网络安全事件应急处置规范

本文件规定了网络安全事件应急处置的术语和定义、工作原则、事件分类与分级、机构和职责、应急处置流程及措施、日常防范和应急准备等。

本文件适用于与网络安全事件相关的各级网络安全应急办公室、网络运营者、网络产品和服务提供者、网络安全应急技术支撑队伍应急处置、日常防范和应急准备等工作。

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 18030 信息技术中文编码字符集

GB/T20984 信息安全技术信息安全风险评估规范

GB/T20985 信息技术安全技术信息安全事件管理指南

GB/Z20986 信息安全技术信息安全事件分类分级指南

GB/T22239 信息安全技术网络安全等级保护基本要求

GB/T25069 信息安全技术术语

事件分类

恶意程序事件：包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件等10个子类。

网络攻击事件：包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件和其他网络攻击事件等21个子类。

数据安全事件：包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等12个子类。

信息内容安全事件：包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等8个子类。

设备设施故障事件：包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等5个子类。

违规操作事件：包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等9个子类。

安全隐患事件：包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等3个子类。

异常行为事件：包括访问异常事件、流量异常事件和其他异常行为事件等3个子类。

不可抗力事件：包括自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件和其他不可抗力事件等5个子类。

其它事件：指未归为上述分类的网络安全事件。

事件分级

按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素，网络安全事件分为4个级别：特别重大事件、重大事件、较大事件和一般事件，由高到低分别为I级、I级、Ⅲ级和IⅣ级。

l级事件（特别重大网络安全事件）

特别重大事件发生在特别重要的事件影响对象上，并且：