为了规范网络安全事件的报告，减少网络安全事件造成的损失和危害，维护国家网络安全，2023年12月8日，国家互联网信息办公室近日起草了《网络安全事件报告管理办法（征求意见稿）》（下文简称为《办法》）。《办法》全文共十四条，对于企业落实网络安全事件报告要求、防范网络安全风险具有重要指导意义。一、网络安全事件等级划分《管理办法》第四条指出，运营者在发生网络安全事件时，应当及时启动应急预案进行处置。按照《网络安全事件分级指南》，将网络安全事件分为特别重大、重大、较大和一般4个级别，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。网络和系统归属中央和国家机关各部门及其管理的企事业单位的，运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的，各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。网络和系统为关键信息基础设施的，运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的，保护工作部门在收到报告后，应当于1小时内向国家网信部门、国务院公安部门报告。其他网络和系统运营者应当向属地网信部门报告。属于重大、特别重大网络安全事件的，属地网信部门在收到报告后，应当于1小时内逐级向上级网信部门报告。有行业主管监管部门的，运营者还应当按照行业主管监管部门要求报告。发现涉嫌犯罪的，运营者应当同时向公安机关报告。二、《网络安全事件分级指南》具体内容一、特别重大网络安全事件符合下列情形之一的，为特别重大网络安全事件：1、重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。2、国家秘密信息、重要敏感信息、重要数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。3、其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。通常情况下，满足下列条件之一的，可判别为特别重大网络安全事件：1、省级以上党政机关门户网站、重点新闻网站因攻击、故障，导致24小时以上不能访问。2、关键信息基础设施整体中断运行6小时以上或主要功能中断运行24小时以上。3、影响单个省级行政区30%以上人口的工作、生活。4、影响1000万人以上用水、用电、用气、用油、取暖或交通出行。5、重要数据泄露或被窃取，对国家安全和社会稳定构成特别严重威胁。6、泄露1亿人以上个人信息。7、党政机关门户网站、重点新闻网站、网络平台等重要信息系统被攻击篡改，导致违法有害信息特大范围传播。以下情况之一，可认定为“特大范围”：（1）在主页上出现并持续6小时以上，或在其他页面出现并持续24小时以上；（2）通过社交平台转发10万次以上；（3）浏览或点击次数100万以上；（4）省级以上网信部门、公安部门认定为是“特大范围传播”的。8、造成1亿元以上的直接经济损失。9、其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。二、重大网络安全事件符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：1、重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。2、国家秘密信息、重要敏感信息、重要数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。3、其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。通常情况下，满足下列条件之一的，可判别为重大网络安全事件：1、地市级以上党政机关门户网站、重点新闻网站因攻击、故障，导致6小时以上不能访问。2、关键信息基础设施整体中断运行2小时以上或主要功能中断运行6小时以上。3、影响单个地市级行政区30%以上人口的工作、生活。4、影响100万人以上用水、用电、用气、用油、取暖或交通出行。5、重要数据泄露或被窃取，对国家安全和社会稳定构成严重威胁。6、泄露1000万人以上个人信息。7、党政机关门户网站、重点新闻网站、网络平台等被攻击篡改，导致违法有害信息大范围传播。以下情况之一，可认定为“大范围”：（1）在主页上出现并持续2小时以上，或在其他页面出现并持续12小时以上；（2）通过社交平台转发1万次以上；（3）浏览或点击次数10万以上；（4）省级以上网信部门、公安部门认定为是“大范围传播”的。8.造成2000万元以上的直接经济损失。9.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。三、较大网络安全事件符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：1、重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。2、国家秘密信息、重要敏感信息、重要数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。