ICS35.040

L80

備案號：62698-2019DB11

北京市地方標準

DB11/T1654—2019

信息安全技術網絡安全事件應急處置規范

Informationsecuritytechnology

Networksecurityincidentsemergencydisposalregulations

2019-09-26發布2020-01-01實施

北京市市場監督管理局發布

DB11/T1654—2019

信息安全技術網絡安全事件應急處置規范

1范圍

本標準規定了網絡安全事件的網絡安全事件分類與分級、調查處置、日常監測和應急工作準備。

本標準適用于非涉及國家秘密的信息系統運營使用者、行業主管部門、監管部門以及網絡安全事件

應急支撐隊伍使用。

本標準不適用于涉及國家秘密的信息系統的安全事件調查處置。

2術語和定義

下列術語和定義適用于本規范。

2.1

信息系統informationsystem

由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進

行采集、加工、存儲、傳輸、檢索等處理的人機系統。

2.2

網絡安全事件Networksecurityincident

由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統造成危害，或對社會造成負面影

響的事件。如計算機病毒、特洛伊木馬、拒絕服務攻擊、漏洞攻擊事件、網絡掃描竊聽攻擊等事件。

2.3

應急處置emergencydisposal

通過采取斷網或者停止服務等手段控制事態發展，防止事件蔓延。

2.4

信息安全等級保護classifiedprotectionofinformationsystemsecurity

指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息

的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發

生的網絡安全事件分等級響應、處置。下文所述的系統級別均為信息安全等級保護級別。

3網絡安全事件分類與分級

3.1事件分類

3.1.1安全風險

1

DB11/T1654—2019

指因信息系統存在缺陷和風險，系統面臨發生安全事故的事件。信息安全風險可以分為安全管理制

度的制定或執行上存在的缺陷；系統在設計和建設時遺留下來的安全風險；系統硬件設施存在安全風險，

說明如下：

a)安全管理制度的制定或執行上存在的缺陷。如未定期進行應急演練或未定期更新完善應急預案

等情況造成的安全風險；

b)系統在設計和建設時遺留下來的安全風險。如帶寬設計不足、系統存在漏洞等方面帶來的安全

風險；

c)系統硬件設施存在安全風險，如部件老化或自帶有可被攻擊利用的功能模塊等各種形式的硬件

設施安全風險。

3.1.2安全攻擊事件

指通過網絡或其他技術手段，利用信息系統的缺陷或使用暴力攻擊對信息系統實施攻擊，或人為使

用非技術手段對信息系統進行破壞，而造成信息系統異常的事件。安全攻擊事件可以分為有害程序事件、

網絡攻擊事件、信息破壞事件和物理破壞事件等，說明如下：

a)有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻

擊事件、網頁內嵌惡意代碼事件和其他有害程序事件；

b)網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網

絡釣魚事件、干擾事件和其他網絡攻擊事件；

c)信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事

件和其他信息破壞事件；

d)物理破壞事件是指蓄意地對保障信息系統正常運行的硬件、軟件等實施竊取、破壞造成的網

絡安全事件。

3.1.3設備設施故障

設備設施故障是指由于信息系統自身故障或外圍保障設施故障而導致的網絡安全事件，以及人為的

使用非技術手段無意的造成信息系統設備設施損壞的網絡安全事件。設備設施故障包括軟硬件自身故

障、外圍保障設施故障和其它設備設施故障等3個子類，說明如下：

a)軟硬件自身故障：是指因信息系統中硬件設備的自然故障、軟硬件設計缺陷或者軟硬件運行環

境發生變化等而導致的網絡安全事件；

b)外圍保障設施故障：是指由于保障信息系統正常運行所必須的外部設施自身出現故障而導致的

網絡安全事件，例如電力故障、外圍網絡故障等導致的網絡安全事件；

c)其它設備設施故障：是指不能被包含在以上2個子類之中的設備設施故障而導致的網絡安全事

件。

3.1.4災害性事件

災害性事件是指由于不可抗力對信息系統造成物理破壞而導致的網絡安全事件。災害性事件包括

水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰爭等導致的網絡安全事件。

3.1.5其他

不屬于以上四類的網絡與網絡安全事件。

3.2事件分級

3.2.1Ⅰ級

2

DB11/T1654—2019

符合下列情形之一的，為I級網絡與網絡安全事件:

