中国石油天然气集团公司企业标准
Q/SY 1345-—2010
计算机病毒与网络入侵
应急响应管理规范
Specifications for the emergency response to
computer virus and network intrusion
2010-05-25发布
2010-08-01实施
中国石油天然气集团公司 发布 目 次
前言
范围规范性引用文件
-
2 3
，术语和定义 4 组织机构及职责计算机病毒事件分类与分级
5
网络入侵事件分类与分级应急响应
6
7 前言
本标准是中国石油天然气集团公司信息技术专业安全系列企业标准之一。信息技术专业安全系列企业标准共6项标准，另外5项标准是：
-Q/SY1341—2010《信息系统安全管理规范》； -Q/SY1342—2010《终端计算机安全管理规范》； Q/SY1343—2010《信息安全风险评估实施指南》： Q/SY1344—2010《信息系统密码安全管理规范》； Q/SY1346—2010《信息系统用户管理规范》。
本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位：中国石油集团东方地球物理勘探有限责任公司。 本标准主要起草人：靖小伟、杨志贤、滕征岑、冯梅、王峰、刘建兵、王春伟、徐健、胡静、刘
安卓、王岩、韩雪、张凯、张楠楠、偶亚伟。
II 计算机病毒与网络入侵应急响应管理规范
1范围
本标准规定了计算机病毒事件分类与分级、网络入侵事件分类与分级，确定了应急响应流程。 本标准适用于中国石油天然气集团公司（以下简称“中国石油”）总部及所属各企事业单位（中
国石油所属各企事业单位）的计算机网络、服务器、终端计算机在计算机病毒事件与网络入侵安全事件方面的应对与紧急处置。 2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
GB/Z20986—2007信息安全技术信息安全事件分类分级指南 3术语和定义
下列术语和定义适用于本标准。
3.1
信息系统information system 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息
进行采集、加工、存储、传输、检索等处理的人机系统。
[GB/Z20986—2007，定义2.1]
3.2
信息安全事件informationsecurityincident 由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面
影响的事件。
[GB/Z20986—2007，定义2.2]
3.3
计算机病毒computervirus 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复
制的一组计算机指令或者程序代码。 3.4
网络入侵network intrusion 具有熟练编写和调试计算机程序技巧，并使用这些技巧获得非法或未授权的网络或文件访问，人
侵公司内部网络的行为。 3.5
计算机病毒事件computervirus incidents 蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。 [GB/Z20986—2007，4.2.1a)中的第—句]
3.6
网络入侵事件networkintrusionincidents 通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信
息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
[GB/Z20986—2007，4.2.2中的第—段] 4组织机构及职责 4.1中国石油信息管理部
负责管理所属各企事业单位计算机病毒事件与网络人侵事件 4.2所属各企事业单位信息管理部门
所属各企事业单位应建立应急响应机制，成立应急响应小组，负责本单位计算机病毒事件与网络人侵事件处理工作。 4.3专家组
由中国石油高级技术专家，信息系统安全专业人员和顾问组成。主要职责是对发生的安全事件进行认定，制定应急解决方案，现场技术支持，协同中国石油信息管理部进行事后评估。 5计算机病毒事件分类与分级 5.1计算机病毒事件分类
按GB/Z20986—2007中4.2.1的规定，对计算机病毒事件进行分类。 5.2计算机病毒事件分级
中国石油信息系统安全等级保护划分详见“信息系统安全等级保护内容备案表”，证书编号为 01000833003 00001—00015，01000833003 00017-00022，01000833003 00024—00025。 5.2.11级事件（特别重大）
