专家解读｜规范网络安全事件报告 筑牢数字空间安全防线

在数字经济高速发展的今天，网络已深度融入社会生产生活的各个领域，成为经济发展、社会运转和人们日常生活不可或缺的基础设施。然而，网络安全威胁如影随形，从个人信息泄露到关键信息基础设施遭受攻击，各类网络安全事件频发，不仅给个人和企业带来巨大损失，更对国家网络安全和社会稳定构成严重挑战。近日，国家互联网信息办公室发布《国家网络安全事件报告管理办法》（以下简称《办法》），旨在进一步规范网络安全事件报告，减少安全事件造成的损失和危害，维护国家网络安全。这一举措对于完善我国网络安全治理体系、提升网络安全保障能力具有重要意义。

一、《办法》发布是应对复杂严峻网络安全形势的必然要求

近年来，网络攻击手段逐渐从“单一化、初级化”向“多样化、高级化”演进，APT攻击、勒索软件攻击、供应链攻击等新型威胁不断涌现，各类网络安全事件频发，其影响范围和危害程度不断升级，我国面临的网络安全形势日益严峻复杂。一是APT组织长期对我实施网络攻击。APT攻击呈现出技术跃迁与地缘政治深度交织的特点，全球公开披露的APT攻击事件大幅增长。据国家互联网应急中心（CNCERT）监测发现，2024年境外APT组织对我重要单位实施网络攻击事件超过600起，涉及多家党政机关、高校和科研院所、重要行业企事业单位等。2022年7月至2023年7月，美情报机构利用某邮件系统零日漏洞对我某重要军工企业邮件服务器实施长期控制，窃取大量重要敏感信息，对我国家安全造成严重威胁。二是网络攻击规模与频率持续攀升。恶意软件数量持续增长，日均传播次数约349万余次，“银狐”、“BlackMoon”等僵尸网络传播活跃，针对我国互联网用户进行大规模钓鱼攻击和网络诈骗活动。勒索软件攻击呈现高度专业化和多元化特点，全年新增勒索软件团伙超过40个，已公开披露的勒索软件攻击事件超过5700起。拒绝服务攻击规模屡创新高，且持续时间显著延长，对关键信息基础设施正常运行带来严重瘫痪风险。这些数据表明，网络攻击已成为我国网络安全面临的首要威胁，严重影响了经济发展和社会稳定。三是数据泄露事件频发、危害巨大。数据作为数字时代的重要资产，其安全问题日益凸显。大量的数据泄露事件不仅侵犯了个人隐私，也给企业和国家带来了巨大的经济损失和声誉风险。2024年，我国发生多起重大数据泄露事件，涉及数亿用户的个人信息。联网系统因存在数据库未授权访问漏洞或弱口令漏洞，导致大量用户的姓名、身份证号、手机号等敏感信息被泄露，这些被泄露的数据被不法分子用于精准诈骗、网络钓鱼等违法犯罪活动，给用户造成了直接的经济损失，也对社会信任体系造成了严重冲击。此外，一些关键行业的数据泄露还可能威胁到国家战略安全，如能源、金融、交通等领域的数据一旦被窃取或篡改，可能引发系统性风险，影响国家的正常运转。

我国已构建起较为完善的网络安全法律法规体系，如《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等，为网络安全保障提供了坚实的法律基础。但在实际执行过程中，这些法规在网络安全事件报告方面存在一些不足。例如，对于网络安全事件的报告标准、报告流程、报告内容等方面的规定较为原则性，导致各单位在执行过程中理解和操作存在差异。从网络安全事件应急处置工作实践来看，有的单位在发生网络安全事件后，不知道该不该报、向谁报、怎么报，甚至出现瞒报、迟报等问题，导致有的事件未得到及时有效处置，危害扩大或产生不良社会影响，同时国家层面也无法全面掌握网络安全态势，难以有效组织开展联防联控工作。

在此背景下，国家互联网信息办公室制定出台《办法》，进一步细化和完善网络安全事件报告制度，顺应了当前网络安全治理的迫切需求，不仅有助于规范网络安全事件的报告流程，提升网络安全事件的管理水平，还能够完善我国网络安全治理体系，为网络安全监管工作的顺利开展提供有力的制度保障。

二、《办法》发布是完善网络安全治理体系的重要举措

《办法》根据我国《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规中有关报告网络安全事件的要求，进一步细化完善了网络安全事件报告工作要求，明确了事件报告主体，规定了事件报告程序、对象、时限和内容，提供了科学合理的事件分级指引，为各地区各部门各单位开展网络安全管理工作提供了操作层面的详细指导。

一是明确了网络运营者的报告主体责任和法律责任。《办法》规定，在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者，在发生网络安全事件时，应当按照本办法的规定进行报告。并规定，网络运营者发现或获知网络安全事件时，应进行研判，属于较大以上网络安全事件的，按有关程序报告。这一规定明确了网络运营者作为网络安全事件报告的主体责任，涵盖了各类网络服务提供者、关键信息基础设施运营者以及其他涉及网络建设和运营的单位和个人，确保了报告主体的全面覆盖。《办法》还明确了网络运营者未按照规定报告网络安全事件的法律责任，网络运营者未按照本办法规定报告网络安全事件的，有关主管部门按照有关法律、行政法规的规定进行处罚；对网络运营者迟报、漏报、谎报或者瞒报网络安全事件，造成重大危害后果的，将依法从重处罚。通过明确法律责任，增强了《办法》的权威性和约束力，促使网络运营者切实履行网络安全事件报告义务。

