DB11∕T 1654-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全事 件應(yīng)急處置規(guī)范

備案號(hào)：62698-2019DB11北京市市場(chǎng)監(jiān)督管理局發(fā)布 周堃、菅強(qiáng)、張昕、宋揚(yáng)、金鎂、張紅、石浩、俞詩(shī)源、楊虎、王信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范通過(guò)采取斷網(wǎng)或者停止服務(wù)等手段控制事態(tài)發(fā)展，防止生的網(wǎng)絡(luò)安全事件分等級(jí)響應(yīng)、處置。下文所述的系統(tǒng)級(jí)別均為信息安全等級(jí)保網(wǎng)絡(luò)攻擊事件、信息破壞事件和物理破壞事件擊事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害d)物理破壞事件是指蓄意地對(duì)保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí)施竊取、使用非技術(shù)手段無(wú)意的造成信息系統(tǒng)設(shè)備設(shè)施損壞的網(wǎng)絡(luò)安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障和其它設(shè)備設(shè)施故障等災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的網(wǎng)絡(luò)安全事件。災(zāi)害性事件包括符合下列情形之一且未達(dá)到I級(jí)的，為Ⅱ級(jí)網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件:a)等級(jí)保護(hù)2級(jí)信息系統(tǒng)，發(fā)生系統(tǒng)中斷運(yùn)行或出現(xiàn)嚴(yán)重泄露，造成較嚴(yán)重影響。發(fā)生I級(jí)網(wǎng)絡(luò)安全事件后，事發(fā)單位、監(jiān)管部門(mén)、行業(yè)主管、技術(shù)支持單位、公安機(jī)關(guān)應(yīng)按照?qǐng)D1行業(yè)主管、事發(fā)單位以及技術(shù)支持單位等共同組成。由監(jiān)管部門(mén)統(tǒng)一指揮安c)行業(yè)主管負(fù)責(zé)協(xié)助監(jiān)管部門(mén)組建處置小組并指導(dǎo)事發(fā)單三方網(wǎng)絡(luò)安全事件分析表》（見(jiàn)附錄B中表B.1）；持續(xù)監(jiān)測(cè)系統(tǒng)及網(wǎng)絡(luò)狀態(tài)，記錄異常流量的遠(yuǎn)程IP、域名和端口，分析原因。事件c)發(fā)生信息內(nèi)容安全類(lèi)事件時(shí)，信息系統(tǒng)被篡改、假冒,造成嚴(yán)重社會(huì)影響。記錄、視頻監(jiān)控信息，在系統(tǒng)恢復(fù)后通過(guò)該記錄信息查找可疑合同、授權(quán)書(shū)及人員保密協(xié)調(diào)，以確保實(shí)施內(nèi)容發(fā)生Ⅱ級(jí)網(wǎng)絡(luò)安全事件后，事發(fā)單位、監(jiān)管部門(mén)、行業(yè)主管、技術(shù)支持單位、公安機(jī)關(guān)應(yīng)按a)事發(fā)單位立即開(kāi)展應(yīng)急處置工作，同時(shí)，上報(bào)監(jiān)管部門(mén)、行業(yè)主管b)監(jiān)管部門(mén)根據(jù)實(shí)際情況指導(dǎo)指導(dǎo)事發(fā)單位進(jìn)行事件的持續(xù)監(jiān)測(cè)系統(tǒng)及網(wǎng)絡(luò)狀態(tài)，記錄異常流量的遠(yuǎn)程IP、域名和端口，分析原因。