1 范圍

      本文件在GB/T 20985.1-2017和GB/T 20985.2-2020的基礎(chǔ)之上，針對惡意軟件事件的預(yù)防和處理過程給出了進一步指南。

      本文件適用于計算機系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全事件響應(yīng)小組等預(yù)防和處理惡意軟件事件。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 20985.1-2017 信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分：事件管理原理

      GB/T 20985.2-2020 信息技術(shù) 安全技術(shù) 信息安全事件管理 第2部分：事件響應(yīng)規(guī)劃和準備指南

      GB/T 25069 信息安全技術(shù) 術(shù)語

3 術(shù)語和定義

      GB/T 25069界定的以及下列術(shù)語和定義適用于本文件。

3.1

      惡意軟件 malware

      被專門設(shè)計用來損害或破壞系統(tǒng)，對保密性、完整性或可用性進行攻擊的軟件。

      注：病毒和木馬是惡意軟件的例子。

      ［來源：ISO/IEC 27033-1：2015,3.22］

3.2

      惡意軟件事件 malware incident

      由惡意軟件引起，并造成保密性、完整性或可用性破壞的信息安全事件。

3.3

      防病毒軟件 antivirus software

      監(jiān)控主機和網(wǎng)絡(luò)的程序，通過惡意軟件的特征、白名單和異常行為等檢測惡意軟件，并能識別和清除惡意軟件。

      注：防病毒軟件又稱為反病毒軟件、殺毒軟件。

3.4

      病毒 virus

      在計算機程序中插入破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能自我復(fù)制的一組計算機指令或程序代碼。

      ［來源：GB/T 31499-2015,3.6］

3.5

      勒索軟件 ransomware

      采取加密或屏蔽用戶操作等方式劫持用戶對系統(tǒng)或數(shù)據(jù)的訪問權(quán)，并借此向用戶索取贖金的惡意軟件。

3.6

      后門 backdoor

      可以繞過系統(tǒng)的權(quán)限管理機制，接收并執(zhí)行來自特定端口請求的惡意軟件。

3.7

      惡意移動代碼 malicious mobile code

      帶有惡意意圖并能夠通過遠程主機傳播到本地主機，無需用戶主動觸發(fā)就可以在本地自動執(zhí)行的代碼。

3.8

      間諜軟件 spyware

      從計算機竊取用戶隱私或保密信息的惡意軟件。

      注：信息可能包括最頻繁訪問的網(wǎng)站或密碼之類的更敏感信息的事項。

      ［來源：ISO/IEC 27032：2012,4.43］

3.9

      Rootkit 惡意軟件 rootkit malware

      隱藏在目標系統(tǒng)內(nèi)部，能夠以內(nèi)核態(tài)或用戶態(tài)權(quán)限運行，并對系統(tǒng)功能調(diào)用請求進行攔截和篡改，以及秘密收集目標系統(tǒng)信息的惡意軟件。

3.10

      默認拒絕 deny by default

      防火墻或路由器的配置項，除了明確允許通過的網(wǎng)絡(luò)數(shù)據(jù)外，在默認情況下拒絕其他所有網(wǎng)絡(luò)數(shù)據(jù)。

3.11

      事件響應(yīng)小組 incident response team；IRT

      由組織中具備適當技能且可信的成員組成的團隊，負責在事件生存周期中處理事件。

      注：IRT通常被稱為CERT（計算機應(yīng)急響應(yīng)小組）和CSIRT（計算機安全事件響應(yīng)小組）。

      ［來源：GB/T 20985.1-2017,3.2］

4 縮略語

      下列縮略語適用于本文件。

      BIOS：基本輸入輸出系統(tǒng)（Basic Input/Output System）

      DDoS：分布式拒絕服務(wù)攻擊（Distributed Denial of Service）

      HTTP：超文本傳輸協(xié)議（Hypertext Transfer Protocol）

      IDS：入侵檢測系統(tǒng)（Intrusion Detection System）

      IoT：物聯(lián)網(wǎng)（Internet of Things）

      IP：網(wǎng)際互連協(xié)議（Internet Protocol）

      IPS：入侵防御系統(tǒng)（Intrusion Prevention System）

      USB：通用串行總線（Universal Serial Bus）

5 規(guī)劃和準備

5.1 概述

      GB/T 20985.1-2017的5.2和GB/T 20985.2-2020的第4章～第11章的指南適用。并且，以下事件響應(yīng)小組、基本預(yù)防措施、安全意識教育、脆弱性防范、惡意軟件防范等特定的指南適用。

5.2 事件響應(yīng)小組

5.2.1 概述

      在GB/T 20985.1-2017中5.2的c）、d）和GB/T 20985.2-2020的第7章基礎(chǔ)上給出如下進一步指南。組建事件響應(yīng)小組時應(yīng)綜合考慮以下內(nèi)容。

5.2.2 小組職責

      組織宜依托事件響應(yīng)小組，負責惡意軟件事件的響應(yīng)工作，制定針對惡意軟件事件的處理流程，并參照事件處理流程對安全事件響應(yīng)小組成員分配不同的角色。經(jīng)常對小組成員進行安全培訓，保證小組成員能及時準確地對惡意軟件事件做出反應(yīng)及進行處理。

5.2.3 人員技能

      惡意軟件事件處理人員宜掌握以下技能。

      a）了解已知的典型惡意軟件感染和傳播的主要特征。

      b) 熟悉組織配備的惡意軟件檢測工具和相關(guān)配置情況，會使用所配備的工具，能分析相關(guān)數(shù)據(jù)并確認特定的威脅。

      c）有一名以上事件處理人員熟練使用計算機取證工具。

      d) 對信息技術(shù)廣泛了解，能預(yù)判惡意軟件事件對組織帶來的威脅或影響，為遏制、根除惡意軟件事件的威脅或影響，以及恢復(fù)信息系統(tǒng)正常工作做出對應(yīng)的決策。惡意軟件事件的常見場景見附錄A。

      e）有一名以上具備高級語言編程能力的維護人員。

5.2.4 安全服務(wù)外包要求

      組織無法滿足惡意軟件事件響應(yīng)人員的技能要求和團隊要求時，宜考慮安全服務(wù)外包，并滿足以下要求：

      a）與外包服務(wù)商簽訂相關(guān)協(xié)議，確保能及時處理惡意軟件事件；

      b) 外包服務(wù)商無法及時達到現(xiàn)場處理時，可實施遠程指導(dǎo)；

      c) 外包服務(wù)商平時給予定期或不定期安全檢查；

      d) 外包服務(wù)商了解各項業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性和可用性要求；

      e) 外包服務(wù)商應(yīng)協(xié)助用戶建立適當?shù)膽?yīng)急響應(yīng)策略，能及時對業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件造成的影響進行評估，并在事件發(fā)生后提出快速有效的恢復(fù)信息系統(tǒng)運行的方法；

      f) 外包服務(wù)商提供相關(guān)的培訓服務(wù)，以提高用戶的安全意識，便于相關(guān)責任人明確自己的角色和責任，了解常見的安全事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。