信息安全手册：网络安全事件指南

管理网络安全事件

网络安全事件

网络安全事件是指系统、服务或网络状态的发生，表明可能违反安全策略、保障措施失效或出现可能与安全相关的先前未知的情况。

网络安全事故

网络安全事故是指不受欢迎或意外的网络安全事件，或一系列此类事件，这些事件已经危及业务运营或很有可能危及业务运营。

网络弹性

网络弹性是指适应网络安全事件造成的中断并保持业务持续运营的能力。这包括检测、管理和从网络安全事件中恢复的能力。

检测网络安全事件

检测和调查网络安全事件的核心要素之一是拥有适当的数据源，例如事件日志。组织可以使用以下事件日志来协助检测和调查网络安全事件：

跨域解决方案：可能有助于识别表明存在利用尝试或成功入侵的异常或恶意网络流量。
数据库：可能有助于识别表明存在利用企图或成功入侵的异常或恶意应用程序或用户行为。
域名系统服务：可能有助于识别解析恶意域名或互联网协议地址的尝试，表明存在利用尝试或成功入侵。
电子邮件服务器：可能协助识别钓鱼电子邮件所针对的用户，从而有助于识别攻击的初始载体。
网关：可能有助于识别表明存在攻击企图或成功入侵的异常或恶意网络流量。
多功能设备：可能有助于识别表明网络安全事件的异常或恶意用户行为。
操作系统：可能有助于识别表明存在攻击企图或成功入侵的异常或恶意活动。
远程访问服务：可能有助于识别异常的访问位置或访问时间，以表明存在攻击尝试或成功的入侵。
安全服务：可能有助于识别表明存在攻击企图或成功入侵的异常或恶意应用程序或网络流量。
服务器应用程序：可能有助于识别表明存在利用尝试或成功入侵的异常或恶意应用程序行为。
系统访问：可能有助于识别表明存在利用企图或成功入侵的异常或恶意用户行为。
用户应用程序：可能有助于识别表明存在利用企图或成功入侵的异常或恶意应用程序或用户行为。
Web 应用程序：可能有助于识别表明存在利用尝试或成功入侵的异常或恶意应用程序或用户行为。
Web 代理：可能有助于识别表明存在攻击企图或成功入侵的异常或恶意网络流量。

网络安全事件管理政策

制定网络安全事件管理政策可以提高成功规划、检测和应对网络和主机上的恶意活动（如网络安全事件和网络安全事故）的可能性。在此过程中，网络安全事件管理政策可能会涵盖以下内容：

规划、检测和响应网络安全事件的职责
分配给网络安全事件规划、检测和响应活动的资源
对网络安全事件和网络安全事故进行分类和响应的指南。

此外，作为维护网络安全事件管理政策的一部分，重要的是，它及其相关的网络安全事件响应计划应至少每年执行一次，以确保其仍然适合目的。

制定、实施和维护网络安全事件管理政策及相关的网络安全事件响应计划。

网络安全事件管理政策（包括相关的网络安全事件响应计划）至少每年执行一次。

网络安全事件登记

制定、实施和维护网络安全事件登记册有助于确保针对网络安全事件采取适当的补救措施。此外，网络安全事件的类型和频率以及任何补救措施的成本可作为未来风险评估活动的输入。

开发、实施和维护网络安全事件登记册。

网络安全事件登记册包含每个网络安全事件的以下内容：

网络安全事件发生的日期
发现网络安全事件的日期
网络安全事件描述
针对网络安全事件采取的任何行动
向谁报告了网络安全事件。

内部威胁缓解计划

由于内部人员对系统及其资源的授权访问可能会使他们在故意执行恶意活动时更难被发现，因此建立和维护内部威胁缓解计划可以帮助组织在内部威胁发生之前检测和应对内部威胁，或者在内部威胁发生时限制损害。在此过程中，组织可能会通过记录和分析以下用户活动获得最大收益：

过度复制或修改数据
未经授权或过度使用可移动媒体
将具有数据存储功能的设备连接到系统
正常工作时间以外的异常系统使用情况
与同龄人相比，数据访问或打印过多
数据传输至未经授权的云服务或网络邮件
使用未经授权的虚拟专用网络、文件传输应用程序或匿名网络。

开发、实施和维护内部威胁缓解计划。

寻求有关内部威胁缓解计划的制定和实施的法律建议。

获取足够的数据源和工具

成功检测网络安全事件需要训练有素的网络安全人员能够访问足够的数据源（例如事件日志），并辅以支持手动和自动分析的工具。因此，在系统设计和开发活动期间，重要的是在系统中添加功能，以确保能够捕获足够的数据源并将其提供给网络安全人员。

