DB23∕T 3505-2023 网络安全事件应急处置规范(黑龙江省).pdf
《DB23∕T 3505-2023 网络安全事件应急处置规范(黑龙江省).pdf》由会员分享,可在线阅读,更多相关《DB23∕T 3505-2023 网络安全事件应急处置规范(黑龙江省).pdf(29页珍藏版)》请在咨信网上搜索。
1、ICS35.020CCS L 8023黑龙江省地方标准DB 23/T 35052023网络安全事件应急处置规范2023-07-05 发布2023-08-04 实施黑龙江省市场监督管理局发 布DB 23/T 35052023I目次前言.III1范围.12规范性引用文件.13术语和定义.14工作原则.25事件分类与分级.25.1事件分类.25.1.1恶意程序事件.25.1.2网络攻击事件.25.1.3数据安全事件.25.1.4信息内容安全事件.25.1.5设备设施故障事件.25.1.6违规操作事件.25.1.7安全隐患事件.25.1.8异常行为事件.25.1.9不可抗力事件.35.1.10其它事件
2、.35.2事件分级.35.2.1概述.35.2.2级事件(特别重大网络安全事件).35.2.3级事件(重大网络安全事件).35.2.4级事件(较大网络安全事件).35.2.5级事件(一般网络安全事件).36机构和职责.36.1机构.36.2职责.47应急处置流程及措施.47.1一般要求.47.2级事件(特别重大网络安全事件).47.2.1处置流程.47.2.2处置管理措施.47.2.3处置技术措施.67.3级事件(重大网络安全事件).77.3.1处置流程.77.3.2处置管理措施.77.3.3处置技术措施.87.4级事件(较大网络安全事件).8DB 23/T 35052023II7.4.1处置
3、流程.87.4.2处置管理措施.87.4.3处置技术措施.97.5级事件(一般网络安全事件).97.5.1处置流程.97.5.2处置管理措施.108日常防范和应急准备.108.1 日常管理.108.1.1 日常工作.108.1.2人员保障.108.1.3经费保障.118.1.4宣传培训.118.2技术措施.118.3应急演练.11附录 A(规范性)级事件处置流程图.12附录 B(规范性)网络安全事件上报表(网络运营者).13附录 C(规范性)网络安全事件上报表(网络安全应急办公室).15附录 D(规范性)II 级事件处置流程图.17附录 E(规范性)网络安全事件现场调查表.18附录 F(资料性
4、)网络安全事件现场调查评估报告(模板).21附录 G(规范性)III 级事件处置流程图.22附录 H(规范性)IV 级事件处置流程图.23DB 23/T 35052023III前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由黑龙江省互联网信息办公室提出并归口。本文件起草单位:黑龙江大学、国家计算机网络应急技术处理协调中心黑龙江分中心、安天科技集团股份有限公司、绿盟科技集团股份有限公司。本文件主要起草人:伍一、于佳华、李晗、尹尚书、彭加亮、于洪君、林峰、孙树鹏、尤
5、秀、孙洪磊。DB 23/T 350520231网络安全事件应急处置规范1范围本文件规定了网络安全事件应急处置的术语和定义、工作原则、事件分类与分级、机构和职责、应急处置流程及措施、日常防范和应急准备等。本文件适用于与黑龙江省网络安全事件相关的各级网络安全应急办公室、网络运营者、网络产品和服务提供者、网络安全应急技术支撑队伍应急处置、日常防范和应急准备等工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18030信息技术 中文编码字
6、符集GB/T 20984信息安全技术 信息安全风险评估规范GB/T 20985信息技术 安全技术 信息安全事件管理指南GB/Z 20986信息安全技术 信息安全事件分类分级指南GB/T 22239信息安全技术 网络安全等级保护基本要求GB/T 25069信息安全技术 术语3术语和定义GB/T 25069界定的以及下列术语和定义适用于本文件。3.1网络数据任何以电子方式对信息的记录(以下简称数据)。3.2信息系统应用、服务、信息技术资产或其他信息处理组件。3.3网络安全通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠的运行状态,以及保障网络数据的完整
