DB11∕T 1654-2019 信息安全技术 网络安全事 件应急处置规范.docxVIP

ICS35.040L80

备案号：62698-2019

DB11

北京市地方标准

DB11/T1654—2019

信息安全技术网络安全事件应急处置规范

Informationsecuritytechnology

Networksecurityincidentsemergencydisposalregulations

2019-09-26发布2020-01-01实施

北京市市场监督管理局发布

I

DB11/T1654—2019

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4网络安全事件分类与分级 2

5网络安全事件调查处置 3

6日常防范和应急工作准备 11

附录A（规范性附录）网络安全事件上报表 13

附录B（规范性附录）第三方网络安全事件分析表 15

附录C（规范性附录）网络安全事件备案表 17

附录D（规范性附录）网络安全事件现场调查表 19

附录E（规范性附录）网络安全事件处置工作报告 22

附录F（规范性附录）信息系统资产名单 23

参考文献 25

DB11/T1654—2019

II

前言

本标准按照GB/T1.1—2009提出的规则起草编写。

本标准由北京市公安局提出并归口。

本标准由北京市公安局组织实施。

本标准主要起草单位：北京市公安局、北京市委网信办、公安部第一研究所、中科信息安全共性技术国家工程研究中心有限公司。

本规范主要起草人：纪小默、赵悦、石锐、赵志巍、柳亮、尹航、王京军、张越今、问闻、李梦姣、周堃、菅强、张昕、宋扬、金镁、张红、石浩、俞诗源、杨虎、王海珍、万鹏。

DB11/T1654—2019

1

信息安全技术网络安全事件应急处置规范

1范围

本标准规定了网络安全事件的网络安全事件分类与分级、调查处置、日常监测和应急工作准备。

本标准适用于非涉及国家秘密的信息系统运营使用者、行业主管部门、监管部门以及网络安全事件应急支撑队伍使用。

本标准不适用于涉及国家秘密的信息系统的安全事件调查处置。

2术语和定义

下列术语和定义适用于本规范。

2.1

信息系统informationsystem

由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.2

网络安全事件Networksecurityincident

由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。如计算机病毒、特洛伊木马、拒绝服务攻击、漏洞攻击事件、网络扫描窃听攻击等事件。

2.3

应急处置emergencydisposal

通过采取断网或者停止服务等手段控制事态发展，防止事件蔓延。

2.4

信息安全等级保护classifiedprotectionofinformationsystemsecurity

指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的网络安全事件分等级响应、处置。下文所述的系统级别均为信息安全等级保护级别。

3网络安全事件分类与分级

3.1事件分类

3.1.1安全风险

2

DB11/T1654—2019

指因信息系统存在缺陷和风险，系统面临发生安全事故的事件。信息安全风险可以分为安全管理制度的制定或执行上存在的缺陷；系统在设计和建设时遗留下来的安全风险；系统硬件设施存在安全风险，说明如下：

a)安全管理制度的制定或执行上存在的缺陷。如未定期进行应急演练或未定期更新完善应急预案等情况造成的安全风险；

b)系统在设计和建设时遗留下来的安全风险。如带宽设计不足、系统存在漏洞等方面带来的安全风险；

c)系统硬件设施存在安全风险，如部件老化或自带有可被攻击利用的功能模块等各种形式的硬件设施安全风险。

3.1.2安全攻击事件

指通过网络或其他技术手段，利用信息系统的缺陷或使用暴力攻击对信息系统实施攻击，或人为使用非技术手段对信息系统进行破坏，而造成信息系统异常的事件。安全攻击事件可以分为有害程序事件、网络攻击事件、信息破坏事件和物理破坏事件等，说明如下：

a)有害程序事件包括计算机病毒事件、蠕虫事件、