下载掌阅APP,畅读海量书库
立即打开
目前,随着国内企业或组织对信息安全保障需求的频次日趋增多,信息安全保障涉及的场景也日趋复杂和多样化。例如,保障场景可包括重大活动、学术会议、实战对抗演习等。在不同的保障场景下,信息安全事件的等级和需求是不一样的。因此,在这个背景下,信息安全事件的分类分级规范应运而生。本节将对分类分级规范的重要意义及制定分类分级规范的原则进行阐述。
合理和规范的信息安全事件分类分级,能够降低安全事件处置响应时间、推进自动化处置系统建设、规范应急管理体制。因此,一个合理规范的分类分级指南,对于实现信息安全事件高效处置和管理而言具有重要的意义。
1.降低处置响应时间
信息安全事件分类分级,能够减少处置人员的应急响应时间。信息安全事件分类分级简化了人员之间的信息交流、共享和通报,加速了应急处置响应的速度。由于分类分级能够使个人和组织以一致的方式记录和传播事件,安全人员之间不需要使用烦琐的语言描述事件。通过一致化的语言,安全人员可以在短时间内完成事件交流、共享和通报,并及时做好应急处置准备、采取相应的应急措施。
2.推进自动化处置系统建设
未来自动化处置系统旨在高强度的对抗下,让机器语言代替安全人员实现高效率的应急处置。为了让机器“识别”更宽的领域和更复杂的场景下的安全事件,需要分类分级指南将安全事件转化为一致的认知。基于此,通过将处置策略与相应类别、级别的安全事件进行绑定,自动化处置系统便可逻辑执行对相关事件的处置策略。
3.规范应急管理体制
信息安全事件分类分级有助于应急管理体制的职责分工、分级管理。当对信息安全事件进行了分类分级之后,相应的企业或组织便可建立快速执行的标准化流程,使得人员调度协同统一。例如,根据事件所处类别、级别的特点,明确应急人员的分工机制:网络攻击类事件应找网络攻防专业性、技术性强的安全人员牵头;设备故障类事件应找设备维护专业性、技术性强的安全人员牵头。
信息安全事件的分类和分级是两个相互独立的部分,制定分类和分级指南采用的原则也不尽相同。事件的分类主要通过科学总结、归纳各类信息安全事件的特点、发展规律和应对机理,对可能发生的信息安全事件进行分类。目前,信息安全事件的分类主要按照表现形式和事件诱因进行分类。本节将分别对这些原则进行阐述。
1.按照表现形式进行分类
这种分类方法本质上主要是基于事件的客观表现进行分类的,这样做的意义在于:从事件所属的类别名可以大致确定事件的行为特征,进而快速将事件分配给专业技术对口的安全人员,并迅速采取相应的措施。例如,在标准化指导性技术文件《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986—2007)中,信息安全事件从表现形式上被划分为有害程序事件、网络攻击事件、设备设施故障等。其中,有害程序事件主要表现为受到有害程序的影响,而设备设施故障事件主要表现为信息系统或外围保障设施故障。
2.按照事件诱因进行分类
这种分类方法本质上主要是基于事件发生的诱因进行分类的,这样做的意义在于:从事件所属的类别名可以为事件的诱因提供线索,进而快速将事件分配给专业技术对口的安全人员。例如,在标准化指导性技术文件《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986—2007)中,有害程序事件从事件诱因上被细分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络病毒事件、混合攻击程序事件、网页内嵌恶意代码事件以及其他有害程序事件。
信息安全事件的分级主要从事件的危害程度和政府的控制能力来考虑,对可能发生的安全事件划分级别。分级的意义在于从相关企业或组织的应急管理能力出发,科学确定信息安全事件的级别。目前,信息安全事件主要按照事件的主观属性(影响程度、损失后果)和相关单位的客观属性(应对能力)进行分级。本节将分别对上述原则进行阐述。
1.按照信息安全事件的主观属性分级
不同类型的信息安全事件导致的影响程度和范围、产生社会危害的严重程度以及系统损失程度都有很大差异。信息安全事件的影响程度或系统损失程度往往需要主观判断,它们是在事件发生时基于历史经验的一种总结性阐述。按照信息安全事件的影响程度或系统损失程度分级,可以使各企业和组织根据最小化损失目标,科学充分地调度应急响应力量(物质和人力储备)。例如,在标准化指导性技术文件《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986—2007)中,信息安全事件按照主观属性可以划分为特别重大事件、重大事件、较大事件和一般事件。当判断发生重大事件时,除了调度自身专业性、技术性强的人员,还可以申请邀请其他企业或组织的专家团队协助研判。
2.按照应对能力分级
由于不同企业和组织的应急处置能力不一定相同,因此,相同类型的信息安全事件对不同企业和组织造成的影响和损失也不一定相同。基于此背景,许多机构和团队提出主要根据企业自身的应对能力对安全事件进行分级,即分级标准以应对能力为主,兼顾事件的客观属性。虽然这种分级标准可能会造成同样的事件在不同地方的分级不同,但这更符合实际情况。
由于涉及事件影响和损失程度,上述两种分级方案皆要借鉴、分析实际的历史资料和经验,采用统计方法分析事件的影响程度、影响范围以及损失程度。当按主观属性分级时,分级不是一次完成的,而是随着事件样本的扩充而不断地修改、调整和完善主观判断。这是因为随着时间改变,事件的影响和损失程度也会改变。