密码应用安全管理体系制度之安全事件报告及处理办法

第一章  事件分类

根据国家相关管理部门对计算机安全事件等级划分方法，计算机安全事件分为：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全、设备设施故障事件、灾害性事件。

第一条 有害程序事件（MI）

有害程序事件：有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事 件、网页内嵌恶意代码事件和其它有害程序事件等7个子类：

a) 计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制；

b) 蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序；

c) 特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影 响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制 该信息系统或进行信息窃取等对该信息系统有害的功能；

d) 僵尸网络事件（BI）是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络 是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序；

e) 混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有 害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等；

f) 网页内嵌恶意代码事件（WBPI）是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内 嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序；

g) 其它有害程序事件（OMI）是指不能包含在以上6个子类之中的有害程序事件。

第二条 网络攻击事件（NAI）

网络攻击事件： 网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使 用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。 网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类：

a) 拒绝服务攻击事件（DOSAI）是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件；

b) 后门攻击事件（BDAI）是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件；

c) 漏洞攻击事件（VAI）是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件；

d) 网络扫描窃听事件（NSEI）是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件；

e) 网络钓鱼事件（PI）是指利用欺骗性的计算机网络技术，使用户泄漏重要信息而导致的信息安全事件。例如，利用欺骗性电子邮件获取用户银行帐号密码等；

f) 干扰事件（II）是指通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件；

g) 其他网络攻击事件（ONAI）是指不能被包含在以上6个子类之中的网络攻击事件。

第三条 信息破坏事件（IDI）

信息破坏事件：信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类：

a) 信息篡改事件（IAI）是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件；

b) 信息假冒事件（IMI）是指通过假冒他人信息系统收发信息而导致的信息安全事件，例如网页假冒等导致的信息安全事件；

c) 信息泄漏事件（ILEI）是指因误操作、密钥丢失、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件；

d) 信息窃取事件（III）是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件；

e) 信息丢失事件（ILOI）是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件；

f) 其它信息破坏事件（OIDI）是指不能被包含在以上5个子类之中的信息破坏事件。

第四条 信息内容安全事件（ICSI）

国家安全事件：信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下4个子类：

a) 违反宪法和法律、行政法规的信息安全事件；

b) 针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；

c) 组织串连、煽动集会游行的信息安全事件；

d) 其他信息内容安全事件等4个子类。

第五条 设备设施故障（FF）

 设备设施故障：由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类：

a) 软硬件自身故障（SHF）是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件；

b) 外围保障设施故障（PSFF）是指由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件，例如电力故障、外围网络故障等导致的信息安全事件；

c) 人为破坏事故（MDA）是指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、 破坏造成的信息安全事件；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、 软件等遭到破坏，影响信息系统正常运行的信息安全事件；

d) 其它设备设施故障（IF-OT）是指不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。

第六条 灾害性事件（DI）

灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。

第七条 其他事件（OI）

其他事件类别是指不能归为以上6个基本分类的信息安全事件。

第二章  信息定义与分级

根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。

第一条 特别重大事件（Ⅰ级）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受特别严重的系统损失，产生特别重大的社会影响。

第二条 重大事件（Ⅱ级）重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失，产生的重大的社会影响。

第三条 较大事件（Ⅲ级）较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失，产生较大的社会影响。

第四条 一般事件（Ⅳ级）一般事件是指不满足以上条件的信息安全事件，包括以下情况： 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失，产生一般的社会影响。

第三章  事件报告、处置及后期恢复

第一条 安全事件报告，对本单位网络和密码设备的运行状况进行密切监测时，一旦发生规定的密码安全突发事件，应当立即通过电话等方式向密码应用安全组织委员会报告，不得迟报、谎报、瞒报、漏报。报告突发事件信息时，应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。

第二条 安全事件风险评估，通过多种途径监测、收集密码设备漏洞病毒、唯密文攻击、侧信道攻击、差分类攻击、线性类攻击、模差分攻击、中间相遇攻击、协议攻击、代数攻击等密码安全隐患和预警信息，对发生突发事件的可能性及其可能造成的影响进行分析评估。

第三条 安全事件响应，针对即将发生的密码安全突发事件的特点和可能造成的危害，采取下列措施： 

（一） 密码应用安全应急处置组成员及时收集、报告有关信息，加强密码安全风险的监测。

（二） 加强事态跟踪分析评估，密切关注事态发展，重要情况及时汇报。

（三） 实行24小时值班，应急处置组等相关人员保持通信联络畅通。

（四） 组织研究制定防范措施和应急工作方案，协调调度各方资源，第三方厂商进入待命状态，做好各项准备工作，重要情况报密码应用安全组织委员会。

（五） 密码应用安全应急处置组针对安全事件研究制定应对方案，检查设备软件工具等，及时对突发事件处置，控制事态，消除隐患。

第五条 安全事件处置，处置流程遵循：响应分级-先行处置-启动响应-事态跟踪-决策部署-结束响应。

（一） 先行处置，密码安全突发事件发生后，按照规定立即向上级报告的同时，应当立即启动本单位安全事件处置机制，组织应急处置工作组人员采取应急处置措施，尽最大努力恢复密码设备系统的运行，尽可能减少对用户和社会的影响，同时注意保存密码攻击、入侵或病毒的证据。

（二） 启动响应后，密码应用安全事件处置组立即将突发事件情况向密码应用安全组织委员会报告；处置组进入应急状态，实行24小时值班，应急处置相关人员保持联络畅通，业务信系统的使用单位派员参加应急处置恢复、攻击溯源、影响评估、信息发布、跨部门协调等工作。

（三） 安全事件跟踪，启动响应后，处置组持续加强监测，跟踪事件发展，检查影响范围，密切关注舆情，及时将事态发展变化、处置进展情况、相关舆情报上级委员会。

（四） 决策部署，①启动响应后，密码应用安全组织委员会紧急召开会议，听取各相关方面情况汇报，研究紧急处置措施，对处置工作进行决策部署。②针对突发安全事件的类型、特点和原因，处置组采取以下措施：挂起攻击密钥、启用备份的密钥、密码应用相关数据、关闭端口、带宽紧急扩容、查找控制攻击源、过滤攻击流量、暂时关闭相关密码设备等。对大规模用户信息泄露事件，及时告知受影响的用户，并告知用户减轻危害的措施，防止发生次生、衍生事件的必要措施。③做好信息报送，及时向上级的网络安全应急办公室等报告突发事件处置进展情况，视情况通报突发事件有关情况。

（五） 结束响应及后期恢复，突发事件的影响和危害得到控制或消除后，根据密码应用安全组织委员会批准后结束。

第六条 事后总结，密码突发安全事件应急响应结束后相关部门对事件进行溯源、总结，并对应对工作中突出的集体和个人给予表彰或奖励，对事故责任人给予问责处分。

（一） 调查评估，密码突发安全事件响应结束后，处置组及时调查突发起因（包括直接原因和间接原因）、经过、责任，评估突发事件造成的影响和损失，总结突发安全事件防范和处置工作的经验教训，提出处理意见和改进措施，在响应结束后15个工作日内形成总结报告，上报密码应用安全组织委员会。

（二） 奖惩问责，密码应用安全组织委员会对密码安全突发事件应对工作中作出突出贡献的先进集体和个人给予表彰或奖励。对不按照规定，迟报、谎报、瞒报和漏报突发事件重要情况，或在安全事件处置工作中有其他失职、渎职行为的单位或个人，由行政人事部门给予约谈、通报或依法、依规给予问责或处分。