信息安全技术：网络安全事件应急处置规范

ICS 35.040 L 80 DB11 北京市地方标准 DB11/T 1654—2019 信息安全技术 网络安全事件应急处置规范 Information security technology Network security incidents emergency disposal regulations 2019 - 09 - 26发布 2020 - 01 - 01实施 北京市市场监督管理局 发布 DB11/T 1654—2019 I 目 次 前言................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 网络安全事件分类与分级 ............................................................. 2 5 网络安全事件调查处置 ............................................................... 3 6 日常防范和应急工作准备 ............................................................ 11 附录A（规范性附录） 网络安全事件上报表 ............................................. 13 附录B（规范性附录） 第三方网络安全事件分析表 ....................................... 15 附录C（规范性附录） 网络安全事件备案表 ............................................. 17 附录D（规范性附录） 网络安全事件现场调查表 ......................................... 19 附录E（规范性附录） 网络安全事件处置工作报告 ....................................... 22 附录F（规范性附录） 信息系统资产名单 ............................................... 23 参考文献 ............................................................................. 25 DB11/T 1654—2019 II 前 言 本标准按照GB/T 1.1—2009提出的规则起草编写。 本标准由北京市公安局提出并归口。 本标准由北京市公安局组织实施。 本标准主要起草单位：北京市公安局、北京市委网信办、公安部第一研究所、中科信息安全共性技术国家工程研究中心有限公司。 本规范主要起草人：纪小默、赵悦、石锐、赵志巍、柳亮、尹航、王京军、张越今、问闻、李梦姣、周堃、菅强、张昕、宋扬、金镁、张红、石浩、俞诗源、杨虎、王海珍、万鹏。 DB11/T 1654—2019 1 信息安全技术 网络安全事件应急处置规范 1 范围 本标准规定了网络安全事件的网络安全事件分类与分级、调查处置、日常监测和应急工作准备。 本标准适用于非涉及国家秘密的信息系统运营使用者、行业主管部门、监管部门以及网络安全事件应急支撑队伍使用。 本标准不适用于涉及国家秘密的信息系统的安全事件调查处置。 2 术语和定义 下列术语和定义适用于本规范。 2.1 信息系统 information system 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 2.2 网络安全事件 Network security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。如计算机病毒、特洛伊木马、拒绝服务攻击、漏洞攻击事件、网络扫描窃听攻击等事件。 2.3 应急处置 emergency disposal 通过采取断网或者停止服务等手段控制事态发展，防止事件蔓延。 2.4 信息安全等级保护 classified protection of information system security 指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的网络安全事件分等级响应、处置。下文所述的系统级别均为信息安全等级保护级别。 3 网络安全事件分类与分级 3.1 事件分类 3.1.1 安全风险 DB11/T 1654—2019 2 指因信息系统存在缺陷和风险，系统面临发生安全事故的事件。信息安全风险可以分为安全管理制度的制定或执行上存在的缺陷；系统在设计和建设时遗留下来的安全风险；系统硬件设施存在安全风险，说明如下： a) 安全管理制度的制定或执行上存在的缺陷。如未定期进行应急演练或未定期更新完善应急预案等情况造成的安全风险； b) 系统在设计和建设时遗留下来的安全风险。如带宽设计不足、系统存在漏洞等方面带来的安全风险； c) 系统硬件设施存在安全风险，如部件老化或自带有可被攻击利用的功能模块等各种形式的硬件设施安全风险。 3.1.2 安全攻击事件 指通过网络或其他技术手段，利用信息系统的缺陷或使用暴力攻击对信息系统实施攻击，或人为使用非技术手段对信息系统进行破坏，而造成信息系统异常的事件。