信息安全事件的等级划分.pdf

信信息息安安全全事事件件的的等等级级划划分分

信息安全事件的等级划分

信息安全事件的防范和处置是信息安全保障体系中的重要环节，也是重要的⼯作内。信息安

全事件的分类分级是快速有效处置信息安全事件的基础之⼀。

信息安全事件可以是故意、过失或⾮⼈为原因引起的。本指导性技术⽂件综合考虑信息安全事

件的起因、表现、结果等，对信息安全事件进⾏分类。

信息安全事件分为有害程序事件、⽹络攻击事件、信息破坏事件、信息内安全事件、设备设

施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若⼲个⼦类。

⼀、事件分类

有害程序事件（MI）

有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响⽽导致的信息安全事

件。

有害程序是指插⼊到信息系统中的⼀段程序，有害程序危害系统中数据、应⽤程序或操作系统

的保密性、完整性或可⽤性，或影响信息系统的正常运⾏。

有害程序事件包括计算机病毒事件、蠕⾍事件、特洛伊⽊马事件、僵⼫⽹络事件、混合攻击程

序事件、⽹页内嵌恶意代码事件和其它有害程序事件等7个⼦类，说明如下：

a)计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响⽽导致

的信息安全事件。计算机病毒是指编制或者在计算机程序中插⼊的⼀组计算机指令或者程序代

码，它可以破坏计算机功能或者毁坏数据，影响计算机使⽤，并能⾃我复制；

b)蠕⾍事件（WI）是指蓄意制造、传播蠕⾍，或是因受到蠕⾍影响⽽导致的信息安全事件。蠕

⾍是指除计算机病毒以外，利⽤信息系统缺陷，通过⽹络⾃动复制并传播的有害程序；

c)特洛伊⽊马事件（THI）是指蓄意制造、传播特洛伊⽊马程序，或是因受到特洛伊⽊马程序影

响⽽导致的信息安全事件。特洛伊⽊马程序是指伪装在信息系统中的⼀种有害程序，具有控制

该信息系统或进⾏信息窃取等对该信息系统有害的功能；

d)僵⼫⽹络事件（BI）是指利⽤僵⼫⼯具软件，形成僵⼫⽹络⽽导致的信息安全事件。

僵⼫⽹络是指⽹络上受到⿊客集中控制的⼀群计算机，它可以被⽤于伺机发起⽹络攻击，进⾏

信息窃取或传播⽊马、蠕⾍等其他有害程序；

e)混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响

⽽导致的信息安全事件。混合攻击程序是指利⽤多种⽅法传播和感染其它系统的有害程序，可

能兼有计算机病毒、蠕⾍、⽊马或僵⼫⽹络等多种特征。混合攻击程序事件也可以是⼀系列有

害程序综合作⽤的结果，例如⼀个计算机病毒或蠕⾍在侵⼊系统后安装⽊马程序等；

f)⽹页内嵌恶意代码事件（WBPI）是指蓄意制造、传播⽹页内嵌恶意代码，或是因受到⽹页内

嵌恶意代码影响⽽导致的信息安全事件。⽹页内嵌恶意代码是指内嵌在⽹页中，未经允许由浏

览器执⾏，影响信息系统正常运⾏的有害程序；

g)其它有害程序事件（OMI）是指不能包含在以上6个⼦类之中的有害程序事件。

⽹络攻击事件（NAI）

⽹络攻击事件是指通过⽹络或其他技术⼿段，利⽤信息系统的配置缺陷、协议缺陷、程序缺陷

或使⽤暴⼒攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运⾏造成潜在危

害的信息安全事件。

⽹络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、⽹络扫描窃听事件、⽹

络钓鱼事件、⼲扰事件和其他⽹络攻击事件等7个⼦类，说明如下：

a)拒绝服务攻击事件（DOSAI）是指利⽤信息系统缺陷、或通过暴⼒攻击的⼿段，以⼤量消耗

信息系统的CPU、内存、磁盘空间或⽹络带宽等资源，从⽽影响信息系统正常运⾏为⽬的的信

息安全事件；

b)后门攻击事件（BDAI）是指利⽤软件系统、硬件系统设计过程中留下的后门或有害程序所设

置的后门⽽对信息系统实施的攻击的信息安全事件；

c)漏洞攻击事件（VAI）是指除拒绝服务攻击事件和后门攻击事件之外，利⽤信息系统配置缺

陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件；

d)⽹络扫描窃听事件（NSEI）是指利⽤⽹络扫描或窃听软件，获取信息系统⽹络配置、端⼝、

服务、存在的脆弱性等特征⽽导致的信息安全事件；

e)⽹络钓鱼事件（PI）是指利⽤欺骗性的计算机⽹络技术，使⽤户泄漏重要信息⽽导致的信息安

全事件。例如，利⽤欺骗性电⼦邮件获取⽤户银⾏帐号密码等；

f)⼲扰事件（II）是指通过技术⼿段对⽹络进⾏⼲扰，或对⼴播电视有线或⽆线传输⽹络进⾏插

播，对卫星⼴播电视信号⾮法攻击等导致的信息安全事件；

g)其他⽹络攻击事件（ONAI）是指不能被包含在以上6个⼦类之中的⽹络攻击事件。

信息破坏事件