7、性、保密性、可用性的能力。3.4网络安全事件由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件(以下简称事件)。3.5应急处置通过采取技术手段实现网络安全事件发生后的迅速有效控制。DB 23/T 3505202324工作原则4.1坚持统一领导、分级负责、密切协同。4.2坚持统一指挥、快速反应、科学应对。4.3坚持谁主管谁负责、谁运行谁负责。5事件分类与分级5.1事件分类5.1.1恶意程序事件恶意程序事件包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、
8、混合攻击程序事件和其他恶意程序事件等 10 个子类。5.1.2网络攻击事件网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、DNS 污染事件、WLAN 劫持事件、流量劫持事件、BGP 劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT 事件和其他网络攻击事件等 21 个子类。5.1.3数据安全事件数据安全事件包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯
9、事件、数据损失事件和其他数据安全事件等 12 个子类。5.1.4信息内容安全事件信息内容安全事件包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等 8 个子类。5.1.5设备设施故障事件设备设施故障事件包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等 5 个子类。5.1.6违规操作事件违规操作事件包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等 9 个子类。5.1.7安全隐患事件安
10、全隐患事件包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等 3 个子类。5.1.8异常行为事件异常行为事件包括访问异常事件、流量异常事件和其他异常行为事件等 3 个子类。DB 23/T 3505202335.1.9不可抗力事件不可抗力事件包括自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件和其他不可抗力事件等 5 个子类。5.1.10其它事件其它事件指未归为上述分类的网络安全事件。5.2事件分级5.2.1概述按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素,网络安全事件分为 4 个级别:特别重大事件、重大事件、较大事件和一般事件,由高到低分别为级、级、
11、级和级。5.2.2级事件(特别重大网络安全事件)特别重大事件发生在特别重要的事件影响对象上,并且:a)导致特别严重的业务损失;b)造成特别重大的社会危害。5.2.3级事件(重大网络安全事件)重大事件发生在特别重要或重要的事件影响对象上,并且:a)导致特别重要的事件影响对象遭受严重的业务损失或导致重要的事件影响对象遭受特别严重的业务损失;b)造成重大的社会危害。5.2.4级事件(较大网络安全事件)较大事件发生在特别重要或重要或一般的事件影响对象上,并且:a)导致特别重要的事件影响对象遭受较大或较小的业务损失,或重要的事件影响对象遭受严重或较大的业务损失,或导致一般的事件影响对象遭受较大(含)以上
12、级别的业务损失;b)造成较大的社会危害5.2.5级事件(一般网络安全事件)一般事件发生在重要或一般的事件影响对象上,并且:a)导致较小的业务损失;b)造成一般的社会危害。6机构和职责6.1机构6.1.1各级网络安全应急指挥部,指所在地区、部门网络安全事件应急预案中规定的本级网络安全应急指挥机构。6.1.2各级网络安全应急办公室,指所在地区、部门网络安全事件应急预案中规定的本级网络安全应DB 23/T 350520234急指挥部的办事机构。6.1.3网络运营者,指网络的所有者、管理者和网络服务提供者。6.1.4网络产品和服务提供者,指网络设备、网络安全产品和服务的提供者。6.1.5省应急支撑单位
13、,指按照黑龙江省网络安全事件应急预案有关规定,省委网信办牵头组织评估和认定的我省网络安全应急技术支撑队伍。6.2职责6.2.1各级网络安全应急指挥部,负责统一领导、组织和指挥所在地区、部门网络安全事件应急处置工作。6.2.2各级网络安全应急办公室,负责本级网络安全应急指挥部的事务性工作,具体负责本地区、本部门、本单位网络安全事件应急处置的组织和协调。6.2.3网络运营者,负责所拥有、管理网络的网络安全事件应急处置。6.2.4网络产品和服务提供者,负责按照国家法律法规以及服务合同要求协助网络安全应急办公室、网络运营者进行网络安全事件应急处置。6.2.5省应急支撑单位,负责在省网络安全应急办公室的
