新闻中心
NEWS CENTER
落实《关保要求》之“ 如何做好监测预警”
以下文章来源于关键信息基础设施安全保护联盟筹 ,作者郭启全
关键信息基础设施运营者应按照《关键信息基础设施安全保护要求》,落实关键信息基础设施安全保护措施,包括分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节的措施。
监 测 预 警
运营者应建立监测预警制度,采取有效措施,开展网络安全实时监测、通报预警工作。
1 建立监测预警制度
建立并落实常态化的实时监测、通报预警、快速响应机制。按照国家有关事件分类分级标准,明确网络安全事件预警分级准则,确定安全监测策略、监测内容和通报预警流程,明确关键信息基础设施的预警信息响应处置程序,制定不同级别预警的报告、响应和处置流程,对关键信息基础设施的安全风险进行全方位监测预警。建立监测预警制度,应重点关注以下内容。
1. 一是关注国内外及行业关键信息基础设施安全事件、安全漏洞、病毒木马传播、处置方法和发展态势等,并对本行业、本单位关键信息基础设施的安全性进行研判分析,及时发出预警。
2. 二是建立通报预警及协作处置机制。选择可信可靠的企业、研究机构,建立协作配合机制,建立和维护外部合作单位联系列表,明确合作单位名称、合作内容、联系人和联系方式等。
3. 三是建立运营者与外部机构之间、其他运营者之间的合作机制,以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的合作机制;针对保护工作、事件处置、演习演练等事项,定期召开分析研判会议,共同研究重要工作、处置网络安全问题。
4. 四是建立网络安全信息共享机制,畅通信息共享渠道。建立与网络安全职能部门、保护工作部门、相关运营者、研究机构、网络安全服务机构、业界专家之间的沟通渠道,加强信息共享和合作,及时交流漏洞信息、威胁情报信息、工作经验、管理和技术措施等。
2 开展实时监测
运营者应利用多种手段、多种渠道,建设监测系统,组织监测力量,大力加强实时监测,及时发现网络攻击、病毒木马传播、漏洞隐患等风险威胁,为安全防护、应急处置提供保障。开展实时监测,应重点关注以下内容。
1. 一是在互联网出口、内外网连接处、内网重要节点设置监测设备,对全网、重要系统、关键部位进行实时监测。对关键业务涉及的信息系统进行监测。对在具有不同安全保护等级的系统、不同业务系统、不同区域之间的信息流动进行监测。对监测获得的信息采取保护措施,防止其受到非法访问、攻击篡改和破坏。
2. 二是分析网络通信流量或事态的模式,建立常见网络通信流量或事态模型,通过实践检验事态模型的准确性和有效性,逐步增强事态模型的科学性,并依此调整监测设备,提高监测的及时性和准确性,防止发生误报和漏报。
3. 三是利用自动化手段,建立自动化分析机制,对所有监测信息进行汇总整合、分析研判,包括:关联分析不同区域、不同设备的审计日志;关联分析多个信息系统内的多个组件的审计记录;关联分析信息系统审计记录信息与物理访问监控信息;关联分析来自非技术源的信息(例如供应链信息、关键岗位人员信息等)与信息系统审计信息;关联分析来自多个渠道的网络安全共享信息等。通过分析确定网络安全整体态势和局部状况,支撑网络安全保护和事件处置等工作。同时,通过安全态势分析结果,验证安全策略和安全控制措施是否合理有效;否则,应进行调整完善。
3 开展通报预警
运营者应在开展实时监测的基础上,及时对发现的网络攻击、病毒木马传播、漏洞隐患等风险威胁进行通报预警和应急处置。开展通报预警,应重点关注以下内容。
1. 一是依托本单位网络与信息安全信息通报预警机制,在行业和国家网络与信息安全通报机构的支持下,对网络安全共享信息和监测信息、报警信息等进行汇总、分析、研判,及时通报单位内部,并按照有关规定要求报告公安机关和保护工作部门。应根据事件的不同情况,采取不同方式进行通报预警,主要包括基本情况描述、可能产生的危害及程度、可能影响的用户及范围、建议采取的应对措施等。
2. 二是采用自动化的报警方式,建立重点发现可能危害关键业务的监测机制和手段,并能自动化地采取应对措施,不会对关键业务造成破坏或者危害最小。例如,对恶意代码防御机制、入侵检测设备、防火墙等,设置弹出对话框、发出警报声音或者向相关人员发送内部电子邮件等报警方式。对获取的安全预警信息,应按照规定通报给相关人员和相关部门。在预警信息发出后出现新情况的,应向有关人员和组织及时发送最新预警信息。
3. 三是建设通报预警平台,畅通通报预警和接收预警信息的渠道,确保能够持续获取预警发布机构的安全预警信息。组织力量,综合分析、研判相关事件或威胁对关键信息基础设施和关键业务可能造成的危害及危害的严重程度。根据事件类别,适时启动应急预案,采取应急措施对预警进行响应。当安全隐患得以控制或消除时,应执行预警解除流程,解除预警。
杭州中电安科现代科技有限公司
杭州中电安科现代科技有限公司(简称“中电安科”)成立于2016年,是国内领先的工控网络安全产品与解决方案提供商。公司聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,持续深耕电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务,获得了行业用户的广泛认可。自2021年起,公司相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。
专注工控安全
护航关基民生
www.zd-sec.com
400-606-8226
渠道合作:李经理 18505541506
技术咨询:齐经理 15010390956
品牌合作:赵经理 15010923501
相关新闻
版权所有 © 2021 杭州中电安科现代科技有限公司