指计算机病毒事件突然爆发，导致信息系统安全保护等级为Ⅲ级、IV级的信息系统业务中断、总部至所属各企事业单位链路全部中断，对业务造成特别重大影响的信息安全事件。 5.2.2Ⅱ级事件（重大）
指计算机病毒事件突然发生，导致信息系统安全保护等级为Ⅱ级的信息系统部分业务中断、总部至所属各企事业单位之间链路多条中断，对业务造成严重影响的信息安全事件。 5.2.3Ⅲ级事件（较大）
所属各企事业单位局域网内部爆发计算机病毒，但没有影响其他企事业单位局域网的信息安全事
件。 5.2.4，IV级事件（一般）
所属各企事业所属的厂矿级单位内部爆发计算机病毒，但没有影响本单位局域网的信息安全事
件。 6网络入侵事件分类与分级 6.1网络入侵事件分类
按GB/Z20986—2007中4.2.2的规定，对网络人侵事件进行分类。 6.2网络入侵事件分级 6.2.1I级事件（特别重大）
指网络人侵事件突然发生，导致信息系统安全保护等级为Ⅲ级、IV级的信息系统业务中断，总部
2 至所属各企事业单位链路全部中断，对业务造成特别重大影响的信息安全事件。 6.2.2Ⅱ级事件（重大）
指网络入侵事件突然发生，导致信息系统安全保护等级为Ⅱ级的信息系统部分业务中断、总部至所属各企事业单位之间链路多条中断，对业务造成严重影响的信息安全事件。 6.2.3Ⅲ级事件（较大）
所属各企事业单位内部五台或五台以上服务器被入侵，但不会影响其他企事业单位局域网的信息安全事件。 6.2.4IV级事件（一般）
所属各企事业所属的厂矿级单位内部五台以下服务器被人侵，但不会影响本单位局域网的信息安全事件。 7应急响应 7.1预防
所属各企事业单位信息管理部门应对服务器、终端计算机统一安装计算机杀毒软件、补丁升级软件、网络准入控制软件并进行病毒定义码、安全补丁和安全策略升级
所属各企事业单位信息管理部门应建立身份认证和授权管理机制，对服务器、终端计算机重要数据定期进行备份，确定备份数据的可用性，定期进行安全检查。 7.2应急响应启动
发生计算机病毒事件或网络人侵事件时，事发单位信息管理部门应先期处理，控制事件发展，根据事件级别分级上报。I级事件上报信息化领导小组，Ⅱ级事件上报中国石油信息管理部；ⅡⅢ级、 IV级事件上报本单位信息管理部门。 7.3应急响应流程 7.3.1I级事件响应 7.3.1.1I级事件发生时，事发单位信息管理部门应立即实施先期处置，控制事态发展，确定事件类别，将事件信息在2h内向信息化领导小组报告。发生涉及泄露国家秘密的安全事件，按保密流程上报。 7.3.1.2信息化领导小组组织召开首次会议，并派中国石油信息管理部信息系统安全负责人和专家组人员赴现场协调应急处置工作。 7.3.1.3中国石油信息管理部信息系统安全负责人和专家组人员到达现场后立即开展现场应急处置工作，收集现场信息，掌握事态的发展趋势，查找事件起因，制定应急处置方案并组织开展工作。控制事态的发展，抑制事件影响的进一步扩大，及时向信息化领导小组上报事件进展情况，并落实有关指令。 7.3.1.4I级事件危险因素消除后，专家组将整个事件的处置过程进行文档记录，经中国石油信息管理部确认后上报信息化领导小组，由信息化领导小组下达应急状态解除指令。 7.3.2Ⅱ级事件响应 7.3.2.1Ⅱ级事件发生时，事发单位信息管理部门应立即实施先期处置，控制事态发展，确定事件类别，将事件信息在2h内向中国石油信息管理部报告。 7.3.2.2中国石油信息管理部组织召开首次会议，并派专家组人员赴现场协调应急处置工作。 7.3.2.3专家组人员到达现场后立即开展现场应急处置工作，收集现场信息，掌握事态的发展趋势，查找事件起因，制定应急处置方案并组织开展工作。控制事态的发展，抑制事件影响的进一步扩大，及时向中国石油信息管理部上报事件进展情况，并落实有关指令。 7.3.2.4Ⅱ级事件危险因素消除后，专家组将整个事件的处置过程的文档记录上报中国石油信息管理 部，并由中国石油信息管理部下达应急状态解除指令。 7.3.3Ⅲ级事件响应 7.3.3.1Ⅲ级事件发生时，计算机使用人员应将事件信息在4h内上报本单位信息管理部门。 7.3.3.2本单位信息管理部门应根据计算机使用人员报告，收集现场信息，查找事件起因，制定应急处置方案并组织开展工作，控制事态的发展，抑制事件影响的进一步扩大。 7.3.4IV级事件响应 7.3.4.1IV级事件发生后，计算机使用人员应将事件信息在4h内上报本单位信息管理部门。 7.3.4.2本单位信息管理部门应根据计算机使用人员报告，收集现场信息，查找事件起因，及时修复信息系统、数据和程序。 7.4恢复与重建
应急处置工作结束后，事发单位信息管理部门做好突发事件中损失情况的统计、汇总，并开展恢复与重建工作，对重建后的系统进行风险评估。