某市国家机关信息安全事件定级指南.docx

1、 北京市国家机关信息安全事件定级指南（试行） 目   录 1 引言... 1 2 信息安全事件定义... 1 3 信息安全事件分级... 1 3.1 分级参考要素... 1 3.2 事件的分级描述... 1 3.3 分级规范... 2 4 信息安全事件分类... 3 4.1 分类参考要素... 3 4.2 分类规范... 3 5 信息安全事件定级、分类的流程与方法... 10 5.1 事件定级分类的特点... 10 5.2 定级流程与方法... 10 5.3 分类流程与方法... 11 附件1：信息安全

2、事件报告表... 14 附件2：信息安全事件处理结果报告表... 15      1 引言 为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的要求和2004年1月全国信息安全保障工作会议精神，依据《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》（京办发[2004]3号）关于进一步完善信息安全政策法规和标准体系的工作部署，市信息办组织制定了《北京市国家机关重大信息安全事件报告制度》（试行），该制度已于2004年8月1日起正式实施。为配合该制度实施和北京市国家机关信息安全应急响应其他工作的开展，需要对信息安全

3、事件进行科学地定级和分类。 《北京市国家机关信息安全事件定级指南》对信息安全事件定义，信息安全事件分级、分类规范，信息安全事件定级、分类方法及流程等进行了系统的阐述。 本指南适用于事发单位、信息安全管理部门及信息安全事件调查部门对信息安全事件的定级和分类。 2 信息安全事件定义 信息安全事件是指对计算机系统或网络系统的可用性、完整性、保密性、真实性、可核查性和可靠性造成危害的事件，或者是在计算机系统或网络系统中发生的对社会造成负面影响的其他事件。 信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。 信息安全事件的客体是指受信息安全事件影

4、响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点，信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。 3 信息安全事件分级 对信息安全事件分级是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 本章在明确信息安全事件分级要素的基础上，给出信息安全事件的分级规范。 3.1 分级参考要素 信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下： （1）信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素； （

5、2）公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素； （3）业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素； （4）资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。 3.2 事件的分级描述 根据信息安全事件所造成后果的严重程度，信息安全事件可划分为5个等级。其中1级危害程度最高，5级危害程度最低。 各级别的信息安全事件具体描述如下： 1级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏，对社会稳定和国家安全产生灾难性的危害；

6、2级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏，对社会稳定、国家安全造成严重危害； 3级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏，对社会稳定、国家安全产生一定危害； 4级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏； 5级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小。 3级和3级以上的信息安全事件称为重大信息安全事件。 3.3 分级规范 3.3.1

7、信息密级 根 据《中华人民共和国保守国家秘密法》规定，国家秘密的密级分为“绝密”、“机密”、“秘密”三个等级。“绝密”是最重要的国家秘密，泄露会使国家的安全和 利益遭受非常严重的损害；“机密”是重要的国家秘密，泄露会使国家的安全和利益遭受严重的损害；“秘密”是一般的国家秘密，泄露会使国家的安全和利益遭受 损害。同时单位的工作秘密、单位的敏感信息和个人隐私的泄漏也会造成不同程度的影响和损害。 综合以上方面，信息密级分级规范如表3-1所示。 表3-1信息密级分级规范 级别 信息密级 1级

8、 明确标注有“绝密”的信息失窃或泄密 2级 明确标注有“机密”的信息失窃或泄密 3级 明确标注有“秘密”的信息失窃或泄密 4级 本单位的工作秘密信息失窃或泄密 5级 本单位敏感信息或个人隐私信息的失窃或泄密 加密机等保密设备失窃的信息安全事件请参照表3-1中相应密级信息失窃或泄密信息安全事件处理。 3.3.2 公众影响 依据信息安全事件的公众影响，对信息安全事件分级主要参考信息安全事件负面影响的范围和程度进行划分。分级结果如表3-2所示。 表3-2公众影响分级规范

9、                  发生时间 影响范围和程度 敏感时期[1] 平常时期[2] 对国家安全造成影响的信息安全事件 1~2级 2~3级 对社会稳定造成影响的信息安全事件 1~2级 2~3级 对事发单位的正常工作秩序、单位的形象和声誉等造成影响的信息安全事件 3~4级 4级 只对事发单位部分人员的正常工作秩序造成影响的信息安全事件 4~5级 5级 [1] 敏感时期是指国家或北京市举行重大活动期间、重大节假日期间或重大政治事件、重大历史事件的发生日等特

