DB11-T 1654-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范

ICS35.040

L80

備案號：62698-2019DB11

北京市地方標(biāo)準(zhǔn)

DB11/T1654—2019

信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范

Informationsecuritytechnology

Networksecurityincidentsemergencydisposalregulations

2019-09-26發(fā)布2020-01-01實施

北京市市場監(jiān)督管理局發(fā)布

DB11/T1654—2019

信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全事件的網(wǎng)絡(luò)安全事件分類與分級、調(diào)查處置、日常監(jiān)測和應(yīng)急工作準(zhǔn)備。

本標(biāo)準(zhǔn)適用于非涉及國家秘密的信息系統(tǒng)運營使用者、行業(yè)主管部門、監(jiān)管部門以及網(wǎng)絡(luò)安全事件

應(yīng)急支撐隊伍使用。

本標(biāo)準(zhǔn)不適用于涉及國家秘密的信息系統(tǒng)的安全事件調(diào)查處置。

2術(shù)語和定義

下列術(shù)語和定義適用于本規(guī)范。

2.1

信息系統(tǒng)informationsystem

由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)

行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

2.2

網(wǎng)絡(luò)安全事件Networksecurityincident

由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶?fù)面影

響的事件。如計算機病毒、特洛伊木馬、拒絕服務(wù)攻擊、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽攻擊等事件。

2.3

應(yīng)急處置emergencydisposal

通過采取斷網(wǎng)或者停止服務(wù)等手段控制事態(tài)發(fā)展，防止事件蔓延。

2.4

信息安全等級保護classifiedprotectionofinformationsystemsecurity

指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息

的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)

生的網(wǎng)絡(luò)安全事件分等級響應(yīng)、處置。下文所述的系統(tǒng)級別均為信息安全等級保護級別。

3網(wǎng)絡(luò)安全事件分類與分級

3.1事件分類

3.1.1安全風(fēng)險

1

DB11/T1654—2019

指因信息系統(tǒng)存在缺陷和風(fēng)險，系統(tǒng)面臨發(fā)生安全事故的事件。信息安全風(fēng)險可以分為安全管理制

度的制定或執(zhí)行上存在的缺陷；系統(tǒng)在設(shè)計和建設(shè)時遺留下來的安全風(fēng)險；系統(tǒng)硬件設(shè)施存在安全風(fēng)險，

說明如下：

a)安全管理制度的制定或執(zhí)行上存在的缺陷。如未定期進(jìn)行應(yīng)急演練或未定期更新完善應(yīng)急預(yù)案

等情況造成的安全風(fēng)險；

b)系統(tǒng)在設(shè)計和建設(shè)時遺留下來的安全風(fēng)險。如帶寬設(shè)計不足、系統(tǒng)存在漏洞等方面帶來的安全

風(fēng)險；

c)系統(tǒng)硬件設(shè)施存在安全風(fēng)險，如部件老化或自帶有可被攻擊利用的功能模塊等各種形式的硬件

設(shè)施安全風(fēng)險。

3.1.2安全攻擊事件

指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，或人為使

用非技術(shù)手段對信息系統(tǒng)進(jìn)行破壞，而造成信息系統(tǒng)異常的事件。安全攻擊事件可以分為有害程序事件、

網(wǎng)絡(luò)攻擊事件、信息破壞事件和物理破壞事件等，說明如下：

a)有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻

擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件；

b)網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)

絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件；

c)信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事

件和其他信息破壞事件；

d)物理破壞事件是指蓄意地對保障信息系統(tǒng)正常運行的硬件、軟件等實施竊取、破壞造成的網(wǎng)

絡(luò)安全事件。

3.1.3設(shè)備設(shè)施故障

設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)安全事件，以及人為的

使用非技術(shù)手段無意的造成信息系統(tǒng)設(shè)備設(shè)施損壞的網(wǎng)絡(luò)安全事件。設(shè)備設(shè)施故障包括軟硬件自身故

障、外圍保障設(shè)施故障和其它設(shè)備設(shè)施故障等3個子類，說明如下：

a)軟硬件自身故障：是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計缺陷或者軟硬件運行環(huán)

境發(fā)生變化等而導(dǎo)致的網(wǎng)絡(luò)安全事件；

b)外圍保障設(shè)施故障：是指由于保障信息系統(tǒng)正常運行所必須的外部設(shè)施自身出現(xiàn)故障而導(dǎo)致的

網(wǎng)絡(luò)安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的網(wǎng)絡(luò)安全事件；

c)其它設(shè)備設(shè)施故障：是指不能被包含在以上2個子類之中的設(shè)備設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)安全事

件。

3.1.4災(zāi)害性事件

災(zāi)害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的網(wǎng)絡(luò)安全事件。災(zāi)害性事件包括

水災(zāi)、臺風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等導(dǎo)致的網(wǎng)絡(luò)安全事件。

3.1.5其他

不屬于以上四類的網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件。

3.2事件分級

3.2.1Ⅰ級

2

DB11/T1654—2019

符合下列情形之一的，為I級網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件:

a)等級保護3級（含）以上信息系統(tǒng)，發(fā)生系統(tǒng)中斷運行或出現(xiàn)嚴(yán)重信息泄露，造成嚴(yán)重影響。

b)等級保護3級（含）以上信息系統(tǒng)，發(fā)生數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會

穩(wěn)定構(gòu)成嚴(yán)重威脅，或?qū)е聡?yán)重經(jīng)濟損失。

c)其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的網(wǎng)絡(luò)與網(wǎng)絡(luò)

