DB11∕T 1654-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全事 件應(yīng)急處置規(guī)范

1、 ICS 35.040L 80DB11備案號：62698-2019北 京 市 地 方 標(biāo) 準(zhǔn)DB11/T 16542019信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范Information security technologyNetwork security incidents emergency disposal regulations2019-09-26發(fā)布2020-01-01實(shí)施 DB11/T 16542019目次前言. II1范圍. 12規(guī)范性引用文件. 13術(shù)語和定義. 14網(wǎng)絡(luò)安全事件分類與分級. 25網(wǎng)絡(luò)安全事件調(diào)查處置. 36日常防范和應(yīng)急工作準(zhǔn)備. 11附錄A（規(guī)范性附錄）網(wǎng)絡(luò)安全

2、事件上報表 . 13附錄B（規(guī)范性附錄）第三方網(wǎng)絡(luò)安全事件分析表 . 15附錄C（規(guī)范性附錄）網(wǎng)絡(luò)安全事件備案表 . 17附錄D（規(guī)范性附錄）網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表 . 19附錄E（規(guī)范性附錄）網(wǎng)絡(luò)安全事件處置工作報告 . 22附錄F（規(guī)范性附錄）信息系統(tǒng)資產(chǎn)名單 . 23參考文獻(xiàn). 25I DB11/T 16542019前言本標(biāo)準(zhǔn)按照GB/T 1.12009提出的規(guī)則起草編寫。II DB11/T 16542019信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范1范圍本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全事件的網(wǎng)絡(luò)安全事件分類與分級、調(diào)查處置、日常監(jiān)測和應(yīng)急工作準(zhǔn)備。本標(biāo)準(zhǔn)適用于非涉及國家秘密的信息系統(tǒng)運(yùn)營使用者、行業(yè)主管

3、部門、監(jiān)管部門以及網(wǎng)絡(luò)安全事件應(yīng)急支撐隊伍使用。本標(biāo)準(zhǔn)不適用于涉及國家秘密的信息系統(tǒng)的安全事件調(diào)查處置。2術(shù)語和定義下列術(shù)語和定義適用于本規(guī)范。2.1信息系統(tǒng) information system由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。2.2網(wǎng)絡(luò)安全事件 Network security incident由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶?fù)面影響的事件。如計算機(jī)病毒、特洛伊木馬、拒絕服務(wù)攻擊、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽攻擊等事件。2.3應(yīng)急處置 emerg

4、ency disposal通過采取斷網(wǎng)或者停止服務(wù)等手段控制事態(tài)發(fā)展，防止事件蔓延。2.4信息安全等級保護(hù) classified protection of information system security指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的網(wǎng)絡(luò)安全事件分等級響應(yīng)、處置。下文所述的系統(tǒng)級別均為信息安全等級保護(hù)級別。3網(wǎng)絡(luò)安全事件分類與分級3.1事件分類3.1.1安全風(fēng)險1 DB11/T 16542019指因信息系統(tǒng)存在缺陷和風(fēng)險，系統(tǒng)面臨發(fā)生安全

5、事故的事件。信息安全風(fēng)險可以分為安全管理制度的制定或執(zhí)行上存在的缺陷；系統(tǒng)在設(shè)計和建設(shè)時遺留下來的安全風(fēng)險；系統(tǒng)硬件設(shè)施存在安全風(fēng)險，說明如下：a)安全管理制度的制定或執(zhí)行上存在的缺陷。如未定期進(jìn)行應(yīng)急演練或未定期更新完善應(yīng)急預(yù)案等情況造成的安全風(fēng)險；b)系統(tǒng)在設(shè)計和建設(shè)時遺留下來的安全風(fēng)險。如帶寬設(shè)計不足、系統(tǒng)存在漏洞等方面帶來的安全風(fēng)險；c)系統(tǒng)硬件設(shè)施存在安全風(fēng)險，如部件老化或自帶有可被攻擊利用的功能模塊等各種形式的硬件設(shè)施安全風(fēng)險。3.1.2安全攻擊事件指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的缺陷或使用暴力攻擊對信息系統(tǒng)實(shí)施攻擊，或人為使用非技術(shù)手段對信息系統(tǒng)進(jìn)行破壞，而造成信息系統(tǒng)異

6、常的事件。安全攻擊事件可以分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件和物理破壞事件等，說明如下：a)有害程序事件包括計算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件；b)網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件；c)信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件；d)物理破壞事件是指蓄意地對保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí)施竊取、破壞造成的網(wǎng)絡(luò)安全事件。3.1.3設(shè)備設(shè)施故障設(shè)備設(shè)施故障是指

7、由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)安全事件，以及人為的使用非技術(shù)手段無意的造成信息系統(tǒng)設(shè)備設(shè)施損壞的網(wǎng)絡(luò)安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障和其它設(shè)備設(shè)施故障等3個子類，說明如下：a)軟硬件自身故障：是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計缺陷或者軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致的網(wǎng)絡(luò)安全事件；b)外圍保障設(shè)施故障：是指由于保障信息系統(tǒng)正常運(yùn)行所必須的外部設(shè)施自身出現(xiàn)故障而導(dǎo)致的網(wǎng)絡(luò)安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的網(wǎng)絡(luò)安全事件；c)其它設(shè)備設(shè)施故障：是指不能被包含在以上2個子類之中的設(shè)備設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)安全事件。3.1.4災(zāi)害性事件災(zāi)害

