导语:依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《网络安全事件报告管理办法(征求意见稿)》。
为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《网络安全事件报告管理办法(征求意见稿)》(下文简称为《办法》)。
《办法》重点强调了机构遭遇攻击后的上报责任,迟报、瞒报网络安全事件致重大危害的,从重处罚!《办法》第四条 运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。小编已基于《网络安全事件分级指南》对较大网络安全事件分级依据进行初步拆解,详情如图。
对于运营商、能源等关乎民生且拥有大量重要数据、个人信息数据的企业而言,网络安全格外重要。一旦App未采取有效加固措施、企业仅采用传统的WAF,极易被攻破后盗取数据、影响用户使用、整体中断服务,极可能出现较大及以上网络安全事件,导致相关负责人有可能被问责。
企业须及时提高网络安全能力,降低出现网络安全事件的风险。
《办法》第四条 为不同身份的运营者规定了不同的报告路径,详情见图。
《办法》第五条、第六条对于需报告的内容进行了极为详细的要求,并要求在报告后出现新的重要情况或调查取得阶段性进展,相关单位应当及时报告。
RASP技术在检测到安全攻击时,可将详细的攻击参数记录下来,协助企业遵循《办法》第五条、第六条要求进行申报,企业可在传统的WAF外,部署RASP产品提高安全性与攻击的感知能力。
乙方及个人的提醒义务
《办法》第八条提出“为运营者提供服务的组织或个人发现运营者发生较大、重大或特别重大网络安全事件时,应当提醒运营者按照本办法规定报告事件,运营者有意隐瞒或拒不报告的,可向属地网信部门或国家网信部门报告。”《办法》第九条提出“鼓励社会组织和个人向网信部门报告较大、重大或特别重大网络安全事件。”是否会有相应鼓励措施可关注网信部门后续文件。这两条法规是网信办为督促运营者主动上报、避免出现瞒报、迟报问题所设定,为乙方和个人赋予提醒和直接报告的权利与义务。
责任追究和豁免制度
《办法》第十条、第十一条详细说明了责任追究制度,处罚包含行政处罚与刑事处罚,对于严格遵守《办法》的运营人则可免除或从轻追究责任。
爱加密通过多年的技术积累,不断研发迭代出各类移动应用安全加固技术,加固后保证安全性的同时兼顾了性能,解决了移动应用本身存在的脆弱性问题,能有效防止移动应用被破解和篡改,降低运营商、能源等重要行业出现较大、重大、特别重大网络安全事件的风险,减少因违反《办法》导致主管人员被追责的概率。移动应用安全加固技术可应用到主流的Android、iOS、鸿蒙等移动应用以及常见脚本语言和小程序,为用户提供全面的移动应用加固和攻击防护解决方案。
RASP技术作为一种新型Web防护手段,基于Web应用逻辑、行为和上下文实现代码级的安全检测。爱加密在RASP技术原理的基础上,结合自身的算法及技术,研发出基于运行时情境感知技术的新一代应用威胁免疫平台—爱加密RASP自免疫平台,拥有实时的检测与阻断能力,可协助企业遵循《办法》第五条、第六条进行申报。
通过AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,通过对访问应用系统的每一段代码进行检测,实时检测所有的应用请求并有效阻断安全攻击,最终实现应用系统的自我保护,让业务应用出厂默认安全免疫迎来革新发展。
如若转载,请注明原文地址