3、其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。通常情况下，满足下列条件之一的，可判别为较大网络安全事件：1、地市级以上党政机关门户网站、重点新闻网站因攻击、故障，导致2小时以上不能访问。2、关键信息基础设施整体中断运行30分钟以上或主要功能中断运行2小时以上。3、影响单个地市级行政区10%以上人口的工作、生活。4、影响10万人以上用水、用电、用气、用油、取暖或交通出行。5、重要数据泄露或被窃取，对国家安全和社会稳定构成较严重威胁。6、泄露100万人以上个人信息。7、党政机关门户网站、重点新闻网站、网络平台等被攻击篡改，导致违法有害信息较大范围传播。以下情况之一，可认定为“较大范围”：（1）在主页上出现并持续30分钟以上，或在其他页面出现并持续2小时以上；（2）通过社交平台转发1000次以上；（3）浏览或点击次数1万以上；（4）省级以上网信部门、公安部门认定为是“较大范围传播”的。8、造成500万元以上的直接经济损失。9、其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。四、一般网络安全事件除上述网络安全事件外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件。注：指南中的“以上”均包括本数。三、遭遇网络安全事件，应急响应很关键“应急响应”对应的英文是“IncidentResponse”或“EmergencyResponse”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。在网络安全领域，网络安全事件的处置对于时效性有着极高要求。按照《网络安全事件分级指南》的要求，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告，因此，网络应急响应很关键。网络安全应急响应主要包括两个方面：1、未雨绸缪。即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警以及各种防范措施。2、亡羊补牢。即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，比如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。做好网络安全应急响应，需要建立完善的应急预案和机制，明确应急响应流程和责任人，定期进行演练，提高响应能力。当发生重大网安事件时，运营者应当及时启动应急预案进行处置并向本部门网信工作机构报告。报告的内容应当包括网络安全事件的详细情况、影响范围、处置进展等，以便相关部门及时了解情况并采取相应的措施。同时，运营者还应当积极配合相关部门进行调查和处理，提供必要的支持和协助。国城科技，作为网络安全精细化治理服务商，拥有一支国家级专家团队，始终处于网络安全攻防实战前沿阵地，目前已为已为军工、交通、金融、能源等行业客户提供多种安全解决方案。针对客户的安全事件响应需求，我们可以提供网络安全应急响应业务，当客户遭遇网络安全事件时，可以及时指导、配合客户做好安全事件的处置和溯源，降低对业务正常开展的影响。

数据安全已成为事关国家安全与经济社会发展的重大问题近日，国家安全部微信公众号发文表示，当前，数据在采集、存储、传输、使用过程中产生的权属不清、越权越级访问、交易无序等一系列问题矛盾和风险逐渐显现，数据泄露、数据贩卖、数据滥用等违法活动增多。更具持续性和隐蔽性的数据安全风险，给数据安全保障工作带来了极大挑战。加之，近年来黑客组织、犯罪团伙和不法分子持续对我国关键信息基础设施、重要行业部门实施网络攻击，入侵重要信息系统，窃取重要数据，不仅侵害个人隐私、商业秘密，更对国家重要数据安全带来了严重危害。因此，数据安全已成为关乎国家安全和公共利益，是非传统安全的重要方面，是事关国家安全与经济社会发展的重大问题。当前数据安全防护面临的两大难题一、敏感信息泄露严重，成为网络攻击的“情报源”由于信息管理的不完善，在互联网等公开网络中普遍存在单位及其目标大量的敏感信息，如单位的邮箱账号、组织通信录、系统配置文件、网络拓扑图、互联网协议地址规划等。网络攻击者收集分析这些暴露的敏感信息，可以了解和熟悉目标客户、目标系统的基本情况，基于这些信息可以评估分析结果，攻击者确定是否可以发起网络攻击。二、核心数据保护措施单一，缺少精细防护措施，极易被攻破目前很多单位的核心数据防护更多的是采用数据备份和恢复的机制去保障核心数据的安全，保证在数据读取异常，业务中断时数据异常，满足数据服务业务连续性的要求（RPO、RTO的指标符合要求即可）。针对数据窃取、数据泄露、数据加密勒索等网络威胁应对不足，相应的保护措施比较单一。国城科技数据安全防护建议国城科技专注于网络安全本质的探索，为客户提供精细化的数据安全治理方案，帮助客户解决数据安全防护难题。针对敏感信息泄露问题的建议对于敏感信息泄露的处理，建议客户采用基于机器学习和专家研判的数据关联和风险分析技术，持续快速的定位暴露在互联网的敏感信息。该技术可以支撑防守人员先于攻击者响应和处置，消除防守人员与攻击者之间的信息差。针对核心数据保护措施单一问题的建议对于核心技术的保护，建议客户针对数据库可能的攻击技战术进行分析，面向可以被攻击者利用对核心数据造成危害的暴露面数据库配置文件、数据备份文件等敏感信息进行收敛处理，并对可能存在的管理员账号弱口令、默认口令、默认配置、安全漏洞等脆弱性进行加固修复，客户可以借助已有的数据库审计设备、堡垒机、流量分析审计设备以及用户行为审计分析设备对数据库操作行为进行会话审计，及时发现异常行为及时处置。在互联网不断发展的今天，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。因此，我们要切实保障国家数据安全，就必须加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力！

