成都工业学院网络安全应急响应预案(试行)
1 总则
1.1 编制目的
为了切实做好成都工业学院网络安全事件的防范和应急响应工作,保障成都工业学院的系统安全稳定运行,提高应对突发安全事件的组织指挥能力和应急处置能力,保证应急响应工作迅速、高效、有序地进行,预防和减少网络安全事件造成的损失和危害,提高应急保障队伍响应速度,结合成都工业学院实际情况,特制订本应急响应预案。
1.2 编制依据
为了贯彻落实《中华人民共和国网络安全法》、教育部《关于加强教育行业网络与信息安全工作的指导意见》(教技【2014】4号)、教育部《教育系统网络安全事件应急预案》(教技【2018】8号)、四川省教育系统网络安全事件应急预案(试行),参考《国家网络安全事件应急预案》、《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》、《信息安全技术信息安全事件分类分级指南》(GB/T 20986—2023 ),制定本应急响应预案。
1.3 适用范围
本预案适用于在成都工业学院(后简称“我校”)发生的可能影响网络和信息系统或其中的数据造成危害,对我校或社会造成负面影响的网络安全事件,包括恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、不可抗力事件和其他事件,详见附件1。
(1)网络攻击与信息泄露事件:指系统因病毒感染、非法入侵等原因造成成都工业学院网站主页被恶意篡改、交互式栏目和邮件系统发布有害信息;应用服务器与相关应用系统被非法入侵,应用服务器上的数据被非法拷贝、篡改、删除;在网站上发布的内容违反国家的法律法规、侵犯知识版权并造成严重后果等,由此导致的数据损坏、业务中断、系统宕机、网络瘫痪等异常事件。
(2)故障事件:指系统因系统运行环境(如:网络设备和计算机软硬件故障、掉电等)、人为操作失误等导致数据损坏、业务中断、系统宕机、网络瘫痪等。
(3)灾害事件:指因洪水、火灾、雷击、地震、台风等自然环境因素导致系统损毁,造成数据损坏、业务中断、系统宕机、网络瘫痪等。
(4)舆情事件处置:参见《成都工业学院网络舆情管理与处置办法》。
1.4 工作原则
成都工业学院对信息安全事件的处理主要依照以下原则:
(1)统一指挥
成都工业学院网络安全和信息化领导小组(以下简称网信领导小组)统筹协调学校网络安全应急体系建设及指挥工作,建立与省教育厅、省网安局、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
(2)分级负责
应急响应的整体指导工作由应急响应领导小组负责,应急响应的具体执行由应急响应执行(实施)小组负责,应急响应日常巡查工作由执行小组统筹安排、安全负责人组织实施。
按照“谁主管谁负责、谁运维使用谁负责”的原则,各职能部门及二级院系对本部门网络安全工作负主体责任。领导班子主要负责人是网络安全工作第一责任人。
(3)及时响应
针对应急响应事件的突发性,响应要求的及时性,减少响应流程的层级结构、提高响应反应速度和效率,以便应对突发事件的高效运转和实时掌握信息动态反馈,及时有效地作出应急响应。
2 组织机构与职责
学校应急响应工作机构按照角色划分为 2 个功能小组:应急响应领导小组,应急响应执行小组。信息安全事件发生后,在领导小组的统一部署下,工作人员各司其职,并严格按照应急响应预案组织实施应急响应工作。
2.1应急响应领导机构与职责
应急响应领导小组由成都工业学院学校书记、校长、主管意识形态工作副书记、主管网络和信息工作副校长、党政办主任、宣传部部长、保卫处处长、网络与信息中心主任、学校网络安全技术负责人等领导组成。
对学校的信息安全工作进行全面的分析研究,制定工作方案,提供人员和物质保障,指导和协调各部门(单位)实施网络安全应急预案,处置各类危害校园信息安全的突发事件。其职责主要包括:
(1)贯彻落实上级主管部门的工作要求和国家有关方针政策,审定网络与信息安全事件应急响应相关政策及规定;
(2)审核并批准应急响应计划,批准和监督应急响应预案的执行。