a)等級保護3級（含）以上信息系統，發生系統中斷運行或出現嚴重信息泄露，造成嚴重影響。

b)等級保護3級（含）以上信息系統，發生數據丟失或被竊取、篡改、假冒，對國家安全和社會

穩定構成嚴重威脅，或導致嚴重經濟損失。

c)其他對國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網絡與網絡

安全事件。

3.2.2Ⅱ級

符合下列情形之一且未達到I級的，為Ⅱ級網絡與網絡安全事件:

a)等級保護2級信息系統，發生系統中斷運行或出現嚴重泄露，造成較嚴重影響。

b)等級保護2級信息系統，發生數據丟失或被竊取、篡改、假冒，對國家安全和社穩定構成威脅，

或導致較嚴重經濟損失。

c)其他對國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網絡與

網絡安全事件。

3.2.3Ⅲ級

除上述情形外的其它網絡與網絡安全事件為一般事件。

4網絡安全事件調查處置

4.1事件發現及處置

4.1.1分級處置

I級網絡安全事件處置

發生I級網絡安全事件后，事發單位、監管部門、行業主管、技術支持單位、公安機關應按照圖1

所示的Ⅰ級網絡安全事件處置流程分別開展工作。

3

DB11/T1654—2019

圖1Ⅰ級網絡安全事件處置流程

4

DB11/T1654—2019

.1網絡安全事件處置

由于Ⅰ級事件對應信息系統等級較高，涉及范圍更廣，網絡安全事件處置小組需確保足夠的資源及

技術能力，以應對可能存在的各項工作，包括值班、出差、技術分析、系統加固、系統驗證等方面的工

作。

a)事發單位首先開展應急處置工作，同時填報《網絡安全事件上報表》(見附錄A中表A.1)，將

安全事件上報監管部門、行業主管并向公安機關報案。

b)監管部門收到I級安全事件報告后，牽頭組建網絡安全事件處置小組，由監管部門、公安機關、

行業主管、事發單位以及技術支持單位等共同組成。由監管部門統一指揮安全事件處置；

c)行業主管負責協助監管部門組建處置小組并指導事發單位開展事件緊急處置工作；

d)事發單位負責在處置小組的指導下開展處置工作的實施，協助公安機關取證、調查，并填報《第

三方網絡安全事件分析表》（見附錄B中表B.1）；

e)技術支持單位負責在處置小組指導下提供技術支持，提出處置方案，并分析事件成因，提出防

范方案；

f)公安機關負責取證、調查以及立案的工作，并填寫《網絡安全事件備案表》（見附錄C中表

C.1）。

.2判斷網絡安全事件類型并進行應急處置

被攻擊信息系統具備完善的應急處理機制的，信息系統運營使用者可結合網絡安全事件具體情況，

依據信息系統運營使用者及其行業主管部門制定的信息安全應急響應措施、策略及流程，開展應急處置

工作，并填報《網絡安全事件現場調查表》（附錄D中表D.1）Ⅰ級事件對應的信息系統均符合等級保護

三級以上要求，具備如雙機雙線、異地存儲等措施，可以快速恢復系統功能，但過程中要注意保存相關

證據，便于公安機關立案調查。

被攻擊信息系統的應急處理機制缺失的，可參考以下內容進行應急處置，并填報《網絡安全事件現

場調查表》，具體要求如下：

a)發生安全攻擊類事件時，如果確認重要數據被竊取且事件還在持續發生，在確定被竊取系統的

范圍后，將被破壞系統和正常的系統進行隔離，斷開或暫時關閉被破壞系統，必要時應立即切

斷網絡，防止數據進一步損失，保護數據安全；

b)發生安全攻擊類事件時，如果信息系統被持續攻擊，造成系統無法正常運行。須通過技術手段

持續監測系統及網絡狀態，記錄異常流量的遠程IP、域名和端口，分析原因。事件處置人員

須及時保護現場，配合公安機關現場調查與取證；

c)發生信息內容安全類事件時，信息系統被篡改、假冒,造成嚴重社會影響。信息系統運營使用

者須完整保存被篡改的網站系統，避免重要線索數據丟失。然后，采取技術手段立即刪除惡意

信息，停止信息的傳播。事件處置人員須保存數據信息、保存日志、源代碼等文件，用于技術

