為維護(hù)國家網(wǎng)絡(luò)安全，規(guī)范網(wǎng)絡(luò)安全事件的報(bào)告，減少網(wǎng)絡(luò)安全事件造成的損失和危害，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室近日起草了《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》（以下簡稱《管理辦法》）。

《管理辦法》全文共十四條，對于企業(yè)落實(shí)網(wǎng)絡(luò)安全事件報(bào)告要求、防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有重要指導(dǎo)意義。天融信在網(wǎng)絡(luò)安全領(lǐng)域的積累與實(shí)踐，針對《管理辦法》中部分內(nèi)容要點(diǎn)形成相關(guān)策略參考，助力網(wǎng)絡(luò)安全建設(shè)規(guī)范化落地。

重要安全事件上報(bào)

《管理辦法》第四條指出，運(yùn)營者在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，應(yīng)當(dāng)及時(shí)啟動應(yīng)急預(yù)案進(jìn)行處置。按照《網(wǎng)絡(luò)安全事件分級指南》，屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。

網(wǎng)絡(luò)和系統(tǒng)歸屬中央和國家機(jī)關(guān)各部門及其管理的企事業(yè)單位的，運(yùn)營者應(yīng)當(dāng)向本部門網(wǎng)信工作機(jī)構(gòu)報(bào)告。屬于重大、特別重大網(wǎng)絡(luò)安全事件的，各部門網(wǎng)信工作機(jī)構(gòu)在收到報(bào)告后應(yīng)當(dāng)于1小時(shí)內(nèi)向國家網(wǎng)信部門報(bào)告。

網(wǎng)絡(luò)和系統(tǒng)為關(guān)鍵信息基礎(chǔ)設(shè)施的，運(yùn)營者應(yīng)當(dāng)向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告。屬于重大、特別重大網(wǎng)絡(luò)安全事件的，保護(hù)工作部門在收到報(bào)告后，應(yīng)當(dāng)于1小時(shí)內(nèi)向國家網(wǎng)信部門、國務(wù)院公安部門報(bào)告。

其他網(wǎng)絡(luò)和系統(tǒng)運(yùn)營者應(yīng)當(dāng)向?qū)俚鼐W(wǎng)信部門報(bào)告。屬于重大、特別重大網(wǎng)絡(luò)安全事件的，屬地網(wǎng)信部門在收到報(bào)告后，應(yīng)當(dāng)于1小時(shí)內(nèi)逐級向上級網(wǎng)信部門報(bào)告。

有行業(yè)主管監(jiān)管部門的，運(yùn)營者還應(yīng)當(dāng)按照行業(yè)主管監(jiān)管部門要求報(bào)告。

發(fā)現(xiàn)涉嫌犯罪的，運(yùn)營者應(yīng)當(dāng)同時(shí)向公安機(jī)關(guān)報(bào)告。

一、特別重大網(wǎng)絡(luò)安全事件

符合下列情形之一的，為特別重大網(wǎng)絡(luò)安全事件：

1.重要網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力。

2.國家秘密信息、重要敏感信息、重要數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成特別嚴(yán)重威脅。

3.其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成特別嚴(yán)重威脅、造成特別嚴(yán)重影響的網(wǎng)絡(luò)安全事件。

通常情況下，滿足下列條件之一的，可判別為特別重大網(wǎng)絡(luò)安全事件：

1.省級以上黨政機(jī)關(guān)門戶網(wǎng)站、重點(diǎn)新聞網(wǎng)站因攻擊、故障，導(dǎo)致24小時(shí)以上不能訪問。

2.關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行6小時(shí)以上或主要功能中斷運(yùn)行24小時(shí)以上。

3.影響單個(gè)省級行政區(qū)30%以上人口的工作、生活。

4.影響1000萬人以上用水、用電、用氣、用油、取暖或交通出行。

5.重要數(shù)據(jù)泄露或被竊取，對國家安全和社會穩(wěn)定構(gòu)成特別嚴(yán)重威脅。

6.泄露1億人以上個(gè)人信息。

7.黨政機(jī)關(guān)門戶網(wǎng)站、重點(diǎn)新聞網(wǎng)站、網(wǎng)絡(luò)平臺等重要信息系統(tǒng)被攻擊篡改，導(dǎo)致違法有害信息特大范圍傳播。以下情況之一，可認(rèn)定為“特大范圍”：

