GB/T 20986-2023
基本信息
标准号: GB/T 20986-2023
中文名称:信息安全技术 网络安全事件分类分级指南
标准类别:国家标准(GB)
英文名称:Information security technology—Guidelines for category and classification of cybersecurity incidents
标准状态:现行
发布日期:2023-05-23
实施日期:2023-12-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:6624287
相关标签: 信息安全 技术 网络安全 事件 分类 分级 指南
标准分类号
标准ICS号:35.030
中标分类号:综合>>社会公共安全>>A90社会公共安全综合
关联标准
替代情况:替代GB/Z 20986-2007
出版信息
出版社:中国标准出版社
页数:28 页
标准价格:49.0
相关单位信息
起草人:王连强、王新杰、郭启全、黄小苏、杨玉忠、阎若彤、俞政臣、任娟娟、夏雨、任彬、连一峰、张海霞、黄克振、李旸照、黎奇、梁伟、杨剑、刘书鹏、魏玉峰、崔婷婷、李文瑾、张道娟、李婧、尚可、曲洁、郭晶、左晓栋、王健、王小璞、余国平、何余、王元戎、吕明、高琪、朱建兴
起草单位:北京时代新威信息技术有限公司、中国科学院软件研究所、中国长江三峡集团有限公司、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、启明星辰信息技术集团股份有限公司、陕西省网络与信息安全测评中心、北京东方通网信科技有限公司等
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
主管部门:全国信息安全标准化技术委员会(SAC/TC 260)
标准简介
本文件描述了网络安全事件分类和分级的方法,界定了网络安全事件类别和级别,并明确了网络安全事件分类代码。本文件适用于网络运营者以及相关部门开展网络安全事件研判、信息通报、监测预警和应急处置等活动。
标准图片预览
标准内容
ICS35.030
CCSA90
中华人民共和国国家标准
GB/T20986-—2023
代替GB/Z20986—2007
信息安全技术
网络安全事件分类分级指南
Information security technology-Guidelines for category andclassification of cybersecurity incidents2023-05-23发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施下载标准就来标准下载网
2规范性引用文件
术语和定义
缩略语
5网络安全事件分类
分类方法
事件类别
6网络安全事件分级
分级方法
事件级别
事件分级流程
附录A(资料性)
附录B(规范性)
参考文献
网络安全事件类别和级别的关联关系…·网络安全事件分类代码
GB/T20986-2023
GB/T20986-2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/Z20986—2007《信息安全技术信息安全事件分类分级指南》,与GB/Z20986—2007相比,除结构调整和编辑性改动外,主要技术变化如下:由指导性技术文件GB/Z更改为推荐性国家标准GB/T;a)E
b)更改了“范围”的表述(见第1章,2007年版的第1章);在“术语和定义”中,更改了“信息系统”的定义(见3.1,2007年版的2.1),增加了“数据、网络安c
全、网络安全事件”的定义(见3.1~3.4);d)更改了“缩略语”,删除了原缩略语内容(见2007年版的第3章),增加了新的缩略语“APT、BGP、DDOS、DNS、IP、WLAN”等(见第4章);在“网络安全事件分类”中,更改了“分类方法”的表述,将网络安全事件的分类由7类增加至e)
10类(见5.1,2007年版的4.1):1)在“恶意程序事件”中增加了“恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件”3个事件子类(见5.2.1,2007年版的4.2.1);2)在“网络攻击事件”中增加了“后门植人事件、凭据攻击事件、网页篡改事件、暗链植人事件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件”14个事件子类(见5.2.2,2007年版的4.2.2);将“信息破坏事件”名称更改为“数据安全事件”,事件子类更改为“数据篡改事件、数据假3)
冒事件、数据泄露事件、数据窃取事件、数据损失事件”,增加了“社会工程事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件”6个事件子类(见5.2.3,2007年版的4.2.3);
