杜絕七級及以上網路安全事件

A. 2021網路安全應急預案範文（2篇）

隨著時代的發展，人們對自己的信息安全也原來越重視，害怕被大數據監視。你知道怎麼制定信息安全的應急預案呢？接下來是我給大家提供的網路安全應急預案範文兩篇，提供參考，歡迎你的參閱。

網路安全應急方案1

為確保校園網安全有序平穩運行，保證校園網路信息安全和網路安全，更好的服務於學校的教育教學，為及時處置校園網信息網路安全事件，保障校園網作用的正常發揮，特製定本預案。

一、信息網路安全事件定義

1、校園網內網站主頁被惡意纂改、互動式欄目里發表反政府、分裂國家和色情內容的信息及損害國家、學校聲譽的謠言。

2、校園網內網路被非法入侵，應用計算機上的數據被非法拷貝、修改、刪除。

3、在網站上發布的內容違反國家的法律法規、侵犯知識版權，已經造成嚴重後果。

二、網路安全事件應急處理機構及職責

1、設立信息網路安全事件應急處理領導小組，負責信息網路安全事件的組織指揮和應急處置工作。

2、學校網格安全領導小組職責任務

(1)、監督檢查各教研組處室網路信息安全措施的落實情況。

(2)、加強網上信息監控巡查，重點監控可能出現有害信息的網站、網頁。

(3)、及時組織有關部門和專業技術人員對校園網上出現的突發事件進行處理並根據情況的嚴重程度上報有關部門。

(4)、與市公安局網路安全監察部門保持熱線聯系，協調市公安局網監處安裝網路信息監控軟體，並保存相關資料日誌在三個月以上。確保反應迅速，做好有關案件的調查、取證等工作。

三、網路安全事件報告與處置

事件發生並得到確認後，網路中心或相關科室人員應立即將情況報告有關領導，由領導(組長)決定是否啟動該預案，一旦啟動該預案胡塌，有關人員應及時到位。

網路中心在事件發生後24小時內寫出事件書面報告。報告應包括以下內容：事件發生時間、地點、單位、事件內容，涉及計算機的IP地址、管理人、操作系統、應用服務，損失，事件性質及發生原因，事件處理情況及採取的措施;事故報告人、報告時間等。

學校網格安全領導小組成員承擔校內外的工作聯系，防止事態通過網路在國內蔓延。

網路中心人員進入應急處置工作狀態，阻斷網路連接，進行現場保護，協助調查取證和系統恢復等工作。對相關事件進行跟蹤，密切關注事件動向，協助調查取證。

有關違法事件移交公安機關處理。

四、一般性安全隱患處理：

學校網路信息中心配備了正版-防火牆軟體和瑞星防病毒軟體，及時升級，及時清除殺滅網路病毒，檢測入侵事件，將向管理員發出警報，管理員將在第一時間處理入侵事件，並報有關部門。對來往電子郵件及網路下載文件用防病毒軟體軟體過濾，確保不被木馬類病毒侵入並在無意中協助傳播病毒。

管理員對定期檢查設備的運轉情況，做好設備維護記錄，保證設備高效穩定的運行。學校重要計算機出現硬體設備故障，管理員將在第一時間啟用數據備份慶做激，保證數據不丟失，保證網路的正常運行。

網路安全應急方案2

根據新區教體委的要求，為確保發生網路安全問題時各項應急工作高效、有序地進行，最大限度地減少損失，根據互聯網網路安全相關條例及上級相關部門文件精神，結合我校校園網工作實際，特製定本預案。