10、殊时期。 [2] 平常时期是指除敏感时期以外的时期。 3.3.3 业务影响 根 据信息安全事件的业务影响，对信息安全事件分级主要涉及信息系统的安全等级和业务中断的时间两个因素。这里信息系统的安全等级引用《关于本市各级党政机关 网络与信息系统开展安全等级保护工作的通知》和《北京市党政机关网络与信息系统安全定级指南（试行）》中信息系统安全等级的概念。业务影响参考要素分级规 范如表3-3所示。 表3-3业务影响分级规范          中断时间 信息 系统安全等级 4小时以内 4小时（含）以上， 8小时以内

11、 8小时（含）以上 5 2~3级 1~2级 1~2级 4 2~3级 1~2级 1~2级 3 3~4级 2~3级 1~2级 2 4~5级 3~4级 3级 1 5级 4~5级 3~4级 3.3.4 资产损失 根据信息安全事件所造成的资产损失，对信息安全事件的分级结果如表3-4所示。 表3-4资产损失分级规范 级别 合计资产损失（人民币） 1级 1000万元（

12、含）以上 2级 300万元（含）~1000万元之间 3级 50万（含）~300万元之间 4级 5万元（含）~50万元之间 5级 5万元以下 4 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的重要依据。 本章在明确信息安全事件分类参考要素的基础上，依据分类参考要素给出信息安全事件的分类规范。 4.1 分类参考要素 信息安全事件分类的参考要素包括信息安全事件行为、信息安全事件客体、信息安全事件主体和信息安全事件发生频度等。 4.2 分类规范

13、 依据分类参考要素，信息安全事件可分为环境灾害、常规事故、内容异常、网络或系统异常和其他事件等5个第一层分类，在此基础上，信息安全事件又细分成若干个第二层和第三层分类，具体类别参见表4-1。 表 4-1 信息安全事件分类规范 第一层分类 第二层分类 第三层分类 环境灾害 自然灾害 水灾 地震灾害 地质灾害 气象灾害 自然火灾 其他自然灾害 人为灾害 人为火灾 恐怖袭击 战争 其他人为灾害 外围保障设施 故障 电力故障 外围网络故障 其他外围保障设施故障

14、常规事故 有意事故 硬件窃取 软件窃取 数据窃取 故意破坏硬件设备 故意破坏软件 故意破坏数据 其他有意事故 无意事故 硬件设备遗失 软件遗失 数据遗失 误操作破坏硬件 误操作破坏软件 误操作破坏数据 其他无意事故 软硬件自身故障 软件自身故障 硬件自身故障 内容异常 反动内容 通过邮件传播反动信息 网页被篡改为反动页面 通过网页传播反动信息 通过其他方式传播反动信息 色情内容 通过邮件传播色情信息 网页被篡改为色情页面

15、通过网页传播色情信息 通过其他方式传播色情信息 敏感内容 通过邮件传播敏感信息 通过网页传播敏感信息 通过其他方式传播敏感信息 其他异常内容 垃圾邮件 网页被篡改成异常信息 通过网页传播其他异常信息 通过其他方式传播异常信息 网络或系统异常 计算机病毒 传统计算机病毒 邮件病毒 脚本病毒 蠕虫病毒 木马程序 其他计算机病毒 间接攻击 扫描探测 网络监听 口令攻击 网络社交攻击 其他方式间接攻击 直接攻击 拒绝服务攻击 后门攻击

16、漏洞攻击 其他方式直接攻击 其他事件 不能归为以上四个第一层分类的信息安全事件 4.2.1 环境灾害 环境灾害类别是指对计算机系统或网络系统的自身运行环境或外围保障条件造成影响而导致的信息安全事件。 环境灾害类别包括自然灾害、人为灾害和外围保障设施故障等三个第二层分类。 4.2.1.1 自然灾害 自然灾害类别是指由于自然灾害对计算机系统或网络系统造成物理破坏而导致的信息安全事件。 自然灾害类别的信息安全事件根据成因的不同又可以分为水灾、地震灾害、地质灾害、气象灾害、自然火灾和其他自然灾害等第三层分类，各第三层分类的描述如表4-2所示。

