1 范围

      本文件在GB/T 20985.1-2017和GB/T 20985.2-2020的基础之上，针对恶意软件事件的预防和处理过程给出了进一步指南。

      本文件适用于计算机系统管理人员、网络管理人员、安全事件响应小组等预防和处理恶意软件事件。

2 规范性引用文件

      下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 20985.1-2017 信息技术 安全技术 信息安全事件管理 第1部分：事件管理原理

      GB/T 20985.2-2020 信息技术 安全技术 信息安全事件管理 第2部分：事件响应规划和准备指南

      GB/T 25069 信息安全技术 术语

3 术语和定义

      GB/T 25069界定的以及下列术语和定义适用于本文件。

3.1

      恶意软件 malware

      被专门设计用来损害或破坏系统，对保密性、完整性或可用性进行攻击的软件。

      注：病毒和木马是恶意软件的例子。

      ［来源：ISO/IEC 27033-1：2015,3.22］

3.2

      恶意软件事件 malware incident

      由恶意软件引起，并造成保密性、完整性或可用性破坏的信息安全事件。

3.3

      防病毒软件 antivirus software

      监控主机和网络的程序，通过恶意软件的特征、白名单和异常行为等检测恶意软件，并能识别和清除恶意软件。

      注：防病毒软件又称为反病毒软件、杀毒软件。

3.4

      病毒 virus

      在计算机程序中插入破坏计算机功能或者数据，影响计算机使用并且能自我复制的一组计算机指令或程序代码。

      ［来源：GB/T 31499-2015,3.6］

3.5

      勒索软件 ransomware

      采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权，并借此向用户索取赎金的恶意软件。

3.6

      后门 backdoor

      可以绕过系统的权限管理机制，接收并执行来自特定端口请求的恶意软件。

3.7

      恶意移动代码 malicious mobile code

      带有恶意意图并能够通过远程主机传播到本地主机，无需用户主动触发就可以在本地自动执行的代码。

3.8

      间谍软件 spyware

      从计算机窃取用户隐私或保密信息的恶意软件。

      注：信息可能包括最频繁访问的网站或密码之类的更敏感信息的事项。

      ［来源：ISO/IEC 27032：2012,4.43］

3.9

      Rootkit 恶意软件 rootkit malware

      隐藏在目标系统内部，能够以内核态或用户态权限运行，并对系统功能调用请求进行拦截和篡改，以及秘密收集目标系统信息的恶意软件。

3.10

      默认拒绝 deny by default

      防火墙或路由器的配置项，除了明确允许通过的网络数据外，在默认情况下拒绝其他所有网络数据。

3.11

      事件响应小组 incident response team；IRT

      由组织中具备适当技能且可信的成员组成的团队，负责在事件生存周期中处理事件。

      注：IRT通常被称为CERT（计算机应急响应小组）和CSIRT（计算机安全事件响应小组）。

      ［来源：GB/T 20985.1-2017,3.2］

4 缩略语

      下列缩略语适用于本文件。

      BIOS：基本输入输出系统（Basic Input/Output System）

      DDoS：分布式拒绝服务攻击（Distributed Denial of Service）

      HTTP：超文本传输协议（Hypertext Transfer Protocol）

      IDS：入侵检测系统（Intrusion Detection System）

      IoT：物联网（Internet of Things）

      IP：网际互连协议（Internet Protocol）

      IPS：入侵防御系统（Intrusion Prevention System）

      USB：通用串行总线（Universal Serial Bus）

5 规划和准备

5.1 概述

      GB/T 20985.1-2017的5.2和GB/T 20985.2-2020的第4章～第11章的指南适用。并且，以下事件响应小组、基本预防措施、安全意识教育、脆弱性防范、恶意软件防范等特定的指南适用。

5.2 事件响应小组

5.2.1 概述

      在GB/T 20985.1-2017中5.2的c）、d）和GB/T 20985.2-2020的第7章基础上给出如下进一步指南。组建事件响应小组时应综合考虑以下内容。

5.2.2 小组职责

      组织宜依托事件响应小组，负责恶意软件事件的响应工作，制定针对恶意软件事件的处理流程，并参照事件处理流程对安全事件响应小组成员分配不同的角色。经常对小组成员进行安全培训，保证小组成员能及时准确地对恶意软件事件做出反应及进行处理。

5.2.3 人员技能

      恶意软件事件处理人员宜掌握以下技能。

      a）了解已知的典型恶意软件感染和传播的主要特征。

      b) 熟悉组织配备的恶意软件检测工具和相关配置情况，会使用所配备的工具，能分析相关数据并确认特定的威胁。

      c）有一名以上事件处理人员熟练使用计算机取证工具。

      d) 对信息技术广泛了解，能预判恶意软件事件对组织带来的威胁或影响，为遏制、根除恶意软件事件的威胁或影响，以及恢复信息系统正常工作做出对应的决策。恶意软件事件的常见场景见附录A。

      e）有一名以上具备高级语言编程能力的维护人员。

5.2.4 安全服务外包要求

      组织无法满足恶意软件事件响应人员的技能要求和团队要求时，宜考虑安全服务外包，并满足以下要求：

      a）与外包服务商签订相关协议，确保能及时处理恶意软件事件；

      b) 外包服务商无法及时达到现场处理时，可实施远程指导；

      c) 外包服务商平时给予定期或不定期安全检查；

      d) 外包服务商了解各项业务功能及其之间的相关性，确定支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、完整性和可用性要求；

      e) 外包服务商应协助用户建立适当的应急响应策略，能及时对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估，并在事件发生后提出快速有效的恢复信息系统运行的方法；

      f) 外包服务商提供相关的培训服务，以提高用户的安全意识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，熟悉应急响应策略。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 40652-2021 信息安全技术 恶意软件事件预防和处理指南》