1、信息安全事件分类分级与应急处理一、信息安全事件分类 二、信息安全事件分级 三、信息安全事件应急处理 四、具体事例应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN定义信息系统 information system-由计算机及其 相关的和配套的设备、设施(含网络)构成的,按 照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息安全事件 information security incident-由于自然或者人为以及软
2、硬件本身缺 陷或故障的原因,对信息系统造成危害,或对社 会造成负面影响的事件。信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN事件分类 信息安全事件可以是故意、过失或非人为原因引 起的。综合考虑信息安全事件的起因、表现、结 果等,对信息安全事件进行分类。有害程序事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障灾害性事件其他信息安全事件信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN有害程序事件 有害程序是指插入到信息系统中的一段程序, 有害程序危害系统中数据、应用程序或操作系 统的保密性、完整性或可用性,或影响信息系 统的正常运行。 有害程序
3、事件是指蓄意制造、传播有害程序, 或是因受到有害程序的影响而导致的信息安全 事件。信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN有害程序事件 有害程序事件包括:计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件混合攻击程序事件网页内嵌恶意代码事件其他有害程序事件信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN网络攻击事件 网络攻击事件是指通过网络或其他技术 手段,利用信息系统的配置缺陷、协议 缺陷、程序缺陷或使用暴力攻击对信息 系统实施攻击,并造成信息系统异常或 对信息系统当前运行造成潜在危害的信 息安全事件。信息安全事件分类安徽省卫生厅信息中心 W
4、WW.AHWST.GOV.CN网络攻击事件 网络攻击事件包括:拒绝服务攻击事件后门攻击事件漏洞攻击事件网络扫描窃听事件网络钓鱼事件干扰事件其他网络攻击事件信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN信息破坏事件 信息破坏事件是指通过网络或其他技术手 段,造成信息系统中的信息被篡改、假冒、 泄漏、窃取等而导致的信息安全事件。信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN信息破坏事件 信息破坏事件包括:信息篡改事件信息假冒事件信息泄漏事件信息窃取事件信息丢失事件其他信息破坏事件信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN信
5、息内容安全事件 信息内容安全事件是指利用信息网络发布、 传播危害国家安全、社会稳定和公共利益 的内容的安全事件。信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN信息内容安全事件 信息内容安全事件包括:违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感 的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件;其他信息内容安全事件。信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN设备设施故障 设备设施故障是指由于信息系统自身故障 或外围保障设施故障而导致的信息安全事 件,以及人为的使用非技术手段有意
6、或无 意的造成信息系统破坏而导致的信息安全 事件。信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN设备设施故障 设备设施故障包括: 软硬件自身故障 外围保障设施故障 人为破坏事故 其他设备设施故障信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN灾害性事件 灾害性事件是指由于不可抗力对信息系统 造成物理破坏而导致的信息安全事件。 灾害性事件包括水灾、台风、地震、雷击、 坍塌、火灾、恐怖袭击、战争等导致的信 息安全事件。信息安全事件分类安徽省卫生厅信息中心 WWW.AHWST.GOV.CN其他信息安全事件 其他信息安全事件是指不能归为以上6个基 本分类的
7、信息安全事件。信息安全事件分级安徽省卫生厅信息中心 WWW.AHWST.GOV.CN信息安全事件分级安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 三个要素: 信息系统的重要程度 系统损失 社会影响信息安全事件分级安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 信息系统的重要程度主要考虑信息系统所承载的 业务对国家安全、经济建设、社会生活的重要性 以及业务对信息系统的依赖程度,划分为特别重 要信息系统、重要信息系统和一般信息系统。信息安全事件分级安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 系统损失指由于信息安全事件对信息系统的软硬
