个模块的目的、接口和相互间的关系。低层设计还应描述如何将路由器中有助于增强安全策略的模块分离出来;
身份鉴别---登录历史
路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别入侵的企
图。成功通过鉴别并登录系统后,路由器应显示如下数据:
——日期、时间、来源和上次成功登录系统的情况;
——上次成功登录系统以来身份鉴别失败的情况;
——口令距失效日期的天数。
数据保护
路由器应具有数据完整性功能,对系统中的信息采取有效措施,防止其遭受非授权人员的修改、破坏和删除。
b)与一般的安装和配置有关的功能的管理;
c)路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。
审计---审计数据生成
路由器应具有审计功能,至少能够审计以下行为:
(2021年整理)信息安全的信息资产、威胁与脆弱性分类
信息安全的信息资产、威胁与脆弱性分类
编辑整理:
尊敬的读者朋友们:
这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望(信息安全的信息资产、威胁与脆弱性分类)的内容能够给您的工作和学习带来便利。
同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。
本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为信息安全的信息资产、威胁与脆弱性分类的全部内容。
信息安全的信息资产、威胁与脆弱性分类A.1 信息资产的分类
信息资产分类见表E.1.
表E.1 信息资产分类
A.2 威胁的分类
威胁分类见表E。
2。
表E.2 威胁分类
A.3 脆弱性的分类
脆弱性分类见表E.3.
表E.3 脆弱性分类。
信息安全事件分类分级与应急处理 ppt课件
9 安徽省卫生厅信息中心
信息安全事件分有类害程序事件
• 有害程序事件包括:
➢计算机病毒事件 ➢蠕虫事件 ➢特洛伊木马事件 ➢僵尸网络事件 ➢混合攻击程序事件 ➢网页内嵌恶意代码事件 ➢其他有害程序事件
10 安徽省卫生厅信息中心
务 器,等。
45 安徽省卫生厅信息中心
信息安全事件应急处理
• 外围保障设施故障的防范: ➢电力故障:双路市电接入(不同变电所) ➢外围网络故障:双线路接入(不同运营商) ➢空调故障:双精密空调或者双工业空调
46 安徽省卫生厅信息中心
信息安全事件应急处理
• 灾害性事件的防范: 火灾:火灾自动报警器(与大楼报警联动)、 火 灾探测器(烟感、温感)、气体灭火系统 水灾:防水处理(防水坝、漏水报警感应线等) 雷击:防雷接地系统
有害程序事件 网络攻击事件 信息破坏事件 信息内容安全事件 设备设施故障 灾害性事件 其他信息安全事件
8 安徽省卫生厅信息中心
信息安全事件分有类害程序事件
• 有害程序是指插入到信息系统中的一段程序, 有害程序危害系统中数据、应用程序或操作系 统的保密性、完整性或可用性,或影响信息系 统的正常运行。
34
信息安全事件分级分级考虑要
素
• 一般的社会影响波及到一个地市的部分地区,对 国家安全、社会秩序、经济建设和公众利益基本 没有影响,但对个别公民或其它组织的利益会造 成影响。
35
信息安全事件分级
➢特别重大事件 ➢重大事件 ➢较大事件 ➢一般事件。
36
信息安全事件分级
• 特别重大事件(I级) 特别重大事件是指能够导 致特别严重影响或 破坏的信息安全事件,包括以下情况:
网络安全事件通报内容、报告及分级示例说明
GA/T XXXX.2—XXXX
附录A
(规范性附录)
网络安全事件通报内容、报告及分级示例说明
A.1 网络安全事件通报内容
网络安全事件通报内容见表A.1。
表A.1 网络安全事件通报内容
7
GA/T XXXX.2—XXXX
A.2 网络安全事件分析报告
