搜索结果: GB/T 32924-2016, GB/T32924-2016, GBT 32924-2016, GBT32924-2016
| 标准编号 | GB/T 32924-2016 (GB/T32924-2016) | | 中文名称 | 信息安全技术 网络安全预警指南 | | 英文名称 | Information security technology - Guideline for cyber security warning | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 11,166 | | 发布日期 | 2016-08-29 | | 实施日期 | 2017-03-01 | | 标准依据 | 国家标准公告2016年第14号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 32924-2016: 信息安全技术 网络安全预警指南
GB/T 32924-2016 英文名称: Information security technology -- Guideline for cyber security warning
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 网络安全预警指南
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准给出了网络安全预警的分级指南与处理流程。
本标准为及时准确了解网络安全事件或威胁的影响程度、可能造成的后果,及采取有效措施提供指
导,也适用于网络与信息系统主管和运营部门参考开展网络安全事件或威胁的处置工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了
GB/T 25069-2010中的某些术语和定义。
4 网络安全预警分级
4.1 网络安全预警分级要素
4.1.1 概述
网络安全预警的分级主要考虑两个要素:网络安全保护对象的重要程度与网络安全保护对象可能
受到损害的程度。
4.1.2 网络安全保护对象重要程度的判定
网络安全保护对象的重要程度根据其所承载的业务对国家安全、经济建设、社会生活的重要性以及
业务对其依赖程度,划分为特别重要、重要和一般三个级别。
具体为:
a) 特别重要的保护对象,包括:
---按照GB/T 22240-2008的规定定级为四级及四级以上的信息系统;
---用户量亿级或日活跃用户千万级的互联网重要应用;
---日交易量亿元级的电子交易平台;
---行业占有率前五的互联网重要应用;
---提供互联网支撑服务的重要系统,如域名解析服务;
---由多个重要的网络安全保护对象共同组成的群体;
---其他与国家安全关系密切,或与经济建设、社会生活关系非常密切的系统。
b) 重要的保护对象,包括:
---按照GB/T 22240-2008的规定定级为三级的信息系统;
---用户量千万级或日活跃用户百万级的互联网重要应用;
---日交易量千万元级的电子交易平台;
---行业占有率较高的互联网应用;
---涉及大量个人信息的系统;
---由多个一般的网络安全保护对象共同组成的群体;
---与国家安全关系一般,或与经济建设、社会生活关系密切的系统。
c) 一般的保护对象,包括:
---按照GB/T 22240-2008的规定定级为二级及二级以下的信息系统;
---其他公共互联网服务等。
判定网络安全保护对象的重要程度宜综合考虑其所服务的用户量、日活跃用户数、交易额、信息安
全等级保护的级别、数据敏感程度等因素。在重大活动期间,保护对象的重要程度宜适当进行调整。
4.1.3 网络安全保护对象可能受到损害程度的判定
网络安全保护对象可能受到损害的程度是指网络安全事件或威胁对其软硬件、功能及数据的损害,
导致系统业务运行缓慢或中断,数据泄露、篡改、丢失或损坏,对保护对象造成直接及间接损失的程度。
其大小主要考虑保护对象自身可能的直接损失,以及防御攻击、恢复系统正常运行和消除负面影响所需
付出的代价,划分为特别严重、严重、较大和一般。
具体为:
a) 特别严重的损害,是指可能造成或已造成网络或信息系统大面积瘫痪,使其丧失业务处理能
力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除负面影
