全国信安标委于9月28日发布《信息安全技术 网络安全信息报送指南》征求意见稿(以下简称“《征求意见稿》”)。该征求意见稿全面规定了网络安全信息事件发生后的报送方应向接收方报送信息的各类信息要素以及报送流程。《征求意见稿》参考了GB/T 25069、GB/T 20985.1等标准中的报送的信息类型;亦参考了GB/T 28458、GB/T 36643、GB/Z 20986中的各类信息的要素和格式。此外,《征求意见稿》还在附录A中将其网络安全报送信息类型与《信息安全技术 网络安全信息共享指南》(征求意见稿)中的网络安全共享信息类型进行了对应。
根据《征求意见稿》3.7和3.8,报送方和接收方的定义分别为“在网络安全信息报送体系中,报送网络安全信息的组织”以及“在网络安全信息报送体系中,接收网络安全信息的组织”。《征求意见稿》中虽未对网络安全信息报送体系进行明确的定义,但3.1中明确了网络安全信息为“描述网络安全相关情况的信息。包括但不限于威胁信息、脆弱性信息、网络安全事件信息、网络安全态势信息等”。我们理解,凡是有法定义务报送各类网络安全信息的相关主体即为报送方,而接收方则为接收网络安全信息的有关部门。我们试总结法规中的报送方、接收方和相关的网络安全信息具体种类:
报送方 | 接收方 | 报送的网络安全信息 | 法规 |
个人信息处理者 | 履行个人信息保护职责的部门 | 发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;个人信息处理者的联系方式 | 《个人信息保护法》 |
数据处理者 | 有关主管部门 | 数据安全事件 | 《数据安全法》第29条 |
网络运营者 | 有关主管部门 | 危害网络安全的事件 | 《网络安全法》第25条 |
第三级以上网络运营者 | 同级公安机关、行业主管部门 | 网络安全事件 | 《网络安全等级保护条例(征求意见稿)》第32条 |
网络产品提供者 | 工业和信息化部 | 网络安全威胁和漏洞信息 | 《网络产品安全漏洞管理规定》第7条 |
发现网络产品安全漏洞的组织或者个人 | 工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库 | 网络产品安全漏洞信息 | 《网络产品安全漏洞管理规定》第10条 |
电信业务经营者、互联网信息服务提供者;省级通信管理局 | 电信管理机构;工业和信息化部 | 用户个人信息发生或者可能发生泄露、毁损、丢失的 | 《电信和互联网用户个人信息保护规定》第14条 |
各省(区、市)、各部门组织;事发单位 | 省级网络安全和信息化领导小组、国家网络安全应急办公室、相关省(区、市)和部门 | 网络安全事件 | 《国家网络安全事件应急预案》3.4.2,4.1 |
国家计算机网络应急技术处理协调中心、中国信息通信研究院、中国软件评测中心、国家工业信息安全发展研究中心(以下统称网络安全专业机构)、基础电信企业、域名注册管理和服务机构(以下简称域名机构)、互联网企业(含工业互联网平台企业) | 国家网络安全应急办公室、工业和信息化部网络安全应急办公室、通信管理局、相关职能部门、相关行业主管部门 | 公共互联网网络安全突发事件 | 《公共互联网网络安全突发事件应急预案》1.3,2.3,4.1,5.5 |
除了上表列出的有关报送主体外,一些具体行业【1】以及一些具体地域【2】也分别对报送方和接收方有相关的规定。从上表可知,我国的网络安全信息报送体系结构较为复杂,报送方可能是企业,也可能是有关机构或者政府部门;而接收方为有关机构或者政府部门。
(一)报送的信息类型
类型 | 相关术语定义 | 理解 |
脆弱性信息 | 脆弱性:可能被一个或多个威胁利用的资产或控制的弱点 | 被网络安全威胁利用的网络自身属性的描述 |
网络安全威胁信息 | 威胁:对系统或组织造成危害的不期望事件的潜在因素 | 对网络安全事件潜在原由的描述 |
网络安全事态信息 | 网络安全事态/信息安全事态:可能的信息安全违规或某些控制失效的发生 | 网络安全事件可识别影响的描述 |
网络安全事件信息 | 网络安全事件:与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态 | |
