信息安全事件分类分级与应急处理

信息安全事件分类分级与应急处理一、信息安全事件分类二、信息安全事件分级三、信息安全事件应急处理四、具体事例应急处理安徽省卫生厅信息中心定义•信息系统informationsystem--由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。•信息安全事件informationsecurityincident--由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。信息安全事件分类安徽省卫生厅信息中心事件分类•信息安全事件可以是故意、过失或非人为原因引起的。综合考虑信息安全事件的起因、表现、结果等，对信息安全事件进行分类。有害程序事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障灾害性事件其他信息安全事件信息安全事件分类安徽省卫生厅信息中心有害程序事件•有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。•有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。信息安全事件分类安徽省卫生厅信息中心有害程序事件•有害程序事件包括：计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件混合攻击程序事件网页内嵌恶意代码事件其他有害程序事件信息安全事件分类安徽省卫生厅信息中心网络攻击事件•网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。信息安全事件分类安徽省卫生厅信息中心网络攻击事件•网络攻击事件包括：拒绝服务攻击事件后门攻击事件漏洞攻击事件网络扫描窃听事件网络钓鱼事件干扰事件其他网络攻击事件信息安全事件分类安徽省卫生厅信息中心信息破坏事件•信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息安全事件分类安徽省卫生厅信息中心信息破坏事件•信息破坏事件包括：信息篡改事件信息假冒事件信息泄漏事件信息窃取事件信息丢失事件其他信息破坏事件信息安全事件分类安徽省卫生厅信息中心信息内容安全事件•信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息安全事件分类安徽省卫生厅信息中心信息内容安全事件•信息内容安全事件包括：违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件。信息安全事件分类安徽省卫生厅信息中心设备设施故障•设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。信息安全事件分类安徽省卫生厅信息中心设备设施故障•设备设施故障包括：–软硬件自身故障–外围保障设施故障–人为破坏事故–其他设备设施故障信息安全事件分类安徽省卫生厅信息中心灾害性事件•灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。•灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。信息安全事件分类安徽省卫生厅信息中心其他信息安全事件•其他信息安全事件是指不能归为以上6个基本分类的信息安全事件。信息安全事件分级安徽省卫生厅信息中心分级考虑要素•三个要素：–信息系统的重要程度–系统损失–社会影响信息安全事件分级安徽省卫生厅信息中心分级考虑要素•信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。信息安全事件分级安徽省卫生厅信息中心分级考虑要素•系统损失指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价信息安全事件分级安徽省卫生厅信息中心分级考虑要素•系统损失：–特别严重的系统损失–严重的系统损失–较大的系统损失–较小的系统损失信息安全事件分级23安徽省卫生厅信息中心分级考虑要素•特别严重的系统损失造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的。信息安全事件分级24安徽省卫生厅信息中心分级考虑要素•严重的系统损失造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的。信息安全事件分级25安徽省卫生厅信息中心分级考虑要素•较大的系统损失造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是可承受的。信息安全事件分级26安徽省卫生厅信息中心分级考虑要素•较小的系统损失造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除信息安全事件所需付出的代价较小。信息安全事件分级27安徽省卫生厅信息中心分级考虑要素•社会影响指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响。信息安全事件分级28安徽省卫生厅信息中心分级考虑要素•社会影响：•特别重大的社会影响•重大的社会影响•较大的社会影响•一般的社会影响信息安全事件分级29安徽省卫生厅信息中心分级考虑要素•特别重大的社会影响波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益。信息安全事件分级30安徽省卫生厅信息中心分级考虑要素•重大的社会影响波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对经济建设有重大的负面影响，或者损害到公众利益。信息安全事件分级31安徽省卫生厅信息中心分级考虑要素•较大的社会影响波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益。信息安全事件分级32安徽省卫生厅信息中心分级考虑要素•一般的社会影响波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民或其它组织的利益会造成影响。信息安全事件分级33安徽省卫生厅信息中心特别重大事件重大事件较大事件一般事件。信息安全事件分级34安徽省卫生厅信息中心•特别重大事件（I级）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受到特别严重的系统损失；产生特别重大的社会影响。信息安全事件级35安徽省卫生厅信息中心•重大事件（II级）重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受到特别严重的系统损失、或使重要信息系统遭受到特别严重的系统损失；产生重大的社会影响。信息安全事件级36安徽省卫生厅信息中心•较大事件（III级）较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受到严重的系统损失；一般信息系统遭受特别严重的系统损失；产生较大的社会影响。信息安全事件级安徽省卫生厅信息中心•一般事件（IV级）一般事件是指不满足以上条件的信息安全事件，包括以下情况：会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受到较大的系统损失，一般信息系统遭受到严重或严重以下级别的系统损失；产生一般的社会影响。37信息安全事件应急处理安徽省卫生厅信息中心•应急处理实际上是网络安全保障工作的具体体现。各种防护方案、安全设施、策略规定等，广义上都可以理解为应急处理工作的一部分。而完整的应急处理工作的各个阶段，则体现了网络安全保障的不间断过程。•应急处理分六个阶段：准备、检测、抑制、根除、恢复、总结。信息安全事件应急处理安徽省卫生厅信息中心准备此阶段以预防为主。微观上的工作包括：·建立安全政策；·按照安全政策配置安全设备和软件；·扫描、风险分析、打补丁；·建立监控设施。宏观上的工作包括：·建立协作体系和应急制度；·建立信息沟通渠道和通报机制。信息安全事件应急处理安徽省卫生厅信息中心有害程序、网络攻击、信息破坏、信息内容安全事件的防范：服务器、终端设备需安装安全产品硬件防火墙是最基本的配置有条件的可以配备防病毒网关、IPS、IDS、负载均衡设备、WEB安全网关、上网行为管理设备等网络安全产品信息安全事件应急处理安徽省卫生厅信息中心设备设施故障的防范：软件故障：操作系统重要系统最好使用UNIX或者LINUX数据库管理系统硬件故障：双备份、单备份重要的设备一定要用双机配置，避免单点故障，例如：防火墙、交换机、路由器、存储、核心服务器，等。信息安全事件应急处理安徽省卫生厅信息中心•外围保障设施故障的防范：电力故障：双路市电接入（不同变电所）外围网络故障：双线路接入（不同运营商）空调故障：双精密空调或者双工业空调信息安全事件应急处理安徽省卫生厅信息中心•灾害性事件的防范：火灾：火灾自动报警器（与大楼报警联动）、火灾探测器（烟感、温感）、气体灭火系统水灾：防水处理（防水坝、漏水报警感应线等）雷击：防雷接地系统具体事例应急处理安徽省卫生厅信息中心•当发现有计算机被感染上病毒后，应立即将该机从网络上隔离开来。对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处