下载掌阅APP,畅读海量书库
立即打开
在定义组织的网络安全边界之后,CSO应对网络安全事件进行分类和分级。通过分类和分级就可以把繁复的网络安全事件进行区分,从中找出对组织最有威胁的事件进行控制和管理。网络安全事件的分类与分级可以参考一些国际或国内标准,如《信息安全事件分类分级指南》(GB/Z 20986—2007)中定义的网络安全事件是指威胁网络安全的有关活动,网络安全事件可能会造成信息机密性的丧失、完整性的破坏、拒绝服务、对系统的非授权访问、对系统的滥用与损害等。典型的安全事件包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件(如表4-1所示)。
表4-1 典型的安全事件
有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件等7个第二层分类。
1)计算机病毒事件是指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或程序代码,它可以破坏计算机功能或毁坏数据,影响计算机的使用,并能自我复制。
2)蠕虫事件是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外,利用信息系统缺陷,通过网络自动复制并传播的有害程序。
3)木马事件是指蓄意制造、传播木马程序,或是因受到木马程序影响而导致的信息安全事件。木马程序是指伪装在信息系统中的一种有害程序,具有控制该信息系统或进行信息窃取等对该信息系统有害的功能。
4)僵尸网络事件是指利用僵尸工具软件,形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机,可以被用于伺机发起网络攻击,进行信息窃取或传播木马、蠕虫等其他有害程序。
5)混合攻击程序事件是指蓄意制造、传播混合攻击程序,或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其他系统的有害程序,可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果,如一个计算机病毒或蠕虫在侵入系统后安装木马程序等。
6)网页内嵌恶意代码事件是指蓄意制造、传播网页内嵌恶意代码,或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中,未经允许由浏览器执行,影响信息系统正常运行的有害程序。
7)其他有害程序事件是指不能包含在以上6个第二层分类之中的有害程序事件。
网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个第二层分类。
1)拒绝服务攻击事件是指利用信息系统缺陷或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。
2)后门攻击事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施攻击的信息安全事件。
3)漏洞攻击事件是指除拒绝服务攻击事件和后门攻击事件之外,利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击的信息安全事件。
4)网络扫描窃听事件是指利用网络扫描或窃听软件,获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件。
5)网络钓鱼事件是指利用欺骗性的计算机网络技术,使用户泄露重要信息的信息安全事件。例如,利用欺骗性电子邮件获取用户银行账号和密码等。
6)干扰事件是指通过技术手段对网络进行干扰,或对广播电视有线或无线传输网络进行插播、对卫星广播电视信号非法攻击的信息安全事件。
7)其他网络攻击事件是指不能包含在以上6个第二层分类之中的网络攻击事件。
信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个第二层分类。
1)信息篡改事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,如网页篡改等导致的信息安全事件。
2)信息假冒事件是指通过假冒他人信息系统收发信息而导致的信息安全事件,如网页假冒等导致的信息安全事件。
3)信息泄露事件是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者的信息安全事件。
4)信息窃取事件是指未经授权而利用可能的技术手段恶意主动获取信息系统中的信息而导致的信息安全事件。
5)信息丢失事件是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失的信息安全事件。
6)其他信息破坏事件是指不能包含在以上5个第二层分类之中的信息破坏事件。
信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4个第二层分类:
1)违反宪法和法律、行政法规的信息安全事件。
2)针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件。
3)组织串联、煽动集会游行的信息安全事件。
4)其他信息内容安全事件。
设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意地造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等4个第二层分类。
1)软硬件自身故障是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件。
2)外围保障设施故障是指由于保障信息系统正常运行所必需的外部设施出现故障而导致的信息安全事件,如电力故障、外围网络故障等导致的信息安全事件。
3)人为破坏事故是指人为蓄意地对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件;或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏,影响信息系统正常运行的信息安全事件。
4)其他设备设施故障是指不能包含在以上3个第二层分类之中的设备设施故障导致的信息安全事件。
灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
所有不能归为以上基本分类的信息安全事件。
对网络安全事件的分级可参考下列三个要素。
1)信息系统的重要程度。信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活、企业运作的重要性,以及业务对信息系统的依赖程度,由此可将信息系统划分为不同等级。
2)系统损失。系统损失是指由于网络安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织和国家所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。
3)业务影响。业务影响是指网络安全事件对业务造成影响的范围和程度,其大小主要考虑对国家安全、社会秩序、经济建设、公众利益、企业效益等方面的影响。
根据以上对网络安全事件的分类和分级,可以定义组织网络安全事件的严重等级,随后就可以针对不同严重等级的网络安全事件设计和制定网络安全事件的应对之法了。