17、 表4-2 自然灾害类别 类别 说明 水灾 由暴雨、洪涝灾害等自然因素而导致的信息安全事件 地震灾害 由地震而导致的信息安全事件 地质灾害 由地质或建筑设计不合理等因素造成的坍塌事故而导致的信息安全事件 气象灾害 由雷击等气象灾害而导致的信息安全事件 自然火灾 由电力线路老化和易燃易爆物自然氧化等非人为因素引起的火灾而导致的信息安全事件 其他自然灾害 由于除以上五类因素之外的自然灾害因素而导致的信息安全事件 4.2.1.2 人为灾害 人为灾害类别是指由于人为因素对事发单位计算机系统或网络系统造成破坏

18、而导致的信息安全事件。 根据成因的不同，人为灾害类别的信息安全事件可分为人为火灾、恐怖袭击、战争及其他人为灾害等第三层分类，各第三层分类的描述如表4-3所示。 表4-3 人为灾害类别 类别 说明 人为火灾 人为纵火或人为失火而导致的信息安全事件 恐怖袭击 由汽车炸弹、人体炸弹、施放毒气等恐怖活动而导致的信息安全事件 战争 由战争因素而导致的信息安全事件 其他人为灾害 由以上三类因素之外的人为灾害因素而导致的信息安全事件 4.2.1.3 外围保障设施故障 外围保障设施故障类别是指由于保障事发单位计算机系统或网络系

19、统正常运行所必须的外部设施出现故障而导致的信息安全事件。 根据成因的不同，外围故障设施类别的信息安全事件可分为电力故障、外围网络故障及其他外围保障设施故障等第三层分类，各第三层分类的描述如表4-4所示。 表4-4 外围保障设施故障类别 别 说明 电力故障 由于供电线路、供电设备出现故障或供电调配的原因而导致的信息安全事件 外围网络故障 事发单位自身计算机系统和网络系统正常，但由于保障该单位信息系统正常工作的外围网络传输信道出现故障而导致该单位信息系统无法对外正常服务的信息安全事件，例如因施工切断光缆或非法偷盗光缆而导致信息安全事件 其他外围保障

20、 设施故障 事发单位自身计算机系统和网络系统正常，但由于保障该单位信息系统正常工作的除电力系统、外围网络之外的外围保障设施的故障而导致该单位信息系统无法对外正常服务的信息安全事件，如：DNS服务器、CA服务器等故障 4.2.2 常规事故 常规事故类别指因为使用常规手段人为地对硬件、软件、数据造成危害，或者由于软硬件自然故障而导致的信息安全事件。这里的常规手段特指网络技术之外的常规手段。根据事件行为动机或原因，常规事件类别可以进一步分为有意事故、无意事故和软硬件故障等三个第二层分类。 4.2.2.1 有意事故 有意事故类别是指蓄意对保障计算机系统或网络系统正常

21、运行的硬件、软件及数据等实施窃取、破坏造成的信息安全事件。 根据事件行为的不同，有意事故类别的信息安全事件可分为硬件窃取、软件窃取、数据窃取、故意破坏硬件设备、故意破坏软件、故意破坏数据及其他有意造成的事故等第三层分类，各第三层分类的描述如表4-5所示。 表4-5 有意事故类别 类别 说明 硬件窃取 窃取计算机系统、计算机部件、网络设备、信息安全设备等硬件的信息安全事件 软件窃取 因非法复制软件或窃取软件存储介质等导致的信息安全事件 数据窃取 因非法复制重要数据或窃取重要数据信息存储介质等导致的信息安全事件 故意破坏 硬件设备

22、 蓄意破坏计算机系统、计算机部件、网络设备、信息安全设备等，造成硬件设备物理损坏的信息安全事件 故意破坏软件 通过非法删除、篡改等方式蓄意破坏支撑信息系统正常运行的操作系统、数据库系统、应用业务系统等相关软件系统，导致信息系统无法正常运行的信息安全事件 故意破坏数据 非法删除、篡改信息系统中重要数据，导致信息系统无法正常运行的信息安全事件 其他有意事故 除以上六类情况之外的其他蓄意行为导致的信息安全事件 4.2.2.2 无意事故 无意事故类别是指由于遗失、误操作以及其他无意行为造成的，影响计算机系统或网络系统正常运行的信息安全事件。