二是规定了网络安全事件的报告程序、对象和时限要求。《办法》根据网络安全事件级别、涉及网络和系统类型等，对涉及不同类型网络和系统的事件规定了相应的事件报告程序、对象，对不同等级的事件规定了相应的报告时限，针对重大、特别重大事件，规定了更为严格的逐级上报要求，以确保网络安全事件报告工作的有序开展和科学管理，提高网络安全事件的处置效率。其中，涉及关键信息基础设施的事件，报告时限要求最高。网络运营者发现或获知较大以上事件后，应在1小时内向保护工作部门、公安机关报告，针对重大、特别重大事件，保护工作部门应在收到报告后半小时内向国家网信部门、国务院公安部门报告。涉及中央和国家机关各部门及直属单位的事件，报告时限要求次之，网络运营者发现或获知较大以上事件后，应在2小时内向本部门网信工作机构报告，针对重大、特别重大事件，本部门网信工作机构应在收到报告后1小时内向国家网信部门报告。涉及其它运营者的事件，报告时限要求相对宽松。网络运营者发现或获知较大以上事件后，应在4小时内向属地省级网信部门报告，针对重大、特别重大事件，属地省级网信部门应在收到报告后1小时内向国家网信部门报告。

三是建立了科学合理的事件分级指引和动态更新的补报机制。《办法》根据《国家网络安全事件应急预案》和国家标准《信息安全技术 网络安全事件分类分级指南》（GB/T 20986-2023），以有限枚举的方式给出特别重大、重大、较大、一般等四个级别网络安全事件的分级定量指标，这种明确的分级标准有助于各单位准确判断网络安全事件的严重程度，按要求采取相应的报告和应急处置措施，有效解决了网络运营者对事件级别判断不清导致“不知道该不该报”的问题。《办法》还明确规定了网络安全事件报告的内容，涵盖涉事单位及涉事系统或设施基本情况、事件发现或发生的时间、地点、类型、级别、已造成影响和危害、已采取措施及效果、事态发展趋势、原因初步分析意见、溯源调查工作线索、拟进一步采取的应对措施以及请求支援事项、事件现场的保护情况等，要素齐全。对于勒索软件攻击事件，借鉴美欧等国有关做法，还特别要求报告支付赎金的金额、方式、日期等关键信息。全面详尽的报告内容能够为监管部门提供丰富的决策依据，制定科学合理的处置方案，避免事件影响或危害进一步扩散。考虑到网络安全事件的复杂性和动态性，《办法》规定，对于规定时间内不能判定事发原因、影响或发展趋势等情况的，可先报告关键基本信息，其他情况及时补报。在事件报告后出现新的重要情况或调查取得阶段性进展时，相关单位应当及时续报。这一机制确保了报告信息能够随着事件的发展而不断更新，使监管部门始终掌握事件的最新动态。

三、《办法》发布是构建全民参与网络安全防线的有益探索

习近平总书记指出，网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。这不仅是理念，更是行动指南。《办法》规定，网信部门建设12387网络安全事件报告热线电话和网站、邮箱、传真等方式，统一接收网络安全事件报告，正是落实这一理念的关键举措。国家互联网应急中心正在积极支撑有关部门开展网络安全事件报告平台建设，依托热线电话、网站、邮箱、传真以及社交平台等构建丰富的事件报告渠道，为全社会报告网络安全事件搭建桥梁。

一是降低了参与门槛，有助于打破信息壁垒。《办法》除规定网络运营者的报告主体责任以外，还鼓励社会组织和个人报告所获悉的较大以上网络安全事件。社会组织和个人作为网络的广泛使用者，能够及时发现一些网络安全异常情况，他们的报告可以为监管部门提供重要的线索和信息，形成对专业监管的有益补充。通过建设热线电话等方式统一接收事件报告，鼓励社会监督报告，简化了报告流程，降低了参与门槛，有助于形成全社会共同参与网络安全治理的良好氛围，汇聚起维护网络安全的强大合力。

二是统一了报送入口，提升了事件报告整体效率。以前网络运营者、社会组织与个人报告网络安全事件常面临不清楚报告渠道的困境，导致报告积极性受挫、事件信息传递滞后。通过建设统一的网络安全事件报告平台，明确网络安全事件报告的渠道，建立集中受理、智能分拣、快速流转的机制，采取“国家平台——属地处置——部门协同”模式，既为报告者提供了清晰明了的统一报告入口，又确保了接收侧专业力量的精准投入，有助于网络安全事件信息的集中整合，提升网络安全事件报告整体效率。

三是规范了信息格式，夯实了精准研判基石。以前，不同渠道提交的网络安全事件报告格式各异，有的要素残缺，有的内容简略，需要反复多次沟通补全，既浪费研判精力，也耽误处置时机。通过建设统一的网络安全事件报告平台，构建符合《办法》要求的标准化事件信息采集体系，针对关键核心字段逐项校验，能够从“输入端”保障事件信息质量，确保每条事件信息都能“说得清、查得到、用得上”，为高效开展网络安全事件应急处置科学决策提供可靠的数据基石。

《办法》的发布是我国网络安全领域的一项重要举措，对于规范网络安全事件报告、提升网络安全保障能力具有重要意义。相信在各方共同努力下，《办法》的实施将进一步推动各方共同筑牢国家网络安全防线，为建设网络强国、促进数字中国建设和经济社会高质量发展提供更坚实的网络安全保障。（作者：严寒冰，国家互联网应急中心副总工程师）