网络安全等级保护:如何做好应急响应与保障
应急准备需要输入运营、使用单位组织机构及职责分工,各类安全事件列表等内容,建立完善的应急组织体系,保证应急救援工作反应迅速、协调有序。通过分析安全事件的等级,在统一的应急预案框架下制定不同安全事件的应急预案,组织针对等级保护对象的应急演练,可以有效检验网络安全应急能力,并为消除或减小这些隐患与问题提供有价值的参考信息,检验应急预案体系的完整性、应急预案的可操作性、机构和应急人员的执行、协调能力以及应急保障资源的准备情况等,从而有助于提高整体应急能力。最终输出应急组织机构图,应急组织职责分工,应急组织内、外部联系表,安全事件报告程序,各类专项应急预案,应急演练脚本,应急演练总结等。
建立应急组织应注意:按照应急救援的需要,建立应急组织。应急组织一般分为五个核心应急功能机构,即指挥、行动、策划、后勤和财务。
明确应急工作职责应注意:明确应急管理的领导机构、办事机构、专项应急指挥机构、基层应急机构、应急专家组组成部门或人员、职责和权限。
确定职责和应急协调方式应注意:在统一的应急预案框架下,明确应急预案中各部门的职责,以及各部门间的合作和分工协调方式。
制定应急预案程序及其执行条件应注意:制定应急预案程序及其执行条件针对不同等级、不同类别的安全事件制定相应的应急预案程序,确定不同等级、不同类别事件的响应和处置范围、程度以及适用的管理制度,说明应急预案启动的条件,发生安全事件后要采取的流程和措施。
培训宣贯应注意:针对应急预案涉及的部门和人员制定专项培训计划,培训宣贯内容包括应急职责、合作和分工、应急预案启动条件和流程等。
应急演练应注意:明确应急预案演练的规模、方式、范围、内容、组织、评估、总结等内容,并按照预案定期开展演练。
注:在团体标准《网络安全等级保护测评高风险判定指引》T/ISEAA 001-2020中,若未对应急预案进行培训演练,作为第三级以上系统,则判定为“高风险”项。具体要求应定期(建议至少每年一次)对相关人员进行应急预案培训,根据不同的应急预案进行演练,提供应急预案培训和演练记录。
第二阶段:应急监测与响应
应急监测与响应阶段需要输入网络流量,日志信息,性能信息,安全事件报告程序,各类专项应急预案,网络安全事件报送表,安全事件报告程序等,对等级保护对象的安全状态进行监控,并根据应急预案启动条件研判是否启动应急程序。对监控到的安全事件采取适当的方法进行预处置,分析安全事件的影响程度和等级,启动相应级别的应急预案,开展应急响应处置工作。最终输出网络安全事件报送表,安全状态分析报告,安全事件处置报告。
异常状态信息收集应注意:收集来自监控对象的各类状态信息,可能包括网络流量、日志信息、安全报警和性能状况等,或者来自外部环境的安全标准和法律法规的变更信息。
异常状态分析应注意:对安全状态信息进行分析,及时发现险情、隐患或安全事件,并记录这些安全事件,分析其发展趋势及这些变化对安全状态的影响,通过判断他们的影响决定是否有必要作出响应。
安全事件上报和共享应注意:根据安全状态分析和影响分析的结果,分析可能发生的安全事件,明确安全事件等级、影响程度以及优先级等,形成安全状态分析报告和网络安全事件报送表,按照安全事件等级以及安全事件报告程序上报,需要共享的按照规定向特定对象共享安全事件。
安全事件处置应注意:对于应启动应急预案的安全事件按照应急预案响应机制进行安全事件处置。对未知安全事件的处置,应根据安全事件的等级,制定安全事件处置方案,包括安全事件处置方法以及应采取的措施等,并按照安全事件处置流程和方案对安全事件进行处置。
安全事件总结和报告应注意:一旦安全事件得到解决,对于未知的安全事件进行事件记录,分析记录信息并补充所需信息,使安全事件成为已知事件,并文档化;对安全事件处置过程进行总结,制定安全事件处置报告,并保存。
调查评估应注意:对于应急响应过程进行调查,评估应急过程合规性、处置及时性等。通过事件重现调查网络安全事件原因,追溯安全责任,并形成网络安全调查评估报告。
改进预防应注意:调查评估根据网络安全事件调查评估报告,制定改进预防措施,修改相应应急预案,结合实际情况进行落实,并组织开展应急预案相关培训。
应急保障需要输入总体应急预案,各类专项应急预案,进而建立健全应急保障体系,实现应急预案保障工作科学化,最终输出应急保障物资清单。
针对各类专项应急预案进行分析,制定应急预案执行所需通信、装备、数据、队伍、交通运输、经费和治安保障内容。
应急准备阶段的工作是由主管部门,运营、使用单位共同完成,其他三个阶段则由运营、使用单位完成。
《网络安全法》第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《网络安全法》第二十五条规定则是对网络运营者网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告的要求,所以运行与维护过程中,应急保障工作也是一个重点。
做不好应急保障工作,与未落实网络安全等级保护制度及未落实有关技术、管理措施同等处罚。所以,作为网络运营者则需要将其与等级保护工作同等重要程度看待与落实。
本文主要涉及应急工作的一个过程脉络,需要具体参照《国家网络安全事件应急预案》《网络安全事件应急演练指南》《信息安全应急响应计划规范》《运行维护 第3部分:应急响应规范》等国家政策文件和标准进行制定。
我也会在未来和大家一起探讨相关标准的内容。