为维护国家网络安全,规范网络安全事件的报告,减少网络安全事件造成的损失和危害,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室近日起草了《网络安全事件报告管理办法(征求意见稿)》(以下简称《管理办法》)。
《管理办法》全文共十四条,对于企业落实网络安全事件报告要求、防范网络安全风险具有重要指导意义。天融信在网络安全领域的积累与实践,针对《管理办法》中部分内容要点形成相关策略参考,助力网络安全建设规范化落地。
重要安全事件上报
《管理办法》第四条指出,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。
网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当于1小时内向国家网信部门、国务院公安部门报告。
其他网络和系统运营者应当向属地网信部门报告。属于重大、特别重大网络安全事件的,属地网信部门在收到报告后,应当于1小时内逐级向上级网信部门报告。
有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告。
发现涉嫌犯罪的,运营者应当同时向公安机关报告。
一、特别重大网络安全事件
符合下列情形之一的,为特别重大网络安全事件:
1.重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
2.国家秘密信息、重要敏感信息、重要数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
通常情况下,满足下列条件之一的,可判别为特别重大网络安全事件:
1.省级以上党政机关门户网站、重点新闻网站因攻击、故障,导致24小时以上不能访问。
2.关键信息基础设施整体中断运行6小时以上或主要功能中断运行24小时以上。
3.影响单个省级行政区30%以上人口的工作、生活。
4.影响1000万人以上用水、用电、用气、用油、取暖或交通出行。
5.重要数据泄露或被窃取,对国家安全和社会稳定构成特别严重威胁。
6.泄露1亿人以上个人信息。
7.党政机关门户网站、重点新闻网站、网络平台等重要信息系统被攻击篡改,导致违法有害信息特大范围传播。以下情况之一,可认定为“特大范围”:
(1)在凯发k8国际首页登录主页上出现并持续6小时以上,或在其他页面出现并持续24小时以上;
(2)通过社交平台转发10万次以上;
(3)浏览或点击次数100万以上;
(4)省级以上网信部门、公安部门认定为是“特大范围传播”的。
8.造成1亿元以上的直接经济损失。
9.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
二、重大网络安全事件
符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
1.重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
2.国家秘密信息、重要敏感信息、重要数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
通常情况下,满足下列条件之一的,可判别为重大网络安全事件:
1.地市级以上党政机关门户网站、重点新闻网站因攻击、故障,导致6小时以上不能访问。
2.关键信息基础设施整体中断运行2小时以上或主要功能中断运行6小时以上。
3.影响单个地市级行政区30%以上人口的工作、生活。
4.影响100万人以上用水、用电、用气、用油、取暖或交通出行。
5.重要数据泄露或被窃取,对国家安全和社会稳定构成严重威胁。
6.泄露1000万人以上个人信息。
7.党政机关门户网站、重点新闻网站、网络平台等被攻击篡改,导致违法有害信息大范围传播。以下情况之一,可认定为“大范围”:
(1)在凯发k8国际首页登录主页上出现并持续2小时以上,或在其他页面出现并持续12小时以上;
(2)通过社交平台转发1万次以上;
(3)浏览或点击次数10万以上;
(4)省级以上网信部门、公安部门认定为是“大范围传播”的。
8.造成2000万元以上的直接经济损失。
9.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
三、较大网络安全事件
符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
1.重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
2.国家秘密信息、重要敏感信息、重要数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
通常情况下,满足下列条件之一的,可判别为较大网络安全事件:
1.地市级以上党政机关门户网站、重点新闻网站因攻击、故障,导致2小时以上不能访问。