4)在“信息内容安全事件”中,事件子类由4个增加到8个,名称更改为“反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件”(见5.2.4,2007年版的4.2.4);在“设备设施故障事件”中,事件子类由4个增加到5个,名称更改为“技术故障事件、配套5)
设施故障事件、物理损害事件、辐射干扰事件、其他设备设施故障事件”(见5.2.5,2007年版的4.2.5);
6)增加了“违规操作事件”类,包括“权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件、其他违规操作事件”9个事件子类(见5.2.6);增加了“安全隐患事件”类,包括“网络漏洞事件、网络配置合规缺陷事件,其他安全隐患事7)
件3个事件子类(见5.2.7);
增加了“异常行为事件”类,包括“访问异常事件、流量异常事件和其他异常行为事件”3个8)
事件子类(见5.2.8),
9)将“灾害性事件”更改为“不可抗力事件”,包括“自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件、其他不可抗力事件”5个事件子类(见5.2.9,2007年版的4.2.6);f)在“网络安全事件分级”中,将“信息系统”更改为“事件影响对象”:目
GB/T20986—2023
更改了“分级方法的表述(见6.1,2007年版的5.1);1)
2)增加了3个重要等级“事件影响对象”的说明(见6.1.2);3)将“系统损失”更改为“业务损失”,其中的“系统关键数据”更改为“重要数据/敏感个人信息”(见6.1.3,2007年版的5.1.3);4)将“社会影响”更改为“社会危害”(见6.1.4,2007年版的5.1.4);5)更改了“事件级别”的表述(见6.2.1~6.2.52007年版的5.2);6)增加了“事件分级流程”(见6.3);g)为便于信息通报、事件研判等应用,增加了“附录B”,给出了事件分类代码。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:北京时代新威信息技术有限公司、中国科学院软件研究所、中国长江三峡集团有限公司、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、启明星辰信息技术集团股份有限公司、陕西省网络与信息安全测评中心、北京东方通网信科技有限公司、北京神州绿盟科技有限公司、国网智能电网研究院有限公司、中国软件评测中心、中国信息安全测评中心、公安部第三研究所、国家计算机网络应急技术处理协调中心、南方电网数字电网研究院有限公司、OPPO广东移动通信有限公司。
本文件主要起草人:王连强、王新杰、郭启全、黄小苏、杨玉忠、阎若彤、俞政臣、任娟娟、夏雨、任彬、连一峰、张海霞、黄克振、李旸照、黎奇、梁伟、杨剑、刘书鹏、魏玉峰、崔婷婷、李文瑾、张道娟、季婧、尚可、曲洁、郭晶、左晓栋、王健、王小璞、余国平、何余、王元戎、吕明、高琪、朱建兴。本文件及其所代替文件的历次版本发布情况为:-2007年首次发布为GB/Z20986—2007:一本次为第一次修订。
GB/T20986—2023
网络安全事件的防范和处置是国家网络安全保障体系中的重要环节,也是重要的工作内容。网络安全事件的分类分级是快速有效处置网络安全事件的基础之一。本文件编制的目的是:
利于安全事件数据的收集和分析;a)
利于识别安全事件的严重程度;促进安全事件信息的交换和共享;c)
d)便于实现安全事件的自动化报告和响应;e)
提高安全事件通报和应急处置的效率和效果。在附录A中给出了安全事件分类和安全事件分级的关系。V
1范围
信息安全技术
网络安全事件分类分级指南
GB/T20986—2023
本文件描述了网络安全事件分类和分级的方法,界定了网络安全事件类别和级别,并明确了网络安全事件分类代码。
本文件适用于网络运营者以及相关部门开展网络安全事件研判、信息通报、监测预警和应急处置等活动。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22240一2020信息安全技术网络安全等级保护定级指南GB/T25069—2022
2信息安全技术术语
3术语和定义
GB/T25069一2022界定的以及下列术语和定义适用于本文件。3.1
信息系统informationsystem
应用、服务、信息技术资产或其他信息处理组件的组合。注:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。
L来源:GB/T25069—2022,3.696,有修改3.2
数据data
任何以电子或者其他方式对信息的记录。3.3
网络安全cybersecurity
通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障数据的完整性、保密性、可用性的能力。[来源GB/T22239—20193.1]