14、组织指导下提供技术支持。7应急处置流程及措施7.1一般要求7.1.1相关机构可参考本标准制定的流程及措施开展网络安全事件应急处置工作,如上级部门相关通报中包含具体处置措施,建议满足上级部门相关要求的同时,结合本标准部分流程及措施开展应急处置工作。7.1.2网络运营者应当制定网络安全应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生网络安全事件时,立即启动应急预案,采取相应补救措施,并按照规定向有关主管部门报告。7.2级事件(特别重大网络安全事件)7.2.1处置流程发生级网络安全事件后,网络运营者、网络安全应急办公室、应急支撑单位、网络产品和服务提供者按图A.1所示流程
15、进行应急处理,见附录A。7.2.2处置管理措施7.2.2.1网络运营者7.2.2.1.1立即启动本单位网络安全应急预案进行紧急处置,同时填写网络安全事件上报表(网络运营者),见附录 B 中表 B.1。7.2.2.1.2立即向所在市(地)、部门网络安全应急办公室及有关主管部门报告。7.2.2.1.3及时向所在市(地)、部门网络安全应急办公室报告事态发展变化情况和处置进展情况。7.2.2.1.4配合国家网络安全应急办公室组织的调查取证。7.2.2.1.5按照要求采取备份数据、保护设备、排查隐患等应急措施。7.2.2.1.6按照要求恢复受破坏的网络和信息系统正常运行。7.2.2.1.7保留应急恢复过
16、程中相关证据。DB 23/T 3505202357.2.2.1.8配合国家网络安全应急办公室组织的调查评估。7.2.2.2市(地)、部门网络安全应急办公室7.2.2.2.1立即组织先期处置。7.2.2.2.2组织进行事件级别研判,同时填写网络安全事件上报表(网络安全应急办公室),见附录 C 中表 C.1,若初判为特别重大(级)网络安全事件,立即向本级网络安全应急指挥部、省网络安全应急办公室报告。7.2.2.2.3配合国家网络安全应急办公室启动本地区、本部门级响应。7.2.2.2.4启动 24 小时值班,派员参加省网络安全应急办公室工作。7.2.2.2.5及时向省网络安全应急办公室报告事态发展变
17、化情况和处置进展情况。7.2.2.2.6配合国家网络安全应急办公室组织的调查取证。7.2.2.2.7掌握本地区、本部门网络和信息系统受事件影响情况,并向省网络安全应急办公室报告。7.2.2.2.8协助国家网络安全应急办公室研究对策。7.2.2.2.9执行国家网络安全应急办公室决策部署。7.2.2.2.10提出其他市(地)、部门协调需求。7.2.2.2.11提出省网络安全应急技术支撑队伍支持需求。7.2.2.2.12督促相关运行单位有针对性地加强防范,防止事态蔓延。7.2.2.2.13协调配合网络安全事件引发的其他突发事件的应急处置。7.2.2.2.14按照国家网络安全应急办公室要求结束级响应。
18、7.2.2.2.15配合国家网络安全应急办公室组织的调查评估。7.2.2.3省网络安全应急办公室7.2.2.3.1组织进行事件级别再次研判,同时填写网络安全事件上报表(网络安全应急办公室),见附录 C 中表 C.1,若研判为特别重大(级)网络安全事件,立即向省网络安全应急指挥部、国家网络安全应急办公室报告。7.2.2.3.2配合国家网络安全应急办公室启动级响应。7.2.2.3.3启动 24 小时值班,派员参加国家网络安全机构工作。7.2.2.3.4及时向国家网络安全应急办公室报告事态发展变化情况和处置进展情况。7.2.2.3.5配合国家网络安全应急办公室组织的调查取证。7.2.2.3.6协助国
19、家网络安全应急办公室研究对策。7.2.2.3.7执行国家网络安全应急办公室决策部署。7.2.2.3.8督促相关运行单位有针对性地加强防范,防止事态蔓延。7.2.2.3.9提出其他省(市)协调需求。7.2.2.3.10开展市(地)间、部门间的工作协调。7.2.2.3.11协调省网络安全应急技术支撑队伍向相关市(地)、部门提供技术支持。7.2.2.3.12协调配合网络安全事件引发的其他突发事件的应急处置。7.2.2.3.13按照国家网络安全应急办公室要求结束级响应。7.2.2.3.14配合国家网络安全应急办公室组织的调查评估。7.2.2.4省应急支撑单位7.2.2.4.1协助省网络安全应急办公室提