网络安全事件分析报告内容见表A.2。
表A.2 网络安全事件分析报告
A.3 网络安全事件总结报告
网络安全事件总结报告内容见表A.3。
表A.3 网络安全事件总结报告
8
GA/T XXXX.2—XXXX A.4 网络安全事件通报分级示例
某连锁酒店企业存在安全漏洞,造成5亿条公民个人信息泄露事件,涉及旗下多个酒店品牌,全国范围受到影响。
此次网络安全事件通报分级情况如下:
a)此单位属于国内酒店集团规模排行第三的企业,且用户量超过亿级,根据4.1.2规定,应划分
为“特别重要的保护对象”;
b)此次事件造成5亿条个人信息泄露,涉及全国范围,根据4.1.2规定,应划分为“特别严重的损
害”。
根据以上分析结果,通过“网络安全事件通报级别表”判定此次网络安全事件的通报级别为“Ⅰ级事件通报”。
9。
医院信息网络突发事件脆弱性分析报告
医院信息网络突发事件脆弱性分析报告信息网络突发事件是指医院由于停电、交换器故障、服务器故障或线路问题引起的全院计算机数据丢失,录入障碍等事件。
(一)主要危害1、网络瘫痪或数据丢失会给医院和病人带来难以弥补的损失。
2、给医院造成患者拥堵,就诊缓慢、延误治疗等损失。
(二)我院脆弱环节随着电子病历的实行,我院目前在全院临床科室实施了电子病历、电子医嘱,医院全部住院病人的住院信息都在电脑中,如果计算机网络发生突发事件很有可能导致患者信息外泄,计费发生障碍。
(三)预防与控制1、加强医院网络的监管,安装正版杀毒软件,定期升级。
2、经常更新备份,安装应急电源。
3、认真学习《大理州人民医院网络应急预案》。
八、电梯意外事件电梯意外事件是指电梯因钢绳断裂、门系统、蹲底或冲顶等引发的人员伤亡意外事件。
(一)我院脆弱环节1、综合楼(老外科楼)电梯使用年限较长,易出现安全问题。
2、部分电梯运转时间长。
3、探视人较多,易发生超载现象。
(二)预防与控制1、加强维保与日常维修。
2、加强安全知识宣教。
九、大风意外事件大风可折毁树枝,掀起屋瓦,使建筑物遭受破坏,有时还会吹掉广告牌、标识牌、雨篷等,引发人员安全问题,造成财产损失。
(一)我院脆弱环节1、外妇儿大楼门诊大厅外风比较大,容易出现安全问题。
2、医疗区标识牌较多,有的地方搭有雨篷,风大容易出现安全隐患。
3、有的门窗、墙体老化也会引发安全隐患。
(二)预防与控制1、室外搭建物,如雨篷、标识牌等要建牢固,要经常进行检查、维修、更换。
2、房屋的门窗、墙体要常检查、维修,更换。
(如:为了预防我院门诊外妇儿科大楼一、二层外墙凸包石的脱落,造成人身和财产损害的安全隐患,我院已经进行了更换)3、加强安全知识宣传。
信息安全的信息资产威胁与脆弱性分类
补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统软件安全漏洞、软件安全功能管理等
数据库
补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等
应用系统
审计机制、审计存储、访问控制策略、数据完整性、通讯、鉴别机制、密码保护等
操作失误
应该执行而没有执行相应的操作,或无意执行了错误的操作
维护错误、操作失误、提供错误的指南或操作信息等
种类
描述
威胁子类
管理不到位
安全管理无法落实或不到位,从而破坏信息系统正常有序运行
管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等
恶意代码
故意在计算机系统上执行恶意
任务的程序代码