网络安全事件cybersecurityincident由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。1
GB/T20986-2023
L来源:GB/T38645一2020,3.1,有修改4缩略语
下列缩略语适用于本文件。
APT:高级持续性威(advancedpersistentthreat)BGP:边界网关协议(bordergatewayprotocol)DDOS:分布式拒绝服务(distributeddenialofservice)DNS:域名系统(domainnamesystem)IP:互联网协议(internetprotocol)WLAN:无线局域网(wirelesslocalareanetwork)5网络安全事件分类
5.1分类方法
综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素,对网络安全事件进行分类,分为恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐惠事件、异常行为事件、不可抗力事件和其他事件等10类,每类之下再分若干子类。附录B确定了网络安全事件分类代码。
5.2事件类别
5.2.1恶意程序事件
恶意程序指带有恶意意图所编写的一段程序,该程序插入网络损害网络中的数据、应用程序或操作系统,或影响网络的正常运行。恶意程序事件指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件。
恶意程序事件包括计算机病毒事件、网络端虫事件、特洛伊木马事件、僵户网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件等10个子类,具体如下:
a)计算机病毒事件:制造、传播或利用恶意程序,影响计算机使用,破坏计算机功能,毁坏或窃取数据;
网络端虫事件:利用网络缺陷,蓄意制造或通过网络自动复制并传播网络端虫特洛伊木马事件:制造、传播或利用具有远程控制功能的恶意程序,实现非法窃取或截获数据;c)
户网络事件:利用户工具程序形成户网络:e)
恶意代码内嵌网页事件:在访问被嵌入恶意代码而受到污损的网页时,该恶意代码在访问该网页的计算机系统中安装恶意软件;恶意代码宿主站点事件:诱使目标用户到存储恶意代码的宿主站点下载恶意代码:g)
勒索软件事件:取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权,并籍此向用户索取赎金;
h)挖矿病毒事件:以获得数字加密货币为目的,控制他人的计算机并植人挖矿病毒程序完成大量运算;
i)混合攻击程序事件:利用多种方法传播和利用多种恶意程序,例如,一个计算机病毒在侵人计2
算机系统后在系统中安装木马程序;j)其他恶意程序事件:不在以上子类之中的恶意程序事件。5.2.2网络攻击事件
GB/T20986—2023
网络攻击事件指通过技术手段对网络实施攻击而导致业务损失或造成社会危害的网络安全事件。网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植人事件、凭据攻击事件、信号于扰事件、拒绝服务事件、网页篡改事件、暗链植人事件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件和其他网络攻击事件等21个子类,具体如下,a)网络扫描探测事件:利用网络扫描软件获取有关网络配置、端口、服务和现有脆弱性等信息;网络钓鱼事件:利用欺诈性网络技术诱使用户泄露重要数据或个人信息;b)
c)漏洞利用事件:通过挖掘并利用网络配置缺陷、通信协议缺陷或应用程序缺陷等漏洞对网络实施攻击;
d)后门利用事件:恶意利用软件或硬件系统设计过程中未经严格验证所留下的接口、功能模块,程序等,非法获取网络管理权限;e)
后门植入事件:非法在网络中创建能够持续获取其管理权限的后门;凭据攻击事件:破解口令,解析登录口令或凭据等:g)信号干扰事件:通过技术手段阻碍有线或无线信号在网络中正常传播;h)拒绝服务事件:通过非正常使用网络资源(诸如CPU、内存、磁盘空间或网络带宽)影响或破坏网络可用性,例如:DDOS等;
网页套改事件:通过恶意破坏或更改网内容影响网站声誉或破坏网页及网站可用性暗链植人事件:通过隐形改技术在网页内非法植入违法网站链接;j)
k)域名劫持事件:通过攻击或伪造DNS的方式蓄意或恶意诱导用户访问非预期的指定IP地址(网站));
I)域名转嫁事件:把自已的域名指向一个不属于自己的IP地址,导致针对该域名的攻击都将被引向所指向的IP地址;
m)DNS污染事件:利用刻意制造或无意制造的DNS数据包,把域名指向不正确的IP地址;WLAN劫持事件:通过口令破解、固件替换等方法非法获取无线局域网的控制权限;n)
流量劫持事件:通过恶意诱导或非法强制用户访间特定网络资源造成用户流量损失;BGP劫持攻击事件:通过BGP恶意操纵网络路由路径;p)