8、性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的網(wǎng)絡(luò)安全事件。災(zāi)害性事件包括水災(zāi)、臺風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等導(dǎo)致的網(wǎng)絡(luò)安全事件。3.1.5其他不屬于以上四類的網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件。3.2事件分級3.2.1級2 DB11/T 16542019符合下列情形之一的，為I級網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件:a)等級保護(hù)3級（含）以上信息系統(tǒng)，發(fā)生系統(tǒng)中斷運(yùn)行或出現(xiàn)嚴(yán)重信息泄露，造成嚴(yán)重影響。b)等級保護(hù)3級（含）以上信息系統(tǒng)，發(fā)生數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成嚴(yán)重威脅，或?qū)е聡?yán)重經(jīng)濟(jì)損失。c)其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的網(wǎng)絡(luò)與

9、網(wǎng)絡(luò)安全事件。3.2.2級符合下列情形之一且未達(dá)到I級的，為級網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件:a)等級保護(hù)2級信息系統(tǒng)，發(fā)生系統(tǒng)中斷運(yùn)行或出現(xiàn)嚴(yán)重泄露，造成較嚴(yán)重影響。b)等級保護(hù)2級信息系統(tǒng)，發(fā)生數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社穩(wěn)定構(gòu)成威脅，或?qū)е螺^嚴(yán)重經(jīng)濟(jì)損失。c)其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影響的網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件。3.2.3級除上述情形外的其它網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件為一般事件。4網(wǎng)絡(luò)安全事件調(diào)查處置4.1事件發(fā)現(xiàn)及處置4.1.1分級處置 I級網(wǎng)絡(luò)安全事件處置發(fā)生I級網(wǎng)絡(luò)安全事件后，事發(fā)單位、監(jiān)管部門、行業(yè)主管、技術(shù)支持單位、公安機(jī)關(guān)應(yīng)按照圖1所示的

10、級網(wǎng)絡(luò)安全事件處置流程分別開展工作。3 DB11/T 16542019圖1級網(wǎng)絡(luò)安全事件處置流程4 DB11/T 16542019.1網(wǎng)絡(luò)安全事件處置由于級事件對應(yīng)信息系統(tǒng)等級較高，涉及范圍更廣，網(wǎng)絡(luò)安全事件處置小組需確保足夠的資源及技術(shù)能力，以應(yīng)對可能存在的各項(xiàng)工作，包括值班、出差、技術(shù)分析、系統(tǒng)加固、系統(tǒng)驗(yàn)證等方面的工作。a)事發(fā)單位首先開展應(yīng)急處置工作，同時填報網(wǎng)絡(luò)安全事件上報表(見附錄A中表A.1)，將安全事件上報監(jiān)管部門、行業(yè)主管并向公安機(jī)關(guān)報案。b)監(jiān)管部門收到I級安全事件報告后，牽頭組建網(wǎng)絡(luò)安全事件處置小組，由監(jiān)管部門、公安機(jī)關(guān)、行業(yè)主管、事發(fā)單位以及技術(shù)支持單位等共同組成。由監(jiān)

11、管部門統(tǒng)一指揮安全事件處置；c)行業(yè)主管負(fù)責(zé)協(xié)助監(jiān)管部門組建處置小組并指導(dǎo)事發(fā)單位開展事件緊急處置工作；d)事發(fā)單位負(fù)責(zé)在處置小組的指導(dǎo)下開展處置工作的實(shí)施，協(xié)助公安機(jī)關(guān)取證、調(diào)查，并填報第三方網(wǎng)絡(luò)安全事件分析表（見附錄B中表B.1）；e)技術(shù)支持單位負(fù)責(zé)在處置小組指導(dǎo)下提供技術(shù)支持，提出處置方案，并分析事件成因，提出防范方案；f)公安機(jī)關(guān)負(fù)責(zé)取證、調(diào)查以及立案的工作，并填寫網(wǎng)絡(luò)安全事件備案表（見附錄 C中表C.1）。.2判斷網(wǎng)絡(luò)安全事件類型并進(jìn)行應(yīng)急處置被攻擊信息系統(tǒng)具備完善的應(yīng)急處理機(jī)制的，信息系統(tǒng)運(yùn)營使用者可結(jié)合網(wǎng)絡(luò)安全事件具體情況，依據(jù)信息系統(tǒng)運(yùn)營使用者及其行業(yè)主管部門制定的信息安全應(yīng)

12、急響應(yīng)措施、策略及流程，開展應(yīng)急處置工作，并填報網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表（附錄D中表D.1）級事件對應(yīng)的信息系統(tǒng)均符合等級保護(hù)三級以上要求，具備如雙機(jī)雙線、異地存儲等措施，可以快速恢復(fù)系統(tǒng)功能，但過程中要注意保存相關(guān)證據(jù)，便于公安機(jī)關(guān)立案調(diào)查。被攻擊信息系統(tǒng)的應(yīng)急處理機(jī)制缺失的，可參考以下內(nèi)容進(jìn)行應(yīng)急處置，并填報網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表，具體要求如下：a)發(fā)生安全攻擊類事件時，如果確認(rèn)重要數(shù)據(jù)被竊取且事件還在持續(xù)發(fā)生，在確定被竊取系統(tǒng)的范圍后，將被破壞系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或暫時關(guān)閉被破壞系統(tǒng)，必要時應(yīng)立即切斷網(wǎng)絡(luò)，防止數(shù)據(jù)進(jìn)一步損失，保護(hù)數(shù)據(jù)安全；b)發(fā)生安全攻擊類事件時，如果信息系統(tǒng)被

