【GA公共安全标准】 信息安全技术网络安全事件通报预警第2部分:通报预警流程规范

ICS35.240
中华人民共和国公共安全行业标准GA/T1717.2—2020
信息安全技术
网络安全事件通报预警
第2部分：通报预警流程规范
Information security technology-Notification and warning of cyber securityincidents-Part 2: Specifications for procedure for notification and warning2020-03-24发布
中华人民共和国公安部
2020-08-01实施
GA/T1717.2—2020
2规范性引用文件
3术语和定义
网络安全事件分级
分级要素
4.2网络安全事件通报分级
网络安全事件预警分级
5通报流程
通报的发布
通报的处置
通报的归档
6预警流程
预警的发布
预警的处置
6.3预警的升级或降级
预警的解除
7评价指标
附录A（规范性附录）网络安全事件通报内容、报告及分级示例说明A.1网络安全事件通报内容：
网络安全事件分析报告
A.3网络安全事件总结报告
网络安全事件通报分级示例
参考文献
-rrKaeerkca-
GA/T1717《信息安全技术
网络安全事件通报预警》分为三个部分：第1部分：术语；
——第2部分：通报预警流程规范；第3部分：数据分类编码与标记标签体系技术规范。本部分为GA/T1717的第2部分。
本部分按照GB/T1.1一2009给出的规则起草。本部分由公安部网络安全保卫局提出。本部分由公安信息系统安全标准化技术委员会提出并归口。GA/T1717.2—2020
本部分起草单位：公安部网络安全保卫局、福建省龙岩市公安局网安支队、中科软科技股份有限公司。
本部分主要起草人：黄小苏、张秀东、吴辰苗、任彬、阮晓丽、刘燕岭、赵阳、牟坤。I
-rrKaeerKAca-
1范围
信息安全技术网络安全事件通报预警第2部分：通报预警流程规范
GA/T1717的本部分规定了网络安全事件通报预警的分级和处理流程。GA/T1717.2—2020
本部分适用于公安机关等相关职能机构或组织开展网络安全事件通报预警工作。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件，仅注日期的版本适用于本文件，凡是不注明日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/Z20986—2007信息安全技术信息安全事件分类分级指南GB/T22240信息安全技术信息系统安全等级保护定级指南GB/T25069—2010信息安全技术术语GB/T32924-2016信息安全技术网络安全预警指南GA/T1717.1—2020信息安全技术网络安全事件通报预警第1部分：术语术语和定义
GA/T1717.1—2020界定的术语和定义适用于本文件。网络安全事件分级
4.1分级要素
4.1.1概述
网络安全事件的分级主要考虑两个要素：网络安全保护对象的重要程度和可能受到损害的程度。4.1.2网络安全保护对象的重要程度网络安全保护对象的重要程度根据其所承载的业务对国家安全、经济建设、社会活动的重要性、网络安全等级保护的级别、数据的重要性及敏感程度等综合因素，划分为特别重要、重要和一般三个级别。具体为：
a）特别重要的保护对象，包括：1）重大活动期间的网络安全保护对象；2）按照GB/T22240的规定定级为四级及四级以上的信息系统；3）用户量亿级或日活跃用户千万级的互联网重要应用；日交易量亿元级的电子交易平台；4）此内容来自标准下载网
5）行业占有率前五的互联网重要应用；6）涉及百万级以上公民个人信息的系统；1
rKaeerkAca-
GA/T1717.2—2020
提供互联网支撑服务的重要系统，如域名解析服务；7）
由多个重要的网络安全保护对象共同组成的群体；8）
其他与国家安全关系密切，或与经济建设、社会活动关系非常密切的系统。9）
b）重要的保护对象，包括：
按照GB/T22240的规定定级为三级的信息系统：用户量千万级或日活跃用户百万级的互联网重要应用；2）
行业占有率较高的互联网应用；3）
涉及十万级以上，百万级以下公民个人信息的系统4）
