網(wǎng)絡(luò)安全預(yù)警指南

隨著信息技術(shù)的廣泛應(yīng)用與快速發(fā)展，傳統(tǒng)業(yè)務(wù)與信息系統(tǒng)的融合程度不斷加深，網(wǎng)絡(luò)安全對國家政治、經(jīng)濟、文化、公共服務(wù)活動的影響進一步增大。網(wǎng)絡(luò)安全形勢日趨復(fù)雜，安全威脅不斷變化，利用網(wǎng)絡(luò)漏洞、惡意程序從事入侵、破壞的活動頻繁發(fā)生，不僅會造成信息泄露、數(shù)據(jù)篡改或丟失、服務(wù)擁塞、系統(tǒng)崩潰或硬件永久損害，甚至?xí)谊P(guān)鍵信息基礎(chǔ)設(shè)施造成重大破壞，嚴重危害國家安全、公共安全和民眾利益。

在網(wǎng)絡(luò)安全防護工作中，社會公眾在了解網(wǎng)絡(luò)安全事件或威脅的基本情況，判斷嚴重程度方面存在困難，對網(wǎng)絡(luò)安全事件或威脅缺乏科學(xué)評估；另一方面，重要信息系統(tǒng)運營使用單位、網(wǎng)絡(luò)安全企業(yè)和科研機構(gòu)多僅從技術(shù)層面判斷網(wǎng)絡(luò)安全事件和威脅的影響。為進一步明確網(wǎng)絡(luò)安全事件或威脅的重要程度和可能造成的影響，規(guī)范網(wǎng)絡(luò)安全預(yù)警工作，有效開展處置工作，切實維護信息基礎(chǔ)設(shè)施安全、公共安全和國家安全，推動我國網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制的建立，制定本標準。

網(wǎng)絡(luò)安全預(yù)警指南 范圍

本標準給出了網(wǎng)絡(luò)安全預(yù)警的分級指南與處理流程。

本標準為及時準確了解網(wǎng)絡(luò)安全事件或威脅的影響程度、可能造成的后果，及采取有效措施提供指導(dǎo)，也適用于網(wǎng)絡(luò)與信息系統(tǒng)主管和運營部門參考開展網(wǎng)絡(luò)安全事件或威脅的處置工作。

網(wǎng)絡(luò)安全預(yù)警指南 規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T 22240—2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南

GB/T 25069—2010 信息安全技術(shù) 術(shù)語

網(wǎng)絡(luò)安全預(yù)警指南 術(shù)語和定義

GB/T 25069—2010中界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T 25069-2010中的某些術(shù)語和定義。

網(wǎng)絡(luò)安全保護對象 object of cyber security protection

亦指資產(chǎn)，對組織具有價值的信息或資源，是安全策略保護的對象。

注：主要指重要信息系統(tǒng)的應(yīng)用、數(shù)據(jù)、設(shè)備。

[GB/T 20984—2007，定義3.1]

網(wǎng)絡(luò)安全威脅 cyber security threat

對網(wǎng)絡(luò)安全保護對象可能導(dǎo)致負面結(jié)果的一個事件的潛在源。

注：例如，計算機惡意代碼、網(wǎng)絡(luò)攻擊行為等。

攻擊 attack

在信息系統(tǒng)中，對系統(tǒng)或信息進行破壞、泄露、更改或使其喪失功能的嘗試（包括竊取數(shù)據(jù)）。

[GB/T 25069—2010,定義2.2.1.58]

網(wǎng)絡(luò)安全事件 cyber security incident

由于自然或者人為以及軟硬件本身缺陷或故障的原因，對網(wǎng)絡(luò)或信息系統(tǒng)造成危害，或?qū)ι鐣斐韶撁嬗绊懙氖录?/p>

預(yù)警 warning

針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時發(fā)出的安全警示。

網(wǎng)絡(luò)安全預(yù)警分級

網(wǎng)絡(luò)安全預(yù)警分級要素

概述

網(wǎng)絡(luò)安全預(yù)警的分級主要考慮兩個要素：網(wǎng)絡(luò)安全保護對象的重要程度與網(wǎng)絡(luò)安全保護對象可能受到損害的程度。

網(wǎng)絡(luò)安全保護對象重要程度的判定

網(wǎng)絡(luò)安全保護對象的重要程度根據(jù)其所承載的業(yè)務(wù)對國家安全、經(jīng)濟建設(shè)、社會生活的重要性以及業(yè)務(wù)對其依賴程度，劃分為特別重要、重要和一般三個級別。

