近日，国家互联网信息办公室发布了关于《网络安全事件报告管理办法（征求意见稿）》（简称《办法》），再次明确了运营者在发生网络安全事件后的上报要求。

不同于以往更多强调事前防御的政策法规，《办法》对于安全事件发生后的监管单位、上报时效、报告要求、责任追究做了全方位详细界定，对运营者面对恶性网络安全事件的 “事中应战能力” 提出了更高要求。

（一） “1小时” 制度，重大安全事件直达国家部门

《办法》第4条规定，运营者在发生网络安全事件时，应当及时启动应急预案进行处置。

按照《网络安全事件分级指南》，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。并对不同类型的运营者其上报渠道与时效，均做了明确要求。

（二）“事中” 报告有要求，上下文要能说清写明

《办法》第5、6、7条规定，运营者在报告事件时，需要按照网络安全事件信息报告要求进行上报。

其中特别强调了事件潜在危害、初步原因分析、调查所需线索等信息的填报，并明确要求运营者在最多24h内，提供可能的攻击者信息、攻击路径、存在漏洞等信息。

(三）“运营者”承担主体责任，迟报、漏报、谎报、瞒报将追责



《办法》第8、9、10、11条规定，为运营者提供服务的组织或个人、社会组织和个人、运营者都是上报安全事件的相关方。

其中运营者承担主体责任，未按《办法》规定上报安全事件者将面临一系列法律法规的处罚，涉嫌犯罪可能被追究刑事责任，同时《办法》也规定已按相关程序处置的有关责任人，可视情况免除或从轻追究。

(四）事件调查的挑战凸显，数据、工具、人员要求更高

在网络安全形势越来越严峻的当下，《办法》的出台势在必行，但是在真实对抗环境下，攻击者往往刻意隐藏或者擦除攻击痕迹，给事件调查分析带来了极大挑战。

首先是数据的挑战。数据是调查的基础，在海量的网络数据中有针对性地采集必要数据，尤其在操作系统本身的行为数据，才能在攻击者采用加密流量、清理操作记录等手段最坏情况下，仍然具备还原事件真相的能力。

其次是工具的挑战。工具是调查效率的保障，攻击发生后的12个小时是调查的黄金时间，工具需要能快速调取告警发生前后的上下文，并提供便捷的数据搜索匹配分析能力，同时还要能将数据中的关键证据和线索提取出来，从而将告警、线索、事件形成有机整体。

最后是人员的挑战。经过训练的安全人员，具备清晰的溯源调查思路和深厚的安全领域知识，才能在事件发生后，分析当前事件场景下的各种可能。

青藤从2014年成立以来，对于主机层面的安全事件检测和调查有深厚技术积累。其自主研发的青藤猎鹰产品，可以从系统及内核采集主机关键行为数据，一键对告警前后主机的上下文行为进行线索分析，极大地提高了调查效率，自投入市场以来，在多次国家级攻防演练活动中，发挥了关键作用。

未来，青藤会继续在各类安全事件调查专题领域深耕细作，为更多客户的网络安全保驾护航。

关于作者：

Hunter：青藤全端产品事业部-主机安全事件调查及狩猎专家，云安全一线作战指挥员、战斗员。