信息安全的信息资产、威胁与脆弱性分类

A.1 信息资产的分类

信息资产分类见表。

表E.1 信息资产分类

A.2 威胁的分类

威胁分类见表。

表E.2 威胁分类

A.3 脆弱性的分类

脆弱性分类见表。

表E.3 脆弱性分类

XX公司信息安全事件处理流程

XX公司信息安全事件处理流程 一、信息安全事件分类 根据我市公司生产经营工作的实际运行情况，将信息安全事件从网络、系统、机房基础设施三方面按照重大信息安全事件和一般信息安全事件进行分类。 1、重大信息安全事件 1) 网络及网络安全方面 1.1通信链路中断、或通信设备故障持续时间超过4小时。 1.2重要网络设备、网络安全设备非正常停机或无法访问持续时间超过4小时。 1.3发生计算机程序、系统参数和数据被删改等网络攻击和破坏或计算机病毒疫情导致网络不能正常运行超过4小时不能恢复的。 2) 信息系统方面 2.1重要服务器（小型机）、数据存储设备非正常停机或无法访问超过4小时。 2.2应用系统大面积不能正常访问超过4小时。 2.3 重要信息系统数据损坏或丢失。 2.4信息系统遭受突发网络攻击，系统数据被破坏、篡改和窃密。 2.5备份数据不能正常使用。

2.6 发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用，网络地址和用户身份信息的窃取、盗用。 3) 机房基础设施方面 3.1机房出现严重漏水。 3.2非计划断电或计划内长时间停电。 3.3机房或UPS室发生火灾或机房设备发生自燃。 3.4 UPS非正常工作3小时以上。 3.5 发生自然灾害性事件导致的信息安全事故。 3.6机房设施非正常停机超过4小时。 4）其它 4.1 各类设备损坏或失窃，直接经济损失达1万元以上的。 4.2产生的社会影响波及到一个或多个地市的大部分地区，引起社会恐慌，对经济的建设和发展有较大负面影响，或损害到公众利益。 2、一般信息安全事件 1) 网络及网络安全方面 1.1通信链路中断、或通信设备故障持续时间超过2小时。 1.2重要网络设备、网络安全设备非正常停机或无法访问持续时间超过2小时。 1.3发生计算机程序、系统参数和数据被删改等网络攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务超过2

2020年(安全生产)TCWGN_信息安全事件分类分级指南(编制说

（安全生产）TCWGN_信息安全事件分类分级指南 （编制说

《信息安全事件分类分级指南》（征求意见稿）编制说明 壹、项目背景 目前国外对信息安全事件的分类分级仍没有单独的标准和指南，不过在和信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述，例如ISO/IEC18044《信息安全事件管理》、NISTSP800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义，明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别，以及事件级别的描述，只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类，其第6节描述了信息安全事件及其原因的举例，介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A：信息安全事件报告单示例中，列出了在事件报告中可参考的事件类别。NISTSP800-61《计算机安全事件处理指南》针对安全事件处理，特别是安全事件相关数据的分析以及确定采用哪种方式来响应每壹安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义，只是对安全事件作出了解释。本治安介绍了安全事件的分类，但明确说明所列出的安全事件分类不是包罗壹切的，也不打算对安全事件进行明确的分类。 2003年出版的LANDEurope在为EuropeanCommissionDirectorate-GeneralInformationSociety研究且得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中，提出壹个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。且给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本，而不是提供无壹遗漏的清单。 在国内，北京市出台了《北京市国家机关重大信息安全事件报告制度（试行）》，且为

信息安全事件管理规范

信息安全管理部 信息安全事件管理规范 V1.0

文档信息： 文档修改历史: 评审人员：

信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应，启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复； 2．0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3．0 相关角色和职责 ●信息安全总监：负责制定《信息安全事件管理规范》，并督促制度的落实和执行； ●信息安全部经理： ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行； ?负责对各类信息安全事件进行第一时间响应，区分信息安全事件的类别及后续 处理流程； ?负责跟踪各类信息安全事件的后续处理，确保公司能从中汲取教训，不再发生 类似问题； ●信息安全事件发起人：在具体工作中发现异常后应及时上报，并协助完成后续处理 工作。 4．0 信息资产 信息安全管理部负责以下信息资产的安全运行： ●机房环境、硬件设备正常运行： ?互联机房； ?北京办公室机房； ?上海办公室机房； ?机房内的所有硬件设备，包括网络设备、服务器和其它设备； ●办公室网络环境正常运行 ?互联机房内网/外网环境； ?北京办公室内网/外网环境； ?上海办公室内网/外网环境； ●机房内系统工作正常； ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。 5．0 信息安全事件分级、分类

