Q∕SY 1345-2010 計算機(jī)病毒與網(wǎng)路入侵應(yīng)急響應(yīng)管理規(guī)范

1、Q/SY中國石油天然氣翻公司企業(yè)標(biāo)準(zhǔn)Q/SY 13452010計算機(jī)病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)管理規(guī)范Specifications for the emergency response tocomputer virus and network intrusion2010-05-25 發(fā)布2010-08-01 實施中國石油天然氣集團(tuán)公司發(fā)布Q/SY 13452010I目 次ww TOC o 1-5 h z 1細(xì)12規(guī)范性引用文件13術(shù)語和定義14 組織機(jī)構(gòu)及職責(zé) 25計算機(jī)病毒事件分類與分級 26網(wǎng)絡(luò)入侵事件分類與分級 27 應(yīng)急響應(yīng)3Q/SY 13452010-XX-刖 國本標(biāo)準(zhǔn)是中國石油天然氣集

2、團(tuán)公司信息技術(shù)專業(yè)安全系列企業(yè)標(biāo)準(zhǔn)之一。信息技術(shù)專業(yè)安全系列 企業(yè)標(biāo)準(zhǔn)共6項標(biāo)準(zhǔn)，另外5項標(biāo)準(zhǔn)是：一 /SY 13412010信息系統(tǒng)安全管理規(guī)范， /SY 13422010終端計算機(jī)安全管理規(guī)范，/SY 13432010信息安全風(fēng)險評估實施指南；一 /SY 13442010信息系統(tǒng)密碼安全管理規(guī)范， /SY 13462010信息系統(tǒng)用戶管理規(guī)范。本標(biāo)準(zhǔn)由中國石油天然氣集團(tuán)公司信息技術(shù)專業(yè)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本標(biāo)準(zhǔn)起草單位：中國石油集團(tuán)東方地球物理勘探有限責(zé)任公司。本標(biāo)準(zhǔn)主要起草人：靖小偉、楊志賢、滕征岑、馮梅、王峰、劉建兵、王春偉、徐健、胡靜、劉 安卓、王巖、韓雪、張凱、張楠楠、偶亞

3、偉。Q/SY 13452010Q/SY 13452010計算機(jī)病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)管理規(guī)范1范圍本標(biāo)準(zhǔn)規(guī)定了計算機(jī)病毒事件分類與分級、網(wǎng)絡(luò)人侵事件分類與分級，確定了應(yīng)急響應(yīng)流程。 本標(biāo)準(zhǔn)適用于中國石油天然氣集團(tuán)公司（以下簡稱“中國石油”）總部及所屬各企事業(yè)單位（中 國石油所屬各企事業(yè)單位）的計算機(jī)網(wǎng)絡(luò)、服務(wù)器、終端計算機(jī)在計算機(jī)病毒事件與網(wǎng)絡(luò)人侵安全事 件方面的應(yīng)對與緊急處置。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有 的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方 研究是否可使用這些文件的最

4、新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/Z 209862007信息安全技術(shù)信息安全事件分類分級指南3術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1信息系統(tǒng) information system由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息 進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。GB/Z 209862007,定義 2.13.2信息安全事件 information security incident由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶?fù)面 影響的事件。GB/Z 209862007,定義

5、 2.23.3計算機(jī)病毒 computer virus編制或者在計算機(jī)程序中插人的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù) 制的一組計算機(jī)指令或者程序代碼。3.4網(wǎng)絡(luò)入侵 network intrusion具有熟練編寫和調(diào)試計算機(jī)程序技巧，并使用這些技巧獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問，入 侵公司內(nèi)部網(wǎng)絡(luò)的行為。3.5計算機(jī)病毒事件 computer virus incidents蓄意制造、傳播計算機(jī)病毒，或是因受到計算機(jī)病毒影響而導(dǎo)致的信息安全事件。Q/SY 13452010 Q/SY 13452010GB/Z 209862007, 4.2.1 a）中的第一句3.6網(wǎng)絡(luò)入侵事