广播欺诈事件:通过广播欺骗的方式干扰网络数据包正常传输或窃取网络用户敏感信息;q)
失陷主机事件:攻击者获得某主机的控制权后,能以该主机为跳板继续攻击组织内网其他r)
主机;
供应链攻击事件:通过利用供应链管理中存在的脆弱性,感染合法应用来分发恶意程序:t)
APT事件:通过对特定对象展开持续有效的攻击活动,这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击;
u)其他网络攻击事件:不在以上子类之中的网络攻击事件。5.2.3数据安全事件
数据安全事件指通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等导致业务损失或造成社3
GB/T20986—2023
会危害的网络安全事件。
数据安全事件包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等12个子类,真体如下:a)
数据篡改事件:未经授权接触或修改数据:b)
数据假冒事件:非法或未经许可使用、伪造数据;c
数据泄露事件:无意或恶意通过技术手段使数据或敏感个人信息对外公开泄露:d)
社会工程事件:通过非技术手段(如心理学、话术等)诱导他人泄露数据或执行行动:e)
数据窃取事件:未经授权利用技术手段(例如窃听、间谦等)偷窃数据;数据拦截事件:在数据到达目标接收者之前非法捕获数据:位置检测事件:非法检测系统、个人的地理位置信息或敏感数据的存储位置;g)
数据投毒事件:干预深度学习训练数据集,在训练数据中加人精心构造的异常数据,破坏原有h)
训练数据的概率分布,导致模型在某些特定条件下产生分类或聚类错误;数据滥用事件:无意或恶意溢用数据;i)
隐私侵犯事件:无意或恶意侵犯网络中存在的敏感个人信息;j)
数据损失事件:因误操作、人为蓄意或软硬件缺陷等因素导致数据损失;k)
其他数据安全事件:不在以上子类之中的数据安全事件。1)
5.2.4信息内容安全事件
信息内容安全事件指通过网络传播危害国家安全、社会稳定、公共安全和利益的有害信息导致业务损失或造成社会危害的网络安全事件。信息内容安全事件包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等8个子类,具体如下:a)反动宣传事件:利用网络传播煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一等危害国家安全、荣誉和利益的非法信息;b)
暴恐宣扬事件:利用网络宣扬恐怖主义、极端主义,煽动民族仇恨、民族歧视的信息,引起社会恐慌和动乱;
色情传播事件:利用网络传播违背社会伦理道德的淫移色情信息;c)食
d)虚假信息传播事件:利用网络编造并传播虚假信息来扰乱经济秩序和社会秩序,造成负面影响;
权益侵害事件:利用网络传播的信息侵害了社会组织或公民的合法权益;信息溢发事件:利用网络传播未经接收者准许的信息,例如:垃圾邮件等;网络欺诈事件:恶意利用技术或非技术手段对特定或不特定目标通过网络进行欺诈以非法获g)
取信息或钱财;
h)其他信息内容安全事件:不在以上子类之中的信息内容安全事件。5.2.5
5设备设施故障事件
设备设施故障事件指由手网络自身出现故障或设备设施受到破坏或干扰而导致业务损失或造成社会危害的网络安全事件。
设备设施故障事件包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等5个子类,具体如下:4
GB/T20986—2023
a)技术故障事件:网络中软硬件的自然缺陷、设计缺陷或运行环境发生变化而引起系统故障,例如:硬件故障、软件故障、过载等;b)配套设施故障事件:支撑网络运行的配套设施发生故障,例如:电力供应故障、照明系统故障、温湿度控制系统故障等:
物理损害事件:故意或意外的物理行动造成网络环境或网络设备损坏,例如:失火、漏水、静电、c)
设备毁坏或丢失等:
d)辐射干扰事件:因辐射产生干扰影响网络正常运行,例如:电磁辐射、电磁脉冲、电子干扰、电压波动、热辐射等;
e)其他设备设施故障事件:不在以上子类之中的设备设施故障事件。5.2.6违规操作事件
违规操作事件指人为故意或意外地损害网络功能而导致业务损失或造成社会危害的网络安全事件。
违规操作事件包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等9个子类,具体如下:a)权限滥用事件:由于网络服务端功能开放过多或权限限制不严格,导致攻击者通过直接或间接调用权限的方式进行攻击;
权限伪造事件:为了欺骗制造虚假权限;b
行为抵赖事件:用户否认其有害行为;c
d)故意违规操作事件:故意执行非法操作;误操作事件:无意地执行错误操作;e
人员可用性破坏事件:人力资源受损,导致人员缺失或缺席;资源未授权使用事件:未经授权访问资源;g)
h)月