对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5．1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素，对信息安全事件分为以下几个级别： 1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目考中异常等； 2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的网站异常造成客户投拆等； 3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如在日常维护工作中发现的各类异常事件等； 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释： ●常规工作：指影响超出单点范围，可能/己经造成了部门/小组级的工作异常，但未造成 实质性损害的信息事件； 5．2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为： ●环境灾害： ?自然/人为灾害：水灾、火灾、地震、恐怖袭击、战争等； ?外围保障设施故障： ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障：由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障：例如拖管机房的服务器、服务器故障等； ●常规事故： ?软硬件自身故障： ◆软件自身故障：由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障：由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故： ◆硬件设备、软件遗失；与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失：系统中的重要数据遗失 ◆误操作破坏硬件；

信息安全事件与应急响应管理规范

. 司限公有电四川长虹器股份虹微公司管理文件 信息安全事件与应急响应管理规范 发布××××–××–××实施××××–××–××微虹川四长虹布司公发专业资料． . 目 录 .................................................................................................................... .... 1目的1. .................................................................................................................... 12. 适用围................................................................................................................ 13.工作原则

.................................................................................................... 24.组织体系和职责.................................................................................. 2 .信息安全事件分类和分级5. ....................................................................................................................................... 25.1. 信息安全事件分类2信息系统攻击事件 5.1.1........................................................................................................................................... 3信息破坏事件 5.1.2 ................................................................................................................................................... 3.............................................................................................................................................. 信息容安全事件5.1.3. 3................................................................................................................................................... 设备设施故障5.1.4 3 5.1.5....................................................................................................................................................... 灾害性事件 35.1.6.......................................................................................................................................... 其他信息安全事件 ............................................................................................................................................ 3安全事件的分级5.2.45.2.1特别重大信息安全事件（一 级） .................................................................................................................. 4重大信息安全事件（二 级） .......................................................................................................................... 5.2.24较大信息安全事件（三级）5.2.3..........................................................................................................................

信息安全定义 信息保密

信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 1.1 信息保密工作要求 1.1.1 国家秘密是指关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事。 1.1.2 国家秘密事项有抽象事项和具体事项之分。保密范围的规定中所列举的事项，属于抽象的国家秘密事项，机关、单位在日常工作中形成的并按照定密程序确定的国家秘密事项，属于具体的国家秘密事项。 1.1.3 国家秘密的秘级是指国家秘密的级别等级，《保密法》将我国的国家秘密规定为三个等级，即“绝密级”、“机密级”、“秘密级”。“绝密级”是最重要的国家秘密，公开或泄漏后会使国家的安全和利益遭受特别严重的损害；“机密级”是重要的国家秘密，公开或泄露后会使国家的安全和利益遭受严重损害；“秘密级”是一般的国家秘密，公开或泄漏后会使国家的安全和利益遭受损害。 1.1.4 国家秘密事项的保密期限，由产生国家秘密事项的机关单位在对该事项确定密级的同时确定。除有特殊规定外，绝密级国家秘密事项的保密期限不超过30年，机密级事项不超过20年，秘密级事项不超过10年。 1.1.5 国家秘密是属于禁止公开的信息，审查的基本依据是保密法律法规。保密范围的规定是判断拟公开信息是否涉及国家秘密的直接依据。根据《保密法》的规定，国家秘密的范围有基本范围和具体范围之分。国家秘密的基本范围，《保密法》已作明确规定。国家秘密的具体范围，在信息公开工作中，对拟公开信息进行保密审查的直接依据。 1.1.6 商业秘密是指不为公众所知悉，能为权利人带来经济利益，具有实用性，并经权利人采取保密措施的技术信息和经营信息。商业秘密包括两大类：非专利技术信息和经营信息。 1.1.7 技术信息包括：产品材料的生产配方、工艺流程、技术诀窍、设计图纸等；经营信息包括：企业及其他权利人对生产经营的管理方法、产销策略、客户名单、货源情报等。 1.1.8 个人隐私一般是指与特定个人有关的，本人主观上不愿意或者不便告诉他人的，一旦公开披露，会给当事人的名誉、信誉、社会形象或者工作、生活、心理、精神等方面造成负面影响的信息。如疾病情况、个人收入、财产状况、债务情况、家庭矛盾、不愉快的经历等。按照《政府信息公开条例》的规定，个人隐私信息一般不得公开。 1.1.9 科学技术交流与合作保密，在公开的科学技术交流合作中，进行公开的科学技术讲学、进修、考察、合作研究，利用广播、电影、电视以及公开发行的报刊、书籍、图文资料