(3)启动/终止应急预案,并负责成都工业学院网络与信息安全应急工作的总体指挥和协调;
(4)根据上级部门指示,制定成都工业学院和学院重大网络与信息安全事件的应急处理实施方案,并向省教育厅汇报实施进展情况。
(5)督促、指导应急响应执行小组进行应急响应工作并负责相关的外部组织、协调工作。
2.2应急响应执行机构与职责
应急响应执行小组由网络与信息管理中心人员、各核心业务系统管理人员、网络安全厂家和服务支持单位)技术人员组成。
当由于系统崩溃、病毒攻击、非法入侵等原因造成校园网运行异常或瘫痪时,根据信息安全事件的发展态势和实际情况,具体负责现场应急处置工作,尽快恢复学校网络的正常运行。其职责主要包括:
(1)负责与省教育厅的具体沟通与协调,并向信息安全领导小组提出相关工作建议;
(2)组织起草、修改成都工业学院网络与信息安全应急处理预案及相关规定;
(3)按照网络与信息安全领导小组下达的命令和指示,落实应急指令,具体协调处理网络与信息安全应急工作,保障信息系统尽快恢复正常运行;
(4)在应急响应期间,负责现场指挥协调,组织学校落实互联网安全应急处理技术措施;
(5)在应急响应期间,及时收集汇总各相关部门上报/反馈的事件进展情况,向网络与信息安全应急处置领导小组报告并提出建议,并向教育厅上报相关安全事件处理信息;
(6)日常监控巡查工作、组织网络安全监测工作;
(7)研究分析信息安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议;
(8)分析信息安全事件原因及造成的危害,为应急响应提供技术支持。
2.3其他机构与职责
2.3.1党委宣传部
对涉及学校安全稳定和师生利益的突发、重大舆情事件等,应按相关预案第一时间进行合理处置。
2.3.2保卫处
(1)协助信息化中心及各单位进行现场取证的工作。
(2)协助信息化中心与公安机关的联系.
(3)下达来自公安机关网络安全事件处置要求等。
2.3.3校外单位
(1)服务器提供商
包括网络和信息系统的运维服务提供商、云服务提供商、物业公司等,应签订安全责任书,在应急处置过程中提供相应协助。
(2)供应商
包括设备提供商、软件厂商、运营商、电力等,应保持经常联络与协作,在应急处置过程中提供相应协助。
3 监测与预警
3.1预警分级
根据《信息安全技术信息安全事件分类分级指南》(GB/T 20986—2023 ),学校的网络通信平台、应用平台和信息系统,参照国家有关信息安全等级保护的要求,按照最终确定的保护等级采取相应的安全保障措施。不断完善网络安全防御系统,包括防火墙、堡垒机、上网行为管理、日志审计系统等,并对网络设备的安全性进行合理配置,根据实际需要做好升级更新工作。
建立健全校内网络与系统(网站)监测预警机制,加强对可能引发网络信息安全事件相关信息的收集、分析与持续监测,加强相关网络安全设备和监测预警系统的配置及升级换代,实现“早发现、早报告、早处置”。
信息与网络管理中心负责进行全校范围内网络与系统(网站)实施安全监测,在收到相关部门预警及主动扫描发现安全风险后应及时发布安全通报;各单位收到信息与网络管理中心发布的通报后及时按要求整改并提交文档;各单位负责实施本单位网络与系统(网站)的安全监测,一旦发现网络安全威胁应立即上报信息与网络管理中心,并及时完成预警报告。
3.2预警响应
收到网络安全威胁预警后,由信息与网络管理中心进行取证以及风险评估,若存在紧急风险,信息与网络管理中心根据监测与评估结果情况发布预警信息并向网络安全与信息化工作委员会进行汇报,根据威胁情况启动相应预案,必要时执行断网、关闭服务器等措施防止事态扩大。
发布预警信息后,信息与网络管理中心与相关技术支撑队伍对预警现场情况进行跟踪和态势分析与分级预判。根据预判,若可能发生Ⅲ级及以下网络安全事件,由信息与网络管理中心组织技术支撑队伍做好应急准备或处置;若可能发生Ⅱ级及以上网络安全事件,信息与网络管理中心应及时上报网络安全与信息化工作委员会,研究制定应对方案,积极做好应急处置准备或保障,在处置期间实行24小时值守,若事态发展可能超过学校控制能力,应及时上报上级部门。
