DB11∕T 1654-2019 信息安全技术 网络安全事 件应急处置规范

IS

L

80备案号：62698-2019

DB11

.

.DB11/T

1654—2019信息安全技术

网络安全事件应急处置规范Infratin

seurity

tehnlgyNetr

inidents

eergeny

dispsal

regulatins.

发布

实施北京市市场监督管理局 发

布..

DB11/T

—..

前言.................................................................................

II1

...............................................................................

12

规范性引用文件.....................................................................

13

术语和定义.........................................................................

14

.............................................................

25

...............................................................

36

............................................................

11附录

A（规范性附录） 网络安全事件上报表

.............................................

13附录

B（规范性附录） 第三方网络安全事件分析表

.......................................

15附录

（规范性附录） 网络安全事件备案表

.............................................

17附录

D（规范性附录） 网络安全事件现场调查表

.........................................

19附录

E（规范性附录） 网络安全事件处置工作报告

.......................................

22附录

F（规范性附录） 信息系统资产名单

...............................................

23参考文献.............................................................................

25..

DB11/T

—..

1 范围本标准规定了网络安全事件的网络安全事件分类与分级、调查处置、日常和应急工作准备。本标准适用于非涉及国家秘密的信息系统运营使用者、主管部门、监管部门以及应急支撑队伍使用。本标准不适用于涉及国家秘密的信息系统的安全事件调查处置。2 术语和定义列术语和定义适用于本规范。2.1信息系统

由计算机及其相关配套的设备、设含网络）构成的，一定的应用目标和规则对进行采集、加工、存储、、检索等处理的系统。2.2网络安全事件

由于自然或者人为件本身缺陷或故障的信息系统响的事件。如计算机病毒、特洛伊木马、拒绝服务攻击、漏洞攻击事件、网络扫描窃听攻击等事件。2.3应急处置

eergeny

通过采取断网或者停止服务等手段控制事态发展，防止。2.4信息安全等级保护

f

syste

指对法人和其他组织及公民的专有信息公开信息和存储、理这些的信息系统分等级实行信息系统中使用的信息安全产品实行按等级管中发生的网络安全事件分等级响应、处置。文所述的系统级别均为等级保护级别。3 网络安全事件分类与分级3.1 事件分类3.1.1 安全风险..

DB11/T

—..

指因和风险，系统面临发生安全事故可以分为安全管度的制定或执行上的缺陷；系统在设计和建设时遗留来的安全风险；硬件设施风险，说明如：a) 安全管理制度的制定或执行上的缺陷。如未定期进行或未定期更新完善应急预案等情况造成的安全；b) 系统计和建设时遗留来的安全风险。如带宽设计不足存在漏洞等方面带来风险；) 系统硬件设施部件老化或自带有攻击利等各种形式的硬件设施安全。3.1.2 安全攻击事件指通过网络或其他技术手段，利用信息系统的缺陷或使用暴力攻击对信息系统实施人为使用非技术手段对信息系统进行，而异可以分为有害程序事件、网络事件、信息破坏事件和物理破坏事件等，说明如：a)有害程序计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序；b) 网络事件分为拒绝服务攻击事件、后门事件、扫描窃听络钓鱼事件、事件和其他；) 信息事件分为窃取丢失事件和其他；d)物理事件是指蓄意地对保障信息系统正常运行的硬软件等

、破坏造成络安全事件。3.1.3 设备设施故障设备设施是指由于信息系统自身故障或外围保障设施故障而导致的网络安全事件，以及人为的使用非技术手段无意的造成信息系统设备设施损坏的网络安全事件。设备设施故障包括软硬件自身故障、外围保障设施和其它设备设施故障等3类，如：a) 软硬件自身故障：是指因信息系统中硬件设自然故障、件设计缺陷或者件运行环境发生变化等而导致的网络安全事件；b) 外围保障设施：是指由于保障信息系统正常运行所必须的外部设施故障而导致的网络安全事件，例如电力故障、外围网络故障等的网络安全事件；) 其它设备设施：是指不能被包含在以上

2

类之中的设备设施故障而导致件。3.1.4 灾害性事件灾害性事件是指由于不可抗力对信息系统物理破坏而导致的网络安全事件。

灾害性事件水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等的网络安全事件。3.1.5 其他不属上四类的网络与网络安全事件。3.2 事件分级3.2.1 Ⅰ级..