信息安全事件分类规定

信息安全事件分类规定 1 目的 为明确信息安全事件分类方法，特制定本规定。 2 范围 本规定适用于信息安全事件分类管理。 3 职责 公司综合管理部负责信息安全事件管理。 4 相关文件 《信息安全管理手册》 《信息安全事件管理程序》 5 规定要求 5.1 信息系统事件 5.1.1 信息系统故障 5.1.1.1 通信线路和设备故障、主机（服务器）、存储系统、网络设备（各类网络交换机、路由器、防火墙等）、电源故障运行中断达15分钟；网络IP链路连续故障时间超过30分钟。 5.1.1.2 系统(硬、软件)损坏或丢失，造成较小的直接经济损失。 5.1.1.3 计算机数据损坏或丢失，或信息系统数据损坏或丢失，数据量在时间上连续超过4小时。

5.1.1.4 计算机病毒感染、内外部黑客入侵和攻击,未造成损失的。 5.1.2 一般信息系统事件 5.1.2.1 通信线路和设备故障、主机（服务器）、存储系统、网络设备（各类网络交换机、路由器、防火墙等）、电源故障运行中断导致不能为超过80％（包括80%）的网络注册用户提供服务，时间达2小时；不能为80％以下网络注册用户提供服务，持续等效服务中断时间达4小时。 5.1.2.2 系统(硬、软件)损坏或失窃，造成直接经济损失达1万元以下者。 5.1.2.3 计算机重要数据损坏或丢失，或信息系统数据损坏或丢失，数据量在时间上连续超过24小时。 5.1.2.4 计算机病毒感染、内外部黑客入侵和攻击,造成轻微损失的。 5.1.3 严重信息系统事件 5.1.3.1 通信线路和设备故障、主机（服务器）、存储系统、网络设备（各类网络交换机、路由器、防火墙等）、电源故障运行中断不能为超过80％（包括80%）的网络注册用户提供服务，时间达4小时；不能为80％以下网络注册用户提供服务，持续等效服务中断时间达8小时。 5.1.3.2 系统(硬、软件)损坏或失窃，直接经济损失达1万元以上者。 5.1.3.3 重要技术开发、研究数据损坏或丢失，或重要信息系统数据损坏或丢失，数据量在时间上连续超过48小时。 5.1.3.4 发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。

