收藏 分销(赏)
立即下载 开通VIP

DB23_T 3505—2023网络安全事件应急处置规范.pdf

上传人:Fis****915 文档编号:392092 上传时间:2023-09-13 格式:PDF 页数:29 大小:1.55MB
下载 相关 举报
DB23_T 3505—2023网络安全事件应急处置规范.pdf_第1页
第1页 / 共29页
DB23_T 3505—2023网络安全事件应急处置规范.pdf_第2页
第2页 / 共29页
DB23_T 3505—2023网络安全事件应急处置规范.pdf_第3页
第3页 / 共29页
DB23_T 3505—2023网络安全事件应急处置规范.pdf_第4页
第4页 / 共29页
DB23_T 3505—2023网络安全事件应急处置规范.pdf_第5页
第5页 / 共29页
点击查看更多>>
资源描述

1、ICS35.020CCS L 8023黑龙江省地方标准DB 23/T 35052023网络安全事件应急处置规范2023-07-05 发布2023-08-04 实施黑龙江省市场监督管理局发 布DB 23/T 35052023I目次前言.III1范围.12规范性引用文件.13术语和定义.14工作原则.25事件分类与分级.25.1事件分类.25.1.1恶意程序事件.25.1.2网络攻击事件.25.1.3数据安全事件.25.1.4信息内容安全事件.25.1.5设备设施故障事件.25.1.6违规操作事件.25.1.7安全隐患事件.25.1.8异常行为事件.25.1.9不可抗力事件.35.1.10其它事件

2、.35.2事件分级.35.2.1概述.35.2.2级事件(特别重大网络安全事件).35.2.3级事件(重大网络安全事件).35.2.4级事件(较大网络安全事件).35.2.5级事件(一般网络安全事件).36机构和职责.36.1机构.36.2职责.47应急处置流程及措施.47.1一般要求.47.2级事件(特别重大网络安全事件).47.2.1处置流程.47.2.2处置管理措施.47.2.3处置技术措施.67.3级事件(重大网络安全事件).77.3.1处置流程.77.3.2处置管理措施.77.3.3处置技术措施.87.4级事件(较大网络安全事件).8DB 23/T 35052023II7.4.1处置

3、流程.87.4.2处置管理措施.87.4.3处置技术措施.97.5级事件(一般网络安全事件).97.5.1处置流程.97.5.2处置管理措施.108日常防范和应急准备.108.1 日常管理.108.1.1 日常工作.108.1.2人员保障.108.1.3经费保障.118.1.4宣传培训.118.2技术措施.118.3应急演练.11附录 A(规范性)级事件处置流程图.12附录 B(规范性)网络安全事件上报表(网络运营者).13附录 C(规范性)网络安全事件上报表(网络安全应急办公室).15附录 D(规范性)II 级事件处置流程图.17附录 E(规范性)网络安全事件现场调查表.18附录 F(资料性

4、)网络安全事件现场调查评估报告(模板).21附录 G(规范性)III 级事件处置流程图.22附录 H(规范性)IV 级事件处置流程图.23DB 23/T 35052023III前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由黑龙江省互联网信息办公室提出并归口。本文件起草单位:黑龙江大学、国家计算机网络应急技术处理协调中心黑龙江分中心、安天科技集团股份有限公司、绿盟科技集团股份有限公司。本文件主要起草人:伍一、于佳华、李晗、尹尚书、彭加亮、于洪君、林峰、孙树鹏、尤

5、秀、孙洪磊。DB 23/T 350520231网络安全事件应急处置规范1范围本文件规定了网络安全事件应急处置的术语和定义、工作原则、事件分类与分级、机构和职责、应急处置流程及措施、日常防范和应急准备等。本文件适用于与黑龙江省网络安全事件相关的各级网络安全应急办公室、网络运营者、网络产品和服务提供者、网络安全应急技术支撑队伍应急处置、日常防范和应急准备等工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18030信息技术 中文编码字

6、符集GB/T 20984信息安全技术 信息安全风险评估规范GB/T 20985信息技术 安全技术 信息安全事件管理指南GB/Z 20986信息安全技术 信息安全事件分类分级指南GB/T 22239信息安全技术 网络安全等级保护基本要求GB/T 25069信息安全技术 术语3术语和定义GB/T 25069界定的以及下列术语和定义适用于本文件。3.1网络数据任何以电子方式对信息的记录(以下简称数据)。3.2信息系统应用、服务、信息技术资产或其他信息处理组件。3.3网络安全通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠的运行状态,以及保障网络数据的完整

