《数据安全能力成熟度模型》实践指南：安全事件应急-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

2025-09-08

每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

2025-09-01

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

CNVD漏洞周报2025年第29期

2025-08-11

《数据安全能力成熟度模型》实践指南：安全事件应急

发布时间：2021-03-30 阅读次数： 226 次

2019年8月30日，《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

在此基础上，DSMM将上述6个生命周期进一步细分，划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段，部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布，后续DSMM很可能会成为该法案的具体落地标准和衡量指标，对于中国企业而言，以DSMM为数据安全治理思路方案选型，可以更好的实现数据安全治理的制度合规。

本系列文将以DSMM数据安全治理思路为依托，针对上述各过程域，基于充分定义级视角（3级），提供数据安全建设实践建议，本文作为本系列第三十篇文章，本文将介绍通用安全过程域的安全事件应急过程域（PA30）。

定义

安全事件应急，DSMM官方描述定义为建立针对数据的安全事件应急响应体系，对各类安全事件进行及时响应和处置。

DSMM标准在充分定义级对安全事件应急要求如下：

组织建设

组织应设立专职负责数据安全事件管理和应急响应的岗位和人员。

制度流程

1) 应明确数据安全事件管理和应急响应工作指南，定义数据安全事件类型，明确不同类别事件的处置流程和方法；

2) 应明确数据安全事件应急预案，定期开展应急演练活动；

3) 组织的数据安全事件应急响应机制，应符合国家有关主管部门的政策文件要求。

技术工具

应建立统一的安全事件管理系统,对日志、流量等内容进行关联分析。

人员能力

负责该项工作的人员应具备安全事件的判断能力，熟悉安全事件应急响应措施。

实践指南

组织建设

在安全事件应急部分，组织需要设立专职负责数据安全事件管理和应急响应的岗位和人员，落实数据安全工作责任制，把责任落实到具体部门、具体岗位和个人，并建立健全应急工作机制，从而加快应急制度建设和完善，规范应急处置措施与操作流程，明确网络安全应急响应工作的角色和职责，实现应急响应工作的规范化、制度化和流程化。

人员能力

针对组织数据安全事件应急的相关人员能力需求，主要包含两方面：

1、具备安全事件判断能力，相关人员需能够明确理解哪些突发事件属于属于数据安全事件，并能够根据事件类型和当前影响明确判断其严重等级，以便于进行不同级别的响应和操作。

2、具备安全事件应急响应实践能力，相关人员需具备应急响应实战动手能力，当发生数据安全事件后，根据事件严重等级和影响范围，需要相关人员第一时间进行应急响应处置操作，尽可能降低实际损失。

落地执行性确认

针对组织数据安全事件应急能力的实际落地执行性确认，与上述各数据安全生命周期确认方式类似，可通过内部审计、外部审计形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程

安全事件应急相关制度流程，包含组织应急预案与处理流程，并确保其预案、流程符合国家相关政策。

应急预案与处理流程

组织应建立或在原有信息安全事件处置中新增监控审计出数据安全类事件的应急预案、处置流程，此处以几类较为常见情况进行简单介绍。

1、黑客攻击或软件系统遭破坏性攻击时的应急预案与处理流程

重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。

当管理员通过入侵监测系统发现有黑客正在进行攻击时，应立即向组织信息中心或相关职能部门报告。软件遭破坏性攻击（包括严重病毒）时要将系统停止运行。

管理员首先要将被攻击（或病毒感染）的服务器等设备从网络中隔离出来，保护现场，降低其他设备及数据的风险损失，并同时向组织或相关职能部门报告情况。

组织应急响应相关部门需负责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。

事态严重的，立即向组织安全领导层报告，并向相关部门进行汇报。

2、数据库发生故障时的应急预案和处置流程

主要数据库系统应定时进行数据库备份。

一旦数据库崩溃，管理员应立即进行数据及系统修复，修复困难的，组织可向外包技术服务公司咨询，以取得相应的技术支持。

在此情况下无法修复的，应向组织信息安全领导层报告，在征得许可的情况下，可立即向软硬件提供商请求支援。

3、数据系统硬件设备发生故障时的应急预案和处置流程

工作终端、服务器等关键设备损坏后，应立即向组织相关职能部门上报。

组织相关职能部门负责人员立即查明原因。

如果能够自行恢复，应立即用备件替换受损部件，降低数据系统中数据可用性、完整性损失。

如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

如果设备一时不能修复，应向组织信息安全领导层汇报，并告知涉及对应数据系统的各使用业务部门，暂缓上传上报以及使用数据，直到故障排除设备恢复正常使用。

4、机房发生火灾时的应急预案和处置流程

一旦机房发生火灾，应遵循下列原则：首先保证人员安全；其次保证关键设备、数据安全；三是保证一般设备安全。

人员灭火和疏散的程序是：值班人员应首先切断所有电源，同时通过119电话报警。值班人员戴好防毒面具，从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。

应急预案政策符合性

同时，组织的数据安全事件应急响应机制，应符合国家有关主管部门的政策文件要求。

2017年6月，中央网信办公布了《国家网络安全事件应急预案》。习近平总书记指出，网络安全是动态的而不是静态的，是相对的而不是绝对的。维护网络安全必须“防患于未然”。制定《国家网络安全事件应急预案》是网络安全的一项基础性工作，是落实国家《突发事件应对法》的需要，更是实施《网络安全法》、加强国家网络安全保障体系建设的本质要求。