信息安全事态事件法律法规方面脆弱性报告及表单分类分级方法示例

附录 A （资料性附录） 法律法规方面 信息安全事件管理策略和相关方案中宜关注信息安全事件管理的如下法律法规方面。 a)提供足够的数据保护和个人信息的隐私保护。在那些有特定法律涵盖数据保密性和完整性的国家中，对于个人数据的控制常常受到限制。由于信息安全事件通常需要归因到个人，个人特性的信息可能因此需要被相应地记录和管理。因此，结构化的信息安全事件管理方法需要考虑适当的隐私保护。这可能包括以下方面： 1)如果实际情况可行，访问被调查人的个人数据的人员不宜与其存在私交； 2)在允许访问个人数据之前,宜签署保密协议； 3)信息宜仅用于其被获取的明示目的，即信息安全事件调查。 b)维护适当的记录保存。一些国家的法律，要求公司维护其活动的适当记录，在每年组织的审计过程中进行审查。政府机构也有类似的要求。在某些国家，要求组织报告或生成执法用的档案（例如，当涉及到对政府敏感系统的严重犯罪或渗透时）。 c)控制措施到位以确保实现商业合同义务。当对信息安全事件管理服务提出要求时，例如，满足所需的响应时间，组织宜确保提供适当的信息安全来保证在任何情况下满足这种义务要求。与此相关，如果组织寻求外部方支持并签署合同，例如外部IRT，那么宜确保在与外部方签署的合同中涵盖了所有要求，包括响应时间； d)处理与策略和规程相关的法律问题。与信息安全事件管理方案相关的策略和规程宜就潜在的法律法规问题得到检查，例如，是否有关于对那些引起信息安全事件的事项采取惩戒和（或）法律诉讼的声明。在一些国家，解雇人员并不是一件容易的事情； e)检查免责声明的法律效力。信息事件管理团队和任何外部支持人员所采取行动的免责声明的法律效力宜得到检查。 f)与外部支持人员的合同涵盖所有要求的方面。与任何外部支持人员的合同，例如来自外部IRT 人员，在免除责任、保密、服务可用性和错误建议的影响方面宜得到彻底检查。 g)保密协议可强制执行。信息安全事件管理团队成员在入职和离职时，可被要求签署保密协议。在一些国家，已签署的保密协议可能在法律上无效，宜对此予以核实。 h)满足执法的要求。执法机构可能会合法地请求来自信息安全事件管理方案的信息，与其相关的问题需要澄清。可能的情况是，宜明确按照法律规定的最低水平要求，来记录事件和保持记录存档的时长。 i)明确责任。需要明确潜在的责任和所需的相关控制措施是否到位。可能具有相关责任问题的事态示例如下： 1)如果一个事件可能影响到其他组织（例如，披露共享信息，但没有及时通知，导致其他组织受到不利影响）； 2)如果在产品中发现新的脆弱性，但供应商未得到通知，随后发生了重大相关事件，给一个或多个其它组织带来重大影响； 3)没有编制报告，但在某些国家，在涉及到对政府敏感系统或关键国家基础设施组成部分的严重犯罪或渗透时，要求组织报告或生成执法用的档案； 这可能会损害涉案个人或组披露的信息似乎表明某人或组织可能被卷入了攻击。4) 织的声誉和业务；披露的信息表明可能是特定软件的问题，但后来发现并非如此。5) 当有具体法规要求时，宜将事件报告给指定机构，例如，在许满足具体法规要求。j) 多国家对核电工业、电信公司和互联网服务提供商那样的要求。能够成功起诉或执行内部纪律规程。适当的信息安全控制措施宜到位，包括可证明k)防篡改的审计跟踪，以此能够成功地对

TC260WG7N01_《信息安全事件分类分级指南》(编制说明)

《信息安全事件分类分级指南》（征求意见稿）编制说明一、项目背景 目前国外对信息安全事件的分类分级还没有单独的标准和指南，不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述，例如ISO/IEC 18044《信息安全事件管理》、NIST SP 800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义，明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别，以及事件级别的描述，只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类，其第6节描述了信息安全事件及其原因的举例，介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A：信息安全事件报告单示例中，列出了在事件报告中可参考的事件类别。NIST SP 800-61《计算机安全事件处理指南》针对安全事件处理，特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义，只是对安全事件作出了解释。本治安介绍了安全事件的分类，但明确说明所列出的安全事件分类不是包罗一切的，也不打算对安全事件进行明确的分类。 2003年出版的LAND Europe在为European Commission Directorate-General Information Society研究并得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中，提出一个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。并给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本，而不是提供无一遗漏的清单。 在国内，北京市出台了《北京市国家机关重大信息安全事件报告制度（试行）》，并为配合报告制度，随同发布了《北京市国家机关信息安全事件定级指南（试行）》，其中对安全事件的分类分级做出了描述，并于05年进行了修订。 “国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作，编写制定了《网络与信息安全事件分类分级办法》，本办法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述，还规定了事件的报告流程。 根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求，急需制定信息安全事件分类分级的标准，来指导用户对信息安全事件进行分类定级，以便于更好的对信息安全事件进行应急处理和通报。 信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节，也是重要的工作内容。信息安全事件的分类分级是应急处理和通报的基础。制定《信息安全事件分类分级指南》的目标是对信息安全事件进行合理的分类分级，其意义在于：①促进信息安全事件信

