ICS35.020 CCS L 80 DB23 黑龙江 電方标准 瀘省地 DB 23/T 3505—2023 网络安全事件应急处置规范 2023-07-05 发布 2023- 08- 04实施 黑龙江省市场监督管理局发布 DB 23/T 3505—2023 目 次 前言 I 范围 规范性引用文件 2 3术语和定义 工作原则 4 5事件分类与分级.. 5.1事件分类... 5.1.1恶意程序事件 5.1.2网络攻击事件 5.1.3数据安全事件 5.1.4信息内容安全事件 5.1.5 设备设施故障事件 5.1.5 违规操作事件. 5.1.7 安全隐患事件 5.1.8 异常行为事件， 5. 1. 9 不可抗力事件 其它事件 5.2事件分级. 5.2.1 概述 .2.2 I级事件（特别重大网络安全事件） 5.2.3Ⅱ级事件（重大网络安全事件） 5.2.4IⅢI级事件（较大网络安全事件） IV级事件（一般网络安全事件） 7.2.5 6机构和职责， 6.1机构.... 6.2职责. 7应急处置流程及措施 7.1一般要求. 7.2I级事件（特别重大网络安全事件） 7.2.1处置流程.. 7.2.2处置管理措施 7.2.3处置技术措施 7.3II级事件（重大网络安全事件） 7.3.1处置流程. 7.3.2处置管理措施. 7.3.3处置技术措施 7.4II级事件（较大网络安全事件） 1 DB 23/T 3505—2023 7.4.1处置流程 7.4.2处置管理措施 7.4.3处置技术措施 9 7.5IV级事件（一般网络安全事件） 7.5.1处置流程. 7.5.2处置管理措施 10 8日常防范和应急准备 8.1日常管理 10 8.1.1日常工作 10 8.1.2人员保障 经费保障. 8. 1.3 8.1.4宣传培训 8.2技术措施 11 8.3应急演练 11 附录A（规范性） I级事件处置流程图 12 附录B（规范性） 网络安全事件上报表（网络运营者） .13 附录C（规范性） 网络安全事件上报表（网络安全应急办公室） 15 附录D（规范性） II级事件处置流程图.. 17 附录E（规范性） 网络安全事件现场调查表 18 附录F（资料性） 网络安全事件现场调查评估报告（模板） .21 附录G（规范性） III级事件处置流程图 22 附录H（规范性） IV级事件处置流程图 23 II DB 23/T 3505—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由黑龙江省互联网信息办公室提出并归口。 本文件起草单位：黑龙江大学、国家计算机网络应急技术处理协调中心黑龙江分中心、安天科技集 团股份有限公司、绿盟科技集团股份有限公司。 本文件主要起草人：伍一、于佳华、李晗、尹尚书、彭加亮、于洪君、林峰、孙树鹏、尤秀、孙洪 磊。 III DB 23/T 3505—2023 网络安全事件应急处置规范 1范围 本文件规定了网络安全事件应急处置的术语和定义、工作原则、事件分类与分级、机构和职责、应 急处置流程及措施、日常防范和应急准备等。 本文件适用于与黑龙江省网络安全事件相关的各级网络安全应急办公室、网络运营者、网络产品和 服务提供者、网络安全应急技术支撑队伍应急处置、日常防范和应急准备等工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单)适用于本 文件。 GB/T 18030 信息技术中文编码字符集 GB/T 20984 信息安全技术信息安全风险评估规范 GB/T 20985 信息技术安全技术信息安全事件管理指南 信息安全技术信息安全事件分类分级指南 GB/Z 2098C GB/T 22239 信息安全技术网络安全等级保护基本要求 GB/T 250G9 信息安全技术术语 3术语和定义 GB/T 250C9界定的以及下列术语和定义适用于本文件。 3. 1 网络数据 任何以电子方式对信息的记录（以下简称数据）。 3. 2 信息系统 应用、服务、信息技术资产或其他信息处理组件。 3. 3 网络安全 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠的运行状态，以及保障网络数据的完整性、保密性、可用性的能力。 3. 4 网络安全事件 由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对 社会造成负面影响的事件（以下简称事件）。 3. 5 应急处置 通过采取技术手段实现网络安全事件发生后的迅速有效控制。 DB 23/T 3505—2023 4工作原则 4.1坚持统一领导、分级负责、密切协同。 4.2坚持统一指挥、快速反应、科学应对。 4.3坚持谁主管谁负责、谁运行谁负责。 5事件分类与分级 5.1事件分类 5.1.1恶意程序事件 恶意程序事件包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵户网络事件、恶意代码内 嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程 序事件等10个子类。 5.1.2网络攻击事件 网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事 件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域 名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷 主机事件、供应链攻击事件、APT事件和其他网络攻击事件等21个子类 5.1.3数据安全事件 数据安全事件包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、 数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数 据安全事件等12 个子类。 5.1.4信息内容安全事件 信息内容安全事件包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵 害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等8个子类 5.1.5设备设施故障事件 设备设施故障事件包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设 备设施故障事件等5个子类。 5.1.6违规操作事件 违规操作事件包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、 人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等9个子类， 5.1.7安全隐患事件 安全隐患事件包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等3个子类。 5.1.8异常行为事件 异常行为事件包括访问异常事件、流量异常事件和其他异常行为事件等3个子类。 2 DB 23/T 3505—2023 5.1.9不可抗力事件 不可抗力事件包括自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件和其他不可抗力事 件等 5个子类。 5.1.10 ）其它事件 其它事件指未归为上述分类的网络安全事件。 5.2事件分级 5.2.1概述 按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素，网络安全事 件分为4个级别：特别重大事件、重大事件、较大事件和一般事件，由高到低分别为I级、II级、IⅢI 级和IV级。 5.2.21级事件（特别重大网络安全事件） 特别重大事件发生在特别重要的事件影响对象上，并且： a）导致特别严重的业务损失; b）造成特别重大的社会危害。 5.2.3ⅡI级事件（重大网络安全事件） 重大事件发生在特别重要或重要的事件影响对象上，并且： a）导致特别重要的事件影响对象遭受严重的业务损失或导致重要的事件影响对象遭受特别严重 的业务损失； b) 造成重大的社会危害。 5.2.4ⅢI级事件（较大网络安全事件） 较大事件发生在特别重要或重要或一般的事件影响对象上，并且： a）导致特别重要的事件影响对象遭受较大或较小的业务损失，或重要的事件影响对象遭受严重 或较大的业务损失，或导致一般的事件影响对象遭受较大（含）以上级别的业务损失； b）造成较大的社会危害 5.2.5IV级事件（一般网络安全事件） 一般事件发生在重要或一般的事件影响对象上，并且： a）导致较小的业务损失； b）造成一般的社会危害。 6机构和职责 6.1机构 6.1.1各级网络安全应急指挥部，指所在地区、部门网络安全事件应急预案中规定的本级网络安全应 急指挥机构。 6.1.2各级网络安全应急办公室，指所在地区、部门网络安全事件应急预案中规定的本级网络安全应 3