有问题可私聊:QQ:3375119339
目录
一、安全事件分级
-
在对安全事件的应急响应过程中,有一重要环节是对安全事件进行分级分类
-
在不同标准中不同场景下,对安全事件的分级分类标准也不同
-
依据对安全事件分级分类,可以快速的判断安全事件的第一处置措施
-
参照中央网信办2017年6月印发的《国家网络安全事件应急预案》
-
将网络安全事件分为4级
- 特别重大网络安全事件
- 重大网络安全事件
- 较大网络安全事件
- 一般网络安全事件
-
特别重大网络安全事件,符合下列情形之一:
- 重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
- 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
- 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
-
重大网络安全事件,符合下列情形之一:
- 重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
- 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
- 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
-
较大网络安全事件,符合下列情形之一且未达到重大网络安全事件:
- 重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
- 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
- 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
-
一般网络安全事件
-
除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
-
网络和信息系统损失程度划分说明
- 特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响对于事发组织是不可承受的;
- 严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的
-
较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的
-
较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小
-
依据《GB/z 20986-2007信息安全技术信息安全事件分类分级指南》安全事件分级有更详细指标
二、应急事件分级
-
参照GBT 28827.3 – 2012 信息技术服务 运维维护 第3部分:应急响应规范
-
应急事件级别划分有更加量化的方法
-
首先,应急事件分级参考因素有三个维度
- 信息系统的重要程度
- 信息系统服务时段
- 信息系统受损程度
-
信息系统的重要程度
- 信息系统安全利益主体
- 信息系统处理的业务信息类别
- 信息系统服务范围
- 业务对信息系统的依赖程度
-
参照上述维度,对信息系统的重要程度划分为4级,由其在经济建设、社会管理、公共服务、生产经营的中的重要性决定。参照GB/T 22240-2008
-
信息系统服务时段赋值表
-
信息系统损失程度赋值表
-
事件定级步骤,将上述三个要素赋值
- 信息系统的重要程度,取值1-4
- 信息系统服务时段赋值表,取值1-3
- 信息系统损失程度赋值表,取值1-3
-
将三要素相乘,得到取值范围为1~36,其中
- 三级事件为1~6
- 二级事件为8~18
- 一级事件为26~36
三、安全事件分类
-
国家标准 GB/Z20986-2007《信息安全事件分类指南》根据信息安全事件的起因、表现、结果等,将信息安全事件分为7个基本分类,每个基本分类包括若干个子类。
-
一、恶意程序事件(计算机病毒事件,蠕虫事件,特洛伊木马事件,僵尸网络事件,混合攻击程序事件,网页内嵌恶意代码事件,其他有害程序事件)
-
二、网络攻击事件(拒绝服务器攻击事件,后门攻击事件,漏洞攻击事件,网络扫描窃听事件,网络钓鱼事件,干扰事件,其他网络攻击事件)
-
三、信息破坏事件(信息篡改事件,信息假冒事件,信息泄露事件,信息窃取事件,信息丢失事件,其他信息破坏事件)
-
四、信息内容安全事件(违反宪法和法律,行政法规的信息安全事件、针对社会事项进行讨论评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件、组织串联,煽动集会游行的信息安全事件、其他信息内容安全事件)
-
五、设备设施故障(软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障)
-
六、灾害性事件
-
七、其他信息安全事件
-
在企业层面,不同企业有不同的应用场景与业务需求。所以事件的分级与响应没有统一执行的标准。
-
实际在执行过程可以借鉴ISO 27005风险管理的方法,来执行企业的安全事件定义
-
或者依据国家标准,简单的从受影响人数、经济损失、系统中断时长来定义安全事件等级,进而采取不同响应
四、常见安全事件原因分析
1.web入侵
- WEB入侵事件,依据2017版owasp top10 ,有以下类型攻击
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
1290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
