ICS35.030 CCS A 90 GE 中华人民共和国国家标准 GB/T20986—2023 代替GB/Z20986—2007 信息安全技术 网络安全事件分类分级指南 Information security technologyGuidelines for category and classification of cybersecurity incidents 2023-05-23发布 2023-12-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T20986—2023 目 次 前言 III 引言 范围 1 规范性引用文件 2 3 术语和定义 缩略语 网络安全事件分类 5 5.1 分类方法 5.2 事件类别 网络安全事件分级 6 6.1 分级方法 6.2 事件级别 6.3 事件分级流程 附录A（资料性） 网络安全事件类别和级别的关联关系 10 附录B（规范性） 网络安全事件分类代码 12 参考文献 16 索引 GB/T20986—2023 前言 起草。 本文件代替GB/Z20986一2007《信息安全技术信息安全事件分类分级指南》，与GB/Z20986— 2007相比，除结构调整和编辑性改动外，主要技术变化如下： a）由指导性技术文件GB/Z更改为推荐性国家标准GB/T； 更改了“范围"的表述（见第1章，2007年版的第1章）； b) c 全、网络安全事件”的定义（见3.1～3.4）； (p BGP、DDOS、DNS、IP、WLAN”等（见第4章）； e）不 10类（见5.1，2007年版的4.1）： 事件子类（见5.2.1，2007年版的4.2.1）； 2）不 在“网络攻击事件”中增加了“后门植人事件、凭据攻击事件、网页篡改事件、暗链植人事 件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP 劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件”14个事件子 类（见5.2.2，2007年版的4.2.2）； 冒事件、数据泄露事件、数据窃取事件、数据损失事件”，增加了“社会工程事件、数据拦截 事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件”6个事件子类（见 5.2.3,2007年版的4.2.3)； 宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事 件和其他信息内容安全事件”（见5.2.4，2007年版的4.2.4）； 在“设备设施故障事件”中，事件子类由4个增加到5个，名称更改为“技术故障事件、配套 5）不 设施故障事件、物理损害事件、辐射干扰事件、其他设备设施故障事件”（见5.2.5，2007年 版的4.2.5）； 操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件、其他 违规操作事件”9个事件子类（见5.2.6）； 7 件”3个事件子类（见5.2.7）； 事件子类（见5.2.8）； 件、社会安全事件、其他不可抗力事件”5个事件子类（见5.2.9，2007年版的4.2.6）； f）在“网络安全事件分级”中，将“信息系统”更改为“事件影响对象”： I GB/T20986—2023 更改了“分级方法”的表述（见6.1，2007年版的5.1）； 1) 2）增加了3个重要等级“事件影响对象”的说明（见6.1.2）； 将“系统损失”更改为“业务损失”，其中的“系统关键数据”更改为“重要数据/敏感个人信 3） 息”（见6.1.3，2007年版的5.1.3）； 4） 将“社会影响”更改为“社会危害”（见6.1.4，2007年版的5.1.4）； 6）增加了“事件分级流程”（见6.3)； 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本文件起草单位：北京时代新威信息技术有限公司、中国科学院软件研究所、中国长江三峡集团有 限公司、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、启明星辰信息技术集团 股份有限公司、陕西省网络与信息安全测评中心、北京东方通网信科技有限公司、北京神州绿盟科技有 限公司、国网智能电网研究院有限公司、中国软件评测中心、中国信息安全测评中心、公安部第三研究 有限公司。 本文件主要起草人：王连强、王新杰、郭启全、黄小苏、杨玉忠、阎若彤、俞政臣、任娟娟、夏雨、任彬、 连一峰、张海霞、黄克振、李旸照、黎奇、梁伟、杨剑、刘书鹏、魏玉峰、崔婷婷、李文瑾、张道娟、李婧、尚可、 曲洁、郭晶、左晓栋、王健、王小璞、余国平、何余、王元戎、吕明、高琪、朱建兴。 本文件及其所代替文件的历次版本发布情况为： -2007年首次发布为GB/Z20986—2007； 本次为第一次修订。 