DB11/T

—..

符合情形之一的

I

级网络与网络安全事件:a) 等级

3

级（含）以上信息系统，发生系统中断运行或出现严重信息泄露，造成严重影响。b)等级

3

含）以上信息系统数据丢失或被、篡改、假冒国家安全和稳定严重经济损失。) 其他对国家安全、社会秩序、经济建设和公众利益构成、影响安全事件。3.2.2 Ⅱ级符合情形之一且未IⅡ级网络与网络安全事件:a) 等级

2

级信息系统，发生中断或出现严重，造成较严重。b) 等级

2

级信息系统或被、篡改、假冒国家安全和社稳定构成威胁，或导致较严重经济。) 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重网络安全事件。3.2.3 Ⅲ级除上述情形外的其它网络与网络安全事件为一般事件。4 网络安全事件调查处置4.1 事件发现及处置4.1.1 分级处置4.1.1.1 I

级网络安全事件处置发生I级网络安全事件后，事发单位、监管部门、行业主管、技术支持单位、公安机关应按照图1所示的Ⅰ级网络安全事件处置流程分别开展工作。DB11/T

—

.

.

1

Ⅰ级网络安全事件处置流程..

DB11/T

—..

4.1.1.1.1 网络安全事件处置由于Ⅰ级事件对应信息系统等级较高，更广，小组需确保足够技术，以应对的各项，包括值班差、技加固验证等方面作。a) 事发应急处置工作，同时填报《网络安全事件上报表》(见

A

中表

，将安全事件上报、行业主管并向报案。b) 监管部门

I

级安全事件报告后，牵头组建网络安全事件处置小组，由、行业主管发单位以及技术支持等共同组成。由统一指挥安全事件处置；) 行业主管负责协助组建处置小指导事发单位开展事件紧急处置工作；d) 事发负责在处置小指导处置工作的实施，协助公安机关取证、调查，并填报《第三方网络安全事件分析表》（见

B

中表

）；e) 技术支持负责在处置小组指导技术支持，，成因，出防范方案；f) 公安负责取证、调查以及立案的工作，并填写《网络安全事件备案表》（见

中表.14.1.1.1.2 判断网络安全事件类型并进行应急处置被攻击信息系统具备完善的应急处理机制的，信息系统运营使用者可结合网络安全事件具体情况，依据运营使用者及其行业主管部门制定的信息安全应急响应措施、策略及流程工作，并填报《网络安全事件现场调查表》（附录D中表D.1）Ⅰ级事件对均符合等级三级以上要求，具备如双机双线、存储等措施，可以快速恢复系统功能，但过程中要注意证据，便于公安机关立案调查。被攻击信息系统的应急处理机失的，可参考内容进行应急处置，并填报《网络安全事件现，场调查表》

要求如：，a) 发生类事件时果确认重要被窃取且事件还在持续确定被窃取范围后，将被破坏系统和正常的系统进行隔离暂时关闭被破坏系统，必要时应立即切断网络，防止进一步损失，保护数据安全；b) 发生类事件时果被持续无法正常。须通过技术手段持续系统及网络状记录异常流量的远程

IP、域端口，分析原因。事件处置人员须及时保护现场，配合机关现场调查与取证；)发生内容安全类事件时，信息系统被篡改、,造成严重社会影响。信息系统运营使用者须完整被篡改的网站系统，避免重要线索丢失。然后技术手段立即删除信息信息的传播人员须保存数据信息、保存日志、源代码等文件，用于技术分析及取证调查；d) 发生设备设施类安全事件时，设施被破坏导致、设备损坏、电力故障、物品丢失被盗等事件。须立即启用备用设备、冗余链路、冗余电力。同时门禁系统出入记录、视频监控信息，在系统后通过该记录信息查找可疑人员。4.1.1.1.3 制定处置方案并实施安全事件得到后，网络安全事件处置小组充分评估被破坏系统的范围、影响程度，上报有关部门报，做好沟通协调工作。同时，调动一切资时设计DB11/T

—置小组须专家团队方案进行论证与后，方可实施。如果涉及第三方单位，须合同、授权书员保密协调，以确保内容及质量可控。4.1.1.2 Ⅱ级网络安全事件处置发生Ⅱ级网络安全事件后，事发单位、监管部门、行业主管、技术支持单位、公安机关应按照图2所示的Ⅱ级网络安全事件处置流程分别开展工作。

.