4 应急响应流程
4.1 事件通报
4.1.1 信息通报
应急响应执行工作小组在接收、监控到有信息安全事件后,首先报告给应急响应领导小组,由应急响应领导小组根据事件涉及信息系统重要程度、损失情况以及对工作和社会造成的影响判定安全等级同时依据判定等级下发应急指令,并将重大及以上的事件上报上级主管部门。
应急响应领导小组在决定启动应急响应后,以应急指令形式(包括电话、短信、邮件、IM即时通行工具等通信方式均可)下达应急响应执行小组执行人,并由应急响应执行小组负责人快速协调,按应急响应工作与实施方案执行应急响应处置、记录报告工作。
4.1.2 信息披露
根据信息安全事件的严重程度,应急响应领导小组指派有关人员按照相关规定和要求及时向新闻媒体发布相关信息,同时其他小组和个人必须坚守各自岗位,未经允许,不得擅自发布误导信息,共同做好维护稳定工作。
4.2 事件分类与定级
信息安全事件发生后,应急响应执行小组协调日常工作小组对事件进行评估,确定事件的类别与级别后,方可上报至应急响应领导小组。
4.2.1 事件的分类
根据GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》,网络安全事件分为恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐患事件、异常行为事件、不可抗力事件和其他事件等10个基本分类。
1.恶意程序事件
恶意程序指带有恶意意图所编写的一段程序,该程序插入网络损害网络中的数据、应用程序或操作系统,或影响网络的正常运行。恶意程序事件指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件。
恶意程序事件包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件。
2.网络攻击事件
网络攻击事件指通过技术手段对网络实施攻击而导致业务损失或造成社会危害的网络安全事件。
网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、D\ S污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件和其他网络攻击事件。
3.数据安全事件
数据安全事件指通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等业务损失或造成社会危害的网络安全事件。
数据安全事件包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等。
4.信息内容安全事件
信息内容安全事件指通过网络传播危害国家安全、社会稳定、公共安全和利益的有害信息导致业务损失或造成社会危害的网络安全事件。
信息内容安全事件包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等。
5.设备设施故障事件
设备设施故障事件指由于网络自身出现故障或设备设施受到破坏或干扰而导致业务损失或造成社会危害的网络安全事件。
设备设施故障事件包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等。
6.违规操作事件
违规操作事件指人为故意或意外地损害网络功能而导致业务损失或造成社会危害的网络安全事件。
违规操作事件包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等。
7.安全隐患事件
安全隐患事件指网络中出现能被攻击者利用的漏洞或隐患,一旦被利用可能对网络造成破坏,进而导致业务损失或造成社会危害的网络安全事件。提前发现这些漏洞或隐患能防范由此引起的其他网络安全事件。
安全隐患事件包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等。
