新解读《GBT 20986-2023信息安全技术 网络安全事件分类分级指南》

《GB/T20986-2023信息安全技术网络安全事件分类分级指南》最新解读目录网络安全新标准：GB/T20986-2023概览信息安全基石：网络安全事件分类重要性分级响应，高效处置：网络安全事件分级原则恶意程序事件：识别与防范策略网络攻击事件剖析：从检测到应对数据安全事件：保护你的数字资产信息内容安全事件：净化网络空间设备设施故障事件：预警与恢复措施目录违规操作事件：规范网络行为安全隐患事件：预防胜于治疗异常行为事件：及时发现，快速响应不可抗力事件：应对自然灾害等突发情况网络安全事件分类代码解析实战案例：网络安全事件处置经验分享网络钓鱼与反钓鱼技术探讨漏洞利用事件：如何织密安全网？后门攻击与防御策略目录凭据攻击事件：保护你的登录信息信号干扰事件：确保通信畅通无阻拒绝服务攻击（DDoS）应对策略网页篡改与暗链植入：如何识别？域名劫持与DNS污染事件解析WLAN劫持事件：无线网络安全挑战流量与BGP劫持攻击事件剖析广播欺诈与网络诱骗防范技巧失陷主机事件：如何夺回控制权？目录供应链攻击事件：全链条安全防护APT事件：高级威胁应对策略网络安全法律法规与合规性要求企业网络安全事件应急响应计划制定网络安全事件日志分析与审计数字取证技术在网络安全事件中的应用网络安全事件报告与信息共享机制网络安全培训与意识提升方案从GB/T20986-2007到2023：标准演变与影响目录新旧标准对比：GB/T20986变化点解读网络安全事件分类分级的实际应用场景基于新标准的网络安全风险评估方法网络安全事件应急演练计划与实施构建基于GB/T20986的网络安全管理体系网络安全事件监测预警系统建设指南网络安全事件处置中的跨部门协作机制利用大数据分析优化网络安全事件响应云计算环境下的网络安全事件管理策略目录物联网安全挑战与GB/T20986的应用工业控制系统网络安全与事件分类分级金融行业网络安全事件分类分级实践医疗行业网络安全事件应对策略教育行业网络安全事件防范与教育未来展望：GB/T20986与网络安全发展新趋势PART01网络安全新标准：GB/T20986-2023概览提升网络安全保障能力通过制定新标准，提高网络安全事件的研判、信息通报、监测预警和应急处置等工作的效率和效果。网络安全形势日益严峻随着信息技术的快速发展，网络安全威胁不断增多，需要更为系统、科学的分类分级方法来应对。旧标准已不适应新需求原有的网络安全事件分类分级标准已无法满足当前复杂多变的网络安全形势，亟需更新完善。网络安全新标准：GB/T20986-2023概览PART02信息安全基石：网络安全事件分类重要性通过对网络安全事件进行科学分类，可以迅速准确地识别出事件的性质和危害程度。快速准确识别针对不同类型的安全事件，合理分配和调配资源，提高应对效率和效果。有效资源调配根据事件分类，制定和完善相应的应急预案，提高组织的应急响应能力。优化应急预案信息安全基石：网络安全事件分类重要性010203PART03分级响应，高效处置：网络安全事件分级原则根据网络安全事件对信息系统、网络及数据的影响范围进行分级。事件影响范围事件危害程度处置难易程度评估事件对国家、社会、经济以及个人造成的危害程度。考虑事件处置的技术难度、资源投入和时间长短等因素。分级响应，高效处置：网络安全事件分级原则PART04恶意程序事件：识别与防范策略恶意程序包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件等。事件类别影响范围恶意程序事件可对个人计算机、企业网络甚至整个互联网造成不同程度的影响。指带有恶意意图所编写的一段程序，该程序插入网络损害网络中的数据、应用程序或操作系统，或影响网络的正常运行。