分析及取證調查；

d)發生設備設施故障類安全事件時，基礎設施被破壞導致網絡鏈路斷開、設備損壞、電力故障、

物品丟失被盜等事件。須立即啟用備用設備、冗余鏈路、冗余電力。同時，保存門禁系統出入

記錄、視頻監控信息，在系統恢復后通過該記錄信息查找可疑人員。

.3制定處置方案并實施

安全事件得到控制后，網絡安全事件處置小組充分評估被破壞系統的影響范圍、影響程度，上報有

關部門，通報有關單位，做好溝通協調工作。同時，調動一切資源及時設計處置方案。網絡安全事件處

5

DB11/T1654—2019

置小組須組織專家團隊，對方案進行論證與評審后，方可實施。如果實施工作涉及第三方單位，須簽署

合同、授權書及人員保密協調，以確保實施內容及質量可控。

Ⅱ級網絡安全事件處置

發生Ⅱ級網絡安全事件后，事發單位、監管部門、行業主管、技術支持單位、公安機關應按照圖2

所示的Ⅱ級網絡安全事件處置流程分別開展工作。

圖2Ⅱ級網絡安全事件處置流程

.1網絡安全事件處置

發生Ⅱ級網絡安全事件后，開展以下工作：

6

DB11/T1654—2019

a)事發單位立即開展應急處置工作，同時，上報監管部門、行業主管并向公安機關報案；

b)監管部門根據實際情況指導指導事發單位進行事件的處置工作；

c)行業主管應協助事發單位共同開展安全事件的處置工作；

d)事發單位應積極協助公安機關進行立案、取證、調查等工作；

e)技術支持單位負責技術支持工作；

f)公安機關負責取證、調查以及立案的工作。

.2判斷網絡安全事件類型并進行應急處置

被攻擊信息系統具備完善的應急處理機制的，信息系統運營使用者可結合網絡安全事件具體情況，

依據信息系統運營使用者及其行業主管部門制定的信息安全應急響應措施、策略及流程，開展應急處置

工作，并填報《網絡安全事件現場調查表》。過程中要注意保存相關證據，便于公安機關立案調查。具

體要求如下：

a)發生安全攻擊類事件時，如果確認重要數據被竊取且事件還在持續發生，在確定被竊取系統的

范圍后，將被破壞系統和正常的系統進行隔離，斷開或暫時關閉被破壞系統，必要時應立即切

斷網絡，防止數據進一步損失，保護數據安全；

b)發生安全攻擊類事件時，如果信息系統被持續攻擊，造成系統無法正常運行。須通過技術手段

持續監測系統及網絡狀態，記錄異常流量的遠程IP、域名和端口，分析原因。事件處置人員

須及時保護現場，配合公安機關現場調查和取證；

c)發生信息內容安全類事件時，信息系統被篡改、假冒,（如:國家機關門戶網站被篡改）造成嚴

重社會影響。信息系統運營使用者須采取技術手段立即刪除惡意信息，停止信息的傳播。事件

處置人員須保存數據信息、保存日志、源代碼等文件，用于技術分析及取證調查；

d)發生設備設施故障類安全事件時，基礎設施被破壞導致網絡鏈路斷開、設備損壞、電力故障、

物品丟失被盜等事件。須立即啟用備用設備、冗余鏈路、冗余電力。同時，保存門禁系統出入

記錄、視頻監控信息，在系統恢復后通過該記錄信息查找可疑人員。

.3制定處置方案并實施

安全事件得到控制后，網絡安全事件處置小組充分評估被破壞系統的影響范圍、影響程度，上報有

關部門，通報有關單位，做好溝通協調工作。同時，進行處置方案設計并實施。如果實施工作涉及第三

方單位，須簽署合同、授權書及人員保密協調，以確保實施內容及質量可控。

Ⅲ級網絡安全事件處置

發生Ⅲ級網絡安全事件后，事發單位、行業主管、技術支持單位、公安機關應按照圖3所示的Ⅲ級

網絡安全事件處置流程分別開展工作。

7

DB11/T1654—2019

圖3Ⅲ級網絡安全事件處置流程

.1網絡安全事件處置

發生Ⅲ級網絡安全事件后，開展以下工作：

8

DB11/T1654—2019

a)事發單位應立即開展應急處置工作，并根據情況上報行業主管、協調技術支持單位制定處置方

案；

b)行業主管指導事發單位對安全事件進行處置；

c)事發單位根據情況向公安機關報案并協助公安機關進行取證、調查工作；