13、持續(xù)攻擊，造成系統(tǒng)無法正常運(yùn)行。須通過技術(shù)手段持續(xù)監(jiān)測系統(tǒng)及網(wǎng)絡(luò)狀態(tài)，記錄異常流量的遠(yuǎn)程 IP、域名和端口，分析原因。事件處置人員須及時保護(hù)現(xiàn)場，配合公安機(jī)關(guān)現(xiàn)場調(diào)查與取證；c)發(fā)生信息內(nèi)容安全類事件時，信息系統(tǒng)被篡改、假冒,造成嚴(yán)重社會影響。信息系統(tǒng)運(yùn)營使用者須完整保存被篡改的網(wǎng)站系統(tǒng)，避免重要線索數(shù)據(jù)丟失。然后，采取技術(shù)手段立即刪除惡意信息，停止信息的傳播。事件處置人員須保存數(shù)據(jù)信息、保存日志、源代碼等文件，用于技術(shù)分析及取證調(diào)查；d)發(fā)生設(shè)備設(shè)施故障類安全事件時，基礎(chǔ)設(shè)施被破壞導(dǎo)致網(wǎng)絡(luò)鏈路斷開、設(shè)備損壞、電力故障、物品丟失被盜等事件。須立即啟用備用設(shè)備、冗余鏈路、冗余電力。同時，保存門禁

14、系統(tǒng)出入記錄、視頻監(jiān)控信息，在系統(tǒng)恢復(fù)后通過該記錄信息查找可疑人員。.3制定處置方案并實(shí)施安全事件得到控制后，網(wǎng)絡(luò)安全事件處置小組充分評估被破壞系統(tǒng)的影響范圍、影響程度，上報有關(guān)部門，通報有關(guān)單位，做好溝通協(xié)調(diào)工作。同時，調(diào)動一切資源及時設(shè)計處置方案。網(wǎng)絡(luò)安全事件處5 DB11/T 16542019置小組須組織專家團(tuán)隊，對方案進(jìn)行論證與評審后，方可實(shí)施。如果實(shí)施工作涉及第三方單位，須簽署合同、授權(quán)書及人員保密協(xié)調(diào)，以確保實(shí)施內(nèi)容及質(zhì)量可控。級網(wǎng)絡(luò)安全事件處置發(fā)生級網(wǎng)絡(luò)安全事件后，事發(fā)單位、監(jiān)管部門、行業(yè)主管、技術(shù)支持單位、公安機(jī)關(guān)應(yīng)按照圖2所示的級網(wǎng)絡(luò)安全事件處置流程分別開展工作。圖2級網(wǎng)絡(luò)安

15、全事件處置流程.1網(wǎng)絡(luò)安全事件處置發(fā)生級網(wǎng)絡(luò)安全事件后，開展以下工作：6 DB11/T 16542019a)事發(fā)單位立即開展應(yīng)急處置工作，同時，上報監(jiān)管部門、行業(yè)主管并向公安機(jī)關(guān)報案；b)監(jiān)管部門根據(jù)實(shí)際情況指導(dǎo)指導(dǎo)事發(fā)單位進(jìn)行事件的處置工作；c)行業(yè)主管應(yīng)協(xié)助事發(fā)單位共同開展安全事件的處置工作；d)事發(fā)單位應(yīng)積極協(xié)助公安機(jī)關(guān)進(jìn)行立案、取證、調(diào)查等工作；e)技術(shù)支持單位負(fù)責(zé)技術(shù)支持工作；f)公安機(jī)關(guān)負(fù)責(zé)取證、調(diào)查以及立案的工作。.2判斷網(wǎng)絡(luò)安全事件類型并進(jìn)行應(yīng)急處置被攻擊信息系統(tǒng)具備完善的應(yīng)急處理機(jī)制的，信息系統(tǒng)運(yùn)營使用者可結(jié)合網(wǎng)絡(luò)安全事件具體情況，依據(jù)信息系統(tǒng)運(yùn)營使用者及其行業(yè)主管部門制定的

16、信息安全應(yīng)急響應(yīng)措施、策略及流程，開展應(yīng)急處置工作，并填報網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表。過程中要注意保存相關(guān)證據(jù)，便于公安機(jī)關(guān)立案調(diào)查。具體要求如下：a)發(fā)生安全攻擊類事件時，如果確認(rèn)重要數(shù)據(jù)被竊取且事件還在持續(xù)發(fā)生，在確定被竊取系統(tǒng)的范圍后，將被破壞系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或暫時關(guān)閉被破壞系統(tǒng)，必要時應(yīng)立即切斷網(wǎng)絡(luò)，防止數(shù)據(jù)進(jìn)一步損失，保護(hù)數(shù)據(jù)安全；b)發(fā)生安全攻擊類事件時，如果信息系統(tǒng)被持續(xù)攻擊，造成系統(tǒng)無法正常運(yùn)行。須通過技術(shù)手段持續(xù)監(jiān)測系統(tǒng)及網(wǎng)絡(luò)狀態(tài)，記錄異常流量的遠(yuǎn)程 IP、域名和端口，分析原因。事件處置人員須及時保護(hù)現(xiàn)場，配合公安機(jī)關(guān)現(xiàn)場調(diào)查和取證；c)發(fā)生信息內(nèi)容安全類事件時，信

