1 范圍

      本文件在GB/T 20985.1-2017和GB/T 20985.2-2020的基礎(chǔ)之上，針對(duì)惡意軟件事件的預(yù)防和處理過程給出了進(jìn)一步指南。

      本文件適用于計(jì)算機(jī)系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、安全事件響應(yīng)小組等預(yù)防和處理惡意軟件事件。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 20985.1-2017 信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分：事件管理原理

      GB/T 20985.2-2020 信息技術(shù) 安全技術(shù) 信息安全事件管理 第2部分：事件響應(yīng)規(guī)劃和準(zhǔn)備指南

      GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ)

3 術(shù)語(yǔ)和定義

      GB/T 25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      惡意軟件 malware

      被專門設(shè)計(jì)用來?yè)p害或破壞系統(tǒng)，對(duì)保密性、完整性或可用性進(jìn)行攻擊的軟件。

      注：病毒和木馬是惡意軟件的例子。

      ［來源：ISO/IEC 27033-1：2015,3.22］

3.2

      惡意軟件事件 malware incident

      由惡意軟件引起，并造成保密性、完整性或可用性破壞的信息安全事件。

3.3

      防病毒軟件 antivirus software

      監(jiān)控主機(jī)和網(wǎng)絡(luò)的程序，通過惡意軟件的特征、白名單和異常行為等檢測(cè)惡意軟件，并能識(shí)別和清除惡意軟件。

      注：防病毒軟件又稱為反病毒軟件、殺毒軟件。

3.4

      病毒 virus

      在計(jì)算機(jī)程序中插入破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。

      ［來源：GB/T 31499-2015,3.6］

3.5

      勒索軟件 ransomware

      采取加密或屏蔽用戶操作等方式劫持用戶對(duì)系統(tǒng)或數(shù)據(jù)的訪問權(quán)，并借此向用戶索取贖金的惡意軟件。

3.6

      后門 backdoor

      可以繞過系統(tǒng)的權(quán)限管理機(jī)制，接收并執(zhí)行來自特定端口請(qǐng)求的惡意軟件。

3.7

      惡意移動(dòng)代碼 malicious mobile code

      帶有惡意意圖并能夠通過遠(yuǎn)程主機(jī)傳播到本地主機(jī)，無需用戶主動(dòng)觸發(fā)就可以在本地自動(dòng)執(zhí)行的代碼。

3.8

      間諜軟件 spyware

      從計(jì)算機(jī)竊取用戶隱私或保密信息的惡意軟件。

      注：信息可能包括最頻繁訪問的網(wǎng)站或密碼之類的更敏感信息的事項(xiàng)。

      ［來源：ISO/IEC 27032：2012,4.43］

3.9

      Rootkit 惡意軟件 rootkit malware

      隱藏在目標(biāo)系統(tǒng)內(nèi)部，能夠以內(nèi)核態(tài)或用戶態(tài)權(quán)限運(yùn)行，并對(duì)系統(tǒng)功能調(diào)用請(qǐng)求進(jìn)行攔截和篡改，以及秘密收集目標(biāo)系統(tǒng)信息的惡意軟件。

3.10

      默認(rèn)拒絕 deny by default

      防火墻或路由器的配置項(xiàng)，除了明確允許通過的網(wǎng)絡(luò)數(shù)據(jù)外，在默認(rèn)情況下拒絕其他所有網(wǎng)絡(luò)數(shù)據(jù)。

3.11

      事件響應(yīng)小組 incident response team；IRT

      由組織中具備適當(dāng)技能且可信的成員組成的團(tuán)隊(duì)，負(fù)責(zé)在事件生存周期中處理事件。

      注：IRT通常被稱為CERT（計(jì)算機(jī)應(yīng)急響應(yīng)小組）和CSIRT（計(jì)算機(jī)安全事件響應(yīng)小組）。

      ［來源：GB/T 20985.1-2017,3.2］

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      BIOS：基本輸入輸出系統(tǒng)（Basic Input/Output System）

