27、某贸易公司的 OA 系统由于存在系统漏洞,被攻击者上传了木马病毒病删除了系统中的数据,由于系统备份是每周六进行一次,时间发生时间为周三,因此导致该公司三个工作日的数据丢失并使得 OA 系统在随后两天内无法访问,影响到了与公司有业务往来部分公司业务。在事故处理报告中,根据 GB/z20986-2007《信息安全事件分级分类指南》,该事件的标准分类和定级应该是( )

该题答案标注为 D，但该答案是**错误的**。正确答案应为 **C：有害程序事件 较大事件（III 级）**。以下进行严谨解析： --- ### 一、核心知识点：GB/Z 20986—2007《信息安全事件分级分类指南》 该标准从两个维度对信息安全事件进行规范： #### （1）**分类（按事件性质）** 共7类，本题涉及两类关键概念： - **有害程序事件**：指蓄意制造、传播恶意代码（如病毒、木马、蠕虫、僵尸程序等），导致信息系统异常或受损的事件。 → 本题中“被攻击者上传了木马病毒”，符合“有害程序事件”的定义（注意：上传并执行木马属于主动植入恶意程序，是典型的有害程序事件；而非仅因木马引发的后续结果归类为其他类）。 - **信息破坏事件**：指通过非法手段（如篡改、删除、伪造）导致信息完整性、保密性或可用性受损，**且不涉及恶意程序传播行为本身**的事件。例如：内部人员擅自删除数据库、SQL注入后删库等。 → 本题中数据删除是木马运行后的**直接后果**，而非独立的破坏行为；事件起因和主导因素是木马植入与执行，因此**不应归类为“信息破坏事件”**。 ✅ 结论：**分类应为“有害程序事件”**（排除选项 B 和 D）。 #### （2）**分级（按事件严重程度）——采用“业务影响+系统影响+社会影响”综合判定** 标准将事件分为四级（由高到低）： - I 级（特别重大）、II 级（重大）、III 级（较大）、IV 级（一般） 依据标准附录A中的定级要素，重点关注： | 定级要素 | III 级（较大事件）典型情形 | II 级（重大事件）典型情形（供对比） | |------------------|------------------------------------------------------------------------------------------|---------------------------------------------------------------------| | **业务影响** | 导致重要业务中断24小时以上，或造成较大经济损失/客户投诉；影响范围限于本单位或少数关联方。 | 导致重要业务中断超过3个工作日；或影响多个重要合作伙伴；或引发区域性业务停滞。 | | **系统影响** | 关键信息系统（如OA、邮件、ERP）中断24–72小时；数据丢失达1个完整备份周期（如周备丢失≤3天数据）。 | 关键系统中断≥72小时；或核心数据库全量数据不可恢复；或备份体系整体失效。 | | **社会影响** | 未造成公共舆论关注、无监管通报、未违反重大法律法规。 | 引发媒体曝光、监管部门介入、或违反《网络安全法》等上位法强制要求。 | 本题具体事实分析： - 系统类型：OA系统（属于支撑日常办公的**重要信息系统**，非国家关键信息基础设施，但属企业核心业务系统）； - 数据丢失：周三发生，上次备份为上周六 → 丢失**周三、周四、周五共3个工作日数据**（即约3天数据）； - 系统中断：随后两天（即周四、周五？需注意题干“随后两天内无法访问”，结合“发生时间为周三”，合理理解为周三发生攻击，周四、周五系统不可用 → 中断**2天**；若含周三当日，则最多3天）； - 影响范围：“影响到了与公司有业务往来**部分公司**业务” → 属有限外部影响，非大规模或行业级中断； - 无提及人员伤亡、公共舆论、监管处罚等升级因素。 对照标准： - 数据丢失3天 ≈ 一个备份周期（周六备份，周期为7天），但实际丢失＜7天，属于“部分数据不可恢复”，符合III级中“数据丢失达到备份间隔的主要部分”； - 系统中断2–3天，处于III级区间（24小时至72小时）； - 业务影响限于“部分”往来公司，未达“多个重要合作伙伴”或“区域停滞”程度（II级门槛）； - 无社会影响升级因素。 ✅ 结论：**定级应为 III 级（较大事件）**（排除 A（I级）、B（II级）、D（IV级））。 --- ### 二、选项逐项辨析 - **A：有害程序事件 特别重大事件（I级）** 错误。I级适用于国家级关键信息基础设施瘫痪、全国性业务中断、造成特别重大经济损失或危害国家安全的情形。本题仅为一家贸易公司OA系统受损，明显不符。 - **B：信息破坏事件 重大事件（II级）** 错误。分类错误（应为有害程序事件，非信息破坏事件）；且影响程度未达II级（如系统中断未超3天，影响范围有限）。 - **C：有害程序事件 较大事件（III级）** ✅ 正确。分类准确（木马上传执行），定级合理（数据丢失3天、系统中断约2–3天、影响部分外部单位）。 - **D：信息破坏事件 一般事件（IV级）** 错误。双重错误：① 分类错误（主因是木马，非单纯人为破坏）；② 定级过低（IV级对应“单个工作站受影响”“数据丢失＜24小时”“业务基本不受影响”等轻微情形，与本题明显不符）。 --- ### 三、常见误区提醒 - 混淆“现象”与“事件类型”：数据被删除是**结果**，但事件类型取决于**根本原因和行为方式**。GB/Z 20986 明确以攻击者的**初始行为**作为分类依据——上传并执行木马