TC260WG7N01_《信息安全事件分類分級指南》（編制說.doc

信息安全事件分類分級指南（征求意見稿）編制說明一、項目背景目前國外對信息安全事件的分類分級還沒有單獨的標準和指南，不過在與信息安全事件相關(guān)的標準或文獻中對信息安全事件的分類分級有所描述，例如ISO/IEC 18044信息安全事件管理、NIST SP 800-61計算機安全事件處理指南等。18044給出了信息安全事件的定義，明確提出應建立用于給事件“定級”的信息安全事件嚴重性衡量尺度。但18044沒有給出如何確定事件的級別，以及事件級別的描述，只在附錄給出了信息安全事件負面后果評估和分類的要點指南示例。18044中沒有給出具體的信息安全事件的分類，其第6節(jié)描述了信息安全事件及其原因的舉例，介紹了拒絕服務、信息收集和未經(jīng)授權(quán)訪問三種信息安全事件。在標準的附錄A：信息安全事件報告單示例中，列出了在事件報告中可參考的事件類別。NIST SP 800-61計算機安全事件處理指南針對安全事件處理，特別是安全事件相關(guān)數(shù)據(jù)的分析以及確定采用哪種方式來響應每一安全事件提供指南。在本指南中沒有明確給出計算機安全事件的定義，只是對安全事件作出了解釋。本治安介紹了安全事件的分類，但明確說明所列出的安全事件分類不是包羅一切的，也不打算對安全事件進行明確的分類。2003年出版的LAND Europe在為European Commission Directorate-General Information Society研究并得到授權(quán)和贊助的在歐盟國家中計算機和網(wǎng)絡濫用立法規(guī)程手冊2002年中，提出一個計算機濫用和安全事件的分析框架來描述和分類。手冊將信息安全事件分成了九類。并給出了它們的定義、使用的技術(shù)以及攻擊方法和特點。它只是將攻擊行為描述成樣本，而不是提供無一遺漏的清單。在國內(nèi)，北京市出臺了北京市國家機關(guān)重大信息安全事件報告制度（試行），并為配合報告制度，隨同發(fā)布了北京市國家機關(guān)信息安全事件定級指南（試行），其中對安全事件的分類分級做出了描述，并于05年進行了修訂?！皣揖W(wǎng)絡與信息安全信息通報中心”為規(guī)范和指導通報成員單位的信息安全事件的通報工作，編寫制定了網(wǎng)絡與信息安全事件分類分級辦法，本辦法規(guī)定了信息安全事件的分類分級原則并對事件的各類別和級別進行了描述，還規(guī)定了事件的報告流程。根據(jù)國家關(guān)于應急處理制度和網(wǎng)絡與信息安全信息通報制度的有關(guān)文件精神和要求，急需制定信息安全事件分類分級的標準，來指導用戶對信息安全事件進行分類定級，以便于更好的對信息安全事件進行應急處理和通報。信息安全事件的應急處理和通報是國家信息安全保障體系中的重要環(huán)節(jié)，也是重要的工作內(nèi)容。信息安全事件的分類分級是應急處理和通報的基礎。制定信息安全事件分類分級指南的目標是對信息安全事件進行合理的分類分級，其意義在于：促進信息安全事件信息的交流和共享；提高信息安全事件應急處理和通報的自動化程度；提高信息安全事件應急處理和通報的效率和效果；利于對信息安全事件進行統(tǒng)計分析；利于信息安全事件嚴重程度的確定。信息安全事件分類分級指南課題組在積極學習、研究、分析相關(guān)國際標準及資料的同時，組織編寫了信息安全事件分類分級指南，主要用于為國內(nèi)各組織實施應急處理和通報提供借鑒和參考，另外，更重要的是以國內(nèi)各組織的實際需求為基礎，研究合理的信息安全事件分類分級規(guī)范，為進一步促進該項工作，特向各專家廣泛征求意見。二、內(nèi)容概述現(xiàn)今信息安全問題日益凸現(xiàn)，信息安全事件時常發(fā)生，而且還沒有一勞永逸的解決方案能夠完全消除所有的信息安全風險。信息安全事件分類分級指南規(guī)定了信息安全事件的分類分級規(guī)范，用于信息安全事件的防范與處置，為事前準備、事中應對、事后處理提供一個基礎指南，可供信息系統(tǒng)的運營和使用組織參考使用。