表e2种类描述对业务实施或系统运行产生影威胁分类威胁子类设备硬件故障传输设备故障存储媒体故障系统软件故障应用软件故障数据库软件故障开发环境故障等断电静电灰尘潮湿温度洪灾火灾地震暴风雨潮汐污染空调设备故障鼠蚁虫害电磁干扰等维护错误操作失误提供错误的指南或操作信息等软硬件故障响的设备硬件故障通讯链路中断系统本身或软件缺陷等问题对信息系统正常运行造成影响的物理环境问题和自然灾害应该执行而没有执行相应的操作或无意执行了错误的操作物理环境影响操作失误种类管理不到位描述安全管理无法落实或不到位从而破坏信息系统正常有序运行故意在计算机系统上执行恶意任务的程序代码通过采用一些措施超越自己的威胁子类管理制度和策略不完善管理规程缺失职责不明确监督控管机制不健全等病毒特洛伊木马蠕虫陷门间谍软件窃听软件携带恶意软件的垃圾邮件流氓安全软件即时消息垃圾邮件等非授权访问网络资源非授权访问系统资源滥用权限非正常修改系统配置或数据滥用权限泄露秘密信息非授权使用存储介质等网络探测和信息采集漏洞探测嗅探账号口令恶意代码越权或滥用权限访问了本来无权访问的资源或者滥用自己的权限做出破坏信息系统的行为网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵权限等用户身份伪造和欺骗用户或业务数据的窃取和破坏系统运行的控制和破坏拒绝服务攻击僵尸网络隐蔽式下载名誉劫持网络黑客的入侵物理攻击泄密通过物理的接触造成对软件硬件数据的破坏信息泄露给不应了解的他人非法修改信息破坏信息的完整物理接触物理破坏盗窃勒索罢工内部员工蓄意破坏等内部信息泄露外部信息泄露等篡改网络配置信息篡改系统配置信息篡改安全配置信息篡改用户身份信息或业务数据信息等篡改性使系统的安全性降低或信息不可用抵赖不承认收到的信息和所作的操作和交易原发抵赖接受抵赖第三方抵赖等a3脆弱性的分类脆弱性分类见表e3
信息安全事件分类和事件分级的关系
信息安全事件类别和严重级别往往是关联的。一个信息安全事件类别可能具有不同的严重级别,这不仅取决于业务,还取决于信息安全事件的性质,例如,故意性、目标性、时机、量级。
表A.1提供了具有不同严重级别的信息安全事件类别的示例。
表A.1事件类别与严重级别示例
事件类别
严重级别
一般事件
(Ⅳ级)
重要信息系统非主要设备设施故障,或一般信息系统主要设备设施故障,故障持续一段时间,导致系统部分功能停止运行,导致较大的系统损失,或造成较大的社会影响
重要信息系统主要设备设施故障,导致系统大部分或全部功能停止运行,或特别重要信息系统非主要设备设施故障,导致系统部分功能停止运行,持续时间较长,导致严重的系统损失,或造成重大的社会影响
较大事件
(Ⅲ级)
重大事件
(Ⅱ级)
特别重大事件
(Ⅰ级)
有害程序事件
一次已知的有害程序事件,被防病毒保护发现并拦截,没有造成系统损失或造成较小的系统损失
重要信息系统受单次的有害程序感染,或一般信息系统受有害程序多次感染,造成较大系统损失
特别重要信息系统遭受单次有害程序,或重要信息系统受有害程序多次感染或严重感染,对系统用户、应用程序造成损害,导致严重的系统损失
针对特别重要的信息系统进行持续、大量的、有组织的网络攻击事件,对系统功能造成损害,或导致系统服务停止,导致了特别严重的系统损失
数据攻击事件
一般信息系统少量敏感信息或业务数据泄漏,及时发现并控制,没有造成系统损失或造成较小 Nhomakorabea系统损失
重要信息系统少量敏感信息或业务数据泄漏,或一般信息系统大量敏感信息或业务数据泄漏,导致较大的系统损失,造成较大的社会影响
特别重要信息系统遭受有害程序多次感染或大量感染,造成特别严重的系统损失
信息安全技术 信息安全事件分类分级指南
信息安全技术信息安全事件分类分级指南信息安全技术信息安全事件分类分级指南
一、事件分级
网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件:
①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附录 A(资料性附录)法律法规方面信息安全事件管理策略和相关方案中宜关注信息安全事件管理的如下法律法规方面。
a)提供足够的数据保护和个人信息的隐私保护。
在那些有特定法律涵盖数据保密性和完整性的国家中,对于个人数据的控制常常受到限制。