23、根据事件行为的不同，无意事故类别的信息安全事件可分为硬件设备遗失、软件遗失、数据遗失、误操作破坏硬件、误操作破坏软件、误操作破坏数据及其他无意造成的事故等第三层分类。各第三层分类的描述如表4-6所示。 表4-6 无意事故类别 类别 说明 硬件设备遗失 与信息系统正常运行和使用相关的计算机系统、计算机部件、网络设备、信息安全设备等硬件丢失的信息安全事件 软件遗失 由于与信息系统正常运行和使用相关的软件遗失而导致的信息安全事件 数据遗失 因信息系统中重要数据信息遗失而导致的信息安全事件 误操作破坏硬件 因误操作造成与信息系统正常运行和使

24、用相关的计算机系统、计算机部件、网络设备、信息安全设备等硬件损坏而导致的信息安全事件 误操作破坏软件 因误操作造成与信息系统正常运行和使用相关的软件系统损坏而导致的信息安全事件 误操作破坏数据 因误操作造成信息系统重要数据信息损坏的信息安全事件 其他无意事故 以上六种情况之外的人为失误而造成的信息安全事件 4.2.2.3软硬件自身故障 软硬件自身故障类别是指因信息系统中硬件设备的自然故障、软硬件设计或者软硬件运行环境发生变化等原因而导致的信息安全事件。软硬件自身故障类别分为软件自身故障和硬件自身故障两个第三层分类，各第三层分类描述如表4-7。

25、 表4-7 软硬件自身故障类别 类别 说明 软件自身故障 由于软件设计存在漏洞或软件系统运行环境发生变化等原因而导致软件运行不正常的信息安全事件 硬件自身故障 由于硬件设计不合理、硬件自然老化失效等原因引起硬件设备故障而导致信息系统不能正常运行的信息安全事件 4.2.3 内容异常 内容异常类别是指因制造、传播异常内容信息而导致的信息安全事件，异常内容信息是指对人们身心健康、事发单位声誉、社会稳定或国家安全等具有负面影响的数据信息。内容异常类别包括反动内容、色情内容、敏感内容及其他异常内容等第二层分类。 4.2.3.1 反动内容 反动内容

26、是指煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一；煽动民族仇恨、民族歧视，破坏民族团结；组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施等损害国家根本利益的信息。 反动内容类别是指通过计算机系统或网络系统传播反动信息的信息安全事件。 根据传播途径的不同，反动内容类别的信息安全事件可分为通过邮件传播反动信息、网页被篡改为反动页面、通过网页传播反动信息或以其他方式传播反动信息等第三层分类，各第三层分类的描述如表4-8所示。 表4-8 反动内容类别 类别 说明 通过邮件传播 反动信息 利用电子邮件传播反动内容的信息安全事件

27、 网页被篡改为 反动页面 未经授权将网站中的网页更换为攻击者所提供的、包含反动信息的网页的信息安全事件 通过网页传播 反动信息 通过非法架设网站、开启论坛，或利用职务之便在所管辖的服务器上传播反动信息的信息安全事件 通过其他方式传播反动信息 通过除电子邮件、网页以外的其他方式传播反动信息的事件 4.2.3.2 色情内容 色情内容类别是指通过计算机系统或网络系统传播色情信息的信息安全事件。 根据传播途径的不同，色情内容类别的信息安全事件可分为通过邮件传播色情信息、网页被篡改为色情页面、通过网页传播色情信息或以其他方式传播色情信息等第

28、三层分类，各第三层分类的描述如表4-9所示。 表4-9 色情内容类别 类别 说明 通过邮件传播 色情信息 利用电子邮件传播色情内容的信息安全事件 网页被篡改为 色情页面 未经授权将网站中的网页更换为攻击者所提供的、包含色情内容的网页的信息安全事件 通过网页传播 色情信息 通过非法架设网站、开启论坛，或利用职务之便在所管辖的服务器上传播色情信息的信息安全事件 通过其他方式传播色情信息 通过除电子邮件、网页以外的其他方式传播色情信息的事件 4.2.3.3 敏感内容 敏感信息是指可能引起公众不满情绪的内容信息

29、 敏感内容类别是指通过计算机系统或网络系统传播敏感信息的信息安全事件。 根据传播途径的不同，敏感内容类别的信息安全事件可分为通过邮件传播敏感信息、通过网页传播敏感信息或以其他方式传播敏感信息等第三层分类，各第三层分类的描述如表4-10所示。 表4-10 敏感内容类别 类别 说明 通过邮件传播 敏感信息 利用电子邮件传播敏感信息的信息安全事件 通过网页传播 敏感信息 通过非法架设网站、开启论坛，或利用职务之便在所管辖的服务器上传播敏感信息的信息安全事件 通过其他方式传播敏感信息 通过除电子邮件、网页以外的其他方式传播敏感