网络安全态势信息 | 网络安全态势:对一定范围网络中的脆弱性、网络安全威胁、网络安全事态、网络安全事件、以及与网络安全相关的其他情况的整体描述 | 从宏观角度对一定范围内网络安全情况的整体描述 |
网络安全资讯 | 对网络安全情况的外部描述 | |
其他信息 | 对网络安全态势研判起支撑作用的其他情况描述 |
(二)报送信息的要素
类型 | 相关术语定义 |
脆弱性信息 | 宜包含: 时间信息:包括脆弱性发现时间、报送时间等; 脆弱性描述:参考GB/T 28458中的安全漏洞描述项【3】,接收方可根据需要增加内容,可对各内容的必要性进行重新要求,例如对信息汇总的时效性有要求时,标识号可不作为漏洞描述的必选内容; |
接收方可提出以下其他要求: 影响信息:包括潜在受影响资产情况及危害后果、潜在影响发生可能性、对业务的影响情况等; 措施信息:包括针对此脆弱性已采取的措施、后续计划等; 关联信息:包括与此脆弱性相关的其他网络安全信息,如利用此脆弱性造成的网络安全事件等; 佐证材料:包括与此脆弱性相关的分析报告、验证工具等; | |
网络安全威胁信息 | 宜包含: 时间信息:包括网络安全威胁发现时间、报送时间等; 威胁描述:包括威胁情报信息、恶意代码信息等,接收方宜对网络安全威胁信息的报送格式制定规范,可参考GB/T 36643的网络安全威胁信息格式。 |
接收方可提出以下其他要求: 措施信息:包括针对此威胁已采取的措施、后续计划等; 影响信息:包括潜在受影响资产情况及危害后果、潜在影响发生可能性、对业务的影响情况等; 关联信息:包括与此网络安全威胁相关的网络安全信息,如该网络安全威胁所利用的脆弱性信息等; 佐证材料:包括与此网络安全威胁相关的分析报告、样本文件等; | |
网络安全事态信息 | 宜包含: 时间信息:包括事态发生时间、发现时间、报送时间等; 事态描述:包括异常状态描述等; 影响信息:包括潜在受影响资产情况及危害后果、潜在影响发生可能性、对业务的影响情况等; |
接收方可提出以下其他要求: 措施信息:包括针对此事态已采取的措施、后续计划等; 关联信息:包括与此网络安全事态相关的网络安全信息,如同类型的网络安全事态信息等; 佐证材料:包括与此事态相关的日志信息等; | |
网络安全事件信息 | 宜包含: 时间信息:包括事件发生时间、发现时间、报送时间等; 事件描述:包括事件类型(可参考GB/Z 20986的事件分类方法)【4】、详细信息(接收方宜对各事件类型详细信息的报送格式制定规范; |
接收方可提出以下其他要求: 影响信息:包括受影响资产情况及危害后果、对业务的影响情况; 攻击方信息:包括攻击方描述、可能的动机等; 措施信息:包括针对此事件已采取的措施、后续计划等; 关联信息:包括与此网络安全事件相关的网络安全信息,如相关的网络安全威胁信息、利用的脆弱性信息等; 佐证材料:包括与此事件相关的分析报告、样本文件、日志信息等 | |
网络安全态势信息 | 宜包含: 时间信息:包括态势时间范围、报送时间等; 空间信息:包括地域、行业等; 态势类型:根据接收方的需求确定,并在信息报送方案明确,例如脆弱性态势、网络安全威胁态势、网络安全事件态势、攻击方态势、网络资产态势、网络运行态势、综合态势、专题态势等; 输出信息类型:包括统计指标、分布特点、发展趋势、关联情况等; 态势描述:对网络安全态势的具体描述信息,可以采用数据、图表、文字等信息形式 |
网络安全资讯 | 宜包含: 时间信息:包括资讯出现时间、报送时间等; 资讯描述:包括关键字、摘要、详细内容等; |
其他信息 | 如网络资产信息、攻击方信息、防御能力信息、攻击手段方式进展等。 |
(三)与网络安全共享信息之间的对应关系
《信息安全技术 网络安全信息共享指南》(征求意见稿)提出了网络安全信息共享的共享原则、共享内容、描述规范、共享模式、共享活动实施等,适用于相关方组织实施网络安全信息共享活动,为国家和行业主管部门、网络安全运营者、关键信息基础设施运营者以及有关研究机构、网络安全服务机构等相关方组织有效的网络安全信息共享提供参考。该文件第