d)公安機關負責取證、調查以及立案的工作。

.2判斷網絡安全事件類型并進行應急處置

網絡安全事件處置小組須及時檢查信息系統情況，確認信息安全問題。如果發現該問題涉及范圍廣

且持續造成破壞，應立即斷開網絡，關閉被破壞系統，保護現場，聯系公安機關做進一步處理。

4.1.2技術措施

網絡安全事件處置技術措施包括以下內容，應根據實際情況采取最有效的控制措施加以實施：

a)備份系統日志、應用日志、數據庫日志、審計日志、網絡及安全設備日志，用于分析和溯源。

同時，檢查日志的保存周期，確保日志保存時間6個月以上；

b)保存系統運行狀態，包括帳戶登錄記錄、網絡連接狀態、文件訪問狀態、進程運行狀態等易失

數據，以上數據可能包含系統被攻擊后的關鍵信息；

c)保留被破壞系統的數據、文件、拍照、截圖、源代碼等，用于分析、溯源及取證；

d)檢測被破壞系統的源代碼，分析代碼的安全性；

e)使用專用工具檢測操作系統、數據庫、應用系統的安全性，發現木馬、后門等惡意文件，及時

刪除；

f)檢測網絡設備、安全設備的安全配置情況，包括管理員賬號權限與口令、配置策略、日志、訪

問記錄等；

g)操作系統、應用系統、數據庫系統的管理員賬號口令重置，檢測用戶配置策略是否正常；

h)結束可疑的系統進程，并刪除對應的進程文件及目錄；

i)檢測應用系統對通過人接口或通信接口輸入數據的驗證措施是否有效；

j)操作系統、應用系統、數據庫系統的安全補丁更新情況及漏洞掃描檢測情況；

k)對被破壞的WEB系統開啟7X24小時安全檢測；

l)檢測異常端口與流量，關閉無關端口，監聽異常流量；

m)備品備件與冗余線路、電路的檢查與維護，可隨時根據需要替換上線；

n)門禁系統與視頻監控系統的檢查，確保功能的可用，用于隨時調用和查看；

o)檢測審計系統的工作情況，確保相關審計功能開啟、審計內容和記錄保存完整；

p)檢測數據通信安全的有效性，確認數據傳輸經過加密且保證數據完整性；

q)其他可發現系統隱患或漏洞的技術措施。

4.1.3證據留存

通過查看被攻擊系統的硬件、軟件配置參數、審計記錄，以及從安全管理制度和人員狀況等方面進

行取證調查，通過截圖、拍照、備份等方式收集被攻擊證據，應包含以下方面：

a)查找信息系統異常現象并對異常現象進行拍照或截圖；

b)留存當前信息系統網絡拓撲圖；

c)系統運行狀態證據留存；

d)在保存各文件的同時，保存各文件的哈希校驗值；

e)系統硬件（主機設備、網絡設備、安全設備）設備及其配置參數清單；

f)系統軟件（操作系統）、應用軟件（數據庫、中間件）的配置參數清單；

9

DB11/T1654—2019

g)應用程序文件列表及源代碼；

h)系統運維記錄、系統審計日志（網絡日志、操作系統日志、數據庫日志、中間件日志、應用程

序操作日志等）；

i)網絡、操作系統、數據庫、中間件、應用程序操作等賬號權限（角色、組、用戶等）的分配列

表；

j)其他應留存的相關證據。

4.1.4成因分析

在網絡安全事件發生后，應確定被破壞系統的范圍。通過對證據的匯總和歸納、現象的推演和還原

來論證事件產生的原因，回溯事件發生的過程。網絡安全事件成因分析應采取的方法包含以下方面：

a)了解事件破壞方法、破壞類型、破壞者或惡意程序的標識和特征；對異常文件進行備份；

b)明確破壞所跨越網絡路徑，涉及網絡區域（外網、內網、子網、骨干網）；

c)破壞者取得何種權限（破壞是否已取得超級用戶特權）；

d)存的證據進行合理的匯總和歸納。

4.2事件調查

4.2.1立案調查

對于網絡安全事件造成的影響構成刑事案件，符合立案條件的，應由公安機關案件部門負責對信息

安全案件進行案件調查工作。

4.2.2現場調查

對于網絡安全事件造成的影響尚不構成刑事案件，不符合立案條件的，管轄公安機關應按照事件級

別開展現場調查工作。要求如下：

a)I級事件發生后，管轄公安機關信息安全管理部門和案件部門應共同組建事件處置小組，及時