.

图

2

Ⅱ级网络安全事件处置流程4.1.1.2.1 网络安全事件处置发生Ⅱ级网络安全事件后，开展以工作：

..DB11/T

—

..a)

事发立即应急处置工作，同时，上报监管部门、行业主管并向公安机关；b)

监管部门根据实际指导指导事发单位进行事件的处置工作；)

行业主管应协助事发单位共同安全事件的处置工作；d)

事发单位应积极协助公安机关进行立案、取证、调查等；e)

技术支持负责技术支持工作；f)

公安负责取证、调查以及立案的工作。4.1.1.2.2 判断网络安全事件类型并进行应急处置被攻击信息系统具备完善的应急处理机制的，信息系统运营使用者可结合网络安全事件具体情况，依据运营使用者及其行业主管部门制定的信息安全应急响应措施、策略及流程工作，并填报《网络安全事件现场调查表》。过要注意保存，便于公安机关立案调查。具体要求如：a) 发生类事件时果确认重要被窃取且事件还在持续确定被窃取范围后，将被破坏系统和正常的系统进行隔离暂时关闭被破坏系统，必要时应立即切断网络，防止进一步损失，保护数据安全；b) 发生类事件时果被持续无法正常。须通过技术手段持续系统及网络状记录异常流量的远程

IP、域端口，分析原因。事件处置人员须及时保护现场，配合机关现场调查和取证；) 发生内容安全类事件时，被篡改、,（如:国家机关门户网站被篡改）造成严重社会影响运营使用者须采取技术手段立即删除信息的传播处置人员须保存数据信息、保存日志、源代码等，用于技术分析及取证调查；d) 发生设备设施类安全事件时，设施被破坏导致、设备损坏、电力故障、物品丢失被盗等事件。须立即启用备用设备、冗余链路、冗余电力。同时门禁系统出入记录、视频监控信息，在系统后通过该记录信息查找可疑人员。4.1.1.2.3制定处置方案并实施安全事件得到后，网络安全事件处置小组充分评估被破坏系统的范围、影响程度，上报有关部门报，做好沟通协调工作。同时行处置方案设计并实施。如果方单位，须签署合同、授权书员保密协调，以确保内容及质量可控。4.1.1.3 Ⅲ级网络安全事件处置发生Ⅲ级网络安全事件后，事发单位、行业主管、技术支持单位、公安机关应按照图3所示的Ⅲ级网络安全事件处置流程分别开展工作。DB11/T

—

.

.

图

3

Ⅲ级网络安全事件处置流程4.1.1.3.1网络安全事件处置发生Ⅲ级网络安全事件后，开展以工作：..

DB11/T

—..

a) 事发单位应立即开展应急处置工作，并根据行业主管、协调技术支持单位制案；b) 行业主管指导事发对安全事件进行；)事发根据向公安机关报案并协助公安机关进行取证、调查工作；d) 公安负责取证、调查以及立案的工作。4.1.1.3.2 判断网络安全事件类型并进行应急处置网络安全事件处置小组须及时检查信息系统，确认问题。如果发现该问题涉及范围广且持续造成破坏，应立即断开，关闭被破坏，保护，联系公安机关做进一步处理。4.1.2 技术措施网络安全事件处置技术措施包括以内容，应根据实际最有效的措施加以实施：a) 备份系统日志志、数据日志、审计日志、网络及设备日志，用于分析和溯源。同时志的周期，确保日志时间

6

个月以上；b)保存状态，包括帐户登录记连接状态访问状态、进程运行状易失数据，以上数据可能包含系统被攻击后的关键信息；) 保留被破坏系统的、文件、拍截图、源等，用于分析、溯源及取证；d)检测被破坏系统的源代码，分析代码的安全性；e) 使用专用工具检测操作系统、现、后门等恶意文件，及时删除；f) 检测设设备的安全配置情况，管理员账号权限令、配置策略志、访问记录等；g) 操作系统、应用系统、系统的管理员账号口令重置，检测用户配置是否正常；h) 结束可疑的系统进程，并删除对应的进程文件及目录；i) 检测对通过人接口或通信接口输入的验证措施是否有效；j) 操作系统、应用系统、系统的安全补丁更新情况及漏洞扫描检测情况；) 对被破坏的