据“平安江汉”官方微博消息，武汉市应急管理局地震监测中心报警称，该中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序。该行为对国家安全构成严重威胁。对此，武汉市应急管理局公开声明：我单位及武汉市地震监测中心高度重视网络安全防护工作，坚决反对任何组织或个人以任何形式对我实施网络攻击，任何危害地震监测基础设施的行为都将被依法追究相关法律责任。为进一步查明事实，依法处理相关幕后黑客组织和不法分子的网络攻击行为，武汉市地震监测中心第一时间封存相关网络设备，并将遭受网络攻击的情况向辖区公安机关报案，我单位将保留进一步追诉的权利。目前，武汉市公安局江汉分局已经根据中华人民共和国《刑法》第285条之规定，对此案立案侦查，并对提取到的后门样本进一步开展技术分析，该后门程序能非法控制并窃取地震速报前端台站采集的地震烈度数据。官方初步判定，此事件为境外具有政府背景的黑客组织和不法分子发起的网络攻击行为。国城科技作为国内领先的网络安全精细化治理服务商，建议相关企事业单位在进行网络安全运营时，需要加强网络安全防护能力及运营能力，以应对严峻的网络安全形势和突发的网络攻击事件。【国城科技下一代数智安全运营中心解决方案DI-SOC（DigitalIntelligenceSecurityOperationsCenter）】是面向政府、制造业、医疗、教育、金融等大中型企事业单位推出的安全运营整体解决方案。DI-SOC整体解决方案涵盖：一个平台-智能化安全运营平台一个专家团队-网络安全运营专家团队五大安全服务体系-网络安全威胁检测体系、网络安全监测预警体系、网络安全应急响应体系、网络安全运营咨询体系、网络安全运营管理体系，实现企事业单位网络安全工作全生命周期可知、可感、可视、可控的闭环。现如今，国际形势波谲云诡，黑客攻击手段花样百出，国城科技建议“网络安全三分建设·七分运营”，客户单位需要不断加强巩固自身的运营能力，将网络安全防护效能发挥最大化。

网络安全运营新形势、新业态新形势企事业单位数字化转型的进程加速，传统的被动响应策略向主动防御理念转变。企事业单位针对网络安全的需求由“单一政策”驱动向“合规需求+内生需求”双轮驱动进阶。新业态企事业单位网络安全防御从“单一工具产品”升级为“产品+服务”的安全生态建设。不断加强产品之间、产品与服务之间的关联度和联动性，形成贯通事前预警、事中防御、事后溯源分析的防御生态。然而，不少企事业单位在进行网络安全运营的过程中，却面临着缺少专业运营团队、缺少设备与体系的整合、缺少贴合实际需求的运营体系、缺少精细化管理的安全运营难题，导致安全运营能力滞后，难以应对网络安全新形势和新业态。对此，国城科技推出下一代数智安全运营中心（DI-SOC）解决方案，全面解决网络安全运营难题。国城下一代数智安全运营中心（DI-SOC）解决方案全新模式让网络安全运营更高效【国城科技下一代数智安全运营中心解决方案DI-SOC（DigitalIntelligenceSecurityOperationsCenter）】是面向政府、制造业、医疗、教育、金融等大中型企事业单位推出的安全运营整体解决方案。DI-SOC整体解决方案涵盖：一个平台-智能化安全运营平台一个专家团队-网络安全运营专家团队五大安全服务体系-网络安全威胁检测体系、网络安全监测预警体系、网络安全应急响应体系、网络安全运营咨询体系、网络安全运营管理体系实现企事业单位网络安全工作全生命周期可知、可感、可视、可控的闭环。国城DI-SOC客户价值01.节约企事业单位的人员及管理投入DI-SOC整体解决方案在企事业单位自建的网络安全运营团队或在原有网络运营团队基础上增加安全运营能力，可节约企事业单位的人员及管理投入。02.帮助企事业单位阻止较大的经济损失DI-SOC整体解决方案能够及时监测和检测发现高危风险及隐患。避免企事业单位因为被加密勒索导致的业务生产中断、研发数据被窃取导致的研发投入损失、商业机密被泄露导致的商誉损失，从而造成的巨大经济损失。03.减少网络安全事件发生在服务周期内，企事业单位不会因为网络安全运营工作不到位出现网络安全事故，不会出现较大及以上的网络安全事件。04.遏制网络安全舆情事件在服务周期内，企事业单位的对外门户网站不会因为网络安全运营工作不到位被攻击者篡改网页、加挂暗链、挂马等恶意程序导致出现社会舆情事件。作为网络安全的全生命周期生态链领航者，国城科技将持续通过下一代数智安全运营中心（DI-SOC）解决方案，提供“产品+服务”的双重赋能，为企事业单位数字化转型和业务创新保驾护航！