信息安全概述

信息安全概述 基本概念 信息安全的要素 保密性：指网络中的信息不被非授权实体获取与使用。 保密的信息包括： 1．存储在计算机系统中的信息：使用访问控制机制，也可以进行加密增加安全性。 2．网络中传输的信息：应用加密机制。 完整性：指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性，还要求数据的来源具有正确性和可信性，数据是真实可信的。 解决手段：数据完整性机制。 真实性：保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应。 解决手段：身份认证机制。 不可否认性：或不可抵赖性。发送信息方不能否认发送过信息，信息的接收方不能否认接收过信息。 解决手段：数字签名机制。 信息保密技术 明文（Message）：指待加密的信息，用M或P表示。 密文（Ciphertext）：指明文经过加密处理后的形式，用C表示。 密钥（Key）：指用于加密或解密的参数，用K表示。 加密（Encryption）：指用某种方法伪装消息以隐藏它的内容的过程。 加密算法（EncryptionAlgorithm）：指将明文变换为密文的变换函数，用E表示。 解密（Decryption）：指把密文转换成明文的过程。 解密算法（DecryptionAlgorithm）：指将密文变换为明文的变换函数，用D表示。 密码分析（Cryptanalysis）：指截获密文者试图通过分析截获的密文从而推断出原来的明文或密钥的过程。 密码分析员（Crytanalyst）：指从事密码分析的人。 被动攻击（PassiveAttack）：指对一个保密系统采取截获密文并对其进行分析和攻击，这种攻击对密文没有破坏作用。 主动攻击（ActiveAttack）：指攻击者非法入侵一个密码系统，采用伪造、修改、删除等手段向系统注入假消息进行欺骗，这种攻击对密文具有破坏作用。 密码体制（密码方案）：由明文空间、密文空间、密钥空间、加密算法、解密算法构成的五元组。 分类： 1．对称密码体制：单钥密码体制，加密密钥和解密密钥相同。 2．非对称密码体制：双钥密码体制、公开密码体制，加密密钥和解密密钥不同。 密码系统（Cryptosystem）：指用于加密和解密的系统，通常应当是一个包含软、硬件的系统。 柯克霍夫原则：密码系统的安全性取决于密钥，而不是密码算法，即密码算法要公开。

信息安全常见漏洞类型汇总汇总

一、SQL注入漏洞 SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下，SQL注入的位置包括： （1）表单提交，主要是POST请求，也包括GET请求； （2）URL参数提交，主要为GET请求参数； （3）Cookie参数提交； （4）HTTP请求头部的一些可修改的值，比如Referer、User_Agent等； （5）一些边缘的输入点，比如.mp3文件的一些文件信息等。

SQL注入的危害不仅体现在数据库层面上，还有可能危及承载数据库的操作系统；如果SQL注入被用来挂马，还可能用来传播恶意软件等，这些危害包括但不局限于： （1）数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。作为数据的存储中心，数据库里往往保存着各类的隐私信息，SQL注入攻击能导致这些隐私信息透明于攻击者。 （2）网页篡改：通过操作数据库对特定网页进行篡改。 （3）网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。 （4）数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被篡改。 （5）服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。

（6）破坏硬盘数据，瘫痪全系统。 解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。通常使用的方案有： （1）所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。 （2）对进入数据库的特殊字符（'"\<>&*;等）进行转义处理，或编码转换。 （3）确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int型。 （4）数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。

信息安全概念

信息安全：实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏。 漏洞：是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。 PDRR：一种网络安全模型，把信息的安全保护作为基础，将保护视为活动过程，要用检测手段来发现安全漏洞，及时更正、同事采用相应的措施将系统恢复到正常状态，这样是信息的安全得到全方位的保障。 缓冲区溢出漏洞：溢出漏洞是一种计算机程序的可更正性缺陷，在程序执行的时候在缓冲区执行的错误代码。 注入攻击：相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据。 社会工程学：是一种通过对受害者心理弱点、本能反应、好奇心、信任和贪婪等心里特点进行诸如欺骗、伤害等危害手段，取得自身利益的手法。 ARP欺骗：将某个IP地址解析成MAC地址，通过伪造ARP与IP的信息或对应关系实现。 灾难备份：是指利用技术、管理手段、以及相关资源，确保已有的关键数据和关键业务在灾难发生后在确定的时间内可以恢复和继续运营的过程。 ISC2安全体系：国际信息系统安全认证组织 访问控制：在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。 ACL：访问控制表，他在一个客体上附加一个主体明细表，表示各个主体对该客体的访问权限。 数字签名：信息发送者使用公开密钥算法技术，产生别人无法伪造的一段数字串。 信息摘要：消息摘要算法的主要特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。 DMZ：隔离区，它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。 VPN隧道：是一种通过使用互联网络的基础设施在网络之间传递数据的方式。