安全事件。

3.2.2Ⅱ級

符合下列情形之一且未達(dá)到I級的，為Ⅱ級網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件:

a)等級保護2級信息系統(tǒng)，發(fā)生系統(tǒng)中斷運行或出現(xiàn)嚴(yán)重泄露，造成較嚴(yán)重影響。

b)等級保護2級信息系統(tǒng)，發(fā)生數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社穩(wěn)定構(gòu)成威脅，

或?qū)е螺^嚴(yán)重經(jīng)濟損失。

c)其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影響的網(wǎng)絡(luò)與

網(wǎng)絡(luò)安全事件。

3.2.3Ⅲ級

除上述情形外的其它網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件為一般事件。

4網(wǎng)絡(luò)安全事件調(diào)查處置

4.1事件發(fā)現(xiàn)及處置

4.1.1分級處置

I級網(wǎng)絡(luò)安全事件處置

發(fā)生I級網(wǎng)絡(luò)安全事件后，事發(fā)單位、監(jiān)管部門、行業(yè)主管、技術(shù)支持單位、公安機關(guān)應(yīng)按照圖1

所示的Ⅰ級網(wǎng)絡(luò)安全事件處置流程分別開展工作。

3

DB11/T1654—2019

圖1Ⅰ級網(wǎng)絡(luò)安全事件處置流程

4

DB11/T1654—2019

.1網(wǎng)絡(luò)安全事件處置

由于Ⅰ級事件對應(yīng)信息系統(tǒng)等級較高，涉及范圍更廣，網(wǎng)絡(luò)安全事件處置小組需確保足夠的資源及

技術(shù)能力，以應(yīng)對可能存在的各項工作，包括值班、出差、技術(shù)分析、系統(tǒng)加固、系統(tǒng)驗證等方面的工

作。

a)事發(fā)單位首先開展應(yīng)急處置工作，同時填報《網(wǎng)絡(luò)安全事件上報表》(見附錄A中表A.1)，將

安全事件上報監(jiān)管部門、行業(yè)主管并向公安機關(guān)報案。

b)監(jiān)管部門收到I級安全事件報告后，牽頭組建網(wǎng)絡(luò)安全事件處置小組，由監(jiān)管部門、公安機關(guān)、

行業(yè)主管、事發(fā)單位以及技術(shù)支持單位等共同組成。由監(jiān)管部門統(tǒng)一指揮安全事件處置；

c)行業(yè)主管負(fù)責(zé)協(xié)助監(jiān)管部門組建處置小組并指導(dǎo)事發(fā)單位開展事件緊急處置工作；

d)事發(fā)單位負(fù)責(zé)在處置小組的指導(dǎo)下開展處置工作的實施，協(xié)助公安機關(guān)取證、調(diào)查，并填報《第

三方網(wǎng)絡(luò)安全事件分析表》（見附錄B中表B.1）；

e)技術(shù)支持單位負(fù)責(zé)在處置小組指導(dǎo)下提供技術(shù)支持，提出處置方案，并分析事件成因，提出防

范方案；

f)公安機關(guān)負(fù)責(zé)取證、調(diào)查以及立案的工作，并填寫《網(wǎng)絡(luò)安全事件備案表》（見附錄C中表

C.1）。

.2判斷網(wǎng)絡(luò)安全事件類型并進(jìn)行應(yīng)急處置

被攻擊信息系統(tǒng)具備完善的應(yīng)急處理機制的，信息系統(tǒng)運營使用者可結(jié)合網(wǎng)絡(luò)安全事件具體情況，

依據(jù)信息系統(tǒng)運營使用者及其行業(yè)主管部門制定的信息安全應(yīng)急響應(yīng)措施、策略及流程，開展應(yīng)急處置

工作，并填報《網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表》（附錄D中表D.1）Ⅰ級事件對應(yīng)的信息系統(tǒng)均符合等級保護

三級以上要求，具備如雙機雙線、異地存儲等措施，可以快速恢復(fù)系統(tǒng)功能，但過程中要注意保存相關(guān)

證據(jù)，便于公安機關(guān)立案調(diào)查。

被攻擊信息系統(tǒng)的應(yīng)急處理機制缺失的，可參考以下內(nèi)容進(jìn)行應(yīng)急處置，并填報《網(wǎng)絡(luò)安全事件現(xiàn)

場調(diào)查表》，具體要求如下：

a)發(fā)生安全攻擊類事件時，如果確認(rèn)重要數(shù)據(jù)被竊取且事件還在持續(xù)發(fā)生，在確定被竊取系統(tǒng)的

范圍后，將被破壞系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或暫時關(guān)閉被破壞系統(tǒng)，必要時應(yīng)立即切

斷網(wǎng)絡(luò)，防止數(shù)據(jù)進(jìn)一步損失，保護數(shù)據(jù)安全；

b)發(fā)生安全攻擊類事件時，如果信息系統(tǒng)被持續(xù)攻擊，造成系統(tǒng)無法正常運行。須通過技術(shù)手段

持續(xù)監(jiān)測系統(tǒng)及網(wǎng)絡(luò)狀態(tài)，記錄異常流量的遠(yuǎn)程IP、域名和端口，分析原因。事件處置人員

須及時保護現(xiàn)場，配合公安機關(guān)現(xiàn)場調(diào)查與取證；

c)發(fā)生信息內(nèi)容安全類事件時，信息系統(tǒng)被篡改、假冒,造成嚴(yán)重社會影響。信息系統(tǒng)運營使用

者須完整保存被篡改的網(wǎng)站系統(tǒng)，避免重要線索數(shù)據(jù)丟失。然后，采取技術(shù)手段立即刪除惡意

信息，停止信息的傳播。事件處置人員須保存數(shù)據(jù)信息、保存日志、源代碼等文件，用于技術(shù)