17、息系統(tǒng)被篡改、假冒,（如:國家機(jī)關(guān)門戶網(wǎng)站被篡改）造成嚴(yán)重社會影響。信息系統(tǒng)運(yùn)營使用者須采取技術(shù)手段立即刪除惡意信息，停止信息的傳播。事件處置人員須保存數(shù)據(jù)信息、保存日志、源代碼等文件，用于技術(shù)分析及取證調(diào)查；d)發(fā)生設(shè)備設(shè)施故障類安全事件時，基礎(chǔ)設(shè)施被破壞導(dǎo)致網(wǎng)絡(luò)鏈路斷開、設(shè)備損壞、電力故障、物品丟失被盜等事件。須立即啟用備用設(shè)備、冗余鏈路、冗余電力。同時，保存門禁系統(tǒng)出入記錄、視頻監(jiān)控信息，在系統(tǒng)恢復(fù)后通過該記錄信息查找可疑人員。.3制定處置方案并實(shí)施安全事件得到控制后，網(wǎng)絡(luò)安全事件處置小組充分評估被破壞系統(tǒng)的影響范圍、影響程度，上報有關(guān)部門，通報有關(guān)單位，做好溝通協(xié)調(diào)工作。同時，進(jìn)行處置

18、方案設(shè)計并實(shí)施。如果實(shí)施工作涉及第三方單位，須簽署合同、授權(quán)書及人員保密協(xié)調(diào)，以確保實(shí)施內(nèi)容及質(zhì)量可控。級網(wǎng)絡(luò)安全事件處置發(fā)生級網(wǎng)絡(luò)安全事件后，事發(fā)單位、行業(yè)主管、技術(shù)支持單位、公安機(jī)關(guān)應(yīng)按照圖3所示的級網(wǎng)絡(luò)安全事件處置流程分別開展工作。7 DB11/T 16542019圖3級網(wǎng)絡(luò)安全事件處置流程.1網(wǎng)絡(luò)安全事件處置發(fā)生級網(wǎng)絡(luò)安全事件后，開展以下工作：8 DB11/T 16542019a)事發(fā)單位應(yīng)立即開展應(yīng)急處置工作，并根據(jù)情況上報行業(yè)主管、協(xié)調(diào)技術(shù)支持單位制定處置方案；b)行業(yè)主管指導(dǎo)事發(fā)單位對安全事件進(jìn)行處置；c)事發(fā)單位根據(jù)情況向公安機(jī)關(guān)報案并協(xié)助公安機(jī)關(guān)進(jìn)行取證、調(diào)查工作；d)公安機(jī)

19、關(guān)負(fù)責(zé)取證、調(diào)查以及立案的工作。.2判斷網(wǎng)絡(luò)安全事件類型并進(jìn)行應(yīng)急處置網(wǎng)絡(luò)安全事件處置小組須及時檢查信息系統(tǒng)情況，確認(rèn)信息安全問題。如果發(fā)現(xiàn)該問題涉及范圍廣且持續(xù)造成破壞，應(yīng)立即斷開網(wǎng)絡(luò)，關(guān)閉被破壞系統(tǒng)，保護(hù)現(xiàn)場，聯(lián)系公安機(jī)關(guān)做進(jìn)一步處理。4.1.2技術(shù)措施網(wǎng)絡(luò)安全事件處置技術(shù)措施包括以下內(nèi)容，應(yīng)根據(jù)實(shí)際情況采取最有效的控制措施加以實(shí)施：a)備份系統(tǒng)日志、應(yīng)用日志、數(shù)據(jù)庫日志、審計日志、網(wǎng)絡(luò)及安全設(shè)備日志，用于分析和溯源。同時，檢查日志的保存周期，確保日志保存時間6個月以上；b)保存系統(tǒng)運(yùn)行狀態(tài)，包括帳戶登錄記錄、網(wǎng)絡(luò)連接狀態(tài)、文件訪問狀態(tài)、進(jìn)程運(yùn)行狀態(tài)等易失數(shù)據(jù)，以上數(shù)據(jù)可能包含系統(tǒng)被攻擊后

20、的關(guān)鍵信息；c)保留被破壞系統(tǒng)的數(shù)據(jù)、文件、拍照、截圖、源代碼等，用于分析、溯源及取證；d)檢測被破壞系統(tǒng)的源代碼，分析代碼的安全性；e)使用專用工具檢測操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的安全性，發(fā)現(xiàn)木馬、后門等惡意文件，及時刪除；f)檢測網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全配置情況，包括管理員賬號權(quán)限與口令、配置策略、日志、訪問記錄等；g)操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的管理員賬號口令重置，檢測用戶配置策略是否正常；h)結(jié)束可疑的系統(tǒng)進(jìn)程，并刪除對應(yīng)的進(jìn)程文件及目錄；i)檢測應(yīng)用系統(tǒng)對通過人接口或通信接口輸入數(shù)據(jù)的驗(yàn)證措施是否有效；j)操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全補(bǔ)丁更新情況及漏洞掃描檢測情況；k)對

21、被破壞的WEB系統(tǒng)開啟7X24小時安全檢測；l)檢測異常端口與流量，關(guān)閉無關(guān)端口，監(jiān)聽異常流量；m)備品備件與冗余線路、電路的檢查與維護(hù)，可隨時根據(jù)需要替換上線；n)門禁系統(tǒng)與視頻監(jiān)控系統(tǒng)的檢查，確保功能的可用，用于隨時調(diào)用和查看；o)檢測審計系統(tǒng)的工作情況，確保相關(guān)審計功能開啟、審計內(nèi)容和記錄保存完整；p)檢測數(shù)據(jù)通信安全的有效性，確認(rèn)數(shù)據(jù)傳輸經(jīng)過加密且保證數(shù)據(jù)完整性；q)其他可發(fā)現(xiàn)系統(tǒng)隱患或漏洞的技術(shù)措施。4.1.3證據(jù)留存通過查看被攻擊系統(tǒng)的硬件、軟件配置參數(shù)、審計記錄，以及從安全管理制度和人員狀況等方面進(jìn)行取證調(diào)查，通過截圖、拍照、備份等方式收集被攻擊證據(jù)，應(yīng)包含以下方面：a)查找信息

