DB23-T 3505-2023 網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范

35.020

80

23 DB

23/T

3505—2023網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范 黑龍江省市場監(jiān)督管理局 發(fā)

布DB

23/T

35052023

III

5.1

5.1.10

5.2

6.1

6.2

7.1

7.2

7.3

7.4

DB

23/T

35052023

7.5

10

108.1

........................................................................ 10

...................................................................... 10

10

11

118.2

118.3

11

12

....................................13

............................ 15

II

17

.............................................. 18

................................ 21

III

22

IV

23IIDB

23/T

35052023 本文件按照GB/T

1.1—2020《標準化工作導則

第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定DB

23/T

35052023

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單)適用于本GB/T

GB/T

GB/T

GB/Z

GB/T

GB/T

GB/T

3.43.5DB

23/T

35052023

4.1

4.2

4.3

5.1

10

21

個子類。

12

個子類。

個子類。

DB

23/T

35052023

5.1.10

5.2

個級別：特別重大事件、重大事件、較大事件和一般事件，由高到低分別為Ⅰ級、Ⅱ級、Ⅲ

Ⅰ級事件（特別重大網(wǎng)絡(luò)安全事件）a)

b)

Ⅱ級事件（重大網(wǎng)絡(luò)安全事件）a)

致特別重的事件影對象遭受重的業(yè)務(wù)失或?qū)е乱氖录憣ο笤馓貏e嚴重b)

Ⅲ級事件（較大網(wǎng)絡(luò)安全事件）a)

致特別重的事件影對象遭受大或較小業(yè)務(wù)損失或重要的件影響對遭受嚴重b)

Ⅳ級事件（一般網(wǎng)絡(luò)安全事件）a)

b)

6.1

各級網(wǎng)絡(luò)安全應(yīng)急指揮部，指所在地區(qū)、部門網(wǎng)絡(luò)安全事件應(yīng)急預案中規(guī)定的本級網(wǎng)絡(luò)安全應(yīng)

各級網(wǎng)絡(luò)安全應(yīng)急辦公室，指所在地區(qū)、部門網(wǎng)絡(luò)安全事件應(yīng)急預案中規(guī)定的本級網(wǎng)絡(luò)安全應(yīng)DB

23/T

35052023

省應(yīng)急支撐單位，指按照《黑龍江省網(wǎng)絡(luò)安全事件應(yīng)急預案》有關(guān)規(guī)定，省委網(wǎng)信辦牽頭組織6.2

各級網(wǎng)絡(luò)安全應(yīng)急指揮部，負責統(tǒng)一領(lǐng)導、組織和指揮所在地區(qū)、部門網(wǎng)絡(luò)安全事件應(yīng)急處置

各級網(wǎng)絡(luò)安全應(yīng)急辦公室，負責本級網(wǎng)絡(luò)安全應(yīng)急指揮部的事務(wù)性工作，具體負責本地區(qū)、本

網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者，負責按照國家法律法規(guī)以及服務(wù)合同要求協(xié)助網(wǎng)絡(luò)安全應(yīng)急辦公室、

7.1

相關(guān)機構(gòu)可參考本標準制定的流程及措施開展網(wǎng)絡(luò)安全事件應(yīng)急處置工作，如上級部門相關(guān)通

網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全應(yīng)急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵7.2

立即啟動本單位網(wǎng)絡(luò)安全應(yīng)急預案進行緊急處置，同時填寫《網(wǎng)絡(luò)安全事件上報表（網(wǎng)絡(luò)

B.1。

DB

23/T

35052023

組織進行事件級別研判，同時填寫《網(wǎng)絡(luò)安全事件上報表（網(wǎng)絡(luò)安全應(yīng)急辦公室）》，見

24

.10

.11

.12

.13

.14

.15

24

.10

.11

.12

.13

.14

DB

23/T

350520

備份系統(tǒng)日志、應(yīng)用日志、數(shù)據(jù)庫日志、審計日志、網(wǎng)絡(luò)及安全設(shè)備日志，用于分析和溯

使用專用工具檢測操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的安全性，發(fā)現(xiàn)木馬、后門等，應(yīng)先備份

檢測操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、開發(fā)框架、中間件的安全補丁更新情況及漏洞掃

.10

.11

.12

.13

.14

.15

a)

b)

c)

d)

存系統(tǒng)運狀態(tài)，包帳戶登錄錄、網(wǎng)絡(luò)接狀態(tài)、件訪問狀、進程運狀態(tài)、內(nèi)e)

f)

g)

h)

i)

j)

存系統(tǒng)運記錄、系審計日志網(wǎng)絡(luò)日志操作系統(tǒng)志、數(shù)據(jù)日志、中件日志、DB

23/T

35052023k)

存網(wǎng)絡(luò)、作系統(tǒng)、據(jù)庫、中件、應(yīng)用序操作等號權(quán)限（色、組、戶等）的l)

7.3

立即啟動本單位網(wǎng)絡(luò)安全應(yīng)急預案進行緊急處置，同時填寫《網(wǎng)絡(luò)安全事件上報表（網(wǎng)絡(luò)

B.1。

組織進行事件級別研判，同時填寫《網(wǎng)絡(luò)安全事件上報表（網(wǎng)絡(luò)安全應(yīng)急辦公室）》，見

24

掌握本市（地）、本部門網(wǎng)絡(luò)和信息系統(tǒng)受事件影響情況，并向省網(wǎng)絡(luò)安全應(yīng)急辦公室報

.10

.11

.12

.13

.14

.15

.16

.17

DB

23/T

350520.18

組織進行事件級別再次研判，若研判為重大（Ⅱ級）網(wǎng)絡(luò)安全事件，立即向省網(wǎng)絡(luò)安全應(yīng)