一、成立安全應急領導小組

學校全體行政人員及全體網路管理員組成網路安全應急領導小組。

領導小組成員：

組長：

副組長：

成員：

責任人：學校領導電腦老師網路管理員

領導小組主要職責：

（1）加強領導，健全組織，強化工作職責，完善各項應急預案的譽襪制定和各項措施的落實。

（2）充分利用各種渠道進行網路安全知識的宣傳教育，組織、指導全校網路安全常識的普及教育，廣泛開展網路安全和有關技能訓練，不斷提高廣大師生的防範意識和基本技能。

（3）認真搞好各項物資保障，嚴格按照預案要求積極配備網路安全設施設備，落實網路線路、交換設備、網路安全設備等物資，強化管理，使之保持良好工作狀態。

（4）採取一切必要手段，組織各方面力量全面進行網路安全事故處理工作，把不良影響與損失降到最低點。

（5）調動一切積極因素，全面保證和促進學校網路安全穩定地運行。

二、各級處理預案

1、網站不良信息事故處理預案

（1）一旦發現學校網站上出現不良信息（或者被駭客攻擊修改了網頁），立刻關閉網站。

（2）備份不良信息出現的目錄、備份不良信息出現時間前後一個星期內的HTTP連接日誌、備份防火牆中不良信息出現時間前後一個星期內的網路連接日誌。

（3）列印不良信息頁面留存。

（4）完全隔離出現不良信息的目錄，使其不能再被訪問。

（5）刪除不良信息，並清查整個網站所有內容，確保沒有任何不良信息，重新開通網站服務，並測試網站運行。

（6）修改該目錄名，對該目錄進行安全性檢測，升級安全級別，升級程序，去除不安全隱患，關閉不安全欄目，重新開放該目錄的網路連接，並進行測試，正常後，重新修改該目錄的上級鏈接。

（7）全面查對HTTP日誌，防火牆網路連接日誌，確定該不良信息的源IP地址，如果來自校內，則立刻全面升級此次事件為最高緊急事件，立刻向領導小組組長匯報，視情節嚴重程度領導小組可決定是否向公安機關報案。

（8）從事故一發生到處理事件的整個過程，必須保持向領導小組組長匯報、解釋此次事故的發生情況、發生原因、處理過程。

2、網路惡意攻擊事故處理預案

（1）發現出現網路惡意攻擊，立刻確定該攻擊來自校內還是校外；受攻擊的設備有哪些；影響范圍有多大。並迅速推斷出此次攻擊的最壞結果，判斷是否需要緊急切斷校園網的伺服器及公網的網路連接，以保護重要數據及信息；

（2）如果攻擊來自校外，立刻從防火牆中查出[！。。RandomWord。2。。]對方IP地址並過濾，同時對防火牆設置對此類攻擊的過濾，並視情況嚴重程度決定是否報警。

（3）如果攻擊來自校內，立刻確定攻擊源，查出該攻擊出自哪台交換機，出自哪台電腦，出自哪位教師或學生。接著立刻趕到現場，關閉該計算機網路連接，並立刻對該計算機進行分析處理，確定攻擊出於無意、有意還是被利用。暫時扣留該電腦。