分析及取證調(diào)查；

d)發(fā)生設(shè)備設(shè)施故障類安全事件時，基礎(chǔ)設(shè)施被破壞導(dǎo)致網(wǎng)絡(luò)鏈路斷開、設(shè)備損壞、電力故障、

物品丟失被盜等事件。須立即啟用備用設(shè)備、冗余鏈路、冗余電力。同時，保存門禁系統(tǒng)出入

記錄、視頻監(jiān)控信息，在系統(tǒng)恢復(fù)后通過該記錄信息查找可疑人員。

.3制定處置方案并實施

安全事件得到控制后，網(wǎng)絡(luò)安全事件處置小組充分評估被破壞系統(tǒng)的影響范圍、影響程度，上報有

關(guān)部門，通報有關(guān)單位，做好溝通協(xié)調(diào)工作。同時，調(diào)動一切資源及時設(shè)計處置方案。網(wǎng)絡(luò)安全事件處

5

DB11/T1654—2019

置小組須組織專家團隊，對方案進(jìn)行論證與評審后，方可實施。如果實施工作涉及第三方單位，須簽署

合同、授權(quán)書及人員保密協(xié)調(diào)，以確保實施內(nèi)容及質(zhì)量可控。

Ⅱ級網(wǎng)絡(luò)安全事件處置

發(fā)生Ⅱ級網(wǎng)絡(luò)安全事件后，事發(fā)單位、監(jiān)管部門、行業(yè)主管、技術(shù)支持單位、公安機關(guān)應(yīng)按照圖2

所示的Ⅱ級網(wǎng)絡(luò)安全事件處置流程分別開展工作。

圖2Ⅱ級網(wǎng)絡(luò)安全事件處置流程

.1網(wǎng)絡(luò)安全事件處置

發(fā)生Ⅱ級網(wǎng)絡(luò)安全事件后，開展以下工作：

6

DB11/T1654—2019

a)事發(fā)單位立即開展應(yīng)急處置工作，同時，上報監(jiān)管部門、行業(yè)主管并向公安機關(guān)報案；

b)監(jiān)管部門根據(jù)實際情況指導(dǎo)指導(dǎo)事發(fā)單位進(jìn)行事件的處置工作；

c)行業(yè)主管應(yīng)協(xié)助事發(fā)單位共同開展安全事件的處置工作；

d)事發(fā)單位應(yīng)積極協(xié)助公安機關(guān)進(jìn)行立案、取證、調(diào)查等工作；

e)技術(shù)支持單位負(fù)責(zé)技術(shù)支持工作；

f)公安機關(guān)負(fù)責(zé)取證、調(diào)查以及立案的工作。

.2判斷網(wǎng)絡(luò)安全事件類型并進(jìn)行應(yīng)急處置

被攻擊信息系統(tǒng)具備完善的應(yīng)急處理機制的，信息系統(tǒng)運營使用者可結(jié)合網(wǎng)絡(luò)安全事件具體情況，

依據(jù)信息系統(tǒng)運營使用者及其行業(yè)主管部門制定的信息安全應(yīng)急響應(yīng)措施、策略及流程，開展應(yīng)急處置

工作，并填報《網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表》。過程中要注意保存相關(guān)證據(jù)，便于公安機關(guān)立案調(diào)查。具

體要求如下：

a)發(fā)生安全攻擊類事件時，如果確認(rèn)重要數(shù)據(jù)被竊取且事件還在持續(xù)發(fā)生，在確定被竊取系統(tǒng)的

范圍后，將被破壞系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或暫時關(guān)閉被破壞系統(tǒng)，必要時應(yīng)立即切

斷網(wǎng)絡(luò)，防止數(shù)據(jù)進(jìn)一步損失，保護數(shù)據(jù)安全；

b)發(fā)生安全攻擊類事件時，如果信息系統(tǒng)被持續(xù)攻擊，造成系統(tǒng)無法正常運行。須通過技術(shù)手段

持續(xù)監(jiān)測系統(tǒng)及網(wǎng)絡(luò)狀態(tài)，記錄異常流量的遠(yuǎn)程IP、域名和端口，分析原因。事件處置人員

須及時保護現(xiàn)場，配合公安機關(guān)現(xiàn)場調(diào)查和取證；

c)發(fā)生信息內(nèi)容安全類事件時，信息系統(tǒng)被篡改、假冒,（如:國家機關(guān)門戶網(wǎng)站被篡改）造成嚴(yán)

重社會影響。信息系統(tǒng)運營使用者須采取技術(shù)手段立即刪除惡意信息，停止信息的傳播。事件

處置人員須保存數(shù)據(jù)信息、保存日志、源代碼等文件，用于技術(shù)分析及取證調(diào)查；

d)發(fā)生設(shè)備設(shè)施故障類安全事件時，基礎(chǔ)設(shè)施被破壞導(dǎo)致網(wǎng)絡(luò)鏈路斷開、設(shè)備損壞、電力故障、