由于信息安全事件通常需要归因到个人,个人特性的信息可能因此需要被相应地记录和管理。
因此,结构化的信息安全事件管理方法需要考虑适当的隐私保护。
这可能包括以下方面:1)如果实际情况可行,访问被调查人的个人数据的人员不宜与其存在私交;2)在允许访问个人数据之前,宜签署保密协议;3)信息宜仅用于其被获取的明示目的,即信息安全事件调查。
b)维护适当的记录保存。
一些国家的法律,要求公司维护其活动的适当记录,在每年组织的审计过程中进行审查。
政府机构也有类似的要求。
在某些国家,要求组织报告或生成执法用的档案(例如,当涉及到对政府敏感系统的严重犯罪或渗透时)。
c)控制措施到位以确保实现商业合同义务。
当对信息安全事件管理服务提出要求时,例如,满足所需的响应时间,组织宜确保提供适当的信息安全来保证在任何情况下满足这种义务要求。
与此相关,如果组织寻求外部方支持并签署合同,例如外部IRT,那么宜确保在与外部方签署的合同中涵盖了所有要求,包括响应时间;d)处理与策略和规程相关的法律问题。
与信息安全事件管理方案相关的策略和规程宜就潜在的法律法规问题得到检查,例如,是否有关于对那些引起信息安全事件的事项采取惩戒和(或)法律诉讼的声明。
在一些国家,解雇人员并不是一件容易的事情;e)检查免责声明的法律效力。
信息事件管理团队和任何外部支持人员所采取行动的免责声明的法律效力宜得到检查。
f)与外部支持人员的合同涵盖所有要求的方面。
与任何外部支持人员的合同,例如来自外部IRT 人员,在免除责任、保密、服务可用性和错误建议的影响方面宜得到彻底检查。
g)保密协议可强制执行。
信息安全事件管理团队成员在入职和离职时,可被要求签署保密协议。
在一些国家,已签署的保密协议可能在法律上无效,宜对此予以核实。
h)满足执法的要求。
执法机构可能会合法地请求来自信息安全事件管理方案的信息,与其相关的问题需要澄清。
可能的情况是,宜明确按照法律规定的最低水平要求,来记录事件和保持记录存档的时长。
i)明确责任。
需要明确潜在的责任和所需的相关控制措施是否到位。
可能具有相关责任问题的事态示例如下:1)如果一个事件可能影响到其他组织(例如,披露共享信息,但没有及时通知,导致其他组织受到不利影响);2)如果在产品中发现新的脆弱性,但供应商未得到通知,随后发生了重大相关事件,给一个或多个其它组织带来重大影响;3)没有编制报告,但在某些国家,在涉及到对政府敏感系统或关键国家基础设施组成部分的严重犯罪或渗透时,要求组织报告或生成执法用的档案;这可能会损害涉案个人或组披露的信息似乎表明某人或组织可能被卷入了攻击。
4) 织的声誉和业务;披露的信息表明可能是特定软件的问题,但后来发现并非如此。
5)当有具体法规要求时,宜将事件报告给指定机构,例如,在许满足具体法规要求。
j)多国家对核电工业、电信公司和互联网服务提供商那样的要求。
能够成功起诉或执行内部纪律规程。
适当的信息安全控制措施宜到位,包括可证明k)防篡改的审计跟踪,以此能够成功地对“攻击者”起诉或执行内部纪律规程,无论攻击是技术的还是物理的。
为支持这项工作,需要以在适当的国家法院或其他纪律论坛上可接受的方式收集证据。
从而可以表明:1)记录是完整的且没有以任何方式被篡改;2)电子证据副本可证明与原件相同;3)任何收集证据的IT系统在证据被收集时是正常运行的。
l)与监控技术相关的法律问题得到解决。
在有关国家立法的语境下,使用监控技术的影响需要解决。
各种技术的合法性随着国家不同而不同。
例如,在一些国家,有必要让人们意识到在发生监控活动,包括通过监视技术。
需要考虑的因素包括谁/什么正在被监控,它们/它如何被监控,以及监控什么时候正在发生。
还宜指出,在IDS语境下的监控/监视在ISO/IEC 27039中做了具体讨论。
m)可接受的使用策略得到定义和沟通。
可接受的实践/使用宜得到定义,形成文件,并与所有预期用户沟通。