恶意程序事件：识别与防范策略PART05网络攻击事件剖析：从检测到应对异常流量监测通过部署网络安全设备，实时监测网络流量，发现异常流量峰值、非法访问尝试等行为。入侵检测系统（IDS）利用IDS对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施。安全日志分析收集并分析网络设备、系统、应用等产生的安全日志，发现潜在的攻击行为。网络攻击事件剖析：从检测到应对PART06数据安全事件：保护你的数字资产包括姓名、地址、电话号码等个人隐私数据被非法获取或泄露。个人敏感信息泄露涉及企业商业计划、财务状况、客户信息等关键业务数据的非法泄露。企业机密泄露政府部门掌握的公民个人信息、国家安全相关数据等被非法获取或泄露。政府数据泄露数据安全事件：保护你的数字资产PART07信息内容安全事件：净化网络空间信息内容安全事件：净化网络空间违法信息发布涉及政治、暴力、恐怖等内容的非法信息在网络上的发布和传播。未经证实的信息或虚假信息在网络上的广泛传播，造成社会不良影响。谣言传播个人隐私信息被非法获取并在网络上传播，侵犯个人合法权益。侵犯个人隐私PART08设备设施故障事件：预警与恢复措施01定期检查与维护对关键设备设施进行定期检查和预防性维护，确保其稳定运行。设备设施故障事件：预警与恢复措施02监控与日志分析实施设备设施的性能和状态监控，通过日志分析识别潜在的故障风险。03安全漏洞修补及时更新设备设施的固件和软件，修补已知的安全漏洞，降低被攻击的风险。PART09违规操作事件：规范网络行为违规操作事件是指网络运营者、使用者或其他相关人员违反网络安全规定、策略或标准操作流程，导致网络安全风险增高或安全事件发生的行为。定义包括但不限于非法访问、越权操作、滥用权限、恶意破坏等行为。范围违规操作事件：规范网络行为PART10安全隐患事件：预防胜于治疗定义安全隐患事件是指在网络系统中存在的可能引发安全问题的漏洞、弱点或配置不当等，尚未被恶意利用但具有潜在威胁的事件。特点难以察觉、潜在性高、影响范围可能广泛。安全隐患事件：预防胜于治疗PART11异常行为事件：及时发现，快速响应突然发现网络流量异常激增，可能是恶意攻击或病毒传播的迹象。流量异常增加正常的流量模式发生显著变化，如访问时间、数据传输量等，可能暗示着潜在的安全威胁。流量模式改变发现非标准端口的大量数据传输，可能是攻击者尝试绕过安全检测。非常规端口使用异常行为事件：及时发现，快速响应010203PART12不可抗力事件：应对自然灾害等突发情况自然灾害指由自然因素引发的灾害性事件，如地震、洪水、台风、雷电等，对网络和信息系统造成物理破坏或影响正常运行。社会突发事件其他不可抗力因素不可抗力事件：应对自然灾害等突发情况指由社会因素引发的突发事件，如战争、政治动荡、恐怖袭击等，可能导致网络和信息系统遭受攻击或破坏。包括但不限于政府行为、法律法规变化、第三方服务故障等，这些因素虽非直接自然灾害或社会事件，但同样可能对网络和信息系统造成重大影响。PART13网络安全事件分类代码解析通过制造、传播恶意程序，破坏计算机功能或窃取数据。计算机病毒事件网络蠕虫事件特洛伊木马事件利用网络缺陷自动复制并传播蠕虫，消耗网络资源并可能导致网络瘫痪。隐藏在看似无害的软件中，远程控制受害系统并窃取数据。网络安全事件分类代码解析PART14实战案例：网络安全事件处置经验分享实时监控一旦发现安全事件，立即按照预定流程进行报告，确保信息及时传递。事件报告初步分析对报告的事件进行初步分析，判断事件性质和影响范围。通过安全设备和系统日志进行实时监控，及时发现异常行为。实战案例：网络安全事件处置经验分享PART15网络钓鱼与反钓鱼技术探讨定义网络钓鱼是指通过伪造合法实体或虚假信息，诱导用户泄露敏感信息的网络欺诈行为。特点伪装性强，难以识别；针对性广，危害巨大；手段多样，不断演变。网络钓鱼与反钓鱼技术探讨PART16漏洞利用事件：如何织密安全网？