9.不可抗力事件
不可抗力事件指因突发事件损害网络的可用性而导致业务损失或造成社会危害的网络安全事件。
不可抗力事件包括自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件和其他不可抗力事件等。
10.其他事件
其他事件指未归为上述分类的网络安全事件。
4.2.2 事件的分级
对信息安全事件的分级主要考虑三个要素:信息系统的重要程度、系统损失和社会影响。根据以上考虑因素,信息安全事件可划分为四个级别:特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(III级)和一般事件(Ⅳ级),由高到低分别为一级、二级、三级和四级。
(1)特别重大事件(I级)
特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括:会使特别重要的信息系统遭受特别严重的系统损失(如:学校基础设施网络、重要信息系统、核心网站(如官网、管理后台)瘫痪,导致核心业务长时间业务中断,直接导致学校运行、管理出现严重事故;网络或信息系统被攻击,导致信息被篡改、重要或隐私类数据被泄露,并导致重大后果,严重影响学校或社会声誉等);产生特别重大的社会影响。
(2)重大事件(Ⅱ级)
重大事件是指能够导致严重影响或破坏的信息安全事件。(如:学校基础设施、核心系统、主网站服务中断,导致主要业务较长时间中断,导致学校运行不畅;网络或信息系统被攻击,导致信息被篡改、重要或隐私类数据被泄露,但是导致影响较小的、损失较轻的)会使特别重要的信息系统遭受严重的系统损失或使重要信息系统遭受特别严重的系统损失;产生重大的社会影响。
(3)较大事件(III级)
较大事件是指能够导致较严重影响或破坏的信息安全事件,包括:会使特别重要的信息系统遭受较大的系统损失或使重要信息系统遭受较重的系统损失、一般信息系统遭受特别严重的系统损失;产生较大的社会影响。
(4)一般事件(Ⅳ级)
一般事件是指不满足以上条件的信息安全事件,包括:会使特别重要的信息系统遭受较小的系统损失或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重或严重以下级别的系统损失;产生一般的社会影响。
4.3 应急启动
对于特别重大(I级)、重大(Ⅱ级)以及较大事件(III级),应按照快速有序的原则启动应急,并由应急响应领导小组发布应急响应启动令,对于特别紧急情况,本预案通过后自动授权相关人员紧急处置权限。网络安全应急处理流程如下图:
对于一般事件,通过日常监测和维护就可以解决的安全事件则不需启动应急,由应急响应执行小组协调安全责任人、系统管理员直接进行应急处置。
4.4 应急处置
应急响应预案启动后,应急响应执行小组应立即采取相关措施抑制信息安全事件的影响,避免造成更大的损失。
应急处置实施原则如下:
安全事件处置包括三个阶段:
3.4.1事发:
1.第一时间采取有效措施进行处置,保留现场并报告安全责任人和主要负责人。
2.由执行小组或协调业务安全负责人、系统管理员、系统运维支撑单位进行紧急处置,相关情况(可参照附件《信息安全事件报告表》)上报至应急领导小组和相关主管部门(包括:时间地点、简要经过、事件类型与分级、影响范围、危害程度、初步原因与分析、已经采取的措施)。涉及人为主观破坏事件同时报告公安机关。
3.及时跟进事件发展情况,有新的重大情况应及时补报。
3.4.2事中:
1.安全事件8小时内报送 《信息技术安全事件情况》报告。
2.由执行小组协调业务安全负责人组织相关人员、运维共同编写,应急响应领导小组审查和根据情况上报。
3.处置内容:及时掌握损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作的影响。如涉及人为主观破坏配合公安部门开展调查。
4.事中的处置流程:
3.4.3事后:
1.安全事件处置完毕5个工作日内,报送《信息技术安全事件整改报告》。