信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》

服务器脆弱性识别表格 依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。 项目子项内容是否符合备注 安全功能身份 鉴别 a) 按 GB/T 20271-2006 中 6.3.3.1.1 和以下要 求设计和实现用户标识功能： ——凡需进入操作系统的用户，应先进行标识（建立 账号）； ——操作系统用户标识应使用用户名和用户标识 （UID），并在操作系统的整个生存周期实现用户的唯 一性标识，以及用户名或别名、UID 等之间的一致性； b) 按 GB/T 20271-2006 中 6.3.3.1.2 和以下要 求设计和实现用户鉴别功能： ——采用强化管理的口令鉴别/基于令牌的动态口令 鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴 别，并在每次用户登录系统时进行鉴别； ——鉴别信息应是不可见的，在存储和传输时应按 GB/T 20271-2006 中 6.3.3.8 的要求，用加密方法进 行安全保护； ——过对不成功的鉴别尝试的值（包括尝试次数和 时间的阈值）进行预先定义，并明确规定达到该值时 应采取的措施来实现鉴别失败的处理。 c) 对注册到操作系统的用户，应按以下要求设计和 实现用户-主体绑定功能： ——将用户进程与所有者用户相关联，使用户进程的 行为可以追溯到进程的所有者用户； ——将系统进程动态地与当前服务要求者用户相关 联，使系统进程的行为可以追溯到当前服务的要求者 用户。 自主 访问 控制 a) 允许命名用户以用户的身份规定并控制对客体 的访问，并阻止非授权用户对客体的访问。 b) 设置默认功能，当一个主体生成一个客体时，在 该客体的访问控制表中相应地具有该主体的默认值； c) 有更细粒度的自主访问控制，将访问控制的粒度 控制在单个用户。对系统中的每一个客体， 都应能够实现由客体的创建者以用户指定方式确定其 对该客体的访问权限，而别的同组用户 或非同组的用户和用户组对该客体的访问权则应由创 建者用户授予； d) 自主访问控制能与身份鉴别和审计相结合，通 过确认用户身份的真实性和记录用户的各种成 功的或不成功的访问，使用户对自己的行为承担明确 的责任；

重大信息安全事件应急处置和报告制度通用版

管理制度编号：YTO-FS-PD418 重大信息安全事件应急处置和报告制 度通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

重大信息安全事件应急处置和报告 制度通用版 使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。 为预防和及时处置信息安全事件，保证网络信息安全，维护社会稳定，特制订网络信息安全事件应急处置预案 一、在公司领导的统一管理下，贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，保障用户利益，维护社会和公司稳定，尽快使网络和系统恢复正常，做好网络运行和信息安全保障工作。 二、网络部对互联网实施24小时值班责任制，必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。若发现有上本网站人员异常行为应立即冻结该用户的权限，及时记录在案，情节严重时立即上报有关部门。

信息安全事件与应急响应管理规范

四川长虹电器股份有限公司 虹微公司管理文件 信息安全事件与应急响应管理规范 ××××–××–××发布××××–××–××实施 四川长虹虹微公司发布

目录 1.目的 (1) 2.适用围 (1) 3.工作原则 (1) 4.组织体系和职责 (2) 5.信息安全事件分类和分级 (2) 5.1.信息安全事件分类 (2) 5.1.1信息系统攻击事件 (2) 5.1.2信息破坏事件 (3) 5.1.3信息容安全事件 (3) 5.1.4设备设施故障 (3) 5.1.5灾害性事件 (3) 5.1.6其他信息安全事件 (3) 5.2.安全事件的分级 (3) 5.2.1特别重大信息安全事件（一级） (4) 5.2.2重大信息安全事件（二级） (4) 5.2.3较大信息安全事件（三级） (4) 5.2.4一般信息安全事件（四级） (4) 6.信息安全事件处理 ............................................................... 错误!未定义书签。

7.奖励与处罚 (6) 8.后期处置 (6) 9.解释 (7)

1.目的 为建立健全虹微网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施，特制定本规。 2.适用围 本文档适用于公司建立的信息安全管理体系。 本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。 本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。 3.工作原则 ●统一指挥机制原则：在进行信息系统安全应急处置工作过程中，各部门的人员应服从各 级信息系统突发安全事件处置领导小组的统一指挥。 ●谁运行、谁主管、谁处置的原则：各类信息系统的责任部门要按照公司统一要求，制定 和维护本部门信息系统运行安全应急子预案，并组织或督促相关部门制定和维护本部门应用系统的应急子预案，认真根据应急预案进行演练与应急处置工作。 ●以人为本，最小损失原则：应对信息系统突发安全事件的各项措施均应以人为本，最大 程度地减少信息系统突发安全事件造成的危害和损失。 ●居安思危，预防为主原则:高度重视信息系统突发安全事件预防工作，常抓不懈，防患 于未然。增强忧患意识，坚持做好信息系统日常监控与运行维护工作，坚持预防与应急相结合，做好应对信息系统突发安全事件的各项准备工作。 ●分级响应和管理原则：在各类子预案和工作制度中应对信息系统突发安全事件制定科学 的等级标准，各部门要依据规定权限及程序及时预防、预警、控制、解决本级职责围的信息系统突发安全事件。