漏洞利用事件是指攻击者通过网络技术手段，发现并利用系统、应用或网络协议等中的安全漏洞，进行非法访问、数据窃取或破坏等活动的网络安全事件。定义漏洞利用事件通常具有隐蔽性、突发性和危害性等特点。攻击者往往利用漏洞悄无声息地入侵系统，窃取敏感信息或进行破坏活动，给企业和个人带来严重损失。特点漏洞利用事件：如何织密安全网？PART17后门攻击与防御策略在软件中植入恶意代码，以便攻击者绕过正常认证机制，远程控制受感染的系统。软件后门在硬件设备中植入恶意电路或组件，实现对设备的非法访问和控制。硬件后门通过渗透供应商或篡改供应链中的产品，插入后门，以便在供应链下游进行攻击。供应链后门后门攻击与防御策略010203PART18凭据攻击事件：保护你的登录信息定义凭据攻击事件是指攻击者通过破解、窃取或伪造用户登录凭据，获取非法访问权限的行为。特点攻击手段隐蔽，难以被及时发现；一旦成功，攻击者可获得用户全部或部分权限，危害巨大。凭据攻击事件：保护你的登录信息PART19信号干扰事件：确保通信畅通无阻这类事件通常表现为通信质量下降、数据传输中断或信号失真等问题。信号干扰事件可能对关键业务造成严重影响，如金融交易、远程医疗和应急救援等。信号干扰事件是指通过技术手段阻碍有线或无线信号在网络中正常传播的行为。信号干扰事件：确保通信畅通无阻PART20拒绝服务攻击（DDoS）应对策略通过实时监测进入网络的流量，识别并过滤掉DDoS攻击流量。实时监测和过滤仅将合法流量传送到目标服务器，确保服务可用性。合法流量传送快速识别DDoS攻击并采取相应措施，缩短服务中断时间。快速响应和检测拒绝服务攻击（DDoS）应对策略PART21网页篡改与暗链植入：如何识别？定期比对网站内容，检查是否有未经授权的修改或添加，特别是关键页面和链接。内容比对通过监测网站文件的哈希值等完整性信息，及时发现文件被篡改。文件完整性校验分析网站访问日志和服务器日志，查找异常访问和修改记录。安全日志分析网页篡改与暗链植入：如何识别？PART22域名劫持与DNS污染事件解析定义导致用户无法正常访问目标网站，可能被引导至恶意网站，进而遭受信息泄露、诈骗等风险。危害防范措施加强DNS服务器的安全防护，定期检查和更新域名解析记录，确保域名的正确指向。通过攻击或伪造DNS的方式，蓄意或恶意诱导用户访问非预期的指定IP地址（网站）。域名劫持与DNS污染事件解析PART23WLAN劫持事件：无线网络安全挑战WLAN劫持事件是指攻击者通过非法手段获取无线局域网（WLAN）的控制权，进而对网络中的数据进行篡改、窃取或实施其他恶意行为。定义WLAN劫持事件具有隐蔽性高、危害性大、难以防范等特点。由于无线网络环境的开放性，攻击者往往能够轻易地对WLAN进行劫持操作。特点WLAN劫持事件：无线网络安全挑战PART24流量与BGP劫持攻击事件剖析攻击方式通过恶意软件或网络设备，非法控制并劫持用户的网络流量，将其重定向到攻击者指定的目的地。危害程度导致用户隐私泄露、重要数据被窃取，甚至可能引发进一步的网络攻击。防御措施加强网络设备的安全配置，使用HTTPS等加密协议进行通信，定期更新和升级系统和软件。流量与BGP劫持攻击事件剖析PART25广播欺诈与网络诱骗防范技巧广播欺诈通常通过伪造或篡改广播信号，发布虚假信息进行诈骗。用户应了解这些手法，提高警惕。了解广播欺诈手法在接收到广播信息后，务必通过其他渠道验证信息的真实性，避免被虚假信息误导。验证信息来源发现可疑的广播信号或信息时，应及时向相关部门举报，以便及时采取措施遏制欺诈行为。举报可疑广播广播欺诈与网络诱骗防范技巧PART26失陷主机事件：如何夺回控制权？失陷主机事件：如何夺回控制权？部署入侵检测系统（IDS）和入侵防御系统（IPS）等安全设备，实时监控网络流量和主机行为，及时发现异常。