22、系統(tǒng)異?，F(xiàn)象并對異?，F(xiàn)象進(jìn)行拍照或截圖；b)留存當(dāng)前信息系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D；c)系統(tǒng)運(yùn)行狀態(tài)證據(jù)留存；d)在保存各文件的同時，保存各文件的哈希校驗(yàn)值；e)系統(tǒng)硬件（主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備）設(shè)備及其配置參數(shù)清單；f)系統(tǒng)軟件（操作系統(tǒng)）、應(yīng)用軟件（數(shù)據(jù)庫、中間件）的配置參數(shù)清單；9 DB11/T 16542019g)應(yīng)用程序文件列表及源代碼；h)系統(tǒng)運(yùn)維記錄、系統(tǒng)審計日志（網(wǎng)絡(luò)日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、中間件日志、應(yīng)用程序操作日志等）；i)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用程序操作等賬號權(quán)限（角色、組、用戶等）的分配列表；j)其他應(yīng)留存的相關(guān)證據(jù)。4.1.4成因分析在網(wǎng)絡(luò)安全事件發(fā)生后

23、，應(yīng)確定被破壞系統(tǒng)的范圍。通過對證據(jù)的匯總和歸納、現(xiàn)象的推演和還原來論證事件產(chǎn)生的原因，回溯事件發(fā)生的過程。網(wǎng)絡(luò)安全事件成因分析應(yīng)采取的方法包含以下方面：a)了解事件破壞方法、破壞類型、破壞者或惡意程序的標(biāo)識和特征；對異常文件進(jìn)行備份；b)明確破壞所跨越網(wǎng)絡(luò)路徑，涉及網(wǎng)絡(luò)區(qū)域（外網(wǎng)、內(nèi)網(wǎng)、子網(wǎng)、骨干網(wǎng)）；c)破壞者取得何種權(quán)限（破壞是否已取得超級用戶特權(quán)）；d)存的證據(jù)進(jìn)行合理的匯總和歸納。4.2事件調(diào)查4.2.1立案調(diào)查對于網(wǎng)絡(luò)安全事件造成的影響構(gòu)成刑事案件，符合立案條件的，應(yīng)由公安機(jī)關(guān)案件部門負(fù)責(zé)對信息安全案件進(jìn)行案件調(diào)查工作。4.2.2現(xiàn)場調(diào)查對于網(wǎng)絡(luò)安全事件造成的影響尚不構(gòu)成刑事案件，

24、不符合立案條件的，管轄公安機(jī)關(guān)應(yīng)按照事件級別開展現(xiàn)場調(diào)查工作。要求如下：a) I級事件發(fā)生后，管轄公安機(jī)關(guān)信息安全管理部門和案件部門應(yīng)共同組建事件處置小組，及時前往事發(fā)單位對相關(guān)事件開展現(xiàn)場調(diào)查工作，采取證據(jù)提取、人員訪談、筆錄制作等方式固定事發(fā)系統(tǒng)相關(guān)證據(jù)，為后續(xù)案件偵辦或責(zé)任調(diào)查提供證據(jù)；b) II級事件發(fā)生后，管轄公安機(jī)關(guān)信息安全管理部門應(yīng)指派相關(guān)工作人員前往事發(fā)單位，對現(xiàn)場證據(jù)進(jìn)行固定，為后續(xù)案件偵辦或責(zé)任調(diào)查提供證據(jù)；c) III級事件發(fā)生后，管轄公安機(jī)關(guān)信息安全管理部門應(yīng)指導(dǎo)事發(fā)單位對現(xiàn)場證據(jù)進(jìn)行固定，為后續(xù)案件偵辦或責(zé)任調(diào)查提供證據(jù)。4.2.3責(zé)任調(diào)查公安機(jī)關(guān)對事件的發(fā)生原因和各

25、單位存在的責(zé)任進(jìn)行調(diào)查。調(diào)查的內(nèi)容包含以下方面：a)信息系統(tǒng)異常狀態(tài)的截圖或照片；b)事發(fā)信息系統(tǒng)的軟/硬件設(shè)備及其原始數(shù)據(jù)；c)系統(tǒng)運(yùn)維記錄、系統(tǒng)審計日志（網(wǎng)絡(luò)日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、中間件日志、應(yīng)用程序操作日志等）；d)發(fā)生網(wǎng)絡(luò)安全事件的系統(tǒng)信息安全等級保護(hù)定級和備案工作開展情況；e)事發(fā)單位對發(fā)生網(wǎng)絡(luò)安全事件的信息系統(tǒng)日常管理情況和安全防護(hù)情況；f)網(wǎng)絡(luò)安全事件的責(zé)任部門存在的過錯或疏忽情況；g)其他導(dǎo)致信息系統(tǒng)發(fā)生安全事件的情況。4.2.4恢復(fù)服務(wù)和系統(tǒng)加固10 DB11/T 16542019網(wǎng)絡(luò)安全事件的恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失，對于不能徹底恢復(fù)配置和清除系統(tǒng)上

