长扬通过对《要求》和征求意见稿对比发现,该部分在征求意见稿中是“技术对抗”,最终发布为“主动防御”。而从技术对抗到主动防御的演变,要求运营者构建精准、全面、弹性的主动防御体系。重点包括以下三个方面:
1.应识别和收敛暴露面,减少在互联网侧暴露的IP、端口、应用服务、组织架构、邮箱账号、通信录、技术文档(拓扑图、源代码、IP规划、账号密码等)等相关信息。
2.分析攻击方法、路线、技术手段、目标等,采用相关技术措施快速处置网络攻击,并针对网络安全事件进行开展溯源,完善防护策略和措施。
3.开展攻防演练及建立威胁情报共享机制,增强主动防御能力。
3.6 事件处置
《要求》对事件处置的定义为:为运营者对网络安全事件进行报告和处置,并采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
结合《要求》中的具体要求,可总结为以下四点:
3.6.1 制度方面
应建立网络安全事件管理制度,明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等,制定应急预案等网络安全事件管理文档。
3.6.2 应急预案和演练方面
根据相关要求制定预案,应急预案中包括相关事件发生、恢复的时间点,包括多个运营者的应急事件的处理,内外部的相关计划,非常规时期、遭受大规模攻击的流程;每年至少开展一次本组织的应急演练,定期修订预案。
3.6.3 响应和处置方面
根据已发生的安全事件及时报告,研判后形成事件报告,及时向相关方通报安全事件;按照迟滞流程、进行事件处理,对事件进行取证分析,形成事件报告;业务恢复后的再评估,采取措施免受再次破坏;将事件纳入规程培训、考试等,并进行相应变更;按照相关要求将事件及时上报给相关方。
长扬科技解读
下图是根据长扬科技在某关基行业总结的网络安全事件处置流程图:
图 9 某关基运营者网络安全事件处置流程图
3.6.4 重新识别方面
对发现的安全隐患和安全事件再次开展评估工作,根据需要重新识别认定、风险评估,并更新安全策略。
该环节引入了PDCA戴明环持续改进的管理思想,实现了六个活动持续优化的闭环衔接,通过检测评估推动整体安全保护工作不断深化。