（4）重新啟動該電腦所連接的網路設備，直至完全恢復網路通信。

（5）對該電腦進行分析，清除所有病毒、惡意程序、木馬程序以及垃圾文件，測試運行該電腦5小時以上，並同時進行監控，無問題後歸還該電腦。

（6）從事故一發生到處理事件的整個過程，必須保持向領導小組組長匯報、解釋此次事故的發生情況、發生原因、處理過程。

3、學校重大網路事件處理預案

（1）對學校重大事件（如校慶、評估等對網路安全有特別要求的事件）進行評估、確定所需的網路設備及環境。

（2）關閉其它與該網路相連，有可能對該網路造成不利影響的一切網路設備及計算機設備，保障該網路的暢通。

（3）對重要網路設備提供備份，出現問題需盡快更換設備。

（4）對外網連接進行監控，清除非法連接，出現重大問題立刻向上級部門求救。

（5）事先應向領導小組匯報本次事件中所需用到的設備、環境，以及可能出現的事故及影響，在事件過程中出現任何問題應立刻向領導小組組長匯報。

三、日常管理

1、領導小組依法發布有關消息和警報，全面組織各項網路安全防禦、處理工作。各有關組員隨時准備執行應急任務。

2、網路管理員對校園內外所屬網路硬體軟體設備及接入網路的計算機設備定期進行全面檢查，封堵、更新有安全隱患的設備及網路環境。

3、加強對校園網內計算機設備的管理，加強對學校網路的使用者（學生和教師）的網路安全教育。加強對重要網路設備的軟體防護以及硬體防護，確保正常的運行軟體硬體環境。

4、加強各類值班值勤，保持通訊暢通，及時掌握學校情況，全力維護正常教學、工作和生活秩序。

5、按預案落實各項物資准備。

四、網路安全事故發生後有關行動

1、領導小組得悉消防緊急情況後立即趕赴本級指揮所，各種網路安全事故處理小組迅速集結待命。

2、應急小組成員聽從組織指揮，迅速組織本級搶險防護。

（1）確保WEB網站信息安全為首要任務，學校公網連接。迅速發出緊急警報，所有相關成員集中進行事故分析，確定處理方案。

（2）確保校內其它接入設備的信息安全：經過分析，可以迅速關閉、切斷其他接入設備的所有網路連接，防止滋生其他接入設備的安全事故。

（3）分析網路，確定事故源：使用各種網路管理工具，迅速確定事故源，按相關程序進行處理。

（4）事故源處理完成後，逐步恢復網路運行，監控事故源是否仍然存在。

（5）針對此次事故，進一步確定相關安全措施、總結經驗，加強防範。

（6）從事故一發生到處理的整個過程，必須及時向領導小組組長以及教務處以及校長匯報，聽從安排，注意做好保密工作。

3、積極做好廣大師生的思想宣傳教育工作，迅速恢復正常秩序，全力維護校園網安全穩定。

4、迅速了解和掌握事故情況，及時匯總上報。

5、事後迅速查清事件發生原因，查明責任人，並報領導小組根據責任情況進行處理。

五、其他

1、在應急行動中，學校各部門要密切配合，服從指揮，確保政令暢通和各項工作的落實。

2、各部門應根據本預案，結合本部門實際情況，認真制定本部門的應急預案，並切實落實各項組織措施。

B. 網路安全預警分為幾級

網路安全預警分為幾級如下 :

網路安全事件分為四級：特別重大網路安全事件、重大網路安全事件、較大網路安宏知汪全事件、一般網路安全事件。

中華人民共和國人民警察法》第六條第十二款規定，人民警察履行「監督管理計算機信息系統的安全保護工作」的職責。

1994年《中華人民共和國計算機信息系統安全保護條例》（國務院令第147號）第九條明確規定，「計算機信息系統實行安全等級保護，安全等級的劃分標准和安全等級保護的具體辦法，由公安部會同有猛游關部門制定」。

2008年國務院「三定」方案，賦予公安部「監督、檢查、指導信息安全等級保護工作」法定職責

C. 國家實行網路安全什麼制度

國家實行網路安全等級保護制度。
網路安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公信息和存儲、傳輸、處理這些信息的網路資源及功能組件分等級實行安全保護，對網路中使用的安全技術和管理制度實行按等級管理，對網路中發生的信息安全事件分等級響應、處置。
隨著時間流逝，等級保護制度也在逐漸發展，其對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標准進行了進一步修訂和完善，以滿足了新形勢下等級保護工作的需要。《中華人民共和國網路安全法》已由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過，自2017年6月1日起施行。
一、《網路安全法》對我國互聯網影響如下：
1、等級保護制度越來越重要
現如今，諸如門戶網站等直接暴露在互聯網上的網站主要是公司和單位宣傳、辦事的窗口，內部系統種類繁多，而且多半涉及公民的隱私、敏感信息，或者涉及金融、財務等重要業務。而這些網站和系統往往缺乏基礎安全防護，容易導致網站和系統被黑客針對性攻擊、惡意入侵，導致系統被篡改或造成數據泄露。在公安部的主導下，多年以來開展的信息安全等級保護測評工作已經取得顯著成效，開展等級保護測評、安全建設整改的系統越來越多，網路安全整體情況有了一定提升。
2、關鍵信息基礎設施實行重點保護
現階段，關鍵基礎設施、重點行業信息系統、國家社會層面的重大活動、政府機構的敏感信息，都屬於高級持續性威脅攻擊（APT）的主要目標。
3、網路產品、安全產品和服務規范化，符合國家標准
現階段，網路產品、安全產品和網路相關的服務，存在一些不符合國家標準的情況，存在一定的安全隱患。《網路安全法》中明確網路產品、服務應當符合相關國家標準的強制性要求。網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求。在信息化建設過程中，在網路產品采購，尤其是網路關鍵設備、網路安全專用產品等的采購，必須特別關注相關銷售產品是否符合國家標准，是否具有銷售許可，是否由具備資格的機構安全認證合格或者安全檢測符合要求；所選擇的網路服務、安全服務必須有相應符合國家標準的資質。
4、網信部門統籌協調安全監測預警和信息通報、應急處置等工作
以前，公安部、密碼局、銀監會、衛計委、互聯網應急中心等對各行業的網路安全保障工作基本上處於各自為政，缺乏必要的互相溝通。隨著《網路安全法》的出台，明確了國家網信部門負責統籌協調網路安全工作和相關監督管理工作，明確了網信部門與其他相關網路監管部門的職責分工。
5、關注網路信息安全
《網路安全法》第四章「網路信息安全」著重闡述了個人信息保護的基本原則和要求，相當於一部小型的個人信息保護法，明確網路運營者建立健全用戶信息保護制度，對網路信息安全、個人信息保護的內容進行了規范。
二、網路安全主要有系統安全、網路的安全、信息傳播安全、信息內容安全。具體如下：
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全，側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻，產生信息泄露，干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全，包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。
3、信息傳播安全
網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
三、維護網路安全的工具
網路上信息內容的安全側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
維護網路安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。
1、Internet防火牆
它能增強機構內部網路的安全性。Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時，內部網路上的每個節點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定，並且安全性等同於其中最弱的系統。
2、VIEID
在這個網路生態系統內，每個網路用戶都可以相互信任彼此的身份，網路用戶也可以自主選擇是否擁有電子標志。除了能夠增加網路安全，電子標志還可以讓網路用戶通過創建和應用更多可信的虛擬身份，讓網路用戶少記甚至完全不用去記那些煩人的密碼。
3、數字證書
CA中心採用的是以數字加密技術為核心的數字證書認證技術，通過數字證書，CA中心可以對互聯網上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理，同時也能保障在數字傳輸的過程中不被不法分子所侵入，或者即使受到侵入也無法查看其中的內容。
法律依據
《網路安全法》
第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
（四）採取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務。