24

.10

.11

.12

.13

.14

.15

7.4

立即啟動本單位網(wǎng)絡(luò)安全應(yīng)急預案進行緊急處置，同時填寫《網(wǎng)絡(luò)安全事件上報表（網(wǎng)絡(luò)

B.1。

DB

23/T

35052023

組織進行事件級別研判，同時填寫《網(wǎng)絡(luò)安全事件上報表（網(wǎng)絡(luò)安全應(yīng)急辦公室）》，見附錄

中表

C.1，若研判為較大（Ⅲ級）網(wǎng)絡(luò)安全事件，4

小時內(nèi)向本級網(wǎng)絡(luò)安全領(lǐng)導機構(gòu)、省網(wǎng)絡(luò)安

.10

72

.11

.12

7.5

DB

23/T

35052023發(fā)生Ⅳ級網(wǎng)絡(luò)安全事件后，網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)安全應(yīng)急辦公室、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者按圖H.1所

立即啟動本單位網(wǎng)絡(luò)安全應(yīng)急預案進行緊急處置，同時填寫《網(wǎng)絡(luò)安全事件上報表（網(wǎng)絡(luò)

B.1。

48

8.1

a)

b)

c)

d)

e)

f)

g)

h)

a)

b)

10DB

23/T

35052023

8.2

11DB23/T35052023應(yīng)急響應(yīng)階段DB23/T35052023

網(wǎng)絡(luò)運營者市（地）、部門網(wǎng)絡(luò)安全應(yīng)急辦公室省網(wǎng)絡(luò)安全應(yīng)急辦公室省應(yīng)急支撐單位網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者

注1：

A.1

—12/URL/IP

www.b計算機病

網(wǎng)絡(luò)蠕蟲

特洛伊木

僵尸網(wǎng)絡(luò)

惡意代碼內(nèi)嵌網(wǎng)頁

□惡意代碼宿主站點

□勒索軟件

□網(wǎng)絡(luò)掃描探測

網(wǎng)絡(luò)釣魚

漏洞利用

后門利用

門植入

憑據(jù)攻擊

信號干擾

拒絕服務(wù)

網(wǎng)頁篡改暗鏈植入

域名劫持

域名轉(zhuǎn)嫁

污染

WLAN

□數(shù)據(jù)篡改

□數(shù)據(jù)假冒

數(shù)據(jù)泄露

□社會工程

數(shù)據(jù)竊取

數(shù)據(jù)攔截

位置檢測

數(shù)據(jù)投毒

數(shù)據(jù)濫用

反動宣傳

暴恐宣揚

色情傳播

虛假信息傳播

□技術(shù)故障

□配套設(shè)施故障

□物理損害

輻射干擾

權(quán)限濫用

權(quán)限偽造

行為抵賴

故意違規(guī)操作

人員可用性破壞

資源未授權(quán)使用

版權(quán)違反

DB

23/T

35052023

B.1

DB

23/T

35052023

B.1

B.1

/URL/IP

計算機病毒

□網(wǎng)絡(luò)蠕蟲

□特洛伊木馬

僵尸網(wǎng)絡(luò)

□惡意代碼內(nèi)嵌網(wǎng)頁

□惡意代碼宿主站點

□勒索軟件

絡(luò)掃描探

絡(luò)釣

洞利

門利

門植

憑據(jù)攻擊

信號干擾

拒絕服務(wù)

網(wǎng)頁篡改

鏈植

名劫

名轉(zhuǎn)

WLAN

流量劫持

劫持攻擊

廣播欺詐

失陷主機

供應(yīng)

據(jù)篡

據(jù)假

據(jù)泄

□社會工

據(jù)竊

術(shù)故

套設(shè)施故

□物理損

射干

□其

員可用性破壞

源未授權(quán)使用

權(quán)違

DB

23/T

35052023

表C.1

表C.1

DB

23/T

35052023表C.1表C.1

16DB23/T35052023應(yīng)急響應(yīng)階段DB23/T35052023

II

網(wǎng)絡(luò)運營者市（地）、部門網(wǎng)絡(luò)安全應(yīng)急辦公室省網(wǎng)絡(luò)安全應(yīng)急辦公室省應(yīng)急支撐單位網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者

注1：

注2：

注3：

注4：

D.1

II

—17/URL/IP

DB

23/T

35052023

算機

絡(luò)蠕

□特洛伊

尸網(wǎng)

意代嵌網(wǎng)

□惡意代主站

索軟

礦病

合攻

□網(wǎng)絡(luò)掃描探測

網(wǎng)絡(luò)釣魚

漏洞利用

后門利用

后門植入據(jù)攻

號干

絕服

頁篡

鏈植

BGP

□數(shù)據(jù)篡改

□數(shù)據(jù)假冒

□數(shù)據(jù)泄露

□社會工程

數(shù)據(jù)竊取

動宣

恐宣

情傳

假信息傳

益侵

限濫

限偽

為抵

意違規(guī)操

操作

□系統(tǒng)硬件設(shè)備及其配置參數(shù)清單（□主機設(shè)

□網(wǎng)絡(luò)設(shè)

□安

DB

23/T

35052023

DB

23/T

35052023

20DB

23/T

35052023 21DB23/T35052023DB23/T35052023

III