嚴(yán)麗娜，譚 薇，楊俊強(qiáng)

（國(guó)防科技大學(xué)信息通信學(xué)院試驗(yàn)訓(xùn)練基地，陜西 西安 710106）

0 引 言

隨著互聯(lián)網(wǎng)的發(fā)展，國(guó)家和軍事信息網(wǎng)絡(luò)安全威脅與日俱增。美國(guó)在全球擁有上千個(gè)軍事基地，軍事網(wǎng)絡(luò)超過(guò)15萬(wàn)個(gè)，計(jì)算機(jī)等各種終端設(shè)備超過(guò)700萬(wàn)臺(tái)。美軍國(guó)防部網(wǎng)絡(luò)每天都會(huì)遭到幾百萬(wàn)次刺探，不斷有個(gè)人或組織嘗試對(duì)國(guó)防部運(yùn)轉(zhuǎn)所依賴的網(wǎng)絡(luò)和系統(tǒng)實(shí)施利用、破壞和降級(jí)。美國(guó)國(guó)防部信息網(wǎng)絡(luò)包括國(guó)防工業(yè)基礎(chǔ)網(wǎng)絡(luò)，面臨全方位的網(wǎng)絡(luò)威脅，其中APT威脅可以繞過(guò)商用安全工具和欺騙過(guò)最好的通用安全防護(hù)。有些國(guó)家從未停止對(duì)美國(guó)國(guó)防部信息網(wǎng)絡(luò)的入侵試探；許多情報(bào)機(jī)構(gòu)已具有破壞國(guó)防部信息網(wǎng)絡(luò)和信息系統(tǒng)的能力；許多個(gè)人和組織不斷威脅要滲透和破壞國(guó)防部信息網(wǎng)絡(luò)和系統(tǒng)。加上幾年來(lái)披露的各種漏洞和頻繁發(fā)生的網(wǎng)絡(luò)安全事件，在如此復(fù)雜的網(wǎng)絡(luò)信息環(huán)境下，美軍提出了網(wǎng)絡(luò)安全事件的相關(guān)處置規(guī)范和手冊(cè)，并實(shí)施了一系類有效措施，這無(wú)疑對(duì)提升美軍的網(wǎng)絡(luò)空間作戰(zhàn)能力具有非常重要的意義。

2018年4月，我國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（“CNCERT”）提出，將“網(wǎng)絡(luò)安全事件共享與處置”作為未來(lái)工作的重要部分，以提升中國(guó)對(duì)網(wǎng)絡(luò)安全威脅處置的整體能力，提高我國(guó)網(wǎng)絡(luò)安全行業(yè)的總體技術(shù)水平和競(jìng)爭(zhēng)力。本文立足研究美軍進(jìn)行網(wǎng)絡(luò)安全事故處理的基本思路和基本方法，力圖為我國(guó)有效實(shí)施網(wǎng)絡(luò)安全事故處理提供借鑒。

1 美軍網(wǎng)絡(luò)安全事故處理的基本思路

為了確保在網(wǎng)絡(luò)空間的控制權(quán)，維持美軍正常的作戰(zhàn)和值勤能力，美國(guó)國(guó)防部先后發(fā)布關(guān)于網(wǎng)絡(luò)事故處理的規(guī)范文件，如《CJCSM 6510.01a信息保障（IA）和計(jì)算機(jī)網(wǎng)絡(luò)防御（CND）第一卷 事故處理計(jì)劃》《CJCSM 6510.01b網(wǎng)絡(luò)事故處理計(jì)劃》和參謀長(zhǎng)聯(lián)席會(huì)議主席手冊(cè)等，使國(guó)防部?jī)?nèi)部各組織在發(fā)現(xiàn)網(wǎng)絡(luò)事件時(shí)，能依據(jù)一定的網(wǎng)絡(luò)事故處理規(guī)范和程序響應(yīng)網(wǎng)絡(luò)事故。國(guó)防部制定的網(wǎng)絡(luò)事故處理計(jì)劃，使國(guó)防部系統(tǒng)內(nèi)部能以一種全面規(guī)范的、可重復(fù)的、可度量的、可相互理解的處理方式處理網(wǎng)絡(luò)安全事故，顯著提升了國(guó)防部網(wǎng)絡(luò)事件和事故的快速檢測(cè)、識(shí)別和響應(yīng)能力，保障其信息網(wǎng)絡(luò)和信息系統(tǒng)具備穩(wěn)定的強(qiáng)大抵御網(wǎng)絡(luò)入侵和進(jìn)行快速網(wǎng)絡(luò)事故處理的能力。相關(guān)計(jì)劃還力圖在國(guó)防部?jī)?nèi)各相關(guān)單位和其他單位之間展開有效協(xié)作，便于監(jiān)控網(wǎng)絡(luò)安全態(tài)勢(shì)，采集分析網(wǎng)絡(luò)活動(dòng)規(guī)律，收集歸類和推廣應(yīng)用網(wǎng)絡(luò)事故處理的經(jīng)驗(yàn)做法，并采用自動(dòng)化工具對(duì)這些數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析，建立網(wǎng)絡(luò)事故處理知識(shí)庫(kù)，以快速應(yīng)對(duì)可能發(fā)生的任何網(wǎng)絡(luò)事故[1]。同時(shí)，該計(jì)劃還規(guī)定了對(duì)網(wǎng)絡(luò)事故進(jìn)行處理的組織和個(gè)人在處理網(wǎng)絡(luò)事故時(shí)應(yīng)當(dāng)遵守的一些通用規(guī)則，以及在涉及到相關(guān)法律問(wèn)題時(shí)的處理權(quán)限等。