物品丟失被盜等事件。須立即啟用備用設(shè)備、冗余鏈路、冗余電力。同時，保存門禁系統(tǒng)出入

記錄、視頻監(jiān)控信息，在系統(tǒng)恢復(fù)后通過該記錄信息查找可疑人員。

.3制定處置方案并實施

安全事件得到控制后，網(wǎng)絡(luò)安全事件處置小組充分評估被破壞系統(tǒng)的影響范圍、影響程度，上報有

關(guān)部門，通報有關(guān)單位，做好溝通協(xié)調(diào)工作。同時，進(jìn)行處置方案設(shè)計并實施。如果實施工作涉及第三

方單位，須簽署合同、授權(quán)書及人員保密協(xié)調(diào)，以確保實施內(nèi)容及質(zhì)量可控。

Ⅲ級網(wǎng)絡(luò)安全事件處置

發(fā)生Ⅲ級網(wǎng)絡(luò)安全事件后，事發(fā)單位、行業(yè)主管、技術(shù)支持單位、公安機關(guān)應(yīng)按照圖3所示的Ⅲ級

網(wǎng)絡(luò)安全事件處置流程分別開展工作。

7

DB11/T1654—2019

圖3Ⅲ級網(wǎng)絡(luò)安全事件處置流程

.1網(wǎng)絡(luò)安全事件處置

發(fā)生Ⅲ級網(wǎng)絡(luò)安全事件后，開展以下工作：

8

DB11/T1654—2019

a)事發(fā)單位應(yīng)立即開展應(yīng)急處置工作，并根據(jù)情況上報行業(yè)主管、協(xié)調(diào)技術(shù)支持單位制定處置方

案；

b)行業(yè)主管指導(dǎo)事發(fā)單位對安全事件進(jìn)行處置；

c)事發(fā)單位根據(jù)情況向公安機關(guān)報案并協(xié)助公安機關(guān)進(jìn)行取證、調(diào)查工作；

d)公安機關(guān)負(fù)責(zé)取證、調(diào)查以及立案的工作。

.2判斷網(wǎng)絡(luò)安全事件類型并進(jìn)行應(yīng)急處置

網(wǎng)絡(luò)安全事件處置小組須及時檢查信息系統(tǒng)情況，確認(rèn)信息安全問題。如果發(fā)現(xiàn)該問題涉及范圍廣

且持續(xù)造成破壞，應(yīng)立即斷開網(wǎng)絡(luò)，關(guān)閉被破壞系統(tǒng)，保護現(xiàn)場，聯(lián)系公安機關(guān)做進(jìn)一步處理。

4.1.2技術(shù)措施

網(wǎng)絡(luò)安全事件處置技術(shù)措施包括以下內(nèi)容，應(yīng)根據(jù)實際情況采取最有效的控制措施加以實施：

a)備份系統(tǒng)日志、應(yīng)用日志、數(shù)據(jù)庫日志、審計日志、網(wǎng)絡(luò)及安全設(shè)備日志，用于分析和溯源。

同時，檢查日志的保存周期，確保日志保存時間6個月以上；

b)保存系統(tǒng)運行狀態(tài)，包括帳戶登錄記錄、網(wǎng)絡(luò)連接狀態(tài)、文件訪問狀態(tài)、進(jìn)程運行狀態(tài)等易失

數(shù)據(jù)，以上數(shù)據(jù)可能包含系統(tǒng)被攻擊后的關(guān)鍵信息；

c)保留被破壞系統(tǒng)的數(shù)據(jù)、文件、拍照、截圖、源代碼等，用于分析、溯源及取證；

d)檢測被破壞系統(tǒng)的源代碼，分析代碼的安全性；

e)使用專用工具檢測操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的安全性，發(fā)現(xiàn)木馬、后門等惡意文件，及時

刪除；

f)檢測網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全配置情況，包括管理員賬號權(quán)限與口令、配置策略、日志、訪

問記錄等；

g)操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的管理員賬號口令重置，檢測用戶配置策略是否正常；

h)結(jié)束可疑的系統(tǒng)進(jìn)程，并刪除對應(yīng)的進(jìn)程文件及目錄；

i)檢測應(yīng)用系統(tǒng)對通過人接口或通信接口輸入數(shù)據(jù)的驗證措施是否有效；

j)操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全補丁更新情況及漏洞掃描檢測情況；

k)對被破壞的WEB系統(tǒng)開啟7X24小時安全檢測；

l)檢測異常端口與流量，關(guān)閉無關(guān)端口，監(jiān)聽異常流量；

m)備品備件與冗余線路、電路的檢查與維護，可隨時根據(jù)需要替換上線；

n)門禁系統(tǒng)與視頻監(jiān)控系統(tǒng)的檢查，確保功能的可用，用于隨時調(diào)用和查看；

o)檢測審計系統(tǒng)的工作情況，確保相關(guān)審計功能開啟、審計內(nèi)容和記錄保存完整；

p)檢測數(shù)據(jù)通信安全的有效性，確認(rèn)數(shù)據(jù)傳輸經(jīng)過加密且保證數(shù)據(jù)完整性；

q)其他可發(fā)現(xiàn)系統(tǒng)隱患或漏洞的技術(shù)措施。

4.1.3證據(jù)留存

通過查看被攻擊系統(tǒng)的硬件、軟件配置參數(shù)、審計記錄，以及從安全管理制度和人員狀況等方面進(jìn)