6、件 network intrusion incidents通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信 息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。 GB/Z 209862007, 4.2.2 中的第一段4組織機(jī)構(gòu)及職責(zé)4.1中國石油信息管理部負(fù)責(zé)管理所屬各企事業(yè)單位計算機(jī)毒事件與網(wǎng)絡(luò)人侵事件。4.2所屬各企事業(yè)單位信息管理部門所屬各企事業(yè)單位應(yīng)建立應(yīng)急響應(yīng)機(jī)制，胃E響應(yīng)小組，負(fù)責(zé)本單位計算機(jī)病毒事件與網(wǎng)絡(luò) 人侵事件鯉I作。4.3專家組由中國石油高級技術(shù)專家、信息系統(tǒng)安全專業(yè)人員和顧問組成。車要職責(zé)是對發(fā)生的安全事件

7、進(jìn) 行認(rèn)定，制定應(yīng)急解決方案，現(xiàn)場技術(shù)支持，協(xié)同中國石油信息管理部進(jìn)行事后評估。5計算機(jī)病毒事件分類與分級5.1計算機(jī)病毒事件分類按GB/Z 209862007 .2.1的規(guī)定，對計算毒事件進(jìn)行分f5.2計算機(jī)病毒事件分級中國石油信息系統(tǒng)安全等g詩護(hù)劃分詳見“信息系統(tǒng)安全等級保護(hù)內(nèi)容備案表”，證書編號為 01000833003 000010005, 01000833003 OOQUz00022, 01000833003 0002400025 0I級事件（特別指計算機(jī)病毒事件突然爆發(fā)，導(dǎo)致信i胃保護(hù)等級為m級、iv_的信息系統(tǒng)業(yè)務(wù)中斷、總 部至所屬各企事業(yè)單位鏈路全部中斷，對業(yè)務(wù)造成特的信息安全

8、事件。n 級事件（重大）指計算機(jī)病毒事件突然導(dǎo)致信息系統(tǒng)安全保護(hù)等級為n級的信息系統(tǒng)部分業(yè)務(wù)中斷、總部 至所屬各企事業(yè)單位之間鏈路多條中斷，對業(yè)務(wù)造成嚴(yán)重影響的信息安全事件。m級事件（較大）所屬各企事業(yè)單位局域網(wǎng)內(nèi)部爆發(fā)計算機(jī)病毒，但沒有影響其他企事業(yè)單位局域網(wǎng)的信息安全事IV級事件（一般）1所屬各企事業(yè)所屬的廠礦級單位內(nèi)部爆發(fā)計算機(jī)病毒，但沒有影響本單位局域網(wǎng)的信息安全事 件。6網(wǎng)絡(luò)入侵事件分類與分級6.1網(wǎng)絡(luò)入侵事件分類按GB/Z 209862007中4.2.2的規(guī)定，對網(wǎng)絡(luò)人侵事件進(jìn)行分類。6.2網(wǎng)絡(luò)入侵事件分級6.2.1 I級事件（特別重大）指網(wǎng)絡(luò)入侵事件突然發(fā)生，導(dǎo)致信息系統(tǒng)安全保護(hù)

9、等級為m級、iv級的信息系統(tǒng)業(yè)務(wù)中斷，總部至所屬各企事業(yè)單位鏈路全部中斷，對業(yè)務(wù)造成特別重大影響的信息安全事件。n級事件（重大）指網(wǎng)絡(luò)人侵事件突然發(fā)生，導(dǎo)致信息系統(tǒng)安全保護(hù)等級為n級的信息系統(tǒng)部分業(yè)務(wù)中斷、總部至 所屬各企事業(yè)單位之間鏈路多條中斷，對業(yè)務(wù)造成嚴(yán)重影響的信息安全事件。ID級事件（較大）所屬各企事業(yè)單位內(nèi)部五臺或五臺以上服務(wù)器被人侵，但不會影響其他企事業(yè)單位局域網(wǎng)的信息 安全事件。IV級事件（一般）.X所屬各企事業(yè)所屬的廠礦級單位內(nèi)部五臺以下服務(wù)器_麥侵，_、倉影響本單位局域網(wǎng)的信息安 全事件。7應(yīng)急響應(yīng)7.1預(yù)防所屬各企事業(yè)單位信息管理部門應(yīng)對服務(wù)器、終端社算機(jī)統(tǒng)一安裝計算機(jī)殺毒