2. 由执行小组协调业务安全负责人组织相关人员、运维单位共同编写事后情况报告,交由应急领导小组审查和根据情况上报。
3.进一步总结事件教训,研判安全现状,排查安全隐患,进一步加强制度建设,提升安全防护能力。涉及人为主观破坏的继续配合公安部门开展调查。
5 预防工作
5.1 日常运维管理
加强校园网信息系统的日常运维管理,按照网络安全等级保护相关要求,健全网络安全管理制度,完善技术防护措施,做好安全运维、安全检查、风险评估和容灾备份等工作,提高安全保障能力,避免和减少网络信息安全事件发生。
5.2 安全监测
建立校园网安全监测和通报处置工作机制,提高发现和应对网络安全事件的能力。网络与信息管理中心负责定期对校园网设备及运行系统进行安全隐患排查、安全漏洞扫描、网络攻击分析,及时发现并指导督促各单位修复安全威胁。各单位应按要求积极进行修复加固工作。
5.3 预警通报
网络与信息管理中心应加强与国家网络安全机构、教育部“网络安全工作管理平台”及相关网络安全企业的联系合作,多途径跟踪、收集网络安全预警信息和有关我校的网络安全威胁信息,及时向校内有关单位和师生通报,组织做好预防工作。
5.4 基础平台
加强学校网络安全工作管理平台建设,并与教育部网络安全工作管理平台联通共享,通过平台通报网络安全事件和网络安全威胁信息,增强校园网安全预警和态势感知能力,做到早发现、早预警、早响应,提高应急处置能力。
5.5 应急演练
网络与信息管理中心处应每年至少组织一次应急演练,检验和完善预案,提高实战能力,年底前将本年度演练情况上报上级主管部门,各相关单位应积极配合、参与应急演练。
5.6 安全培训
学校应定期组织各单位信息化联络人和工作人员网络安全培训,将网络安全事件应急预案及相关知识列为培训内容,增强从业人员网络安全防范意识与应急处理技能。
5.7 人员变更报告
各单位的网络安全第一责任人(主要负责人)、直接责任人 (信息化工作分管领导)、系统(网站)管理员及其联系方式发生变更的,应及时将变更情况报网络与信息中心处。
6 附则
6.1 责任追究
各单位应按本预案及相关制度及时、如实地报告和妥善处置安全事件,如有迟报、谎报、瞒报、漏报或者在应急处理过程中有其他失职、渎职行为的,依照相关规定追究有关责任人责任,如构成犯罪行为,依法追究刑事责任。
6.2 预案解释
由网络与信息管理中心负责解释。
6.3 预案执行
本预案自发布之日起施行。
附表1 :应急领导小组成员
组长:侯孟书
副组长:向勇、冯瑛、史春琳
成员:党政办公室、宣传部、网络与信息管理中心、计划财务处、校团委、学生工作部(处)。
组 长:侯孟书 副校长 联系方式:1**********
副组长:向 勇 副主任 联系方式:1**********
成 员:邓方源 科 长 联系方式:1**********
成 员:王 刚 科 员 联系方式:1**********
成 员:王玉娟 科 员 联系方式:1**********
成 员:马新龙 团委书记 联系方式:1**********
成 员:荀月凤 副处长 联系方式:1**********
附表2:网络安全事件报告表
网络安全事件报告表
|
报告时间 |
年 月 日 时 分 |
发生事件的时间 |
年 月 日 时 分 |
发现事件的时间 |
年 月 日 时 分 |
单位名称 |
|
报告人 |
|
联系电话 |
|
电子邮件 |
|
通信地址 |
|
信息系统名称 |
|
主要用途 |
|
网络安全事件的简要描述 |
n 发生了什么: n 如何发生的: n 为什么会发生: n 受影响的部分: n 对业务的负面影响: n 任何已确定的脆弱性: |
网络安全事件的类型 |
□攻击事件 □故障事件 □灾害事件 |
网络安全事件的级别 |
□一般 □较大 □重大 □特别重大 |
受影响的资产 |
n 信息/数据: n 硬件: n 软件: n 通信设施: n 文档 |
事件对业务的负面影响: |
□违背保密性(即未授权泄露) □违背完整性(即未授权篡改) □违背可用性(即不可用) □违背抗抵赖性 □遭受破坏 |
