2020信息安全技术网络安全事件应急处置规范.docx

信息安全技术 网络安全事件应急处置规范目 次前言 II1 范围 12 规范性引用文件 13 术语和定义 14 网络安全事件分类与分级 25 网络安全事件调查处置 36 日常防范和应急工作准备 11附录 A（规范性附录） 网络安全事件上报表 13附录 B（规范性附录） 第三方网络安全事件分析表 15附录 C（规范性附录） 网络安全事件备案表 17附录 D（规范性附录） 网络安全事件现场调查表 19附录 E（规范性附录） 网络安全事件处置工作报告 22附录 F（规范性附录） 信息系统资产名单 23参考文献 25I信息安全技术 网络安全事件应急处置规范1 范围本标准规定了网络安全事件的网络安全事件分类与分级、调查处置、日常监测和应急工作准备本标准适用于非涉及国家秘密的信息系统运营使用者、行业主管部门、监管部门以及网络安全事件应急支撑队伍使用本标准不适用于涉及国家秘密的信息系统的安全事件调查处置2 术语和定义下列术语和定义适用于本规范2.1信息系统 information system由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.2网络安全事件 Network security incident由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件如计算机病毒、特洛伊木马、拒绝服务攻击、漏洞攻击事件、网络扫描窃听攻击等事件2.3应急处置 emergency disposal通过采取断网或者停止服务等手段控制事态发展，防止事件蔓延2.4信息安全等级保护 classified protection of information system security指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的网络安全事件分等级响应、处置下文所述的系统级别均为信息安全等级保护级别3 网络安全事件分类与分级3.1 事件分类3.1.1 安全风险1指因信息系统存在缺陷和风险，系统面临发生安全事故的事件信息安全风险可以分为安全管理制度的制定或执行上存在的缺陷；系统在设计和建设时遗留下来的安全风险；系统硬件设施存在安全风险， 说明如下：a) 安全管理制度的制定或执行上存在的缺陷。

如未定期进行应急演练或未定期更新完善应急预案等情况造成的安全风险；b) 系统在设计和建设时遗留下来的安全风险如带宽设计不足、系统存在漏洞等方面带来的安全风险；c) 系统硬件设施存在安全风险，如部件老化或自带有可被攻击利用的功能模块等各种形式的硬件设施安全风险3.1.2 安全攻击事件指通过网络或其他技术手段，利用信息系统的缺陷或使用暴力攻击对信息系统实施攻击，或人为使用非技术手段对信息系统进行破坏，而造成信息系统异常的事件安全攻击事件可以分为有害程序事件、网络攻击事件、信息破坏事件和物理破坏事件等，说明如下：a) 有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件；b) 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件；c) 信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件；d) 物理破坏事件是指蓄意地对保障信息系统正常运行的硬件、软件等实施 窃取、破坏造成的网络安全事件3.1.3 设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的网络安全事件，以及人为的使用非技术手段无意的造成信息系统设备设施损坏的网络安全事件。

设备设施故障包括软硬件自身故障、外围保障设施故障和其它设备设施故障等3个子类，说明如下：a) 软硬件自身故障：是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的网络安全事件；b) 外围保障设施故障：是指由于保障信息系统正常运行所必须的外部设施自身出现故障而导致的网络安全事件，例如电力故障、外围网络故障等导致的网络安全事件；c) 其它设备设施故障：是指不能被包含在以上 2 个子类之中的设备设施故障而导致的网络安全事件3.1.4 灾害性事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的网络安全事件 灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络安全事件3.1.5 其他不属于以上四类的网络与网络安全事件3.2 事件分级3.2.1 Ⅰ级2符合下列情形之一的，为 I 级网络与网络安全事件:a) 等级保护 3 级（含）以上信息系统，发生系统中断运行或出现严重信息泄露，造成严重影响b) 等级保护 3 级（含）以上信息系统，发生数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁，或导致严重经济损失c) 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与网络安全事件。

3.2.2 Ⅱ级符合下列情形之一且未达到I级的，为Ⅱ级网络与网络安全事件:a) 等级保护 2 级信息系统，发生系统中断运行或出现严重泄露，造成较严重影响b) 等级保护 2 级信息系统，发生数据丢失或被窃取、篡改、假冒，对国家安全和社稳定构成威胁， 或导致较严重经济损失c) 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与网络安全事件3.2.3 Ⅲ级除上述情形外的其它网络与网络安全事件为一般事件4 网络安全事件调查处置4.1 事件发现及处置4.1.1 分级处置4.1.1.1 I 级网络安全事件处置发生I级网络安全事件后，事发单位、监管部门、行业主管、技术支持单位、公安机关应按照图1所示的Ⅰ级网络安全事件处置流程分别开展工作3图 1 Ⅰ级网络安全事件处置流程44.1.1.1.1 网络安全事件处置由于Ⅰ级事件对应信息系统等级较高，涉及范围更广，网络安全事件处置小组需确保足够的资源及技术能力，以应对可能存在的各项工作，包括值班、出差、技术分析、系统加固、系统验证等方面的工作a) 事发单位首先开展应急处置工作，同时填报《网络安全事件上报表》(见附录 A 中表 A.1)，将安全事件上报监管部门、行业主管并向公安机关报案。