7、性、保密性、可用性的能力。3.4网络安全事件由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件(以下简称事件)。3.5应急处置通过采取技术手段实现网络安全事件发生后的迅速有效控制。DB 23/T 3505202324工作原则4.1坚持统一领导、分级负责、密切协同。4.2坚持统一指挥、快速反应、科学应对。4.3坚持谁主管谁负责、谁运行谁负责。5事件分类与分级5.1事件分类5.1.1恶意程序事件恶意程序事件包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、

8、混合攻击程序事件和其他恶意程序事件等 10 个子类。5.1.2网络攻击事件网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、DNS 污染事件、WLAN 劫持事件、流量劫持事件、BGP 劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT 事件和其他网络攻击事件等 21 个子类。5.1.3数据安全事件数据安全事件包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯

9、事件、数据损失事件和其他数据安全事件等 12 个子类。5.1.4信息内容安全事件信息内容安全事件包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等 8 个子类。5.1.5设备设施故障事件设备设施故障事件包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等 5 个子类。5.1.6违规操作事件违规操作事件包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等 9 个子类。5.1.7安全隐患事件安

10、全隐患事件包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等 3 个子类。5.1.8异常行为事件异常行为事件包括访问异常事件、流量异常事件和其他异常行为事件等 3 个子类。DB 23/T 3505202335.1.9不可抗力事件不可抗力事件包括自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件和其他不可抗力事件等 5 个子类。5.1.10其它事件其它事件指未归为上述分类的网络安全事件。5.2事件分级5.2.1概述按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素,网络安全事件分为 4 个级别:特别重大事件、重大事件、较大事件和一般事件,由高到低分别为级、级、

11、级和级。5.2.2级事件(特别重大网络安全事件)特别重大事件发生在特别重要的事件影响对象上,并且:a)导致特别严重的业务损失;b)造成特别重大的社会危害。5.2.3级事件(重大网络安全事件)重大事件发生在特别重要或重要的事件影响对象上,并且:a)导致特别重要的事件影响对象遭受严重的业务损失或导致重要的事件影响对象遭受特别严重的业务损失;b)造成重大的社会危害。5.2.4级事件(较大网络安全事件)较大事件发生在特别重要或重要或一般的事件影响对象上,并且:a)导致特别重要的事件影响对象遭受较大或较小的业务损失,或重要的事件影响对象遭受严重或较大的业务损失,或导致一般的事件影响对象遭受较大(含)以上

12、级别的业务损失;b)造成较大的社会危害5.2.5级事件(一般网络安全事件)一般事件发生在重要或一般的事件影响对象上,并且:a)导致较小的业务损失;b)造成一般的社会危害。6机构和职责6.1机构6.1.1各级网络安全应急指挥部,指所在地区、部门网络安全事件应急预案中规定的本级网络安全应急指挥机构。6.1.2各级网络安全应急办公室,指所在地区、部门网络安全事件应急预案中规定的本级网络安全应DB 23/T 350520234急指挥部的办事机构。6.1.3网络运营者,指网络的所有者、管理者和网络服务提供者。6.1.4网络产品和服务提供者,指网络设备、网络安全产品和服务的提供者。6.1.5省应急支撑单位

13、,指按照黑龙江省网络安全事件应急预案有关规定,省委网信办牵头组织评估和认定的我省网络安全应急技术支撑队伍。6.2职责6.2.1各级网络安全应急指挥部,负责统一领导、组织和指挥所在地区、部门网络安全事件应急处置工作。6.2.2各级网络安全应急办公室,负责本级网络安全应急指挥部的事务性工作,具体负责本地区、本部门、本单位网络安全事件应急处置的组织和协调。6.2.3网络运营者,负责所拥有、管理网络的网络安全事件应急处置。6.2.4网络产品和服务提供者,负责按照国家法律法规以及服务合同要求协助网络安全应急办公室、网络运营者进行网络安全事件应急处置。6.2.5省应急支撑单位,负责在省网络安全应急办公室的

14、组织指导下提供技术支持。7应急处置流程及措施7.1一般要求7.1.1相关机构可参考本标准制定的流程及措施开展网络安全事件应急处置工作,如上级部门相关通报中包含具体处置措施,建议满足上级部门相关要求的同时,结合本标准部分流程及措施开展应急处置工作。7.1.2网络运营者应当制定网络安全应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生网络安全事件时,立即启动应急预案,采取相应补救措施,并按照规定向有关主管部门报告。7.2级事件(特别重大网络安全事件)7.2.1处置流程发生级网络安全事件后,网络运营者、网络安全应急办公室、应急支撑单位、网络产品和服务提供者按图A.1所示流程