版权违反事件:违反版权要求安装使用商业软件或其他受版权保护的材料;其他违规操作事件:不在以上子类之中的违规操作事件。5.2.7安全隐患事件
安全隐患事件指网络中出现能被攻击者利用的漏洞或隐患,一旦被利用可能对网络造成破坏,进而导致业务损失或造成社会危害的网络安全事件。提前发现这些漏洞或隐患能防范由此引起的其他网络安全事件。
安全隐患事件包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等3个子类,具体如下:
a)网络漏洞事件:因操作系统、应用程序或安全协议开发及设计过程中,对安全性考虑不充分而出现安全隐患;
b)网络配置合规缺陷事件:由于软硬件安全配置不合理或缺省配置,不符合网络安全要求而产生安全缺陷或隐患;
c)其他安全隐患事件:不在以上子类之中的安全隐惠事件。5.2.8异常行为事件
异常行为事件指网络本身稳定性不足或违规访问网络造成访问、流量等异常行为,进而导致业务损失或造成社会危害的网络安全事件。5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSA90
中华人民共和国国家标准
GB/T20986-—2023
代替GB/Z20986—2007
信息安全技术
网络安全事件分类分级指南
Information security technology-Guidelines for category andclassification of cybersecurity incidents2023-05-23发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施下载标准就来标准下载网
2规范性引用文件
术语和定义
缩略语
5网络安全事件分类
分类方法
事件类别
6网络安全事件分级
分级方法
事件级别
事件分级流程
附录A(资料性)
附录B(规范性)
参考文献
网络安全事件类别和级别的关联关系…·网络安全事件分类代码
GB/T20986-2023
GB/T20986-2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/Z20986—2007《信息安全技术信息安全事件分类分级指南》,与GB/Z20986—2007相比,除结构调整和编辑性改动外,主要技术变化如下:由指导性技术文件GB/Z更改为推荐性国家标准GB/T;a)E
b)更改了“范围”的表述(见第1章,2007年版的第1章);在“术语和定义”中,更改了“信息系统”的定义(见3.1,2007年版的2.1),增加了“数据、网络安c
全、网络安全事件”的定义(见3.1~3.4);d)更改了“缩略语”,删除了原缩略语内容(见2007年版的第3章),增加了新的缩略语“APT、BGP、DDOS、DNS、IP、WLAN”等(见第4章);在“网络安全事件分类”中,更改了“分类方法”的表述,将网络安全事件的分类由7类增加至e)
10类(见5.1,2007年版的4.1):1)在“恶意程序事件”中增加了“恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件”3个事件子类(见5.2.1,2007年版的4.2.1);2)在“网络攻击事件”中增加了“后门植人事件、凭据攻击事件、网页篡改事件、暗链植人事件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件”14个事件子类(见5.2.2,2007年版的4.2.2);将“信息破坏事件”名称更改为“数据安全事件”,事件子类更改为“数据篡改事件、数据假3)
冒事件、数据泄露事件、数据窃取事件、数据损失事件”,增加了“社会工程事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件”6个事件子类(见5.2.3,2007年版的4.2.3);
4)在“信息内容安全事件”中,事件子类由4个增加到8个,名称更改为“反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件”(见5.2.4,2007年版的4.2.4);在“设备设施故障事件”中,事件子类由4个增加到5个,名称更改为“技术故障事件、配套5)
设施故障事件、物理损害事件、辐射干扰事件、其他设备设施故障事件”(见5.2.5,2007年版的4.2.5);
6)增加了“违规操作事件”类,包括“权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件、其他违规操作事件”9个事件子类(见5.2.6);增加了“安全隐患事件”类,包括“网络漏洞事件、网络配置合规缺陷事件,其他安全隐患事7)
件3个事件子类(见5.2.7);
增加了“异常行为事件”类,包括“访问异常事件、流量异常事件和其他异常行为事件”3个8)
事件子类(见5.2.8),
