1 范圍

      本文件在GB/T 20985.1-2017和GB/T 20985.2-2020的基礎之上，針對惡意軟件事件的預防和處理過程給出了進一步指南。

      本文件適用于計算機系統管理人員、網絡管理人員、安全事件響應小組等預防和處理惡意軟件事件。

2 規范性引用文件

      下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 20985.1-2017 信息技術 安全技術 信息安全事件管理 第1部分：事件管理原理

      GB/T 20985.2-2020 信息技術 安全技術 信息安全事件管理 第2部分：事件響應規劃和準備指南

      GB/T 25069 信息安全技術 術語

3 術語和定義

      GB/T 25069界定的以及下列術語和定義適用于本文件。

3.1

      惡意軟件 malware

      被專門設計用來損害或破壞系統，對保密性、完整性或可用性進行攻擊的軟件。

      注：病毒和木馬是惡意軟件的例子。

      ［來源：ISO/IEC 27033-1：2015,3.22］

3.2

      惡意軟件事件 malware incident

      由惡意軟件引起，并造成保密性、完整性或可用性破壞的信息安全事件。

3.3

      防病毒軟件 antivirus software

      監控主機和網絡的程序，通過惡意軟件的特征、白名單和異常行為等檢測惡意軟件，并能識別和清除惡意軟件。

      注：防病毒軟件又稱為反病毒軟件、殺毒軟件。

3.4

      病毒 virus

      在計算機程序中插入破壞計算機功能或者數據，影響計算機使用并且能自我復制的一組計算機指令或程序代碼。

      ［來源：GB/T 31499-2015,3.6］

3.5

      勒索軟件 ransomware

      采取加密或屏蔽用戶操作等方式劫持用戶對系統或數據的訪問權，并借此向用戶索取贖金的惡意軟件。

3.6

      后門 backdoor

      可以繞過系統的權限管理機制，接收并執行來自特定端口請求的惡意軟件。

3.7

      惡意移動代碼 malicious mobile code

      帶有惡意意圖并能夠通過遠程主機傳播到本地主機，無需用戶主動觸發就可以在本地自動執行的代碼。

3.8

      間諜軟件 spyware

      從計算機竊取用戶隱私或保密信息的惡意軟件。

      注：信息可能包括最頻繁訪問的網站或密碼之類的更敏感信息的事項。

      ［來源：ISO/IEC 27032：2012,4.43］

3.9

      Rootkit 惡意軟件 rootkit malware

      隱藏在目標系統內部，能夠以內核態或用戶態權限運行，并對系統功能調用請求進行攔截和篡改，以及秘密收集目標系統信息的惡意軟件。

3.10

      默認拒絕 deny by default

      防火墻或路由器的配置項，除了明確允許通過的網絡數據外，在默認情況下拒絕其他所有網絡數據。

3.11

      事件響應小組 incident response team；IRT

      由組織中具備適當技能且可信的成員組成的團隊，負責在事件生存周期中處理事件。

      注：IRT通常被稱為CERT（計算機應急響應小組）和CSIRT（計算機安全事件響應小組）。

      ［來源：GB/T 20985.1-2017,3.2］

4 縮略語

      下列縮略語適用于本文件。

      BIOS：基本輸入輸出系統（Basic Input/Output System）

      DDoS：分布式拒絕服務攻擊（Distributed Denial of Service）

      HTTP：超文本傳輸協議（Hypertext Transfer Protocol）

      IDS：入侵檢測系統（Intrusion Detection System）

      IoT：物聯網（Internet of Things）

      IP：網際互連協議（Internet Protocol）

      IPS：入侵防御系統（Intrusion Prevention System）

      USB：通用串行總線（Universal Serial Bus）

5 規劃和準備

5.1 概述

      GB/T 20985.1-2017的5.2和GB/T 20985.2-2020的第4章～第11章的指南適用。并且，以下事件響應小組、基本預防措施、安全意識教育、脆弱性防范、惡意軟件防范等特定的指南適用。

5.2 事件響應小組

5.2.1 概述

      在GB/T 20985.1-2017中5.2的c）、d）和GB/T 20985.2-2020的第7章基礎上給出如下進一步指南。組建事件響應小組時應綜合考慮以下內容。

5.2.2 小組職責

      組織宜依托事件響應小組，負責惡意軟件事件的響應工作，制定針對惡意軟件事件的處理流程，并參照事件處理流程對安全事件響應小組成員分配不同的角色。經常對小組成員進行安全培訓，保證小組成員能及時準確地對惡意軟件事件做出反應及進行處理。

5.2.3 人員技能

      惡意軟件事件處理人員宜掌握以下技能。

      a）了解已知的典型惡意軟件感染和傳播的主要特征。

      b) 熟悉組織配備的惡意軟件檢測工具和相關配置情況，會使用所配備的工具，能分析相關數據并確認特定的威脅。

      c）有一名以上事件處理人員熟練使用計算機取證工具。

      d) 對信息技術廣泛了解，能預判惡意軟件事件對組織帶來的威脅或影響，為遏制、根除惡意軟件事件的威脅或影響，以及恢復信息系統正常工作做出對應的決策。惡意軟件事件的常見場景見附錄A。

      e）有一名以上具備高級語言編程能力的維護人員。

5.2.4 安全服務外包要求

      組織無法滿足惡意軟件事件響應人員的技能要求和團隊要求時，宜考慮安全服務外包，并滿足以下要求：

      a）與外包服務商簽訂相關協議，確保能及時處理惡意軟件事件；

      b) 外包服務商無法及時達到現場處理時，可實施遠程指導；

      c) 外包服務商平時給予定期或不定期安全檢查；

      d) 外包服務商了解各項業務功能及其之間的相關性，確定支持各種業務功能的相關信息系統資源及其他資源，明確相關信息的保密性、完整性和可用性要求；

      e) 外包服務商應協助用戶建立適當的應急響應策略，能及時對業務中斷、系統宕機、網絡癱瘓等突發安全事件造成的影響進行評估，并在事件發生后提出快速有效的恢復信息系統運行的方法；

      f) 外包服務商提供相關的培訓服務，以提高用戶的安全意識，便于相關責任人明確自己的角色和責任，了解常見的安全事件和入侵行為，熟悉應急響應策略。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。