《(安全生产)TCWGN_信息安全事件分类分级指南(编制说》由会员分享,可在线阅读,更多相关《(安全生产)TCWGN_信息安全事件分类分级指南(编制说(5页珍藏版)》请在金锄头文库上搜索。
1、信息安全事件分类分级指南(征求意见稿)编制说明一、项目背景目前国外对信息安全事件的分类分级还没有单独的标准和指南,不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述,例如ISO/IEC 18044信息安全事件管理、NIST SP 800-61计算机安全事件处理指南等。18044给出了信息安全事件的定义,明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别,以及事件级别的描述,只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类,其第6节描述了信息安全事件及其原因的举例,介绍了
2、拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A:信息安全事件报告单示例中,列出了在事件报告中可参考的事件类别。NIST SP 800-61计算机安全事件处理指南针对安全事件处理,特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义,只是对安全事件作出了解释。本治安介绍了安全事件的分类,但明确说明所列出的安全事件分类不是包罗一切的,也不打算对安全事件进行明确的分类。2003年出版的LAND Europe在为European Commission Directorate-General Information So
3、ciety研究并得到授权和赞助的在欧盟国家中计算机和网络滥用立法规程手册2002年中,提出一个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。并给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本,而不是提供无一遗漏的清单。在国内,北京市出台了北京市国家机关重大信息安全事件报告制度(试行),并为配合报告制度,随同发布了北京市国家机关信息安全事件定级指南(试行),其中对安全事件的分类分级做出了描述,并于05年进行了修订。“国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作,编写制定了网络与信息安全事件分类分级办法,本办
4、法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述,还规定了事件的报告流程。根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求,急需制定信息安全事件分类分级的标准,来指导用户对信息安全事件进行分类定级,以便于更好的对信息安全事件进行应急处理和通报。信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节,也是重要的工作内容。信息安全事件的分类分级是应急处理和通报的基础。制定信息安全事件分类分级指南的目标是对信息安全事件进行合理的分类分级,其意义在于:促进信息安全事件信息的交流和共享;提高信息安全事件应急处理和通报的自动化程度;提高信息安全事件应急处理
5、和通报的效率和效果;利于对信息安全事件进行统计分析;利于信息安全事件严重程度的确定。信息安全事件分类分级指南课题组在积极学习、研究、分析相关国际标准及资料的同时,组织编写了信息安全事件分类分级指南,主要用于为国内各组织实施应急处理和通报提供借鉴和参考,另外,更重要的是以国内各组织的实际需求为基础,研究合理的信息安全事件分类分级规范,为进一步促进该项工作,特向各专家广泛征求意见。二、内容概述现今信息安全问题日益凸现,信息安全事件时常发生,而且还没有一劳永逸的解决方案能够完全消除所有的信息安全风险。信息安全事件分类分级指南规定了信息安全事件的分类分级规范,用于信息安全事件的防范与处置,为事前准备、
6、事中应对、事后处理提供一个基础指南,可供信息系统的运营和使用组织参考使用。本标准旨在给出信息安全事件分类分级的普适性原则,各单位在使用时,可根据本标准规定的原则,结合自己单位的实际情况,制定适合自己单位的行业或部门规范,以便于操作。2.1 术语和定义本指南给出了信息系统以及信息安全事件的定义。信息安全事件一般发生于信息系统之中,但目前的标准中缺乏对信息系统的准确定义,因此,本指南在研究相关资料的基础上,定义了信息系统的术语,参考了中华人民共和国计算机信息系统安全保护条例中关于“计算机信息系统”的定义。一个准确的信息安全事件的定义对于理解掌握信息安全事件的内涵非常关键,另外,定义也要给出对信息安
7、全事件的界定。本指南通过对现有信息安全事件的研究分析,对其特征进行归纳和总结,并参考其他标准以及专家的反馈意见,根据现有的一些定义结合项目要求总结出了信息安全事件的定义:由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。2.2 信息安全事件分类信息安全事件的分类有利于对事件的快速确认,本指南给出了信息安全事件的分类规范,将事件划分为七个基本类别:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等。这七个基本分类的划分主要考虑了信息安全事件发生的原因、表现形式等,以体现事件分类的可