15、进行应急处理,见附录A。7.2.2处置管理措施7.2.2.1网络运营者7.2.2.1.1立即启动本单位网络安全应急预案进行紧急处置,同时填写网络安全事件上报表(网络运营者),见附录 B 中表 B.1。7.2.2.1.2立即向所在市(地)、部门网络安全应急办公室及有关主管部门报告。7.2.2.1.3及时向所在市(地)、部门网络安全应急办公室报告事态发展变化情况和处置进展情况。7.2.2.1.4配合国家网络安全应急办公室组织的调查取证。7.2.2.1.5按照要求采取备份数据、保护设备、排查隐患等应急措施。7.2.2.1.6按照要求恢复受破坏的网络和信息系统正常运行。7.2.2.1.7保留应急恢复过

16、程中相关证据。DB 23/T 3505202357.2.2.1.8配合国家网络安全应急办公室组织的调查评估。7.2.2.2市(地)、部门网络安全应急办公室7.2.2.2.1立即组织先期处置。7.2.2.2.2组织进行事件级别研判,同时填写网络安全事件上报表(网络安全应急办公室),见附录 C 中表 C.1,若初判为特别重大(级)网络安全事件,立即向本级网络安全应急指挥部、省网络安全应急办公室报告。7.2.2.2.3配合国家网络安全应急办公室启动本地区、本部门级响应。7.2.2.2.4启动 24 小时值班,派员参加省网络安全应急办公室工作。7.2.2.2.5及时向省网络安全应急办公室报告事态发展变

17、化情况和处置进展情况。7.2.2.2.6配合国家网络安全应急办公室组织的调查取证。7.2.2.2.7掌握本地区、本部门网络和信息系统受事件影响情况,并向省网络安全应急办公室报告。7.2.2.2.8协助国家网络安全应急办公室研究对策。7.2.2.2.9执行国家网络安全应急办公室决策部署。7.2.2.2.10提出其他市(地)、部门协调需求。7.2.2.2.11提出省网络安全应急技术支撑队伍支持需求。7.2.2.2.12督促相关运行单位有针对性地加强防范,防止事态蔓延。7.2.2.2.13协调配合网络安全事件引发的其他突发事件的应急处置。7.2.2.2.14按照国家网络安全应急办公室要求结束级响应。

18、7.2.2.2.15配合国家网络安全应急办公室组织的调查评估。7.2.2.3省网络安全应急办公室7.2.2.3.1组织进行事件级别再次研判,同时填写网络安全事件上报表(网络安全应急办公室),见附录 C 中表 C.1,若研判为特别重大(级)网络安全事件,立即向省网络安全应急指挥部、国家网络安全应急办公室报告。7.2.2.3.2配合国家网络安全应急办公室启动级响应。7.2.2.3.3启动 24 小时值班,派员参加国家网络安全机构工作。7.2.2.3.4及时向国家网络安全应急办公室报告事态发展变化情况和处置进展情况。7.2.2.3.5配合国家网络安全应急办公室组织的调查取证。7.2.2.3.6协助国

19、家网络安全应急办公室研究对策。7.2.2.3.7执行国家网络安全应急办公室决策部署。7.2.2.3.8督促相关运行单位有针对性地加强防范,防止事态蔓延。7.2.2.3.9提出其他省(市)协调需求。7.2.2.3.10开展市(地)间、部门间的工作协调。7.2.2.3.11协调省网络安全应急技术支撑队伍向相关市(地)、部门提供技术支持。7.2.2.3.12协调配合网络安全事件引发的其他突发事件的应急处置。7.2.2.3.13按照国家网络安全应急办公室要求结束级响应。7.2.2.3.14配合国家网络安全应急办公室组织的调查评估。7.2.2.4省应急支撑单位7.2.2.4.1协助省网络安全应急办公室提

20、出事件处置对策意见。7.2.2.4.2协助省网络安全应急办公室进行调查取证。7.2.2.4.3按照省网络安全应急办公室要求,向相关市(地)、部门提供技术支持。DB 23/T 3505202367.2.2.5网络产品和服务提供者7.2.2.5.1按照国家法律法规以及服务合同要求协助网络运营者进行应急处置。7.2.2.5.2为调查取证、调查评估提供技术支持和协助。7.2.3处置技术措施7.2.3.1常规技术措施7.2.3.1.1备份系统日志、应用日志、数据库日志、审计日志、网络及安全设备日志,用于分析和溯源。相关网络日志留存周期不少于六个月。7.2.3.1.2检测网络设备、安全设备的安全配置情况,