9)将“灾害性事件”更改为“不可抗力事件”,包括“自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件、其他不可抗力事件”5个事件子类(见5.2.9,2007年版的4.2.6);f)在“网络安全事件分级”中,将“信息系统”更改为“事件影响对象”:目
GB/T20986—2023
更改了“分级方法的表述(见6.1,2007年版的5.1);1)
2)增加了3个重要等级“事件影响对象”的说明(见6.1.2);3)将“系统损失”更改为“业务损失”,其中的“系统关键数据”更改为“重要数据/敏感个人信息”(见6.1.3,2007年版的5.1.3);4)将“社会影响”更改为“社会危害”(见6.1.4,2007年版的5.1.4);5)更改了“事件级别”的表述(见6.2.1~6.2.52007年版的5.2);6)增加了“事件分级流程”(见6.3);g)为便于信息通报、事件研判等应用,增加了“附录B”,给出了事件分类代码。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:北京时代新威信息技术有限公司、中国科学院软件研究所、中国长江三峡集团有限公司、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、启明星辰信息技术集团股份有限公司、陕西省网络与信息安全测评中心、北京东方通网信科技有限公司、北京神州绿盟科技有限公司、国网智能电网研究院有限公司、中国软件评测中心、中国信息安全测评中心、公安部第三研究所、国家计算机网络应急技术处理协调中心、南方电网数字电网研究院有限公司、OPPO广东移动通信有限公司。
本文件主要起草人:王连强、王新杰、郭启全、黄小苏、杨玉忠、阎若彤、俞政臣、任娟娟、夏雨、任彬、连一峰、张海霞、黄克振、李旸照、黎奇、梁伟、杨剑、刘书鹏、魏玉峰、崔婷婷、李文瑾、张道娟、季婧、尚可、曲洁、郭晶、左晓栋、王健、王小璞、余国平、何余、王元戎、吕明、高琪、朱建兴。本文件及其所代替文件的历次版本发布情况为:-2007年首次发布为GB/Z20986—2007:一本次为第一次修订。
GB/T20986—2023
网络安全事件的防范和处置是国家网络安全保障体系中的重要环节,也是重要的工作内容。网络安全事件的分类分级是快速有效处置网络安全事件的基础之一。本文件编制的目的是:
利于安全事件数据的收集和分析;a)
利于识别安全事件的严重程度;促进安全事件信息的交换和共享;c)
d)便于实现安全事件的自动化报告和响应;e)
提高安全事件通报和应急处置的效率和效果。在附录A中给出了安全事件分类和安全事件分级的关系。V
1范围
信息安全技术
网络安全事件分类分级指南
GB/T20986—2023
本文件描述了网络安全事件分类和分级的方法,界定了网络安全事件类别和级别,并明确了网络安全事件分类代码。
本文件适用于网络运营者以及相关部门开展网络安全事件研判、信息通报、监测预警和应急处置等活动。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22240一2020信息安全技术网络安全等级保护定级指南GB/T25069—2022
2信息安全技术术语
3术语和定义
GB/T25069一2022界定的以及下列术语和定义适用于本文件。3.1
信息系统informationsystem
应用、服务、信息技术资产或其他信息处理组件的组合。注:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。
L来源:GB/T25069—2022,3.696,有修改3.2
数据data
任何以电子或者其他方式对信息的记录。3.3
网络安全cybersecurity
通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障数据的完整性、保密性、可用性的能力。[来源GB/T22239—20193.1]
网络安全事件cybersecurityincident由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。1
GB/T20986-2023
L来源:GB/T38645一2020,3.1,有修改4缩略语
下列缩略语适用于本文件。
APT:高级持续性威(advancedpersistentthreat)BGP:边界网关协议(bordergatewayprotocol)DDOS:分布式拒绝服务(distributeddenialofservice)DNS:域名系统(domainnamesystem)IP:互联网协议(internetprotocol)WLAN:无线局域网(wirelesslocalareanetwork)5网络安全事件分类
5.1分类方法
综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素,对网络安全事件进行分类,分为恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐惠事件、异常行为事件、不可抗力事件和其他事件等10类,每类之下再分若干子类。附录B确定了网络安全事件分类代码。