D. 根據網路安全法的規定國家實行網路安全什麼保護制度

【法律分析】
根據網路安全法的規定國家實行網路安全等級保護制度
根據2017年6月1日起施行《中華人民共和國網路安全法》的規定，等級保護是我國信息安全保障的基本制度。
網路安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公信息和存儲、傳輸、處理這些信息的網路資源及功能組件分等級實行安全保護，對網路中使用的安全技術和管理制度實行按等級管理，對網路中發生的信息安全事件分等級響應、處置。
等級保護制度也在逐漸發展，它對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標准進行修訂和完善，以滿足新形勢下等級保護工作的需要。
【法律依據】
《網路安全法》第二十一條：國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
（四）採取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務。
《網路安全法》第三十一條：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。

E. 要按照國家網路安全等級保護制度的要求

國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改。
一、網路安全事件分為四級
1特別重大網路安全事件(I級,紅色預警)、2重大網路安全事件(II級,橙色預警)、3較大網路安全事件(III級,黃色預警)、4一般網路安全事件(IV級,藍色預警)。
二、我國網路安全等級保護制度的內容:
1、制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任;
2、採取防範危害網路安全行為的技術措施;
3、配備相應的硬體和軟體檢測、記錄網路運行狀態、網路安全事件，按照規定留存相關網路日誌; 採取數據分類、重要數據備份和加密等措施
三、網路安全取決於:
1、網路設備的硬體安全
2、軟體和信息安全
3、設備的訪問控制
法律依據：
《中華人民共和國網路安全法》
第三條
國家堅持網路安全與信息化發展並重，遵循積極利用、科學發展、依法管理、確保安全的方針，推進網路基礎設施建設和互聯互通，鼓勵網路技術創新和應用，支持培養網路安全人才，建立健全網路安全保障體系，提高網路安全保護能力。

F. 關於電信網路關鍵信息基礎設施保護的思考

文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天

根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中，電信網路自身是關鍵信息基礎設施，同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務，在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施，做好電信網路關鍵信息基礎設施的安全保護尤為重要。

一、電信網路關鍵信息基礎設施的范圍

依據《關鍵信息基礎設施安全保護條例》第 9條，應由通信行業主管部門結合本行業、本領域實際，制定電信行業關鍵信息基礎設施的認定規則。

不同於其他行業的關鍵信息基礎設施，承載話音、數據、消息的電信網路（以 CT 系統為主）與絕大多數其他行業的關鍵信息基礎設施（以 IT 系統為主）不同，電信網路要復雜得多。電信網路會涉及移動接入網路（2G/3G/4G/5G）、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路，任何一個網路被攻擊，都會對承載在電信網上的話音或數據業務造成影響。