21、包括管理员账号权限与口令、配置策略、日志、访问记录等。7.2.3.1.3抓取被破坏系统的网络流量,检测异常流量。7.2.3.1.4检测异常端口与服务,关闭与业务无关端口。7.2.3.1.5使用专用工具检测操作系统、数据库、应用系统的安全性,发现木马、后门等,应先备份再删除。7.2.3.1.6重置操作系统、应用系统、数据库系统的管理员账号口令,检测用户配置策略是否正常。7.2.3.1.7检测操作系统、应用系统、数据库系统、开发框架、中间件的安全补丁更新情况及漏洞扫描情况。7.2.3.1.8检测应用系统对通过人机接口或通信接口输入数据的验证措施是否有效。7.2.3.1.9检测被破坏应用系统的源代码

22、,分析代码的安全性。7.2.3.1.10对被破坏的应用系统开启 724 小时安全检测。7.2.3.1.11检测审计系统的工作情况,确保相关审计功能开启、审计内容和记录保存完整。7.2.3.1.12检测数据通信安全的有效性,确认数据传输经过加密且保证数据完整性。7.2.3.1.13采取其他可发现系统隐患或漏洞的技术措施。7.2.3.1.14检查门禁系统与视频监控系统,确保功能的可用,用于随时调用和查看。7.2.3.1.15其他技术措施检查与维护备品备件与冗余线路、电路,可随时根据需要替换上线。7.2.3.2证据留存技术措施通过查看被攻击系统的硬件、软件配置参数、审计记录,以及从安全管理制度和人员

23、状况等方面进行取证调查,通过截图、拍照、备份等方式收集被攻击证据,应包含以下方面:a)对于网络安全事件,应对被破坏系统进行断网处理,保护好系统环境,等待专业人员处置;b)留存当前信息系统网络拓扑图和网络拓扑结构;c)留存当时系统运行状态的虚拟机快照;d)留存系统运行状态,包括帐户登录记录、网络连接状态、文件访问状态、进程运行状态、内存镜像等易失数据;e)保留被破坏系统的数据、文件、源代码、异常现象拍照或截图等;f)在删除恶意文件前,应先做好备份,同时保存各恶意文件的哈希校验值;g)留存系统硬件(主机设备、网络设备、安全设备)设备及其配置参数清单;h)留存系统软件(操作系统)、应用软件(数据库、

24、中间件、开发框架)的配置参数清单;i)留存应用程序文件列表及源代码;j)留存系统运维记录、系统审计日志(网络日志、操作系统日志、数据库日志、中间件日志、应用程序操作日志等)、安全产品日志;DB 23/T 350520237k)留存网络、操作系统、数据库、中间件、应用程序操作等账号权限(角色、组、用户等)的分配列表;l)留存其他应留存的相关证据。7.3级事件(重大网络安全事件)7.3.1处置流程发生级网络安全事件后,网络运营者、网络安全应急办公室、应急支撑单位、网络产品和服务提供者按图D.1所示流程进行应急处理,见附录D。7.3.2处置管理措施7.3.2.1网络运营者7.3.2.1.1立即启动本

25、单位网络安全应急预案进行紧急处置,同时填写网络安全事件上报表(网络运营者),见附录 B 中表 B.1。7.3.2.1.2立即向所在市(地)、部门网络安全应急办公室及有关主管部门报告。7.3.2.1.3及时向所在市(地)、部门网络安全应急办公室报告事态发展变化情况和处置进展情况。7.3.2.1.4配合省网络安全应急办公室组织的调查取证。7.3.2.1.5按照要求采取备份数据、保护设备、排查隐患等应急措施。7.3.2.1.6按照要求恢复受破坏的网络和信息系统正常运行。7.3.2.1.7保留应急恢复过程中相关证据。7.3.2.1.8配合省网络安全应急办公室组织的调查评估。7.3.2.2市(地)、部门

26、网络安全应急办公室7.3.2.2.1立即组织先期处置。7.3.2.2.2组织进行事件级别研判,同时填写网络安全事件上报表(网络安全应急办公室),见附录 C 中表 C.1,若初判为重大(级)网络安全事件,立即向本级网络安全应急指挥部、省网络安全应急办公室报告。7.3.2.2.3配合省网络安全应急办公室启动本市(地)、本部门级响应。7.3.2.2.4启动 24 小时值班,派员参加省网络安全应急办公室工作。7.3.2.2.5及时向省网络安全应急办公室报告事态发展变化情况和处置进展情况。7.3.2.2.6配合省网络安全应急办公室组织的调查取证。7.3.2.2.7掌握本市(地)、本部门网络和信息系统受事