影响范围 |
|
攻击者的描述 |
□犯罪/经济收益 □消遣/黑客攻击 □政治/恐怖主义 □报复 □其他 |
已采用的解决事件行动 |
|
计划采取的解决事件行动 |
|
附表3:网络安全事件整改报告表
网络安全事件整改表 |
部门名称 |
|
联络人姓名 |
|
手机号码 |
|
电子邮件 |
|
事件分类 |
*恶意程序事件 *网络攻击事件 *数据安全事件 *信息内容安全事件 *设备设施故障事件 *违规操作事件 *安全隐患事件 *异常行为事件 *不可抗力事件 *其他 |
事件分级 |
*Ⅰ级 *Ⅱ级 *Ⅲ级 *Ⅳ级 |
事件概况 |
|
信息系统的基本情况(如涉及请填写) |
1.系统名称: 2.系统网址和IP地址: 3.系统主管单位/部门: 4.系统运维单位/部门: 5.系统使用单位/部门: 6.系统主要用途: 7.是否定级 *是 *否,所定级别: 8.是否备案 *是 *否,备案号: 9.是否测评 *是 *否 10.是否整改 □是 □否 |
事件发生的最终判定原因(可加页附文字、图片以及其他文件) |
|
事件的影响与恢复情况 |
|
事件的安全整改措施 |
|
存在问题及建议 |
|
安全负责人意见(签字) |
|
主要负责人意见(签字) |
|
附件1:网络安全事件分类
1.恶意程序事件
恶意程序指带有恶意意图所编写的一段程序,该程序插入网络损害网络中的数据、应用程序或操作系统,或影响网络的正常运行。恶意程序事件指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件。
恶意程序事件包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件等10个子类,具体如下:
a) 计算机病毒事件:制造、传播或利用恶意程序,影响计算机使用,破坏计算机功能,毁坏或窃取数据等;
b) 网络蠕虫事件:利用网络缺陷,蓄意制造或通过网络自动复制并传播网络蠕虫;
c) 特洛伊木马事件:制造、传播或利用具有远程控制功能的恶意程序,实现非法窃取或截获数据;
d) 僵尸网络事件:利用僵尸工具程序形成僵尸网络;
e) 恶意代码内嵌网页事件:在访问被嵌入恶意代码而受到污损的网页时,该恶意代码在访问该网页的计算机系统中安装恶意软件;
f) 恶意代码宿主站点事件:诱使目标用户到存储恶意代码的宿主站点下载恶意代码;
g) 勒索软件事件:采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权,并借此向用户索取赎金;
h) 挖矿病毒事件:以获得数字加密货币为目的,控制他人的计算机并植入挖矿病毒程序完成大量运算;
i) 混合攻击程序事件:利用多种方法传播和利用多种恶意程序,例如,一个计算机病毒在侵入计算机系统后在系统中安装木马程序
j) 其他恶意程序事件:不在以上子类之中的恶意程序事件。
2.网络攻击事件
网络攻击事件指通过技术手段对网络实施攻击而导致业务损失或造成社会危害的网络安全事件。
网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、D\ S污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件和其他网络攻击事件等21个子类,具体如下:
a) 网络扫描探测事件:利用网络扫描软件获取有关网络配置、端口、服务和现有脆弱性等信息
b) 网络钓鱼事件:利用欺诈性网络技术诱使用户泄露重要数据或个人信息;
c) 漏洞利用事件:通过挖掘并利用网络配置缺陷、通信协议缺陷或应用程序缺陷等漏洞对网络实施攻击;
d) 后门利用事件:恶意利用软件或硬件系统设计过程中未经严格验证所留下的接口、功能模块、程序等,非法获取网络管理权限;
e) 后门植入事件:非法在网络中创建能够持续获取其管理权限的后门;
f) 凭据攻击事件:破解口令,解析登录口令或凭据等
g) 信号干扰事件:通过技术手段阻碍有线或无线信号在网络中正常传播;
