信息安全技术 网络安全事件应急处置规范(2019年) (1).pdf
《信息安全技术 网络安全事件应急处置规范(2019年) (1).pdf》由会员分享,可在线阅读,更多相关《信息安全技术 网络安全事件应急处置规范(2019年) (1).pdf(28页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS 35.040 L 80 DB11 北京市地方标准 DB11/T 16542019 信息安全技术 网络安全事件应急处置规范 Information security technology Network security incidents emergency disposal regulations 2019-09-26 发布 2020-01-01 实施 北京市市场监督管理局 发 布 DB11/T 16542019 I 目 次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 网络安全事件分类与分级.2 5 网络安全事件调查处置.3 6 日常防范和应急工作准备.
2、11 附录 A(规范性附录)网络安全事件上报表.13 附录 B(规范性附录)第三方网络安全事件分析表.15 附录 C(规范性附录)网络安全事件备案表.17 附录 D(规范性附录)网络安全事件现场调查表.19 附录 E(规范性附录)网络安全事件处置工作报告.22 附录 F(规范性附录)信息系统资产名单.23 参考文献.25 DB11/T 16542019 II 前 言 本标准按照GB/T 1.12009提出的规则起草编写。本标准由北京市公安局提出并归口。本标准由北京市公安局组织实施。本标准主要起草单位:北京市公安局、北京市委网信办、公安部第一研究所、中科信息安全共性技术国家工程研究中心有限公司。
3、本规范主要起草人:纪小默、赵悦、石锐、赵志巍、柳亮、尹航、王京军、张越今、问闻、李梦姣、周堃、菅强、张昕、宋扬、金镁、张红、石浩、俞诗源、杨虎、王海珍、万鹏。DB11/T 16542019 1 信息安全技术 网络安全事件应急处置规范 1 范围 本标准规定了网络安全事件的网络安全事件分类与分级、调查处置、日常监测和应急工作准备。本标准适用于非涉及国家秘密的信息系统运营使用者、行业主管部门、监管部门以及网络安全事件应急支撑队伍使用。本标准不适用于涉及国家秘密的信息系统的安全事件调查处置。2 术语和定义 下列术语和定义适用于本规范。2.1 信息系统 information system 由计算机及其
4、相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。2.2 网络安全事件 Network security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。如计算机病毒、特洛伊木马、拒绝服务攻击、漏洞攻击事件、网络扫描窃听攻击等事件。2.3 应急处置 emergency disposal 通过采取断网或者停止服务等手段控制事态发展,防止事件蔓延。2.4 信息安全等级保护 classified protection of information system s
5、ecurity 指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的网络安全事件分等级响应、处置。下文所述的系统级别均为信息安全等级保护级别。3 网络安全事件分类与分级 3.1 事件分类 3.1.1 安全风险 DB11/T 16542019 2 指因信息系统存在缺陷和风险,系统面临发生安全事故的事件。信息安全风险可以分为安全管理制度的制定或执行上存在的缺陷;系统在设计和建设时遗留下来的安全风险;系统硬件设施存在安全风险,说明如下:a)安全管理制度的制定或执行上存在的缺
6、陷。如未定期进行应急演练或未定期更新完善应急预案等情况造成的安全风险;b)系统在设计和建设时遗留下来的安全风险。如带宽设计不足、系统存在漏洞等方面带来的安全风险;c)系统硬件设施存在安全风险,如部件老化或自带有可被攻击利用的功能模块等各种形式的硬件设施安全风险。3.1.2 安全攻击事件 指通过网络或其他技术手段,利用信息系统的缺陷或使用暴力攻击对信息系统实施攻击,或人为使用非技术手段对信息系统进行破坏,而造成信息系统异常的事件。安全攻击事件可以分为有害程序事件、网络攻击事件、信息破坏事件和物理破坏事件等,说明如下:a)有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合
7、程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件;b)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件;c)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件;d)物理破坏事件是指蓄意地对保障信息系统正常运行的硬件、软件等实施 窃取、破坏造成的网络安全事件。3.1.3 设备设施故障 设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的网络安全事件,以及人为的使用非技术手段无意的造成信息系统设备设施损坏的网络安全事件。设备设施故障包括软硬件自身故障、外围保障设
