第五节 网络运营者的应急处置
适用要点
1.网络安全事件应急预案的制定及内容
2.网络安全事件的应对措施
3.网络安全事件的补救措施及报告
建立健全网络安全事件应急工作机制,对于提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序具有重大意义。作为网络安全应急工作的重要责任主体,《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。根据上述规定,网络运营者负有制定网络安全事件应急预案,及时处置网络安全风险,采取补救措施并向有关主管部门报告有关情况的网络安全应急响应的法定义务,该条与《网络安全法》第五十三条、第五十五条共同构成网络安全应急体系的主要内容。
一、网络安全事件应急预案的制定及内容
应急预案,是指为依法、迅速、科学、有序应对突发事件,最大程度减少突发事件及其造成的损害而预先制定的工作方案。网络运营者应当根据《网络安全法》和《突发事件应对法》《中华人民共和国计算机信息系统安全保护条例》《突发事件应急预案管理办法》《计算机病毒防治管理办法》等有关法律法规的规定,对系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险进行评估,针对网络安全事件的性质、特点和事件发生后的影响程度(时间长短、业务范围、地域范围等因素),制定其内部的网络安全事件应急预案,为其内部的网络安全应急工作提供明确的指引。同时,网络运营者应当根据各自制定的网络安全应急预案,定期或不定期地组织应急演练,从而确保预案的可操作性和可执行性。
应急预案的内容具体包括:(1)网络安全事件应急管理的方针、政策和工作原则;(2)网络安全应急的组织机构及其职责;(3)采取的应急行动、处置程序和应急保障措施等;(4)应急人员沟通与协调方式;(5)事后恢复与重建措施等。值得注意的是,制定应急预案应当考虑业务的分类、业务风险的等级划分、技术现状分析、突发事件归类分析,还应充分考虑突发事件的重点部分,优先考虑对社会、用户和内部经营管理最大的事件。应急预案应当涵盖业务应急措施、技术应急措施和风险应急措施,并随着过程、环境的变换而不断更新。
关于应急预案的专门规定,国家层面有《国家网络安全事件应急预案》,行业层面有各自的应急预案。网络运营者制定本单位应急预案时,应当按照国家、行业应急预案的要求,结合本单位的实际情况,制定有针对性、可操作性强的应急预案,预案的启动、执行以及终止等责任都应当明确具体负责人、执行人。发生网络安全事件后,各司其职、迅速采取应对措施。以银行业为例,银监会出台了《银行业突发事件应急预案》《银行业重要信息系统突发事件应急管理规范(试行)》《银行业金融机构信息系统风险管理指引》等法规,各商业银行应当按照《网络安全法》和《国家网络安全事件应急预案》等以及银监会的上述规定,制定更详细的应急预案。
二、网络安全事件的应对措施
应急处置,是指对突发网络安全事件进行响应、处理、恢复、跟踪的方法及过程,其目的是保护网络设施免遭攻击、降低网络的脆弱性、缩短网络攻击发生后的破坏时间和恢复时间。依照《网络安全法》的要求,网络运营者在面临系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险威胁时,应当采取技术措施作出快速响应。
应急本质是一种信息对抗,对抗就是控制紧急状态的恶性发展,防御网络恐怖突发事件的信息技术,因此,应急不能仅依靠管理,必须具有先进的应急技术。这些技术具体包括入侵检测、事件的诊断、攻击源的隔离与快速恢复等。入侵检测与应急响应是紧密相关的,发现对网络和信息系统的攻击或入侵才能触发响应的动作。入侵检测系统的构建能够从检测、识别、分析、评估环节,管控非法用户对计算机网络系统的侵袭行为,并在数据信息完整性维护、病毒入侵防范等方面发挥重要的作用。检测是否存在未经授权的访问、误用等违反网络安全政策的行为;而事件的诊断则偏重于在事件发生后,弄清受害对象究竟发生了什么。例如,是否被病毒感染、是否被黑客攻破,如果是的话,问题出在哪里,影响范围有多大等。在确定了事件类型、攻击来源之后,及时隔离攻击源是防止事件影响扩大化的有效措施,例如,对计算机病毒或蠕虫的隔离。此外,一旦测出Web服务器被入侵、主页被篡改的事件,响应政策要尽快恢复服务器的正常运行,把事件的负面影响降到最小。快速恢复涉及完整性检测、域名切换等技术。
三、网络安全事件的补救措施及报告
网络安全事件发生后,网络运营者应当立即启动应急预案,采取相应的补救措施,及时查明和分析事件发生的原因及其影响范围,以防止损失进一步扩大或者将损害降至最低程度。
网络运营者的应急预案应当明确应急预案的启动和终止的主体及条件。例如,《银行业重要信息系统突发事件应急管理规范(试行)》第八条规定,银行业金融机构应组建应急团队,在发生信息系统突发事件时,能够做到及时实施专项应急处置工作。应急团队应包括但不限于应急领导小组、应急执行小组、支持保障小组。应急领导小组由董事会和高管层授权并由高管人员任应急领导小组组长,各相关职能部门(包括但不限于风险管理部门、业务管理部门、信息科技管理部门和支持保障部门等)和一级分支机构的负责人为应急领导小组成员,其职责是:(1)负责信息系统突发事件的应急指挥、组织协调和过程控制;(2)明确新闻发布人,授权其在应急过程中统一对外信息发布口径;(3)宣布重大应急响应状态的降级或解除;(4)向董事会和高级管理层报告应急处置进展情况和总结报告。《工业控制系统信息安全事件应急管理工作指南》第十六条规定,对于可能发生或已经发生的工控安全事件,工业企业应立即开展应急处置,采取科学有效的方法及时施救,力争将损失降到最小,尽快恢复受损工业控制系统的正常运行。当事发工业企业应急处置力量不足时,可请求上级主管部门协调应急技术机构提供支援。
同时,网络安全事件本身固有的突发性、破坏性强的特点要求建立快速的应急报告机制。此处,网络运营者的报告义务,主要是指网络运营者在网络安全事件发生之后,采取补救措施期间,应当将其采取补救措施的整体情况向有关主管部门进行报告。这样要求的目的主要是因为引发网络安全事件的情况发展无法预见,随着情况的不断发展变化,极有可能需要变更或终止实施应急响应措施,因此,将采取应急响应措施的整体情况向有关主管部门报告是非常必要的。网络运营者履行这一法定义务应当注意以下两个问题。
其一,报告时间。网络运营者应保证在尽可能短的时间内将其采取补救措施的整体情况向有关主管部门进行报告。引发网络安全事件发生的情况始终处于一个动态的发展变化过程中,为了使网络与信息系统尽快恢复正常状态,需要网络运营者将其实时监测到的情况反馈给有关主管部门,以保证有关主管部门在掌握网络安全事件情况的动态变化后,及时进行决策的变更和选择。
其二,报告内容。网络运营者向有关主管部门报告的内容主要是:实施补救措施的具体情况和实施措施以后的情况变化,对前者的报告只是向有关主管部门反映补救措施执行的客观情况;对后者的报告则有利于有关主管部门对采取某种补救措施的效果进行评估,以便有关主管部门及时分析和判断决策的正确与否。
法条链接目录
1.中华人民共和国网络安全法
2.中华人民共和国突发事件应对法
3.中华人民共和国计算机信息系统安全保护条例
4.突发事件应急预案管理办法
5.计算机病毒防治管理办法
6.国家网络安全事件应急预案
7.银行业突发事件应急预案
8.银行业重要信息系统突发事件应急管理规范(试行)
9.银行业金融机构信息系统风险管理指引
10.工业控制系统信息安全事件应急管理工作指南