LD／T 04-2022  人力资源社会保障网络安全监测和应急处置规范

按照监测目标的不同，网络安全监测分为以下五类： 网络安全事件监测：对具有损害人力资源社会保障系统业务运作和威胁网络安全的事件，按 照网络安全事件不同分类、分级要求，分析识别并进行展示与告警； 6) 脆弱性与威胁监测：对监测对象的脆弱性、威胁进行评估分析，发现资产所面临的安全风险 IP实体监测：对内部实体IP进行分析，发现内部资产的脆弱性信息、被登录访问情况、主动 外连行为等；对外部实体IP进行分析，发现外部IP的相关威胁信息； 威胁情报监测：通过远控木马、APT事件、勒索软件、黑色工具、流氓软件、其他恶意软件、 窃密木马、网络端虫、僵户网络等类型的威胁情报分析，发现网络安全事件； e 终端安全监测：纵观全网终端的安全态势，对全网终端风险做到量化观测、高效管理、全面 监控

5网络安全监测技术要求

数据采集应支持通过日志采集、协议采集、包采集等多种方式采集多种类型数据土方机械标准规范范本，并将采集到的数 据转化为标准化数据格式： a）采集类型应具备从通信环境、区域边界、计算环境等采集日志数据、性能数据、流数据、威 胁数据、脆弱性数据、包数据等多数据类型能力； b） 应提供多种方式进行监测数据采集： 1）基于文件采集、基于代理采集、基于数据采集、基于协议采集：

2）主动采集、被动采集； c) 采集协议支持SNMP、Syslog、ODBC/JDBC、SFTP、NetBIOS、OPSEC等 dy 应提供日志分类和日志归一化手段，并转化为标准数据格式； e 流量采集需要完成协议解析和流量元数据收集； f) 全网要求时钟统一，便于关联分析； g) 采集过程不应影响采集对象正常运行

存储模块的主要功能是对监测数据进行存储和存储可靠性处理，应按照如下要求设计： a) 应具备数据预处理功能，包括格式化处理、补充上下文信息、（如用户、地理位置和区域）、 数据发布等； b) 应具备分布式存储功能，要能够将不同类型的异构数据进行分类存储，如归一化日志、流量 元数据、PCAP文件； c) 应支持按需扩展存储节点： d) 应满足可靠性、并发性的要求，并进行备份存储； e) 监测数据中的重要信息应进行处理保证数据保密性； f) 监测数据应采取校验机制保证数据完整性； g) 重要监测数据应采取备份机制保证数据可用性； h) 监测数据应设置访问权限，按权限限定监测数据使用； 1) 应根据具体情况对监测数据设定保存期限，并按照保存期限对数据进行存储； 1) 应对存储数据结构进行规划设计，对外部系统、上下级系统提供存储对接接口。

采集到的数据应从安全事件、脆弱性与威胁、IP实体分析和威胁情报、终端安全方面进行分析，发 现安全事件或威胁。具体应符合如下要求： a）安全事件分析应具备： 1）采用多种关联分析技术综合分析，发现病毒感染、恶意代码、数据泄露、攻击入侵、人 员违规行为与误操作等安全事件或风险； 2） 安全事件关联分析能力，通过关联分析比对识别异常行为； 3） Web异常检测功能，通过HTTP协议流量分析、检测渗透行为； 4） 邮件异常检测能力，通过对SMTP/POP3/IMAP协议流量分析、检测基于电子邮件的外部 渗透行为； 5） 按照组织内对事件分类分级的方法，对安全事件进行相应的分类分级，并按照流程进行 处置分析； b) 脆弱性与威胁分析应具备： 1）脆弱性感知能力，对资产进行脆弱性检测和数据展示；根据不同维度进行展示，包括单 个资产、安全域、信息系统等维度； 2） 威胁感知能力，对威胁进行展示和关联，包括已（未）遭受到的威胁；已遭受威胁需要 对威胁进行分类，提取出关键威胁指标，提供组织的威胁态势；未遭受威胁需要对外部 威胁情报进行分类展示、关联，提供与组织相关的位置威胁分析； 3）威胁判定能力，将多个威胁进行关联分析和评估； C)IP实体分析应具备：