（1）在主頁上出現(xiàn)并持續(xù)6小時(shí)以上，或在其他頁面出現(xiàn)并持續(xù)24小時(shí)以上；

（2）通過社交平臺轉(zhuǎn)發(fā)10萬次以上；

（3）瀏覽或點(diǎn)擊次數(shù)100萬以上；

（4）省級以上網(wǎng)信部門、公安部門認(rèn)定為是“特大范圍傳播”的。

8.造成1億元以上的直接經(jīng)濟(jì)損失。

9.其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成特別嚴(yán)重威脅、造成特別嚴(yán)重影響的網(wǎng)絡(luò)安全事件。

二、重大網(wǎng)絡(luò)安全事件

符合下列情形之一且未達(dá)到特別重大網(wǎng)絡(luò)安全事件的，為重大網(wǎng)絡(luò)安全事件：

1.重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失，造成系統(tǒng)長時(shí)間中斷或局部癱瘓，業(yè)務(wù)處理能力受到極大影響。

2.國家秘密信息、重要敏感信息、重要數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成嚴(yán)重威脅。

3.其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的網(wǎng)絡(luò)安全事件。

通常情況下，滿足下列條件之一的，可判別為重大網(wǎng)絡(luò)安全事件：

1.地市級以上黨政機(jī)關(guān)門戶網(wǎng)站、重點(diǎn)新聞網(wǎng)站因攻擊、故障，導(dǎo)致6小時(shí)以上不能訪問。

2.關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行2小時(shí)以上或主要功能中斷運(yùn)行6小時(shí)以上。

3.影響單個(gè)地市級行政區(qū)30%以上人口的工作、生活。

4.影響100萬人以上用水、用電、用氣、用油、取暖或交通出行。

5.重要數(shù)據(jù)泄露或被竊取，對國家安全和社會穩(wěn)定構(gòu)成嚴(yán)重威脅。

6.泄露1000萬人以上個(gè)人信息。

7.黨政機(jī)關(guān)門戶網(wǎng)站、重點(diǎn)新聞網(wǎng)站、網(wǎng)絡(luò)平臺等被攻擊篡改，導(dǎo)致違法有害信息大范圍傳播。以下情況之一，可認(rèn)定為“大范圍”：

（1）在主頁上出現(xiàn)并持續(xù)2小時(shí)以上，或在其他頁面出現(xiàn)并持續(xù)12小時(shí)以上；

（2）通過社交平臺轉(zhuǎn)發(fā)1萬次以上；

（3）瀏覽或點(diǎn)擊次數(shù)10萬以上；

（4）省級以上網(wǎng)信部門、公安部門認(rèn)定為是“大范圍傳播”的。

8.造成2000萬元以上的直接經(jīng)濟(jì)損失。

9.其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的網(wǎng)絡(luò)安全事件。

三、較大網(wǎng)絡(luò)安全事件

符合下列情形之一且未達(dá)到重大網(wǎng)絡(luò)安全事件的，為較大網(wǎng)絡(luò)安全事件：

1.重要網(wǎng)絡(luò)和信息系統(tǒng)遭受較大的系統(tǒng)損失，造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，業(yè)務(wù)處理能力受到影響。

2.國家秘密信息、重要敏感信息、重要數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成較嚴(yán)重威脅。

3.其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影響的網(wǎng)絡(luò)安全事件。

通常情況下，滿足下列條件之一的，可判別為較大網(wǎng)絡(luò)安全事件：

1.地市級以上黨政機(jī)關(guān)門戶網(wǎng)站、重點(diǎn)新聞網(wǎng)站因攻擊、故障，導(dǎo)致2小時(shí)以上不能訪問。

2.關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行30分鐘以上或主要功能中斷運(yùn)行2小時(shí)以上。

