長揚通過對《要求》和征求意見稿對比發現,該部分在征求意見稿中是“技術對抗”,最終發布為“主動防御”。而從技術對抗到主動防御的演變,要求運營者構建精準、全面、彈性的主動防御體系。重點包括以下三個方面:

1.應識別和收斂暴露面,減少在互聯網側暴露的IP、端口、應用服務、組織架構、郵箱賬號、通信錄、技術文檔(拓撲圖、源代碼、IP規劃、賬號密碼等)等相關信息。

2.分析攻擊方法、路線、技術手段、目標等,采用相關技術措施快速處置網絡攻擊,并針對網絡安全事件進行開展溯源,完善防護策略和措施。

3.開展攻防演練及建立威脅情報共享機制,增強主動防御能力。

3.6 事件處置

《要求》對事件處置的定義為:為運營者對網絡安全事件進行報告和處置,并采取適當的應對措施,恢復由于網絡安全事件而受損的功能或服務。

結合《要求》中的具體要求,可總結為以下四點:

3.6.1 制度方面

應建立網絡安全事件管理制度,明確不同網絡安全事件的分類分級、不同類別和級別事件處置的流程等,制定應急預案等網絡安全事件管理文檔。

3.6.2 應急預案和演練方面

根據相關要求制定預案,應急預案中包括相關事件發生、恢復的時間點,包括多個運營者的應急事件的處理,內外部的相關計劃,非常規時期、遭受大規模攻擊的流程;每年至少開展一次本組織的應急演練,定期修訂預案。

3.6.3 響應和處置方面

根據已發生的安全事件及時報告,研判后形成事件報告,及時向相關方通報安全事件;按照遲滯流程、進行事件處理,對事件進行取證分析,形成事件報告;業務恢復后的再評估,采取措施免受再次破壞;將事件納入規程培訓、考試等,并進行相應變更;按照相關要求將事件及時上報給相關方。

長揚科技解讀

下圖是根據長揚科技在某關基行業總結的網絡安全事件處置流程圖:

圖 9 某關基運營者網絡安全事件處置流程圖

3.6.4 重新識別方面

對發現的安全隱患和安全事件再次開展評估工作,根據需要重新識別認定、風險評估,并更新安全策略。

該環節引入了PDCA戴明環持續改進的管理思想,實現了六個活動持續優化的閉環銜接,通過檢測評估推動整體安全保護工作不斷深化。