网络安全事件应对手册.docxVIP

网络安全事件应对手册

第1章

1.1安全事件定义与识别标准

安全事件是指网络信息系统遭受攻击、破坏、篡改或意外故障，导致系统功能丧失、数据泄露或业务中断，且未造成灾难性后果的事件。根据ISO/IEC27367标准，网络安全事件通常分为内部事件、外部事件和混合事件三大类，其中外部事件多由黑客攻击或勒索软件发起，需重点排查。事件识别需遵循“三要素”原则：即受影响对象（如服务器、数据库）、受影响范围（如某部门或全网）及影响程度（如仅导致短暂卡顿或数据丢失）。系统管理员在发现异常流量或登录失败时，应立即评估是否触发上述条件，若确认则启动初步识别流程。

识别标准中规定，当检测到攻击特征时，需区分是误报还是真实入侵。例如，若防火墙日志显示大量未授权IP连接至数据库端口，且该IP段与已知攻击源库匹配，即可判定为真实入侵事件，而非正常业务波动。识别过程要求全面扫描，不仅关注已知漏洞，还需利用行为分析技术捕捉隐蔽攻击。例如，通过流量镜像分析，若发现非工作时间的大规模数据行为，即使未命中已知漏洞，也应视为潜在安全事件进行人工复核。数据判定需结合业务影响值（BIV）进行量化评估，避免过度反应或漏报。若某事件导致核心交易中断超过30分钟，且数据完整性受损，则必须按最高级别事件上报，即使该事件未造成人员伤害或物理资产损失。

识别后的第一步是隔离系统以防止扩散。对于已确认入