响所需付出的代价十分巨大。例如:
---大规模、持续性的网络攻击,可能造成或已造成网络或信息系统大面积瘫痪,使其丧失业
务处理能力;
---涉及管理权限的安全漏洞及漏洞利用过程被披露,并出现自动化攻击工具,可能造成或已
造成大规模个人信息泄露,包含账号密码、银行卡号等可能影响财物的信息。
b) 严重的损害,是指可能造成或已造成网络或信息系统长时间中断或局部瘫痪,使其业务处理能
力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消
除负面影响所需付出的代价巨大。例如:
---有组织的、针对性的攻击,可能造成或已造成网络或信息系统长时间中断或局部瘫痪,使
其业务处理能力受到极大影响;
---涉及远程命令执行的安全漏洞及漏洞利用过程被披露,可能造成或已造成大规模个人信
息泄露,但不含财物信息。
c) 较大的损害,是指可能造成或已造成网络或信息系统中断,明显影响系统效率,使其业务处理
能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除
负面影响所需付出的代价较大。例如:
---针对性的攻击,可能造成或已造成保护对象网络和系统中断,明显影响系统效率,使其业
务处理能力受到极大影响;
---涉及远程数据读取的安全漏洞被披露,可能造成或已造成个人信息泄露。
d) 一般的损害,是指可能造成或已造成网络或信息系统短暂中断,影响系统效率,使系统业务处
理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消
除负面影响所需付出的代价较小。例如,造成保护对象网络和系统短暂中断,影响系统效率,
使其业务处理能力受到影响。
判定网络安全保护对象可能受到损害的程度宜从网络安全威胁本身和网络安全保护对象等方面
考虑:
---网络安全威胁方面包括攻击者能力、攻击工具、攻击行为破坏性等;
---网络安全保护对象方面包括脆弱性严重程度、防护措施、攻击造成的损失程度等;
---其他,例如数据泄露的程度等。
4.2 网络安全预警级别及判定
4.2.1 概述
网络安全预警级别根据网络安全保护对象的重要程度和网络安全保护对象可能受到损害的程度分
为四个级别:红色预警、橙色预警、黄色预警和蓝色预警。
4.2.2 红色预警(Ⅰ级预警)
当发生极其严重的网络安全事件或威胁,可能极大威胁国家安全、引起社会动荡、对经济建设有极
其恶劣的负面影响,或严重损害公众利益,应发布红色预警。即可能对特别重要的网络安全保护对象产
生特别严重的损害。
4.2.3 橙色预警(Ⅱ级预警)
当发生严重的网络安全事件或威胁,可能威胁国家安全、引起社会恐慌、对经济建设有重大的负面
影响,或损害公众利益,应发布橙色预警。包括以下情况:
a) 可能对特别重要的网络安全保护对象产生严重的损害;
b) 可能对重要的网络安全保护对象产生特别严重的损害。
4.2.4 黄色预警(Ⅲ级预警)
当发生较严重的网络安全事件或威胁,可能影响国家安全、扰乱社会秩序、对经济建设有一定的负
面影响,或影响公众利益,应发布黄色预警。包括以下情况:
a) 可能对特别重要的网络安全保护对象产生较大或一般的损害;
b) 可能对重要的网络安全保护对象产生严重或较大的损害;
c) 可能对一般的网络安全保护对象产生特别严重或严重的损害。
4.2.5 蓝色预警(Ⅳ级预警)
当发生一般的网络安全事件或威胁,对国家安全、社会秩序、经济建设和公众利益基本没有影响,但
可能对个别公民、法人或其他组织的利益会造成损害,应发布蓝色预警,特别轻微的可以不发预警。包
括以下情况:
a) 可能对重要的网络安全保护对象产生一般的损害;
b) 可能对一般的网络安全保护对象产生较大或一般的损害。
4.2.6 网络安全预警分级表
由网络安全保护对象的重要程度与网络安全保护对象可能受到损害的程度确定的网络安全预警级
别见表1。
5.1 预警的发布
网络安全预警应由国家授权的预警发布机构发布。网络安全预警发布内容宜包含预警级别及其事
件性质、威胁方式、影响范围、涉及对象、影响程度、防范对策等信息。
5.2 预警的响应与处置
网络与信息系统的主管和运营部门接到网络安全预警后,宜进行如下操作:
---分析、研判相关事件或威胁对自身网络安全保护对象可能造成损害的程度;
---将研判结果向上级及主管部门汇报;
---经上级及主管部门同意后,采取适当形式发送预警或通告给相关......
|