30、信息的事件 4.2.3.4 其他异常内容 其他异常内容类别是指通过计算机系统或网络系统传播除反动信息、色情信息和敏感信息之外的异常信息的信息安全事件。 根据传播途径的不同，其他异常内容类别的信息安全事件可分为垃圾邮件、网页被篡改为其他异常信息、通过网页传播其他异常信息或以其他方式传播异常信息等第三层分类，各第三层分类的描述如表4-11所示。 表4-11 其他异常内容类别 类别 说明 垃圾邮件 因在互联网上大量复制并发送内容相同、收件人不愿意接收的电子邮件而导致的信息安全事件 网页被篡改成 异常信息 未经授权将网站中的网页更换为攻击者

31、所提供的、包含除反动信息、色情信息、敏感信息以外其他异常内容的网页的信息安全事件 通过网页传播其他异常信息 通过非法架设网站、开启论坛，或利用职务之便在所管辖的服务器上传播如赌博、暴力等其他异常信息的信息安全事件 通过其他方式 传播异常信息 以邮件和网页以外的其他方式，传播除反动信息、色情信息、敏感信息以外的其他异常信息的信息安全事件 4.2.4 网络或系统异常 网络或系统异常类别是指通过网络或其他手段，使用暴力攻击或利用计算机系统或网络系统的配置缺陷、协议缺陷、程序缺陷对计算机系统或网络系统实施攻击而导致的信息安全事件。 网络或系统异常类别的信

32、息安全事件可分为计算机病毒、间接攻击和直接攻击等三个第二层分类。 4.2.4.1 计算机病毒 计算机病毒类别是指蓄意制造、传播计算机病毒或因受到计算机病毒影响而导致的信息安全事件。 计算机病毒类别的信息安全事件可以分为传统计算机病毒、邮件病毒、脚本病毒、蠕虫病毒、木马程序和其他计算机病毒等第三层分类，各第三层分类的描述如表4-12所示。 表4-12计算机病毒类别 类别 说明 传统计算机病毒 由于制造、传播或因受到传统计算机病毒影响而导致的信息安全事件，其中传统计算机病毒特指不能通过电子邮件、网站页面等常见互联网服务进行直接传播和感染的计算机病毒

33、 邮件病毒 由于制造、传播或因受到邮件病毒影响而导致的信息安全事件，其中邮件病毒是指通过电子邮件方式进行传播和感染的计算机病毒 脚本病毒 由于制造、传播或因受到脚本病毒影响而导致的信息安全事件，其中脚本病毒是指通过JavaScript、VBScript、ActiveX等网页脚本语言方式进行传播和感染的计算机病毒 蠕虫病毒 由于制造、传播或因受到蠕虫病毒影响而导致的信息安全事件，其中蠕虫病毒特指除邮件病毒以外，利用网络系统或计算机系统缺陷，通过网络自动传播的计算机病毒 木马程序 由于制造、传播或因受到木马程序影响而导致的信息安全事件 其他计算机病毒

34、 由于制造、传播或因受到不能归为以上类别的计算机病毒影响而导致的信息安全事件 4.2.4.2 间接攻击 间接攻击类别是指除属常规事故类别和计算机病毒类别以外的，以获取计算机系统或网络系统配置、账号、口令、服务等重要信息为主要目的，对计算机系统或网络系统当前运行造成潜在危害的信息安全事件。 根据实施途径的不同，间接攻击类别的信息安全事件可分为扫描探测、网络监听、口令攻击、网络社交攻击和其他方式间接攻击等第三层分类，各第三层分类的描述如表4-13所示。 表4-13间接攻击类别 类别 说明 扫描探测 通过网络扫描的手段获取重要信息的信息安全事件

