從27號就要求重視信息安全應(yīng)急處理工作,,到《網(wǎng)絡(luò)安全法》第二十五條明確了“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,,及時(shí)處置系統(tǒng)漏洞,、計(jì)算機(jī)病毒,、網(wǎng)絡(luò)攻擊,、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn),;在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),,立即啟動應(yīng)急預(yù)案,,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告,?!?/p>
要求網(wǎng)絡(luò)運(yùn)營者采取措施,,防范網(wǎng)絡(luò)入侵攻擊、計(jì)算機(jī)病毒爆發(fā),、系統(tǒng)漏洞隱患等網(wǎng)絡(luò)安全事件,;針對各種網(wǎng)絡(luò)安全事件制定應(yīng)急預(yù)案,建立應(yīng)急處置機(jī)制,,組織應(yīng)急處置隊(duì)伍,,當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí),及時(shí)啟動預(yù)案,,果斷進(jìn)行應(yīng)急處置,,使危害降到最低;當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí),,要求保護(hù)現(xiàn)場和證據(jù),,并向公安機(jī)關(guān)、行業(yè)主管部門和有關(guān)部門報(bào)告,。
發(fā)生重大網(wǎng)絡(luò)安全事件時(shí),,有關(guān)部門應(yīng)按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案要求,開展應(yīng)急處置,。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)單位還需要制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,,并定期進(jìn)行演練。
這些都是《網(wǎng)絡(luò)安全法》明確的網(wǎng)絡(luò)運(yùn)營者的責(zé)任和義務(wù),。然而,,應(yīng)急處置工作又不是孤立的,內(nèi)部部門間需要協(xié)同工作,,外部部門間需要加強(qiáng)協(xié)作,,才能在應(yīng)急處置中更高效。
公安機(jī)關(guān)應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定處置網(wǎng)絡(luò)安全事件,,開展事件調(diào)查,,認(rèn)定事件責(zé)任,查處危害網(wǎng)絡(luò)安全的違法犯罪活動,。
電信業(yè)務(wù)經(jīng)營者,、互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)為重大網(wǎng)絡(luò)安全事件處置和恢復(fù)提供支持和協(xié)助。
應(yīng)急響應(yīng)與保障又可以分為應(yīng)急準(zhǔn)備,、應(yīng)急監(jiān)測與響應(yīng),、后期評估與改進(jìn)、應(yīng)急保障等共四個(gè)階段,。
第一階段:應(yīng)急準(zhǔn)備
應(yīng)急準(zhǔn)備需要輸入運(yùn)營,、使用單位組織機(jī)構(gòu)及職責(zé)分工,各類安全事件列表等內(nèi)容,建立完善的應(yīng)急組織體系,,保證應(yīng)急救援工作反應(yīng)迅速,、協(xié)調(diào)有序。通過分析安全事件的等級,,在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同安全事件的應(yīng)急預(yù)案,,組織針對等級保護(hù)對象的應(yīng)急演練,可以有效檢驗(yàn)網(wǎng)絡(luò)安全應(yīng)急能力,,并為消除或減小這些隱患與問題提供有價(jià)值的參考信息,,檢驗(yàn)應(yīng)急預(yù)案體系的完整性、應(yīng)急預(yù)案的可操作性,、機(jī)構(gòu)和應(yīng)急人員的執(zhí)行,、協(xié)調(diào)能力以及應(yīng)急保障資源的準(zhǔn)備情況等,從而有助于提高整體應(yīng)急能力,。最終輸出應(yīng)急組織機(jī)構(gòu)圖,,應(yīng)急組織職責(zé)分工,應(yīng)急組織內(nèi),、外部聯(lián)系表,,安全事件報(bào)告程序,各類專項(xiàng)應(yīng)急預(yù)案,,應(yīng)急演練腳本,,應(yīng)急演練總結(jié)等。
建立應(yīng)急組織應(yīng)注意:按照應(yīng)急救援的需要,,建立應(yīng)急組織,。應(yīng)急組織一般分為五個(gè)核心應(yīng)急功能機(jī)構(gòu),即指揮,、行動,、策劃、后勤和財(cái)務(wù),。