本標準旨在給出信息安全事件分類分級的普適性原則，各單位在使用時，可根據(jù)本標準規(guī)定的原則，結(jié)合自己單位的實際情況，制定適合自己單位的行業(yè)或部門規(guī)范，以便于操作。2.1 術(shù)語和定義本指南給出了信息系統(tǒng)以及信息安全事件的定義。信息安全事件一般發(fā)生于信息系統(tǒng)之中，但目前的標準中缺乏對信息系統(tǒng)的準確定義，因此，本指南在研究相關(guān)資料的基礎上，定義了信息系統(tǒng)的術(shù)語，參考了中華人民共和國計算機信息系統(tǒng)安全保護條例中關(guān)于“計算機信息系統(tǒng)”的定義。一個準確的信息安全事件的定義對于理解掌握信息安全事件的內(nèi)涵非常關(guān)鍵，另外，定義也要給出對信息安全事件的界定。本指南通過對現(xiàn)有信息安全事件的研究分析，對其特征進行歸納和總結(jié)，并參考其他標準以及專家的反饋意見，根據(jù)現(xiàn)有的一些定義結(jié)合項目要求總結(jié)出了信息安全事件的定義：由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影響的事件。2.2 信息安全事件分類信息安全事件的分類有利于對事件的快速確認，本指南給出了信息安全事件的分類規(guī)范，將事件劃分為七個基本類別：有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障、災害性事件和其他信息安全事件等。這七個基本分類的劃分主要考慮了信息安全事件發(fā)生的原因、表現(xiàn)形式等，以體現(xiàn)事件分類的可操作性，另一方面，為更清晰的對信息安全事件的類別進行說明，突出事件分類的科學性，本指南還給出了二層子類的劃分。其中“有害程序事件”不僅僅包括由“計算機病毒”所導致的信息安全事件，還包括由蠕蟲、木馬、僵尸網(wǎng)絡、混合攻擊程序以及網(wǎng)頁內(nèi)嵌惡意代碼等所導致的信息安全事件。對于此概念的解釋，我們參考了NIST SP 800-83中“Malware”的概念，同時結(jié)合我國的實際情況，對其進行了調(diào)整。信息內(nèi)容安全事件由于其特殊性，沒有完全按照其他類別的格式來描述。由于信息安全事件本身具有發(fā)生、發(fā)展以及事件發(fā)生后人們對事件認識程度會不斷深入的特性，因此，信息安全事件的分類具有動態(tài)性的特點。這意味著對同一信息安全事件的分類，從事中應對、事后處理的整個過程中的不同階段可能有不同的結(jié)果。另外，由于人們認知水平的差異性、局限性以及事件本身的復雜性，信息安全事件發(fā)生后，人們對信息安全事件的行為、表現(xiàn)形式、關(guān)注度、發(fā)生頻度等方面的認識會有較大的差異，在事件處理完畢、最終的評估分析結(jié)果確定之前，對信息安全事件的分類更多地取決于事件的判別主體對事件已知信息的快速匯總分析和主觀判斷的結(jié)果。因此，事件的分類具有主觀性的特點。信息安全事件分類是一個由粗逐步細化的過程。根據(jù)直觀判斷，可以對部分信息安全事件進行基本分類；借助工具和經(jīng)驗，可以對不能通過直觀判斷分類的信息安全事件進行基本分類和二層分類。由于事件的動態(tài)性和認識事件的主觀性，有時候無法對信息安全事件進行深入分類，事件分類流程可以中止在基本分類。在借助工具判斷時，可使用的工具有：各種類別的掃描工具、入侵檢測系統(tǒng)、殺毒軟件、日志分析工具、完整性校驗工具等。2.3 信息安全事件分級對信息安全事件進行分級的主要目的是使用戶可以根據(jù)不同的級別，制定并在需要時啟動相應的事件處理流程，級別描述的準確與否會影響用戶對事件級別的確定。