信息安全事件分类分级与应急处理

信息安全事件分级分级考虑要素
• 系统损失：
– 特别严重的系统损失 – 严重的系统损失 – 较大的系统损失 – 较小的系统损失
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分级分级考虑要
素
• 特别严重的系统损失造成系统大面积瘫痪，使其 丧失业务处理能力，或系统关键数据的保密性、 完整性、可用性遭到严重破坏，恢复系统正常运 行和消除安全事件负面影响所需付出的代价十分 巨大，对于事发组织是不可承受的。
• 应急处理分六个阶段：准备、检测、抑制、根除、 恢复、总结。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件应急处理
准备 此阶段以预防为主。 微观上的工作包括： ·建立安全政策； ·按照安全政策配置安全设备和软件； ·扫描、风险分析、打补丁； ·建立监控设施。 宏观上的工作包括： ·建立协作体系和应急制度； ·建立信息沟通渠道和通报机制。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件其分他类信息安全事件
• 其他信息安全事件是指不能归为以上6个基 本分类的信息安全事件。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分级
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分级分级考虑要素
信息安全事件分网类络攻击事件
• 网络攻击事件包括：
➢拒绝服务攻击事件 ➢后门攻击事件 ➢漏洞攻击事件 ➢网络扫描窃听事件 ➢网络钓鱼事件 ➢干扰事件 ➢其他网络攻击事件
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分信类息破坏事件
• 信息破坏事件是指通过网络或其他技术手 段，造成信息系统中的信息被篡改、假冒、 泄漏、窃取等而导致的信息安全事件。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分级分级考虑要素
• 系统损失指由于信息Hale Waihona Puke Baidu全事件对信息系统的软硬 件、功能及数据的破坏，导致系统业务中断，从 而给事发组织所造成的损失，其大小主要考虑恢 复系统正常运行和消除安全事件负面影响所需付 出的代价
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
• 有害程序事件是指蓄意制造、传播有害程序， 或是因受到有害程序的影响而导致的信息安全 事件。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分有类害程序事件
• 有害程序事件包括：
➢计算机病毒事件 ➢蠕虫事件 ➢特洛伊木马事件 ➢僵尸网络事件 ➢混合攻击程序事件 ➢网页内嵌恶意代码事件 ➢其他有害程序事件
病毒事件应急处置
• 当发现有计算机被感染上病毒后，应立即将该机 从网络上隔离开来。对该设备的硬盘进行数据备 份。启用反病毒软件对该机进行杀毒处理，同时 通过病毒检测软件对其他机器进行病毒扫描和清 除工作。如果现行反病毒软件无法清除该病毒， 应考虑重装系统等其他处理办法。
• 灾害性事件的防范： 火灾：火灾自动报警器（与大楼报警联动）、 火 灾探测器（烟感、温感）、气体灭火系统 水灾：防水处理（防水坝、漏水报警感应线等） 雷击：防雷接地系统
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
具体事例应急处理
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
• 三个要素：
– 信息系统的重要程度 – 系统损失 – 社会影响
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分级分级考虑要素
• 信息系统的重要程度主要考虑信息系统所承载的 业务对国家安全、经济建设、社会生活的重要性 以及业务对信息系统的依赖程度，划分为特别重 要信息系统、重要信息系统和一般信息系统。
27
信息安全事件分级分级考虑要
素
• 社会影响：
• 特别重大的社会影响 • 重大的社会影响 • 较大的社会影响 • 一般的社会影响
28
信息安全事件分级分级考虑要
素
• 特别重大的社会影响波及到一个或多个省市的大 部分地区，极大威胁国家安全，引起社会动荡， 对经济建设有极其恶劣的负面影响，或者严重损 害公众利益。
29
信息安全事件分级分级考虑要
素
• 重大的社会影响波及到一个或多个地市的大部分 地区，威胁到国家安全，引起社会恐慌，对经济 建设有重大的负面影响，或者损害到公众利益。
30
信息安全事件分级分级考虑要
素
• 较大的社会影响波及到一个或多个地市的部分地 区，可能影响到国家安全，扰乱社会秩序，对经 济建设有一定的负面影响，或者影响到公众利益。
•信息安全事件 information security incident--由于自然或者人为以及软硬件本身缺 陷或故障的原因，对信息系统造成危害，或对社 会造成负面影响的事件。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分类 事件分类
• 信息安全事件可以是故意、过失或非人为原因引 起的。综合考虑信息安全事件的起因、表现、结 果等，对信息安全事件进行分类。
23
信息安全事件分级分级考虑要
素
• 严重的系统损失造成系统长时间中断或局部瘫痪， 使其业务处理能力受到极大影响，或系统关键数 据的保密性、完整性、可用性遭到破坏，恢复系 统正常运行和消除安全事件负面影响所需付出的 代价巨大，但对于事发组织是可承受的。
24
信息安全事件分级分级考虑要
素
• 较大的系统损失造成系统中断，明显影响系 统效率，使重要信息系统或一般信息系统业 务处理能力受到影响，或系统重要数据的保 密性、完整性、可用性遭到破坏，恢复系统 正常运行和消除安全事件负面影响所需付出 的代价较大，但对于事发组织是可承受的。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分类
信息内容安全事件
• 信息内容安全事件包括： 违反宪法和法律、行政法规的信息安全事件； 针对社会事项进行讨论、评论，形成网上敏感 的舆 论热点，出现一定规模炒作的信息安全事件； 组织串连、煽动集会游行的信息安全事件； 其他信息内容安全事件。
25
信息安全事件分级分级考虑要
素
