3.3.2 检测评估主要内容
(1)与等保相比,关保对开展检测评估间隔时间做出了明确规定,相较等保更为严格。等保仅要求三级(含)以上网络应当每年至少进行一次等级测评。关基则要求关键信息基础设施运营者每年至少一次自行或委托网络安全服务机构开展安全性和风险性的检测评估工作,并及时整改。
(2)关保涉及多运营者情况。区别于等保,关保涉及多运营者的情况时,需定期组织或参加跨运营者的安全检测评估,并及时整改发现的问题。
(3)检测评估具体包括如下内容。网络安全制度(国家和行业的法律法规及自定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护制度落实情况、商用密码应用安全性评估情况、技术防护情况、数据安全防护情况、供应链安全保护情况、云计算服务安全评估情况(适用时)、风险评估情况、应急演练情况、攻防演练情况等,尤其关注关基跨系统、跨区域间的信息流动,及其资产的安全防护情况。
3.4. 监测预警
《要求》中对监测预警的定义为:建立并实施网络安全监测预警和信息通报制度,针对发生的网络安全事件或发现的网络安全威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高主动发现攻击的能力。
3.4.1 相比等保在制度方面的加强
关保要求关注国内外及行业关键信息基础设施安全事件、安全漏洞、解决方法和发展趋势,并进行研判分析,必要时发出预警;明确不同级别预警报告和响应处置;建立通报预警及写作处置机制;建立与外部组织之间、运营者内部人员的沟通合作机制,共同研判、处置网络安全问题;建立网络安全信息共享机制,建立与相关方的沟通合作机制。共享漏洞信息、威胁信息、最佳实践、前沿技术等内容。
3.4.2 相比等保在监测方面的加强
关保要求对关键业务所涉及的系统进行监测;分析系统通信流量或事态的模式、建立相关模型,使用模型调整监测工具参数,减少误报和漏报;全面收集网络安全日志,构建违规操作模型,强化监测预警能力;采用自动化机制,对监测信息进行整合分析,分析关基的网络安全态势,对关键信息基础设施跨组织、跨领域建设、构建统一指挥、多面监测、多级联动的动态感知和分析能力。
3.4.3 相比等保在预警方面的加强
关保要求监测工具设置自动模式,发现危害关键业务时自动报警,自动采取措施;网络安全共享信息和监测报警等信息综合分析,生成内部预警信息;对预警信息进行分析、研判损害程度,采取应对措施;采取措施对预警进行响应;隐患得以控制或消除,执行预警流程。
长扬科技解读
根据对《要求》监测预警章节理解,将监测预警立体化示意图梳理如下图所示:
图8 监测预警立体化示意图
3.5 主动防御
《要求》中对主动防御的定义为:以应对攻击行为的监测发现为基础,主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。