本指南力求在對信息安全事件進行分級時，做到科學準確、描述嚴密，同時本指南主要用于信息安全事件的防范與處置，因此分級要考慮應急響應的因素，為與國家突發(fā)公共事件總體應急預案的相關(guān)內(nèi)容相協(xié)調(diào)，本指南將信息安全事件劃分為四級：特別重大事件（級）、重大事件（級）、較大事件（級）和一般事件（級），并給出了級別劃分的主要參考要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務對國家、社會和公眾的重要性，以及業(yè)務對信息系統(tǒng)的依賴程度，可據(jù)此劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)；系統(tǒng)損失是指由于信息安全事件對信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導致系統(tǒng)業(yè)務中斷，從而給事發(fā)組織和國家所造成的損失，其大小主要考慮恢復系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價；社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經(jīng)濟建設和公眾利益等方面的影響，其中“國家安全、社會秩序、經(jīng)濟建設和公眾利益”四個詞匯引自66號文：“關(guān)于信息安全等級保護工作的實施意見”。在使用信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響這三個參考要素確定事件級別時，為避免形成復雜的矩陣關(guān)系，我們將每個級別的滿足條件分兩個方面進行闡述，其中第一個方面主要考慮信息系統(tǒng)的重要程度和系統(tǒng)損失，第二個方面主要考慮社會影響，這兩個方面是或的關(guān)系，滿足其中任一個條件，都屬于此級別。在對信息系統(tǒng)的重要程度進行分級描述時，沒有對特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)做出解釋，我國的等級保護制度已經(jīng)在這方面做出了規(guī)定，為與等級保護制度相對應，特別重要信息系統(tǒng)對應于信息系統(tǒng)等級保護中的4級和5級系統(tǒng)，重要信息系統(tǒng)對應于3級系統(tǒng)，一般信息系統(tǒng)對應于1級和2級系統(tǒng)。另外，在分級時的一個原則是：“在特別重要信息系統(tǒng)中發(fā)生的最大級別事件為特別重大事件，在重要信息系統(tǒng)中發(fā)生的最大級別事件為重大事件，在一般信息系統(tǒng)中發(fā)生的最大級別事件為較大事件?！睂τ诜旨壱?guī)范的描述，考慮到不同的組織有不同的需求，很難用統(tǒng)一的定量的方式描述定義的參考要素，因此在本指南中，我們基本采用了抽象的描述方式，而沒有給出細粒度的量化，各組織在使用本指南時，可根據(jù)分級原則，結(jié)合組織的實際業(yè)務情況，確定不同級別的具體量化指標，以此指導信息安全事件的定級。三、編制過程為制定信息安全事件分類分級指南做準備，根據(jù)安標委WG7工作組的安排，2005年9月28日，由北京知識安全工程中心牽頭，在中心召開了信息安全事件分類分級研討會，邀請了多位專家出席。此次研討會在信息安全事件分類分級指南編制課題負責人趙戰(zhàn)生教授的主持下，重點討論研究了信息安全事件分類分級中的幾個關(guān)鍵問題，包括信息安全事件分類分級的目的、標準使用的范圍、信息安全事件的定義、分類原則以及分級原則等，與會專家表達了自己對這些關(guān)鍵問題的看法。2005年10月27日，由北京知識安全工程中心牽頭，成立了信息安全事件分類分級指南編制課題組，課題組成員包括：趙戰(zhàn)生、徐國愛、高志民、王連強、筍大偉、謝宗曉。課題組在11月4日召開討論會，在9月28日會議紀要的基礎上，對幾個關(guān)鍵問題初步達成了一致意見，并形成了基本的任務分工，明確了標準的編寫期限。在經(jīng)過信息安全事件分類分級指南編制課題組多次討論的基礎上，2005年11月底形成了信息安全事件分類分級指南的初稿，后經(jīng)過修正與完善，最終于2005年12月14日形成了征求意見稿。隨后將征求意見稿在部