• 较小的系统损失造成系统短暂中断，影响系统效 率，使系统业务处理能力受到影响，或系统重要 数据的保密性、完整性、可用性遭到影响，恢复 系统正常运行和消除信息安全事件所需付出的代 价较小。
26
信息安全事件分级分级考虑要
素
• 社会影响指信息安全事件对社会所造成影响的范 围和程度，其大小主要考虑国家安全、社会秩序、 经济建设和公众利益等方面的影响。
37 安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件应急处理
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件应急处理
• 应急处理实际上是网络安全保障工作的具体体现。 各种防护方案、安全设施、策略规定等，广义上 都可以理解为应急处理工作的一部分。而完整的 应急处理工作的各个阶段，则体现了网络安全保 障的不间断过程。
有害程序事件 网络攻击事件 信息破坏事件 信息内容安全事件 设备设施故障 灾害性事件 其他信息安全事件
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分有类害程序事件
• 有害程序是指插入到信息系统中的一段程序， 有害程序危害系统中数据、应用程序或操作系 统的保密性、完整性或可用性，或影响信息系 统的正常运行。
31
信息安全事件分级分级考虑要
素
• 一般的社会影响波及到一个地市的部分地区，对 国家安全、社会秩序、经济建设和公众利益基本 没有影响，但对个别公民或其它组织的利益会造 成影响。
32
信息安全事件分级
➢特别重大事件 ➢重大事件 ➢较大事件 ➢一般事件。
33
信息安全事件分级
• 特别重大事件（I级） 特别重大事件是指能够导 致特别严重影响或 破坏的信息安全事件，包括以下情况：
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分信类息破坏事件
• 信息破坏事件包括：
➢信息篡改事件 ➢信息假冒事件 ➢信息泄漏事件 ➢信息窃取事件 ➢信息丢失事件 ➢其他信息破坏事件
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件信分息类内容安全事件
• 信息内容安全事件是指利用信息网络发布、 传播危害国家安全、社会稳定和公共利益 的内容的安全事件。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件应急处理
有害程序、网络攻击、信息破坏、信息内容 安全 事件的防范： 服务器、终端设备需安装安全产品 硬件防火墙是最基本的配置 有条件的可以配备防病毒网关、IPS、IDS、 负载均衡设备、WEB安全网关、上网行为管 理 设备等网络安全产品
信息安全事件分类设备设施故障
• 设备设施故障包 括：
– 软硬件自身故障 – 外围保障设施故障 – 人为破坏事故 – 其他设备设施故障
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分类灾害性事件
• 灾害性事件是指由于不可抗力对信息系统 造成物理破坏而导致的信息安全事件。
• 灾害性事件包括水灾、台风、地震、雷击、 坍塌、火灾、恐怖袭击、战争等导致的信 息安全事件。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分网类络攻击事件
• 网络攻击事件是指通过网络或其他技术 手段，利用信息系统的配置缺陷、协议 缺陷、程序缺陷或使用暴力攻击对信息 系统实施攻击，并造成信息系统异常或 对信息系统当前运行造成潜在危害的信 息安全事件。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
35
信息安全事件级
• 较大事件（III级） 较大事件是指能够导致较严重影响或破坏的 信息安全事件，包括以下情况： 会使特别重要信息系统遭受较大的系统损 失、 或使重要信息系统遭受到严重的系统损 失；一 般信息系统遭受特别严重的系统损失 ； 产生较大的社会影响。
36
信息安全事件级
• 一般事件（IV级） 一般事件是指不满足以上条件的信息安全事 件，包 括以下情况： 会使特别重要信息系统遭受较小的系统损失、 或使重要信息系统遭受到较大的系统损失，一 般信 息系统遭受到严重或严重以下级别的系统 损失； 产生一般的社会影响。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分类设备设施故障
• 设备设施故障是指由于信息系统自身故障 或外围保障设施故障而导致的信息安全事 件，以及人为的使用非技术手段有意或无 意的造成信息系统破坏而导致的信息安全 事件。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件应急处理
• 外围保障设施故障的防范： ➢电力故障：双路市电接入（不同变电所） ➢外围网络故障：双线路接入（不同运营商） ➢空调故障：双精密空调或者双工业空调
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件应急处理
会使特别重要信息系统遭受到特别严重的 系统损失；
产生特别重大的社会影响。
34
信息安全事件级
• 重大事件（II级） 重大事件是指能够导致严重影响或破坏的信 息安 全事件，包括以下情况： 会使特别重要信息系统遭受到特别严重的 系 统损失、或使重要信息系统遭受到特别严 重的系 统损失； 产生重大的社会影响。
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件应急处理
设备设施故障的防范： 软件故障： 操作系统 重要系统最好使用UNIX或者LINUX 数据库管理系统 双备份、单备份 硬件故障： 重要的设备一定要用双机配置，避免单点故障， 例如：防火墙、交换机、路由器、存储、核心服
务 器，等。
信息安全事件分类分级与应急处 理
一、信息安全事件分类 二、 信息安全事件分级 三、信 息安全事件应急处理 四、 具体事例应急处理
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分类
安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
信息安全事件分类 定义
•信息系统 information system--由计算机及其 相关的和配套的设备、设施(含网络)构成的，按 照一定的应用目标和规则对信息进行采集、加工 、存储、传输、检索等处理的人机系统。