8、操作性,另一方面,为更清晰的对信息安全事件的类别进行说明,突出事件分类的科学性,本指南还给出了二层子类的划分。其中“有害程序事件”不仅仅包括由“计算机病毒”所导致的信息安全事件,还包括由蠕虫、木马、僵尸网络、混合攻击程序以及网页内嵌恶意代码等所导致的信息安全事件。对于此概念的解释,我们参考了NIST SP 800-83中“Malware”的概念,同时结合我国的实际情况,对其进行了调整。信息内容安全事件由于其特殊性,没有完全按照其他类别的格式来描述。由于信息安全事件本身具有发生、发展以及事件发生后人们对事件认识程度会不断深入的特性,因此,信息安全事件的分类具有动态性的特点。这意味着对同一信息安全
9、事件的分类,从事中应对、事后处理的整个过程中的不同阶段可能有不同的结果。另外,由于人们认知水平的差异性、局限性以及事件本身的复杂性,信息安全事件发生后,人们对信息安全事件的行为、表现形式、关注度、发生频度等方面的认识会有较大的差异,在事件处理完毕、最终的评估分析结果确定之前,对信息安全事件的分类更多地取决于事件的判别主体对事件已知信息的快速汇总分析和主观判断的结果。因此,事件的分类具有主观性的特点。信息安全事件分类是一个由粗逐步细化的过程。根据直观判断,可以对部分信息安全事件进行基本分类;借助工具和经验,可以对不能通过直观判断分类的信息安全事件进行基本分类和二层分类。由于事件的动态性和认识事件
10、的主观性,有时候无法对信息安全事件进行深入分类,事件分类流程可以中止在基本分类。在借助工具判断时,可使用的工具有:各种类别的扫描工具、入侵检测系统、杀毒软件、日志分析工具、完整性校验工具等。2.3 信息安全事件分级对信息安全事件进行分级的主要目的是使用户可以根据不同的级别,制定并在需要时启动相应的事件处理流程,级别描述的准确与否会影响用户对事件级别的确定。本指南力求在对信息安全事件进行分级时,做到科学准确、描述严密,同时本指南主要用于信息安全事件的防范与处置,因此分级要考虑应急响应的因素,为与国家突发公共事件总体应急预案的相关内容相协调,本指南将信息安全事件划分为四级:特别重大事件(级)、重大
11、事件(级)、较大事件(级)和一般事件(级),并给出了级别划分的主要参考要素:信息系统的重要程度、系统损失和社会影响。信息系统的重要程度主要考虑信息系统所承载的业务对国家、社会和公众的重要性,以及业务对信息系统的依赖程度,可据此划分为特别重要信息系统、重要信息系统和一般信息系统;系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织和国家所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价;社会影响是指信息安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,其中“国家安全、
12、社会秩序、经济建设和公众利益”四个词汇引自66号文:“关于信息安全等级保护工作的实施意见”。在使用信息系统的重要程度、系统损失和社会影响这三个参考要素确定事件级别时,为避免形成复杂的矩阵关系,我们将每个级别的满足条件分两个方面进行阐述,其中第一个方面主要考虑信息系统的重要程度和系统损失,第二个方面主要考虑社会影响,这两个方面是或的关系,满足其中任一个条件,都属于此级别。在对信息系统的重要程度进行分级描述时,没有对特别重要信息系统、重要信息系统和一般信息系统做出解释,我国的等级保护制度已经在这方面做出了规定,为与等级保护制度相对应,特别重要信息系统对应于信息系统等级保护中的4级和5级系统,重要信
13、息系统对应于3级系统,一般信息系统对应于1级和2级系统。另外,在分级时的一个原则是:“在特别重要信息系统中发生的最大级别事件为特别重大事件,在重要信息系统中发生的最大级别事件为重大事件,在一般信息系统中发生的最大级别事件为较大事件。”对于分级规范的描述,考虑到不同的组织有不同的需求,很难用统一的定量的方式描述定义的参考要素,因此在本指南中,我们基本采用了抽象的描述方式,而没有给出细粒度的量化,各组织在使用本指南时,可根据分级原则,结合组织的实际业务情况,确定不同级别的具体量化指标,以此指导信息安全事件的定级。三、编制过程为制定信息安全事件分类分级指南做准备,根据安标委WG7工作组的安排,200
14、5年9月28日,由北京知识安全工程中心牵头,在中心召开了信息安全事件分类分级研讨会,邀请了多位专家出席。此次研讨会在信息安全事件分类分级指南编制课题负责人赵战生教授的主持下,重点讨论研究了信息安全事件分类分级中的几个关键问题,包括信息安全事件分类分级的目的、标准使用的范围、信息安全事件的定义、分类原则以及分级原则等,与会专家表达了自己对这些关键问题的看法。2005年10月27日,由北京知识安全工程中心牵头,成立了信息安全事件分类分级指南编制课题组,课题组成员包括:赵战生、徐国爱、高志民、王连强、笋大伟、谢宗晓。课题组在11月4日召开讨论会,在9月28日会议纪要的基础上,对几个关键问题初步达成了
15、一致意见,并形成了基本的任务分工,明确了标准的编写期限。在经过信息安全事件分类分级指南编制课题组多次讨论的基础上,2005年11月底形成了信息安全事件分类分级指南的初稿,后经过修正与完善,最终于2005年12月14日形成了征求意见稿。随后将征求意见稿在部分专家范围内征求意见,于2005年12月20日召开了第一次专家评审会,与会专家经过讨论研究,提出了一些改进的建议。课题组汇总并分析研究了各位专家的意见,对信息安全事件分类分级指南征求意见稿进行了修改。完成后,课题组在2006年2月在国家重要信息系统及基础网络主管部门范围内征求意见,2006年3月汇总了各部门的反馈意见,据此对信息安全事件分类分级指南征求意见稿再次进行了修改,最终形成了本征求意见稿。信息安全事件分类分级指南编制课题组2006年4月11日5