27、件影响情况,并向省网络安全应急办公室报告。7.3.2.2.8协助省网络安全应急办公室研究对策。7.3.2.2.9执行省网络安全应急办公室决策部署。7.3.2.2.10提出其他市(地)、部门协调需求。7.3.2.2.11提出省网络安全应急技术支撑队伍支持需求。7.3.2.2.12协助省网络安全应急办公室尽快控制事态。7.3.2.2.13督促相关运行单位有针对性地加强防范,防止事态蔓延。7.3.2.2.14指导事发单位采取措施,备份数据、保护设备、排查隐患等。7.3.2.2.15指导事发单位恢复受破坏的网络和信息系统正常运行。7.3.2.2.16协调配合网络安全事件引发的其他突发事件的应急处置。7

28、.3.2.2.17按照省网络安全应急办公室要求结束级响应。DB 23/T 3505202387.3.2.2.18配合省网络安全应急办公室组织的调查评估。7.3.2.3省网络安全应急办公室7.3.2.3.1组织进行事件级别再次研判,若研判为重大(级)网络安全事件,立即向省网络安全应急指挥部、国家网络安全应急办公室报告。7.3.2.3.2向省网络安全应急指挥部提出启动级响应建议,经批准后启动级响应。7.3.2.3.3启动 24 小时值班。7.3.2.3.4及时掌握事态发展变化情况和处置进展情况。7.3.2.3.5组织调查取证,并填写网络安全事件现场调查表,见附录 E 中表 E.1。7.3.2.3.

29、6重大事项及时向国家网络安全应急办公室报告。7.3.2.3.7组织有关市(地)、部门、应急技术支撑队伍研究对策、进行部署。7.3.2.3.8组织有关市(地)、部门尽快控制事态。7.3.2.3.9督促相关运行单位有针对性地加强防范,防止事态蔓延。7.3.2.3.10开展市(地)间、部门间的工作协调。7.3.2.3.11协调省网络安全应急技术支撑队伍向相关市(地)、部门提供技术支持。7.3.2.3.12协调配合网络安全事件引发的其他突发事件的应急处置。7.3.2.3.13报省网络安全应急指挥部批准后结束级响应,一般要在 7 个工作日内完成应急处置。7.3.2.3.14组织开展调查评估,并填写网络安

30、全事件调查评估报告(模板),见附录 F。7.3.2.3.15向国家网络安全应急办公室报送调查评估报告。7.3.2.4省应急支撑单位7.3.2.4.1协助省网络安全应急办公室提出事件处置对策意见。7.3.2.4.2协助省网络安全应急办公室进行调查取证。7.3.2.4.3按照省网络安全应急办公室要求,向相关市(地)、部门提供技术支持。7.3.2.5网络产品和服务提供者7.3.2.5.1按照国家法律法规以及服务合同要求协助网络运营者进行应急处置。7.3.2.5.2为调查取证、调查评估提供技术支持和协助。7.3.3处置技术措施按7.2.3进行。7.4级事件(较大网络安全事件)7.4.1处置流程发生级网

31、络安全事件后,网络运营者、网络安全应急办公室、应急支撑单位、网络产品和服务提供者按图G.1所示流程进行应急处理,见附录G。7.4.2处置管理措施7.4.2.1网络运营者7.4.2.1.1立即启动本单位网络安全应急预案进行紧急处置,同时填写网络安全事件上报表(网络运营者),见附录 B 中表 B.1。7.4.2.1.2立即向所在市(地)、部门网络安全应急办公室及有关主管部门报告。DB 23/T 3505202397.4.2.1.3及时向所在市(地)、部门网络安全应急办公室报告事态发展变化情况和处置进展情况。7.4.2.1.4配合所在市(地)、部门网络安全应急办公室组织的调查取证。7.4.2.1.5

32、按照要求采取备份数据、保护设备、排查隐患等应急措施。7.4.2.1.6按照要求恢复受破坏的网络和信息系统正常运行。7.4.2.1.7保留应急恢复过程中相关证据。7.4.2.1.8配合所在市(地)、部门应急机构组织的调查评估。7.4.2.2市(地)、部门网络安全应急办公室7.4.2.2.1立即组织先期处置。7.4.2.2.2组织进行事件级别研判,同时填写网络安全事件上报表(网络安全应急办公室),见附录 C 中表 C.1,若研判为较大(级)网络安全事件,4 小时内向本级网络安全领导机构、省网络安全应急办公室报告。7.4.2.2.3根据事件的性质和情况启动级响应。7.4.2.2.4按照本市(地)、本