35、 网络监听 通过监听的手段获取重要信息的信息安全事件 口令攻击 利用口令攻击软件或程序，通过暴力猜测口令的方式获取口令信息的信息安全事件 网络社交攻击 因在网络聊天室、网络虚拟社区、电子论坛等互联网虚拟场所骗取重要信息而导致的信息安全事件 其他方式间接攻击 通过其他方式非法获取重要信息的信息安全事件 4.2.4.3 直接攻击 直接攻击是指除属计算机病毒类别以外的，通过网络或其他途径，利用计算机系统或网络系统的配置缺陷、协议缺陷、程序缺陷或使用暴力对计算机系统或网络系统实施攻击，并造成计算机系统或网络系统异常的信息安全事件。 根据实施途

36、径的不同，直接攻击类别的信息安全事件可分为拒绝服务攻击、后门攻击、漏洞攻击及其他方式恶意攻击等第三层分类，各第三层分类的描述如表4-14所示。 表4-14直接攻击类别 类别 说明 拒绝服务攻击 利用计算机系统或网络系统缺陷、或通过暴力的手段，以大量消耗计算机系统或网络系统的CPU、内存、磁盘空间或网络带宽等资源为目标的信息安全事件 后门攻击 利用软件系统、硬件系统设计过程中留下的后门而对信息系统实施攻击的信息安全事件 漏洞攻击 除拒绝服务攻击、后门攻击之外的，利用计算机系统或网络系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击而导致的

37、信息安全事件 其他方式 直接攻击 利用其他方式对计算机系统和网络系统实施直接攻击的信息安全事件 4.2.5 其他事件 其他事件类别是指不能归为以上四个第一层分类的信息安全事件。 5 信息安全事件定级、分类的流程与方法 在给出信息安全事件定义、信息安全事件分级规范和信息安全事件分类规范的基础上，本章将说明事件定级、分类的流程和方法。 5.1 事件定级分类的特点 信息安全事件定级分类具有以下两个主要特点： （1）动态性：由于信息安全事件本身具有发生、发展以及事件发生后人们对事件认识程度会不断深入的特性，因此，信息安全事件的定级分类具有动态

38、性的特点。这意味着对同一信息安全事件的定级分类，从报告、应急处置到调查处理评估的整个过程的不同阶段可能有不同的结果。 （2） 主观性：由于人们认知水平的差异性、局限性以及事件本身的复杂性，信息安全事件发生后，人们对信息安全事件所造成的公众影响、业务影响、资产损失和造成信 息安全事件的原因的认识会有较大的差异，在事件处理完毕、最终的评估分析结果确定之前，对信息安全事件的定级分类更多地取决于事件的判别主体对事件已知信 息的快速汇总分析和主观判断的结果。因此，事件的定级分类具有主观性的特点。 由 于对信息安全事件的定级分类具有动态性和主观性的特点，因此，在出现信息安全事件时，相关单位的相

39、关人员在运用本指南时，可根据当时所掌握的信息对该事件 的定级、分类给出阶段性评定结果。当由于事件升级或对事件认识程度提高而引起对同一事件的分类定级结果发生变化时，应及时更新定级分类结果，并上报或备 案。 5.2 定级流程与方法 信息安全事件定级流程如图5-1所示。 图 5-1 信息安全事件定级流程 在事件定级过程中，首先依据信息密级、公众影响、业务影响和资产损失等四个参考要素，按照表3-1、表3-2、表3-3和表3-4分别对信息安全事件定级，根据四个参考要素的定级结果，再进一步对信息安全事件综合定级。 信 息安全事件的综合定级需根据四个参考要素的定级结

40、果综合评定，但由于各种信息安全事件的性质不同，其结果和造成的影响也相差很大，目前很难设计出一种科学 的加权算法，以通过四个参考要素的定级结果直接获得信息安全事件的综合定级结果，因此，为使对信息安全事件的定级具有可操作性，信息安全事件的综合定级可 分两个阶段进行： （1）从信息安全事件发生到事后调查处理前的阶段，对事件的综合定级直接选取四项参考要素中的最高定级结果作为事件的综合定级结果； （2）在信息安全事件的事后调查处理阶段，对事件的综合定级需根据事件的性质和造成的实际影响，参考各阶段四个要素的定级结果，进行全面评估和分析，以获得该事件的最终综合定级结果。 由于信息安全事件的