网络安全人员可以访问足够的数据源和工具，以确保可以监控系统是否存在关键的泄露指标。

报告网络安全事件

在网络安全事件发生或发现后尽快向首席信息安全官或其代表之一报告，为高级管理层提供了评估其对组织的影响并监督任何网络安全事件响应活动的机会。请注意，组织还应了解有关向当局报告网络安全事件的任何立法义务。

网络安全事件在发生或发现后应尽快报告给首席信息安全官或其代表之一。

向 ASD 报告网络安全事件

澳大利亚信号局 (ASD) 使用收到的网络安全事件报告作为向组织提供援助的基础。ASD 还使用网络安全事件报告来识别趋势并保持准确的威胁环境图景。ASD 利用这种理解来协助开发新的和更新的网络安全建议、能力和技术，以更好地预防和应对不断演变的网络威胁。建议组织内部协调向 ASD 报告网络安全事件。请注意，组织还应了解有关向 ASD 报告网络安全事件的任何立法义务。

应向 ASD 报告的网络安全事件类型包括：

可疑特权帐户锁定
可疑的远程访问身份验证事件
与基于互联网的基础设施进行可疑通信的服务账户
敏感或机密数据的泄露
未经授权的访问或试图访问系统
含有可疑附件或链接的电子邮件
拒绝服务攻击
勒索软件攻击
涉嫌篡改电子设备。

网络安全事件在发生或发现后应尽快报告给 ASD。

向客户和公众报告网络安全事件

在网络安全事件发生或被发现后及时向客户和公众报告是组织展示其透明度承诺的一种方式。请注意，组织还应了解有关向客户和公众报告网络安全事件的任何立法义务。

涉及客户数据的网络安全事件在发生或发现后及时向客户和公众报告。

不涉及客户数据的网络安全事件在发生或发现后及时向客户和公众报告。

有关报告网络犯罪事件和报告网络安全事件的更多信息，请联系 ASD。

应对网络安全事件

制定网络安全事件响应计划

在发现网络安全事件后，组织应制定网络安全事件响应计划。

在发现网络安全事件后，制定网络安全事件响应计划。

处理和控制数据泄漏

当发生数据泄露时，组织应通知数据所有者并限制对数据的访问。这样做时，受影响的系统可能会被关闭、网络连接被移除或对数据应用额外的访问控制。但应注意，关闭系统可能会破坏对法医调查有用的数据。此外，应让用户了解在发生数据泄露时应采取的适当措施，例如不要删除、复制、打印或通过电子邮件发送数据。

当发生数据泄露时，会通知数据所有者并限制对数据的访问。

处理和遏制恶意代码感染

在发现恶意代码后立即采取补救措施可以最大限度地减少消除和恢复感染所花费的时间和成本。作为优先事项，应隔离所有受感染的系统和媒体，以防止感染蔓延。隔离后，可以使用防病毒软件扫描受感染的系统和媒体，以消除感染或恢复数据。但需要注意的是，从已知良好的备份或重建中进行完整的系统恢复可能是确保真正消除恶意代码的唯一可靠方法。

当检测到恶意代码时，将采取以下步骤处理感染：

受感染的系统被隔离
对感染前使用过的所有连接媒介进行扫描，以查找感染迹象，并在必要时进行隔离
防病毒软件用于清除受感染系统和媒体中的感染
如果无法可靠地清除感染，则系统将从已知的良好备份中恢复或重建。

处理和遏制入侵

当检测到系统入侵时，组织可能希望允许入侵持续一小段时间，以便充分了解入侵的程度并协助规划入侵补救活动。但是，如果组织允许入侵继续以收集数据或证据，则应首先与其法律顾问确认此类活动是否违反了《1979 年电信（拦截和访问）法》。

为了提高入侵补救活动成功将恶意行为者从系统中移除的可能性，组织可以采取预防措施，确保恶意行为者对计划的入侵补救活动只有有限的预警和了解。具体而言，使用替代系统来规划和协调入侵补救活动将防止在恶意行为者已经入侵电子邮件、消息传递或协作服务时向他们发出警报。此外，在同一计划中断期间以协调的方式开展入侵补救活动将防止向恶意行为者发出预警，从而使他们没有足够的时间在系统上建立替代接入点或持久性方法。

在入侵补救活动之后，组织应确定恶意行为者是否已成功从系统中移除，包括他们是否已重新获得访问权限。这可以通过在补救活动后至少七天内捕获和分析网络流量来实现。

在允许入侵活动继续在系统上收集更多数据或证据之前，应寻求法律建议。

在允许入侵活动继续在系统上进行以收集更多数据或证据之前，应咨询系统所有者。

入侵补救活动的规划和协调是在与已被入侵的系统不同的系统上进行的。

在可能的范围内，所有入侵补救活动都在同一计划中断期间以协调的方式进行。

在入侵补救活动之后，将捕获至少七天的完整网络流量并进行分析，以确定是否已成功将恶意行为者从系统中删除。