前往事發單位對相關事件開展現場調查工作，采取證據提取、人員訪談、筆錄制作等方式固定

事發系統相關證據，為后續案件偵辦或責任調查提供證據；

b)II級事件發生后，管轄公安機關信息安全管理部門應指派相關工作人員前往事發單位，對現

場證據進行固定，為后續案件偵辦或責任調查提供證據；

c)III級事件發生后，管轄公安機關信息安全管理部門應指導事發單位對現場證據進行固定，為

后續案件偵辦或責任調查提供證據。

4.2.3責任調查

公安機關對事件的發生原因和各單位存在的責任進行調查。調查的內容包含以下方面：

a)信息系統異常狀態的截圖或照片；

b)事發信息系統的軟/硬件設備及其原始數據；

c)系統運維記錄、系統審計日志（網絡日志、操作系統日志、數據庫日志、中間件日志、應用程

序操作日志等）；

d)發生網絡安全事件的系統信息安全等級保護定級和備案工作開展情況；

e)事發單位對發生網絡安全事件的信息系統日常管理情況和安全防護情況；

f)網絡安全事件的責任部門存在的過錯或疏忽情況；

g)其他導致信息系統發生安全事件的情況。

4.2.4恢復服務和系統加固

10

DB11/T1654—2019

網絡安全事件的恢復工作應避免出現誤操作導致數據的丟失，對于不能徹底恢復配置和清除系統上

的惡意文件，或不能肯定系統在根除處理后是否已恢復正常時，應選擇徹底重建系統。

系統加固應制定相應的系統加固方案，針對不同目標系統，通過打補丁、修改安全配置、完善系統

備份及冗余措施、增加系統帶寬等方法，對系統的安全性進行合理的增強，以達到消除與降低安全風險

的目的。此外，在進行系統加固操作前應做好充分的風險規避措施，加固工作應有跟蹤記錄，以確保系

統的可用性。

4.3事件總結

在網絡安全事件得到基本處置后，事發單位應及時對網絡安全事件的經過、成因、影響及整改情況

進行總結并對其所造成的損失進行評估，填寫《網絡安全事件處置工作報告》（見附錄E），并上報行業

主管部門和監管部門；行業主管部門或監管部門應根據事件情況上報市通信保障和信息安全應急指揮部

或向相關單位進行通報。對技術難度大、原因不明確的安全事件，專家隊伍可進行會商與研判，對網絡

安全事件進行深入分析，提供解決對策預防此類事件的再次發生。

5日常防范和應急工作準備

5.1開展信息安全等級保護工作

信息系統運營使用者及其行業主管部門在日常工作中應切實落實信息系統安全等級保護制度，建立

健全安全運維機制，并填報《信息系統資產名單》）（見附錄F中表F.1）。

5.2建立安全運維機制

安全運維機制重點關注信息系統在運行過程中的安全性是否符合信息系統運營使用者及其行業主

管部門制定的安全策略和要求。在功能性的運維機制中，加入信息安全要素，如：安全巡檢、風險評估、

應急策略制定與演練等工作，將安全技術和安全管理統一，形成全面的、無縫的、持續改進的整體。

5.3開展信息系統安全監測工作

信息系統的服務器及數據庫保存大量的重要信息，應定期開展漏洞掃描、滲透測試、安全加固、代

碼安全審計等工作，以檢測結果為基礎對安全問題進行匯總分析，形成整改方案并根據優先級逐步實施。

對于新系統、新功能的上線，在系統驗收時應充分評估安全風險、進行安全檢測、做好上線前的突發應

急處置措施，確保系統上線后安全運行。

5.4建立應急響應機制

5.4.1應急隊伍

建立網絡與信息安全應急組織，建立網絡與信息安全專家庫，加強技術交流和技術培訓，提高信息

系統運營使用者處理突發網絡安全事件的能力。

5.4.2應急物資與裝備

根據潛在突發事件的性質和后果，結合信息系統運營使用者情況，制定應急裝備與備品備件的配置

標準，購置和儲備應急所需的物資，制作應急物資清單表。對應急裝備和物資進行定期檢查、維護與

更新，保證應急物資始終處于完好狀態。加強應急備品備件的動態管理，及時補充和更新應急物資清單

表。制定應急物資和裝備的年度采購計劃，并納入信息系統運營使用者的年度總預算，切實保證應急

物資的資金投入,應急資源清單須每年更新。