5.2事件类别
5.2.1恶意程序事件
恶意程序指带有恶意意图所编写的一段程序,该程序插入网络损害网络中的数据、应用程序或操作系统,或影响网络的正常运行。恶意程序事件指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件。
恶意程序事件包括计算机病毒事件、网络端虫事件、特洛伊木马事件、僵户网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件等10个子类,具体如下:
a)计算机病毒事件:制造、传播或利用恶意程序,影响计算机使用,破坏计算机功能,毁坏或窃取数据;
网络端虫事件:利用网络缺陷,蓄意制造或通过网络自动复制并传播网络端虫特洛伊木马事件:制造、传播或利用具有远程控制功能的恶意程序,实现非法窃取或截获数据;c)
户网络事件:利用户工具程序形成户网络:e)
恶意代码内嵌网页事件:在访问被嵌入恶意代码而受到污损的网页时,该恶意代码在访问该网页的计算机系统中安装恶意软件;恶意代码宿主站点事件:诱使目标用户到存储恶意代码的宿主站点下载恶意代码:g)
勒索软件事件:取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权,并籍此向用户索取赎金;
h)挖矿病毒事件:以获得数字加密货币为目的,控制他人的计算机并植人挖矿病毒程序完成大量运算;
i)混合攻击程序事件:利用多种方法传播和利用多种恶意程序,例如,一个计算机病毒在侵人计2
算机系统后在系统中安装木马程序;j)其他恶意程序事件:不在以上子类之中的恶意程序事件。5.2.2网络攻击事件
GB/T20986—2023
网络攻击事件指通过技术手段对网络实施攻击而导致业务损失或造成社会危害的网络安全事件。网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植人事件、凭据攻击事件、信号于扰事件、拒绝服务事件、网页篡改事件、暗链植人事件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件和其他网络攻击事件等21个子类,具体如下,a)网络扫描探测事件:利用网络扫描软件获取有关网络配置、端口、服务和现有脆弱性等信息;网络钓鱼事件:利用欺诈性网络技术诱使用户泄露重要数据或个人信息;b)
c)漏洞利用事件:通过挖掘并利用网络配置缺陷、通信协议缺陷或应用程序缺陷等漏洞对网络实施攻击;
d)后门利用事件:恶意利用软件或硬件系统设计过程中未经严格验证所留下的接口、功能模块,程序等,非法获取网络管理权限;e)
后门植入事件:非法在网络中创建能够持续获取其管理权限的后门;凭据攻击事件:破解口令,解析登录口令或凭据等:g)信号干扰事件:通过技术手段阻碍有线或无线信号在网络中正常传播;h)拒绝服务事件:通过非正常使用网络资源(诸如CPU、内存、磁盘空间或网络带宽)影响或破坏网络可用性,例如:DDOS等;
网页套改事件:通过恶意破坏或更改网内容影响网站声誉或破坏网页及网站可用性暗链植人事件:通过隐形改技术在网页内非法植入违法网站链接;j)
k)域名劫持事件:通过攻击或伪造DNS的方式蓄意或恶意诱导用户访问非预期的指定IP地址(网站));
I)域名转嫁事件:把自已的域名指向一个不属于自己的IP地址,导致针对该域名的攻击都将被引向所指向的IP地址;
m)DNS污染事件:利用刻意制造或无意制造的DNS数据包,把域名指向不正确的IP地址;WLAN劫持事件:通过口令破解、固件替换等方法非法获取无线局域网的控制权限;n)
流量劫持事件:通过恶意诱导或非法强制用户访间特定网络资源造成用户流量损失;BGP劫持攻击事件:通过BGP恶意操纵网络路由路径;p)
广播欺诈事件:通过广播欺骗的方式干扰网络数据包正常传输或窃取网络用户敏感信息;q)
失陷主机事件:攻击者获得某主机的控制权后,能以该主机为跳板继续攻击组织内网其他r)
主机;
供应链攻击事件:通过利用供应链管理中存在的脆弱性,感染合法应用来分发恶意程序:t)
APT事件:通过对特定对象展开持续有效的攻击活动,这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击;
u)其他网络攻击事件:不在以上子类之中的网络攻击事件。5.2.3数据安全事件
数据安全事件指通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等导致业务损失或造成社3
GB/T20986—2023
会危害的网络安全事件。
数据安全事件包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等12个子类,真体如下:a)
数据篡改事件:未经授权接触或修改数据:b)