EB

系统开启

7X24

小时安全检测；l) 检测异常端口与流量，关闭无关端口，监听异常流量；) 备品备件与冗余线路、电路的检查与维可随时根据需要上线；n) 门禁系统与视频监控系统的检查，确保的可用，用于随时调用和查看；) 检测审计系统的工作情况，确保相关审计功能开启、审计内容和记录完整；p) 检测通信安全的有效性，经过加密且保证数据完整性；) 其他可发现系统隐患或漏洞的技术措施。4.1.3 证据留存通过查看被攻击系统的硬件、软件配数、审计记录，以及从管理制度和人况等方面进行取证调查，通过截图、拍照、备份等方式收集被攻击，应包含方面：a) 查找异常现象并对异象进行拍照或截图；b) 留存当前信息系统网络图；) 系统状态留存；d) 在保存各文件的同时，保存各文件的哈；e) 系统硬件（主机设设设备）设备及其配置参数清单；f) 系统软件（操作系统）、应用软件（数据、中间件）的配数清单；..

DB11/T

—..

g) 应用程序列表代码；h) 系统运维记审计日志志、操志、日志、中间件日志程序操志等）；i) 网络、操、中间程序操作等账号权限（户等表；j) 其他应留存的。4.1.4 成因分析在网络安全事件发生后，应确定被破坏通过对证据的纳象的推演和还原来论证事件产生的原因，回溯的过程。网络安全事件成因分析应的方法包含方面：a)了解方法、破坏类型、破坏者或恶意程序的标识和特征；对异常文件进行备份；b) 明确所跨越网络路径，涉及网络区域（外网、内网、子骨干；) 破坏者取得何种权限（破坏是否已取得超级用户特权）；d) 存的进行合理的汇总和归纳。4.2 事件调查4.2.1 立案调查对于的影响构成刑事案件，符合立案条件的，案件部门负责对安全案件进行案件调查工作。4.2.2 现场调查对于的影响尚不刑事案件，不符合立案条，管辖公安别开展现场调查工作。要求如：a) I

级事件后，管辖机关管理和案件应共同组建事件处置小组，及时前往事发对相关事件开展证据取、人员访谈、笔录制作等方式固定事发后续案件侦办或责任调查证据；b)II

级事件后，管辖机关信息安全管理部门应指派相关人员前往事发，对现场证据进行固定，为后续案件侦办或责任调查证据；) III

级事件发生后，管辖机关信息安全管理部门应指导事发单位对进行固定后续侦办或责任调查证据。4.2.3 责任公安对事件的和各单位存在的责任进行调查。调查的内容包含以方面：a) 信息系统异常状态的截图或照片；b) 事发信息系统的软/硬件设备及其原始数据；) 系统运维记审计日志志、操志、日志、中间件日志程序操志等）；d) 发生网络安全事件的系统信息安全等级定级和备案工作情况；e)事发对发生网络安全事件的信息系统日常管理情况护情况；f) 网络安全事件的责任部门存在的过错或情况；g) 其他安全事件的。4.2.4 恢复服务和系统加固10..

DB11/T

—..

网络安全事件的恢复工作应避免出现误操作的，对能彻底配清除的恶意文件，或不能肯定系统在根除处理后是否已恢复正常时，应选择彻底重建系统。系统加固应制定相加固方案，针对不同目标系统打补丁、修改安全配备份及冗余措增加带宽等方系统的安全性进行合理的增强，以达到消除与的目此外行加固操作前应做好充风险规避措施固工作应有跟踪记录，以确保系统的可用性。4.3 事件（在网络安全事件得到基本处置后，事发单位应及时对网络安全事件的经过、成因、及整改情况（进行总结并对其所造成的损失进行评估，填写《网络安全事件处置工作报告》

