3.3.2 檢測評估主要內容

(1)與等保相比,關保對開展檢測評估間隔時間做出了明確規定,相較等保更為嚴格。等保僅要求三級(含)以上網絡應當每年至少進行一次等級測評。關基則要求關鍵信息基礎設施運營者每年至少一次自行或委托網絡安全服務機構開展安全性和風險性的檢測評估工作,并及時整改。

(2)關保涉及多運營者情況。區別于等保,關保涉及多運營者的情況時,需定期組織或參加跨運營者的安全檢測評估,并及時整改發現的問題。

(3)檢測評估具體包括如下內容。網絡安全制度(國家和行業的法律法規及自定的制度)落實情況、組織機構建設情況、人員和經費投入情況、教育培訓情況、網絡安全等級保護制度落實情況、商用密碼應用安全性評估情況、技術防護情況、數據安全防護情況、供應鏈安全保護情況、云計算服務安全評估情況(適用時)、風險評估情況、應急演練情況、攻防演練情況等,尤其關注關基跨系統、跨區域間的信息流動,及其資產的安全防護情況。

3.4. 監測預警

《要求》中對監測預警的定義為:建立并實施網絡安全監測預警和信息通報制度,針對發生的網絡安全事件或發現的網絡安全威脅,提前或及時發出安全警示。建立威脅情報和信息共享機制,落實相關措施,提高主動發現攻擊的能力。

3.4.1 相比等保在制度方面的加強

關保要求關注國內外及行業關鍵信息基礎設施安全事件、安全漏洞、解決方法和發展趨勢,并進行研判分析,必要時發出預警;明確不同級別預警報告和響應處置;建立通報預警及寫作處置機制;建立與外部組織之間、運營者內部人員的溝通合作機制,共同研判、處置網絡安全問題;建立網絡安全信息共享機制,建立與相關方的溝通合作機制。共享漏洞信息、威脅信息、最佳實踐、前沿技術等內容。

3.4.2 相比等保在監測方面的加強

關保要求對關鍵業務所涉及的系統進行監測;分析系統通信流量或事態的模式、建立相關模型,使用模型調整監測工具參數,減少誤報和漏報;全面收集網絡安全日志,構建違規操作模型,強化監測預警能力;采用自動化機制,對監測信息進行整合分析,分析關基的網絡安全態勢,對關鍵信息基礎設施跨組織、跨領域建設、構建統一指揮、多面監測、多級聯動的動態感知和分析能力。

3.4.3 相比等保在預警方面的加強

關保要求監測工具設置自動模式,發現危害關鍵業務時自動報警,自動采取措施;網絡安全共享信息和監測報警等信息綜合分析,生成內部預警信息;對預警信息進行分析、研判損害程度,采取應對措施;采取措施對預警進行響應;隱患得以控制或消除,執行預警流程。

長揚科技解讀

根據對《要求》監測預警章節理解,將監測預警立體化示意圖梳理如下圖所示:

圖8 監測預警立體化示意圖

3.5 主動防御

《要求》中對主動防御的定義為:以應對攻擊行為的監測發現為基礎,主動采取收斂暴露面、誘捕、溯源、干擾和阻斷等措施,開展攻防演習和威脅情報工作,提升對網絡威脅與攻擊行為的識別、分析和主動防御能力。