h) 拒绝服务事件:通过非正常使用网络资源(诸如CPU、内存、磁盘空间或网络带宽)影响或破坏网络可用性,例如:DDOS等;
i) 网页篡改事件:通过恶意破坏或更改网页内容影响网站声誉或破坏网页及网站可用性;
j) 暗链植入事件:通过隐形篡改技术在网页内非法植入违法网站链接;
k) 域名劫持事件:通过攻击或伪造DNS的方式蓄意或恶意诱导用户访问非预期的指定IP地址(网站);
l) 域名转嫁事件:把自己的域名指向一个不属于自己的IP地址,导致针对该域名的攻击都将被引向所指向的IP地址;
m) DNS污染事件:利用刻意制造或无意制造的DNS数据包,把域名指向不正确的IP地址;
n) WI-AN劫持事件:通过口令破解、固件替换等方法非法获取无线局域网的控制权限;
o) 流量劫持事件:通过恶意诱导或非法强制用户访问特定网络资源造成用户流量损失;
p) BCJP劫持攻击事件:通过BGP恶意操纵网络路由路径;
q) 广播欺诈事件:通过广播欺骗的方式干扰网络数据包正常传输或窃取网络用户敏感信息;
r) 失陷主机事件:攻击者获得某主机的控制权后,能以该主机为跳板继续攻击组织内网其他主机;
s)供应链攻击事件:通过利用供应链管理中存在的脆弱性,感染合法应用来分发恶意程序;
t) APT事件:通过对特定对象展开持续有效的攻击活动,这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击;
u) 其他网络攻击事件:不在以上子类之中的网络攻击事件。
3.数据安全事件
数据安全事件指通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等 业务损失或造成社
会危害的网络安全事件。
数据安全事件包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等12个子类,具体如下:
a) 数据篡改事件:未经授权接触或修改数据;
b) 数据假冒事件:非法或未经许可使用、伪造数据
c) 数据泄露事件:无意或恶意通过技术手段使数据或敏感个人信息对外公开泄露;
d) 社会工程事件:通过非技术手段(如心理学、话术等)诱导他人泄露数据或执行行动;
e) 数据窃取事件:未经授权利用技术手段(例如窃听、间谍等)偷窃数据;
f) 数据拦截事件:在数据到达目标接收者之前非法捕获数据;
g) 位置检测事件:非法检测系统、个人的地理位置信息或敏感数据的存储位置;
h) 数据投毒事件:干预深度学习训练数据集,在训练数据中加入精心构造的异常数据,破坏原有训练数据的概率分布,导致模型在某些特定条件下产生分类或聚类错误;
i) 数据滥用事件:无意或恶意滥用数据;
j) 隐私侵犯事件:无意或恶意侵犯网络中存在的敏感个人信息;
k) 数据损失事件:因误操作、人为蓄意或软硬件缺陷等因素导致数据损失;
l) 其他数据安全事件:不在以上子类之中的数据安全事件。
4.信息内容安全事件
信息内容安全事件指通过网络传播危害国家安全、社会稳定、公共安全和利益的有害信息导致业务损失或造成社会危害的网络安全事件。
信息内容安全事件包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等8个子类,具体如下:
a) 反动宣传事件:利用网络传播煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一等危害国家安全、荣誉和利益的非法信息丰
b) 暴恐宣扬事件:利用网络宣扬恐怖主义、极端主义,煽动民族仇恨、民族歧视的信息,引起社会恐慌和动乱;
c) 色情传播事件:利用网络传播违背社会伦理道德的淫秽色情信息丰
d) 虚假信息传播事件:利用网络编造并传播虚假信息来扰乱经济秩序和社会秩序,造成负面影响;
e) 权益侵害事件:利用网络传播的信息侵害了社会组织或公民的合法权益;
f) 信息滥发事件:利用网络传播未经接收者准许的信息,例如:垃圾邮件等;
h) 网络欺诈事件:恶意利用技术或非技术手段对特定或不特定目标通过网络进行欺诈以非法获取信息或钱财;
