网络安全事件(cybersecurity incident)是随着网络技术(尤其是互联网技术)、软件技术等的发展与演进,成为多发态,为网络的正常运行、人们的正常使用带来了极大的影响乃至威胁。因此网络安全事件的防范和处置也成为了国家网络安全保障体系中的重要环节,也是重要的工作内容。
一、网络安全事件的分类与分级
1、网络安全事件的概念
网络安全事件(cybersecurity incident)在国家标准GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》中的定义是:由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。那么,网络安全(cybersecurity)的定义是:通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障数据的完整性、保密性、可用性的能力。
由上述定义可知,网络安全意指确保网络(电信网与互联网)正常运行,发挥其应有的功能,提供其正常服务的状态;网络安全事件意指这种状态被破坏的现象。一旦发生网络安全事故,将造成网络安全事件,导致网络安全事件的因素有人为因素和非人为因素。人为因素又分为无意行为(包括设计失误(导致软硬件缺陷或漏洞)、操作失误(导致网络工作运行失常)和故意行为(包括对网络的攻击、入侵及破坏)。非人为因素主要是指不可抗力因素(包括自然灾害、公共卫生事件、社会事件等导致的网络运行失常等)。
欲更多了解通信网络安全技术的请进入。
在信息化时代的当今,网络已经深刻地融入了经济、社会、生活的各个方面,网络安全威胁也随之向经济社会的各个层面渗透,网络安全的重要性随之不断提高。网络安全事件的防范和处置是国家网络安全保障体系中的重要环节,也是重要的工作内容。网络安全事件的分类分级是快速有效处置网络安全事件的基础之一。我国国家标准GB/T 20986《信息安全技术 网络安全事件分类分级指南》描述了网络安全事件分类和分级的方法,界定了网络安全事件类别和级别,并明确了网络安全事件分类代码等。GB/T 20986标准的编制目的详见下表1-1。若要详细了解GB/T 20986标准具体内容的请查阅下附件。
表 1-1:GB/T 20986标准的编制目的介绍
附件:GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》
欲更多了解关于网络安全事件相关国家标准情况的请进入。
2、网络安全事件的分类及分类代码
综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素,对网络安全事件进行分类,可分为:恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐患事件、异常行为事件、不可抗力事件和其他事件等10类,每类型之下再分若干子类。它们的含义及其子类详见下表1-2-1。
表 1-2-1:网络安全事件的类别含义及其子类
欲详细了解相关网络安全事件类型介绍的请进入:恶意程序事件;网络攻击事件
上表中同时给出了10类网络安全事件的分类代码。网络安全事件分类代码是对网络安全事件类别的编码,采用层次编码方法,代码由5位等长码构成,如下图1-2所示;每层的编码规则详见下表1-2-2。在GB/T 20986标准的附录B中给出了各自的子类(共计76个)事件代码,可查阅本文的附件。
图 1-2:网络安全事件编码结构
表 1-2-2:网络安全事件编码规则
3、网络安全事件的分级
一是分级级别。按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素,网络安全事件分为4个级别:特别重大事件、重大事件、较大事件和一般事件,由高到低分别用一级、二级、三级和四级标识。其分级规则详见下表1-3-1。
表 1-3-1:网络安全事件的分级级别及规则
二是分级方法。网络安全事件按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素进行分级。事件影响对象主要包括信息系统、通信网络设施和数据等。其中:事件影响对象的重要程度根据国家安全、社会秩序、经济建设和公众利益以及业务对事件影响对象的依赖程度进行评估,分为3个等级:特别重要、重要和一般,具体划分规则详见下表1-3-2。业务损失的严重程度由网络的硬件/软件、功能和数据的损坏导致业务中断影响的严重程度进行评估,其大小可取决于恢复业务正常运行和消除网络安全事件负面影响所需付出的代价,分为4个级别:特别严重、严重、较大和较小,具体划分规则也见表1-3-2中。社会危害的严重程度根据对国家安全、社会秩序、经济建设和公众利益等方面的危害程度进行评估,分为4个级别:特别重大、重大、较大和一般,具体划分规则也列在表1-3-2中。
表 1-3-2:网络安全事件的分级要素与分级方法
三是分级流程。对网络安全事件的分级根据三个分级要素进行评定,其流程如下:首先,确定网络安全事件影响对象的重要程度;接着,分别评定业务损失的严重程度和社会危害的严重程度;然后,根据表1-3-3和表1-3-4分别评定对应的网络安全事件级别;最后,两者中取高者确定为网络安全事件级别。网络安全事件分级流程示意图详见下图1-3。
