网络安全事件应对与处理手册.docxVIP

网络安全事件应对与处理手册

第1章网络安全事件概述与风险识别

1.1安全事件分类与定义

根据国际通用标准（如NISTSP800-61及ISO2738），安全事件被定义为“任何与安全目标相关的、对安全完整性、完整性、保密性或可用性造成威胁的事件”。其核心特征在于“相关性”与“威胁”，即该事件必须能导致系统功能受损、数据泄露或业务中断，且威胁源明确。例如，当某企业服务器因未打补丁导致勒索病毒侵入，数据加密并勒索赎金时，该事件即满足“完整性”与“可用性”受损的威胁定义。安全事件需依据其潜在破坏程度划分为四类：一般事件（如误操作导致日志丢失）、局部事件（如单台主机被入侵）、区域性事件（如某区域网络被阻断，影响范围数小时）以及灾难性事件（如全范围DDoS攻击或核心数据库被完全破坏，影响范围数天至数月）。例如，某银行因防火墙策略漏洞导致内部员工邮箱被批量窃取，且该事件未造成外部数据流出，属于典型的“局部事件”。

从时间维度看，安全事件可分为即时事件（如黑客在10分钟内完成密码爆破）和潜伏事件（如木马潜伏在服务器中，需等待特定触发条件才激活）。潜伏事件的风险在于其隐蔽性，往往在业务高峰期突然爆发，导致系统负载骤增。例如，某电商平台在双11大促期间，因未识别到恶意脚本，导致支付网关在5分钟内遭受500万次请求攻击，造成系统短暂瘫痪。从空间维度看，安全