具體為：

1. 特別重要的保護對象，包括：
2. 按照GB/T 22240—2008的規(guī)定定級為四級及四級以上的信息系統(tǒng)；
3. 用戶量億級或日活躍用戶千萬級的互聯(lián)網(wǎng)重要應(yīng)用；
4. 日交易量億元級的電子交易平臺；
5. 行業(yè)占有率前五的互聯(lián)網(wǎng)重要應(yīng)用；
6. 提供互聯(lián)網(wǎng)支撐服務(wù)的重要系統(tǒng)，如域名解析服務(wù)；
7. 由多個重要的網(wǎng)絡(luò)安全保護對象共同組成的群體；
8. 其他與國家安全關(guān)系密切，或與經(jīng)濟建設(shè)、社會生活關(guān)系非常密切的系統(tǒng)。
9. 重要的保護對象，包括：
10. 按照GB/T 22240—2008的規(guī)定定級為三級的信息系統(tǒng)；
11. 用戶量千萬級或日活躍用戶百萬級的互聯(lián)網(wǎng)重要應(yīng)用；
12. 日交易量千萬元級的電子交易平臺；
13. 行業(yè)占有率較高的互聯(lián)網(wǎng)應(yīng)用；
14. 涉及大量個人信息的系統(tǒng)；
15. 由多個一般的網(wǎng)絡(luò)安全保護對象共同組成的群體；
16. 與國家安全關(guān)系一般，或與經(jīng)濟建設(shè)、社會生活關(guān)系密切的系統(tǒng)。
17. 一般的保護對象，包括：
18. 按照GB/T 22240—2008的規(guī)定定級為二級及二級以下的信息系統(tǒng)；
19. 其他公共互聯(lián)網(wǎng)服務(wù)等。

判定網(wǎng)絡(luò)安全保護對象的重要程度宜綜合考慮其所服務(wù)的用戶量、日活躍用戶數(shù)、交易額、信息安全等級保護的級別、數(shù)據(jù)敏感程度等因素。在重大活動期間，保護對象的重要程度宜適當(dāng)進行調(diào)整。

網(wǎng)絡(luò)安全保護對象可能受到損害程度的判定

網(wǎng)絡(luò)安全保護對象可能受到損害的程度是指網(wǎng)絡(luò)安全事件或威脅對其軟硬件、功能及數(shù)據(jù)的損害，導(dǎo)致系統(tǒng)業(yè)務(wù)運行緩慢或中斷，數(shù)據(jù)泄露、篡改、丟失或損壞，對保護對象造成直接及間接損失的程度。其大小主要考慮保護對象自身可能的直接損失，以及防御攻擊、恢復(fù)系統(tǒng)正常運行和消除負面影響所需付出的代價，劃分為特別嚴重、嚴重、較大和一般。

具體為：

1. 特別嚴重的損害，是指可能造成或已造成網(wǎng)絡(luò)或信息系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴重破壞，恢復(fù)系統(tǒng)正常運行和消除負面影響所需付出的代價十分巨大。例如：
2. 大規(guī)模、持續(xù)性的網(wǎng)絡(luò)攻擊，可能造成或已造成網(wǎng)絡(luò)或信息系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力；
3. 涉及管理權(quán)限的安全漏洞及漏洞利用過程被披露，并出現(xiàn)自動化攻擊工具，可能造成或已造成大規(guī)模個人信息泄露，包含賬號密碼、銀行卡號等可能影響財物的信息。
4. 嚴重的損害，是指可能造成或已造成網(wǎng)絡(luò)或信息系統(tǒng)長時間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除負面影響所需付出的代價巨大。例如：
5. 有組織的、針對性的攻擊，可能造成或已造成網(wǎng)絡(luò)或信息系統(tǒng)長時間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響；
6. 涉及遠程命令執(zhí)行的安全漏洞及漏洞利用過程被披露，可能造成或已造成大規(guī)模個人信息泄露，但不含財物信息。
7. 較大的損害，是指可能造成或已造成網(wǎng)絡(luò)或信息系統(tǒng)中斷，明顯影響系統(tǒng)效率，使其業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除負面影響所需付出的代價較大。例如：
8. 針對性的攻擊，可能造成或已造成保護對象網(wǎng)絡(luò)和系統(tǒng)中斷，明顯影響系統(tǒng)效率，使其業(yè)務(wù)處理能力受到極大影響；
9. 涉及遠程數(shù)據(jù)讀取的安全漏洞被披露，可能造成或已造成個人信息泄露。
10. 一般的損害，是指可能造成或已造成網(wǎng)絡(luò)或信息系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運行和消除負面影響所需付出的代價較小。例如：造成保護對象網(wǎng)絡(luò)和系統(tǒng)短暫中斷，影響系統(tǒng)效率，使其業(yè)務(wù)處理能力受到影響。

判定網(wǎng)絡(luò)安全保護對象可能受到損害的程度宜從網(wǎng)絡(luò)安全威脅本身和網(wǎng)絡(luò)安全保護對象等方面考慮：

1. 網(wǎng)絡(luò)安全威脅方面包括攻擊者能力、攻擊工具、攻擊行為破壞性等；
2. 網(wǎng)絡(luò)安全保護對象方面包括脆弱性嚴重程度、防護措施、攻擊造成的損失程度等；
3. 其他，例如數(shù)據(jù)泄露的程度等。

網(wǎng)絡(luò)安全預(yù)警級別及判定

概述

網(wǎng)絡(luò)安全預(yù)警級別根據(jù)網(wǎng)絡(luò)安全保護對象的重要程度和網(wǎng)絡(luò)安全保護對象可能受到損害的程度分為四個級別：紅色預(yù)警、橙色預(yù)警、黃色預(yù)警和藍色預(yù)警。