例如,当加入一个组织或获得信息系统的访问权限时,宜告知用户可接受的使用策略,并要求提供书面确认,以表明他们理解和接受这一策略。
A A附录 B(资料性附录)信息安全事态、事件和脆弱性报告及表单示例B.1 概述附录B包含信息安全事态、事件和脆弱性的记录事项及其报告表单示例。
需要强调的是,这些仅是示例。
还有其他例子,诸如事件对象描述和交换格式(IODEF)标准中的模式。
B.2 记录事项示例信息安全事态记录事项示例包括信息安全事态的基本信息,诸如事态何时发生、发生了什么、如何发生的和为什么发生,以及报告人的联系信息。
—基本信息—事态日期—事态编号—相关事态和(或)事件编号(适用时)—报告人详情—姓名—联系方式,诸如地址、单位、部门、电话和电子邮箱—事态描述—发生了什么—如何发生的—为什么发生—对受影响组件或资产的初步意见—对业务的不利影响—识别的任何脆弱性—事态详情—事态发生的日期和时间—事态被发现的日期和时间—事态被报告的日期和时间信息安全事件记录事项示例包括信息安全事件的基本信息,诸如事件何时发生、发生了什么、如何发生的和为什么发生,以及事件类别、影响和事件响应结果。
—基本信息—事件日期—事件编号—相关事态和(或)事件编号(适用时)—报告人详情姓名—.—联系信息,诸如地址、单位、部门、电话和电子邮箱—联络点(PoC)成员详情—姓名—联系信息,诸如地址、单位、部门、电话和电子邮箱— IRT成员详情—姓名—联系信息,诸如地址、单位、部门、电话和电子邮箱—事件描述—发生了什么—如何发生的—为什么发生—对受影响组件或资产的初步意见—对业务的不利影响—识别的任何脆弱性—事件详情—事件发生的日期和时间—事件被发现的日期和时间—事件被报告的日期和时间—事件类别—受影响的组件或资产—事件对业务的不利影响—从事件中恢复的总成本—事件解决方案—涉及的人员或作案者(如果事件是由人引起的)—作案者描述—实际或感知的动机—解决事件所采取的行动—解决事件所计划的行动—未完成的行动—结论—被告知的内部人员/实体—被告知的外部人员/实体信息安全脆弱性记录事项示例包括信息安全脆弱性的基本信息,诸如脆弱性何时被识别、识别的是什么和如何被识别的,以及潜在影响和解决方案。
—基本信息—脆弱性被识别的日期—脆弱性编号—报告人详情—姓名—联系信息,诸如地址、单位、部门、电话和电子邮箱—脆弱性描述脆弱性解决方案—.B.3 表单使用方法日期和时间格式日期输入格式宜为CCYY-MM-DD(和HH-MM-SS,需要时)。
多个事件可能跨时区发生,如果这些事件相关,宜使用UTC时间(或至少说明所使用时间的UTC时差),以便进行比较(见ISO 8601)。
完成说明信息安全事态和事件报告表单旨在向适当人员提供有关信息安全事态和事件(如果信息安全事态被确定为事件)的信息。
如果怀疑信息安全事态正在发生或可能已经发生,特别是可能给组织的资产或声誉造成重大损失或影响的,宜按照组织的信息安全事件管理计划中描述的规程立即填写并提交信息安全事态报告表单(见本附录第一部分)。
所提供的信息将用于启动适当的评估,来判断该事态是否属于信息安全事件,是否可以采取哪些必要的补救措施来避免或减少损失或损坏。
鉴于此过程可能具有时间关键性,此时不必填完报告表单中的所有项。
当PoC成员审阅全部或部分完成的表单后,要决定该事态是否属于信息安全事件。
如果被归属于事件,则宜尽可能详细填写信息安全事件表单,并将信息安全事态和事件表单一并提交给IRT。
无论信息安全事态是否属于事件,都宜更新事件管理系统。
当IRT成员审阅PoC成员提交的信息安全事态和事件表单后,宜随着调查进展更新事件表单及事件管理系统中的相关项。
信息安全脆弱性表单旨在提供感知到的脆弱性信息,作为脆弱性解决方案的信息库。
填写表单时,请遵守以下指南:—建议以电子方式填写并提交表单。
