网络安全重大事件判定指南

网络安全事件的处置和恢复工作指南网络安全是当今信息社会中的重要议题，在日常工作和生活中我们都无法避免与网络安全相关的问题。

面对网络安全事件的发生，及时的处置和恢复工作是保障网络安全的关键。

本指南将介绍网络安全事件的处置和恢复工作的基本步骤和具体措施，旨在帮助广大用户更好地应对网络安全事件，保护个人和组织的信息安全。

一、网络安全事件的初步判断和响应网络安全事件的处置工作应该从对事件的初步判断和及时响应开始。

当发现网络安全事件时，首先需要进行初步判断，明确事件的性质和影响程度。

根据初步判断的结果，及时启动响应机制，采取应急措施，以最小化损失并保护系统和数据的完整性。

1. 确认网络安全事件的发生：通过实时监控和日志分析等手段，发现异常情况并进行初步分析，确认是否是网络安全事件。

2. 快速停止事件的扩散：针对可能造成严重后果的安全事件，应立即采取措施停止事件的扩散，比如停止相关服务、隔离受感染的主机等。

3. 保留现场证据：在采取措施的同时，要确保网络安全事件的现场证据得到保留，为后续的调查和取证提供支持。

二、网络安全事件的调查和分析网络安全事件的调查和分析是恢复工作的重要环节，通过对事件的原因和过程进行分析，找出漏洞和问题的根源，以便采取相应的措施进行修复和加固。

1. 收集事件信息：从网络日志、系统日志、安全设备以及其他相关数据源中，收集事件发生时的信息，包括受影响的系统、网络流量、攻击行为等。

2. 分析攻击手段和漏洞：通过对事件信息的分析，确定攻击手段和利用的漏洞，以便及时修补漏洞，阻止类似事件再次发生。

3. 进行威胁情报分析：针对网络安全事件，可以对攻击者的目标、手段和行为等进行威胁情报分析，以便更好地了解攻击者的动机和行为模式。

三、网络安全事件的恢复和加固网络安全事件的恢复和加固是保障系统安全的重要环节。

通过对事件的恢复和加固措施的实施，修复受影响的系统、数据和网络，防止类似事件再次发生。

1. 恢复受影响系统和数据：根据事件的性质和影响程度，有针对性地对受影响的系统和数据进行恢复工作，包括数据恢复、系统修复等。

重大网络安全行为和网络事故报告制度1. 引言网络安全是当今社会面临的重大挑战之一。

为了保护网络安全，建立一个全面的网络安全制度是非常重要的。

本文档旨在介绍重大网络安全行为和网络事故报告制度的重要性，以及相关的实施细则。

2. 重大网络安全行为的定义重大网络安全行为是指可能导致网络系统瘫痪、网络资源被非法获取或滥用、国家安全受到威胁等严重后果的行为。

一般包括但不限于以下情况：- 黑客攻击- 病毒感染- 数据泄露- 网络诈骗- 网络攻击等3. 重大网络安全行为报告制度为了及时发现和应对重大网络安全行为，建立一个完善的报告制度是必要的。

以下是重大网络安全行为报告制度的主要要素：- 报告对象：包括网络管理员、公司员工、网络服务提供商等。

- 报告渠道：建立专门的网络安全报告平台，接收并处理重大网络安全行为的报告。

- 报告内容：报告应包括重大网络安全行为相关的时间、地点、描述、影响等详细信息。

- 报告时限：要求报告人在发现重大网络安全行为后的一定时间内进行报告，以便及时采取相应的措施。

4. 网络事故报告制度网络事故是指由于网络设备故障、人为操作失误、软件漏洞等原因导致的网络故障或事故。

以下是网络事故报告制度的主要要素：- 报告对象：包括网络管理员、网络运营商、相关部门等。

- 报告渠道：建立专门的网络事故报告平台，接收并处理网络事故的报告。

- 报告内容：报告应包括网络事故的发生时间、原因、影响范围、应急措施等详细信息。

- 报告时限：要求发生网络事故后的一定时间内进行报告，以便及时处理和恢复网络正常运行。

5. 制度的执行和监督重大网络安全行为和网络事故报告制度的执行和监督是保障网络安全的关键。

以下是相关措施：- 设立专门的网络安全管理部门，负责制度的执行和监督。

- 建立网络安全审查制度，对作出重大网络安全行为和网络事故报告的机构进行审查。

- 加强网络安全意识培训，提高网络行为的合规性和安全性。

6. 总结重大网络安全行为和网络事故报告制度的建立是保障网络安全的重要举措。

中国电信重大网络安全事件问责办法规定1目的为明确在发生网络安全违规事件时各责任人的问责机制，加强网络安全相关工作的规范性，特制定本制度。

2适用范围本制度适用于华为事业部现场定制的员工。

若本制度中的某一项或几项规定与当地法律、法规的强制性规定冲突，则以当地强制性规定为准，但不影响本制度其他规定的效力。

3网络安全定义网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。

通过网络安全的保障，避免公司及其客户的经济、声誉受损；避免行为人或公司承担民事、行政甚至刑事责任。

4问责细则4.1问责原则4.1.1分级处理原则：根据员工网络安全违规的性质，以及造成的后果确定问责处理等级，分级处理，对触犯法律法规的，报送司法机关处理。

4.1.2主管承担管理责任原则：违规行为发生时的违规人直接管理者和间接管理者（包含流程owner）若存在管理不力或知情不作为等情形的，此违规人的直接管理者和间接管理者须承担管理责任。