26、的惡意文件，或不能肯定系統(tǒng)在根除處理后是否已恢復(fù)正常時，應(yīng)選擇徹底重建系統(tǒng)。系統(tǒng)加固應(yīng)制定相應(yīng)的系統(tǒng)加固方案，針對不同目標(biāo)系統(tǒng)，通過打補(bǔ)丁、修改安全配置、完善系統(tǒng)備份及冗余措施、增加系統(tǒng)帶寬等方法，對系統(tǒng)的安全性進(jìn)行合理的增強(qiáng)，以達(dá)到消除與降低安全風(fēng)險的目的。此外，在進(jìn)行系統(tǒng)加固操作前應(yīng)做好充分的風(fēng)險規(guī)避措施，加固工作應(yīng)有跟蹤記錄，以確保系統(tǒng)的可用性。4.3事件總結(jié)在網(wǎng)絡(luò)安全事件得到基本處置后，事發(fā)單位應(yīng)及時對網(wǎng)絡(luò)安全事件的經(jīng)過、成因、影響及整改情況進(jìn)行總結(jié)并對其所造成的損失進(jìn)行評估，填寫網(wǎng)絡(luò)安全事件處置工作報告（見附錄E），并上報行業(yè)主管部門和監(jiān)管部門；行業(yè)主管部門或監(jiān)管部門應(yīng)根據(jù)事件情況上

27、報市通信保障和信息安全應(yīng)急指揮部或向相關(guān)單位進(jìn)行通報。對技術(shù)難度大、原因不明確的安全事件，專家隊伍可進(jìn)行會商與研判，對網(wǎng)絡(luò)安全事件進(jìn)行深入分析，提供解決對策預(yù)防此類事件的再次發(fā)生。5日常防范和應(yīng)急工作準(zhǔn)備5.1開展信息安全等級保護(hù)工作信息系統(tǒng)運(yùn)營使用者及其行業(yè)主管部門在日常工作中應(yīng)切實(shí)落實(shí)信息系統(tǒng)安全等級保護(hù)制度，建立健全安全運(yùn)維機(jī)制，并填報信息系統(tǒng)資產(chǎn)名單）（見附錄F中表F.1）。5.2建立安全運(yùn)維機(jī)制安全運(yùn)維機(jī)制重點(diǎn)關(guān)注信息系統(tǒng)在運(yùn)行過程中的安全性是否符合信息系統(tǒng)運(yùn)營使用者及其行業(yè)主管部門制定的安全策略和要求。在功能性的運(yùn)維機(jī)制中，加入信息安全要素，如：安全巡檢、風(fēng)險評估、應(yīng)急策略制定與演

28、練等工作，將安全技術(shù)和安全管理統(tǒng)一，形成全面的、無縫的、持續(xù)改進(jìn)的整體。5.3開展信息系統(tǒng)安全監(jiān)測工作信息系統(tǒng)的服務(wù)器及數(shù)據(jù)庫保存大量的重要信息，應(yīng)定期開展漏洞掃描、滲透測試、安全加固、代碼安全審計等工作，以檢測結(jié)果為基礎(chǔ)對安全問題進(jìn)行匯總分析，形成整改方案并根據(jù)優(yōu)先級逐步實(shí)施。對于新系統(tǒng)、新功能的上線，在系統(tǒng)驗(yàn)收時應(yīng)充分評估安全風(fēng)險、進(jìn)行安全檢測、做好上線前的突發(fā)應(yīng)急處置措施，確保系統(tǒng)上線后安全運(yùn)行。5.4建立應(yīng)急響應(yīng)機(jī)制5.4.1應(yīng)急隊伍建立網(wǎng)絡(luò)與信息安全應(yīng)急組織，建立網(wǎng)絡(luò)與信息安全專家?guī)?，加?qiáng)技術(shù)交流和技術(shù)培訓(xùn)，提高信息系統(tǒng)運(yùn)營使用者處理突發(fā)網(wǎng)絡(luò)安全事件的能力。5.4.2應(yīng)急物資與裝備根

29、據(jù)潛在突發(fā)事件的性質(zhì)和后果，結(jié)合信息系統(tǒng)運(yùn)營使用者情況，制定應(yīng)急裝備與備品備件的配置標(biāo)準(zhǔn)，購置和儲備應(yīng)急所需的物資，制作應(yīng)急物資清單表。對應(yīng)急裝備和物資進(jìn)行定期檢查、維護(hù)與更新，保證應(yīng)急物資始終處于完好狀態(tài)。加強(qiáng)應(yīng)急備品備件的動態(tài)管理，及時補(bǔ)充和更新應(yīng)急物資清單表。制定應(yīng)急物資和裝備的年度采購計劃，并納入信息系統(tǒng)運(yùn)營使用者的年度總預(yù)算，切實(shí)保證應(yīng)急物資的資金投入,應(yīng)急資源清單須每年更新。11 DB11/T 165420195.4.3通信與信息應(yīng)設(shè)立網(wǎng)絡(luò)與信息安全應(yīng)急 24小時值班電話，并做到電話號碼不變、傳真號碼不變、電子郵件不變。應(yīng)急工作相關(guān)人員的電話、手機(jī)、傳真、電子郵件等聯(lián)系方式應(yīng)及時更

30、新、及時分發(fā)，并保持暢通。5.4.4應(yīng)急響應(yīng)措施及演練結(jié)合信息系統(tǒng)運(yùn)營使用者現(xiàn)狀建立處置措施、處理流程及演練機(jī)制。為重要信息系統(tǒng)單獨(dú)制定專項(xiàng)信息安全應(yīng)急預(yù)案，定期演練，確保應(yīng)急預(yù)案的有效性，及時總結(jié)演練中發(fā)現(xiàn)問題，不斷完善應(yīng)急預(yù)案，形成長效的應(yīng)急處理機(jī)制。對于應(yīng)急響應(yīng)工作中發(fā)現(xiàn)的安全問題，應(yīng)持續(xù)跟進(jìn)、反復(fù)驗(yàn)證，將詳細(xì)處置辦法及過程結(jié)果以應(yīng)急響應(yīng)報告的形式進(jìn)行保存，逐步建立網(wǎng)絡(luò)安全事件處置知識庫。5.4.5信息安全意識信息安全是一項(xiàng)需要長期開展的工作，它不僅涉及技術(shù)而且涉及到人員，信息系統(tǒng)運(yùn)營使用者應(yīng)關(guān)注員工息安全意識，將信息安全意識培訓(xùn)加入年度培訓(xùn)計劃，積極宣傳信息安全有關(guān)的法律法規(guī)、安全事件