《网络安全法》第五十三条要求，国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。这个预案指的便是《国家网络安全事件应急预案》，《网络安全法》授权国家网信部门牵头制定。同时，《网络安全法》要求，网络运营者应当制定网络安全事件应急预案；负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案。这些预案都要在《国家网络安全事件应急预案》的总体框架下分别制定。

组织在进行应急响应机制建立时，应充分考虑上述要求并作为自身机制编制依据，以满足《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）等相关规定。

技术工具简述

信息安全事件是由于自然或人为以及软、硬件本身缺陷或故障的原因，对信息系统造成危害，或者在信息系统内发生对于社会造成造成负面影响的事件。对信息安全事件进行有效管理和响应，是组织机构安全战略的一部分。应急响应是组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。应急响应工作是我国信息安全保障工作的重点之一。所以组织应当应建立统一的安全事件管理系统工具，以便在安全事件发生前、发生时、发生后对安全事件生命周期进行管理，同时辅助安全事件分析和溯源等工作。

技术工具的方法和原理

PDCERF模型

PDCERF模型是在1987年由美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出。将应急响应分成准备（Preparation）、检测（Detection）、抑制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）6个阶段的工作，并根据网络安全应急响应总体策略对每个阶段定义适当的目的，明确响应顺序和过程。

准备阶段（Preparation）：准备阶段主要是以预防为主。在这个阶段中，需要制定安全事件应急响应相关的制度文件和处理流程，组建应急响应小组并明确各岗位人员，维护组织资产清单并明确各资产负责人，并准备应急响应过程中所需要到的资源。准备阶段的意义在于当安全事件发生时，可以以最快的速度安排人员依据制定好的流程进行应急响应工作。

检测阶段（Detection）：检测阶段是对捕获到的安全事件进行检测工作。检测工作包括安全事件的确认，确认安全事件是否已经发生；评估安全事件的危害以及影响范围；安全事件定级定性；调查安全事件的发生原因，取证追查，漏洞分析，后门检查，收集数据并分析等。如主机发生CPU异常高使用率事件，需要利用进程检测、网络连接检测等工具确定主机是否是感染挖矿病毒，并确定感染的主机数量，是否已经进行横向攻击，利用何种漏洞进行攻击等。

抑制阶段（Containment）：抑制阶段的工作是控制安全事件的影响范围大小。中断安全事件影响的蔓延，防止其影响到其他组织内的IT资产和业务环境。如发生勒索病毒、蠕虫病毒等安全事件时，将被感染机器从组织网络环境中下线。需要注意的是，抑制阶段需要综合考虑遏制效果和对业务影响的平衡。

根除阶段（Eradication）：在根除阶段中，需要对检测阶段中找到的引起安全事件的漏洞、缺陷等进行修复。并对安全事件中遗留的攻击痕迹，如后门、病毒文件等进行彻底清除。

恢复阶段（Recovery）：漏洞修补、痕迹清除等工作完成后，需要对被影响的业务资产进行恢复上线。恢复上线前应该对业务资产进行安全测试、复查等工作，防止因修复不完全导致恢复上线后再次被攻击造成安全事件。

跟踪阶段（Follow-up）：在跟踪阶段，通过工具、安全设备等手段监控安全事件是否已经有效处置完毕，确定是否存在其他的攻击行为和攻击向量。并总结安全事件的处置流程，改进工作中存在缺陷的点，完善应急工作制度，并输出完善的安全事件应急响应报告。

在安全事件应急管理技术工具的设计过程中，需要遵循PDCERF模型的六个阶段进行。

安全态势感知

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。态势感知的概念最早在军事领域被提出，覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知”。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而进行决策与行动。

态势感知技术与其相关的系统工具设计理念与PDCERF模型是十分切合的。态势感知技术的目的是让组织内的信息系统安全状况可视、可知、可控、可防和可溯，对应的安全事件应急PDCERF模型中的准备、检测、抑制、跟踪阶段。功能包括但不限于提供网络安全持续监控能力，及时发现各种攻击威胁与异常，特别是针对性攻击；威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判；风险通报和威胁预警机制，全面掌握攻击者目的、技战术、攻击工具等信息；利用掌握的攻击者相关目的、技战术、攻击工具等情报，完善防御体系等。

态势感知技术基于一种三级模型：态势要素感知、态势理解、态势预测，这三个部分是递进的。态势要素感知依靠大数据技术，从海量数据中收集到需要的信息，在安全事件中，需要从大量的网络流量中找到攻击者进行攻击的相关流量日志。态势理解则是依靠机器学习、检测算法等技术对数据进行分析理解，在安全事件中，则是从攻击者的攻击行为流量中检测出攻击者执行了哪些操作、获取了哪些信息。态势预测即在感知、理解之后的基础之上进行数据建模，预测状况发展，在安全事件中，预测当前网络中可能发生的安全事件，并对网络威胁的程度进行评估。

以下是国内某厂商态势感知设备的技术要点以及工作流程：