信息安全事件分类分级指南

信息安全事件分类分级指南 信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。 一、有害程序事件（MI） 有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类，说明如下： 1、计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制； 2、蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有

害程序； 3、特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能； 4、僵尸网络事件（BI）是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序； 5、混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等； 6、网页内嵌恶意代码事件（WBPI）是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序； 7、其它有害程序事件（OMI）是指不能包含在以上6个子类之中的有害程序事件。

信息安全事件管理办法

信息安全事件管理办法 第一条信息安全事件分类如下所示： 1、有害程序事件： 包括计算机病毒事件、蠕虫事件、特洛伊木马事件、 僵尸网络事件、混合攻击程序事件、网页内嵌恶意 代码事件等。 2、网络攻击事件： 包括拒绝服务攻击事件、后门攻击事件、漏洞攻击 事件、网络扫描窃听事件、网络钓鱼事件、干扰事 件等。 3、信息破坏事件： 包括信息篡改事件、信息假冒事件、信息泄露事件、 信息窃取事件、信息丢失事件等。 4、信息内容安全事件： 1)违反宪法和法律、行政法规的信息安全事件； 2)针对社会事项进行讨论、评论，形成网上敏感的 舆论热点，出现一定规模炒作的信息安全事件； 3)组织串连、煽动集会游行的信息安全事件。 5、设施和设备故障： 1)硬件设备的自然故障、软硬件设计缺陷或软硬件

运行环境发生变化等而导致信息安全事件； 2)由于保障信息系统正常运行所必须的外部设施 出现故障而导致的信息安全事件，如电力故障； 3)人为破坏事故。 6、灾害性事件： 包括水灾、台风、地震、雷击、坍塌、火灾、恐怖 袭击等。 7、其他事件。 第二条按照信息安全事件造成的后果和影响的严重程度，将信息安全事件分为以下等级： 1、特别重大安全事件，指能够导致特别严重影响或破坏的信息安全事件，包括以下情况： a)会使特别重要信息系统遭受特别严重的系统损 失； b)产生特别重大的社会影响。 2、重大安全事件，指能够导致严重影响或破坏的信息安全事件，包括以下情况： a)会使特别重要信息系统遭受严重的系统损失，或 使重要信息系统遭受特别严重的系统损失； b)产生重大的社会影响。 3、较大安全事件，指能够导致较严重影响或破坏的信息安全事件，包括以下情况：

信息安全事件划分为四个级别

信息安全事件划分为四个级别 依据《GB\Z 20985-2007 信息安全技术信息网络攻击事件管理指南》《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等法律法规文件，从以下因素进行考虑 信息密级：衡量因信息安全事件中所涉及信息的重要程度的要素； 声誉影响：衡量因信息安全事件对公司品牌所造成的负面影响范围和程度的要素； 业务影响：衡量因信息安全事件对公司或事发部门正常业务开展所造成的负面影响程度的要素； 资产损失：衡量因恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。 根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。 特别重大事件（Ⅰ级） 特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受特别严重的系统损失； b) 产生特别重大的社会影响。 解读：公司部门中心的基础设施网络、重要信息系统（A类I类系统）、核心网站（如官网、管理后台）瘫痪，导致长时间业务中断，直接导致巨大经济损失的事件；绝密和机密数据（数据库或客户资料）被泄露导致大范围社会传播事件，严重影响公司声誉；对外发布公司内部机密信息、大范围传播损害公司形象利益的言论等事件，直接影响公司投资者关系或者上市进程或者公司股价等事件 重大事件（Ⅱ级） 重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况： a)会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失； b)产生的重大的社会影响。 解读：公司部门中心的基础设施网络、重要信息系统（A类I类系统）、核心网站（如官网、管理后台）瘫痪，导致业务中断，造成严重影响或经济损失的事件；绝密和机密数据（数据库或客户资料）遭受非