事件處置人員須保存數(shù)據(jù)信息、保存日志、源代碼等文件，用于技術(shù)分析及記錄、視頻監(jiān)控信息，在系統(tǒng)恢復(fù)后通過(guò)該記錄信息查找可疑方單位，須簽署合同、授權(quán)書(shū)及人員保密協(xié)調(diào)，以確保實(shí)施內(nèi)容及發(fā)生Ⅲ級(jí)網(wǎng)絡(luò)安全事件后，事發(fā)單位、行業(yè)主管、技術(shù)支持單位、公安機(jī)關(guān)應(yīng)按照?qǐng)D3所示c)事發(fā)單位根據(jù)情況向公安機(jī)關(guān)報(bào)案并協(xié)助公安且持續(xù)造成破壞，應(yīng)立即斷開(kāi)網(wǎng)絡(luò)，關(guān)閉被破壞系統(tǒng)，保護(hù)現(xiàn)場(chǎng)，聯(lián)系公安機(jī)關(guān)做進(jìn)一同時(shí)，檢查日志的保存周期，確保日志保存時(shí)間6個(gè)月以上；c)保留被破壞系統(tǒng)的數(shù)據(jù)、文件、拍照、截圖、源代碼等g)操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)的管理員賬號(hào)口令重置，檢測(cè)用h)結(jié)束可疑的系統(tǒng)進(jìn)程，并刪除對(duì)應(yīng)的m)備品備件與冗余線(xiàn)路、電路的檢查與維護(hù)，可隨時(shí)根據(jù)需要替n)門(mén)禁系統(tǒng)與視頻監(jiān)控系統(tǒng)的檢查，確保功能的可用，用于o)檢測(cè)審計(jì)系統(tǒng)的工作情況，確保相關(guān)審計(jì)功能開(kāi)啟、審p)檢測(cè)數(shù)據(jù)通信安全的有效性，確認(rèn)數(shù)據(jù)傳輸經(jīng)過(guò)加密且保證行取證調(diào)查，通過(guò)截圖、拍照、備份等方式收集被攻擊證據(jù)，e)系統(tǒng)硬件（主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全f)系統(tǒng)軟件（操作系統(tǒng)）、應(yīng)用軟件（數(shù)據(jù)庫(kù)、）；來(lái)論證事件產(chǎn)生的原因，回溯事件發(fā)生的過(guò)程。網(wǎng)絡(luò)安全事件成因分析應(yīng)采取的方法包含a)了解事件破壞方法、破壞類(lèi)型、破壞者或惡意程序的標(biāo)識(shí)和特征；對(duì)異b)明確破壞所跨越網(wǎng)絡(luò)路徑，涉及網(wǎng)絡(luò)區(qū)域（外網(wǎng)、內(nèi)網(wǎng)、）；事發(fā)系統(tǒng)相關(guān)證據(jù)，為后續(xù)案件偵辦或責(zé)任調(diào)查提b)II級(jí)事件發(fā)生后，管轄公安機(jī)關(guān)信息安全管理部門(mén)應(yīng)指派相關(guān)工作人員前往事發(fā)單位場(chǎng)證據(jù)進(jìn)行固定，為后續(xù)案件偵辦或責(zé)任調(diào)查提公安機(jī)關(guān)對(duì)事件的發(fā)生原因和各單位存在的責(zé)任進(jìn)行調(diào)查。調(diào)查）；安全事件進(jìn)行深入分析，提供解決對(duì)策預(yù)防此類(lèi)事件的再次安全運(yùn)維機(jī)制重點(diǎn)關(guān)注信息系統(tǒng)在運(yùn)行過(guò)程中的安全性是否符合信息系統(tǒng)運(yùn)營(yíng)使用者及其行業(yè)主應(yīng)急策略制定與演練等工作，將安全技術(shù)和安全管理統(tǒng)一，形成全面的、無(wú)縫的、持續(xù)改進(jìn)標(biāo)準(zhǔn)，購(gòu)置和儲(chǔ)備應(yīng)急所需的物資，制作應(yīng)急物資清單表。對(duì)應(yīng)急裝備和物資進(jìn)行定期檢查、維護(hù)與表。制定應(yīng)急物資和裝備的年度采購(gòu)計(jì)劃，并納入信息系統(tǒng)運(yùn)營(yíng)使用者的年度總預(yù)算，切實(shí)保證應(yīng)急結(jié)合信息系統(tǒng)運(yùn)營(yíng)使用者現(xiàn)狀建立處置措施、處練中發(fā)現(xiàn)問(wèn)題，不斷完善應(yīng)急預(yù)案，形成長(zhǎng)效的應(yīng)急事件案例分析、內(nèi)部安全制度等。培訓(xùn)對(duì)象不僅包括內(nèi)部員工還應(yīng)包括相關(guān)第三方用戶(hù)和服安全攻擊設(shè)備設(shè)施故障信息安全風(fēng)險(xiǎn)級(jí)見(jiàn)安全攻擊設(shè)備設(shè)施故障信息安全風(fēng)險(xiǎn)勢(shì)位擊□是他事件處置判定事件類(lèi)型他事件處置□系統(tǒng)硬件設(shè)備及其配置參數(shù)清單(□主機(jī)設(shè)備□網(wǎng)絡(luò)設(shè)備□安全設(shè)備□賬號(hào)權(quán)限（角色、組、用戶(hù)等）分配列表(□網(wǎng)絡(luò)□操作系統(tǒng)□數(shù)據(jù)