8、 件、功能及数据的破坏,导致系统业务中断,从 而给事发组织所造成的损失,其大小主要考虑恢 复系统正常运行和消除安全事件负面影响所需付 出的代价信息安全事件分级安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 系统损失: 特别严重的系统损失 严重的系统损失 较大的系统损失 较小的系统损失信息安全事件分级23安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 特别严重的系统损失造成系统大面积瘫痪,使其 丧失业务处理能力,或系统关键数据的保密性、 完整性、可用性遭到严重破坏,恢复系统正常运 行和消除安全事件负面影响所需付出的代价十分 巨大,对于事发组织是不可承受的。
9、信息安全事件分级24安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 严重的系统损失造成系统长时间中断或局部瘫痪, 使其业务处理能力受到极大影响,或系统关键数 据的保密性、完整性、可用性遭到破坏,恢复系 统正常运行和消除安全事件负面影响所需付出的 代价巨大,但对于事发组织是可承受的。信息安全事件分级25安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 较大的系统损失造成系统中断,明显影响系 统效率,使重要信息系统或一般信息系统业 务处理能力受到影响,或系统重要数据的保 密性、完整性、可用性遭到破坏,恢复系统 正常运行和消除安全事件负面影响所需付出 的代价较大
10、,但对于事发组织是可承受的。信息安全事件分级26安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 较小的系统损失造成系统短暂中断,影响系统效 率,使系统业务处理能力受到影响,或系统重要 数据的保密性、完整性、可用性遭到影响,恢复 系统正常运行和消除信息安全事件所需付出的代 价较小。信息安全事件分级27安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 社会影响指信息安全事件对社会所造成影响的范 围和程度,其大小主要考虑国家安全、社会秩序、 经济建设和公众利益等方面的影响。信息安全事件分级28安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 社
11、会影响: 特别重大的社会影响 重大的社会影响 较大的社会影响 一般的社会影响信息安全事件分级29安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 特别重大的社会影响波及到一个或多个省市的大 部分地区,极大威胁国家安全,引起社会动荡, 对经济建设有极其恶劣的负面影响,或者严重损 害公众利益。信息安全事件分级30安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 重大的社会影响波及到一个或多个地市的大部分 地区,威胁到国家安全,引起社会恐慌,对经济 建设有重大的负面影响,或者损害到公众利益。信息安全事件分级31安徽省卫生厅信息中心 WWW.AHWST.GOV.CN
12、分级考虑要素 较大的社会影响波及到一个或多个地市的部分地 区,可能影响到国家安全,扰乱社会秩序,对经 济建设有一定的负面影响,或者影响到公众利益。信息安全事件分级32安徽省卫生厅信息中心 WWW.AHWST.GOV.CN分级考虑要素 一般的社会影响波及到一个地市的部分地区,对 国家安全、社会秩序、经济建设和公众利益基本 没有影响,但对个别公民或其它组织的利益会造 成影响。信息安全事件分级33安徽省卫生厅信息中心 WWW.AHWST.GOV.CN特别重大事件重大事件较大事件一般事件。信息安全事件分级34安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 特别重大事件(I级) 特别重大事件是指
13、能够导致特别严重影响或破坏的信息安全事件,包括以下情况: 会使特别重要信息系统遭受到特别严重的 系统损失; 产生特别重大的社会影响。信息安全事件级35安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 重大事件(II级)重大事件是指能够导致严重影响或破坏的信 息安全事件,包括以下情况: 会使特别重要信息系统遭受到特别严重的 系统损失、或使重要信息系统遭受到特别严 重的系统损失; 产生重大的社会影响。信息安全事件级36安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 较大事件(III级)较大事件是指能够导致较严重影响或破坏的 信息安全事件,包括以下情况: 会使特别重要信息系统遭受较大的