33、部门应急预案做好应急处置工作。7.4.2.2.5及时向省网络安全应急办公室报告事态发展变化情况。7.4.2.2.6组织调查取证,并填写网络安全事件现场调查表,见附录 E 中表 E.1。7.4.2.2.7提出省网络安全应急技术支撑队伍支持需求。7.4.2.2.8指导事发单位采取备份数据、保护设备、排查隐患等应急措施。7.4.2.2.9指导事发单位恢复受破坏的网络和信息系统正常运行。7.4.2.2.10根据事件处置情况结束级响应,应急处置一般要在 72 小时内完成。7.4.2.2.11组织开展调查评估,并填写网络安全事件调查评估报告,见附录 F。7.4.2.2.12向省网络安全应急办公室报送调查评

34、估报告。7.4.2.3省网络安全应急办公室7.4.2.3.1及时掌握事态发展变化情况。7.4.2.3.2将有关重大事项及时通报相关市(地)和部门。7.4.2.3.3协调省网络安全应急技术支撑队伍向相关市(地)、部门提供技术支持。7.4.2.3.4接收相关市(地)、部门报送的调查评估报告。7.4.2.4省应急支撑单位7.4.2.4.1按照省网络安全应急办公室要求,向相关市(地)、部门提供技术支持。7.4.2.5网络产品和服务提供者7.4.2.5.1按照国家法律法规以及服务合同要求协助网络运营者进行应急处置。7.4.2.5.2为调查取证、调查评估提供技术支持和协助。7.4.3处置技术措施按7.2.

35、3进行。7.5级事件(一般网络安全事件)7.5.1处置流程DB 23/T 3505202310发生级网络安全事件后,网络运营者、网络安全应急办公室、网络产品和服务提供者按图H.1所示流程进行应急处理,见附录H。7.5.2处置管理措施7.5.2.1网络运营者7.5.2.1.1立即启动本单位网络安全应急预案进行紧急处置,同时填写网络安全事件上报表(网络运营者),见附录 B 中表 B.1。7.5.2.1.2立即向所在市(地)、部门网络安全应急办公室及有关主管部门报告。7.5.2.1.3根据事件的性质和情况启动级响应。7.5.2.1.4及时向所在市(地)、部门网络安全应急办公室报告事态发展变化情况和处

36、置进展情况。7.5.2.1.5保留应急恢复过程中相关证据。7.5.2.1.6根据事件处置情况结束级响应,应急处置一般要在 48 小时内完成。7.5.2.2市(地)、部门网络安全应急办公室7.5.2.2.1及时掌握事态发展变化情况。7.5.2.3网络产品和服务提供者7.5.2.3.1按照国家法律法规以及服务合同要求协助网络运营者进行应急处置。7.5.2.4处置技术措施按7.2.3进行。8 日常防范和应急准备8.1 日常管理8.1.1 日常工作8.1.1.1各市(地)、各部门、各单位应做好网络安全日常管理工作,包括但不限于:a)建立健全网络安全组织领导体系;b)制定网络安全规划和管理制度;c)制定

37、并完善网络安全事件应急预案;d)健全网络安全应急处置和通报机制;e)实施网络安全等级保护制度;f)提升网络安全技术防护能力;g)做好网络安全检查、网络安全监测及预警管控、隐患排查、风险评估和容灾备份;h)加强网络安全队伍建设和人员培训等。8.1.1.2 网络产品和服务提供者应做好日常应急准备工作,包括但不限于:a)发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施;b)按照国家法律法规及服务合同要求做好应急准备工作等。8.1.2 人员保障DB 23/T 3505202311各市(地)、各部门、各单位应加强网络安全应急技术支撑队伍建设,选拔具有网络和信息系统管理经验和专业技能的

38、人员从事网络安全管理工作,有条件的单位应建立网络安全管理专职队伍和应急技术支撑专业队伍,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援等工作。8.1.3 经费保障各市(地)、各部门、各单位应建立稳定的网络安全经费投入机制,有条件的单位应安排相关经费,重点支持网络安全等级保护、网络安全防护能力建设、网络安全服务、人员培训等工作。8.1.4 宣传培训各市(地)、各部门、各单位应加强网络安全的有关法律法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。加强网络安全应急预案的培训,提高防范意识和技能。8.2 技术措施各市(地)、各部门、各单位应及时接收相关网络安全公告以及通告,跟踪新

39、兴和热点网络安全技术发展动态,开展网络安全审计和评估,及时对安全设备和系统进行安全、升级、加固。8.3 应急演练各市(地)、各部门、各单位应定期组织演练,检验应对网络安全事件的能力、应急工作的准备情况及各机构的协同配合能力。通过演练检验和完善应急预案,提高实战能力。DB 23/T 3505202312ABA附录A(规范性)级事件处置流程图应急响应阶段应急响应阶段1)确定受影响系统和安全事件类型2)启动本单位应急预案3)保留电子证据4)立即向所在地区、部门网络安全应急办公室报告1)收到安全事件上报2)立即组织先期处置实施根除措施,验证根除效果并上报恢复网络和信息系统正常运行,将情况上报市(地)网