41、四个参考要素的定级结果对事件的全面描述具有重要意义，因此，完成信息安全事件定级之后，需要将各项参考因素的定级结果和事件的综合定级结果一同填写到附件1、附件2的表中，其中附件1（信息安全事件报告表）用于信息安全事件上报，附件2（信息安全事件处理结果报告表）用于信息安全事件的调查处理备案。 5.3 分类流程与方法 对 信息安全事件进行分类，实际上就是查找事件原因和途径的工作。导致信息安全事件的原因多种多样，对事件原因的判断，有的比较简单，有的则比较复杂。通常， 对信息安全事件的分类是一个不断深入、不断细化的过程，应采取由粗到细、从简到繁、由浅入深的方法判定信息安全事件的类别。 运

42、用本指南开展信息安全事件报告工作时，可根据当时所掌握的信息对该事件的类别作出初步判定，并按时限要求及时上报。 信息安全事件分类流程一般由初步判定事件客体、直觉判断、借助工具判断和搜集详细信息等四个步骤组成，详细如图5-2所示。 图 5-2 信息安全事件分类流程图 5.3.1 初步确定事件客体 根据信息安全事件的异常现象，初步确定信息安全事件的客体。 5.3.2 直觉判断 环 境灾害、内容异常和部分常规事故具有较为明显的特征，不需要借助工具就可以较容易地发现、判别和排查。对于信息安全事件，首先根据异常现象进行直觉判断， 如果属于环境灾害、内容异常和

43、常规人为事故，可以直接进入搜集详细信息的环节；如果暂时不能够确定事件类别，则需要借助工具来判断事件类别。 5.3.3 借助工具判断 根据事件客体类别的不同，选取不同的工具，对事件类别进行判定。由于环境灾害和内容异常两类事件已经排除，对于需借助工具判断的事件应属于网络或系统异常、常规人为事故或其他类别的事故。 在借助工具判断时，可使用的工具有：各种类别的扫描工具、入侵检测系统、杀毒软件、日志分析工具、完整性校验工具等。 5.3.4 搜集详细信息 前 面通过直觉判断可以确定环境灾害、内容异常和部分常规人为事故三类事件；借助工具，可以确定其他通过直觉不能判断的常规人为事

44、故、网络或系统异常类别事 件。至此完成了信息安全事件的初步分类。要对在初步分类中不能确定其第二层、第三层分类的信息安全事件继续进行分类，需要借助工具搜集更详细的信息，例 如： （1）查看计算机安全软件的报警记录或日志信息，包括防火墙、VPN、入侵检测系统、杀毒软件等；使用文件完整性检查工具检验系统完整性等； （2）查看受影响设备、主机、应用程序的日志信息，确认是否存在异常日志信息； （3）通过互联网查询或通过安全产品供应商、杀毒软件厂商、应急响应组织及相关安全组织了解信息安全事件相关信息。 最后根据所获得的信息，参考表4-1确定信息安全事件的二层和三层类别。 完成

45、信息安全事件分类之后，需要将最终的分类结果填写到附件相应的表中。 附件1：信息安全事件报告表 报告时间：    年  月  日  时  分                  （注：单位名称处需加盖公章） 单位名称   报告人   联系电话   通讯地址   传    真   电子邮件   负责部门   负责人   信息安全事件的客体 名称   类别 □ 网络基础设施      □ 信息系统      □ 信息内容 用途描述：   信息安全事

46、件的简要描述（如以前出现过类似情况也应加以说明）             初步判定的事件类别 事件一层类别 □ 环境灾害   □ 常规事故   □ 内容异常 □ 网络或系统异常   □ 其他事件 事件二层类别   事件三层类别   信息安全事件初步定级结果 信息密级要素定级结果 □ 1级  □ 2级  □ 3级  □ 4级  □ 5级 公众影响要素定级结果 □ 1级  □ 2级  □ 3级  □ 4级  □ 5级 业务影响要素定级结果 □ 1级  □ 2级  □ 3级 

47、 □ 4级  □ 5级 资产损失要素定级结果 □ 1级  □ 2级  □ 3级  □ 4级  □ 5级 综合定级结果 □ 1级  □ 2级  □ 3级  □ 4级  □ 5级 当前采取的应对措施   本次信息安全事件的初步影响状况 事件后果 □业务中断 □系统破坏 □数据丢失 □其他                                                                             影响范围 □单台主机 □   台主机 □整个信息系统 □ 整个局域网 □     附件2：信息安全事件处理结果报告表 原事件报告时间：    年  月   日  时  分 备案编号：xxxx年xx月xx日 第xxx号 总第xxx号        （注：单位名称处需加盖公章）