中國網路空間管理局（CAC）於9月11日發布《國家網絡安全事件報告管理辦法》，自11月1日起施行，要求中國境內網絡運營者於重大或特別重大網路安全事件發生後，1小時內通報相關部門，30分鐘內通報國家網路資訊及公安部門。該規定適用於所有建置、運營或提供網路服務的國內外實體，涵蓋關鍵基礎設施及個人資料洩露，違規將嚴懲。此舉被視為中國強化本土網路防禦的訊號，尤其在Salt Typhoon等中國資助APT攻擊全球電信後，顯示北京意識到系統性風險。專家分析，台灣作為地緣政治敏感區，需借鏡完善事件回應機制，強化關鍵基礎設施報告及國際合作，防範類似攻擊溢出。

 

根據CAC公告，新辦法由14條規定組成，定義網路安全事件為因人為因素、網路攻擊、漏洞、軟硬體故障或不可抗力，導致網路、資訊系統、資料及業務應用損害，影響國家、社會及經濟的事件。適用對象為中國境內「網絡運營者」，包括開發、運營或提供服務的組織，涵蓋國內外企業。事件分級為一般、較大、重大及特別重大，依系統中斷規模、個人資料影響、國家安全威脅等評估。特別重大事件包括重要資料洩露威脅國家安全或社會穩定，或造成大規模業務中斷；攻擊資訊網站超過6小時、瀏覽逾百萬或社媒轉發逾10萬次，也視為廣泛攻擊。

 

報告時限嚴格：關鍵基礎設施事件須1小時內通報保護部門及公安；重大或特別重大事件，保護部門須30分鐘內通報國家網路資訊及公安部門。其他事件給予2至4小時緩衝，視網路重要性而定。通報內容包括事件描述、影響範圍、應變措施及後續報告（事件解決後30天內提交詳細分析）。若涉及犯罪，須及時通報公安。若行業有專屬規定，須同時遵守。公告強調，延遲、遺漏、虛報或隱瞞事件導致重大後果，將依法嚴懲網絡運營者及負責人；若已實施合理安全措施、遵循回應計劃並減輕影響，可減輕或免除處罰。

 

此規定與中國《網路安全法》、《資料安全法》及《個人資訊保護法》一致，強化關鍵資訊基礎設施保護條例。Morgan Lewis分析，規定要求網絡運營者透過合約確保第三方供應商及服務提供者及時通報，適用於境外事件若涉及中國資料轉移。 Hunton Andrews Kurth指出，較大事件包括重要系統中斷或影響逾百萬公民個人資料，須4小時內通報省級CAC。 Global Times報導，此為CAC強化國家數位安全的里程碑，涵蓋新聞網站攻擊等社會穩定威脅。

 

中國強化網路防禦的背景，是其資助APT攻擊全球後的反省。Salt Typhoon（中國軍事情報相關）於2024年入侵Viasat衛星通訊及全球80國600組織，FBI 8月通報相關目標。HiTrust資安風險副總裁Tom Kellermann表示：「中國在西方電信間諜成功後，意識到國家安全系統風險，尤其四國聯盟（Quad）網路行動增加。」CrowdStrike 2025全球威脅報告顯示，中國相關活動增長150%，歐洲供應鏈攻擊增三倍，促使政府要求私部門加速偵測回應。 Kellermann認為，歐美72小時通報合理，但中國1小時要求反映資安成熟度差異及側向移動速度。

 

Bugcrowd首席策略及信任官Trey Ford指出，中國模式強調速度而非徹底調查，適合政府主導回應，但西方私部門過急通報易犯錯。「西方範式通知政府以驅動私部門問責及透明，72小時給予內部調查及法務時間。」他警告，過度急迫通報浪費資源，增加壓力。 DLA Piper分析，新規定適用境外事件若影響中國資料，強化跨境報告。

 

台灣資安專家分析，此規定對兩岸及亞太影響深遠。台灣作為中國攻擊目標，常遭APT如Salt Typhoon入侵電信。行政院國家資通安全會報表示，將評估類似報告機制，強化關鍵基礎設施1小時內通報。趨勢科技台灣區總經理洪偉淦受訪時指出：「中國嚴格規定反映全球資安趨勢，但1小時門檻挑戰高，台灣企業應借鏡，完善事件回應計劃，整合SIEM自動通報。」他建議，實施72小時內部調查後通報，監控中國APT IOC，並與Quad合作共享情報，防範資料洩露威脅國家安全。

 

此事件與近期資安趨勢呼應，如Cisco零日漏洞遭國家級APT利用、Akira攻擊SonicWall VPN，顯示中國攻擊全球後轉守為攻。中國規定凸顯資安雙標，西方國家如歐盟GDPR要求72小時通報，強調調查徹底。台灣政府可推動資安法修訂，強制關鍵產業1小時內初步通報，30天內詳細報告。企業防範之道包括：建立自動化通報系統、定期紅隊測試、強化供應鏈審核。隨著地緣衝突加劇，中國新規定料將影響全球資安格局，台灣需加速防禦，確保數位主權。

 

出處：Dark Reading 作者：Robert Lemos，資安新聞資深作家