将采集到的安全数据和分析后的结果信息进行实时可视化展示。其展示内容和展示功能应具备如下 a) 展示内容应包括： 1 安全事件、脆弱性与威胁、IP实体分析、威胁情报和终端安全的检测结果等实时信息； 2） 物理环境状态、拓扑关系、日志、事件和告警信息，以及事件间的关联关系； b) 展示功能应具备： 1） 统计分析图形、报表方式展示； 2) 通过关键字快速检索获取相关日志和流量元数据及详细信息，查询追溯事件的相关原始 信息； 3） 通过展示攻击过程和扩散路径，进行攻击链和攻击上下文信息的呈现，多维度展示安全 威胁的影响和范围

使用告警模块对安全事件或危险进行安全监测提示，其分类、分级方式应满足下列要求： a) 内容分类应包括： 1）7 根据设备用途分为网络设备、安全设备、主机系统、数据库系统、应用程序、网管系统 和日志服务器等； 2） 根据事件产生原因分为漏洞、病毒/木马、可疑活动、扫描探测、拒绝服务类、认证/授权 /访问类等； 根据原始事件的原始等级，重定义定级对应为“低危、中危、高危、危急”； 告警方式应具备： 1）保存告警信息直接进行展示、统计和分析：

使用项整模块对重大网络安全事件在内部进行安全影响回评估，开持续跟进事念的发展， 快课元成車 大网络安全事件的预警及处置，应满足下列要求： 1）通过导入预警包发起预警，对网络的安全影响面评估； 2）能够呈现风险、受攻击和失陷资产的整体发展态势，以及响应处置趋势情况； 3）能够呈现预警事件的事态发展图，以及资产被攻击或失陷时间顺序。

性能要求应明确的关键指标如下： a) 原始数据并发采集能力、事件分析处理能力、事件告警延迟、1000万条数据查询响应时间、 亿条数据查询响应时间、数据统计操作响应时间； b) 稳定性指标要求应满足： 1) 系统主要组件7*24小时运行； 2) 系统年正常运行时间不低于99.9%： 3) 对被采集对象的内存资源占用率不超过5%，对网络带宽占用率不超过10%； 4) 存储管理节点应保证至少一个节点正常运行且另外一个节点30分钟内恢复正常使用： 5) 采集节点应保证至少一个正常工作； 6) 集中管理节点和数据库节点应为双机或主备方式保证系统高可用性； c) 存储能力指标要求应满足： 1） 历史数据的保存期限不少于6个月； 2) 系统日志的保存期限不少于6个月； 3) 数据存储应具有备份和灾难恢复能力，

支持通信加密、数据加密、状态监测、日志审计、数据备份与快速恢复、密码策略设置与核查、时 间同步及超时登录设置。应具备如下要求： a) 网络通信应采用加密协议； b) 重要数据应加密存储； c) 系统进行自身运行状态监测，并可产生告警； d) 生成系统敏感操作日志，并执行定期的日志审计，查看权限仅授予审计员； e) 系统配置信息和数据备份功能，系统崩溃时可通过备份快速恢复； f) 与其他系统进行时间同步能力，至少每天同步一次； g) 账号密码强度策略设置以及密码强度自动核查机制，并支持用户登录时的图形码验证功能： h) 用户登录超时设置，按照。非法登录次数最多为5次登录失败后锁定时间不少于10min，登录 连接超时不得超过10min：

支持通信加密、数据加密、状态监测、日志审计、数据备份与快速恢复、密码策略设置与核查、时 间同步及超时登录设置。应具备如下要求： a) 网络通信应采用加密协议； b) 重要数据应加密存储； c) 系统进行自身运行状态监测，并可产生告警； d) 生成系统敏感操作日志，并执行定期的日志审计，查看权限仅授予审计员； e) 系统配置信息和数据备份功能，系统崩溃时可通过备份快速恢复； f) 与其他系统进行时间同步能力，至少每天同步一次； g) 账号密码强度策略设置以及密码强度自动核查机制，并支持用户登录时的图形码验证功能； h) 用户登录超时设置，按照。非法登录次数最多为5次登录失败后锁定时间不少于10min，登录 连接超时不得超过10min：