11

DB11/T1654—2019

5.4.3通信與信息

應設立網絡與信息安全應急24小時值班電話，并做到電話號碼不變、傳真號碼不變、電子郵件不

變。應急工作相關人員的電話、手機、傳真、電子郵件等聯系方式應及時更新、及時分發，并保持暢通。

5.4.4應急響應措施及演練

結合信息系統運營使用者現狀建立處置措施、處理流程及演練機制。

為重要信息系統單獨制定專項信息安全應急預案，定期演練，確保應急預案的有效性，及時總結演

練中發現問題，不斷完善應急預案，形成長效的應急處理機制。

對于應急響應工作中發現的安全問題，應持續跟進、反復驗證，將詳細處置辦法及過程結果以應急

響應報告的形式進行保存，逐步建立網絡安全事件處置知識庫。

5.4.5信息安全意識

信息安全是一項需要長期開展的工作，它不僅涉及技術而且涉及到人員，信息系統運營使用者應關

注員工息安全意識，將信息安全意識培訓加入年度培訓計劃，積極宣傳信息安全有關的法律法規、安全

事件案例分析、內部安全制度等。培訓對象不僅包括內部員工還應包括相關第三方用戶和服務商。

12

DB11/T1654—2019

AA

附錄A

（規范性附錄）

表A.1網絡安全事件上報表

信息系統運營

報告時間

使用單位名稱

報告人聯系電話

通訊地址電子郵件

信息系統名稱事發時間

事件描述

□計算機病毒事件□蠕蟲事件□特洛伊木馬事件□僵

有害程序尸網絡事件□混合程序攻擊事件□網頁內嵌惡意代碼事件

安□其他

全

□拒絕服務攻擊事件□后門攻擊事件□漏洞攻擊事件

網絡攻擊

攻□網絡掃描竊聽事件□網絡釣魚事件□干擾事件□其他

擊

□信息篡改事件□信息假冒事件□信息泄露事件□信息

信息破壞

竊取事件□信息丟失事件□其他

硬件設備□服務器□數據庫□網絡設備□安全設備□其他

設

備軟件設備□應用系統□操作系統□其他

初步判定的事設

件類型

施線路（說明故障點）

故

□盜竊或破壞□雷擊□失火□漏水或返潮□靜電□

障機房基礎設施

溫濕度□電力供應□電磁干擾□其他

信□網絡端口被監聽□IP地址欺騙□TCP序號襲擊□病

可被網絡攻擊利用

毒□黑客□其他

息

安

不可被網絡攻擊利

全□賬號管理混亂□缺乏分級管理□FTP存在風險□便攜

用，但能形成系統

性移動設備控制不嚴□其他

風故障

險

造成的影響□業務中斷□系統破壞□數據丟失□其他

13

DB11/T1654—2019

表A.1網絡安全事件上報表（續）

□單臺主機□多臺主機□整個信息系統□整個局域網

影響范圍

□其他

之前是否出現過類□是（如果是說明發生時間及被破壞系統的名稱）

似情況□否

初步判定的事件等

□I級□II級□III級

級

信息系統資產名單□有□無

網絡安全事件的發

展趨勢

預案執行情況

預案執行結果

存在問題和改進意

見

14

DB11/T1654—2019

BB

附錄B

（規范性附錄）

表B.1第三方網絡安全事件分析表

單位名稱

第三方機構聯系人聯系電話

傳真電子郵件

單位名稱

信息系統運

聯系人聯系電話

營使用單位

傳真電子郵件

信息系統名稱事發時間

事件描述

□計算機病毒事件□蠕蟲事件□特洛伊木馬事件□

有害程序僵尸網絡事件□混合程序攻擊事件□網頁內嵌惡意代

安碼事件□其他

全□拒絕服務攻擊事件□后門攻擊事件□漏洞攻擊事件

攻網絡攻擊□網絡掃描竊聽事件□網絡釣魚事件□干擾事件□

擊其他

□信息篡改事件□信息假冒事件□信息泄露事件□信

信息破壞

息竊取事件□信息丟失事件□其他

設硬件設備□服務器□數據庫□網絡設備□安全設備□其他

備軟件設備□應用系統□操作系統□其他

初步判定的事件類型

設線路（說明故障點）

施

□盜竊或破壞□雷擊□失火□漏水或返潮□靜電□

故機房基礎設施

溫濕度□電力供應□電磁干擾□其他

障

信□網絡端口被監聽□IP地址欺騙□TCP序號襲擊□病

