1小时网络安全事件报告要求，持安零信任如何帮助用户应急响应？

12月8日，国家网信办起草发布了《网络安全事件报告管理办法（征求意见稿）》（以下简称“办法”）。拟规定运营者在发生网络安全事件时应当及时启动应急预案进行处置。

1小时报告

按照《网络安全事件分级指南》，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。

24小时内补报

对于1小时内不能判定事发原因、影响或趋势等的，可先报告，事发单位名称及发生事件的设施、系统、平台的基本情况；以及事件发现或发生时间、地点、事件类型、已造成的影响和危害，已采取的措施及效果。对勒索软件攻击事件，还应当包括要求支付赎金的金额、方式、日期等。

5个工作日全面分析总结

事件处置结束后，运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结，形成报告按照原渠道上报。

因运营者迟报、漏报、谎报或者瞒报网络安全事件，造成重大危害后果的，对运营者及有关责任人依法从重处罚。

网络安全事件拖延时间越长，危害性就会越大，后续的故障恢复以及消除影响等工作也更加困难。因此对于网络安全事件报告的时效性要求非常高。

那么，企业该如何加强自身安全防护能力，防止威胁事件的发生？如何在发生威胁事件的第一时间及时发现与阻断攻击？

持安科技认为，以最佳实践方式落地的零信任，可对《办法》提出了“1小时完成网络安全事件报告”提供全面支撑，企业接入持安零信任产品后，在整体上可使企业应急响应速度提升300%，攻击事件减少99%。

下面我们分别从“事前、事中、事后”的角度来分析，看持安零信任产品，如何在真实的攻防场景中发挥作用。

01

事前：持安应用层零信任可收敛业务暴露面，预防0day等未知威胁的发生

传统的基于边界防护模型加上纵深防护的安全防护理念，在面对新型的大型攻击事件时往往捉襟见肘。

传统的边界防护手段是隔离，但是目前企业业务的开放度和敏捷度要求提高，无法简单粗暴地通过隔离来保证自身的数据安全。

纵深防护常常采取特征对抗的方式，但是这种无法穷尽所有未知漏洞的特征。

那么当业务系统存在一个未知的漏洞，安全系统无法通过特征检测到风险，攻击者一旦接触到业务系统，系统就面临着很大的风险。

持安科技基于应用层的零信任产品，实现零信任与业务的真正打通，从而基于业务系统进行防护，有效提升业务系统的安全性，从根源上减少攻击事件的发生。

1. 收敛暴露面：持安应用层零信任落地后，首先会在网络边界处部署零信任应用网关，基于“先认证、再访问”原则，先将所有的业务系统隐藏在网关之后，有效收缩攻击面。访问者需要先向零信任网关发起请求，由网关代理访问请求，只有经过零信任验证用户、应用、行为皆可信的数据包，才能够正常通过认证体系，从而将不可信的数据包拒之门外。

2. 防御0day等未知威胁：只有经零信任验证可信的数据包才可以接触到业务系统，因此可有效抵御未知人员发起的未知攻击。而未经授权的攻击者试图接触业务系统时，只可以接触到网关的信息，无法接触到企业的业务系统，此时，即使系统内存在0day漏洞，也无法被黑客利用到。此外，持安零信任可对系统内存在的漏洞进行URI级别的精准防护，有效减少未知威胁的发生。

02

事中：持安应用层零信任可快速定位威胁发生位置，基于攻击者的真实身份信息阻断攻击行为

按照《网络安全事件分级指南》，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告，即安全事件满足下列条件之一，即需要1小时之内上报。

《办法》还规定，发生网络安全事件时，运营者已采取合理必要的防护措施，按照本办法规定主动报告，同时按照预案有关程序进行处置、尽最大努力降低事件影响，可视情免除或从轻追究运营者及有关责任人的责任。

持安科技发现，传统的网络安全方案在设计时，为了避免对业务造成影响，会尽量远离业务，但这样做也意味着安全无法及时感知和防护业务风险。

而基于Google Beyondcorp的应用层零信任架构，已在超20万用户的大型集团型企业全面落地，可以在企业内外网中全面部署，无论访问者在企业内部，还是远程办公、出差办公期间，皆可建立基于访问者真实业务身份的，贯穿企业网络、应用、业务、数据的可信链条，只有经决策引擎综合判定可信时，访问方可继续进行。

1. 实时监测预警：零信任理念下，每当用户发起一个访问行为，决策引擎都会综合访问者的身份、行为、设备、上下文进行实时监测与验证，且当访问者访问敏感数据，系统会开启加强认证。一旦发现访问者有数据窃取、数据异常下载等异常行为立刻响应上报，并快速定位其身份信息，有助于企业快速、主动发现网络攻击和异常行为并快速响应，帮助企业实现《办法》提出的“ 及时启动应急预案进行处置”。

2. 控制横向移动：零信任对每次访问都进行身份验证和访问控制，因此即使攻击者使用多种手段进入了企业内部系统，也会因为后续的行为不可信而被阻止，无法快速横向移动，提高攻击难度，控制威胁影响面。

03

事后：持安应用层零信任可全链路审计溯源，精准记录“什么人，在什么时间什么位置，访问了哪些数据”

运营者在发生网络安全事件时，应当及时启动应急预案进行处置。按照《网络安全事件分级指南》，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。

报告内容除应包含事发单位名称及发生事件的设施、系统、平台的基本情况外，还应包含 ： 事件发现或发生时间、地点、事件类型、已造成的影响和危害 ，已采取的措施及效果等，具体要求如下图。

《办法》提到企业需在事件发生的24小时内补报及5个工作日全面分析总结。运营者未按照本办法规定报告网络安全事件的，网信部门按照有关法律、行政法规的规定进行处罚。

1. 基于身份的精准溯源：持安科技的零信任产品提供身份化审计能力，为访问者的每一次访问行为打上身份标签，而不仅仅是记录其IP地址，有助于分析安全事件的原因和过程，为网络安全事件的分析与报告提供事实证据。

2. 深度记录敏感数据流动全过程：对企业内部的数据进行分类和标记，并对其施行实时监测，精准记录“谁”，在什么时间，什么位置，通过什么设备，访问了哪些系统，在系统中敏感数据做了哪些操作。一比一还原攻击路径，有助于事后的审查与追踪，以及对安全事件的调查和应对。

持安科技

8年甲方零信任落地经验

持安科技团队成员来自国内大型甲方安全团队，拥有20年甲方安全建设经验，8年甲方零信任实践落地经验，持安科技的核心产品持安远望办公安全平台，可以最佳实践的方式在企业内外网全面落地，在面对真实的攻防场景时，持安零信任产品可以防御0day等未知威胁的发生，从根源上减少攻击事件的发生。一旦发生威胁事件，持安零信任可第一时间基于身份对其访问行为进行阻断与上报，事后对其攻击路径进行基于身份的全链路的审计与溯源，帮助企业实现《网络安全事件报告管理办法（征求意见稿）》的“1小时上报”。

持安零信任产品已得到众多行业头部客户的认可。持安零信任产品支持全网、全行业覆盖，在互联网、金融、能源、科技、高端制造、游戏、新零售等领域落地，产品在某大型互联网甲方连续5年无间断运行，单一客户接入规模超20万，总接入用户数超100万+，接入业务系统20000+。