由 Deme 
這是依照以下法規給公司起草的企业信息安全事件分类
信息安全技术信息安全事件分类分级指南
国家标准|GB/T 20986-2023
恶意程序事件
指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件,包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件等10个子类。
- 计算机病毒事件:制造、传播或利用恶意程序,影响计算机使用,破坏计算机功能,毁坏或窃取数据。
- 网络蠕虫事件:利用网络缺陷,蓄意制造或通过网络自动复制并传播网络蠕虫。
- 特洛伊木马事件:制造、传播或利用具有远程控制功能的恶意程序,实现非法窃取或截获数据。
- 僵尸网络事件:利用僵尸工具程序形成僵尸网络。
- 恶意代码内嵌网页事件:在访问被嵌入恶意代码而受到污损的网页时,该恶意代码在访问该网页的计算机系统中安装恶意软件。
- 恶意代码宿主站点事件:诱使目标用户到存储恶意代码的宿主站点下载恶意代码。
- 勒索软件事件:采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权,并借此向用户索取赎金。
- 挖矿病毒事件:以获得数字加密货币为目的,控制他人的计算机并植入挖矿病毒程序完成大量运算。
- 混合攻击程序事件:利用多种方法传播和利用多种恶意程序,例如,一个计算机病毒在侵入计算机系统后在系统中安装木马程序。
- 其他恶意程序事件:不在以上子类之中的恶意程序事件。
网络攻击事件
指通过技术手段对网络实施攻击而导致业务损失或造成社会危害的网络安全事件,包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件和其他网络攻击事件等21个子类。
- 网络扫描探测事件:利用网络扫描软件获取有关网络配置、端口、服务和现有脆弱性等信息。
- 网络钓鱼事件:利用欺诈性网络技术诱使用户泄露重要数据或个人信息。
- 漏洞利用事件:通过挖掘并利用网络配置缺陷、通信协议缺陷或应用程序缺陷等漏洞对网络实施攻击。
- 后门利用事件:恶意利用软件或硬件系统设计过程中未经严格验证所留下的接口、功能模块、程序等,非法获取网络管理权限。
- 后门植入事件:非法在网络中创建能够持续获取其管理权限的后门。
- 凭据攻击事件:破解口令,解析登录口令或凭据等。
- 信号干扰事件:通过技术手段阻碍有线或无线信号在网络中正常传播。
- 拒绝服务事件:通过非正常使用网络资源(诸如CPU、内存、磁盘空间或网络带宽)影响或破坏网络可用性,例如:DDOS等。
- 网页篡改事件:通过恶意破坏或更改网页内容影响网站声誉或破坏网页及网站可用性。
- 暗链植入事件:通过隐形篡改技术在网页内非法植入违法网站链接。
- 域名劫持事件:通过攻击或伪造DNS的方式蓄意或恶意诱导用户访问非预期的指定IP地址(网站)。
- 域名转嫁事件:把自己的域名指向一个不属于自己的IP地址,导致针对该域名的攻击都将被引向所指向的IP地址。
- DNS污染事件:利用刻意制造或无意制造的DNS数据包,把域名指向不正确的IP地址。
- WLAN劫持事件:通过口令破解、固件替换等方法非法获取无线局域网的控制权限。
- 流量劫持事件:通过恶意诱导或非法强制用户访问特定网络资源造成用户流量损失。
- BGP劫持攻击事件:通过BGP恶意操纵网络路由路径。
- 广播欺诈事件:通过广播欺骗的方式干扰网络数据包正常传输或窃取网络用户敏感信息。
- 失陷主机事件:攻击者获得某主机的控制权后,能以该主机为跳板继续攻击组织内网其他主机。
- 供应链攻击事件:通过利用供应链管理中存在的脆弱性,感染合法应用来分发恶意程序。
- APT事件:通过对特定对象展开持续有效的攻击活动,这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
- 其他网络攻击事件:不在以上子类之中的网络攻击事件。
数据安全事件
指通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等导致业务损失或造成社会危害的网络安全事件,包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等12个子类。
- 数据篡改事件:未经授权接触或修改数据。
- 数据假冒事件:非法或未经许可使用、伪造数据。
- 数据泄露事件:无意或恶意通过技术手段使数据或敏感个人信息对外公开泄露。
- 社会工程事件:通过非技术手段(如心理学、话术等)诱导他人泄露数据或执行行动。
- 数据窃取事件:未经授权利用技术手段(例如窃听、间谍等)偷窃数据。
- 数据拦截事件:在数据到达目标接收者之前非法捕获数据。
- 位置检测事件:非法检测系统、个人的地理位置信息或敏感数据的存储位置。
- 数据投毒事件:干预深度学习训练数据集,在训练数据中加入精心构造的异常数据,破坏原有训练数据的概率分布,导致模型在某些特定条件下产生分类或聚类错误。