当使用电子报告机制(例如电子邮箱)存在或认为存在问题时,包括当认为系统可能受到攻击,电子报告表单可能被未授权人员读到时,可使用替代的方法来进行报告。
替代的方法可包括亲自、电话或短信。
注:例如,采用安全网页表单链接到电子的信息安全事态/事件/脆弱性数据库。
在当今世界,还基于纸质的操作是耗费时间的。
但是,基于纸质的计划可作为电子计划不可用时的备份。
—仅提供已知事实的信息,不要为了完成表单项而进行猜测。
如果有必要提供未确认的信息,请清楚地说明该信息是未经确认的,以及其有可能是真实的理由。
—宜提供详细联系方式。
为获得关于报告的进一步信息,可能有必要或者立即或者过后联系报告人。
如果后续发现提交的信息不准确、不完整或有误导,宜修正或重新提交表单。
.B.4 表单示例信息安全事态报告表单示例信息安全事态报告第1页共1页3 相关事态和(或) 1 事态日期(适用时)事件编号1事态编号24 报告人详情4.1 姓名 4.2 地址单位 4.4 部门4.34.6 4.5 电话电子邮箱信息安全事态描述55.1 事态描述:?发生了什如何发生为什么发对受影响组件或资产的初步意对业务的不利影识别的任何脆弱信息安全事态详66.1事态发生的日期和时6.2事态被发现的日期和时6.3事态被报告的日期和时(适当时勾选6.4事态响应是否结束如果是,说明事态持续了多长时间(6.5分)管理者分配。
IRT事态编号宜由组织的1).信息安全事件报告表单示例信息安全事件报告第1页共6页相关事态和(或)1 事件日期 3(适用时)事件编号2 2 事件编号4 联络点(PoC)成员详情4.1 姓名 4.2 地址部门单位4.3 4.44.6 电子邮箱 4.5 电话 5 IRT成员详情地址5.2 5.1 姓名5.4 部门单位5.35.6 电子邮箱 5.5 电信息安全事件描66.1进一步的事件描发生了什如何发生为什么发对受影响组件或资产的初步意对业务的不利影识别的任何脆弱7信息安全事件详事件发生的日期和时7.17.2事件被发现的日期和时事件被报告的日期和时7.3报告人的身7.4联系方(适当时勾选7.5事件响应是否结束分如果是,说明事件持续了多长时间(7.6管理者分配,并链接到相关的事态编号。
IRT事件编号宜由组织的2).信息安全事件报告第2页共6页信息安全事件类别8(勾选一项,然后完成下面的相关部分)(事件已经发生)实际的8.1(事件被认为已经发生但没有确认)怀疑的8.2(指出涉及的威胁类型)自然灾害8.3其他崩塌闪电海啸火山洪水暴风地震具体说明:(指出涉及的威胁类型)社会动乱8.4其他战争恐怖袭击示威游行具体说明:(指出涉及的威胁类型) 8.5 物理损设备丢设备篡设备盗设备毁火介质盗水介质丢介质毁介质篡恶劣环境(诸如污染、灰尘、腐蚀、冻结其静具体说明(指出涉及的威胁类型基础设施故8.6空调故供水故其电源故网络故具体说明(指出涉及的威胁类型8.7辐射干其热辐电压波电磁脉电磁辐电子干具体说明(指出涉及的威胁类型技术故8.8其维护性破软件故硬件故过载(信息系统容量饱和具体说明信息安全事件报告第3页共6页信息安全事件类别8(指出涉及的威胁类型) 8.9 恶意软件计算机病毒网络蠕虫混合攻击恶意代码内嵌网页其他恶意代码宿主站点僵尸网络特洛伊木马具体说明:(指出涉及的威胁类型)技术攻击8.10脆弱性利用后门利用其他登录尝试干扰拒绝服务(DoS)网络扫描具体说明:(指出涉及的威胁类型)规则违背8.11其他版权违反资源未授权使用具体说明:(指出涉及的威胁类型8.12功能损其人员可用性破行为抵误操权限滥权限伪具体说明(指出涉及的威胁类型信息损8.13网络钓数据丢数据错数据流分伪窃拦社会工数据窃数据篡泄其位置检间具体说明(指出涉及的威胁类型有害内8.14恶意内滥用内非法内恐慌内其具体说明(如果尚未确定事件是否属于上述类勾选这里其8.1具体说明信息安全事件报告页6 共第4页3 9 受影响的组件/资产(提供受事件影响或与事件相关的组件/资产的描述,包括相关的序列号、许可证和版本号。