明確應(yīng)急工作職責(zé)應(yīng)注意:明確應(yīng)急管理的領(lǐng)導(dǎo)機(jī)構(gòu),、辦事機(jī)構(gòu)、專項(xiàng)應(yīng)急指揮機(jī)構(gòu),、基層應(yīng)急機(jī)構(gòu),、應(yīng)急專家組組成部門或人員、職責(zé)和權(quán)限,。
進(jìn)行安全事件分類分級應(yīng)注意:建立應(yīng)急組織參考《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》和GB/Z20986-2007,,根據(jù)安全事件的類型、安全事件對業(yè)務(wù)的影響范圍和程度以及安全事件的敏感程度等,,對等級保護(hù)對象可能發(fā)生的安全事件進(jìn)行分類分級,針對不同類別和等級制定相應(yīng)的安全事件報(bào)告程序。
進(jìn)行確定應(yīng)急預(yù)案對象應(yīng)注意:針對安全事件的不同類別和等級,,考慮其發(fā)生的可能性及其對系統(tǒng)和業(yè)務(wù)產(chǎn)生的影響,,確定需制定應(yīng)急預(yù)案的對象。
確定職責(zé)和應(yīng)急協(xié)調(diào)方式應(yīng)注意:在統(tǒng)一的應(yīng)急預(yù)案框架下,,明確應(yīng)急預(yù)案中各部門的職責(zé),,以及各部門間的合作和分工協(xié)調(diào)方式。
制定應(yīng)急預(yù)案程序及其執(zhí)行條件應(yīng)注意:制定應(yīng)急預(yù)案程序及其執(zhí)行條件針對不同等級,、不同類別的安全事件制定相應(yīng)的應(yīng)急預(yù)案程序,,確定不同等級、不同類別事件的響應(yīng)和處置范圍,、程度以及適用的管理制度,,說明應(yīng)急預(yù)案啟動的條件,發(fā)生安全事件后要采取的流程和措施,。
培訓(xùn)宣貫應(yīng)注意:針對應(yīng)急預(yù)案涉及的部門和人員制定專項(xiàng)培訓(xùn)計(jì)劃,,培訓(xùn)宣貫內(nèi)容包括應(yīng)急職責(zé)、合作和分工,、應(yīng)急預(yù)案啟動條件和流程等,。
應(yīng)急演練應(yīng)注意:明確應(yīng)急預(yù)案演練的規(guī)模、方式,、范圍,、內(nèi)容、組織,、評估,、總結(jié)等內(nèi)容,并按照預(yù)案定期開展演練,。
注:在團(tuán)體標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全等級保護(hù)測評高風(fēng)險(xiǎn)判定指引》T/ISEAA 001-2020中,,若未對應(yīng)急預(yù)案進(jìn)行培訓(xùn)演練,作為第三級以上系統(tǒng),,則判定為“高風(fēng)險(xiǎn)”項(xiàng),。具體要求應(yīng)定期(建議至少每年一次)對相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),根據(jù)不同的應(yīng)急預(yù)案進(jìn)行演練,,提供應(yīng)急預(yù)案培訓(xùn)和演練記錄,。
第二階段:應(yīng)急監(jiān)測與響應(yīng)
應(yīng)急監(jiān)測與響應(yīng)階段需要輸入網(wǎng)絡(luò)流量,日志信息,,性能信息,,安全事件報(bào)告程序,各類專項(xiàng)應(yīng)急預(yù)案,,網(wǎng)絡(luò)安全事件報(bào)送表,,安全事件報(bào)告程序等,,對等級保護(hù)對象的安全狀態(tài)進(jìn)行監(jiān)控,并根據(jù)應(yīng)急預(yù)案啟動條件研判是否啟動應(yīng)急程序,。對監(jiān)控到的安全事件采取適當(dāng)?shù)姆椒ㄟM(jìn)行預(yù)處置,,分析安全事件的影響程度和等級,啟動相應(yīng)級別的應(yīng)急預(yù)案,,開展應(yīng)急響應(yīng)處置工作,。最終輸出網(wǎng)絡(luò)安全事件報(bào)送表,安全狀態(tài)分析報(bào)告,,安全事件處置報(bào)告,。
異常狀態(tài)信息收集應(yīng)注意:收集來自監(jiān)控對象的各類狀態(tài)信息,可能包括網(wǎng)絡(luò)流量,、日志信息,、安全報(bào)警和性能狀況等,或者來自外部環(huán)境的安全標(biāo)準(zhǔn)和法律法規(guī)的變更信息,。
異常狀態(tài)分析應(yīng)注意:對安全狀態(tài)信息進(jìn)行分析,,及時(shí)發(fā)現(xiàn)險(xiǎn)情、隱患或安全事件,,并記錄這些安全事件,,分析其發(fā)展趨勢及這些變化對安全狀態(tài)的影響,通過判斷他們的影響決定是否有必要作出響應(yīng),。
安全事件上報(bào)和共享應(yīng)注意:根據(jù)安全狀態(tài)分析和影響分析的結(jié)果,,分析可能發(fā)生的安全事件,明確安全事件等級,、影響程度以及優(yōu)先級等,,形成安全狀態(tài)分析報(bào)告和網(wǎng)絡(luò)安全事件報(bào)送表,按照安全事件等級以及安全事件報(bào)告程序上報(bào),,需要共享的按照規(guī)定向特定對象共享安全事件,。
