“信息安全技术网络安全事件”分类及解读（基于《GB∕T 20986-2023 信息安全技术网络安全事件分类分级指南》）（雷泽佳2024A0）.docxVIP

PAGE1

PAGE1

信息安全技术网络安全事件分类及解读（基于《GB∕T20986-2023信息安全技术网络安全事件分类分级指南》）

事件类别（代码）

事件类别定义

事件子类别（代码）

事件子类别定义

网络安全事件涵义解释

01000恶意程序事件

指带有恶意意图所编写的一段程序，该程序插入网络损害网络中的数据、应用程序或操作系统，或影响网络的正常运行。恶意程序事件指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件。

01001计算机病毒事件

制造、传播或利用恶意程序，影响计算机使用，破坏计算机功能，毁坏或窃取数据

计算机病毒事件：指通过制造、传播或利用恶意程序，对计算机的正常使用造成影响，破坏计算机功能，或者毁坏、窃取存储在计算机中的数据的事件。

恶意程序：指那些被设计用来执行未经授权、有害或恶意行为的软件程序。这些程序可能包括病毒、蠕虫、木马、勒索软件等，它们能够自我复制、隐藏自身、破坏数据或执行其他恶意活动。

制造、传播或利用：这涵盖了恶意程序的整个生命周期，从最初的创建（制造），到通过各种手段（如网络、移动存储设备）在计算机系统之间传播，再到最终的利用这些程序执行恶意行为。

影响计算机使用：恶意程序可能导致计算机运行速度变慢，系统资源被占用，甚至出现系统崩溃等现象，这些都严重影响了计算机的正常使用。

破坏计算机功能：指恶意程序可能会对计算机系统的关键功能进行破坏，如阻止某些程序的正常运行，修改系统设置，或者干扰网络通讯等。

毁坏或窃取数据：恶意程序可能会删除、篡改或加密用户的重要数据，导致数据毁坏。同时，它们也可能悄无声息地收集用户的敏感信息，如密码、银行账户详情等，并将其发送到攻击者控制的服务器上，实现数据的窃取。

01002网络蠕虫事件

利用网络缺陷，蓄意制造或通过网络自动复制并传播网络蠕虫

网络蠕虫事件：指利用网络中存在的安全缺陷，故意制造或者通过网络自动复制并广泛传播网络蠕虫，从而对网络系统和信息安全造成威胁或损害的事件。

网络缺陷：指网络系统中存在的安全漏洞或弱点，可能被攻击者利用来执行未经授权的操作。这些缺陷可能存在于操作系统、应用软件、网络通信协议等各个层面。

蓄意制造：这表示网络蠕虫并非自然产生，而是有人故意编写和发布的。这种行为通常带有恶意目的，如破坏、窃取数据或制造混乱。

自动复制并传播：网络蠕虫具有自我复制的能力，并且能够在网络中自动寻找其他易受攻击的系统进行传播。这种传播方式使得蠕虫能够在短时间内感染大量的计算机系统。

网络蠕虫：这是一种特殊的恶意软件，与病毒类似，但蠕虫通常不依赖于宿主文件进行传播，而是独立存在于网络中，并通过网络进行复制和传播。蠕虫可能会消耗大量的网络资源，导致网络拥堵甚至瘫痪，还可能携带其他恶意代码，如后门程序、木马等。

01003特洛伊木马事件

制造、传播或利用具有远程控制功能的恶意程序，实现非法窃取或截获数据

特洛伊木马事件：指通过制造、传播或利用具有远程控制功能的恶意程序，即特洛伊木马（或称木马），以非法方式窃取或截获数据的事件。

远程控制功能：特洛伊木马通常具备远程控制功能，这意味着攻击者可以从远程位置控制和监视受感染的系统，执行各种操作，如文件访问、数据窃取等。

恶意程序：特洛伊木马是一种恶意程序，它隐藏在看似无害的软件或文件中，以欺骗用户安装或执行。一旦安装，木马会在用户不知情的情况下执行恶意活动。

非法窃取或截获数据：特洛伊木马的主要目的之一是窃取用户数据。这可以包括个人信息、登录凭证、银行账户详情、敏感文件等。木马还可以截获网络通信，捕获键盘输入，从而窃取用户在线活动中的数据。

制造、传播或利用：这涵盖了木马的整个生命周期。制造是指编写和创建木马程序；传播涉及将木马分发到目标系统，通常通过伪装成合法软件或利用漏洞进行；利用则是指激活木马的功能以执行恶意活动。

01004僵尸网络事件

利用僵尸工具程序形成僵尸网络

僵尸网络事件：指黑客利用恶意软件（即僵尸工具程序）控制大量计算机终端，形成一个网络（即僵尸网络），进而利用这个网络发起攻击或者进行其他非法活动的一种网络安全事件。

僵尸工具程序：指被用于构建和控制僵尸网络的恶意软件。这类工具通常具有隐蔽性，能够在受害者的计算机系统中悄无声息地运行，而且很难被常规的安全措施检测到。

形成僵尸网络：僵尸网络是由许多被僵尸工具程序感染的计算机系统（也称为“僵尸主机”或“肉鸡”）组成的网络。这些系统被攻击者远程控制，可以作为一个整体来执行各种恶意活动。

远程控制：攻击者通过僵尸工具程序可以远程控制僵尸网络中的每一台计算机。这种控制可以是集中式的，通过一个或多个命令与控制（C2）服务器来发号施令；也可以是分布式的，通过复杂的通信机制在僵尸主机之间传递指令。

恶意活动：僵尸网络常被用于发