1、前言
2、“监测预警”活动建设
2.1
制度
监测预警制度部分建设的关键词是“常态化”、“协作处置”、“信息共享”。
落实常态化监测预警、快速响应机制。面对复杂多变,不断升级的威胁形势,关键信息基础设施运营者应完善网络安全监测预警、信息通报和响应处置制度,内容涵盖预警分级标准、监测策略、监测内容、预警信息报告和响应处置程序等;其次要通过各级监管部门、保护工作部门、权威安全机构等渠道关注国内外安全事件、安全漏洞、发展趋势,在发生安全事件后按照监测预警制度有效落实预警处置工作。
建立网络安全通报预警协作处置机制。关键信息基础设施运营者除了依托自身的管理和技术能力处置安全威胁外,需要与外部组织以及运营者内部其他部门建立沟通和合作机制,维护外联单位联系列表,定期召开协调会议,共同研判,协作处置网络安全问题。
建立网络安全信息共享机制。面对全球化的网络安全威胁,攻强守弱不对等的局势,关键信息基础设施运营者需要建立起更强大的威胁情报中心,建立与监管部门、保护工作部门、供应商、业界专家及安全组织机构的信息共享和沟通合作制度,共享信息包含漏洞信息、威胁信息、最佳实践、前沿技术等;建立信息共享和沟通合作的过程文档,有效落实上述信息共享和沟通合作制度。
2.2
监测
监测部分建设的关键词是“攻击监测”、“联动处置”、“安全态势”。
网络关键节点部署攻击检测设备。监测部分内容要求能够监测发现网络攻击、异常行为和未知威胁,且能够基于通信流量或事态模型实现异常行为监测,并做到对监测模型参数的动态调整。
多级联动处置的动态感知能力。对于关键信息基础设施的运营者,若为跨组织、跨地域建设时,要具备动态感知技术能力(集中统一指挥、多点监测、多级联动处置)。
整体网络安全态势关联分析。本部分强调关键信息基础设施的运营者要具备基于大数据和人工智能技术的多维度关联分析能力,从海量监测数据中挖掘形成有价值的安全态势及情报,并能基于态势分析结果和监测结果实现安全措施的动态更新。
2.3
预警
预警部分建设的关键词是“预警防御联动”、“持续响应机制”。
预警与防御的联动机制。关键信息基础设施运营者应具备网络攻击预警与防御之间的联动机制,发生入侵行为时报警方式要及时有效(如安全设备具备弹窗、声音、邮件告警等方式),并可按照业务影响最小原则进行自动化拦截。
预警信息持续响应机制。关键信息基础设施运营者需要建立接收内外部门、国家有关部门等不同发布预警信息的渠道,具备持续分析研判预警信息的处理流程(研判及时性、研判准确性、研判结果处理方式、预警效果等),并能保证预警信息响应机制的有效落实(响应过程、预警解除过程应及时、合理、有效)。
3、 总结
最后,我们通过三句话对关键信息基础设施安全保护要求中“监测预警”方面活动的建设关键点做个总结。
通过各级监管部门、保护工作部门、权威安全机构等渠道常态化关注国内外安全事件、安全漏洞、发展趋势,建立信息共享、沟通合作、协作处置的有效机制。
在网络关键节点部署攻击检测设备发现高级威胁,基于大数据和人工智能技术的多维度关联分析能力,从海量监测数据中挖掘形成有价值的安全态势及情报,做到集中统一指挥、多点监测、多级联动处置。
监测预警工作要能得到有效的落实,做到报警方式合理、预警接收渠道全面、研判处理流程合理、预警处置措施有效。
威努特深耕工控安全领域九年,是国内工控安全行业领军者,国家信息安全漏洞库(CNNVD)技术支撑单位、国家工业信息安全漏洞库(CICSVD技术组)成员单位以及工业信息安全应急服务支持单位,具备成熟的网络安全监测预警工具(入侵检测系统、工控安全监测与审计系统、高级威胁检测系统、态势分析与安全运营管理平台等)和专业的安全服务技术团队,可以协助关键信息基础设施运营者落地“监测预警”工作。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!