31、案例分析、內(nèi)部安全制度等。培訓(xùn)對象不僅包括內(nèi)部員工還應(yīng)包括相關(guān)第三方用戶和服務(wù)商。12 DB11/T 16542019AA附錄 A（規(guī)范性附錄）表A.1網(wǎng)絡(luò)安全事件上報表信息系統(tǒng)運(yùn)營使用單位名稱報告時間報告人通訊地址聯(lián)系電話電子郵件事發(fā)時間信息系統(tǒng)名稱事件描述計算機(jī)病毒事件蠕蟲事件特洛伊木馬事件僵尸網(wǎng)絡(luò)事件混合程序攻擊事件網(wǎng)頁內(nèi)嵌惡意代碼事件其他有害程序安全攻擊拒絕服務(wù)攻擊事件后門攻擊事件漏洞攻擊事件網(wǎng)絡(luò)掃描竊聽事件網(wǎng)絡(luò)釣魚事件 干擾事件其他網(wǎng)絡(luò)攻擊信息破壞信息篡改事件信息假冒事件信息泄露事件信息竊取事件信息丟失事件其他硬件設(shè)備軟件設(shè)備服務(wù)器數(shù)據(jù)庫網(wǎng)絡(luò)設(shè)備安全設(shè)備其他應(yīng)用系統(tǒng)操作系統(tǒng)其他（說明

32、故障點(diǎn)）設(shè)備設(shè)施故障初步判定的事件類型線路盜竊或破壞雷擊失火漏水或返潮靜電溫濕度電力供應(yīng)電磁干擾其他機(jī)房基礎(chǔ)設(shè)施信息安全風(fēng)險網(wǎng)絡(luò)端口被監(jiān)聽IP地址欺騙TCP序號襲擊病毒黑客其他可被網(wǎng)絡(luò)攻擊利用不可被網(wǎng)絡(luò)攻擊利用，但能形成系統(tǒng)故障賬號管理混亂缺乏分級管理FTP存在風(fēng)險便攜性移動設(shè)備控制不嚴(yán)其他造成的影響業(yè)務(wù)中斷系統(tǒng)破壞數(shù)據(jù)丟失其他13 DB11/T 16542019表A.1網(wǎng)絡(luò)安全事件上報表（續(xù)）單臺主機(jī)多臺主機(jī)整個信息系統(tǒng)整個局域網(wǎng)其他影響范圍是（如果是說明發(fā)生時間及被破壞系統(tǒng)的名稱）否之前是否出現(xiàn)過類似情況初步判定的事件等級I級II級III級信息系統(tǒng)資產(chǎn)名單有無網(wǎng)絡(luò)安全事件的發(fā)展趨勢預(yù)案執(zhí)行

33、情況預(yù)案執(zhí)行結(jié)果存在問題和改進(jìn)意見14 DB11/T 16542019BB附錄 B（規(guī)范性附錄）表B.1第三方網(wǎng)絡(luò)安全事件分析表單位名稱聯(lián)系人傳真第三方機(jī)構(gòu)聯(lián)系電話電子郵件單位名稱聯(lián)系人傳真信息系統(tǒng)運(yùn)營使用單位聯(lián)系電話電子郵件事發(fā)時間信息系統(tǒng)名稱事件描述計算機(jī)病毒事件蠕蟲事件特洛伊木馬事件僵尸網(wǎng)絡(luò)事件混合程序攻擊事件網(wǎng)頁內(nèi)嵌惡意代碼事件其他有害程序安全攻擊拒絕服務(wù)攻擊事件后門攻擊事件漏洞攻擊事件網(wǎng)絡(luò)攻擊信息破壞網(wǎng)絡(luò)掃描竊聽事件網(wǎng)絡(luò)釣魚事件其他干擾事件信息篡改事件信息假冒事件信息泄露事件信息竊取事件信息丟失事件其他服務(wù)器數(shù)據(jù)庫網(wǎng)絡(luò)設(shè)備安全設(shè)備其他應(yīng)用系統(tǒng)操作系統(tǒng)其他設(shè)備設(shè)施故障信息安全風(fēng)險硬件設(shè)

34、備軟件設(shè)備初步判定的事件類型線路（說明故障點(diǎn)）盜竊或破壞雷擊失火漏水或返潮靜電溫濕度電力供應(yīng)電磁干擾其他機(jī)房基礎(chǔ)設(shè)施網(wǎng)絡(luò)端口被監(jiān)聽IP地址欺騙TCP序號襲擊病毒黑客其他可被網(wǎng)絡(luò)攻擊利用不可被網(wǎng)絡(luò)攻擊利用，但能形成系統(tǒng)故障賬號管理混亂缺乏分級管理FTP存在風(fēng)險便攜性移動設(shè)備控制不嚴(yán)其他15 DB11/T 16542019表B.1第三方網(wǎng)絡(luò)安全事件分析表（續(xù)）是（如果是說明發(fā)生時間及被破壞系統(tǒng)的名稱）之前是否出現(xiàn)過類似情況否分析網(wǎng)絡(luò)安全事件的發(fā)展趨勢初步判定的事件等級特別重大事件重大事件較大事件一般事件16 DB11/T 16542019CC附錄 C（規(guī)范性附錄）表C.1網(wǎng)絡(luò)安全事件備案表單位名稱