可被網絡攻擊利用

息毒□黑客□其他

安

不可被網絡攻擊利

全□賬號管理混亂□缺乏分級管理□FTP存在風險□便

用，但能形成系統

風攜性移動設備控制不嚴□其他

故障

險

15

DB11/T1654—2019

表B.1第三方網絡安全事件分析表（續）

□是（如果是說明發生時間及被破壞系統的名稱）

之前是否出現過類似情況

□否

分析網絡安全事件的發展趨

勢

初步判定的事件等級□特別重大事件□重大事件□較大事件□一般事件

16

DB11/T1654—2019

CC

附錄C

（規范性附錄）

表C.1網絡安全事件備案表

單位名稱

省(自治區、直轄市)地(區、市、州、盟)縣

通信地址

(區、市、旗)

事件發現單位

聯系人聯系電話

傳真電子郵件

單位名稱

省(自治區、直轄市)地(區、市、州、盟)縣

通信地址

信息系統運營使用單(區、市、旗)

位

聯系人聯系電話

傳真電子郵件

單位名稱

省(自治區、直轄市)地(區、市、州、盟)縣

通信地址

(區、市、旗)

受理備案單位

聯系人聯系電話

傳真電子郵件

發現時間

第一類□信息系統運營使用單位自行發現

□公安機關通過互聯網搜索發現

第二類

發現途徑□公安機關遠程漏洞掃描手段發現

第三方機構通過匯總、分析相關監測數據發現：

第三類□國家網絡與信息安全管理機構□測評機構□信息安全廠商

□科研院所□其他

17

DB11/T1654—2019

表C.1網絡安全事件備案表（續）

□計算機病毒事件□蠕蟲事件□特洛伊木馬事件□僵尸網

有害程序

絡事件□混合程序攻擊事件□網頁內嵌惡意代碼事件□其他

安全攻□拒絕服務攻擊事件□后門攻擊事件□漏洞攻擊事件□網絡

網絡攻擊

擊掃描竊聽事件□網絡釣魚事件□干擾事件□其他

□信息篡改事件□信息假冒事件□信息泄露事件□信息竊取

信息破壞

事件□信息丟失事件□其他

硬件設備□服務器□數據庫□網絡設備□安全設備□其他

軟件設備□應用系統□操作系統□其他

事件類型

設備設

施故障線路（說明故障點）

□盜竊或破壞□雷擊□失火□漏水或返潮□靜電□溫濕度

機房基礎設施

□電力供應□電磁干擾□其他

□網絡端口被監聽□IP地址欺騙□TCP序號襲擊□病毒□黑

可被網絡攻擊利用

客□其他

信息安

全風險不可被網絡攻擊利

□賬號管理混亂□缺乏分級管理□FTP存在風險□便攜性移動

用，但能形成系統

設備控制不嚴□其他

故障

之前是否出現過類似□是_____________________________________（發生時間及被破壞系統的名稱）

情況□否

18

DB11/T1654—2019

D

附錄D

（規范性附錄）

表D.1網絡安全事件現場調查表

單位名稱

受理備案單位聯系人聯系電話

傳真電子郵件

單位名稱

應急處置隊伍聯系人聯系電話

傳真電子郵件

單位名稱

信息安全專家組聯系人聯系電話

傳真電子郵件

單位名稱

行業主管部門聯系人聯系人

傳真傳真

單位名稱

信息系統運營使用

聯系人聯系電話

單位

傳真電子郵件

信息系統名稱

□業務中斷□系統破壞□數據丟失

造成的影響

□其他

影響范圍□單臺主機□多臺主機□整個信息系統□整個局域網□其他

被破壞

□當前系統結構拓撲圖□系統硬件設備及其配置參數清單□系統軟件、

信息系

統現狀應用軟件的配置參數清單□應用程序文件列表及源代碼□系統運維記錄

信息系統資產名單

□系統審計日志□賬號權限分配列表□單位應急處置人員聯系表□其

他

預處理措施

19

DB11/T1654—2019

表D.1網絡安全事件現場調查表（續）

分析事件成因

□計算機病毒事件□蠕蟲事件□特洛伊木馬事件

有害程序□僵尸網絡事件□混合程序攻擊事件□網頁內嵌

惡意代碼事件□其他

□拒絕服務攻擊事件□后門攻擊事件□漏洞攻擊

安全攻擊

網絡攻擊事件□網絡掃描竊聽事件□網絡釣魚事件□干