数据假冒事件:非法或未经许可使用、伪造数据;c
数据泄露事件:无意或恶意通过技术手段使数据或敏感个人信息对外公开泄露:d)
社会工程事件:通过非技术手段(如心理学、话术等)诱导他人泄露数据或执行行动:e)
数据窃取事件:未经授权利用技术手段(例如窃听、间谦等)偷窃数据;数据拦截事件:在数据到达目标接收者之前非法捕获数据:位置检测事件:非法检测系统、个人的地理位置信息或敏感数据的存储位置;g)
数据投毒事件:干预深度学习训练数据集,在训练数据中加人精心构造的异常数据,破坏原有h)
训练数据的概率分布,导致模型在某些特定条件下产生分类或聚类错误;数据滥用事件:无意或恶意溢用数据;i)
隐私侵犯事件:无意或恶意侵犯网络中存在的敏感个人信息;j)
数据损失事件:因误操作、人为蓄意或软硬件缺陷等因素导致数据损失;k)
其他数据安全事件:不在以上子类之中的数据安全事件。1)
5.2.4信息内容安全事件
信息内容安全事件指通过网络传播危害国家安全、社会稳定、公共安全和利益的有害信息导致业务损失或造成社会危害的网络安全事件。信息内容安全事件包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等8个子类,具体如下:a)反动宣传事件:利用网络传播煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一等危害国家安全、荣誉和利益的非法信息;b)
暴恐宣扬事件:利用网络宣扬恐怖主义、极端主义,煽动民族仇恨、民族歧视的信息,引起社会恐慌和动乱;
色情传播事件:利用网络传播违背社会伦理道德的淫移色情信息;c)食
d)虚假信息传播事件:利用网络编造并传播虚假信息来扰乱经济秩序和社会秩序,造成负面影响;
权益侵害事件:利用网络传播的信息侵害了社会组织或公民的合法权益;信息溢发事件:利用网络传播未经接收者准许的信息,例如:垃圾邮件等;网络欺诈事件:恶意利用技术或非技术手段对特定或不特定目标通过网络进行欺诈以非法获g)
取信息或钱财;
h)其他信息内容安全事件:不在以上子类之中的信息内容安全事件。5.2.5
5设备设施故障事件
设备设施故障事件指由手网络自身出现故障或设备设施受到破坏或干扰而导致业务损失或造成社会危害的网络安全事件。
设备设施故障事件包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等5个子类,具体如下:4
GB/T20986—2023
a)技术故障事件:网络中软硬件的自然缺陷、设计缺陷或运行环境发生变化而引起系统故障,例如:硬件故障、软件故障、过载等;b)配套设施故障事件:支撑网络运行的配套设施发生故障,例如:电力供应故障、照明系统故障、温湿度控制系统故障等:
物理损害事件:故意或意外的物理行动造成网络环境或网络设备损坏,例如:失火、漏水、静电、c)
设备毁坏或丢失等:
d)辐射干扰事件:因辐射产生干扰影响网络正常运行,例如:电磁辐射、电磁脉冲、电子干扰、电压波动、热辐射等;
e)其他设备设施故障事件:不在以上子类之中的设备设施故障事件。5.2.6违规操作事件
违规操作事件指人为故意或意外地损害网络功能而导致业务损失或造成社会危害的网络安全事件。
违规操作事件包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等9个子类,具体如下:a)权限滥用事件:由于网络服务端功能开放过多或权限限制不严格,导致攻击者通过直接或间接调用权限的方式进行攻击;
权限伪造事件:为了欺骗制造虚假权限;b
行为抵赖事件:用户否认其有害行为;c
d)故意违规操作事件:故意执行非法操作;误操作事件:无意地执行错误操作;e
人员可用性破坏事件:人力资源受损,导致人员缺失或缺席;资源未授权使用事件:未经授权访问资源;g)
h)月
版权违反事件:违反版权要求安装使用商业软件或其他受版权保护的材料;其他违规操作事件:不在以上子类之中的违规操作事件。5.2.7安全隐患事件
安全隐患事件指网络中出现能被攻击者利用的漏洞或隐患,一旦被利用可能对网络造成破坏,进而导致业务损失或造成社会危害的网络安全事件。提前发现这些漏洞或隐患能防范由此引起的其他网络安全事件。
安全隐患事件包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等3个子类,具体如下:
a)网络漏洞事件:因操作系统、应用程序或安全协议开发及设计过程中,对安全性考虑不充分而出现安全隐患;
b)网络配置合规缺陷事件:由于软硬件安全配置不合理或缺省配置,不符合网络安全要求而产生安全缺陷或隐患;
c)其他安全隐患事件:不在以上子类之中的安全隐惠事件。5.2.8异常行为事件
异常行为事件指网络本身稳定性不足或违规访问网络造成访问、流量等异常行为,进而导致业务损失或造成社会危害的网络安全事件。5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。