6.2列举了三类共享场景,分别是信息公开、信息报送或下发以及信息互换。其中信息报送或下发指“一般由多层级的共享活动参与者完成,由下级参与者与上级参与者完成网络安全信息的共享”。根据该定义,我们理解网络安全信息报送是信息报送或下发的一种,因此其报送的网络信息类型应该与《信息安全技术 网络安全信息共享指南》(征求意见稿)中的网络安全信息内涵保持一致性。《征求意见稿》在附录A中将网络安全报送信息类型与网络安全共享信息类别进行了一一对应。
本文件中的网络安全报送信息类型 | 与GB/T AAAAA-AAAA中网络安全共享信息类别的对应关系 |
脆弱性信息 | 威胁信息的子类【5】、可附加应对措施信息【6】 |
网络安全威胁信息 | 威胁信息的子类、可附加应对措施信息 |
网络安全事态信息 | 威胁信息的子类、可附加应对措施信息 |
网络安全事件信息 | 威胁信息的子类、可附加应对措施信息 |
网络安全态势信息 | 态势信息的子类【7】 |
网络安全资讯 | 态势信息的子类 |
其他信息 | 经验信息【8】、其他信息【9】 |
《征求意见稿》5.1条规定了网络安全信息报送活动中的基本流程,基本流程如下图所示:
此外,《征求意见稿》5.2、5.3、5.4条还对报送方式、信息报送的时效性和安全性等进行了规定。
目前国家标准规范的体系中暂时缺少为各方参与网络安全信息报送的规范。《征求意见稿》的可能将在之后为该方面为企业提供合规参考。我们建议网络运营者或网络产品提供者可能面对危害其网络安全的事件时,应及时向有关部门按照《征求意见稿》的内容进行报送。若未履行《网络安全法》或《网络产品安全漏洞管理规定》的规定的,可能将根据相关条款被处以罚款【10】。此外,随着《网络安全法(征求意见稿)》的出台,相关主体若不履行报送义务导致特别严重后果的可能在之后面临极高额的罚款,企业的有关责任人员也可能面临禁业处罚。【11】
【1】如《工业和信息化领域数据安全管理办法(试行)(公开征求意见稿)》。
【2】如《北京市公共互联网网络安全突发事件应急预案》。
【3】5.1 框架:针对每一个漏洞进行标示...,其中描述项包括名称、发布时间、发布者、验证者、发现者、类别、等级、受影响产品或服务、相关编号、存在性说明等十项必须项、并可根据需要扩展验证检测方法、解决方案、其他描述等扩展项。扩展项为可选。
【4】4 信息安全事件分类:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他事件。
【5】6.5 a) 依据GB/T 36643-2018,描述现有或可能出现的威胁,从而实现对威胁的响应和预防,是攻击源已经或可能对目标对象造成了危害的信息。通常包括脆弱信息、漏洞信息、安全事件信息、攻击方法信息、威胁信息等;具体参考GB/T 36643 6.2-6.9部分。
【6】6.5 b) 描述网络安全风险防御措施及网络安全事件和相应处置措施的信息;附录C 网络安全信息描述 C. 2:应对措施信息描述规范包括措施名称、所属子类、单位名称、实施对象、措施目的、具体描述六方面内容。
【7】6.5 d) 描述通过分析研判获取的关于国内外网络安全态势方面的动态信息;附录C 网络安全信息描述 C. 4:态势信息描述规范包括态势信息类型、态势信息名称、上报单位名称、态势信息来源、态势信息具体描述五方面内容。
【8】6.5 c) 描述在网络安全防护和网络安全时间响应等方面积累的成功经验和失败教训的信息。附录C 网络安全信息描述 C. 3:经验信息描述规范包括经验信息名称、单位名称、具体描述、风险等级、应对措施五方面内容。
【9】6.5 e) 其他信息:除以上各类之外的其他与网络安全相关的信息。
【10】《网络安全法》第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《网络产品安全漏洞管理规定》第十二条:网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
【11】《网络安全法(征求意见稿)》:违反本法第二十一条、第二十二条第一款和第二款、第二十条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