行取證調(diào)查，通過截圖、拍照、備份等方式收集被攻擊證據(jù)，應(yīng)包含以下方面：

a)查找信息系統(tǒng)異常現(xiàn)象并對異?，F(xiàn)象進(jìn)行拍照或截圖；

b)留存當(dāng)前信息系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D；

c)系統(tǒng)運行狀態(tài)證據(jù)留存；

d)在保存各文件的同時，保存各文件的哈希校驗值；

e)系統(tǒng)硬件（主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備）設(shè)備及其配置參數(shù)清單；

f)系統(tǒng)軟件（操作系統(tǒng)）、應(yīng)用軟件（數(shù)據(jù)庫、中間件）的配置參數(shù)清單；

9

DB11/T1654—2019

g)應(yīng)用程序文件列表及源代碼；

h)系統(tǒng)運維記錄、系統(tǒng)審計日志（網(wǎng)絡(luò)日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、中間件日志、應(yīng)用程

序操作日志等）；

i)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用程序操作等賬號權(quán)限（角色、組、用戶等）的分配列

表；

j)其他應(yīng)留存的相關(guān)證據(jù)。

4.1.4成因分析

在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)確定被破壞系統(tǒng)的范圍。通過對證據(jù)的匯總和歸納、現(xiàn)象的推演和還原

來論證事件產(chǎn)生的原因，回溯事件發(fā)生的過程。網(wǎng)絡(luò)安全事件成因分析應(yīng)采取的方法包含以下方面：

a)了解事件破壞方法、破壞類型、破壞者或惡意程序的標(biāo)識和特征；對異常文件進(jìn)行備份；

b)明確破壞所跨越網(wǎng)絡(luò)路徑，涉及網(wǎng)絡(luò)區(qū)域（外網(wǎng)、內(nèi)網(wǎng)、子網(wǎng)、骨干網(wǎng)）；

c)破壞者取得何種權(quán)限（破壞是否已取得超級用戶特權(quán)）；

d)存的證據(jù)進(jìn)行合理的匯總和歸納。

4.2事件調(diào)查

4.2.1立案調(diào)查

對于網(wǎng)絡(luò)安全事件造成的影響構(gòu)成刑事案件，符合立案條件的，應(yīng)由公安機關(guān)案件部門負(fù)責(zé)對信息

安全案件進(jìn)行案件調(diào)查工作。

4.2.2現(xiàn)場調(diào)查

對于網(wǎng)絡(luò)安全事件造成的影響尚不構(gòu)成刑事案件，不符合立案條件的，管轄公安機關(guān)應(yīng)按照事件級

別開展現(xiàn)場調(diào)查工作。要求如下：

a)I級事件發(fā)生后，管轄公安機關(guān)信息安全管理部門和案件部門應(yīng)共同組建事件處置小組，及時

前往事發(fā)單位對相關(guān)事件開展現(xiàn)場調(diào)查工作，采取證據(jù)提取、人員訪談、筆錄制作等方式固定

事發(fā)系統(tǒng)相關(guān)證據(jù)，為后續(xù)案件偵辦或責(zé)任調(diào)查提供證據(jù)；

b)II級事件發(fā)生后，管轄公安機關(guān)信息安全管理部門應(yīng)指派相關(guān)工作人員前往事發(fā)單位，對現(xiàn)

場證據(jù)進(jìn)行固定，為后續(xù)案件偵辦或責(zé)任調(diào)查提供證據(jù)；

c)III級事件發(fā)生后，管轄公安機關(guān)信息安全管理部門應(yīng)指導(dǎo)事發(fā)單位對現(xiàn)場證據(jù)進(jìn)行固定，為

后續(xù)案件偵辦或責(zé)任調(diào)查提供證據(jù)。

4.2.3責(zé)任調(diào)查

公安機關(guān)對事件的發(fā)生原因和各單位存在的責(zé)任進(jìn)行調(diào)查。調(diào)查的內(nèi)容包含以下方面：

a)信息系統(tǒng)異常狀態(tài)的截圖或照片；

b)事發(fā)信息系統(tǒng)的軟/硬件設(shè)備及其原始數(shù)據(jù)；

c)系統(tǒng)運維記錄、系統(tǒng)審計日志（網(wǎng)絡(luò)日志、操作系統(tǒng)日志、數(shù)據(jù)庫日志、中間件日志、應(yīng)用程

序操作日志等）；

d)發(fā)生網(wǎng)絡(luò)安全事件的系統(tǒng)信息安全等級保護定級和備案工作開展情況；

e)事發(fā)單位對發(fā)生網(wǎng)絡(luò)安全事件的信息系統(tǒng)日常管理情況和安全防護情況；

f)網(wǎng)絡(luò)安全事件的責(zé)任部門存在的過錯或疏忽情況；

g)其他導(dǎo)致信息系統(tǒng)發(fā)生安全事件的情況。

4.2.4恢復(fù)服務(wù)和系統(tǒng)加固

10

DB11/T1654—2019

網(wǎng)絡(luò)安全事件的恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失，對于不能徹底恢復(fù)配置和清除系統(tǒng)上

的惡意文件，或不能肯定系統(tǒng)在根除處理后是否已恢復(fù)正常時，應(yīng)選擇徹底重建系統(tǒng)。

系統(tǒng)加固應(yīng)制定相應(yīng)的系統(tǒng)加固方案，針對不同目標(biāo)系統(tǒng)，通過打補丁、修改安全配置、完善系統(tǒng)

備份及冗余措施、增加系統(tǒng)帶寬等方法，對系統(tǒng)的安全性進(jìn)行合理的增強，以達(dá)到消除與降低安全風(fēng)險

的目的。此外，在進(jìn)行系統(tǒng)加固操作前應(yīng)做好充分的風(fēng)險規(guī)避措施，加固工作應(yīng)有跟蹤記錄，以確保系

統(tǒng)的可用性。

4.3事件總結(jié)