网络安全事件分为有害程序事件、网络攻击事件、数据攻击事件、设备设施故障事件、违规操作事 件、不可抗力事件、其他事件等7个基本分类，每个基本分类分别包括若干个子类。

网络安全事件可能是由人为故意或意外行为引起的，也可能是由某些控制失效或不可抗力等原因引 起的。本文件将威胁作为主要分类原则，同时适当考虑网络安全事件的产生原因、攻击方式、损害后果 等，对网络安全事件进行分类

7.2.2有害程序事件（MI)

有害程序事件是指畜意制造、传播或感染有害程序，从而造成系统损失或社会影响的事件。有害程 是指插入到信息系统中的一段程序，可危害系统中的数据、应用程序或操作系统的保密性、完整性或 「用性，或影响信息系统的正常运行。 有害程序事件包括计算机病毒、网络虫、特洛伊木马、僵户网络、混合攻击程序、勒索软件、恶 代码内嵌网页、恶意代码宿主站点等事件，说明如下： a) 计算机病毒（CV）：是指编制或者在计算机程序中插入的一段程序代码。它可以破坏计算机 功能或者毁坏数据，并具有自我复制能力； b) 网络蠕虫（NW）：是指与计算机病毒相对应，一种利用信息系统缺陷，通过网络自动传播并 复制的恶意程序； C) 特洛伊木马（TH）：是指伪装在信息系统中的非法远程控制程序，能够控制信息系统，包括 从信息系统中窃取或截获数据： 僵尸网络（BOT）：是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网 络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序； e) 混合攻击程序（MA）：是指利用多种方法传播和感染其它系统的有害程序，可以兼有计算机 病毒、网络蠕虫、特洛伊木马等多种组合特征。混合攻击程序也可以是一系列不同恶意程序 组合运行的结果。例如，一个计算机病毒或网络蠕虫在侵入计算机系统后在系统中安装木马 程序； 勒索软件（RAN）：是一种恶意软件，通过感染用户的操作系统，采用加密用户的数据或拒 绝用户访问设备等方式，使用户数据资产或计算资源无法正常使用，以此向用户勒索钱财换 取解密密钥或恢复对设备的访问，赎金形式包括真实货币或虚拟货币； g) 恶意代码内嵌网页（MCEWP）：是指因被嵌入恶意代码而受到污损的网页，该恶意代码在访 问该网站的计算机系统中安装恶意软件； h) 恶意代码宿主站点（MCHS）：是指诱使网站存储恶意代码，导致目标用户下载的站点； 1] 其它有害程序（OM）：是指不能包含在以上子类之中的有害程序

7.2.3网络攻击事件（NAI)

网络攻击事件是指通过网络或其他技术手段对信息系统攻击（或者利用信息系统配置、协议或 的脆弱性，或者强力攻击导致信息系统状态异常或对当前系统运行带来潜在危害）造成系统损失 影响的事件

7.2.4数据攻击事件（DAL)

数据攻击事件是指通过网络或其他技术手段，造成信息系统中的数据被篡改、假冒、泄漏、窃取等 而造成系统损失或社会影响的事件。 数据攻击事件包括数据篡改、数据假冒、数据泄漏、数据窃取、数据拦截、数据丢失、数据错误、 数据勒索等事件，说明如下： a）数据篡改（TWD）：是指未经授权接触或修改数据，例如服务请求数据篡改、服务响应数据 篡改等； 数据假冒（DC）：是指非法或未经许可使用、伪造系统数据，例如身份数据假冒、网页数据 假冒等； c) 数据泄漏（DLE）：是指通过技术手段或恶意操作使得信息系统中的数据对外透露，例如社会 工程、网络钓鱼等； d) 数据窃取（ToD）：是指未经授权利用技术手段恶意主动获取信息系统中的数据，例如窃听、 间谍、位置检测等； e) 数据拦截（DIN）：是指在数据到达目标接收者之前捕获数据； f) 数据丢失（DLO）：是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的数据缺 失; g) 数据错误（DE）：是指输入或处理数据时发生错误； h) 数据勒索（DB）：是指主动瞄准目标，通过劫持信息系统重要数据或个人敏感信息向目标勒 索赎金，从而达到敲诈的目的； 1) 其它数据攻击（ODA）：是指不能被包含在以上子类之中的数据攻击，