- 数据滥用事件:无意或恶意滥用数据。
- 隐私侵犯事件:无意或恶意侵犯网络中存在的敏感个人信息。
- 数据损失事件:因误操作、人为蓄意或软硬件缺陷等因素导致数据损失。
- 其他数据安全事件:不在以上子类之中的数据安全事件。
信息内容安全事件
指通过网络传播危害国家安全、社会稳定、公共安全和利益的有害信息导致业务损失或造成社会危害的网络安全事件,包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等8个子类。
- 反动宣传事件:利用网络传播煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一等危害国家安全、荣誉和利益的非法信息。
- 暴恐宣扬事件:利用网络宣扬恐怖主义、极端主义,煽动民族仇恨、民族歧视的信息,引起社会恐慌和动乱。
- 色情传播事件:利用网络传播违背社会伦理道德的淫秽色情信息。
- 虚假信息传播事件:利用网络编造并传播虚假信息来扰乱经济秩序和社会秩序,造成负面影响。
- 权益侵害事件:利用网络传播的信息侵害了社会组织或公民的合法权益。
- 信息滥发事件:利用网络传播未经接收者准许的信息,例如:垃圾邮件等。
- 网络欺诈事件:恶意利用技术或非技术手段对特定或不特定目标通过网络进行欺诈以非法获取信息或钱财。
- 其他信息内容安全事件:不在以上子类之中的信息内容安全事件。
设备设施故障事件
指由于网络自身出现故障或设备设施受到破坏或干扰而导致业务损失或造成社会危害的网络安全事件,包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等5个子类。
- 技术故障事件:网络中软硬件的自然缺陷、设计缺陷或运行环境发生变化而引起系统故障,例如:硬件故障、软件故障、过载等。
- 配套设施故障事件:支撑网络运行的配套设施发生故障,例如:电力供应故障、照明系统故障、温湿度控制系统故障等。
- 物理损害事件:故意或意外的物理行动造成网络环境或网络设备损坏,例如:失火、漏水、静电、设备毁坏或丢失等。
- 辐射干扰事件:因辐射产生干扰影响网络正常运行,例如:电磁辐射、电磁脉冲、电子干扰、电压波动、热辐射等。
- 其他设备设施故障事件:不在以上子类之中的设备设施故障事件。
违规操作事件
指人为故意或意外地损害网络功能而导致业务损失或造成社会危害的网络安全事件,包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等9个子类。
- 权限滥用事件:由于网络服务端功能开放过多或权限限制不严格,导致攻击者通过直接或间接调用权限的方式进行攻击。
- 权限伪造事件:为了欺骗制造虚假权限。
- 行为抵赖事件:用户否认其有害行为。
- 故意违规操作事件:故意执行非法操作。
- 误操作事件:无意地执行错误操作。
- 人员可用性破坏事件:人力资源受损,导致人员缺失或缺席。
- 资源未授权使用事件:未经授权访问资源。
- 版权违反事件:违反版权要求安装使用商业软件或其他受版权保护的材料。
- 其他违规操作事件:不在以上子类之中的违规操作事件。
安全隐患事件
指网络中出现能被攻击者利用的漏洞或隐患,一旦被利用可能对网络造成破坏,进而导致业务损失或造成社会危害的网络安全事件,包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等3个子类。
- 网络漏洞事件:因操作系统、应用程序或安全协议开发及设计过程中,对安全性考虑不充分而出现安全隐患。
- 网络配置合规缺陷事件:由于软硬件安全配置不合理或缺省配置,不符合网络安全要求而产生安全缺陷或隐患。
- 其他安全隐患事件:不在以上子类之中的安全隐患事件。
异常行为事件
指网络本身稳定性不足或违规访问网络造成访问、流量等异常行为,进而导致业务损失或造成社会危害的网络安全事件,包括访问异常事件、流量异常事件和其他异常行为事件等3个子类。
- 访问异常事件:因网络软硬件运行环境发生变化导致不能提供服务。
- 流量异常事件:网络流量行为模式偏离正常基线。
- 其他异常行为事件:不在以上子类之中的异常行为事件。
不可抗力事件
指因突发事件损害网络的可用性而导致业务损失或造成社会危害的网络安全事件,包括自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件和其他不可抗力事件等5个子类。
- 自然灾害事件:大自然的极端现象导致信息和信息系统受损,例如:地震、火山、洪水、暴风、闪电、海啸、崩塌等。
- 事故灾难事件:具有灾难性后果的事故导致信息和信息系统受损,例如:公共设施和设备事故、环境污染事故等。
- 公共卫生事件:传染病疫情等导致信息和信息系统受损。
- 社会安全事件:危害国家和社会的突发性群体性事件导致信息和信息系统受损,例如:恐怖袭击事件等。
- 其他不可抗力事件:不在以上子类之中的不可抗力事件。
其他事件
指未归为上述分类的网络安全事件。