5.1 事件响应手册 (Incident Response Playbook)

目的

本手册定义了根据 CRA Art. 14 和 Annex I, Part II 对网络安全事件进行检测、评估、遏制、修复和事后审查的约束性流程。

升级级别

级别	名称	标准	示例
SEV-1	严重 (Critical)	生产环境中被积极利用的漏洞、数据丢失、完全沦陷	零日漏洞利用、勒索软件、数据窃取
SEV-2	高 (High)	可利用的漏洞（已有 PoC）、部分沦陷	具有公开利用代码的 CVE、检测到横向移动
SEV-3	中 (Medium)	无已知利用方式的漏洞、影响有限	无 PoC 的新增 CRITICAL CVE、配置错误
SEV-4	低 (Low)	信息性发现、最佳实践偏差	LOW/MEDIUM CVE、策略违规

手册：第 1 阶段 — 检测与分类 (Detection & Triage)

时间范围： 0 – 1 小时

安全事件检测
    │
    ├── 识别来源
    │   ├── CVE 监控（自动化）
    │   ├── Dependabot 告警
    │   ├── 外部报告 (SECURITY.md)
    │   ├── 内部检测
    │   └── ENISA / CSIRT 通知
    │
    ├── 安全负责人 (Security Lead) 初步评估
    │   ├── 确定严重程度 (SEV-1 至 SEV-4)
    │   ├── 识别受影响产品
    │   ├── 漏洞是否正在被积极利用？
    │   └── 客户数据是否受到影响？
    │
    └── 升级决策
        ├── SEV-1/SEV-2 → 立即升级至管理层
        │   └── 如正在被积极利用 → ENISA 24 小时期限开始
        ├── SEV-3 → 72 小时内解决
        └── SEV-4 → 常规处理

分类检查清单：

[ ] 事件来源已记录
[ ] 严重程度已确定 (SEV-1/2/3/4)
[ ] 受影响的产品和版本已识别
[ ] 已验证是否存在积极利用（KEV 目录、威胁情报）
[ ] 已评估 ENISA 报告义务
[ ] 已创建事件工单（GitHub Issue，标签 incident）

手册：第 2 阶段 — 遏制 (Containment)

时间范围： 1 – 4 小时 (SEV-1)，4 – 24 小时 (SEV-2)

紧急措施
    │
    ├── 短期遏制
    │   ├── 隔离受影响的服务（如可行）
    │   ├── 实施临时解决方案
    │   ├── 限制访问
    │   └── 证据保全（日志、工件）
    │
    ├── 在存在积极利用的情况下
    │   ├── 发送 ENISA 预警（≤ 24 小时）
    │   ├── 警告受影响用户
    │   └── 发布临时缓解措施
    │
    └── 沟通
        ├── 通知内部团队
        ├── 向管理层汇报 (SEV-1/2)
        └── 启动沟通计划

遏制检查清单：

[ ] 紧急措施已实施
[ ] 证据已保全（日志、截图、工件）
[ ] ENISA 预警已发送（如需报告）
[ ] 受影响用户已通知（如需要）
[ ] 遏制措施已记录

手册：第 3 阶段 — 修复 (Remediation)

时间范围： 4 – 48 小时 (SEV-1)，1 – 7 天 (SEV-2)

补丁开发
    │
    ├── 根因分析 (Root Cause Analysis)
    │   ├── 在代码中定位漏洞
    │   ├── 追踪利用路径
    │   └── 识别受影响组件
    │
    ├── 实施修复
    │   ├── 依赖更新或代码修复
    │   ├── 测试（单元测试、集成测试、安全测试）
    │   └── 安全审查（四眼原则）
    │
    ├── 热修复发布 (Hotfix Release)
    │   ├── CI/CD 流水线
    │   ├── 更新 SBOM
    │   ├── 签名发布 (Cosign)
    │   └── 发布版本
    │
    ├── ENISA 通知（72 小时）
    │   └── 详细的漏洞通知
    │
    └── 用户更新
        ├── 发布安全公告
        ├── 更新说明
        └── 分配 CVE-ID（如尚未分配）

修复检查清单：

[ ] 根因已识别并记录
[ ] 补丁已开发并测试
[ ] 安全审查已完成
[ ] 热修复版本已发布（已签名）
[ ] SBOM 已更新
[ ] ENISA 通知（72 小时）已发送
[ ] 安全公告已发布
[ ] 用户已通知

手册：第 4 阶段 — 恢复与验证 (Recovery & Validation)

时间范围： 修复后 1 – 7 天

恢复
    │
    ├── 补丁分发
    │   ├── 所有用户可获取更新
    │   ├── 自动更新正常运行（如已实施）
    │   └── OTA 分发成功（固件）
    │
    ├── 验证
    │   ├── 漏洞已在生产环境中关闭
    │   ├── 无回归问题
    │   ├── 监控显示正常运行
    │   └── CVE 监控确认修复
    │
    └── 更新文档
        ├── 关闭 CVE 工单
        ├── 更新事件工单
        └── 完成发布说明

手册：第 5 阶段 — 事后审查 (Post-Incident Review)

时间范围： 修复后 7 – 14 天

经验教训 (Lessons Learned)
    │
    ├── ENISA 最终报告（≤ 14 天）
    │   ├── 根因分析
    │   ├── 已采取的措施
    │   ├── 受影响的用户/产品
    │   └── 改进措施
    │
    ├── 内部事后分析
    │   ├── 哪些做得好？
    │   ├── 哪些可以改进？
    │   ├── 是否识别出流程调整？
    │   └── 工具改进？
    │
    └── 流程改进
        ├── 更新手册
        ├── 调整监控
        ├── 制定培训措施
        └── 更新文档

事后审查检查清单：

[ ] ENISA 最终报告已发送（≤ 14 天）
[ ] 事后分析已完成
[ ] 经验教训已记录
[ ] 流程改进已实施
[ ] 手册已更新（如有必要）
[ ] 事件工单已关闭

联系人列表

角色	可达性	升级时间
安全负责人 (Security Lead)	电子邮件 + Teams	立即 (SEV-1/2)，4 小时 (SEV-3)
DevOps 负责人 (DevOps Lead)	电子邮件 + Teams	1 小时 (SEV-1/2)，8 小时 (SEV-3)
管理层 (Management)	电子邮件 + 电话	2 小时 (SEV-1)，4 小时 (SEV-2)
ENISA / CSIRT	统一报告平台 (Single Reporting Platform)	根据 Art. 14 CRA

联系方式

具体的联系方式（电子邮件、电话、ENISA 凭证）保存在单独的非公开文档中，仅供事件响应团队 (Incident Response Team) 访问。

5.1 事件响应手册 (Incident Response Playbook) ​

目的 ​

升级级别 ​

手册：第 1 阶段 — 检测与分类 (Detection & Triage) ​

手册：第 2 阶段 — 遏制 (Containment) ​

手册：第 3 阶段 — 修复 (Remediation) ​

手册：第 4 阶段 — 恢复与验证 (Recovery & Validation) ​

手册：第 5 阶段 — 事后审查 (Post-Incident Review) ​

联系人列表 ​