紅色預(yù)警（I級預(yù)警）

當(dāng)發(fā)生極其嚴重的網(wǎng)絡(luò)安全事件或威脅，可能極大威脅國家安全、引起社會動蕩、對經(jīng)濟建設(shè)有極其惡劣的負面影響，或嚴重損害公眾利益，應(yīng)發(fā)布紅色預(yù)警。即：可能對特別重要的網(wǎng)絡(luò)安全保護對象產(chǎn)生特別嚴重的損害。

橙色預(yù)警（II級預(yù)警）

當(dāng)發(fā)生嚴重的網(wǎng)絡(luò)安全事件或威脅，可能威脅國家安全、引起社會恐慌、對經(jīng)濟建設(shè)有重大的負面影響，或損害公眾利益，應(yīng)發(fā)布橙色預(yù)警。包括以下情況：

1. 可能對特別重要的網(wǎng)絡(luò)安全保護對象產(chǎn)生嚴重的損害；
2. 可能對重要的網(wǎng)絡(luò)安全保護對象產(chǎn)生特別嚴重的損害。

黃色預(yù)警（III級預(yù)警）

當(dāng)發(fā)生較嚴重的網(wǎng)絡(luò)安全事件或威脅，可能影響國家安全、擾亂社會秩序、對經(jīng)濟建設(shè)有一定的負面影響，或影響公眾利益，應(yīng)發(fā)布黃色預(yù)警。包括以下情況：

1. 可能對特別重要的網(wǎng)絡(luò)安全保護對象產(chǎn)生較大或一般的損害；
2. 可能對重要的網(wǎng)絡(luò)安全保護對象產(chǎn)生嚴重或較大的損害；
3. 可能對一般的網(wǎng)絡(luò)安全保護對象產(chǎn)生特別嚴重或嚴重的損害。

藍色預(yù)警（IV級預(yù)警）

當(dāng)發(fā)生一般的網(wǎng)絡(luò)安全事件或威脅，對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益基本沒有影響，但可能對個別公民、法人或其他組織的利益會造成損害，應(yīng)發(fā)布藍色預(yù)警，特別輕微的可以不發(fā)預(yù)警。包括以下情況：

1. 可能對重要的網(wǎng)絡(luò)安全保護對象產(chǎn)生一般的損害；
2. 可能對一般的網(wǎng)絡(luò)安全保護對象產(chǎn)生較大或一般的損害。

網(wǎng)絡(luò)安全預(yù)警分級表

由網(wǎng)絡(luò)安全保護對象的重要程度與網(wǎng)絡(luò)安全保護對象可能受到損害的程度確定的網(wǎng)絡(luò)安全預(yù)警級別見表1。

1. 網(wǎng)絡(luò)安全預(yù)警分級表

網(wǎng)絡(luò)安全預(yù)警流程

預(yù)警的發(fā)布

網(wǎng)絡(luò)安全預(yù)警應(yīng)由國家授權(quán)的預(yù)警發(fā)布機構(gòu)發(fā)布。網(wǎng)絡(luò)安全預(yù)警發(fā)布內(nèi)容宜包含預(yù)警級別及其事件性質(zhì)、威脅方式、影響范圍、涉及對象、影響程度、防范對策等信息。

預(yù)警的響應(yīng)與處置

網(wǎng)絡(luò)與信息系統(tǒng)的主管和運營部門接到網(wǎng)絡(luò)安全預(yù)警后，宜進行如下操作：

1. 分析、研判相關(guān)事件或威脅對自身網(wǎng)絡(luò)安全保護對象可能造成損害的程度；
2. 將研判結(jié)果向上級及主管部門匯報；
3. 經(jīng)上級及主管部門同意后，采取適當(dāng)形式發(fā)送預(yù)警或通告給相關(guān)用戶；
4. 根據(jù)情況啟動應(yīng)急預(yù)案。

當(dāng)可能對網(wǎng)絡(luò)與信息系統(tǒng)保護對象產(chǎn)生特別嚴重的損害時，網(wǎng)絡(luò)與信息系統(tǒng)的主管和運營部門應(yīng)及時向單位負責(zé)人和信息安全第一責(zé)任人匯報。

預(yù)警的升級或降級

預(yù)警發(fā)布機構(gòu)根據(jù)網(wǎng)絡(luò)安全事件或威脅的動態(tài)變化，及時發(fā)布預(yù)警的升級或降級信息。

預(yù)警的解除

當(dāng)網(wǎng)絡(luò)安全威脅情況消除或威脅達不到藍色預(yù)警級別，預(yù)警發(fā)布機構(gòu)宜及時解除預(yù)警。

延伸閱讀

更多內(nèi)容 可以 GB-T 32924-2016 信息安全技術(shù) 網(wǎng)絡(luò)安全預(yù)警指南. 進一步學(xué)習(xí)

聯(lián)系我們

T-CHES 86—2022 河湖水系連通水安全保障能力評價技術(shù)導(dǎo)則.pdf文章來源地址http://www.zghlxwxcb.cn/news/detail-632583.html

到了這里，關(guān)于網(wǎng)絡(luò)安全預(yù)警分類流程的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！