强化网络安全监控定期对网络系统进行安全巡查，包括漏洞扫描、恶意代码检测等，及时发现并处置安全风险。定期安全巡查一旦发现主机被攻陷，应立即将其从网络中隔离，防止攻击者进一步控制其他主机或窃取数据。隔离失陷主机PART27供应链攻击事件：全链条安全防护定义指利用供应链中的漏洞，对目标进行攻击的一种方式，具有隐蔽性强、影响范围广、难以防范等特点。特点攻击者通过破坏、篡改、植入恶意代码等手段，对供应链中的某个环节进行攻击，从而影响整个供应链的安全。供应链攻击事件：全链条安全防护PART28APT事件：高级威胁应对策略APT攻击通常针对特定目标，如政府机构、大型企业或关键基础设施。针对性强APT攻击往往持续数月甚至数年，不断收集信息、渗透网络。持续性久APT攻击采用先进的隐蔽技术，难以被常规安全手段检测。隐蔽性高APT事件：高级威胁应对策略PART29网络安全法律法规与合规性要求《中华人民共和国网络安全法》确立网络安全的基本原则和制度，为网络安全提供法律保障。《中华人民共和国数据安全法》旨在保障数据安全，规范数据处理活动，促进数据开发利用。《中华人民共和国个人信息保护法》保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。网络安全法律法规与合规性要求PART30企业网络安全事件应急响应计划制定企业网络安全事件应急响应计划制定确保业务连续性优先保障企业关键业务在网络安全事件中的稳定运行。通过迅速、有效的响应措施，尽可能减少网络安全事件带来的损失。最小化损失在制定应急响应计划时，确保符合国家相关法律法规和政策要求。遵守法律法规PART31网络安全事件日志分析与审计操作系统日志记录应用程序运行过程中的事件，如数据库访问、交易处理等。应用程序日志安全设备日志记录网络安全设备（如防火墙、入侵检测系统）产生的事件，包括攻击尝试、策略违规等。记录系统启动、运行、关闭等过程中的事件，包括用户登录、文件操作等。网络安全事件日志分析与审计PART32数字取证技术在网络安全事件中的应用防范未来攻击数字取证过程中积累的知识和经验有助于加强网络安全防御，预防类似事件的再次发生。提供关键证据数字取证技术能够收集、保存和分析网络攻击或数据泄露事件中的数字证据，为调查和起诉提供有力支持。快速响应与恢复通过数字取证技术，可以快速识别攻击源和攻击手段，及时采取应对措施，减少损失并加速系统恢复。数字取证技术在网络安全事件中的应用PART33网络安全事件报告与信息共享机制涵盖所有重要和紧急的网络安全事件，包括但不限于数据泄露、恶意攻击、系统瘫痪等。报告范围对不同类型的网络安全事件设定明确的报告时限，确保信息的及时性和准确性。报告时限包括事件的描述、影响范围、损失评估、已采取的措施等关键信息。报告内容网络安全事件报告与信息共享机制010203PART34网络安全培训与意识提升方案网络安全培训与意识提升方案包括网络安全概念、常见网络攻击手段及防范措施等，帮助学员建立全面的网络安全知识体系。基础网络安全知识通过模拟真实的网络环境，让学员亲身参与网络安全攻防演练，提升实际操作能力。网络安全实操演练结合最新网络安全事件案例，深入剖析事件原因、影响及应对策略，增强学员对网络安全事件的敏感性和应对能力。网络安全案例分析PART35从GB/T20986-2007到2023：标准演变与影响事件类别的细化相较于2007版，2023版对网络安全事件进行了更为细致的分类，如将恶意程序事件细分为计算机病毒事件、网络蠕虫事件等，便于更精准地应对和处理。从GB/T20986-2007到2023：标准演变与影响事件分级的明确新标准明确了网络安全事件的分级方法，根据事件的严重性、影响程度和特征等因素进行分级，为不同级别的事件提供了相应的处置建议。与国际标准的接轨2023版在制定过程中参考了国际上的相关标准和实践，使得我国的网络安全事件分类分级指南更具国际视野和可操作性。