40、络安全应急办公室初判事件级别1)立即上报本级网络安全应急指挥部、省网络安全应急办公室2)关注并跟踪事态发展变化3)提出应急技术支持需求4)启动24小时值班,派员参加省网络安全应急办公室工作督促相关运行单位加强防范,防止事态蔓延配合国家网络安全应急办公室调查评估再次研判事件级别启动级事件响应1)立即上报省网络安全应急指挥部、国家网络安全应急办公室2)启动24小时值班,派员参加国家网络安全机构工作3)向国家网络安全应急办公室同步事态信息协调省网络安全应急技术支撑队伍向相关市(地)、部门提供技术支持协助网络运营者处置威胁协助省应急支撑单位调查取证工作网络运营者网络运营者市市(地地)、)、部门网络安全

41、应急办公室部门网络安全应急办公室省网络安全应急办公室省网络安全应急办公室省应急支撑单位省应急支撑单位网络产品和服务提供者网络产品和服务提供者按其他级别事件处置按其他级别事件处置级事件非级事件级事件非级事件发生网络安全事件发生网络安全事件应急处置结束应急处置结束评估网络安全事件可能造成的损失及影响启动级事件响应协助国家网络安全应急办公室研究对策,执行决策部署收到安全事件支撑需求执行决策部署,协助网络运营者抑制事态蔓延1)协助国家网络安全应急办公室研究对策,执行决策部署2)掌握本地区、本部门网络和信息系统受事件影响情况,向国家网络安全应急办公室报告督促相关运行单位加强防范,防止事态蔓延收到安全事件

42、上报按照国家网络安全应急办公室要求结束 I级响应配合国家网络安全应急办公室调查评估1)收到网络安全事件支撑需求2)协助网络运营者进行应急处置协助网络运营者抑制事态蔓延按照国家网络安全应急办公室要求结束 I级响应协助网络运营者恢复网络和信息系统正常运行开展现场调查取证分析,将调查结果上报省、市应急办公室配合国家网络安全应急办公室调查取证实施抑制措施,验证抑制效果并上报配合国家网络安全应急办公室调查评估,针对本次事件暴露的安全问题,完善网络安全防御体系将处置与恢复成功情况上报省级网络安全应急办公室将处置与恢复成功情况上报国家网络安全应急办公室配合国家网络安全应急办公室调查评估,追溯事件发生原因及过

43、程,总结安全问题,给出安全加固整改建议配合国家网络安全应急办公室调查取证配合国家网络安全应急办公室调查取证1)根据调查结果,给出抑制措施与根除措施建议2)接收决策部署12启动阶段检测与抑制阶段根除与恢复阶段总结阶段注1:填写表单,附录B 网络安全事件上报表(网络运营者)注2:填写表单,附录C 网络安全事件上报表(网络安全应急办公室)图 A.1 I 级事件处置流程图DB 23/T 3505202313附录B(规范性)网络安全事件上报表(网络运营者)表 B.1 网络安全事件上报表(网络运营者)事发单位名称报告时间主管单位所在区/县报告人联系电话通讯地址电子邮件涉事系统名称事发时间涉事系统业务功能涉

44、事系统资产信息(域名/URL/IP)事件描述事件来源自行发现 合作机构报送 上级通报 其他具体情况:事件类型恶意程序计算机病毒 网络蠕虫 特洛伊木马 僵尸网络 恶意代码内嵌网页 恶意代码宿主站点 勒索软件 挖矿病毒 混合攻击程序其他网络攻击网络扫描探测 网络钓鱼 漏洞利用 后门利用 后门植入 凭据攻击 信号干扰 拒绝服务 网页篡改暗链植入 域名劫持 域名转嫁 DNS 污染 WLAN 劫持 流量劫持 BGP劫持攻击 广播欺诈 失陷主机 供应链攻击 APT 其他数据安全数据篡改 数据假冒 数据泄露 社会工程 数据窃取 数据拦截 位置检测 数据投毒 数据滥用 隐私侵犯 数据损失 其他信息内容安全反动