10、軟件、補(bǔ)丁升級軟 件、網(wǎng)絡(luò)準(zhǔn)人控制軟件并進(jìn)彳毒定義碼、安全1丁和安策略升:所屬各企事業(yè)單位信息管理部門應(yīng)建立脅份認(rèn)證和授K管理機(jī)1，_服務(wù)器、終端計算機(jī)重要數(shù) 據(jù)定期進(jìn)行備份，確定備份數(shù)據(jù)的可用性，定期進(jìn)行安7.2應(yīng)急響應(yīng)啟動發(fā)生計算機(jī)病毒事件或網(wǎng)絡(luò)人侵事件時，事發(fā)單位信，|管理部! 先期處理，控制事件發(fā)展，根 據(jù)事件級別分級上報。I級事件上報信息化領(lǐng)導(dǎo)小M_級事件 艱牟國石油信息管理部；m級、 IV級事件上報本單位信息管理部門。7.3應(yīng)急響應(yīng)流程I級事件響應(yīng)I級事件發(fā)生時，事發(fā)單位信息管理部門應(yīng)立即頭施先期處置，控制事態(tài)發(fā)展，確定事件類 別，將事件信息在2h內(nèi)向信息化領(lǐng)導(dǎo)小組報吿。發(fā)生涉泄露

11、國_秘密的安全事件，按保密流程上 7.3.1.2信息化領(lǐng)導(dǎo)小組組織召開首次會議，并派中國石曲信息管理部檜息系統(tǒng)安全負(fù)責(zé)人和專家組 人員赴現(xiàn)馳難s歷工作|73.1.3中國石油信息管理部信息系統(tǒng)安全負(fù)責(zé)人和專家人員到場后立即開展現(xiàn)場應(yīng)急處置工 作，收集現(xiàn)場信息，掌握事態(tài)的發(fā)展趨勢，查找事件起因P制定應(yīng)1邊置方案并組織開展工作?？刂?事態(tài)的發(fā)展，抑制事件影響的進(jìn)I步擴(kuò)大，及時向信息化領(lǐng)導(dǎo)小組 後事件進(jìn)展情況，并落實有關(guān)指 令。I級事件危險因素消除后，專家組將整個事件的：置過程檔記錄，經(jīng)中國石油信息管理部確認(rèn)后上報信息化領(lǐng)導(dǎo)由信息化領(lǐng)導(dǎo)小組下達(dá)急狀態(tài)指令。7.3.2 n級事件響應(yīng)n級事件發(fā)生時，事發(fā)單

12、位信息管理部門應(yīng)立即實施先期處置，控制事態(tài)發(fā)展，確定事件類 別，將事件信息在2h內(nèi)向中國石油信息管理部報告。73.2.2中國石油信息管理部組織召開首次會議，并派專家組人員赴現(xiàn)場協(xié)調(diào)應(yīng)急處置工作。7.3.23 專家組人員到達(dá)現(xiàn)場后立即開展現(xiàn)場應(yīng)急處置工作，收集現(xiàn)場信息，掌握事態(tài)的發(fā)展趨勢， 查找事件起因，制定應(yīng)急處置方案并組織開展工作?？刂剖聭B(tài)的發(fā)展，抑制事件影響的進(jìn)一步擴(kuò)大， 及時向中國石油信息管理部上報事件進(jìn)展情況，并落實有關(guān)指令。n級事件危險因素消除后，專家組將整個事件的處置過程的文檔記錄上報中國石油信息管理Q/SY 13452010部，并由中國石油信息管理部下達(dá)應(yīng)急狀態(tài)解除指令。m級事件響應(yīng)m級事件發(fā)生時，計算機(jī)使用人員應(yīng)將事件信息在4h內(nèi)上報本單位信息管理部門。73.3.2本單位信息管理部門應(yīng)根據(jù)計算機(jī)使用人員報吿，收集現(xiàn)場信息，查找事件起因，制定應(yīng)急 處置方案并組織開展工作，控制事態(tài)的發(fā)展，抑制事件影響的進(jìn)一步擴(kuò)大。IV級事件響應(yīng)IV級事件發(fā)生后，計算機(jī)使用人員應(yīng)將事件信息在4h內(nèi)上報本單位信息管理部門。73.4.2本單位信息管理部門應(yīng)根據(jù)計算機(jī)使用人員報告，收集現(xiàn)場信息，查找事件起因，及時修復(fù) 信息系統(tǒng)、數(shù)據(jù)和程序。7.4恢復(fù)與重建應(yīng)急處置工作結(jié)束后，事發(fā)單位信息管理部門做好突發(fā)事件中損失情況的統(tǒng)計、匯總，并開展恢 復(fù)與重