有问题可私聊:QQ:3375119339
专栏文章索引:目录
一、安全事件分级
二、应急事件分级
三、安全事件分类
四、常见安全事件原因分析
1.web入侵
2.漏洞攻击
3.网络攻击
一、安全事件分级
- 网络和信息系统损失程度划分说明
- 较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的
- 较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小
二、应急事件分级
- 参照GBT 28827.3 -- 2012 信息技术服务 运维维护 第3部分:应急响应规范
- 应急事件级别划分有更加量化的方法
- 首先,应急事件分级参考因素有三个维度
- 信息系统的重要程度
- 信息系统服务时段
- 信息系统受损程度
- 信息系统的重要程度
- 信息系统安全利益主体
- 信息系统处理的业务信息类别
- 信息系统服务范围
- 业务对信息系统的依赖程度
- 参照上述维度,对信息系统的重要程度划分为4级,由其在经济建设、社会管理、公共服务、生产经营的中的重要性决定。参照GB/T 22240-2008
- 信息系统服务时段赋值表
- 信息系统损失程度赋值表
- 事件定级步骤,将上述三个要素赋值
- 信息系统的重要程度,取值1-4
- 信息系统服务时段赋值表,取值1-3
- 信息系统损失程度赋值表,取值1-3
- 将三要素相乘,得到取值范围为1~36,其中
- 三级事件为1~6
- 二级事件为8~18
- 一级事件为26~36
三、安全事件分类
- 国家标准 GB/Z20986-2007《信息安全事件分类指南》根据信息安全事件的起因、表现、结果等,将信息安全事件分为7个基本分类,每个基本分类包括若干个子类。
- 一、恶意程序事件(计算机病毒事件,蠕虫事件,特洛伊木马事件,僵尸网络事件,混合攻击程序事件,网页内嵌恶意代码事件,其他有害程序事件)
- 二、网络攻击事件(拒绝服务器攻击事件,后门攻击事件,漏洞攻击事件,网络扫描窃听事件,网络钓鱼事件,干扰事件,其他网络攻击事件)
- 三、信息破坏事件(信息篡改事件,信息假冒事件,信息泄露事件,信息窃取事件,信息丢失事件,其他信息破坏事件)
- 四、信息内容安全事件(违反宪法和法律,行政法规的信息安全事件、针对社会事项进行讨论评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件、组织串联,煽动集会游行的信息安全事件、其他信息内容安全事件)
- 五、设备设施故障(软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障)
- 六、灾害性事件
- 七、其他信息安全事件
- 在企业层面,不同企业有不同的应用场景与业务需求。所以事件的分级与响应没有统一执行的标准。
- 实际在执行过程可以借鉴ISO 27005风险管理的方法,来执行企业的安全事件定义
- 或者依据国家标准,简单的从受影响人数、经济损失、系统中断时长来定义安全事件等级,进而采取不同响应
四、常见安全事件原因分析
1.web入侵
- WEB入侵事件,依据2017版owasp top10 ,有以下类型攻击
- 造成WEB被入侵的原因有很多,如
- 输入过滤问题
- 权限设计问题
- WEB组件的配置问题
- 业务逻辑问题
- 针对WEB的常见防御方式:
- 编写代码时做到完整的过滤
- 检查WEB服务器的安全基线配置
- 加强开发人员对业务逻辑学习
- 定期执行渗透测试
- 使用WAF防火墙
2.漏洞攻击
- 利用漏洞攻击
- 来自于互联网公开或未公开的漏洞
- 操作系统漏洞 ,如wannecry
- 应用软件漏洞,Nginx解析漏洞、office漏洞
- 系统组件漏洞,如heartbleed、bash破壳漏洞
- 针对漏洞的防御可以采取下列方式:
- 制定企业内补丁管理办法
- 使用自动化工具扫描并发现系统漏洞
- 借助专业化服务,加强对漏洞的响应
- 关闭不需要使用的服务
3.网络攻击