在電信行業關鍵信息基礎設施認定方面，美國的《國家關鍵功能集》可以借鑒。2019 年 4 月，美國國土安全部下屬的國家網路安全和基礎設施安全局（CISA）國家風險管理中心發布了《國家關鍵功能集》，將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式，電信網路屬於連接類。

除了上述電信網路和服務外，支撐網路運營的大量 IT 支撐系統，如業務支撐系統（BSS）、網管支撐系統（OSS），也非常重要，應考慮納入關鍵信息基礎設施范圍。例如，網管系統由於管理著電信網路的網元設備，一旦被入侵，通過網管系統可以控制核心網路，造成網路癱瘓；業務支撐系統（計費）支撐了電信網路運營，保存了用戶數據，一旦被入侵，可能造成用戶敏感信息泄露。

二、電信網路關鍵信息基礎設施的保護目標和方法

電信網路是數字化浪潮的關鍵基礎設施，扮演非常重要的角色，關系國計民生。各國政府高度重視關鍵基礎設施安全保護，紛紛明確關鍵信息基礎設施的保護目標。

2007 年，美國國土安全部（DHS）發布《國土安全國家戰略》，首次指出面對不確定性的挑戰，需要保證國家基礎設施的韌性。2013 年 2 月，奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》，其首要策略是改善關鍵基礎設施的安全和韌性，並要求美國國家標准與技術研究院（NIST）制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》（CSF）提出，關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節，建立網路安全框架，管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求，定義了 IPDRR能力框架模型，並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別（Identify）、安全防禦（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力，是這五個能力的首字母。2018 年 5 月，DHS 發布《網路安全戰略》，將「通過加強政府網路和關鍵基礎設施的安全性和韌性，提高國家網路安全風險管理水平」作為核心目標。

2009 年 3 月，歐盟委員會通過法案，要求保護歐洲網路安全和韌性；2016 年 6 月，歐盟議會發布「歐盟網路和信息系統安全指令」（NISDIRECTIVE），牽引歐盟各國關鍵基礎設施國家戰略設計和立法；歐盟成員國以 NIS DIRECTIVE為基礎，參考歐盟網路安全局（ENISA）的建議開發國家網路安全戰略。2016 年，ENISA 承接 NISDIRECTIVE，面向數字服務提供商（DSP）發布安全技術指南，定義 27 個安全技術目標（SO），該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配，關鍵基礎設施的網路韌性成為重要要求。

借鑒國際實踐，我國電信網路關鍵信息基礎設施安全保護的核心目標應該是：保證網路的可用性，確保網路不癱瘓，在受到網路攻擊時，能發現和阻斷攻擊、快速恢復網路服務，實現網路高韌性；同時提升電信網路安全風險管理水平，確保網路數據和用戶數據安全。

我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定：國家對關鍵信息基礎設施實行重點保護，在網路安全等級保護的基礎上，採取技術保護措施和其他必要措施，應對網路安全事件，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出，要著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度。

參考 IPDRR 能力框架模型，建立電信網路的資產風險識別（I）、安全防護（P）、安全檢測（D）、安全事件響應和處置（R）和在受攻擊後的恢復（R）能力，應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF，開展電信網路安全保護，可按照七個步驟開展。一是確定優先順序和范圍，確定電信網路單元的保護目標和優先順序。二是定位，明確需要納入關基保護的相關系統和資產，識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀，創建當前的安全輪廓。四是評估風險，依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時，需要分析運營環境，判斷是否有網路安全事件發生，並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距，通過分析這些差距，對其進行優先順序排序，然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃，決定應該執行哪些行動以消除差距。

