1、ICS35.240A90GA中华人民共和国公共安全行业标准GA/T700-2007信息安全技术计算机网络入侵分级要求Information security technology-Classification criterion for intrusion ofcomputer network2007-05-14发布2007-07-01实施中华人民共和国公安部发布GA/T700-2007重要程度,可分为一般信息和重要信息。1)一般信息:可公开的系统或服务的标识信息。如:用户标识、系统标识、反馈信息等:2)重要信息:不应公开且危及网络安全的信息。如:私人资料,密码信息等。3.1.2非授权使用3.
2、1.2.1尝试登录入侵者使用口令穷举等手段,通过正常鉴别机制非授权使用系统或服务。例如:暴力猜测、弱口令登录、入侵rservice等。根据威胁用户对象的重要性,可分为一般用户和特殊用户。1)一般用户:目标机上的普通个人账号:2)特殊用户:目标机上的系统账号。3.1.2.2突破安全访问机制入侵者使用主动的访问手段,旁路正常鉴别机制非授权使用系统或服务。例如:级冲溢出获得SHELL、WEB服务错误解码入侵等。根据入侵者希望获取用户权限的重要性,可分为一般用户和特殊用户,1)一般用户:目标机上的普通个人账号:2)特殊用户:目标机上的系统账号。3.1.2.3恶意代码人侵者利用在目标机运行的恶意代码进行
3、非授权使用。例如:木马入侵。根据威助目标的重要性,可分为一般用户和特殊用户。1)一般用户:目标机上的普通个人账号:2)特殊用户:目标机上的系统账号。3.2可用性由网络人侵导致系统或者服务部分或全部不可用。按照拒绝服务影响对象,可分为单系统、多系统和其他系统。1)单系统:网络入侵造成单个系统不可用,不影响到其他系统的运行。例如:阻断单个系统登录。2)多系统:网络入侵造成单个或多个系统不可用,影响到其他系统的服务使用。例如:服务器的拒绝服务人侵。3)其他系统:网络入侵具有传播性,使得入侵目标系统外的系统也产生同样的网络入侵。例如:垢虫入侵。3.3完整性对数据或系统运行进行错误的输出,破坏数据和系统
4、运行的完整性。1)数据完整性:人侵者修改原有数据。例如:数据注入、伪造邮件。2)系统完整性:人侵者修改系统运行方式。例如:预测重放、ARP伪装。4计算机网络入侵分级4.1分值表示本标准按照网络人侵不同分类对安全属性的威胁进行评分表示,采用了19标度分值。含义为:1一低威胁,3一稍微威胁,5一明显威胁,7一强烈威胁,9一极端威胁。网络入侵威胁按照:信息监听,信息探测,尝试登录,错误输出,突破安全访问机制,非授权执行代码,拒绝服务依次增强,具体分值对应表示关系如表1。2GA/T700-2007表1分值对应表受影响的安全属性网路入侵威胁分值信息监听非授权访问一般信息信总探测重要信息3一般用户尝试登录
5、机密性特殊用户3一般用户5非授权使用突破安全访问机制特殊用户7一般用户非授权执行代码特殊用户7单系统5可用性拒绝服务多系统其他系统9数据完整性钻误输出系统4.2分级方法4.2.1分值的计算网络人侵可能产生一个或多个可能入侵阶段组成,设具体的分值计算方法如下:1)对于产生明确威胁的网络入侵直接采用对应分值:2)对于产生一个明确威胁,后续多个可能威胁,取所有分值的平均值:3)对于多个明确威胁,采用多个威胁分值中的最高分值。表2给出了分值的计算示例,表2分值计算示例网铬入侵产生的威助分值计算方法分值备注对单系统进行拒绝服务攻击取本标准“3.2”的相应分值5第1种方法尝试一般用户登录,可能取本标准“3.1.2.1”和3进行完整性人侵“3.3”分值之平均值第2种方法突破安全访问机制,使用取本标准“3.1.2.2”和5第3种方法一般用户权限进行完整性入侵“3.3”之中最大分值4.2.2分级的计算网络入侵级别定义为低、中、高三级,根据网络入侵分值确定网络入侵级别。其中分值与网络入侵级别的对应关系为:1)分值大于或等于1,且小于3时为低入侵等级:2)分值大于或等于3,且小于5时为中入侵等级:3)分值大于或等于5,且小于或等于9时为高入侵等级。