14、系统损失、 或使重要信息系统遭受到严重的系统损失;一 般信息系统遭受特别严重的系统损失; 产生较大的社会影响。信息安全事件级安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 一般事件(IV级)一般事件是指不满足以上条件的信息安全事 件,包括以下情况: 会使特别重要信息系统遭受较小的系统损失、 或使重要信息系统遭受到较大的系统损失,一 般信息系统遭受到严重或严重以下级别的系统 损失; 产生一般的社会影响。37信息安全事件应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN信息安全事件应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 应急处理实际上是网络安全保障工作的
15、具体体现。 各种防护方案、安全设施、策略规定等,广义上 都可以理解为应急处理工作的一部分。而完整的 应急处理工作的各个阶段,则体现了网络安全保 障的不间断过程。 应急处理分六个阶段:准备、检测、抑制、根除、 恢复、总结。信息安全事件应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN准备此阶段以预防为主。 微观上的工作包括:建立安全政策;按照安全政策配置安全设备和软件;扫描、风险分析、打补丁;建立监控设施。 宏观上的工作包括:建立协作体系和应急制度;建立信息沟通渠道和通报机制。信息安全事件应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN有害程序、网络攻击、信息破坏、信息
16、内容安全 事件的防范:服务器、终端设备需安装安全产品硬件防火墙是最基本的配置有条件的可以配备防病毒网关、IPS、IDS、 负载均衡设备、WEB安全网关、上网行为管理 设备等网络安全产品信息安全事件应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN设备设施故障的防范: 软件故障:操作系统重要系统最好使用UNIX或者LINUX数据库管理系统 硬件故障:双备份、单备份重要的设备一定要用双机配置,避免单点故障,例如:防火墙、交换机、路由器、存储、核心服务 器,等。信息安全事件应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 外围保障设施故障的防范:电力故障:双路市电接入(不同
17、变电所)外围网络故障:双线路接入(不同运营商)空调故障:双精密空调或者双工业空调信息安全事件应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 灾害性事件的防范:火灾:火灾自动报警器(与大楼报警联动)、 火灾探测器(烟感、温感)、气体灭火系统水灾:防水处理(防水坝、漏水报警感应线等)雷击:防雷接地系统具体事例应急处理安徽省卫生厅信息中心 WWW.AHWST.GOV.CN病毒事件应急处置安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 当发现有计算机被感染上病毒后,应立即将该机 从网络上隔离开来。对该设备的硬盘进行数据备 份。启用反病毒软件对该机进行杀毒处理,同时 通过病毒检测
18、软件对其他机器进行病毒扫描和清 除工作。如果现行反病毒软件无法清除该病毒, 应考虑重装系统等其他处理办法。 如果感染病毒的设备是主服务器,且无法清除病 毒,应立即联系有关厂商研究解决方法并报告单 位信息化领导,经领导同意后组织实施。黑客攻击事件应急处置安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 当发现网页内容被篡改,或通过入侵检测系统发 现有黑客正在进行攻击时,首先将被攻击的服务 器等设备从网络中隔离出来,阻止攻击,保护现 场,并将有关情况向本单位信息化领导汇报。通 过对现场进行分析,提出处理方法,经领导同意 后,协调人员和资源进行实施。软件系统遭破坏性攻击的应急处置安徽省卫生厅信
19、息中心 WWW.AHWST.GOV.CN 重要的软件系统平时必须存有备份,与软件系统 相对应的数据必须按本单位容灾备份规定的间隔 按时进行备份,并将它们保存于安全处。一旦软 件遭到破坏性攻击,应使该系统停止运行。检查 信息系统的日志等资料,确定攻击来源,并将有 关情况向单位信息化领导汇报,再恢复软件系统 和数据。数据库安全应急处置安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 主要数据库系统应按双机热备设置,并至少要准 备两个以上数据库备份,平时一个备份放在机房, 另一个备份放在另一安全的建筑物中。一旦数据 库崩溃,值班人员应立即启动备用系统,并向单 位信息化领导报告。在备用系统运行期
20、间;技术 人员应对主系统进行维修并作数据恢复。如果两 套系统均崩溃而无法恢复,应立即向有关厂商请 求紧急支援。广域网外部线路中断应急处置安徽省卫生厅信息中心 WWW.AHWST.GOV.CN 广域网主、备用线路中断一条后,值班人员应立 即启动备用线路接续工作,同时向单位信息化领 导报告。相关技术人员应迅速判断故障节点,查 明故障原因,尽快予以恢复。如属电信部门管辖 范围,立即与电信维护部门联系,要求修复。如 果主、备用线路同时中断,技术人员在判断故障 节点,查明故障原因后,尽快研究恢复措施,并 立即向单位信息化领导汇报。51谢谢安徽省卫生厅信息中心李麟 电话:0551 - 2242804邮箱:安徽省卫生厅信息中心 WWW.AHWST.GOV.CN