三、電信網路關鍵信息基礎設施的安全風險評估

做好電信網路的安全保護，首先要全面識別電信網路所包含的資產及其面臨的安全風險，根據風險制定相應的風險消減方案和保護方案。

1. 對不同的電信網路應分別進行安全風險評估

不同電信網路的結構、功能、採用的技術差異很大，面臨的安全風險也不一樣。例如，光傳送網與 5G 核心網（5G Core）所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備，轉發用戶面數據流量，設備分散部署，從用戶面很難攻擊到傳送網設備，面臨的安全風險主要來自管理面；而5G 核心網是 5G 網路的神經中樞，在雲化基礎設施上集中部署，由於 5G 網路能力開放，不僅有來自管理面的風險，也有來自互聯網的風險，一旦被滲透攻擊，影響面極大。再如，5G 無線接入網（5GRAN）和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面，從現網運維實踐來看，RAN 被滲透的攻擊的案例極其罕見，風險相對較小。5G Core 的雲化、IT 化、服務化（SBA）架構，傳統的 IT 系統的風險也引入到電信網路；網路能力開放、用戶埠功能（UPF）下沉到邊緣等，導致介面增多，暴露面擴大，因此，5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後，運營商應按照不同的網路單元，全面做好每個網路單元的安全風險評估。

2. 做好電信網路三個平面的安全風險評估

電信網路分為三個平面：控制面、管理面和用戶面，對電信網路的安全風險評估，應從三個平面分別入手，分析可能存在的安全風險。

控制面網元之間的通信依賴信令協議，信令協議也存在安全風險。以七號信令（SS7）為例，全球移動通信系統協會（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽；如果信令網關解析信令有問題，外部攻擊者可以直接中斷關鍵核心網元。例如，5G 的 UPF 下沉到邊緣園區後，由於 UPF 所處的物理環境不可控，若 UPF 被滲透，則存在通過UPF 的 N4 口攻擊核心網的風險。

電信網路的管理面風險在三個平面中的風險是最高的。例如，歐盟將 5G 管理面管理和編排（MANO）風險列為最高等級。全球電信網路安全事件顯示，電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案（4A）、堡壘機、安全運營系統（SOC）、多因素認證等安全防護措施，但是，在通信網安全防護檢查中，經常會發現管理面安全域劃分不合理、管控策略不嚴，安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象，導致管理面的系統容易被滲透。

電信網路的用戶面傳輸用戶通信數據，電信網元一般只轉發用戶面通信內容，不解析、不存儲用戶數據，在做好終端和互聯網介面防護的情況下，安全風險相對可控。用戶面主要存在的安全風險包括：用戶面信息若未加密，在網路傳輸過程中可能被竊聽；海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊（DDoS）；用戶面傳輸的內容可能存在惡意信息，例如惡意軟體、電信詐騙信息等；電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。

3. 做好內外部介面的安全風險評估

在開展電信網路安全風險評估時，應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險，尤其是重點做好外部介面風險評估。以 5G 核心網為例，5G 核心網存在如下外部介面：與 UE 之間的 N1 介面，與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等，還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域，存在不同風險。根據3GPP 協議標準定義，在 5G 非獨立組網（NSA）中，當用戶漫遊到其他網路時，該用戶的鑒權、認證、位置登記，需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通，需要經過公網傳輸。因此，這些漫遊介面均為可訪問的公網介面，而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。

4. 做好虛擬化/容器環境的安全風險評估

移動核心網已經雲化，雲化架構相比傳統架構，引入了通用硬體，將網路功能運行在虛擬環境/容器環境中，為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難，並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化（NFV）環境面臨傳統網路未遇到過的新的安全威脅，包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括：通過虛擬網路竊聽或篡改應用層通信內容，攻擊虛擬存儲，非法訪問應用層的用戶數據，篡改鏡像，虛擬機（VM）之間攻擊、通過網路功能虛擬化基礎設施（NFVI）非法攻擊 VM，導致業務不可用等。

5. 做好暴露面資產的安全風險評估

電信網路規模大，涉及的網元多，但是，哪些是互聯網暴露面資產，應首先做好梳理。例如，5G網路中，5G 基站（gNB）、UPF、安全電子支付協議（SEPP）、應用功能（AF）、網路開放功能（NEF）等網元存在與非可信域設備之間的介面，應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口，因此，需重點做好暴露面資產的風險評估和安全加固。

四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議

參考國際上通行的 IPDRR 方法，運營商應根據場景化安全風險，按照事前、事中、事後三個階段，構建電信網路安全防護能力，實現網路高韌性、數據高安全性。

1. 構建電信網路資產、風險識別能力

建設電信網路資產風險管理系統，統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本，定期開展資產和風險掃描，實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元，例如，MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄（AD）域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵，對電信網路的影響極大，因此，應做好對安全關鍵功能設備資產的識別和並加強技術管控。