安全攻击事件可以分为有害程序事件、网络攻击事件、信息破坏事件和物理破坏事件等，说明如下： a) 有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件； b) 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件； c) 信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件； d) 物理破坏事件是指蓄意地对保障信息系统正常运行的硬件、软件等实施 窃取、破坏造成的网络安全事件。 3.1.3 设备设施故障 设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的网络安全事件，以及人为的使用非技术手段无意的造成信息系统设备设施损坏的网络安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障和其它设备设施故障等3个子类，说明如下： a) 软硬件自身故障：是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的网络安全事件； b) 外围保障设施故障：是指由于保障信息系统正常运行所必须的外部设施自身出现故障而导致的网络安全事件，例如电力故障、外围网络故障等导致的网络安全事件； c) 其它设备设施故障：是指不能被包含在以上2个子类之中的设备设施故障而导致的网络安全事件。 3.1.4 灾害性事件 灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的网络安全事件。 灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络安全事件。 3.1.5 其他 不属于以上四类的网络与网络安全事件。 3.2 事件分级 3.2.1 I级 DB11/T 1654—2019 3 符合下列情形之一的，为I级网络与网络安全事件: a) 等级保护3级（含）以上信息系统，发生系统中断运行或出现严重信息泄露，造成严重影响。 b) 等级保护3级（含）以上信息系统，发生数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁，或导致严重经济损失。 c) 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与网络安全事件。 3.2.2 II级 符合下列情形之一且未达到I级的，为II级网络与网络安全事件: a) 等级保护2级信息系统，发生系统中断运行或出现严重泄露，造成较严重影响。 b) 等级保护2级信息系统，发生数据丢失或被窃取、篡改、假冒，对国家安全和社稳定构成威胁，或导致较严重经济损失。 c) 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与网络安全事件。 3.2.3 III级 除上述情形外的其它网络与网络安全事件为一般事件。 4 网络安全事件调查处置 4.1 事件发现及处置 4.1.1 分级处置 4.1.1.1 I级网络安全事件处置 发生I级网络安全事件后，事发单位、监管部门、行业主管、技术支持单位、公安机关应按照图1所示的I级网络安全事件处置流程分别开展工作。 DB11/T 1654—2019 4 图1 I级网络安全事件处置流程 DB11/T 1654—2019 5 4.1.1.1.1 网络安全事件处置 由于I级事件对应信息系统等级较高，涉及范围更广，网络安全事件处置小组需确保足够的资源及技术能力，以应对可能存在的各项工作，包括值班、出差、技术分析、系统加固、系统验证等方面的工作。 a) 事发单位首先开展应急处置工作，同时填报《网络安全事件上报表》(见附录A中表A.1)，将安全事件上报监管部门、行业主管并向公安机关报案。 b) 监管部门收到I级安全事件报告后，牵头组建网络安全事件处置小组，由监管部门、公安机关、行业主管、事发单位以及技术支持单位等共同组成。由监管部门统一指挥安全事件处置； c) 行业主管负责协助监管部门组建处置小组并指导事发单位开展事件紧急处置工作； d) 事发单位负责在处置小组的指导下开展处置工作的实施，协助公安机关取证、调查，并填报《第三方网络安全事件分析表》（见附录B中表B.1）； e) 技术支持单位负责在处置小组指导下提供技术支持，提出处置方案，并分析事件成因，提出防范方案； f) 公安机关负责取证、调查以及立案的工作，并填写《网络安全事件备案表》（见附录C中表C.1）。 4.1.1.1.2 判断网络安全事件类型并进行应急处置 被攻击信息系统具备完善的应急处理机制的，信息系统运营使用者可结合网络安全事件具体情况，依据信息系统运营使用者及其行业主管部门制定的信息安全应急响应措施、策略及流程，开展应急处置工作，并填报《网络安全事件现场调查表》（附录D中表D.1）I级事件对应的信息系统均符合等级保护三级以上要求，具备如双机双线、异地存储等措施，可以快速恢复系统功能，但过程中要注意保存相关证据，便于公安机关立案调查。 被攻击信息系统的应急处理机制缺失的，可参考以下内容进行应急处置，并填报《网络安全事件现场调查表》，具体要求如下： a) 发生安全攻击类事件时，如果确认重要数据被窃取且事件还在持续发生，在确定被窃取系统的范围后，将被破坏系统和正常的系统进行隔离，断开或暂时关闭被破坏系统，必要时应立即切断网络，防止数据进一步损失，保护数据安全； b) 发生安全攻击类事件时，如果信息系统被持续攻击，造成系统无法正常运行。须通过技术手段持续监测系统及网络状态，记录异常流量的远程IP、域名和端口，分析原因。事件处置人员须及时保护现场，配合公安机关现场调查与取证； c) 发生信息内容安全类事件时，信息系统被篡改、假冒,造成严重社会影响。信息系统运营使用者须完整保存被篡改的网站系统，避免重要线索数据丢失。然后，采取技术手段立即删除