從27號就要求重視信息安全應急處理工作,到《網絡安全法》第二十五條明確了“網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。”
要求網絡運營者采取措施,防范網絡入侵攻擊、計算機病毒爆發、系統漏洞隱患等網絡安全事件;針對各種網絡安全事件制定應急預案,建立應急處置機制,組織應急處置隊伍,當發生網絡安全事件時,及時啟動預案,果斷進行應急處置,使危害降到最低;當發生網絡安全事件時,要求保護現場和證據,并向公安機關、行業主管部門和有關部門報告。
發生重大網絡安全事件時,有關部門應按照國家網絡安全事件應急預案要求,開展應急處置。關鍵信息基礎設施保護單位還需要制定網絡安全事件應急預案,并定期進行演練。
這些都是《網絡安全法》明確的網絡運營者的責任和義務。然而,應急處置工作又不是孤立的,內部部門間需要協同工作,外部部門間需要加強協作,才能在應急處置中更高效。
公安機關應當根據有關規定處置網絡安全事件,開展事件調查,認定事件責任,查處危害網絡安全的違法犯罪活動。
電信業務經營者、互聯網服務提供者應當為重大網絡安全事件處置和恢復提供支持和協助。
應急響應與保障又可以分為應急準備、應急監測與響應、后期評估與改進、應急保障等共四個階段。
第一階段:應急準備
應急準備需要輸入運營、使用單位組織機構及職責分工,各類安全事件列表等內容,建立完善的應急組織體系,保證應急救援工作反應迅速、協調有序。通過分析安全事件的等級,在統一的應急預案框架下制定不同安全事件的應急預案,組織針對等級保護對象的應急演練,可以有效檢驗網絡安全應急能力,并為消除或減小這些隱患與問題提供有價值的參考信息,檢驗應急預案體系的完整性、應急預案的可操作性、機構和應急人員的執行、協調能力以及應急保障資源的準備情況等,從而有助于提高整體應急能力。最終輸出應急組織機構圖,應急組織職責分工,應急組織內、外部聯系表,安全事件報告程序,各類專項應急預案,應急演練腳本,應急演練總結等。
建立應急組織應注意:按照應急救援的需要,建立應急組織。應急組織一般分為五個核心應急功能機構,即指揮、行動、策劃、后勤和財務。
明確應急工作職責應注意:明確應急管理的領導機構、辦事機構、專項應急指揮機構、基層應急機構、應急專家組組成部門或人員、職責和權限。
進行安全事件分類分級應注意:建立應急組織參考《國家網絡安全事件應急預案》和GB/Z20986-2007,根據安全事件的類型、安全事件對業務的影響范圍和程度以及安全事件的敏感程度等,對等級保護對象可能發生的安全事件進行分類分級,針對不同類別和等級制定相應的安全事件報告程序。
進行確定應急預案對象應注意:針對安全事件的不同類別和等級,考慮其發生的可能性及其對系統和業務產生的影響,確定需制定應急預案的對象。
確定職責和應急協調方式應注意:在統一的應急預案框架下,明確應急預案中各部門的職責,以及各部門間的合作和分工協調方式。
制定應急預案程序及其執行條件應注意:制定應急預案程序及其執行條件針對不同等級、不同類別的安全事件制定相應的應急預案程序,確定不同等級、不同類別事件的響應和處置范圍、程度以及適用的管理制度,說明應急預案啟動的條件,發生安全事件后要采取的流程和措施。
培訓宣貫應注意:針對應急預案涉及的部門和人員制定專項培訓計劃,培訓宣貫內容包括應急職責、合作和分工、應急預案啟動條件和流程等。
應急演練應注意:明確應急預案演練的規模、方式、范圍、內容、組織、評估、總結等內容,并按照預案定期開展演練。
注:在團體標準《網絡安全等級保護測評高風險判定指引》T/ISEAA 001-2020中,若未對應急預案進行培訓演練,作為第三級以上系統,則判定為“高風險”項。具體要求應定期(建議至少每年一次)對相關人員進行應急預案培訓,根據不同的應急預案進行演練,提供應急預案培訓和演練記錄。
第二階段:應急監測與響應