数据攻击事件是指通过网络或其他技术手段，造成信息系统中的数据被篡改、假冒、泄漏、窃取等 而造成系统损失或社会影响的事件。 数据攻击事件包括数据篡改、数据假冒、数据泄漏、数据窃取、数据拦截、数据丢失、数据错误、 数据勒索等事件，说明如下： a）数据篡改（TWD）：是指未经授权接触或修改数据，例如服务请求数据改、服务响应数据 篡改等； 数据假冒（DC）：是指非法或未经许可使用、伪造系统数据，例如身份数据假冒、网页数据 假冒等； c) 数据泄漏（DLE）：是指通过技术手段或恶意操作使得信息系统中的数据对外透露，例如社会 工程、网络钓鱼等； d) 数据窃取（ToD）：是指未经授权利用技术手段恶意主动获取信息系统中的数据，例如窃听、 间谍、位置检测等； e) 数据拦截（DIN）：是指在数据到达目标接收者之前捕获数据； f) 数据丢失（DLO）：是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的数据缺 失； g) 数据错误（DE）：是指输入或处理数据时发生错误； h) 数据勒索（DB）：是指主动瞄准目标，通过劫持信息系统重要数据或个人敏感信息向目标勒 索赎金，从而达到敲诈的目的； 1) 其它数据攻击（ODA）：是指不能被包含在以上子类之中的数据攻击，

7.2.5设备设施故障事件（FFI)

设备设施故障事件是指由于信息系统自身故障或基础设施故障而导致的网络安全事件。 设备设施故障事件包括技术故障、基础设施故障、物理损害、辐射干扰等事件，说明如下： a 技术故障（TF）：是指信息系统或相关设备故障以及意外的人为因素导致信息系统故障或毁 坏造成的系统损失，例如，硬件故障、软件故障、过载（信息系统容量饱和）、维护性破坏 等；

设备设施故障事件是指由于信息系统自身故障或基础设施故障而导致的网络安全事件。 设备设施故障事件包括技术故障、基础设施故障、物理损害、辐射干扰等事件，说明如下： a）技术故障（TF）：是指信息系统或相关设备故障以及意外的人为因素导致信息系统故障 坏造成的系统损失，例如，硬件故障、软件故障、过载（信息系统容量饱和）、维护性 等；

b）基础设施故障（IF）：是指支撑信息系统运行的基本系统和服务故障造成的系统损失，例如， 电源故障、网络故障、空调故障、供水故障等； C 物理损害（PHD）：是指故意或意外的物理行动造成的系统损失，例如，火灾、水灾、静电 恶劣环境（诸如污染、灰尘、腐蚀、冻结），设备毁坏、介质毁坏、设备盗窃、介质盗窃、 设备丢失、介质丢失、设备篡改、介质篡改等； d) 辐射干扰（RI）：是指因辐射产生干扰造成的系统损失，例如，电磁辐射、电磁脉冲、电子 干扰、电压波动、热辐射等； e）其它设备设施故障（OFF）：是指不能被包含在以上子类之中的设备设施故障

7.2.6违规操作事件（IOL)