表 1-3-3:网络安全事件级别与业务损失的严重程度的关系
表 1-3-4:网络安全事件级别与社会危害的严重程度的关系
图 1-3:网络安全事件分级流程示意图
4、网络安全事件类别和级别的关联关系
一个网络安全事件类别可能具有不同的网络安全事件级别, 这不仅取决于业务,还取决于网络安全事件的性质,例如:故意性、目标性、时机、量级。GB/T 20986的附录A详细的给出了网络安全事件类别和级别的关联关系,请查阅本文的附件。
二、网络安全事件的描述和交换格式(IODEF)
1、IODEF概述
随着互联网的发展,网络安全事件突破了国家或地区的边界,跨越多个组织,各应急响应组织间的合作也突破了国界、语言和文化的约束。在此背景下,我国特成立了国家计算机网络应急技术处理协调中心(CNCERT/CC),负责协调国内各计算机安全应急响应组共同处理国家公共互联网上的安全事件;相关电信运营企业、安全服务商、国有大型公司、教育科研机构以及国家有关部门也逐步成立了计算机安全应急响应组(简称应急响应组或 CSIRT,Computer Security Incident Response Team)。为了提高各应急响应组对安全事件的响应能力和预防能力,规范我国各应急响应组之间安全事件的描述和交换格式(IODEF,Incident Object Description and Exchange Format),特制定了GB/T 28517-2012《网络安全事件描述和交换格式》标准。
安全事件的描述和交换格式(IODEF)主要用于各应急响应组的事件处理系统(HIS) 之间信息交换,是一种表示层的通信协议,其应用环境如下图 2-1所示。一般情况下,应急响应组需要某种软件工具把安全事件相关的信息生成 IODEF 的事件报告,然后通过通信协议(如 HTTP、SMTP 等)发送给其他相关的组织;当 CSIRT 收到其他 CSIRT、网络服务商、用户或其他组织发送过来的 IODEF 文档时,一般需要经过事件处理系统中的 IODEF 解析模块或独立的 IODEF 解析程序生成符合 CSIRT 内部定义的数据格式,然后保存到本地事件报告数据库中,并进入事件处理的流程。
图 2-1:安全事件描述交换格式的应用环境
2、IODEF内容介绍
GB/T 28517-2012标准的定位是统一事件描述与交换的基础框架,解决跨部门、跨企业协作难题。解决了早期网络安全事件频发且处置缺乏统一规范,各机构描述、交换数据混乱的乱想。GB/T 28517-2012详细描述了包括IODEF所定义的类(Class),共19个,和IODEF的扩展(8个扩展类)及实现指南等。下表2-2-1列出了IODEF的基本类与扩展类名称。定义的每类包括:类说明、类图、子类、属性、Schema 定义和DTD 定义共6部分,具体详见下表2-2-2的描述。
表 2-2-1:IODEF的基本类与扩展类名称
表 2-2-2:IODEF每类包括的内容构成
欲详细了解GB/T 28517-2012标准具体内容的请进入。
三、网络安全事件的应急演练指南
由于网络攻击手段不断翻新,从传统的恶意软件、网络钓鱼,向更为复杂的供应链攻击、零日漏洞攻击转变;且这些新型攻击方式影响范围广、危害程度深,随着物联网、5G 网络等新兴技术普及,网络边界愈发模糊,安全风险呈指数级增长。因此建立网络安全事件应急工作机制,开展应急演练是减少和预防网络安全事件造成损失和危害的重要保证。为规范和指导网络安全事件应急演练工作,制定网络安全事件应急演练指南是必要的。于是,2020年国家首次发布了GB/T 38645-2020《信息安全技术 网络安全事件应急演练指南》标准,规定了网络安全事件应急演练实施的目的、原则、形式、方法及规划,并描述了应急演练的组织架构以及实施过程。
1、安全事件应急演练的定义、目的与原则
网络安全事件应急演练是指:有关政府部门、企事业单位、社会团体组织相关人员,针对设定的突发事件模拟情景,按照应急预案所规定的职责和程序,在特定的时间和地域,开展应急处置的活动。下表3-1列出了安全事件应急演练的目的与原则。
表 3-1:安全事件应急演练的目的与原则
2、安全事件应急演练形式的分类方法
安全事件应急演练形式的可有不同的分类方法,通常可按照应急演练的组织形式(可分为桌面推演、模拟演练和实操演练)、内容(可分为专项演练和综合演练)、目的和作用(可分为检验性演练、示范性演练和研究性演练)等多个维度进行分类,下表3-2描述了各类演练形式的含义。不同分类方法的演练相互组合,可以形成专项桌面推演、综合性桌面推演、专项实操演练、综合性实操演练、专项示范演练、综合性示范演练等常用演练形式,在GB/T 38645-2020的附录 A中给以详细描述。关于应急演练的组织架构以及实施过程要求的内容也见标准原文,这里不再赘述。
表 3-2:安全事件应急演练形式
欲详细了解GB/T 38645-2020标准具体内容的请进入。
另外,为了应对和防范网络安全突发事件,国家专门出发了《国家网络安全事件应急预案》,旨在建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力。该《应急预案》的编制,依据了GB/T 20986标准对网络安全事件的分类与分级。
欲详细了解《国家网络安全事件应急预案》内容的请进入。
欲进一步了解网络安全的等级划分与等级保护的请进入。