在網(wǎng)絡(luò)安全事件得到基本處置后，事發(fā)單位應(yīng)及時對網(wǎng)絡(luò)安全事件的經(jīng)過、成因、影響及整改情況

進(jìn)行總結(jié)并對其所造成的損失進(jìn)行評估，填寫《網(wǎng)絡(luò)安全事件處置工作報告》（見附錄E），并上報行業(yè)

主管部門和監(jiān)管部門；行業(yè)主管部門或監(jiān)管部門應(yīng)根據(jù)事件情況上報市通信保障和信息安全應(yīng)急指揮部

或向相關(guān)單位進(jìn)行通報。對技術(shù)難度大、原因不明確的安全事件，專家隊伍可進(jìn)行會商與研判，對網(wǎng)絡(luò)

安全事件進(jìn)行深入分析，提供解決對策預(yù)防此類事件的再次發(fā)生。

5日常防范和應(yīng)急工作準(zhǔn)備

5.1開展信息安全等級保護工作

信息系統(tǒng)運營使用者及其行業(yè)主管部門在日常工作中應(yīng)切實落實信息系統(tǒng)安全等級保護制度，建立

健全安全運維機制，并填報《信息系統(tǒng)資產(chǎn)名單》）（見附錄F中表F.1）。

5.2建立安全運維機制

安全運維機制重點關(guān)注信息系統(tǒng)在運行過程中的安全性是否符合信息系統(tǒng)運營使用者及其行業(yè)主

管部門制定的安全策略和要求。在功能性的運維機制中，加入信息安全要素，如：安全巡檢、風(fēng)險評估、

應(yīng)急策略制定與演練等工作，將安全技術(shù)和安全管理統(tǒng)一，形成全面的、無縫的、持續(xù)改進(jìn)的整體。

5.3開展信息系統(tǒng)安全監(jiān)測工作

信息系統(tǒng)的服務(wù)器及數(shù)據(jù)庫保存大量的重要信息，應(yīng)定期開展漏洞掃描、滲透測試、安全加固、代

碼安全審計等工作，以檢測結(jié)果為基礎(chǔ)對安全問題進(jìn)行匯總分析，形成整改方案并根據(jù)優(yōu)先級逐步實施。

對于新系統(tǒng)、新功能的上線，在系統(tǒng)驗收時應(yīng)充分評估安全風(fēng)險、進(jìn)行安全檢測、做好上線前的突發(fā)應(yīng)

急處置措施，確保系統(tǒng)上線后安全運行。

5.4建立應(yīng)急響應(yīng)機制

5.4.1應(yīng)急隊伍

建立網(wǎng)絡(luò)與信息安全應(yīng)急組織，建立網(wǎng)絡(luò)與信息安全專家?guī)?，加強技術(shù)交流和技術(shù)培訓(xùn)，提高信息

系統(tǒng)運營使用者處理突發(fā)網(wǎng)絡(luò)安全事件的能力。

5.4.2應(yīng)急物資與裝備

根據(jù)潛在突發(fā)事件的性質(zhì)和后果，結(jié)合信息系統(tǒng)運營使用者情況，制定應(yīng)急裝備與備品備件的配置

標(biāo)準(zhǔn)，購置和儲備應(yīng)急所需的物資，制作應(yīng)急物資清單表。對應(yīng)急裝備和物資進(jìn)行定期檢查、維護與

更新，保證應(yīng)急物資始終處于完好狀態(tài)。加強應(yīng)急備品備件的動態(tài)管理，及時補充和更新應(yīng)急物資清單

表。制定應(yīng)急物資和裝備的年度采購計劃，并納入信息系統(tǒng)運營使用者的年度總預(yù)算，切實保證應(yīng)急

物資的資金投入,應(yīng)急資源清單須每年更新。

11

DB11/T1654—2019

5.4.3通信與信息

應(yīng)設(shè)立網(wǎng)絡(luò)與信息安全應(yīng)急24小時值班電話，并做到電話號碼不變、傳真號碼不變、電子郵件不

變。應(yīng)急工作相關(guān)人員的電話、手機、傳真、電子郵件等聯(lián)系方式應(yīng)及時更新、及時分發(fā)，并保持暢通。

5.4.4應(yīng)急響應(yīng)措施及演練

結(jié)合信息系統(tǒng)運營使用者現(xiàn)狀建立處置措施、處理流程及演練機制。

為重要信息系統(tǒng)單獨制定專項信息安全應(yīng)急預(yù)案，定期演練，確保應(yīng)急預(yù)案的有效性，及時總結(jié)演

練中發(fā)現(xiàn)問題，不斷完善應(yīng)急預(yù)案，形成長效的應(yīng)急處理機制。

對于應(yīng)急響應(yīng)工作中發(fā)現(xiàn)的安全問題，應(yīng)持續(xù)跟進(jìn)、反復(fù)驗證，將詳細(xì)處置辦法及過程結(jié)果以應(yīng)急

響應(yīng)報告的形式進(jìn)行保存，逐步建立網(wǎng)絡(luò)安全事件處置知識庫。

5.4.5信息安全意識

信息安全是一項需要長期開展的工作，它不僅涉及技術(shù)而且涉及到人員，信息系統(tǒng)運營使用者應(yīng)關(guān)