4.1.3加重或减轻原则：违规事件处理可根据违规人的态度与调查配合情况等予以加重或减轻处理，但原则上，减轻处理最多只能降低一个处罚等级。

4.2问责事项与标准4.2.1总体要求1）现场员工被华为公司书面投诉（包含但不限于电子邮件），适用本制度；2）现场员工被华为公司非书面投诉2次（含）以上，适用本制度，问责等级按第2次投诉等级确认。

4.2.2对违规直接责任人的问责对违规直接责任人的问责，根据违规行为的性质、对公司及客户造成的损失和影响及其可能导致的政治、法律风险等因素进行处理。

各业务部门在日常业务管理和自查自纠中发现的网络安全违规行为的处理，可参照执行。

重大网络安全事件应急处置和报告制度1. 简介本文档旨在建立一套完善的重大网络安全事件应急处置和报告制度，以保障企业和个人在网络安全事件发生后能够及时、有效地做出应对并进行报告。

2. 定义重大网络安全事件：指对企业或个人信息系统造成严重威胁、影响或损失的网络安全事件，包括但不限于未经授权的访问、未经授权的数据泄露、网络攻击等。

3. 应急处置流程在发生重大网络安全事件时，应按照以下流程进行应急处置：1. 确认事件：迅速判断事发是否为重大网络安全事件，并及时启动应急处置流程。

2. 紧急响应：立即采取措施限制损失扩大，保护关键信息系统安全。

3. 事件调查：组织相关人员进行事件调查，了解事件原因、路径和影响，并做好相应记录。

4. 恢复业务：根据事件调查结果，及时采取措施恢复受损业务，并加强安全措施，防止再次发生类似事件。

5. 事后评估：对事件处置过程进行评估，总结经验教训，并提出改进建议。

4. 报告要求在发生重大网络安全事件后，相关人员应及时进行报告。

报告内容应包括以下要素：1. 事件基本情况：包括事件发生时间、地点、涉及的系统和部门等。

2. 事件类型及影响：明确事件的性质和对企业或个人的影响程度。

3. 应急处置过程：概述应急处置流程以及采取的措施、措施效果。

4. 事件调查结果：简要概述事件调查过程和结果，包括事件原因、责任方等要素。

5. 事后处理：说明已采取的措施以及未来防范措施的改进计划。

6. 其他相关要点：如对外沟通、法律责任等。

5. 报告流程报告流程如下：1. 相关人员应向安全负责人或网络安全团队进行报告。

2. 安全负责人或网络安全团队对报告内容进行初步审核，并移交给管理层决策。

3. 管理层对报告内容进行综合评估，并做出相应决策和处理措施。

4. 如有需要，报告内容可向相关的监管机构或第三方安全专家进行报告，以便获取更多支持和建议。

6. 保密与追责所有相关人员需严守保密责任，未经授权不得泄露相关报告和信息。

⽹络安全重⼤事件判定指南
《⽹络安全重⼤事件判定指南》
1、关键信息基础设施整体中断30分钟或主要功能故障2⼩时以上；
2、关键信息基础设施核⼼设备已被渗透控制或恶意程序在设施内部⼤范围传播或设施内部数据批量泄露；
3、影响单个地市级⾏政区30%以上⼈⼝的⼯作、⽣活；
4、影响10万⼈以上⽤⽔、⽤电、⽤⽓、⽤油、取暖或交通出⾏；
5、泄露5万⼈以上个⼈敏感信息；
6、造成5000万元以上直接经济损失；
7、党政机关门户⽹站、重点新闻⽹站、⼤型⽹络平台被攻击篡改，导致反动⾔论或谣⾔等违法有害信息⼤范围传播。

以下情况之⼀，可认定为是“⼤范围传播”：
（1）在主页上出现并持续1⼩时以上或在其他页⾯出现并持续10⼩时以上；
（2）通过社交平台转发1万次以上；
（3）浏览⼈数超过10万⼈；
（4）省级以上⽹信部门、公安部门认定为是“⼤范围传播”的。

8、地市级以上党政机关门户⽹站或重点新闻⽹站受到攻击，导致6⼩时以上不能访问；
9、发⽣国家秘密泄露或⼤量地理、⼈⼝、资源等国家基础数据泄露；
10、恶意程序、垃圾邮件⼤范围传播，感染IP地址超过10万个。