2. 建立網路縱深安全防護體系

一是通過劃分網路安全域，實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域；管理面的網路管理安全域（NMS），其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區；對外暴露的網元（如 5G 的 NEF、UPF）等放在半信任區，核心網控制類網元如接入和移動管理功能（AMF）等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器（HSS）、統一數據管理（UDM）等放在信任區進行保護，並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護，包括互聯網邊界、承載網邊界，基於對邊界的安全風險分析，構建不同的防護方案，部署防火牆、入侵防禦系統（IPS）、抗DDoS 攻擊、信令防護、全流量監測（NTA）等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心（VDC）/虛擬私有網路（VPC）隔離，例如通過防火牆（Firewall）可限制大部分非法的網路訪問，IPS 可以基於流量分析發現網路攻擊行為並進行阻斷，VDC 可以實現雲內物理資源級別的隔離，VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內，採用虛擬區域網（VLAN）、微分段、VPC 隔離，實現網元訪問許可權最小化控制，防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單，在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。

3. 構建全面威脅監測能力

在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力，通過部署深度報文檢測（DPI）類設備，基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力，構建操作系統（OS）入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式，構建全面威脅安全態勢感知平台，及時發現各類安全威脅、安全事件和異常行為。

4. 加強電信網路管理面安全風險管控

管理面的風險最高，應重點防護。針對電信網路管理面的風險，應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等，防止越權訪問，防止從管理面入侵電信網路，保護用戶數據安全。

5. 構建智能化、自動化的安全事件響應和恢復能力

在網路級縱深安全防護體系基礎上，建立安全運營管控平台，對邊界防護、域間防護、訪問控制列表（ACL）、微分段、VPC 等安全訪問控制策略實施統一編排，基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析，及時發現入侵行為，並能對攻擊行為自動化響應。

（本文刊登於《中國信息安全》雜志2021年第11期）

G. 關鍵信息基礎設施安全保護條例

第一章總則第一條為了保障關鍵信息基礎設施安全，維護網路安全，根據《中華人民共和國網路安全法》，制定本條例。第二條本條例所稱關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。第三條在國家網信部門統籌協調下，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。

省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。第四條關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護，強化和落實關鍵信息基礎設施運營者（以下簡稱運營者）主體責任，充分發揮政府及社會各方面的作用，共同保護關鍵信息基礎設施安全。第五條國家對關鍵信息基礎設施實行重點保護，採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。

任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動，不得危害關鍵信息基礎設施安全。第六條運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求，在網路安全等級保護的基礎上，採取技術保護措施和其他必要措施，應對網路安全事件，防範網路攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。第七條對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人，按照國家有關規定給予表彰。第二章關鍵信息基礎設施認定第八條本條例第二條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門（以下簡稱保護工作部門）。第九條保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，並報國務院公安部門備案。

制定認定規則應當主要考慮下列因素：

（一）網路設施、信息系統等對於本行業、本領域關鍵核心業務的重要程度；

（二）網路設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度；

（三）對其他行業和領域的關聯性影響。第十條保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，並通報國務院公安部門。第十一條關鍵信息基礎設施發生較大變化，可能影響其認定結果的，運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月內完成重新認定，將認定結果通知運營者，並通報國務院公安部門。第三章運營者責任義務第十二條安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。第十三條運營者應當建立健全網路安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網路安全事件處置工作，組織研究解決重大網路安全問題。第十四條運營者應當設置專門安全管理機構，並對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時，公安機關、國家安全機關應當予以協助。第十五條專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作，履行下列職責：

（一）建立健全網路安全管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃；

（二）組織推動網路安全防護能力建設，開展網路安全監測、檢測和風險評估；

（三）按照國家及行業網路安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置網路安全事件；

（四）認定網路安全關鍵崗位，組織開展網路安全工作考核，提出獎勵和懲處建議；

（五）組織網路安全教育、培訓；

（六）履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度；

（七）對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

（八）按照規定報告網路安全事件和重要事項。

H. 網路安全等級保護條例

網路安全等級保護分為五個級別：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

證書案例