12月8日，國家網信辦起草發布了《網絡安全事件報告管理辦法（征求意見稿）》（以下簡稱“辦法”）。擬規定運營者在發生網絡安全事件時應當及時啟動應急預案進行處置。

1小時報告

按照《網絡安全事件分級指南》，屬于較大、重大或特別重大網絡安全事件的，應當于1小時內進行報告。

24小時內補報

對于1小時內不能判定事發原因、影響或趨勢等的，可先報告，事發單位名稱及發生事件的設施、系統、平臺的基本情況；以及事件發現或發生時間、地點、事件類型、已造成的影響和危害，已采取的措施及效果。對勒索軟件攻擊事件，還應當包括要求支付贖金的金額、方式、日期等。

5個工作日全面分析總結

事件處置結束后，運營者應當于5個工作日內對事件原因、應急處置措施、危害、責任處理、整改情況、教訓等進行全面分析總結，形成報告按照原渠道上報。

因運營者遲報、漏報、謊報或者瞞報網絡安全事件，造成重大危害后果的，對運營者及有關責任人依法從重處罰。

網絡安全事件拖延時間越長，危害性就會越大，后續的故障恢復以及消除影響等工作也更加困難。因此對于網絡安全事件報告的時效性要求非常高。

那么，企業該如何加強自身安全防護能力，防止威脅事件的發生？如何在發生威脅事件的第一時間及時發現與阻斷攻擊？

持安科技認為，以最佳實踐方式落地的零信任，可對《辦法》提出了“1小時完成網絡安全事件報告”提供全面支撐，企業接入持安零信任產品后，在整體上可使企業應急響應速度提升300%，攻擊事件減少99%。

下面我們分別從“事前、事中、事后”的角度來分析，看持安零信任產品，如何在真實的攻防場景中發揮作用。

01

事前：持安應用層零信任可收斂業務暴露面，預防0day等未知威脅的發生

傳統的基于邊界防護模型加上縱深防護的安全防護理念，在面對新型的大型攻擊事件時往往捉襟見肘。

傳統的邊界防護手段是隔離，但是目前企業業務的開放度和敏捷度要求提高，無法簡單粗暴地通過隔離來保證自身的數據安全。

縱深防護常常采取特征對抗的方式，但是這種無法窮盡所有未知漏洞的特征。

那么當業務系統存在一個未知的漏洞，安全系統無法通過特征檢測到風險，攻擊者一旦接觸到業務系統，系統就面臨著很大的風險。

持安科技基于應用層的零信任產品，實現零信任與業務的真正打通，從而基于業務系統進行防護，有效提升業務系統的安全性，從根源上減少攻擊事件的發生。

1. 收斂暴露面：持安應用層零信任落地后，首先會在網絡邊界處部署零信任應用網關，基于“先認證、再訪問”原則，先將所有的業務系統隱藏在網關之后，有效收縮攻擊面。訪問者需要先向零信任網關發起請求，由網關代理訪問請求，只有經過零信任驗證用戶、應用、行為皆可信的數據包，才能夠正常通過認證體系，從而將不可信的數據包拒之門外。

2. 防御0day等未知威脅：只有經零信任驗證可信的數據包才可以接觸到業務系統，因此可有效抵御未知人員發起的未知攻擊。而未經授權的攻擊者試圖接觸業務系統時，只可以接觸到網關的信息，無法接觸到企業的業務系統，此時，即使系統內存在0day漏洞，也無法被黑客利用到。此外，持安零信任可對系統內存在的漏洞進行URI級別的精準防護，有效減少未知威脅的發生。

02

事中：持安應用層零信任可快速定位威脅發生位置，基于攻擊者的真實身份信息阻斷攻擊行為

按照《網絡安全事件分級指南》，屬于較大、重大或特別重大網絡安全事件的，應當于1小時內進行報告，即安全事件滿足下列條件之一，即需要1小時之內上報。

《辦法》還規定，發生網絡安全事件時，運營者已采取合理必要的防護措施，按照本辦法規定主動報告，同時按照預案有關程序進行處置、盡最大努力降低事件影響，可視情免除或從輕追究運營者及有關責任人的責任。