违规操作事件是指人为故意或意外地损害信息系统功能造成系统损失的网络安全事件。 违规操作事件包括权限滥用、权限伪造、行为抵赖、恶意操作、误操作、人员可用性破坏、资源未 授权使用、版权违反等事件，说明如下： a) 权限滥用（AoA）：是指超出范围使用权限； b) 权限伪造（FoR）：是指为了欺骗制造虚假权限； c) 行为抵赖（DoA）：是指否认他/她所做的事情； d) 恶意操作（MO）：是指故意执行非法操作； e) 误操作（MISO）：是指不正确或无意地执行操作； f) 人员可用性破坏（BoPA）：是指由人员缺失或缺席而造成； g) 资源未授权使用（UUoR）：是指为未授权的目的访问资源，包括营利冒险，例如，使用电子 邮件参加非法传销的连锁信； 版权违反（BoC）：是指因贩卖或安装未经许可的商业软件或其他受版权保护的材料而引起 例如，盗版软件信息假冒是指通过假冒他人信息系统收发信息而导致的网络安全事件； 1) 其它违规操作（OIO）：是指不能被包含在以上子类之中的违规操作

7.2.7不可抗力事件（FMI)

用户访问网络通道安全性措施；网络安全监测系统自身的数据安全性保护措施、网络安全监测系统 应用层安全检测措施等。不可抗力事件是指由于某些突发事件造成的网络安全事件。 不可抗力事件包括自然灾害、事故灾难、公共卫生事件、社会安全事件等事件，说明如下： 自然灾害（ND）：例如，水旱灾害、气象灾害、地震灾害、地质灾害、海洋灾害等； b) 事故灾难（AD）：例如，煤矿事故、火灾事故、特种设备事故、基础设施和公用设施事故、 核与辐射事故、能源供应中断事故等； C 公共卫生事件（PHI）：例如，传染病、食品药品安全等； 社会安全事件（SSI）：例如，群体性事件、恐怖装击事件、涉外突发事件、金融安全事件等： ）其他不可抗力（OFM）：是指不能被包含在以上子类之中的不可抗力

7.2.8其他事件（OI)

1. 2信息系统的重要

的分级主要考虑三个要素：信息系统的重要程度

信息系统的重要程度由信息系统所支撑运行的业务重要程度决定。这种重要程度以社会秩序、经济 发展和公众利益以及业务对信息系统的依赖程度来表达，划分为特别重要信息系统、重要信息系统和一 般信息系统。具体描述如下： a) 特别重要信息系统，是指受到破坏后，会对社会秩序、经济发展和公共利益造成特别严重损 害的信息系统： b) 重要信息系统，是指受到破坏后，会对社会秩序、经济发展和公共利益造成严重损害，或对 相关公民、法人和其他组织的合法权益造成严重或特别严重损害的信息系统； C 一般信息系统，是指受到破坏后，不危害社会秩序、经济发展和公共利益，但会对相关公民、 法人和其他组织的合法权益造成一般损害的信息系统

社会影响是指网络安全事件对社会所造成影响的范围和程度，其大小主要考虑社会秩序、经济建设 和公众利益等方面的影响，划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社 会影响，说明如下： a) 特别重大的社会影响：波及到一个或多个省市的大部分地区，对经济建设有极其恶劣的负面 影响，或者严重损害公众利益； b) 重大的社会影响：波及到一个或多个地市的大部分地区，对经济建设有重大的负面影响，或 者损害到公众利益； c) 较大的社会影响：波及到一个或多个地市的部分地区，可能扰乱社会秩序，对经济建设有 定的负面影响，或者影响到公众利益； d）一般的社会影响：波及到一个地市的部分地区，对社会秩序、经济建设和公众利益基本没有 影响，但对个别公民、法人或其他组织的利益会造成损害。

系统损失的大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价，划分为特别 严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失，说明如下： a 特别严重的系统损失：造成系统大面积瘫痪，使其丧失业务处理能力，或系统重要数据/个人 致感信息的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面 影响所需付出的代价十分巨大，对于事发组织是不可承受的； b） 严重的系统损失：造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系 统重要数据/个人敏感信息的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安 全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的； C 较大的系统损失：造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务 处理能力受到影响，或系统重要数据/个人信息的保密性、完整性、可用性遭到破坏，恢复系 统正常运行和消除安全事件负面影响所需付出的代价较大：