8、施故障和其它设备设施故障等3个子类,说明如下:a)软硬件自身故障:是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的网络安全事件;b)外围保障设施故障:是指由于保障信息系统正常运行所必须的外部设施自身出现故障而导致的网络安全事件,例如电力故障、外围网络故障等导致的网络安全事件;c)其它设备设施故障:是指不能被包含在以上 2 个子类之中的设备设施故障而导致的网络安全事件。3.1.4 灾害性事件 灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的网络安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络安全事件。3.1.5
9、其他 不属于以上四类的网络与网络安全事件。3.2 事件分级 3.2.1 级 DB11/T 16542019 3 符合下列情形之一的,为 I 级网络与网络安全事件:a)等级保护 3 级(含)以上信息系统,发生系统中断运行或出现严重信息泄露,造成严重影响。b)等级保护 3 级(含)以上信息系统,发生数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致严重经济损失。c)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与网络安全事件。3.2.2 级 符合下列情形之一且未达到I级的,为级网络与网络安全事件:a)等级保护 2 级信息系统,发生系统中断运行或出现
10、严重泄露,造成较严重影响。b)等级保护 2 级信息系统,发生数据丢失或被窃取、篡改、假冒,对国家安全和社稳定构成威胁,或导致较严重经济损失。c)其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与网络安全事件。3.2.3 级 除上述情形外的其它网络与网络安全事件为一般事件。4 网络安全事件调查处置 4.1 事件发现及处置 4.1.1 分级处置 4.1.1.1 I 级网络安全事件处置 发生I级网络安全事件后,事发单位、监管部门、行业主管、技术支持单位、公安机关应按照图1所示的级网络安全事件处置流程分别开展工作。DB11/T 16542019 4 图 1 级网络安全事
11、件处置流程 DB11/T 16542019 5 4.1.1.1.1 网络安全事件处置 由于级事件对应信息系统等级较高,涉及范围更广,网络安全事件处置小组需确保足够的资源及技术能力,以应对可能存在的各项工作,包括值班、出差、技术分析、系统加固、系统验证等方面的工作。a)事发单位首先开展应急处置工作,同时填报网络安全事件上报表(见附录 A 中表 A.1),将安全事件上报监管部门、行业主管并向公安机关报案。b)监管部门收到 I 级安全事件报告后,牵头组建网络安全事件处置小组,由监管部门、公安机关、行业主管、事发单位以及技术支持单位等共同组成。由监管部门统一指挥安全事件处置;c)行业主管负责协助监管部
12、门组建处置小组并指导事发单位开展事件紧急处置工作;d)事发单位负责在处置小组的指导下开展处置工作的实施,协助公安机关取证、调查,并填报 第三方网络安全事件分析表(见附录 B 中表 B.1);e)技术支持单位负责在处置小组指导下提供技术支持,提出处置方案,并分析事件成因,提出防范方案;f)公安机关负责取证、调查以及立案的工作,并填写网络安全事件备案表(见附录 C 中表C.1)。4.1.1.1.2 判断网络安全事件类型并进行应急处置 被攻击信息系统具备完善的应急处理机制的,信息系统运营使用者可结合网络安全事件具体情况,依据信息系统运营使用者及其行业主管部门制定的信息安全应急响应措施、策略及流程,开
13、展应急处置工作,并填报网络安全事件现场调查表(附录D中表D.1)级事件对应的信息系统均符合等级保护三级以上要求,具备如双机双线、异地存储等措施,可以快速恢复系统功能,但过程中要注意保存相关证据,便于公安机关立案调查。被攻击信息系统的应急处理机制缺失的,可参考以下内容进行应急处置,并填报网络安全事件现场调查表,具体要求如下:a)发生安全攻击类事件时,如果确认重要数据被窃取且事件还在持续发生,在确定被窃取系统的范围后,将被破坏系统和正常的系统进行隔离,断开或暂时关闭被破坏系统,必要时应立即切断网络,防止数据进一步损失,保护数据安全;b)发生安全攻击类事件时,如果信息系统被持续攻击,造成系统无法正常
14、运行。须通过技术手段持续监测系统及网络状态,记录异常流量的远程 IP、域名和端口,分析原因。事件处置人员须及时保护现场,配合公安机关现场调查与取证;c)发生信息内容安全类事件时,信息系统被篡改、假冒,造成严重社会影响。信息系统运营使用者须完整保存被篡改的网站系统,避免重要线索数据丢失。然后,采取技术手段立即删除恶意信息,停止信息的传播。事件处置人员须保存数据信息、保存日志、源代码等文件,用于技术分析及取证调查;d)发生设备设施故障类安全事件时,基础设施被破坏导致网络链路断开、设备损坏、电力故障、物品丢失被盗等事件。须立即启用备用设备、冗余链路、冗余电力。同时,保存门禁系统出入记录、视频监控信息
15、,在系统恢复后通过该记录信息查找可疑人员。4.1.1.1.3 制定处置方案并实施 安全事件得到控制后,网络安全事件处置小组充分评估被破坏系统的影响范围、影响程度,上报有关部门,通报有关单位,做好沟通协调工作。同时,调动一切资源及时设计处置方案。网络安全事件处DB11/T 16542019 6 置小组须组织专家团队,对方案进行论证与评审后,方可实施。如果实施工作涉及第三方单位,须签署合同、授权书及人员保密协调,以确保实施内容及质量可控。4.1.1.2 级网络安全事件处置 发生级网络安全事件后,事发单位、监管部门、行业主管、技术支持单位、公安机关应按照图2所示的级网络安全事件处置流程分别开展工作。