以上相关判定标准仅供参考。

通过以上判定标准我们可以相对量化的去判定哪些属于⽹络安全重⼤事件。

同时我们也可以通过这个判定标准，可以推定：
1、涉及到⽤⽔、⽤电、⽤⽓、⽤油、取暖或交通出⾏等相关系统的，地级市乃⾄区县级的相应系统都可以定为三级及以上，因为绝⼤多数区县⼈⼝数都在10万⼈以上；
2、系统中存有5万⼈以上个⼈敏感信息的可定为三级及以上；
3、地市级以上党政机关门户⽹站、重点新闻⽹站或⼤型⽹络平台可定为三级及以上。

网络安全政策对网络安全事件的分类和级别网络安全政策是指针对网络安全而制定和执行的一系列法规、规章和制度。

其主要目的是确保网络系统及其相关设备的安全，保护个人和组织的网络信息和数据的安全。

网络安全政策涵盖了网络安全事件的分类和级别，以便有针对性地采取相应的措施来保护网络安全。

本文将详细介绍网络安全事件的分类和级别，并对网络安全政策的应对措施进行探讨。

一、网络安全事件的分类网络安全事件是指对网络系统造成危害，威胁网络安全的事件。

根据事件发生的方式和目标，可以将网络安全事件分为以下几类：1. 黑客攻击：黑客攻击是指通过非法进入计算机系统，获取、修改或删除存储在计算机系统中的信息的行为。

黑客攻击可以分为网络入侵、病毒攻击和黑客窃密等多种形式。

2. 信息泄露：信息泄露是指未经授权的披露或故意泄露机密信息的行为。

信息泄露可能导致个人隐私的泄露、商业机密的丢失以及国家安全的威胁。

3. 拒绝服务攻击：拒绝服务攻击是指攻击者通过消耗目标系统的资源，使其无法为合法用户提供服务。

拒绝服务攻击可能会导致网络系统瘫痪，造成严重的经济和社会影响。

4. 钓鱼攻击：钓鱼攻击是指攻击者冒充合法机构或个人，通过发送虚假的电子邮件、短信或网页链接等手段，欺骗用户提供敏感信息或支付资金。

钓鱼攻击是一种常见的网络诈骗手段。

二、网络安全事件的级别网络安全事件的级别与事件的威胁程度和对网络系统以及相关利益的影响程度相关。

通常将网络安全事件的级别分为以下几个层次：1. 一般级别：一般级别的网络安全事件对网络系统的正常运行没有明显影响，不会导致重大信息泄露或财产损失。

例如，普通的垃圾邮件、广告弹窗等。

2. 重要级别：重要级别的网络安全事件可能造成一定的信息泄露或财产损失，但不会对网络系统的基本功能造成严重破坏。

例如，个别的黑客攻击、钓鱼网站等。

3. 严重级别：严重级别的网络安全事件对网络系统的正常运行造成严重威胁，可能导致重大信息泄露或财产损失。

网络安全预警指南1 范围本标准给出了网络安全预警的分级指南与处理流程。

本标准为及时准确了解网络安全事件或威胁的影响程度、可能造成的后果，及采取有效措施提供指导，也适用于网络与信息系统主管和运营部门参考开展网络安全事件或威胁的处置工作。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 22240—2008 信息安全技术信息系统安全等级保护定级指南GB/T 25069—2010 信息安全技术术语3 术语和定义GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。

为了便于使用，以下重复列出了GB/T 25069-2010中的某些术语和定义。

3.1网络安全保护对象 object of cyber security protection亦指资产，对组织具有价值的信息或资源，是安全策略保护的对象。

注：主要指重要信息系统的应用、数据、设备。

[GB/T 20984—2007，定义3.1]3.2网络安全威胁 cyber security threat对网络安全保护对象可能导致负面结果的一个事件的潜在源。

注：例如，计算机恶意代码、网络攻击行为等。

3.3攻击 attack在信息系统中，对系统或信息进行破坏、泄露、更改或使其丧失功能的尝试（包括窃取数据）。

[GB/T 25069—2010,定义2.2.1.58]3.4网络安全事件 cyber security incident由于自然或者人为以及软硬件本身缺陷或故障的原因，对网络或信息系统造成危害，或对社会造成负面影响的事件。

3.5预警 warning针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出的安全警示。

4 网络安全预警分级4.1 网络安全预警分级要素4.1.1 概述网络安全预警的分级主要考虑两个要素：网络安全保护对象的重要程度与网络安全保护对象可能受到损害的程度。

信息安全技术信息安全事件分类分级指南信息安全技术信息安全事件分类分级指南
一、事件分级
网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

（1）符合下列情形之一的，为特别重大网络安全事件：
①重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

（2）符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：
①重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

（3）符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：
①重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

（4）除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。