20、出事件处置对策意见。7.2.2.4.2协助省网络安全应急办公室进行调查取证。7.2.2.4.3按照省网络安全应急办公室要求,向相关市(地)、部门提供技术支持。DB 23/T 3505202367.2.2.5网络产品和服务提供者7.2.2.5.1按照国家法律法规以及服务合同要求协助网络运营者进行应急处置。7.2.2.5.2为调查取证、调查评估提供技术支持和协助。7.2.3处置技术措施7.2.3.1常规技术措施7.2.3.1.1备份系统日志、应用日志、数据库日志、审计日志、网络及安全设备日志,用于分析和溯源。相关网络日志留存周期不少于六个月。7.2.3.1.2检测网络设备、安全设备的安全配置情况,
21、包括管理员账号权限与口令、配置策略、日志、访问记录等。7.2.3.1.3抓取被破坏系统的网络流量,检测异常流量。7.2.3.1.4检测异常端口与服务,关闭与业务无关端口。7.2.3.1.5使用专用工具检测操作系统、数据库、应用系统的安全性,发现木马、后门等,应先备份再删除。7.2.3.1.6重置操作系统、应用系统、数据库系统的管理员账号口令,检测用户配置策略是否正常。7.2.3.1.7检测操作系统、应用系统、数据库系统、开发框架、中间件的安全补丁更新情况及漏洞扫描情况。7.2.3.1.8检测应用系统对通过人机接口或通信接口输入数据的验证措施是否有效。7.2.3.1.9检测被破坏应用系统的源代码
22、,分析代码的安全性。7.2.3.1.10对被破坏的应用系统开启 724 小时安全检测。7.2.3.1.11检测审计系统的工作情况,确保相关审计功能开启、审计内容和记录保存完整。7.2.3.1.12检测数据通信安全的有效性,确认数据传输经过加密且保证数据完整性。7.2.3.1.13采取其他可发现系统隐患或漏洞的技术措施。7.2.3.1.14检查门禁系统与视频监控系统,确保功能的可用,用于随时调用和查看。7.2.3.1.15其他技术措施检查与维护备品备件与冗余线路、电路,可随时根据需要替换上线。7.2.3.2证据留存技术措施通过查看被攻击系统的硬件、软件配置参数、审计记录,以及从安全管理制度和人员
23、状况等方面进行取证调查,通过截图、拍照、备份等方式收集被攻击证据,应包含以下方面:a)对于网络安全事件,应对被破坏系统进行断网处理,保护好系统环境,等待专业人员处置;b)留存当前信息系统网络拓扑图和网络拓扑结构;c)留存当时系统运行状态的虚拟机快照;d)留存系统运行状态,包括帐户登录记录、网络连接状态、文件访问状态、进程运行状态、内存镜像等易失数据;e)保留被破坏系统的数据、文件、源代码、异常现象拍照或截图等;f)在删除恶意文件前,应先做好备份,同时保存各恶意文件的哈希校验值;g)留存系统硬件(主机设备、网络设备、安全设备)设备及其配置参数清单;h)留存系统软件(操作系统)、应用软件(数据库、
24、中间件、开发框架)的配置参数清单;i)留存应用程序文件列表及源代码;j)留存系统运维记录、系统审计日志(网络日志、操作系统日志、数据库日志、中间件日志、应用程序操作日志等)、安全产品日志;DB 23/T 350520237k)留存网络、操作系统、数据库、中间件、应用程序操作等账号权限(角色、组、用户等)的分配列表;l)留存其他应留存的相关证据。7.3级事件(重大网络安全事件)7.3.1处置流程发生级网络安全事件后,网络运营者、网络安全应急办公室、应急支撑单位、网络产品和服务提供者按图D.1所示流程进行应急处理,见附录D。7.3.2处置管理措施7.3.2.1网络运营者7.3.2.1.1立即启动本
25、单位网络安全应急预案进行紧急处置,同时填写网络安全事件上报表(网络运营者),见附录 B 中表 B.1。7.3.2.1.2立即向所在市(地)、部门网络安全应急办公室及有关主管部门报告。7.3.2.1.3及时向所在市(地)、部门网络安全应急办公室报告事态发展变化情况和处置进展情况。7.3.2.1.4配合省网络安全应急办公室组织的调查取证。7.3.2.1.5按照要求采取备份数据、保护设备、排查隐患等应急措施。7.3.2.1.6按照要求恢复受破坏的网络和信息系统正常运行。7.3.2.1.7保留应急恢复过程中相关证据。7.3.2.1.8配合省网络安全应急办公室组织的调查评估。7.3.2.2市(地)、部门
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB23T 3505-2023 网络安全事件应急处置规范黑龙江省 DB23 3505 2023 网络安全 事件 应急 处置 规范 黑龙江省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。