持安科技發現，傳統的網絡安全方案在設計時，為了避免對業務造成影響，會盡量遠離業務，但這樣做也意味著安全無法及時感知和防護業務風險。

而基于Google Beyondcorp的應用層零信任架構，已在超20萬用戶的大型集團型企業全面落地，可以在企業內外網中全面部署，無論訪問者在企業內部，還是遠程辦公、出差辦公期間，皆可建立基于訪問者真實業務身份的，貫穿企業網絡、應用、業務、數據的可信鏈條，只有經決策引擎綜合判定可信時，訪問方可繼續進行。

1. 實時監測預警：零信任理念下，每當用戶發起一個訪問行為，決策引擎都會綜合訪問者的身份、行為、設備、上下文進行實時監測與驗證，且當訪問者訪問敏感數據，系統會開啟加強認證。一旦發現訪問者有數據竊取、數據異常下載等異常行為立刻響應上報，并快速定位其身份信息，有助于企業快速、主動發現網絡攻擊和異常行為并快速響應，幫助企業實現《辦法》提出的“ 及時啟動應急預案進行處置”。

2. 控制橫向移動：零信任對每次訪問都進行身份驗證和訪問控制，因此即使攻擊者使用多種手段進入了企業內部系統，也會因為后續的行為不可信而被阻止，無法快速橫向移動，提高攻擊難度，控制威脅影響面。

03

事后：持安應用層零信任可全鏈路審計溯源，精準記錄“什么人，在什么時間什么位置，訪問了哪些數據”

運營者在發生網絡安全事件時，應當及時啟動應急預案進行處置。按照《網絡安全事件分級指南》，屬于較大、重大或特別重大網絡安全事件的，應當于1小時內進行報告。

報告內容除應包含事發單位名稱及發生事件的設施、系統、平臺的基本情況外，還應包含 ：?事件發現或發生時間、地點、事件類型、已造成的影響和危害?，已采取的措施及效果等，具體要求如下圖。

《辦法》提到企業需在事件發生的24小時內補報及5個工作日全面分析總結。運營者未按照本辦法規定報告網絡安全事件的，網信部門按照有關法律、行政法規的規定進行處罰。

1. 基于身份的精準溯源：持安科技的零信任產品提供身份化審計能力，為訪問者的每一次訪問行為打上身份標簽，而不僅僅是記錄其IP地址，有助于分析安全事件的原因和過程，為網絡安全事件的分析與報告提供事實證據。

2. 深度記錄敏感數據流動全過程：對企業內部的數據進行分類和標記，并對其施行實時監測，精準記錄“誰”，在什么時間，什么位置，通過什么設備，訪問了哪些系統，在系統中敏感數據做了哪些操作。一比一還原攻擊路徑，有助于事后的審查與追蹤，以及對安全事件的調查和應對。

持安科技

8年甲方零信任落地經驗

持安科技團隊成員來自國內大型甲方安全團隊，擁有20年甲方安全建設經驗，8年甲方零信任實踐落地經驗，持安科技的核心產品持安遠望辦公安全平臺，可以最佳實踐的方式在企業內外網全面落地，在面對真實的攻防場景時，持安零信任產品可以防御0day等未知威脅的發生，從根源上減少攻擊事件的發生。一旦發生威脅事件，持安零信任可第一時間基于身份對其訪問行為進行阻斷與上報，事后對其攻擊路徑進行基于身份的全鏈路的審計與溯源，幫助企業實現《網絡安全事件報告管理辦法（征求意見稿）》的“1小時上報”。

持安零信任產品已得到眾多行業頭部客戶的認可。持安零信任產品支持全網、全行業覆蓋，在互聯網、金融、能源、科技、高端制造、游戲、新零售等領域落地，產品在某大型互聯網甲方連續5年無間斷運行，單一客戶接入規模超20萬，總接入用戶數超100萬+，接入業務系統20000+。