PART36新旧标准对比：GB/T20986变化点解读新增了多个事件类别与旧标准相比，新标准在网络安全事件的分类上更加细化，增加了诸如恶意代码宿主站点事件、挖矿病毒事件等新的类别，以应对日益复杂多变的网络安全威胁。子类别进一步拓展在每个事件类别下，新标准还进一步拓展了子类别的划分，以便更准确地定位和应对不同类型的网络安全事件。新旧标准对比：GB/T20986变化点解读PART37网络安全事件分类分级的实际应用场景事件快速定性与应对企业可依据指南对发生的网络安全事件进行快速分类和定性，明确事件性质和严重程度，从而及时采取有效的应对措施。提升应急处置效率加强事件后续分析与防范网络安全事件分类分级的实际应用场景通过分级指南，企业可针对不同级别的安全事件制定相应的应急处置预案，提高响应速度和处置效率。企业可结合分类分级结果，对网络安全事件进行深入分析，总结经验教训，加强后续的安全防范工作。PART38基于新标准的网络安全风险评估方法分析威胁的潜在严重性和出现可能性，以确定风险级别。根据风险评估结果，制定相应的预防策略和应对措施。识别网络系统可能面临的各类威胁，如恶意程序、网络攻击等。基于新标准的网络安全风险评估方法PART39网络安全事件应急演练计划与实施网络安全事件应急演练计划与实施确定演练目标和范围明确演练的目的、涉及的系统、参与人员等要素，确保演练的针对性和实效性。设计演练场景和事件结合实际情况，设计具有代表性的网络安全事件场景，如数据泄露、恶意攻击等，以检验应急响应能力。制定详细时间表和任务分工根据演练目标和场景，制定具体的时间安排和任务分工，确保演练的有序进行。PART40构建基于GB/T20986的网络安全管理体系包括计算机病毒、网络蠕虫、特洛伊木马等恶意程序事件如网络扫描探测、钓鱼攻击、漏洞利用等网络攻击事件涉及数据泄露、篡改、丢失等数据安全事件构建基于GB/T20986的网络安全管理体系010203PART41网络安全事件监测预警系统建设指南涵盖组织内部所有关键网络和系统，包括数据中心、办公网络等。内部网络监测关注与组织相关的外部网络环境，如云服务、供应链网络等。外部网络监测针对组织的重要应用和业务流程进行实时监测，确保其安全稳定运行。应用与业务监测网络安全事件监测预警系统建设指南PART42网络安全事件处置中的跨部门协作机制设立网络安全事件应急指挥中心负责统筹协调各部门间的应急处置工作，确保快速反应和高效处置。网络安全事件处置中的跨部门协作机制制定跨部门协作流程明确各部门在网络安全事件处置中的职责、权限和工作流程，形成标准化的操作规范。建立信息共享平台实现各部门间网络安全信息的实时共享，提高信息利用效率，为决策提供支持。PART43利用大数据分析优化网络安全事件响应通过大数据技术，实时收集网络流量、系统日志、用户行为等多维度数据。数据采集异常检测预警机制利用机器学习、深度学习等算法，对数据进行分析，及时发现异常行为。根据异常检测结果，触发预警机制，通知相关人员及时处置。利用大数据分析优化网络安全事件响应PART44云计算环境下的网络安全事件管理策略有效阻止未经授权的访问和恶意攻击，确保云计算环境的安全性。部署防火墙和安全网关及时修复已知漏洞，减少被攻击的风险。定期更新和补丁管理记录和分析系统活动，及时发现并应对潜在的安全威胁。实施安全审计和日志管理云计算环境下的网络安全事件管理策略PART45物联网安全挑战与GB/T20986的应用物联网安全挑战与GB/T20986的应用010203设备安全物联网设备可能存在安全漏洞，易受到黑客攻击，导致数据泄露或设备被控制。数据传输安全物联网设备之间的数据传输可能面临被截获、篡改或伪造的风险。隐私保护物联网设备收集的大量用户数据涉及个人隐私，如何确保这些数据的安全性和隐私性是一大挑战。PART46工业控制系统网络安全与事件分类