3.影響單個(gè)地市級行政區(qū)10%以上人口的工作、生活。

4.影響10萬人以上用水、用電、用氣、用油、取暖或交通出行。

5.重要數(shù)據(jù)泄露或被竊取，對國家安全和社會穩(wěn)定構(gòu)成較嚴(yán)重威脅。

6.泄露100萬人以上個(gè)人信息。

7.黨政機(jī)關(guān)門戶網(wǎng)站、重點(diǎn)新聞網(wǎng)站、網(wǎng)絡(luò)平臺等被攻擊篡改，導(dǎo)致違法有害信息較大范圍傳播。以下情況之一，可認(rèn)定為“較大范圍”：

（1）在主頁上出現(xiàn)并持續(xù)30分鐘以上，或在其他頁面出現(xiàn)并持續(xù)2小時(shí)以上；

（2）通過社交平臺轉(zhuǎn)發(fā)1000次以上；

（3）瀏覽或點(diǎn)擊次數(shù)1萬以上；

（4）省級以上網(wǎng)信部門、公安部門認(rèn)定為是“較大范圍傳播”的。

8.造成500萬元以上的直接經(jīng)濟(jì)損失。

9.其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影響的網(wǎng)絡(luò)安全事件。

四、一般網(wǎng)絡(luò)安全事件

除上述網(wǎng)絡(luò)安全事件外，對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)安全事件。

注：指南中的“以上”均包括本數(shù)。

此前，對于網(wǎng)絡(luò)安全事件報(bào)告制度已在多部法律法規(guī)和政策文件中有所提及?！毒W(wǎng)絡(luò)安全法》第二十五條規(guī)定：網(wǎng)絡(luò)運(yùn)營者在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告；《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》也要求，網(wǎng)絡(luò)安全事件發(fā)生后，事發(fā)單位應(yīng)立即啟動應(yīng)急預(yù)案，實(shí)施處置并及時(shí)報(bào)送信息，對于初判為特別重大、重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。

天融信建議客戶單位應(yīng)加強(qiáng)安全應(yīng)急響應(yīng)措施完善應(yīng)急響應(yīng)預(yù)案。天融信應(yīng)急響應(yīng)服務(wù)團(tuán)隊(duì)由擁有大批經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專家組成，依靠多年對網(wǎng)絡(luò)安全攻防技術(shù)的研究與實(shí)戰(zhàn)經(jīng)驗(yàn)，提供專業(yè)的應(yīng)急響應(yīng)服務(wù)。針對客戶單位的突發(fā)網(wǎng)絡(luò)安全事件快速響應(yīng)，如通過自動化的手段對失陷主機(jī)進(jìn)行分析定位風(fēng)險(xiǎn)點(diǎn)，可做到1小時(shí)內(nèi)研判網(wǎng)絡(luò)安全事件級別，緊急處置及時(shí)報(bào)送信息，并通過協(xié)助有效整改，完善安全事件響應(yīng)機(jī)制，更快速檢測安全事件，把損失和破壞降低到最低限度，保障正常業(yè)務(wù)有序開展。

安全事件報(bào)告內(nèi)容

在報(bào)告內(nèi)容方面，《管理辦法》第五條指出，運(yùn)營者應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全事件信息報(bào)告表》報(bào)告事件，至少包括下列內(nèi)容：

（一）事發(fā)單位名稱及發(fā)生事件的設(shè)施、系統(tǒng)、平臺的基本情況；

（二）事件發(fā)現(xiàn)或發(fā)生時(shí)間、地點(diǎn)、事件類型、已造成的影響和危害，已采取的措施及效果。對勒索軟件攻擊事件，還應(yīng)當(dāng)包括要求支付贖金的金額、方式、日期等；

（三）事態(tài)發(fā)展趨勢及可能進(jìn)一步造成的影響和危害；

（四）初步分析的事件原因；

（五）進(jìn)一步調(diào)查分析所需的線索，包括可能的攻擊者信息、攻擊路徑、存在的漏洞等；

（六）擬進(jìn)一步采取的應(yīng)對措施以及請求支援事項(xiàng)；

（七）事件現(xiàn)場的保護(hù)情況；

（八）其他應(yīng)當(dāng)報(bào)告的情況。

天融信建議客戶單位應(yīng)建立完善網(wǎng)絡(luò)安全分析處置等自動化系統(tǒng)，豐富網(wǎng)絡(luò)安全事件信息報(bào)告。天融信態(tài)勢分析與安全運(yùn)營系統(tǒng)面向客戶提供整體的網(wǎng)絡(luò)安全威脅應(yīng)對服務(wù)。