      DDoS：分布式拒絕服務(wù)攻擊（Distributed Denial of Service）

      HTTP：超文本傳輸協(xié)議（Hypertext Transfer Protocol）

      IDS：入侵檢測(cè)系統(tǒng)（Intrusion Detection System）

      IoT：物聯(lián)網(wǎng)（Internet of Things）

      IP：網(wǎng)際互連協(xié)議（Internet Protocol）

      IPS：入侵防御系統(tǒng)（Intrusion Prevention System）

      USB：通用串行總線（Universal Serial Bus）

5 規(guī)劃和準(zhǔn)備

5.1 概述

      GB/T 20985.1-2017的5.2和GB/T 20985.2-2020的第4章～第11章的指南適用。并且，以下事件響應(yīng)小組、基本預(yù)防措施、安全意識(shí)教育、脆弱性防范、惡意軟件防范等特定的指南適用。

5.2 事件響應(yīng)小組

5.2.1 概述

      在GB/T 20985.1-2017中5.2的c）、d）和GB/T 20985.2-2020的第7章基礎(chǔ)上給出如下進(jìn)一步指南。組建事件響應(yīng)小組時(shí)應(yīng)綜合考慮以下內(nèi)容。

5.2.2 小組職責(zé)

      組織宜依托事件響應(yīng)小組，負(fù)責(zé)惡意軟件事件的響應(yīng)工作，制定針對(duì)惡意軟件事件的處理流程，并參照事件處理流程對(duì)安全事件響應(yīng)小組成員分配不同的角色。經(jīng)常對(duì)小組成員進(jìn)行安全培訓(xùn)，保證小組成員能及時(shí)準(zhǔn)確地對(duì)惡意軟件事件做出反應(yīng)及進(jìn)行處理。

5.2.3 人員技能

      惡意軟件事件處理人員宜掌握以下技能。

      a）了解已知的典型惡意軟件感染和傳播的主要特征。

      b) 熟悉組織配備的惡意軟件檢測(cè)工具和相關(guān)配置情況，會(huì)使用所配備的工具，能分析相關(guān)數(shù)據(jù)并確認(rèn)特定的威脅。

      c）有一名以上事件處理人員熟練使用計(jì)算機(jī)取證工具。

      d) 對(duì)信息技術(shù)廣泛了解，能預(yù)判惡意軟件事件對(duì)組織帶來的威脅或影響，為遏制、根除惡意軟件事件的威脅或影響，以及恢復(fù)信息系統(tǒng)正常工作做出對(duì)應(yīng)的決策。惡意軟件事件的常見場(chǎng)景見附錄A。

      e）有一名以上具備高級(jí)語(yǔ)言編程能力的維護(hù)人員。

5.2.4 安全服務(wù)外包要求

      組織無法滿足惡意軟件事件響應(yīng)人員的技能要求和團(tuán)隊(duì)要求時(shí)，宜考慮安全服務(wù)外包，并滿足以下要求：

      a）與外包服務(wù)商簽訂相關(guān)協(xié)議，確保能及時(shí)處理惡意軟件事件；

      b) 外包服務(wù)商無法及時(shí)達(dá)到現(xiàn)場(chǎng)處理時(shí)，可實(shí)施遠(yuǎn)程指導(dǎo)；

      c) 外包服務(wù)商平時(shí)給予定期或不定期安全檢查；

      d) 外包服務(wù)商了解各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性和可用性要求；

      e) 外包服務(wù)商應(yīng)協(xié)助用戶建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，能及時(shí)對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件造成的影響進(jìn)行評(píng)估，并在事件發(fā)生后提出快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的方法；

      f) 外包服務(wù)商提供相關(guān)的培訓(xùn)服務(wù)，以提高用戶的安全意識(shí)，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任，了解常見的安全事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。