12月8日,国家网信办就《网络安全事件报告管理办法(征求意见稿)》公开征求意见。
征求意见稿提出许多新的要求,包括运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告等等。可以预见,这一重磅管理办法的出台,必将让各级网络运营者再次提高对网络安全的重视程度。
梳理《管理办法》征求意见稿,我们注意到,办法明确规定,应当按照《网络安全事件信息报告表》报告事件,至少包括下列内容:
(一)事发单位名称及发生事件的设施、系统、平台的基本情况;
(二)事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;
(三)事态发展趋势及可能进一步造成的影响和危害;
(四)初步分析的事件原因;
(五)进一步调查分析所需的线索,包括可能的攻击者信息、攻击路径、存在的漏洞等;
(六)拟进一步采取的应对措施以及请求支援事项;
(七)事件现场的保护情况;
(八)其他应当报告的情况。
《办法》提出,对于1小时内不能判定事发原因、影响或趋势的,可先报告第一项、第二项内容,也就是说,发现安全事件的第一时间,可以先报告所在单位名称,以及事件当前影响范围,事件发现时间、地点、类型、已造成哪些影响和危害,已采取了哪些措施及效果。如果是勒索软件攻击事件,还要在报告中说明要求支付赎金的金额、方式、日期等。其余的情况可以在后续24小时内补报。
在对事件进行相应处置结束后,运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告上报。
《办法》提出,发生网络安全事件时,如果运营者已采取合理必要的防护措施,并按照《办法》规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。但如果因运营者迟报、漏报、谎报或者瞒报网络安全事件,进一步造成重大危害后果的,将会对运营者及有关责任人依法从重处罚。
值得一提的是,《办法》还要求,为运营者提供服务的组织或个人发现运营者发生较大、重大或特别重大网络安全事件时,应当提醒运营者按照本办法规定报告事件,运营者有意隐瞒或拒不报告的,可向属地网信部门或国家网信部门报告。并鼓励社会组织和个人向网信部门报告。这也将进一步提高“瞒报”的成本。
那对于较大、重大和特别重大网络安全事件应该如何区分呢?网信办在《网络安全事件分级指南》中也进行了明确。
通常情况下,满足下列条件之一的,可判别为特别重大网络安全事件:
1. 省级以上党政机关门户网站、重点新闻网站因攻击、故障,导致24小时以上不能访问。
2. 关键信息基础设施整体中断运行6小时以上或主要功能中断运行24小时以上。
3. 影响单个省级行政区30%以上人口的工作、生活。
4. 影响1000万人以上用水、用电、用气、用油、取暖或交通出行。
5. 重要数据泄露或被窃取,对国家安全和社会稳定构成特别严重威胁。
6. 泄露1亿人以上个人信息。
7. 党政机关门户网站、重点新闻网站、网络平台等重要信息系统被攻击篡改,导致违法有害信息特大范围传播。包括在主页上出现并持续6小时以上,或在其他页面出现并持续24小时以上;通过社交平台转发10万次以上;浏览或点击次数100万以上;以及省级以上网信部门、公安部门认定为是“特大范围传播”的情况。
8. 造成1亿元以上的直接经济损失。
9. 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
重大网络安全事件和较大网络安全事件也都在对应的量级和范围上进行了规定。相关文件已经有许多媒体转发,感兴趣大家可以去查阅参考。
虽然中国有句老话说“家丑不可外扬”,安全行业中也瞒报、迟报也总有发生,但事实上,网络安全事件可不仅仅是“家丑”这么简单。面对日益严峻的安全威胁,必须通过协同联防的防御策略,促进不同部门、组织之间的威胁信息共享,建立起一个高效的信息共享机制,才能够说共同应对安全威胁,提高整体国家的网络安全防护能力。相信这也是监管部门出台《网络安全事件报告管理办法》的初衷。