由多个一般的网络安全保护对象共同组成的群体；5）
与国家安全密切程度较小，或与经济建设、社会活动关系密切的系统。一般的保护对象，包括：
1）按照GB/T22240的规定定级为二级及二级以下的信息系统；2）其他公共互联网服务等。
4.1.3网络安全保护对象可能受到损害的程度网络安全保护对象受到损害的程度是指网络安全事件或威胁对其软硬件、功能及数据的损坏，导致业务系统运行缓慢或中断，数据泄露、算改、丢失或损坏，对保护对象造成直接或间接损失的程度。划分为特别严重、严重、较大和一般四个级别。具体为：a）特别严重的损害，是指可能造成或已造成网络或信息系统大面积瘫痰，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除负面影响所需付出的代价十分巨大。包括但不限于：1）大规模、持续性的网络攻击，可能造成或已造成网络或信息系统大面积摊痪，使其丧失业务处理能力；
波及一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对经济建设有极2）
其恶劣的负面影响，或者严重损害公众利益；3）遭受网络攻击后，可能造成或已经造成大量重要信息泄露。b）严重的损害，是指可能造成或已造成网络或信息系统长时间中断或局部摊痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大。包括但不限于：较大规模、持续时间较短的攻击，可能造成或已造成网络或信息系统中断或局部瘫痪，使1
其业务处理能力受到极大影响：波及一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对经济建设有重大2）
的负面影响，或者损害到公众利益；遭受网络攻击后，可能造成或已造成重要信息泄露。3）
较大的损害，是指可能造成或已造成网络或信息系统中断，明显影响系统效率，使其业务处理c)
能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除负面影响所需付出的代价较大。包括但不限于：1）较小规模、非持续性的攻击，可能造成或已造成保护对象网络或系统中断，明显影响系统效率，使其业务处理能力受到极大影响；波及一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对经济建设有一2）
定的负面影响，或者影响到公众利益；3）遭受网络攻击后，可能造成或已造成敏感信息泄露d）一般的损害，是指可能造成或已造成网络或信息系统短暂中断，影响系统效率，使系统业务处2
rrKaeerkca-
GA/T1717.2—2020
理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除负面影响所需付出的代价较小。包括但不限于：1）无规模，非持续性的攻击，造成保护对象网络和系统短暂中断，影响系统效率，使其业务处理能力受到影响；
2）波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害；3）遭受网络攻击后，可能造成或已造成个人信息泄露。4.2网络安全事件通报分级
4.2.1概述
根据网络安全事件的分级要素，将网络安全事件通报划分为四个级别：I级事件通报、Ⅱ级事件通报、Ⅲ级事件通报和IV级事件通报。4.2.2I级事件通报
能够导致特别严重影响或破坏的网络安全事件，包括以下情况：a）涉及国家政治安全的网络安全事件；涉及恐饰活动的网络安全事件；b)
对特别重要网络安全保护对象产生特别严重或严重的损害。4.2.3Ⅱ级事件通报
能够导致严重影响或破坏的网络安全事件，包括以下情况：a）对特别重要网络安全保护对象产生较大或一般的损害；b）对重要网络安全保护对象产生特别严重或严重的损害。4.2.4Ⅲ级事件通报
能够导致较大影响或破坏的网络安全事件，包括以下情况：a）对重要网络安全保护对象产生较大或一般的损害；b）对一般网络安全保护对象产生特别严重或严重的损害。4.2.5N级事件通报
能够导致一般影响或破坏的网络安全事件，对一般网络安全保护对象产生较大或一般的损害。4.2.6网络安全事件通报级别表
由网络安全保护对象的重要程度和网络安全保护对象可能或已受到损害的程度确定的网络安全事件通报级别见表1。