b) 监管部门收到 I 级安全事件报告后，牵头组建网络安全事件处置小组，由监管部门、公安机关、行业主管、事发单位以及技术支持单位等共同组成由监管部门统一指挥安全事件处置；c) 行业主管负责协助监管部门组建处置小组并指导事发单位开展事件紧急处置工作；d) 事发单位负责在处置小组的指导下开展处置工作的实施，协助公安机关取证、调查，并填报《第三方网络安全事件分析表》（见附录 B 中表 B.1）；e) 技术支持单位负责在处置小组指导下提供技术支持，提出处置方案，并分析事件成因，提出防范方案；f) 公安机关负责取证、调查以及立案的工作，并填写《网络安全事件备案表》（见附录 C 中表C.1）4.1.1.1.2 判断网络安全事件类型并进行应急处置被攻击信息系统具备完善的应急处理机制的，信息系统运营使用者可结合网络安全事件具体情况， 依据信息系统运营使用者及其行业主管部门制定的信息安全应急响应措施、策略及流程，开展应急处置工作，并填报《网络安全事件现场调查表》（附录D中表D.1）Ⅰ级事件对应的信息系统均符合等级保护三级以上要求，具备如双机双线、异地存储等措施，可以快速恢复系统功能，但过程中要注意保存相关证据，便于公安机关立案调查。

被攻击信息系统的应急处理机制缺失的，可参考以下内容进行应急处置，并填报《网络安全事件现场调查表》，具体要求如下：a) 发生安全攻击类事件时，如果确认重要数据被窃取且事件还在持续发生，在确定被窃取系统的范围后，将被破坏系统和正常的系统进行隔离，断开或暂时关闭被破坏系统，必要时应立即切断网络，防止数据进一步损失，保护数据安全；b) 发生安全攻击类事件时，如果信息系统被持续攻击，造成系统无法正常运行须通过技术手段持续监测系统及网络状态，记录异常流量的远程 IP、域名和端口，分析原因事件处置人员须及时保护现场，配合公安机关现场调查与取证；c) 发生信息内容安全类事件时，信息系统被篡改、假冒,造成严重社会影响信息系统运营使用者须完整保存被篡改的网站系统，避免重要线索数据丢失然后，采取技术手段立即删除恶意信息，停止信息的传播事件处置人员须保存数据信息、保存日志、源代码等文件，用于技术分析及取证调查；d) 发生设备设施故障类安全事件时，基础设施被破坏导致网络链路断开、设备损坏、电力故障、物品丢失被盗等事件须立即启用备用设备、冗余链路、冗余电力同时，保存门禁系统出入记录、视频监控信息，在系统恢复后通过该记录信息查找可疑人员。

4.1.1.1.3 制定处置方案并实施安全事件得到控制后，网络安全事件处置小组充分评估被破坏系统的影响范围、影响程度，上报有关部门，通报有关单位，做好沟通协调工作同时，调动一切资源及时设计处置方案网络安全事件处5置小组须组织专家团队，对方案进行论证与评审后，方可实施如果实施工作涉及第三方单位，须签署合同、授权书及人员保密协调，以确保实施内容及质量可控4.1.1.2 Ⅱ级网络安全事件处置发生Ⅱ级网络安全事件后，事发单位、监管部门、行业主管、技术支持单位、公安机关应按照图2所示的Ⅱ级网络安全事件处置流程分别开展工作图 2 Ⅱ级网络安全事件处置流程4.1.1.2.1 网络安全事件处置发生Ⅱ级网络安全事件后，开展以下工作：6a) 事发单位立即开展应急处置工作，同时，上报监管部门、行业主管并向公安机关报案；b) 监管部门根据实际情况指导指导事发单位进行事件的处置工作；c) 行业主管应协助事发单位共同开展安全事件的处置工作；d) 事发单位应积极协助公安机关进行立案、取证、调查等工作；e) 技术支持单位负责技术支持工作；f) 公安机关负责取证、调查以及立案的工作4.1.1.2.2 判断网络安全事件类型并进行应急处置被攻击信息系统具备完善的应急处理机制的，信息系统运营使用者可结合网络安全事件具体情况， 依据信息系统运营使用者及其行业主管部门制定的信息安全应急响应措施、策略及流程，开展应急处置工作，并填报《网络安全事件现场调查表》。

过程中要注意保存相关证据，便于公安机关立案调查具体要求如下：a) 发生安全攻击类事件时，如果确认重要数据被窃取且事件还在持续发生，在确定被窃取系统的范围后，将被破坏系统和正常的系统进行隔离，断开或暂时关闭被破坏系统，必要时应立即切断网络，防止数据进一步损失，保护数据安全；b) 发生安全攻击类事件时，如果信息系统被。