【学习笔记】GB/T 20986-2023 详解，10 类网络安全事件分类

GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》于2023年5月23日发布同年12月1日正式实施替代了2007年的旧版文件。事件分类是核心内容之一新标准将网络安全事件划分为10 大类、70 多个具体子类覆盖从恶意攻击到设备故障、从数据泄露到违规操作的全场景风险。一、内容详解1. 恶意程序事件10个子类指蓄意制造、传播恶意程序如病毒、木马导致的事件新增了勒索软件、挖矿病毒等新型子类典型子类计算机病毒事件如员工电脑感染“熊猫烧香”病毒破坏文件勒索软件事件如黑客加密企业财务系统索要比特币赎金挖矿病毒事件如服务器被植入病毒偷偷运行“挖矿”程序占用算力导致业务卡顿。识别关键点事件由“可自我复制或执行恶意操作的程序” 引发而非人为直接操作。2. 网络攻击事件21个子类指通过技术手段攻击网络导致的事件新增后门植入、APT 攻击、供应链攻击等 14 个子类覆盖当前主流攻击方式典型子类网络钓鱼事件如员工收到“伪装成 HR 的邮件”点击链接后账号被盗拒绝服务事件如黑客发起DDoS 攻击打瘫电商平台 “双 11” 支付系统APT 事件如境外黑客组织针对企业持续渗透 6 个月最终窃取核心技术数据供应链攻击事件如黑客篡改企业使用的“合法软件”如办公套件植入恶意代码所有下载该软件的客户都受影响。识别关键点有明确的“攻击者” 和 “攻击动作”而非故障或误操作。3. 数据安全事件12个子类原“信息破坏事件” 升级而来聚焦数据全生命周期风险新增数据投毒、隐私侵犯等子类典型子类数据泄露事件如企业数据库被黑客攻破10 万条客户手机号外泄数据投毒事件如攻击者篡改AI 训练数据如把 “正常交易” 标为 “欺诈”导致模型判断错误社会工程事件如骗子伪装成“技术支持”打电话骗出员工的数据库密码进而窃取数据隐私侵犯事件如企业未经用户同意擅自收集并使用其地理位置信息。识别关键点核心损害是“数据的保密性、完整性、可用性被破坏”比如数据泄露是保密性丢了数据篡改是完整性丢了。4. 信息内容安全事件8个子类指通过网络传播危害国家安全、社会稳定的有害信息典型子类暴恐宣扬事件如有人在论坛发布恐怖组织宣传视频虚假信息传播事件如编造“某银行要倒闭” 的谣言导致储户集中取款网络欺诈事件如在社交平台伪装“投资导师”骗用户转账到虚假账户。识别关键点核心危害是“信息内容本身违法违规引发社会负面影响”而非技术破坏。5.设备设施故障事件5个子类指网络自身故障或设备受损导致的事件典型子类技术故障事件如服务器硬盘突然损坏导致业务中断配套设施故障事件如机房空调故障温度过高导致服务器关机物理损害事件如施工时不小心挖断企业光缆导致网络断连。识别关键点事件由“设备或设施自身问题” 引发非人为攻击比如 “服务器因老化死机” 算故障“黑客破坏服务器” 算攻击。6. 违规操作事件9个子类新增类别聚焦“人为操作导致的风险”典型子类权限滥用事件如员工利用“管理员权限”擅自查看其他部门的敏感数据误操作事件如实习生误删“客户订单表”且无备份资源未授权使用事件如员工私自在公司电脑上安装盗版软件导致病毒入侵。识别关键点事件由“人的操作” 引发而非技术漏洞或外部攻击比如 “员工忘关电脑导致数据被偷” 算违规“黑客远程破解电脑” 算攻击。7. 安全隐患事件3个子类新增类别指“存在漏洞或缺陷可能引发后续事件” 的情况典型子类网络漏洞事件如系统发现“Log4j 漏洞”暂时未被利用但存在风险网络配置合规缺陷事件如路由器默认密码未改容易被黑客登录。识别关键点事件处于“隐患阶段”尚未造成实际损害但不处理会有风险比如 “未修复的漏洞” 不算已发生的攻击但属于隐患事件。8. 异常行为事件3个子类新增类别指网络访问、流量偏离正常状态可能是攻击前兆或故障预警典型子类访问异常事件如某IP 地址“凌晨3点频繁尝试登录管理员账号”远超正常访问频率流量异常事件如服务器突然接收“10 倍于平时的数据包”可能是 DDoS 攻击前兆。识别关键点事件表现为“行为模式异常”需进一步排查是否为攻击或故障比如 “流量突增” 可能是攻击也可能是突发访问需核实。9. 不可抗力事件5个子类原“灾害性事件” 升级而来覆盖自然和社会突发情况典型子类自然灾害事件如地震导致机房坍塌服务器损毁社会安全事件如恐怖袭击破坏通信基站导致网络中断。识别关键点事件由“不可预见、不可抗拒的外部因素” 引发非人为或技术问题比如 “洪水淹了机房” 算不可抗力“机房漏水未及时处理” 算故障。10. 其他事件覆盖未归入上述9 类的事件比如 “新型未知攻击导致的事件”避免遗漏。二、网络安全事件分级与GB/Z 20986-2007相比《指南》更改了“分级方法”的表述并将判断标准中的“系统关键数据”更改为“重要数据/敏感个人信息”进一步明晰了分级的标准有助于相关人员理解适用。根据《指南》企业在开展网络安全事件分级工作时应根据事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个分级要素进行评定具体流程如下确定网络安全事件影响对象的重要程度分别评定业务损失的严重程度和社会危害的严重程度根据下附表1、表2分别评定对应的网络安全事件级别两者中取高者确定为网络安全事件级别。表1 网络安全事件级别与业务损失的严重程度的关系表2 网络安全事件级别与社会危害的严重程度的关系网络安全事件的防范和处置是国家网络安全保障体系中的重要一环而网络安全事件的分类分级是针对性处置网络安全事件的重要基础。建议企业参照《指南》建立健全网络安全事件分类分级制度以助于快速识别安全事件的严重程度并提高安全事件通报和应急处置的效率和效果。三、标准正文