2.关键信息基础设施整体中断运行30分钟以上或主要功能中断运行2小时以上。
3.影响单个地市级行政区10%以上人口的工作、生活。
4.影响10万人以上用水、用电、用气、用油、取暖或交通出行。
5.重要数据泄露或被窃取,对国家安全和社会稳定构成较严重威胁。
6.泄露100万人以上个人信息。
7.党政机关门户网站、重点新闻网站、网络平台等被攻击篡改,导致违法有害信息较大范围传播。以下情况之一,可认定为“较大范围”:
(1)在凯发k8国际首页登录主页上出现并持续30分钟以上,或在其他页面出现并持续2小时以上;
(2)通过社交平台转发1000次以上;
(3)浏览或点击次数1万以上;
(4)省级以上网信部门、公安部门认定为是“较大范围传播”的。
8.造成500万元以上的直接经济损失。
9.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
四、一般网络安全事件
除上述网络安全事件外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件。
注:指南中的“以上”均包括本数。
此前,对于网络安全事件报告制度已在多部法律法规和政策文件中有所提及。《网络安全法》第二十五条规定:网络运营者在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告;《国家网络安全事件应急预案》也要求,网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息,对于初判为特别重大、重大网络安全事件的,应当于1小时内进行报告。
天融信建议客户单位应加强安全应急响应措施完善应急响应预案。天融信应急响应服务团队由拥有大批经验丰富的网络安全专家组成,依靠多年对网络安全攻防技术的研究与实战经验,提供专业的应急响应服务。针对客户单位的突发网络安全事件快速响应,如通过自动化的手段对失陷主机进行分析定位风险点,可做到1小时内研判网络安全事件级别,紧急处置及时报送信息,并通过协助有效整改,完善安全事件响应机制,更快速检测安全事件,把损失和破坏降低到最低限度,保障正常业务有序开展。
安全事件报告内容
在报告内容方面,《管理办法》第五条指出,运营者应当按照《网络安全事件信息报告表》报告事件,至少包括下列内容:
(一)事发单位名称及发生事件的设施、系统、平台的基本情况;
(二)事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;
(三)事态发展趋势及可能进一步造成的影响和危害;
(四)初步分析的事件原因;
(五)进一步调查分析所需的线索,包括可能的攻击者信息、攻击路径、存在的漏洞等;
(六)拟进一步采取的应对措施以及请求支援事项;
(七)事件现场的保护情况;
(八)其他应当报告的情况。
天融信建议客户单位应建立完善网络安全分析处置等自动化系统,丰富网络安全事件信息报告。天融信态势分析与安全运营系统面向客户提供整体的网络安全威胁应对服务。
● 收集所管理网络的资产、流量、日志、网站等相关的安全数据,经过存储、处理、分析后形成安全态势及告警,辅助客户了解所管辖网络安全态势并能对告警进行协同处置。
● 实现对网络安全的态势觉察、跟踪和预警,全面、实时掌握网络安全态势,及时掌握网络安全威胁、风险和隐患,监测漏洞、病毒木马、网络攻击情况,发现网络安全事件线索,预警通报重大网络安全威胁,处置安全事件,有效防范和打击网络攻击等恶意行为,加快对安全威胁的认知及有效预警。
● 达到实时态势感知、准确安全监测、及时应急处置等目标,提升政府、企业等组织的风险识别和解决能力,进而提升整理网络安全态势感知能力,在发生网络安全事件时,为客户运营者报告事件内容提供专业有效支撑。
安全事件未按规定报告的后果
对于未按照规定报告网络安全事件的,《管理办法》第十条中表示网信部门按照有关法律、行政法规的规定进行处罚。其中,因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
对于已按照相关要求进行网络安全防护和报告的运营者,《管理办法》第十一条给出了发生网络安全事件之后的责任豁免与减轻条件,《管理办法》指出,发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
topsec
《网络安全事件报告管理办法(征求意见稿)》的出台,将进一步充实和完善我国《网络安全法》《数据安全法》中最重要的一个环节——安全事件的报告机制。天融信作为网络安全、大数据与云服务提供商,提供基于大数据技术建设的天融信云服务运营平台,为各行业客户提供7×24小时远程网站监测、威胁情报分析、安全事件预警和应急响应服务。
近年来,天融信在人工智能、物联网安全、工业互联网安全、车联网安全、下一代互联网安全、sd-wan、零信任、云计算等领域持续落地实践,并依托完备的安全服务体系、权威的安全服务资质和专业化安全服务团队,构建纵深防御的网络安全防护体系,为企业数字化转型注入新动能。