IV GB/T20986—2023 引言 网络安全事件的防范和处置是国家网络安全保障体系中的重要环节，也是重要的工作内容。网络 安全事件的分类分级是快速有效处置网络安全事件的基础之一。 本文件编制的目的是： a） 利于安全事件数据的收集和分析； b) 利于识别安全事件的严重程度； 促进安全事件信息的交换和共享； c) 便于实现安全事件的自动化报告和响应； 提高安全事件通报和应急处置的效率和效果， e) 在附录A中给出了安全事件分类和安全事件分级的关系。 V GB/T20986—2023 信息安全技术 网络安全事件分类分级指南 1范围 本文件描述了网络安全事件分类和分级的方法，界定了网络安全事件类别和级别，并明确了网络安 全事件分类代码。 本文件适用于网络运营者以及相关部门开展网络安全事件研判、信息通报、监测预警和应急处置等 活动。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T222402020 信息安全技术网络安全等级保护定级指南 GB/T25069—20221 信息安全技术术语 3术语和定义 GB/T25069一2022界定的以及下列术语和定义适用于本文件。 3.1 信息系统informationsystem 应用、服务、信息技术资产或其他信息处理组件的组合， 注：信息系统通常由计算机或者其他信息终端及相关设备组成，并按照一定的应用目标和规则进行信息处理或过 程控制。 ［来源：GB/T25069—2022,3.696，有修改］ 3.2 数据data 任何以电子或者其他方式对信息的记录。 3.3 网络安全cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳 定可靠运行的状态，以及保障数据的完整性、保密性、可用性的能力。 ［来源：GB/T22239—2019,3.1] 3.4 网络安全事件cybersecurityincident 由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对网络和 信息系统或者其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件， 1 GB/T20986—2023 ［来源：GB/T38645—2020，3.1，有修改 4缩略语 下列缩略语适用于本文件。 APT：高级持续性威胁（advancedpersistentthreat) BGP：边界网关协议（bordergatewayprotocol) DDOS：分布式拒绝服务（distributeddenialof service) DNS:域名系统(domain name system) IP：互联网协议（internetprotocol) WLAN：无线局域网（wirelesslocalareanetwork） 5网络安全事件分类 5.1分类方法 综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素，对网络安全事件进行分类，分为 恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安 全隐患事件、异常行为事件、不可抗力事件和其他事件等10类，每类之下再分若干子类。附录B确定 了网络安全事件分类代码。 5.2事件类别 5.2.1恶意程序事件 恶意程序指带有恶意意图所编写的一段程序，该程序插人网络损害网络中的数据、应用程序或操作 系统，或影响网络的正常运行。恶意程序事件指在网络蓄意制造或传播恶意程序而导致业务损失或造 成社会危害的网络安全事件。 恶意程序事件包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵户网络事件、恶意代码内嵌 网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事 件等10个子类，具体如下： a）计算机病毒事件：制造、传播或利用恶意程序，影响计算机使用，破坏计算机功能，毁坏或窃取 数据； b) 网络蠕虫事件：利用网络缺陷，蓄意制造或通过网络自动复制并传播网络虫； c) 特洛伊木马事件：制造、传播或利用具有远程控制功能的恶意程序，实现非法窃取或截获数据； d) 僵户网络事件：利用僵户工具程序形成僵户网络； e) 恶意代码内嵌网页事件：在访问被嵌入恶意代码而受到污损的网页时，该恶意代码在访问该网 页的计算机系统中安装恶意软件； f) g） 勒索软件事件：采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权，并籍此向用 户索取赎金； h）挖矿病毒事件：以获得数字加密货币为目的，控制他人的计算机并植人挖矿病毒程序完成大量 运算； i）混合攻击程序事件：利用多种方法传播和利用多种恶