注員工息安全意識，將信息安全意識培訓(xùn)加入年度培訓(xùn)計劃，積極宣傳信息安全有關(guān)的法律法規(guī)、安全

事件案例分析、內(nèi)部安全制度等。培訓(xùn)對象不僅包括內(nèi)部員工還應(yīng)包括相關(guān)第三方用戶和服務(wù)商。

12

DB11/T1654—2019

AA

附錄A

（規(guī)范性附錄）

表A.1網(wǎng)絡(luò)安全事件上報表

信息系統(tǒng)運營

報告時間

使用單位名稱

報告人聯(lián)系電話

通訊地址電子郵件

信息系統(tǒng)名稱事發(fā)時間

事件描述

□計算機病毒事件□蠕蟲事件□特洛伊木馬事件□僵

有害程序尸網(wǎng)絡(luò)事件□混合程序攻擊事件□網(wǎng)頁內(nèi)嵌惡意代碼事件

安□其他

全

□拒絕服務(wù)攻擊事件□后門攻擊事件□漏洞攻擊事件

網(wǎng)絡(luò)攻擊

攻□網(wǎng)絡(luò)掃描竊聽事件□網(wǎng)絡(luò)釣魚事件□干擾事件□其他

擊

□信息篡改事件□信息假冒事件□信息泄露事件□信息

信息破壞

竊取事件□信息丟失事件□其他

硬件設(shè)備□服務(wù)器□數(shù)據(jù)庫□網(wǎng)絡(luò)設(shè)備□安全設(shè)備□其他

設(shè)

備軟件設(shè)備□應(yīng)用系統(tǒng)□操作系統(tǒng)□其他

初步判定的事設(shè)

件類型

施線路（說明故障點）

故

□盜竊或破壞□雷擊□失火□漏水或返潮□靜電□

障機房基礎(chǔ)設(shè)施

溫濕度□電力供應(yīng)□電磁干擾□其他

信□網(wǎng)絡(luò)端口被監(jiān)聽□IP地址欺騙□TCP序號襲擊□病

可被網(wǎng)絡(luò)攻擊利用

毒□黑客□其他

息

安

不可被網(wǎng)絡(luò)攻擊利

全□賬號管理混亂□缺乏分級管理□FTP存在風(fēng)險□便攜

用，但能形成系統(tǒng)

性移動設(shè)備控制不嚴(yán)□其他

風(fēng)故障

險

造成的影響□業(yè)務(wù)中斷□系統(tǒng)破壞□數(shù)據(jù)丟失□其他

13

DB11/T1654—2019

表A.1網(wǎng)絡(luò)安全事件上報表（續(xù)）

□單臺主機□多臺主機□整個信息系統(tǒng)□整個局域網(wǎng)

影響范圍

□其他

之前是否出現(xiàn)過類□是（如果是說明發(fā)生時間及被破壞系統(tǒng)的名稱）

似情況□否

初步判定的事件等

□I級□II級□III級

級

信息系統(tǒng)資產(chǎn)名單□有□無

網(wǎng)絡(luò)安全事件的發(fā)

展趨勢

預(yù)案執(zhí)行情況

預(yù)案執(zhí)行結(jié)果

存在問題和改進(jìn)意

見

14

DB11/T1654—2019

BB

附錄B

（規(guī)范性附錄）

表B.1第三方網(wǎng)絡(luò)安全事件分析表

單位名稱

第三方機構(gòu)聯(lián)系人聯(lián)系電話

傳真電子郵件

單位名稱

信息系統(tǒng)運

聯(lián)系人聯(lián)系電話

營使用單位

傳真電子郵件

信息系統(tǒng)名稱事發(fā)時間

事件描述

□計算機病毒事件□蠕蟲事件□特洛伊木馬事件□

有害程序僵尸網(wǎng)絡(luò)事件□混合程序攻擊事件□網(wǎng)頁內(nèi)嵌惡意代

安碼事件□其他

全□拒絕服務(wù)攻擊事件□后門攻擊事件□漏洞攻擊事件

攻網(wǎng)絡(luò)攻擊□網(wǎng)絡(luò)掃描竊聽事件□網(wǎng)絡(luò)釣魚事件□干擾事件□

擊其他

□信息篡改事件□信息假冒事件□信息泄露事件□信

信息破壞

息竊取事件□信息丟失事件□其他

設(shè)硬件設(shè)備□服務(wù)器□數(shù)據(jù)庫□網(wǎng)絡(luò)設(shè)備□安全設(shè)備□其他

備軟件設(shè)備□應(yīng)用系統(tǒng)□操作系統(tǒng)□其他

初步判定的事件類型

設(shè)線路（說明故障點）

施

□盜竊或破壞□雷擊□失火□漏水或返潮□靜電□

故機房基礎(chǔ)設(shè)施

溫濕度□電力供應(yīng)□電磁干擾□其他

障

信□網(wǎng)絡(luò)端口被監(jiān)聽□IP地址欺騙□TCP序號襲擊□病

可被網(wǎng)絡(luò)攻擊利用

息毒□黑客□其他

安

不可被網(wǎng)絡(luò)攻擊利

全□賬號管理混亂□缺乏分級管理□FTP存在風(fēng)險□便

用，但能形成系統(tǒng)

風(fēng)攜性移動設(shè)備控制不嚴(yán)□其他

故障

險

15

DB11/T1654—2019

表B.1第三方網(wǎng)絡(luò)安全事件分析表（續(xù)）

□是（如果是說明發(fā)生時間及被破壞系統(tǒng)的名稱）

之前是否出現(xiàn)過類似情況

□否

分析網(wǎng)絡(luò)安全事件的發(fā)展趨

勢

初步判定的事件等級□特別重大事件□重大事件□較大事件□一般事件

16

DB11/T1654—2019

CC

附錄C

（規(guī)范性附錄）

表C.1網(wǎng)絡(luò)安全事件備案表

單位名稱

省(自治區(qū)、直轄市)地(區(qū)、市、州、盟)縣

通信地址

(區(qū)、市、旗)

