1 范围
本方法适用于中华人民共和国境内发现的计算机病毒危害性的级别划分工作。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
3 定义
3.1 计算机病毒危害性(Computer Virus Risk)
计算机病毒危害性,是指某种计算机病毒爆发流行的时间、影响范围、传播途径、破坏特点、破坏后果等情况。
3.2 专用系统和网络
处理国家关键事务或保证国家基础设施安全运行的计算机网络。
4 危害性分类与定义
4.1 级别分类
计算机病毒按照其危害性其划分为五级,分别为五级(红色/严重)、四级(橙红色/关注)、三级(橙色/注意)、二级(黄色/一般)、一级(绿色/轻微)。其中五级表示最高级别,依次降低。
4.2 危害性级别定义
4.2.1 五级(严重)
本级别表示计算机病毒可以造成大范围公共网络或者专用网络的拥塞、瘫痪。无法进行数据传输和交换。或者造成大范围的计算机系统受到攻击或者专用系统受到攻击,导致系统瘫痪或者严重的信息泄漏。或者严重破坏计算机系统正常运行.
4.2.2 四级(关注)
本级别表示计算机病毒可以通过网络传播。并且能够造成部分网络瘫痪;或者存在潜在的敏感信息泄漏途径,或者严重破坏计算机系统正常运行,或者对特定目标发动攻击。
4.2.3 三级(注意)
本级别表示计算机病毒不能通过网络传播,但是严重影响计算机系统正常运行或者造成数据丢失, 或者能够通过网络传播,但不具有显著破坏性。
4.2.4 二级(一般)
本级别表示计算机病毒影响计算机系统正常运行或者改变原有功能。
4.2.5 一级(轻微)
本级别表示计算机病毒不具有直接对网络和系统的破坏性。
5 危害性的划分
5.1 计算机病毒每日监测结果
5.1.1 被感染的独立站点的数量
5.1.1 感染的计算机的数量
5.1.3 感染的地理分布状况
5.1.4 感染的行业分布状况
表1 计算机病毒每日监测结果级别划分表
|
级别 分级参数 |
5 |
4 |
3 |
2 |
1 |
|
被感染的独立站点的数量 (个) |
5 |
4 |
2 |
0 |
0 |
|
感染的计算机的数量(台) |
600 |
400 |
200 |
50 |
10 |
|
感染的地理分布状况(省市自治区) |
5 |
3 |
1 |
1 |
1 |
|
感染的行业分布状况(重点行业) |
5 |
3 |
1 |
0 |
0 |
5.2 计算机病毒的传染性
5.2.1 传播的途径
5.2.1.1 通过文件
5.2.1.2 通过邮件传播
5.2.1.3 通过局域网传播
5.2.1.4 通过互联网传播(邮件除外)
5.2.2 计算机病毒的传播的方式
5.2.2.1 利用系统漏洞进行传播
5.2.2.2 利用系统配置缺陷传播 (如弱口令 共享)
5.2.2.3 利用社会工程方法传播
5.2.2.4 是否依赖人的操作 (如利用MIME漏洞,但是邮件需要人工预览)
表1 计算机病毒的传染性级别划分表
|
级别 分级参数 |
5 |
4 |
3 |
2 |
1 | |
|
传播途径 |
通过文件 |
无关 |
无关 |
是 |
无关 |
无关 |
|
通过邮件传播 |
无关 |
是 |
无关 |
否 |
否 | |
|
通过局域网传播 |
是 |
是 |
无关 |
否 |
否 | |
|
通过互联网传播(邮件除外) |
是 |
无关 |
无关 |
否 |
否 | |
|
传播方式 |
利用系统漏洞进行传播 |
是 |
无关 |
无关 |
否 |
否 |
|
利用系统配置缺陷传播 |
无关 |
是 |
否 |
否 |
否 | |
|
利用社会工程方法传播 |
无关 |
是 |
是 |
无关 |
无关 | |
|
不依赖人的操作 |
是 |
否 |
否 |
否 |
否 |
5.3 计算机病毒破坏性
5.3.1 删除/修改文件
5.3.2 具有触发事件
5.3.3 造成网络阻塞
5.3.4 具有持续网络主动传播能力
5.3.5 造成系统瘫痪
5.3.6 获取敏感信息
5.3.7 系统性能降低
5. 3. 8 改变系统设置
5. 3. 9 具有进一步的攻击
表1 计算机破坏性级别划分表
|
级别 分级参数 |
5 |
4 |
3 |
2 |
1 |
|
删除/修改文件 |
无关 |
无关 |
是 |
否 |
否 |
|
具有触发事件 |
无关 |
无关 |
是 |
无关 |
否 |
|
造成网络阻塞 |
是 |
无关 |
否 |
否 |
否 |
|
具有持续网络主动传播能力 |
是 |
无关 |
否 |
否 |
否 |
|
造成系统瘫痪 |
无关 |
无关 |
无关 |
否 |
否 |
|
获取敏感信息 |
无关 |
是 |
否 |
否 |
否 |
|
系统性能降低 |
无关 |
是 |
是 |
无关 |
无关 |
|
改变系统设置 |
无关 |
是 |
无关 |
无关 |
无关 |
|
具有进一步的攻击 |
无关 |
是 |
否 |
否 |
否 |
5.4 计算机病毒的复杂性
5.4.1 是否具有补丁程序
5.4.2 是否利用新的攻击技术
5.4.3 是否具有复合型传染方式
5.4.4 是否容易清除
表1 计算机病毒的复杂性级别划分表
|
级别 分级参数 |
5 |
4 |
3 |
2 |
1 |
|
是否不具有或者难以获取补丁程序 |
是 |
否 |
否 |
否 |
否 |
|
是否利用新的攻击技术 |
是 |
否 |
否 |
否 |
否 |
|
是否具有复合型传染方式 |
无关 |
是 |
否 |
否 |
否 |
|
是否不容易清除 |
是 |
是 |
是 |
否 |
否 |
6 分级方法
计算机病毒危害性的分级评估用于计算机的危险并且把它们对计算机用户的威胁划分出明确的等级。分析评价危险程度的标准主要有四点:
1. 计算机病毒的当前传播情况
2. 计算机病毒攻击的破坏性
3. 计算机病毒的传染性
4. 计算机病毒的复杂性
这些要素被分别按照相应指标进行级别划分,然后再进行综合评定就可以得到总体的危害性级别,共分为5级。5级(或 特大)为最高级别,而1级(或轻微)则为最低级别。
疫情级别判定可以参考如下计算公式:
计算机病毒危害性级别=INT(日监测结果*0.4+传染性*0.3+破坏性*0.2+复杂性*0.1)