安全事件處置應(yīng)注意:對于應(yīng)啟動應(yīng)急預(yù)案的安全事件按照應(yīng)急預(yù)案響應(yīng)機(jī)制進(jìn)行安全事件處置。對未知安全事件的處置,,應(yīng)根據(jù)安全事件的等級,,制定安全事件處置方案,包括安全事件處置方法以及應(yīng)采取的措施等,,并按照安全事件處置流程和方案對安全事件進(jìn)行處置,。
安全事件總結(jié)和報(bào)告應(yīng)注意:一旦安全事件得到解決,對于未知的安全事件進(jìn)行事件記錄,,分析記錄信息并補(bǔ)充所需信息,,使安全事件成為已知事件,并文檔化,;對安全事件處置過程進(jìn)行總結(jié),,制定安全事件處置報(bào)告,,并保存。
第三階段:后期評估與改進(jìn)
后期評估與改進(jìn)需要輸入安全事件報(bào)告程序,,各類專項(xiàng)應(yīng)急預(yù)案,,安全事件處置報(bào)告,,對安全事件原因,、處置過程進(jìn)行調(diào)查分析,并根據(jù)分析結(jié)果進(jìn)行責(zé)任認(rèn)定及制定改進(jìn)預(yù)防措施,。最終輸出安全事件總結(jié)報(bào)告,,安全事件改進(jìn)報(bào)告,應(yīng)急預(yù)案,。
調(diào)查評估應(yīng)注意:對于應(yīng)急響應(yīng)過程進(jìn)行調(diào)查,,評估應(yīng)急過程合規(guī)性、處置及時(shí)性等,。通過事件重現(xiàn)調(diào)查網(wǎng)絡(luò)安全事件原因,,追溯安全責(zé)任,并形成網(wǎng)絡(luò)安全調(diào)查評估報(bào)告,。
改進(jìn)預(yù)防應(yīng)注意:調(diào)查評估根據(jù)網(wǎng)絡(luò)安全事件調(diào)查評估報(bào)告,,制定改進(jìn)預(yù)防措施,修改相應(yīng)應(yīng)急預(yù)案,,結(jié)合實(shí)際情況進(jìn)行落實(shí),,并組織開展應(yīng)急預(yù)案相關(guān)培訓(xùn)。
第四階段:應(yīng)急保障
應(yīng)急保障需要輸入總體應(yīng)急預(yù)案,,各類專項(xiàng)應(yīng)急預(yù)案,,進(jìn)而建立健全應(yīng)急保障體系,實(shí)現(xiàn)應(yīng)急預(yù)案保障工作科學(xué)化,,最終輸出應(yīng)急保障物資清單,。
針對各類專項(xiàng)應(yīng)急預(yù)案進(jìn)行分析,制定應(yīng)急預(yù)案執(zhí)行所需通信,、裝備,、數(shù)據(jù)、隊(duì)伍,、交通運(yùn)輸,、經(jīng)費(fèi)和治安保障內(nèi)容。
應(yīng)急準(zhǔn)備階段的工作是由主管部門,,運(yùn)營,、使用單位共同完成,其他三個(gè)階段則由運(yùn)營,、使用單位完成,。
《網(wǎng)絡(luò)安全法》第五十九條網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條,、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,,給予警告,;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款,。
《網(wǎng)絡(luò)安全法》第二十五條規(guī)定則是對網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時(shí)處置系統(tǒng)漏洞,、計(jì)算機(jī)病毒,、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn),;在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,,并按照規(guī)定向有關(guān)主管部門報(bào)告的要求,,所以運(yùn)行與維護(hù)過程中,應(yīng)急保障工作也是一個(gè)重點(diǎn),。
做不好應(yīng)急保障工作,,與未落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度及未落實(shí)有關(guān)技術(shù)、管理措施一樣都可以依據(jù)《網(wǎng)絡(luò)安全法》第五十九條進(jìn)行處罰,。當(dāng)然,,我們也知道,處罰不是目的,,目的則是通過提升網(wǎng)絡(luò)安全應(yīng)急處置能力,,最大程度的保護(hù)網(wǎng)絡(luò)安全,維護(hù)社會公共利益,,保護(hù)國家安全,,讓老百姓在網(wǎng)絡(luò)世界里更有獲得感。
作為網(wǎng)絡(luò)運(yùn)營者則需要將其與等級保護(hù)工作同等重要程度看待與落實(shí),。
本文主要涉及應(yīng)急工作的一個(gè)過程脈絡(luò),,是一個(gè)脈絡(luò)性的工作,但缺乏具體技術(shù)實(shí)現(xiàn),,需要具體參照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《網(wǎng)絡(luò)安全事件應(yīng)急演練指南》《信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》《運(yùn)行維護(hù) 第3部分:應(yīng)急響應(yīng)規(guī)范》等國家政策文件和標(biāo)準(zhǔn)進(jìn)行制定,。