ICS35.040 L 80 备案号：62698-2019 DB 北銀京銀市銀地 方 标准 DB11/T 1654—2019 信息安全技术网络安全事件应急处置规范 Information security technology Network security incidents emergency disposal regulations 2019—09—26 发布 2020—01—01实施 北京市市场监督管理局 发布 DB11/T 1654—2019 目 次 前言 1. 范围. 2规范性引用文件， 3术语和定义 4 网络安全事件分类与分级 5网络安全事件调查处置 .3 6日常防范和应急工作准备 11 附录A（规范性附录） 网络安全事件上报表 13 附录B（规范性附录） 第三方网络安全事件分析表， .15 附录C（规范性附录） 网络安全事件备案表 17 附录D（规范性附录） 网络安全事件现场调查表 19 附录E（规范性附录） 网络安全事件处置工作报告 附录F（规范性附录） 信息系统资产名单 .23 参考文献. . 25 DB11/T1654—2019 前 言 本标准按照GB/T1.1一2009提出的规则起草编写。 本标准由北京市公安局提出并归口。 本标准由北京市公安局组织实施。 本标准主要起草单位：北京市公安局、北京市委网信办、公安部第一研究所、中科信息安全共性技 术国家工程研究中心有限公司。 本规范主要起草人：纪小默、赵悦、石锐、赵志巍、柳亮、尹航、王京军、张越今、问闻、李梦姣 周堃、菅强、张昕、宋扬、金镁、张红、石浩、俞诗源、杨虎、王海珍、万鹏。 提供下载 I1 DB11/T1654——2019 信息安全技术网络安全事件应急处置规范 1范围 本标准规定了网络安全事件的网络安全事件分类与分级、调查处置、日常监测和应急工作准备。 本标准适用于非涉及国家秘密的信息系统运营使用者、行业主管部门、监管部门以及网络安全事件 应急支撑队伍使用。 本标准不适用于涉及国家秘密的信息系统的安全事件调查处置 2术语和定义 下列术语和定义适用于本规范， 2.1 提供下载 信息系统information system 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进 行采集、加工、存储、传输、检索等处理的人机系统。 2.2 网络安全事件Network security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影 响的事件。如计算机病毒、特洛伊木马、拒绝服务攻击、漏洞攻击事件、网络扫描窃听攻击等事件。 2.3 应急处置 emergency disposal 通过采取断网或者停止服务等手段控制事态发展，防止事件蔓延。 2.4 信息安全等级保护 classified protection of information system security 指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息 的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发 生的网络安全事件分等级响应、处置。下文所述的系统级别均为信息安全等级保护级别。 3网络安全事件分类与分级 3.1事件分类 3.1.1 安全风险 DB11/T1654—2019 指因信息系统存在缺陷和风险，系统面临发生安全事故的事件。信息安全风险可以分为安全管理制 度的制定或执行上存在的缺陷；系统在设计和建设时遗留下来的安全风险；系统硬件设施存在安全风险， 说明如下： a）安全管理制度的制定或执行上存在的缺陷。如未定期进行应急演练或未定期更新完善应急预案 等情况造成的安全风险； (q 系统在设计和建设时遗留下来的安全风险。如带宽设计不足、系统存在漏洞等方面带来的安全 风险; C 系统硬件设施存在安全风险，如部件老化或自带有可被攻击利用的功能模块等各种形式的硬件 设施安全风险。 3.1.25 安全攻击事件 指通过网络或其他技术手段，利用信息系统的缺陷或使用暴力攻击对信息系统实施攻击，或人为使 用非技术手段对信息系统进行破坏，而造成信息系统异常的事件。安全攻击事件可以分为有害程序事件、 网络攻击事件、信息破坏事件和物理破坏事件等，说明如下： a）有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件户网络事件、混合程序攻 击事件、网页内嵌恶意代码事件和其他有害程序事件； A (q 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网 络钓鱼事件、干扰事件和其他网络攻击事件； 信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事 件和其他信息破坏事件： d) 物理破坏事件是指蓄意地对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的网 络安全事件。 3.1.3设备设施故障 设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的网络安全事件，以及人为的 使用非技术手段无意的造成信息系统设备设施损坏的网络安全事件。设备设施故障包括软硬件自身故 障、外围保障设施故障和其它设备设施故障等3个子类，说明如下： a）软硬件自身故障：是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环 境发生变化等而导致的网络安全事件； b) 外围保障设施故障：是指由于保障信息系统正常运行所必须的外部设施自身出现故障而导致的 网络安全事件，例如电力故障、外围网络故障等导致的网络安全事件； C): 件。 3.1.4灾害性事件 灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的网络安全事件。灾害性事件包括 水灾、台风、地震、雷击、塌、火灾、恐怖袭击、战争等导致的网络安全事件。 3.1.5其他 不属于以上四类的网络与网络安全事件。 3.2事件分级 3.2.11级 2 DB11/T 1654——2019 符合下列情形之一的，为1级网络与网络安全事件： 等级保护3级（含）以上信息系统，发生系统中断运行或出现严重信息泄露，造成严重影响。 (q 等级保护3级（含）以上信息系统，发生数据丢失或被窃取、篡改、假冒，对国家安全和社会 稳定构成严重威胁，或导致严重经济损失。 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与网络 安全事件。 3.2.2Ⅱ级 符合下列情形之一且未达到I级的，为II级网络与网络安全事件： a) 等级保护2级信息系统，发生系统中断运行或出现严重泄露，造成较严重影响。 (q 等级保护2级信息系统，发生数据丢失或被窃取、篡改、假冒，对国家安全和社稳定构成威胁， 或导致较严重经济损失。 ) 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与 网络安全事件。 3.2.3 川级 提供下 除上述情形外的其它网络与网络安全事件为一般事件。 4 网络安全事件调查处置 4.1事件发现及处置 4.1.1分级处置 4.1.1.1I级网络安全事件处置 发生级网络安全事件后，事发单位、监管部门、行业主管、技术支持单位、公安机关应按照图1 所示的I级网络安全事件处置流程分别开展工作。 3 DB11/T1654—2019 I级信息安全事件处置流程 事发单位 监管部门 行业主管 技术支持单位 公安机关 发生1级事件 开履紧急处置 向公安机关案 填写惠单： 防件B信电安全事件备 宽表 安全事件上报 上报行业主管 协配事发单位 应学处置 钢速、取证 上报监管部门 浦认受顾进行 婚备工作 填写表单： 时件A值惠安全事件上损表 提供下载 协助监管酸 组建安全事件 处置小组 整头拍建安全 事件处置小姐 支全事件处置 请写表单： 小组现场开展 时件D第三方信息安全事 工作 件分析表 全程聊进调查 在处置小组指 填写表单： 手下费供技术 支持及处置 附件C信厚安全事件现场 国表 附件值费安全事件处置 工作报告 时件F值惠系统资产名单 提出处置方账 分析事件成因 提出防范方军 在处置小组插 导下完晚处置 工作 协助公安机关 双证猴查 视情况立案 1级事件处 速束 图11级网络安全事件处置流程