35、通信地址聯(lián)系人省(自治區(qū)、直轄市)地(區(qū)、市、州、盟)(區(qū)、市、旗)縣事件發(fā)現(xiàn)單位聯(lián)系電話傳真電子郵件單位名稱省(自治區(qū)、直轄市)地(區(qū)、市、州、盟)(區(qū)、市、旗)縣通信地址信息系統(tǒng)運(yùn)營使用單位聯(lián)系人傳真聯(lián)系電話電子郵件單位名稱省(自治區(qū)、直轄市)地(區(qū)、市、州、盟)(區(qū)、市、旗)縣通信地址受理備案單位聯(lián)系人傳真聯(lián)系電話電子郵件發(fā)現(xiàn)時間第一類信息系統(tǒng)運(yùn)營使用單位自行發(fā)現(xiàn)公安機(jī)關(guān)通過互聯(lián)網(wǎng)搜索發(fā)現(xiàn)公安機(jī)關(guān)遠(yuǎn)程漏洞掃描手段發(fā)現(xiàn)第二類發(fā)現(xiàn)途徑第三方機(jī)構(gòu)通過匯總、分析相關(guān)監(jiān)測數(shù)據(jù)發(fā)現(xiàn)：第三類國家網(wǎng)絡(luò)與信息安全管理機(jī)構(gòu)測評機(jī)構(gòu)信息安全廠商科研院所其他17 DB11/T 16542019表C.1網(wǎng)絡(luò)安全事

36、件備案表（續(xù)）計算機(jī)病毒事件蠕蟲事件特洛伊木馬事件僵尸網(wǎng)絡(luò)事件混合程序攻擊事件網(wǎng)頁內(nèi)嵌惡意代碼事件其他有害程序網(wǎng)絡(luò)攻擊信息破壞安全攻擊拒絕服務(wù)攻擊事件后門攻擊事件漏洞攻擊事件網(wǎng)絡(luò)掃描竊聽事件網(wǎng)絡(luò)釣魚事件 干擾事件其他信息篡改事件信息假冒事件信息泄露事件信息竊取事件信息丟失事件其他硬件設(shè)備軟件設(shè)備服務(wù)器數(shù)據(jù)庫網(wǎng)絡(luò)設(shè)備安全設(shè)備其他應(yīng)用系統(tǒng)操作系統(tǒng)其他（說明故障點(diǎn)）事件類型設(shè)備設(shè)施故障線路盜竊或破壞雷擊失火漏水或返潮靜電溫濕度電力供應(yīng)電磁干擾其他機(jī)房基礎(chǔ)設(shè)施網(wǎng)絡(luò)端口被監(jiān)聽IP地址欺騙TCP序號襲擊病毒黑客其他可被網(wǎng)絡(luò)攻擊利用信息安全風(fēng)險不可被網(wǎng)絡(luò)攻擊利用，但能形成系統(tǒng)故障賬號管理混亂缺乏分級管理FT

37、P存在風(fēng)險便攜性移動設(shè)備控制不嚴(yán)其他是_（發(fā)生時間及被破壞系統(tǒng)的名稱）否之前是否出現(xiàn)過類似情況18 DB11/T 16542019D附錄 D（規(guī)范性附錄）表D.1網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表單位名稱聯(lián)系人傳真受理備案單位應(yīng)急處置隊伍信息安全專家組聯(lián)系電話電子郵件單位名稱聯(lián)系人傳真聯(lián)系電話電子郵件單位名稱聯(lián)系人傳真聯(lián)系電話電子郵件單位名稱聯(lián)系人聯(lián)系人傳真行業(yè)主管部門傳真單位名稱聯(lián)系人信息系統(tǒng)運(yùn)營使用聯(lián)系電話電子郵件單位傳真信息系統(tǒng)名稱業(yè)務(wù)中斷系統(tǒng)破壞數(shù)據(jù)丟失其他造成的影響影響范圍單臺主機(jī)多臺主機(jī)整個信息系統(tǒng)整個局域網(wǎng)其他當(dāng)前系統(tǒng)結(jié)構(gòu)拓?fù)鋱D系統(tǒng)硬件設(shè)備及其配置參數(shù)清單系統(tǒng)軟件、應(yīng)用軟件的配置參數(shù)清單應(yīng)用

38、程序文件列表及源代碼系統(tǒng)運(yùn)維記錄系統(tǒng)審計日志賬號權(quán)限分配列表單位應(yīng)急處置人員聯(lián)系表其他被破壞信息系統(tǒng)現(xiàn)狀信息系統(tǒng)資產(chǎn)名單預(yù)處理措施19 DB11/T 16542019表D.1網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表（續(xù)）分析事件成因計算機(jī)病毒事件蠕蟲事件特洛伊木馬事件有害程序僵尸網(wǎng)絡(luò)事件混合程序攻擊事件網(wǎng)頁內(nèi)嵌惡意代碼事件其他拒絕服務(wù)攻擊事件后門攻擊事件漏洞攻擊安全攻擊網(wǎng)絡(luò)攻擊信息破壞事件網(wǎng)絡(luò)掃描竊聽事件網(wǎng)絡(luò)釣魚事件擾事件其他干信息篡改事件信息假冒事件信息泄露事件信息竊取事件信息丟失事件其他服務(wù)器數(shù)據(jù)庫網(wǎng)絡(luò)設(shè)備安全設(shè)備其他判定事件類型硬件設(shè)備軟件設(shè)備事件處置應(yīng)用系統(tǒng)操作系統(tǒng)其他設(shè)備設(shè)施故障線路（說明故障點(diǎn)）盜竊或