● 收集所管理網(wǎng)絡(luò)的資產(chǎn)、流量、日志、網(wǎng)站等相關(guān)的安全數(shù)據(jù)，經(jīng)過存儲、處理、分析后形成安全態(tài)勢及告警，輔助客戶了解所管轄網(wǎng)絡(luò)安全態(tài)勢并能對告警進(jìn)行協(xié)同處置。

● 實(shí)現(xiàn)對網(wǎng)絡(luò)安全的態(tài)勢覺察、跟蹤和預(yù)警，全面、實(shí)時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢，及時(shí)掌握網(wǎng)絡(luò)安全威脅、風(fēng)險(xiǎn)和隱患，監(jiān)測漏洞、病毒木馬、網(wǎng)絡(luò)攻擊情況，發(fā)現(xiàn)網(wǎng)絡(luò)安全事件線索，預(yù)警通報(bào)重大網(wǎng)絡(luò)安全威脅，處置安全事件，有效防范和打擊網(wǎng)絡(luò)攻擊等惡意行為，加快對安全威脅的認(rèn)知及有效預(yù)警。

● 達(dá)到實(shí)時(shí)態(tài)勢感知、準(zhǔn)確安全監(jiān)測、及時(shí)應(yīng)急處置等目標(biāo)，提升政府、企業(yè)等組織的風(fēng)險(xiǎn)識別和解決能力，進(jìn)而提升整理網(wǎng)絡(luò)安全態(tài)勢感知能力，在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，為客戶運(yùn)營者報(bào)告事件內(nèi)容提供專業(yè)有效支撐。

安全事件未按規(guī)定報(bào)告的后果

對于未按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事件的，《管理辦法》第十條中表示網(wǎng)信部門按照有關(guān)法律、行政法規(guī)的規(guī)定進(jìn)行處罰。其中，因運(yùn)營者遲報(bào)、漏報(bào)、謊報(bào)或者瞞報(bào)網(wǎng)絡(luò)安全事件，造成重大危害后果的，對運(yùn)營者及有關(guān)責(zé)任人依法從重處罰。

對于已按照相關(guān)要求進(jìn)行網(wǎng)絡(luò)安全防護(hù)和報(bào)告的運(yùn)營者，《管理辦法》第十一條給出了發(fā)生網(wǎng)絡(luò)安全事件之后的責(zé)任豁免與減輕條件，《管理辦法》指出，發(fā)生網(wǎng)絡(luò)安全事件時(shí)，運(yùn)營者已采取合理必要的防護(hù)措施，按照本辦法規(guī)定主動報(bào)告，同時(shí)按照預(yù)案有關(guān)程序進(jìn)行處置、盡最大努力降低事件影響，可視情免除或從輕追究運(yùn)營者及有關(guān)責(zé)任人的責(zé)任。

TOPSEC

《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》的出臺，將進(jìn)一步充實(shí)和完善我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》中最重要的一個(gè)環(huán)節(jié)——安全事件的報(bào)告機(jī)制。天融信作為網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，提供基于大數(shù)據(jù)技術(shù)建設(shè)的天融信云服務(wù)運(yùn)營平臺，為各行業(yè)客戶提供7×24小時(shí)遠(yuǎn)程網(wǎng)站監(jiān)測、威脅情報(bào)分析、安全事件預(yù)警和應(yīng)急響應(yīng)服務(wù)。

近年來，天融信在人工智能、物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全、下一代互聯(lián)網(wǎng)安全、SD-WAN、零信任、云計(jì)算等領(lǐng)域持續(xù)落地實(shí)踐，并依托完備的安全服務(wù)體系、權(quán)威的安全服務(wù)資質(zhì)和專業(yè)化安全服務(wù)團(tuán)隊(duì)，構(gòu)建縱深防御的網(wǎng)絡(luò)安全防護(hù)體系，為企業(yè)數(shù)字化轉(zhuǎn)型注入新動能。