Question

GB/Z 20986-2007《信息安全事件分类分级指南》根据将信息安全事件的起因、表现、结果等，将信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等 7 个基本分类，每个基本分类包括若干个子类。

1）恶意程序事件，包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件。

2）网络攻击事件，包括拒绝服务器攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件、其他网络攻击事件。

3）信息破坏事件，包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件、其他信息破坏事件。

4）信息内容安全事件，包括违反宪法和法律、行政法规的信息安全事件，针对社会事项进行讨论评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件，组织串联、煽动集会游行的信息安全事件，其他信息内容安全事件。

5）设备设施故障，包括软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障。

6）灾害性事件。

7）其他信息安全事件。

在企业内部，我们往往更多接触的是前几类，我们按实际情况结合自己的理解对信息安全事件进行梳理，将其分为三个大类，下面分别阐述。

1.针对互联网应用的攻击事件

互联网应用由于对外网开放，也最容易被黑客盯上，加上各种自动化的扫描工具的出现，每天系统会监测到各种各样的扫描请求，扫描器会尝试各种 Web 漏洞请求，如 SQL 注入、XSS 攻击、上传漏洞、目录遍历、特定文件请求等。针对一些登录接口，黑客会进行暴力破解、撞库攻击；针对一些 URL 或 API 接口，黑客会遍历请求以获取更多信息。若进一步深入到系统中，提权、安装后门、清理日志等也时有发生。若这些都没成，黑客还有可能为了获利采取 DDoS 攻击。

2.针对企业内网的攻击事件

企业员工一般都会通过邮件、上网、U 盘拷贝等渠道和外界保持联系，而这三个点也容易被外部攻击者利用。邮件里包含恶意文件，用户点击就被会被控制；用户访问的网页可能会包括漏洞挂马页面，用户不小心就会中招；外部人员 U 盘插到内部电脑上也可能会使机器感染恶意程序，恶意程序进入到企业内网之后，会进一步探测网络结构，寻找最有价值的攻击目标和系统，达成目标后可能会将需要的信息通过各种手段外传出去。近年流行的勒索软件则更简单粗暴，直接加密用户文档数据，并要求受害者支付一定数量的比特币获取解密密钥。

3.来自内部的信息泄露事件

除了来自外部的攻击，还有可能存在内部员工无意或有意的信息泄露事件。

曾有一个被处理事件是，内部员工把一份文件遗忘在复印机上，被其他员工拍照发到朋友圈。更多来自内部的有意泄露可能隐藏在背后。