45、宣传 暴恐宣扬 色情传播 虚假信息传播 权益侵害 信息滥发 网络欺诈 其他设施设备故障技术故障 配套设施故障 物理损害 辐射干扰 其他违规操作权限滥用 权限伪造 行为抵赖 故意违规操作 误操作 人员可用性破坏 资源未授权使用 版权违反 其他DB 23/T 3505202314表 B.1 网络安全事件上报表(网络运营者)(续)安全隐患网络漏洞 网络配置合规缺陷 其他异常行为访问异常 流量异常其他不可抗力自然灾害 事故灾难 公共卫生 社会安全 其他其他其他事件造成的影响业务中断系统破坏数据丢失 其他具体情况:影响范围单台主机 多台主机 整个信息系统 整个局域网 其他具体情况:判定事件等级级级级级判

46、定依据:事件发展趋势预案执行情况采取紧急措施DB 23/T 3505202315CBDC附录C(规范性)网络安全事件上报表(网络安全应急办公室)表C.1 网络安全事件上报表(网络安全应急办公室)应急办全称报告时间应急办联系人联系电话事发单位名称接收事发单位报告时间主管单位所在区/县涉事系统名称事发时间涉事系统业务功能涉事系统资产信息(域名/URL/IP)事件描述事件来源自行发现 合作机构报送 上级单位通报 其他具体情况:事件类型恶意程序计算机病毒 网络蠕虫 特洛伊木马 僵尸网络 恶意代码内嵌网页 恶意代码宿主站点 勒索软件 挖矿病毒 混合攻击程序其他网络攻击网络扫描探测 网络钓鱼 漏洞利用 后

47、门利用 后门植入 凭据攻击 信号干扰 拒绝服务 网页篡改 暗链植入 域名劫持 域名转嫁 DNS 污染 WLAN 劫持流量劫持 BGP 劫持攻击 广播欺诈 失陷主机 供应链攻击 APT 其他数据安全数据篡改 数据假冒 数据泄露 社会工程 数据窃取 数据拦截 位置检测 数据投毒 数据滥用 隐私侵犯 数据损失 其他信息内容安全反动宣传 暴恐宣扬 色情传播 虚假信息传播 权益侵害 信息滥发 网络欺诈 其他设施设备故障技术故障 配套设施故障 物理损害 辐射干扰 其他违规操作权限滥用 权限伪造 行为抵赖 故意违规操作 误操作 人员可用性破坏 资源未授权使用 版权违反 其他安全隐患网络漏洞 网络配置合规缺陷

48、 其他异常行为访问异常 流量异常其他DB 23/T 3505202316表C.1 网络安全事件上报表(网络安全应急办公室)(续)不可抗力自然灾害 事故灾难 公共卫生 社会安全 其他其他其他事件造成的影响业务中断系统破坏数据丢失 其他具体情况:影响范围单台主机 多台主机 整个信息系统 整个局域网 其他具体情况:本地区/本部门其他信息系统是否受影响是否具体情况:判定事件等级级级级级判定依据:网络安全事件的发展趋势预案执行情况DB 23/T 3505202317附录D(规范性)II 级事件处置流程图应急响应阶段应急响应阶段1)确定受影响系统和安全事件类型2)启动本单位应急预案3)保留电子证据4)立即

49、向所在地区、部门网络安全应急办公室报告1)收到安全事件上报2)立即组织先期处置实施根除措施,验证根除效果并上报恢复网络和信息系统正常运行,将情况上报市(地)网络安全应急办公室初判事件级别1)立即上报本级网络安全应急指挥部、省网络安全应急办公室2)关注并跟踪事态发展变化3)提出应急技术支持需求4)启动24小时值班,派员参加省网络安全应急办公室工作督促相关运行单位加强防范,防止事态蔓延配合省网络安全应急办公室调查评估再次研判事件级别启动级事件响应1)立即上报省网络安全应急指挥部、国家网络安全应急办公室2)启动24小时值班3)向国家网络安全应急办公室同步事态信息协调省网络安全应急技术支撑队伍向相关市

50、(地)、部门提供技术支持协助网络运营者处置威胁协助省应急支撑单位调查取证网络运营者网络运营者市市(地地)、)、部门网络安全应急办公室部门网络安全应急办公室省网络安全应急办公室省网络安全应急办公室省应急支撑单位省应急支撑单位网络产品和服务提供者网络产品和服务提供者按其他级别事件处置按其他级别事件处置级事件非级事件级事件非级事件发生网络安全事件发生网络安全事件应急处置结束应急处置结束评估网络安全事件可能造成的损失及影响启动级事件响应组织有关市(地)、部门、应急技术支撑队伍研究对策、进行部署、尽快控制事态收到安全事件支撑需求执行决策部署,协助网络运营者抑制事态蔓延1)协助省网络安全应急办公室研究对策

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 通信科技 > 网络/通信

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服