應急監測與響應階段需要輸入網絡流量,日志信息,性能信息,安全事件報告程序,各類專項應急預案,網絡安全事件報送表,安全事件報告程序等,對等級保護對象的安全狀態進行監控,并根據應急預案啟動條件研判是否啟動應急程序。對監控到的安全事件采取適當的方法進行預處置,分析安全事件的影響程度和等級,啟動相應級別的應急預案,開展應急響應處置工作。最終輸出網絡安全事件報送表,安全狀態分析報告,安全事件處置報告。
異常狀態信息收集應注意:收集來自監控對象的各類狀態信息,可能包括網絡流量、日志信息、安全報警和性能狀況等,或者來自外部環境的安全標準和法律法規的變更信息。
異常狀態分析應注意:對安全狀態信息進行分析,及時發現險情、隱患或安全事件,并記錄這些安全事件,分析其發展趨勢及這些變化對安全狀態的影響,通過判斷他們的影響決定是否有必要作出響應。
安全事件上報和共享應注意:根據安全狀態分析和影響分析的結果,分析可能發生的安全事件,明確安全事件等級、影響程度以及優先級等,形成安全狀態分析報告和網絡安全事件報送表,按照安全事件等級以及安全事件報告程序上報,需要共享的按照規定向特定對象共享安全事件。
安全事件處置應注意:對于應啟動應急預案的安全事件按照應急預案響應機制進行安全事件處置。對未知安全事件的處置,應根據安全事件的等級,制定安全事件處置方案,包括安全事件處置方法以及應采取的措施等,并按照安全事件處置流程和方案對安全事件進行處置。
安全事件總結和報告應注意:一旦安全事件得到解決,對于未知的安全事件進行事件記錄,分析記錄信息并補充所需信息,使安全事件成為已知事件,并文檔化;對安全事件處置過程進行總結,制定安全事件處置報告,并保存。
第三階段:后期評估與改進
后期評估與改進需要輸入安全事件報告程序,各類專項應急預案,安全事件處置報告,對安全事件原因、處置過程進行調查分析,并根據分析結果進行責任認定及制定改進預防措施。最終輸出安全事件總結報告,安全事件改進報告,應急預案。
調查評估應注意:對于應急響應過程進行調查,評估應急過程合規性、處置及時性等。通過事件重現調查網絡安全事件原因,追溯安全責任,并形成網絡安全調查評估報告。
改進預防應注意:調查評估根據網絡安全事件調查評估報告,制定改進預防措施,修改相應應急預案,結合實際情況進行落實,并組織開展應急預案相關培訓。
第四階段:應急保障
應急保障需要輸入總體應急預案,各類專項應急預案,進而建立健全應急保障體系,實現應急預案保障工作科學化,最終輸出應急保障物資清單。
針對各類專項應急預案進行分析,制定應急預案執行所需通信、裝備、數據、隊伍、交通運輸、經費和治安保障內容。
應急準備階段的工作是由主管部門,運營、使用單位共同完成,其他三個階段則由運營、使用單位完成。
《網絡安全法》第五十九條網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
《網絡安全法》第二十五條規定則是對網絡運營者網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告的要求,所以運行與維護過程中,應急保障工作也是一個重點。
做不好應急保障工作,與未落實網絡安全等級保護制度及未落實有關技術、管理措施一樣都可以依據《網絡安全法》第五十九條進行處罰。當然,我們也知道,處罰不是目的,目的則是通過提升網絡安全應急處置能力,最大程度的保護網絡安全,維護社會公共利益,保護國家安全,讓老百姓在網絡世界里更有獲得感。
作為網絡運營者則需要將其與等級保護工作同等重要程度看待與落實。
本文主要涉及應急工作的一個過程脈絡,是一個脈絡性的工作,但缺乏具體技術實現,需要具體參照《國家網絡安全事件應急預案》《網絡安全事件應急演練指南》《信息安全應急響應計劃規范》《運行維護 第3部分:應急響應規范》等國家政策文件和標準進行制定。