系统损失的大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价，划分为特别 严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失，说明如下： a 特别严重的系统损失：造成系统大面积瘫痪，使其丧失业务处理能力，或系统重要数据/个人 敏感信息的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面 影响所需付出的代价十分巨大，对于事发组织是不可承受的； b） 严重的系统损失：造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系 统重要数据/个人敏感信息的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安 全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的； C 较大的系统损失：造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务 处理能力受到影响，或系统重要数据/个人信息的保密性、完整性、可用性遭到破坏，恢复系 统正常运行和消除安全事件负面影响所需付出的代价较大：

d）较小的系统损失：造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系 统重要数据/个人信息的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事 件负面影响所需付出的代价较小。

见《人力资源社会保障行业网络安全事件应急预案》（人社厅发（2017）112号）中1.4。

对于安全产品要做到集中管理、集中运营，对病毒库、补丁库、规则库、威胁情报库等具备特 安全产品，要做到及时更新，更新频率不小于月/次。要做到系统能够对安全或系统日志进行统 纳管理，通过预警、监测、响应、阻断、恢复等5个方面对网络进行持续运营，

11安全事件应急处置流程

安全事件应急处置流程为信息系统管理人员处置网络安全事件提供了一套行为的规范。当紧急事件 发生时，信息系统管理员可以及时的确定如何采取措施应对紧急事件，提高对紧急事件的处理效率，从 而保证整个系统的持续、正常的运行。涉及“安全事件监测”“启动预案”“应急处置”等内容，具体 参考《人力资源社会保障行业网络安全事件应急预案》

11. 1安全事件监测

教育标准11. 1. 1监测范围

网络安全事件工作小组和信息系统管理人员对信息系统进行实时监测分析。具体监测范围参者

11. 1. 2监测方式

由网络安全事件工作小组负责，网络安全事件工作小组和信息系统管理人员对信息系统、网络安全 系统、计算系统等进行实时监测分析。能够直观的查看内部资产的安全事件分布情况，将安全事件风险 进行可视化展示。对网络日志，安全日志，流量日志进行检测关联分析，通过检测引擎、威胁情报、场 景化检测规则、机器学习和关联规则等多维度进行威胁的研判，达到对产生的事件进行快速分析，快速 判断正在发生或已经发生的网络入侵攻击行为。将发现的攻击事件进行报告，并及时采取有效阻断措施。 同时判断系统及运行情况是否正常，分析应用产生的日志是否有恶意攻击行为。一且发现异常日志事件， 及时报告。

11. 1. 3安全事件确认

1. 1. 4 确认安全事件等

道路标准规范范本11. 1. 5问题通报

b) 网络攻击事件：应急响应组织通过入侵检测和安全审计等方法确定攻击方法，采取措施保护 现场，阻止攻击行为进一步造成危害。应急响应组织还需对现场进行全面勘查取证，查明网 络攻击来源； 数据攻击事件：应急响应组织对被泄露、窃取和丢失的秘密信息进行鉴定，确定信息的密级， 确定泄密事件的性质。并对现场进行全面勘查取证，分析判断，查明泄密的渠道，确定密 对象。应急响应组织需要采取有效措施，阻断泄密渠道； d) 设备设施故障事件：应急响应组织及时修复设备故障，不能修复的设备，信息系统建设管理 责任部门要立即进行更换，保障网络的畅通和重要信息系统的正常运行。应急响应组织及时 查明设备设施故障的原因，完善设备部分方案； e) 违规操作事件：应急响应组织及时违规操作事件造成影响进行判断，对网络和信息系统的受 损情况进行调查取证，对违规操作人员进行处理，严重者移交公安机关进行处置： f) 不可抗力事件：应急响应组织对事件进行内部和外部进行紧急通报，并协调外部组织协助应 急响应组织对网络和信息系统的受损情况进行调查，并对灾害性事件进行评估，充分评估涉 及部门、业务范围和社会影响。评估后，对发生事件的网络和信息系统应尽快恢复信息系统 的正常运行； g) 其它事件：应急响应组织对各种其它安全事件，特别是跟自身业务、自身系统、设备特殊性 相关的安全事件的处理，需要有应急处置专门的措施，比如工业网络安全领域的安全事件， 需要有专门的应急处置措施。

11.5事件调查和报告