16、图 2 级网络安全事件处置流程 4.1.1.2.1 网络安全事件处置 发生级网络安全事件后,开展以下工作:DB11/T 16542019 7 a)事发单位立即开展应急处置工作,同时,上报监管部门、行业主管并向公安机关报案;b)监管部门根据实际情况指导指导事发单位进行事件的处置工作;c)行业主管应协助事发单位共同开展安全事件的处置工作;d)事发单位应积极协助公安机关进行立案、取证、调查等工作;e)技术支持单位负责技术支持工作;f)公安机关负责取证、调查以及立案的工作。4.1.1.2.2 判断网络安全事件类型并进行应急处置 被攻击信息系统具备完善的应急处理机制的,信息系统运营使用者可结合网络安全事
17、件具体情况,依据信息系统运营使用者及其行业主管部门制定的信息安全应急响应措施、策略及流程,开展应急处置工作,并填报网络安全事件现场调查表。过程中要注意保存相关证据,便于公安机关立案调查。具体要求如下:a)发生安全攻击类事件时,如果确认重要数据被窃取且事件还在持续发生,在确定被窃取系统的范围后,将被破坏系统和正常的系统进行隔离,断开或暂时关闭被破坏系统,必要时应立即切断网络,防止数据进一步损失,保护数据安全;b)发生安全攻击类事件时,如果信息系统被持续攻击,造成系统无法正常运行。须通过技术手段持续监测系统及网络状态,记录异常流量的远程 IP、域名和端口,分析原因。事件处置人员须及时保护现场,配合
18、公安机关现场调查和取证;c)发生信息内容安全类事件时,信息系统被篡改、假冒,(如:国家机关门户网站被篡改)造成严重社会影响。信息系统运营使用者须采取技术手段立即删除恶意信息,停止信息的传播。事件处置人员须保存数据信息、保存日志、源代码等文件,用于技术分析及取证调查;d)发生设备设施故障类安全事件时,基础设施被破坏导致网络链路断开、设备损坏、电力故障、物品丢失被盗等事件。须立即启用备用设备、冗余链路、冗余电力。同时,保存门禁系统出入记录、视频监控信息,在系统恢复后通过该记录信息查找可疑人员。4.1.1.2.3 制定处置方案并实施 安全事件得到控制后,网络安全事件处置小组充分评估被破坏系统的影响范
19、围、影响程度,上报有关部门,通报有关单位,做好沟通协调工作。同时,进行处置方案设计并实施。如果实施工作涉及第三方单位,须签署合同、授权书及人员保密协调,以确保实施内容及质量可控。4.1.1.3 级网络安全事件处置 发生级网络安全事件后,事发单位、行业主管、技术支持单位、公安机关应按照图3所示的级网络安全事件处置流程分别开展工作。DB11/T 16542019 8 图 3 级网络安全事件处置流程 4.1.1.3.1 网络安全事件处置 发生级网络安全事件后,开展以下工作:DB11/T 16542019 9 a)事发单位应立即开展应急处置工作,并根据情况上报行业主管、协调技术支持单位制定处置方案;b
20、)行业主管指导事发单位对安全事件进行处置;c)事发单位根据情况向公安机关报案并协助公安机关进行取证、调查工作;d)公安机关负责取证、调查以及立案的工作。4.1.1.3.2 判断网络安全事件类型并进行应急处置 网络安全事件处置小组须及时检查信息系统情况,确认信息安全问题。如果发现该问题涉及范围广且持续造成破坏,应立即断开网络,关闭被破坏系统,保护现场,联系公安机关做进一步处理。4.1.2 技术措施 网络安全事件处置技术措施包括以下内容,应根据实际情况采取最有效的控制措施加以实施:a)备份系统日志、应用日志、数据库日志、审计日志、网络及安全设备日志,用于分析和溯源。同时,检查日志的保存周期,确保日
21、志保存时间 6 个月以上;b)保存系统运行状态,包括帐户登录记录、网络连接状态、文件访问状态、进程运行状态等易失数据,以上数据可能包含系统被攻击后的关键信息;c)保留被破坏系统的数据、文件、拍照、截图、源代码等,用于分析、溯源及取证;d)检测被破坏系统的源代码,分析代码的安全性;e)使用专用工具检测操作系统、数据库、应用系统的安全性,发现木马、后门等恶意文件,及时删除;f)检测网络设备、安全设备的安全配置情况,包括管理员账号权限与口令、配置策略、日志、访问记录等;g)操作系统、应用系统、数据库系统的管理员账号口令重置,检测用户配置策略是否正常;h)结束可疑的系统进程,并删除对应的进程文件及目录
22、;i)检测应用系统对通过人接口或通信接口输入数据的验证措施是否有效;j)操作系统、应用系统、数据库系统的安全补丁更新情况及漏洞扫描检测情况;k)对被破坏的 WEB 系统开启 7X24 小时安全检测;l)检测异常端口与流量,关闭无关端口,监听异常流量;m)备品备件与冗余线路、电路的检查与维护,可随时根据需要替换上线;n)门禁系统与视频监控系统的检查,确保功能的可用,用于随时调用和查看;o)检测审计系统的工作情况,确保相关审计功能开启、审计内容和记录保存完整;p)检测数据通信安全的有效性,确认数据传输经过加密且保证数据完整性;q)其他可发现系统隐患或漏洞的技术措施。4.1.3 证据留存 通过查看被
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 网络安全事件应急处置规范2019年 1 信息 安全技术 网络安全 事件 应急 处置 规范 2019
限制150内