表1网络安全事件通报级别
网络安全保护
对象的重要程度
特别重要
特别严重
I级事件通报
Ⅱ级事件通报
网络安全保护对象可能受到损害的程度严重
I级事件通报
Ⅱ级事件通报
-rrKaeerkAca-
Ⅱ级事件通报
Ⅲ级事件通报
Ⅱ级事件通报
Ⅲ级事件通报
GA/T1717.2—2020
网络安全保护
对象的重要程度
特别严重
Ⅲ级事件通报
4.3网络安全事件预警分级
表1(续）
网络安全保护对象可能受到损害的程度严重
Ⅲ级事件通报
IV级事件通报
IV级事件通报
根据GB/T32924—2016中4.2的规定，网络安全预警级别分为四个级别：红色预警（I级预警）、橙色预警（IⅡI级预警）、黄色预警（IⅡ级预警）、蓝色预警（IV级预警）。5
通报流程
5.1通报的发布
网络安全事件通报级别的判定
应根据网络安全保护对象的重要程度和可能受到损害的程度，判定网络安全事件通报的级别。5.1.2通报发布
通报发布应包括但不限于以下内容：根据网络安全事件通报的级别及时向被通报单位发布网络安全事件通报；a
汇总分析近期发生的网络安全事件，并发布网络安全事件分析报告。包括：周报、月报、年报、b
期刊等。
通报方式
通报发布的方式主要包括：通报平台、传统文件、互联网及其他即时通信工具等。5.1.4通报内容
网络安全事件通报的内容应包括但不限于以下：事件级别、威胁类型、事件截图、发现时间、涉及对象、威胁方式、严重程度、防范措施及建议等信息。通报内容见附录A中的A.1。5.2通报的处置
5.2.1通报的处置时限
通报的处置时限见表2。
表2通报处置时限
I级事件通报
Ⅱ级事件通报
处置时限
a）被通报单位接到I级事件通报，应立即启动网络安全事件处置工作；应在5个工作日内完成安全事件处置工作，并将网络安全事件总结报告上报上级主管单位b)
被通报单位接到Ⅱ级事件通报，应在12h内启动网络安全事件处置工作：应在10个工作日内完成安全事件处置工作，并将网络安全事件总结报告上报通报单位-rKaeerkca-
Ⅲ级事件通报
IV级事件通报
表2（续）
处置时限
GA/T1717.2—2020
a）被通报单位接到Ⅲ级或IV级事件通报，在24h内启动网络安全事件处置工作；b）：应在15个工作日内完成安全事件处置工作，并将网络安全事件总结报告上报通报单位5.2.2
2通报的处置
通报的处置由调查与分析和网络安全事件处置两个部分组成：a)
调查与分析：
1）针对网络安全事件通报内容，对系统内存在的安全威胁进行调查和分析，确认网络安全事件对业务的影响范围和程度，分析对网络安全事件进行响应恢复所需要的时间；2）根据网络安全事件造成的损失程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，确定网络安全事件级别，制定网络安全事件报告程序；
3）上报内容应包括但不限于：事件的级别、类型、产生原因、敏感程度、影响范围及与事件通报相关的基本信息（单位信息、软硬件信息、人员信息等）。分析报告内容见附录A中A.2。
b）网络安全事件处置：
1）根据网络安全事件的级别，制定网络安全事件处置方案，包括网络安全事件处置方法以及应采取的防范措施，并按照网络安全事件处置流程和方案对网络安全事件进行处置：2）在事件处置过程中，应根据网络安全事件的级别和严重程度，开展网络安全事件现场线索初查、安全评估及现场保护工作，及时提取固定电子证据。5.2.3通报的总结和报告
通报的总结和报告应包括但不限于以下内容：网络安全事件处置完成后，分析网络安全事件处置记录，并对网络安全事件处置过程进行总a)
结，制定网络安全事件处置报告，向上级主管部门和网络安全通报发布机构上报；网络安全事件处置报告应包括但不限于：被通报单位基本信息、被通报系统基本信息、分析结b
果和处置结果。总结报告内容见附录A中A.3。5.3通报的归档
应按事件级别和类型分类进行归档，归档事件应包括以下内容：a）事件级别；
b）事件类型；
c）关键阶段成果描述；
d）关键阶段完成时间；
处置结果。
预警流程
6.1预警的发布
网络安全预警由国家授权的预警发布机构发布。网络安全预警发布内容包括事件级别、威胁方式、5
-rKaeerkca-
GA/T1717.2—2020
影响范围、涉及对象、严重程度、防范措施及建议等信息。6.2
预警的处置
