4.1　網絡安全預警分級要素

4.1　網絡安全預警分級要素

4.1.1　概述

網絡安全預警的分級主要考慮兩個要素：網絡安全保護對象的重要程度與網絡安全保護對象可能受到損害的程度。

4.1.2　網絡安全保護對象重要程度的判定

網絡安全保護對象的重要程度根據其所承載的業務對國家安全、經濟建設、社會生活的重要性以及業務對其依賴程度，劃分為特別重要、重要和一般三個級別。
具體為：
a) 特別重要的保護對象，包括：
——按照GB/T 22240—2008的規定定級為四級及四級以上的信息系統；
——用戶量億級或日活躍用戶千萬級的互聯網重要應用；
——日交易量億元級的電子交易平臺；
——行業占有率前五的互聯網重要應用；
——提供互聯網支撐服務的重要系統，如域名解析服務；
——由多個重要的網絡安全保護對象共同組成的群體；
——其他與國家安全關系密切，或與經濟建設、社會生活關系非常密切的系統。
b) 重要的保護對象，包括：
——按照GB/T 22240—2008的規定定級為三級的信息系統；
——用戶量千萬級或日活躍用戶百萬級的互聯網重要應用；
——日交易量千萬元級的電子交易平臺；
——行業占有率較高的互聯網應用；
——涉及大量個人信息的系統；
——由多個一般的網絡安全保護對象共同組成的群體；
——與國家安全關系一般，或與經濟建設、社會生活關系密切的系統。
c) 一般的保護對象，包括：
——按照GB/T 22240—2008的規定定級為二級及二級以下的信息系統；
——其他公共互聯網服務等。

4.1.3　網絡安全保護對象可能受到損害程度的判定

網絡安全保護對象可能受到損害的程度是指網絡安全事件或威脅對其軟硬件、功能及數據的損害，導致系統業務運行緩慢或中斷，數據泄露、篡改、丟失或損壞，對保護對象造成直接及間接損失的程度。其大小主要考慮保護對象自身可能的直接損失，以及防御攻擊、恢復系統正常運行和消除負面影響所需付出的代價，劃分為特別嚴重、嚴重、較大和一般。
具體為：
a) 特別嚴重的損害，是指可能造成或已造成網絡或信息系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除負面影響所需付出的代價十分巨大。例如：
——大規模、持續性的網絡攻擊，可能造成或已造成網絡或信息系統大面積癱瘓，使其喪失業務處理能力；
——涉及管理權限的安全漏洞及漏洞利用過程被披露，并出現自動化攻擊工具，可能造成或已造成大規模個人信息泄露，包含賬號密碼、銀行卡號等可能影響財物的信息。
b) 嚴重的損害，是指可能造成或已造成網絡或信息系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統關鍵數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除負面影響所需付出的代價巨大。例如：
——有組織的、針對性的攻擊，可能造成或已造成網絡或信息系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響；
——涉及遠程命令執行的安全漏洞及漏洞利用過程被披露，可能造成或已造成大規模個人信息泄露，但不含財物信息。
c) 較大的損害，是指可能造成或已造成網絡或信息系統中斷，明顯影響系統效率，使其業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除負面影響所需付出的代價較大。例如：
——針對性的攻擊，可能造成或已造成保護對象網絡和系統中斷，明顯影響系統效率，使其業務處理能力受到極大影響；
——涉及遠程數據讀取的安全漏洞被披露，可能造成或已造成個人信息泄露。
d) 一般的損害，是指可能造成或已造成網絡或信息系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除負面影響所需付出的代價較小。例如：造成保護對象網絡和系統短暫中斷，影響系統效率，使其業務處理能力受到影響。
判定網絡安全保護對象可能受到損害的程度宜從網絡安全威脅本身和網絡安全保護對象等方面考慮：
——網絡安全威脅方面包括攻擊者能力、攻擊工具、攻擊行為破壞性等；
——網絡安全保護對象方面包括脆弱性嚴重程度、防護措施、攻擊造成的損失程度等；