见E），并上报主管部门和监管部门；主管部门或监管部门应根据事件情况上报市通信和信息安全应急指挥部或向进行通报。对技术难度大、原因不明确的安全事件家队伍可进行会商与研判安全事件进行深入，对策预防此类事件的。5 日常防范和应急工作准备5.1 开展信息系统运营使用者及其行业主管部门在日常工作中应切实落实信息系统安全等级保护制度，建立健全安全运维机制，并填报《》）（见F中表）。5.2 建立安全运维机制安全运维机制重点关注信息系统在运行过程中的安全性是否符合信息系统运营使用者及其行业主管部门制求。在运维机制中入信息安全要素巡检、、应急制定与演练等，将安全技管理统一，形成全面无缝的、持续改进的整体。5.3开展信息系统安全监测工作信息系统的服务器及数据保存大量的重要信息，应定期开展漏洞扫描、测试加固、代码安全审计等，以检测结果为基础对问题进行汇总分析，形成整改根据优先级逐步实施。对于新系统、新功能的上线系统验收时应充分评估、进行安全检测、做好上线前的突发应急处置措施，确保系统上线后。5.4 建立应急响应机制5.4.1 应急建立网络与信息安全应急组织，建立专家强技术交流和技术培训，高信息系统运营使用者处理突发网络安全事件的能力。5.4.2 应急与装备根据潜在突发质和后果，结合运营使用者定应急装备与备品备件的配置标准，购置和储备应急所需的物资，制作应急物资清单表。

对应急装备和物资进行定期检查、维护与更新证物资处于完好状态。加强品备件的动态管及时补充和物资清单表。

制定应急物装年度采购计划，并纳入信息系统运营使用者的年度总预算，切实保证物资的资金投入,应急资源清单须每年更新。11DB11/T

—5.4.3 通信与信息应设立网络与信息安全应急

24

小时值班电话，并做到电话号码不变、传真号码不变、邮件不变相关人员的电话、手机、传真、电子邮件等联系方式应及时更新、及时分并保持畅通。5.4.4 应急响应措施及演练结合运营使用者现状建立措施、处理流程及演练机制。为重独制定专项预案，定期演练，确保预有效性，及时总结演练中发现问题，不断完善应急预案，形成长效的应急处理机制。对于响应工作中发现的安全问题，应跟进、反复验证，将详细处置办法及过程以应急响应报告的形式进行保存，逐步建立网络安全事件处置。5.4.5 信息安全信息安全是一要长期开展的工作，它不仅涉及技术而且到人员，信息系统运营使用者应关注员意识，将信息安全意识培训加入年度培训计划，宣传的法律法事件案例分析、内部安全制度等。对象不仅包括内部员工还应包括相关第三方用户和商。

..12

.

.

DB11/T

—AA附

录 A（规范性附录）表

A.1

13

.DB11/T

—表表A.1

网络安全事件上报表（续）

.14.DB11/T

—

BB附

录

B（规范性附录）表

B.1

方网络安全事件分析表

..

.. eq

\o\ac(□,蠕虫)eq

\o\ac(□,

)

eq

\o\ac(□,混合) eq

\o\ac(□,网) eq

\o\ac(□,其)

eq

\o\ac(□,qq)

eq

\o\ac(□,网络) eq

\o\ac(□,干扰)

eq

\o\ac(□,后)

eq

\o\ac(□,信息) eq

\o\ac(□,信息)eq

\o\ac(□,事件) eq

\o\ac(□,信)eq

\o\ac(□,

) eq

\o\ac(□,其) eq

\o\ac(□,服务) eq

\o\ac(□,数据) eq

\o\ac(□,网络) eq

\o\ac(□,安全) eq

\o\ac(□,其) eq

\o\ac(□,操) eq

\o\ac(□,其)

eq

\o\ac(□,电)eq

\o\ac(□,盗)

eq

\o\ac(□,雷)

eq

\o\ac(□,失)

eq

\o\ac(□,漏)

静

eq

\o\ac(□,电)

eq

\o\ac(□,电力)

eq

\o\ac(□,电)

eq

\o\ac(□,其)eq

\o\ac(□,网络)

eq

\o\ac(□,IP)

eq

\o\ac(□,病)

eq

\o\ac(□,其)eq

\o\ac(□,账号)

eq

\o\ac(□,缺)eq

\o\ac(□,理)

eq

\o\ac(□,便)

eq

\o\ac(□,其)15

DB11/T

—表

B.1

方网络安全事件分析表（续）

.

.

16

、市、

、市、

..

、市、

DB11/T

—附

录 （规范性附录）表

.1

表17