信息安全事件分类分级与应急处理

,信息安全事件分类分级与应急处理,一、信息安全事件分类二、信息安全事件分级三、信息安全事件应急处理四、具体事例应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,定义,信息系统informationsystem-由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息安全事件informationsecurityincident-由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,事件分类,信息安全事件可以是故意、过失或非人为原因引起的。综合考虑信息安全事件的起因、表现、结果等，对信息安全事件进行分类。有害程序事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障灾害性事件其他信息安全事件,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,有害程序事件,有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,有害程序事件,有害程序事件包括：计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件混合攻击程序事件网页内嵌恶意代码事件其他有害程序事件,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,网络攻击事件,网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,网络攻击事件,网络攻击事件包括：拒绝服务攻击事件后门攻击事件漏洞攻击事件网络扫描窃听事件网络钓鱼事件干扰事件其他网络攻击事件,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,信息破坏事件,信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,信息破坏事件,信息破坏事件包括：信息篡改事件信息假冒事件信息泄漏事件信息窃取事件信息丢失事件其他信息破坏事件,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,信息内容安全事件,信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,信息内容安全事件,信息内容安全事件包括：违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件。,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,设备设施故障,设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,设备设施故障,设备设施故障包括：软硬件自身故障外围保障设施故障人为破坏事故其他设备设施故障,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,灾害性事件,灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。,信息安全事件分类,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,其他信息安全事件,其他信息安全事件是指不能归为以上6个基本分类的信息安全事件。,信息安全事件分级,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,信息安全事件分级,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,三个要素：信息系统的重要程度系统损失社会影响,信息安全事件分级,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。,信息安全事件分级,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,系统损失指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,信息安全事件分级,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,系统损失：特别严重的系统损失严重的系统损失较大的系统损失较小的系统损失,信息安全事件分级,23安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,特别严重的系统损失造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的。,信息安全事件分级,24安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,严重的系统损失造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的。,信息安全事件分级,25安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,较大的系统损失造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是可承受的。,信息安全事件分级,26安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,较小的系统损失造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除信息安全事件所需付出的代价较小。,信息安全事件分级,27安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,社会影响指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响。,信息安全事件分级,28安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,社会影响：特别重大的社会影响重大的社会影响较大的社会影响一般的社会影响,信息安全事件分级,29安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,特别重大的社会影响波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益。,信息安全事件分级,30安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,重大的社会影响波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对经济建设有重大的负面影响，或者损害到公众利益。,信息安全事件分级,31安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,较大的社会影响波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益。,信息安全事件分级,32安徽省卫生厅信息中心WWW.AHWST.GOV.CN,分级考虑要素,一般的社会影响波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民或其它组织的利益会造成影响。,信息安全事件分级,33安徽省卫生厅信息中心WWW.AHWST.GOV.CN,特别重大事件重大事件较大事件一般事件。,信息安全事件分级,34安徽省卫生厅信息中心WWW.AHWST.GOV.CN,特别重大事件（I级）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受到特别严重的系统损失；产生特别重大的社会影响。,信息安全事件级,35安徽省卫生厅信息中心WWW.AHWST.GOV.CN,重大事件（II级）重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受到特别严重的系统损失、或使重要信息系统遭受到特别严重的系统损失；产生重大的社会影响。,信息安全事件级,36安徽省卫生厅信息中心WWW.AHWST.GOV.CN,较大事件（III级）较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受到严重的系统损失；一般信息系统遭受特别严重的系统损失；产生较大的社会影响。,信息安全事件级,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,一般事件（IV级）一般事件是指不满足以上条件的信息安全事件，包括以下情况：会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受到较大的系统损失，一般信息系统遭受到严重或严重以下级别的系统损失；产生一般的社会影响。,37,信息安全事件应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,信息安全事件应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,应急处理实际上是网络安全保障工作的具体体现。各种防护方案、安全设施、策略规定等，广义上都可以理解为应急处理工作的一部分。而完整的应急处理工作的各个阶段，则体现了网络安全保障的不间断过程。应急处理分六个阶段：准备、检测、抑制、根除、恢复、总结。,信息安全事件应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,准备此阶段以预防为主。微观上的工作包括：建立安全政策；按照安全政策配置安全设备和软件；扫描、风险分析、打补丁；建立监控设施。宏观上的工作包括：建立协作体系和应急制度；建立信息沟通渠道和通报机制。,信息安全事件应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,有害程序、网络攻击、信息破坏、信息内容安全事件的防范：服务器、终端设备需安装安全产品硬件防火墙是最基本的配置有条件的可以配备防病毒网关、IPS、IDS、负载均衡设备、WEB安全网关、上网行为管理设备等网络安全产品,信息安全事件应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,设备设施故障的防范：软件故障：,操作系统,重要系统最好使用UNIX或者LINUX,数据库管理系统硬件故障：,双备份、单备份,重要的设备一定要用双机配置，避免单点故障，例如：防火墙、交换机、路由器、存储、核心服务器，等。,信息安全事件应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,外围保障设施故障的防范：电力故障：双路市电接入（不同变电所）外围网络故障：双线路接入（不同运营商）空调故障：双精密空调或者双工业空调,信息安全事件应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,灾害性事件的防范：火灾：火灾自动报警器（与大楼报警联动）、火灾探测器（烟感、温感）、气体灭火系统水灾：防水处理（防水坝、漏水报警感应线等）雷击：防雷接地系统,具体事例应急处理,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,病毒事件应急处置,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,当发现有计算机被感染上病毒后，应立即将该机从网络上隔离开来。对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。如果现行反病毒软件无法清除该病毒，应考虑重装系统等其他处理办法。如果感染病毒的设备是主服务器，且无法清除病毒，应立即联系有关厂商研究解决方法并报告单位信息化领导，经领导同意后组织实施。,黑客攻击事件应急处置,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,当发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，首先将被攻击的服务器等设备从网络中隔离出来，阻止攻击，保护现场，并将有关情况向本单位信息化领导汇报。通过对现场进行分析，提出处理方法，经领导同意后，协调人员和资源进行实施。,软件系统遭破坏性攻击的应急处置,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全处。一旦软件遭到破坏性攻击，应使该系统停止运行。检查信息系统的日志等资料，确定攻击来源，并将有关情况向单位信息化领导汇报，再恢复软件系统和数据。,数据库安全应急处置,安徽省卫生厅信息中心WWW.AHWST.GOV.CN,主要数据库系统应按双机热备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物中。一旦数据库崩溃，值班人员应立即启动备用系统，并向单位信息化领导报告。在备用系统运行期间；技术人员应对主系统进行维修并作数据恢复。如果两套系统