网络与信息系统的主管和运营部门接到网络安全预警后，应进行如下操作：分析、研判相关事件或威胁对自身网络安全保护对象可能造成损害的程度；a)
b）将研判结果向上级及主管部门汇报；经上级及主管部门同意后，采取适当形式发送预警或通告相关用户；c
d）根据情况启动应急预案。
当可能对网络与信息系统保护对象产生特别严重的损害时，网络与信息系统的主管或运营部门应及时向单位负责人和网络安全第一责任人汇报。3预警的升级或降级
预警发布机构根据网络安全事件或威胁的动态变化，及时发布预警的升级或降级信息。预警的解除
当网络安全威胁情况消除或威胁达不到蓝色预警（IV级预警)级别，预警发布机构应及时解除预警。7评价指标
为提高网络安全事件处置的质量和效率，可建立相应评价指标体系，评价指标宜涵盖处置事件数量、处置完成率、处置质量等信息。6
rrKaeerkAca-
附录A
（规范性附录）
网络安全事件通报内容、报告及分级示例说明A.1网络安全事件通报内容
网络安全事件通报内容见表A.1。表A.1
事件编号
事件级别
事件类型
网站/系统名称
威胁URL
IP地址
发现时间
备案信息
管辖地域
所属行业
隶属单位
事件描述
严重程度
防范措施及建议
网络安全事件通报内容
唯一的标识，依据规则创建
（I、I、Ⅲ、)/级
指通报事件的类型，依据GB/Z20986事件类型分为：隐患类事件、有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他事件。
应对事件类型进一步细化，如，隐患类事件可分为：SQL注人漏洞、弱口令漏洞、跨站脚本漏洞等。网络攻击事件可分为：拒绝服务攻击事件、后门攻击事件等
网站/系统的中文标识
存在威胁或遭受人侵的目标URL地址存在威胁或遭受人侵的物理IP地址YYYY-MM-DDhhmm:ss
公安备案或工信部备案信息
被通报单位所在的备案或行政辖区被通报单位的行业类别
网站/系统的主办单位
详细描述事件的发现过程及现有状态，可使用文字十截图的形描述
事件可能造成的或已经造成的损害程度针对事件给出的解决方法及相关处置建议-rrKaeerkca-
必选项
必选项
必选项
GA/T1717.2—2020
如果事件涉及网站/系统，此项
为必选项，其他情况下为非必
如果事件涉及具体URL，此项为
必选项，其他情况下为非必选项非必选项
必选项
如果为备案网站/系统此项为必
选项、其他情况下为非必选项
必选项
必选项
必选项
必选项
非必选项
非必选项
GA/T1717.2—2020
其他内容
注：可根据实际业务需求做适当变更。A.2
网络安全事件分析报告
网络安全事件分析报告内容见表A.2。表A.2
事件级别
备案信息
事件类型
产生原因
敏感程度
影响范围
单位信息
系统硬件信息
系统软件信息
运维人员信息
(I、I、I、N)/级
表A.1（续）
网络安全事件分析报告
公安备案或工信部备案信息
事件的类型
事件产生的具体因素
网络安全事件总结报告
网络安全事件总结报告内容见表A.3。表A.3
被通报单位基本信息
被通报系统基本信息
网络安全事件总结报告
非必选项
单位名称、单位地址、单位性质、所属行业、单位法人等
系统名称、系统域名、等级保护备案信息、硬件部署信息、系统开发单位、安全服务商、系统负责人等信息-riKaeerKAca-
分析结果
处置结果
威胁样本
事件日志
处置文件复印件
表A.3（续）
事件的级别、类型、产生原因、敏感程度、影响范围、后续响应方案等信息
处置方法、防范措施、关键过程节点记录等信息处置过程文件复印件
网络安全事件通报分级示例
GA/T1717.2—2020
某连锁酒店企业存在安全漏洞，造成5亿条公民个人信息泄露事件，涉及旗下多个酒店品牌，全国范围受到影响。
此次网络安全事件通报分级情况如下：此单位属于国内酒店集团规模排行第三的企业，且用户量超过亿级，根据4.1.2规定，应划分a)
为“特别重要的保护对象”；
此次事件造成5亿条个人信息泄露，涉及全国范围，根据4.1.2规定，应划分为“特别严重的损b)
害”。
根据以上分析结果，通过“网络安全事件通报级别表”判定此次网络安全事件的通报级别为“I级事件通报”。
-riKaeerkca-
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。