i) 其他信息内容安全事件:不在以上子类之中的信息内容安全事件。
5.设备设施故障事件
设备设施故障事件指由于网络自身出现故障或设备设施受到破坏或干扰而导致业务损失或造成社会危害的网络安全事件。
设备设施故障事件包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等5个子类,具体如下:
a) 技术故障事件:网络中软硬件的自然缺陷、设计缺陷或运行环境发生变化而引起系统故障,例如:硬件故障、软件故障、过载等;
b) 配套设施故障事件:支撑网络运行的配套设施发生故障,例如:电力供应故障、照明系统故障、温湿度控制系统故障等;
c) 物理损害事件:故意或意外的物理行动造成网络环境或网络设备损坏,例如:失火、漏水、静电、设备毁坏或丢失等;
d) 辐射干扰事件:因辐射产生干扰影响网络正常运行,例如:电磁辐射、电磁脉冲、电子干扰、电磁波动、热辐射等
e) 其他设备设施故障事件:不在以上子类之中的设备设施故障事件。
6.违规操作事件
违规操作事件指人为故意或意外地损害网络功能而导致业务损失或造成社会危害的网络安全事件。
违规操作事件包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等9个子类,具体如下:
a) 权限滥用事件:由于网络服务端功能开放过多或权限限制不严格,导致攻击者通过直接或间接调用权限的方式进行攻击
b) 权限伪造事件:为了欺骗制造虚假权限;
c) 行为抵赖事件:用户否认其有害行为;
d) 故意违规操作事件:故意执行非法操作;
e) 误操作事件:无意地执行错误操作;
f) 人员可用性破坏事件:人力资源受损,导致人员缺失或缺席;
g) 资源未授权使用事件:未经授权访问资源;
h) 版权违反事件:违反版权要求安装使用商业软件或其他受版权保护的材料;
i) 其他违规操作事件:不在以上子类之中的违规操作事件。
7.安全隐患事件
安全隐患事件指网络中出现能被攻击者利用的漏洞或隐患,一旦被利用可能对网络造成破坏,进而导致业务损失或造成社会危害的网络安全事件。提前发现这些漏洞或隐患能防范由此引起的其他网络安全事件。
安全隐患事件包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等3个子类,具体如下:
a) 网络漏洞事件:因操作系统、应用程序或安全协议开发及设计过程中,对安全性考虑不充分而出现安全隐患;
b) 网络配置合规缺陷事件:由于软硬件安全配置不合理或缺省配置,不符合网络安全要求而产生安全缺陷或隐患;
c) 其他安全隐患事件:不在以上子类之中的安全隐患事件。
8.异常行为事件
异常行为事件指网络本身稳定性不足或违规访问网络造成访问、流量等异常行为,进而 业务损失或造成社会危害的网络安全事件。
异常行为事件包括访问异常事件、流量异常事件和其他异常行为事件等3个子类,具体如下:
a)访问异常事件:因网络软硬件运行环境发生变化导致不能提供服务;
b)流量异常事件:网络流量行为模式偏离正常基线等
c)其他异常行为事件:不在以上子类之中的异常行为事件。
9.不可抗力事件
不可抗力事件指因突发事件损害网络的可用性而导致业务损失或造成社会危害的网络安全事件。
不可抗力事件包括自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件和其他不可抗力事件等5个子类,具体如下:
a) 自然灾害事件:大自然的极端现象导致信息和信息系统受损,例如:地震、火山、洪水、暴风、闪电、海啸、崩塌等;
b) 事故灾难事件:具有灾难性后果的事故导致信息和信息系统受损,例如:公共设施和设备事故、环境污染事故等;
c) 公共卫生事件:传染病疫情等导致信息和信息系统受损;
d)社会安全事件:危害国家和社会的突发性群体性事件导致信息和信息系统受损,例如:恐怖袭击事件等;
e) 其他不可抗力事件:不在以上子类之中的不可抗力事件。
10.其他事件
其他事件指未归为上述分类的网络安全事件。