事件發(fā)現(xiàn)單位

聯(lián)系人聯(lián)系電話

傳真電子郵件

單位名稱

省(自治區(qū)、直轄市)地(區(qū)、市、州、盟)縣

通信地址

信息系統(tǒng)運營使用單(區(qū)、市、旗)

位

聯(lián)系人聯(lián)系電話

傳真電子郵件

單位名稱

省(自治區(qū)、直轄市)地(區(qū)、市、州、盟)縣

通信地址

(區(qū)、市、旗)

受理備案單位

聯(lián)系人聯(lián)系電話

傳真電子郵件

發(fā)現(xiàn)時間

第一類□信息系統(tǒng)運營使用單位自行發(fā)現(xiàn)

□公安機關(guān)通過互聯(lián)網(wǎng)搜索發(fā)現(xiàn)

第二類

發(fā)現(xiàn)途徑□公安機關(guān)遠(yuǎn)程漏洞掃描手段發(fā)現(xiàn)

第三方機構(gòu)通過匯總、分析相關(guān)監(jiān)測數(shù)據(jù)發(fā)現(xiàn)：

第三類□國家網(wǎng)絡(luò)與信息安全管理機構(gòu)□測評機構(gòu)□信息安全廠商

□科研院所□其他

17

DB11/T1654—2019

表C.1網(wǎng)絡(luò)安全事件備案表（續(xù)）

□計算機病毒事件□蠕蟲事件□特洛伊木馬事件□僵尸網(wǎng)

有害程序

絡(luò)事件□混合程序攻擊事件□網(wǎng)頁內(nèi)嵌惡意代碼事件□其他

安全攻□拒絕服務(wù)攻擊事件□后門攻擊事件□漏洞攻擊事件□網(wǎng)絡(luò)

網(wǎng)絡(luò)攻擊

擊掃描竊聽事件□網(wǎng)絡(luò)釣魚事件□干擾事件□其他

□信息篡改事件□信息假冒事件□信息泄露事件□信息竊取

信息破壞

事件□信息丟失事件□其他

硬件設(shè)備□服務(wù)器□數(shù)據(jù)庫□網(wǎng)絡(luò)設(shè)備□安全設(shè)備□其他

軟件設(shè)備□應(yīng)用系統(tǒng)□操作系統(tǒng)□其他

事件類型

設(shè)備設(shè)

施故障線路（說明故障點）

□盜竊或破壞□雷擊□失火□漏水或返潮□靜電□溫濕度

機房基礎(chǔ)設(shè)施

□電力供應(yīng)□電磁干擾□其他

□網(wǎng)絡(luò)端口被監(jiān)聽□IP地址欺騙□TCP序號襲擊□病毒□黑

可被網(wǎng)絡(luò)攻擊利用

客□其他

信息安

全風(fēng)險不可被網(wǎng)絡(luò)攻擊利

□賬號管理混亂□缺乏分級管理□FTP存在風(fēng)險□便攜性移動

用，但能形成系統(tǒng)

設(shè)備控制不嚴(yán)□其他

故障

之前是否出現(xiàn)過類似□是_____________________________________（發(fā)生時間及被破壞系統(tǒng)的名稱）

情況□否

18

DB11/T1654—2019

D

附錄D

（規(guī)范性附錄）

表D.1網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表

單位名稱

受理備案單位聯(lián)系人聯(lián)系電話

傳真電子郵件

單位名稱

應(yīng)急處置隊伍聯(lián)系人聯(lián)系電話

傳真電子郵件

單位名稱

信息安全專家組聯(lián)系人聯(lián)系電話

傳真電子郵件

單位名稱

行業(yè)主管部門聯(lián)系人聯(lián)系人

傳真?zhèn)髡?/p>

單位名稱

信息系統(tǒng)運營使用

聯(lián)系人聯(lián)系電話

單位

傳真電子郵件

信息系統(tǒng)名稱

□業(yè)務(wù)中斷□系統(tǒng)破壞□數(shù)據(jù)丟失

造成的影響

□其他

影響范圍□單臺主機□多臺主機□整個信息系統(tǒng)□整個局域網(wǎng)□其他

被破壞

□當(dāng)前系統(tǒng)結(jié)構(gòu)拓?fù)鋱D□系統(tǒng)硬件設(shè)備及其配置參數(shù)清單□系統(tǒng)軟件、

信息系

統(tǒng)現(xiàn)狀應(yīng)用軟件的配置參數(shù)清單□應(yīng)用程序文件列表及源代碼□系統(tǒng)運維記錄

信息系統(tǒng)資產(chǎn)名單

□系統(tǒng)審計日志□賬號權(quán)限分配列表□單位應(yīng)急處置人員聯(lián)系表□其

他

預(yù)處理措施

19

DB11/T1654—2019

表D.1網(wǎng)絡(luò)安全事件現(xiàn)場調(diào)查表（續(xù)）

分析事件成因

□計算機病毒事件□蠕蟲事件□特洛伊木馬事件

有害程序□僵尸網(wǎng)絡(luò)事件□混合程序攻擊事件□網(wǎng)頁內(nèi)嵌

惡意代碼事件□其他

□拒絕服務(wù)攻擊事件□后門攻擊事件□漏洞攻擊

安全攻擊

網(wǎng)絡(luò)攻擊事件□網(wǎng)絡(luò)掃描竊聽事件□網(wǎng)絡(luò)釣魚事件□干