對(duì)網(wǎng)絡(luò)事故處理的規(guī)范，使得美國(guó)國(guó)防部能夠統(tǒng)一協(xié)調(diào)各相關(guān)單位，并與各單位均按照統(tǒng)一的流程處理網(wǎng)絡(luò)安全事故，同時(shí)保留事故處理過(guò)程中的相關(guān)記錄、經(jīng)驗(yàn)和證據(jù)。這是美軍提高和維持網(wǎng)絡(luò)空間作戰(zhàn)能力的重要舉措之一。

美國(guó)國(guó)防部網(wǎng)絡(luò)事故處理計(jì)劃圍繞網(wǎng)絡(luò)事故生命周期和各階段的不同安全防護(hù)任務(wù)展開，規(guī)定了網(wǎng)絡(luò)事故處理計(jì)劃的目的、任務(wù)范圍、組織機(jī)構(gòu)及職責(zé)，以及與國(guó)防部整體計(jì)算機(jī)網(wǎng)絡(luò)防御計(jì)劃的關(guān)系等，闡述了網(wǎng)絡(luò)事故處理方法，主要包括網(wǎng)絡(luò)事故處理的目標(biāo)、流程和方法等，最后分別描述了網(wǎng)絡(luò)事故報(bào)告機(jī)制、網(wǎng)絡(luò)事故分析方法、網(wǎng)絡(luò)事故響應(yīng)方法、網(wǎng)絡(luò)事故協(xié)調(diào)機(jī)制以及網(wǎng)絡(luò)事故分析工具等網(wǎng)絡(luò)事故處理計(jì)劃所涉及的不同要素。

經(jīng)過(guò)認(rèn)真梳理，美軍整個(gè)網(wǎng)絡(luò)事故處理計(jì)劃的主要思路清晰可見，即依據(jù)網(wǎng)絡(luò)安全事件的類別和優(yōu)先級(jí)確定處理的方式方法、相關(guān)單位處理權(quán)限和處理時(shí)限。首先對(duì)網(wǎng)絡(luò)事故進(jìn)行分類，確立各類的優(yōu)先級(jí)；在發(fā)現(xiàn)可疑事件或事故時(shí)，依據(jù)事故分類和優(yōu)先級(jí)，確定事故的初步處理，如上報(bào)、初步分析、采取初步響應(yīng)行為等；其次，進(jìn)行網(wǎng)絡(luò)事件分析和事件（事故）響應(yīng)，阻止影響的擴(kuò)大，并修正防護(hù)策略，以阻止該事件（事故）的再次發(fā)生；最后，對(duì)該事件（事故）進(jìn)行威脅評(píng)估，消除事件（事故）影響，恢復(fù)網(wǎng)絡(luò)和信息系統(tǒng)的正常運(yùn)行。在整個(gè)流程中，會(huì)在必要的時(shí)候向國(guó)防部報(bào)告，便于生成全網(wǎng)安全態(tài)勢(shì)，并及時(shí)向可能遭受同樣攻擊的相關(guān)單位進(jìn)行預(yù)警，實(shí)現(xiàn)“一點(diǎn)受攻擊，全網(wǎng)都響應(yīng)”的主動(dòng)安全、動(dòng)態(tài)安全策略[2]。

2 美軍網(wǎng)絡(luò)安全事故處理的基本流程

2.1 網(wǎng)絡(luò)事件處理機(jī)構(gòu)分級(jí)

美國(guó)國(guó)防部網(wǎng)絡(luò)安全事故處理所涉及的組織結(jié)構(gòu)包括三個(gè)等級(jí)：第一級(jí)（全球級(jí)）、第二級(jí)（區(qū)域/戰(zhàn)區(qū)級(jí)）和第三級(jí)（本地級(jí)）。這些機(jī)構(gòu)中，第一級(jí)是最高級(jí)別，第三級(jí)是最低級(jí)別。低級(jí)別機(jī)構(gòu)在發(fā)現(xiàn)事故或可疑事件后，依據(jù)其分類和優(yōu)先級(jí)向上級(jí)機(jī)構(gòu)報(bào)告；上級(jí)機(jī)構(gòu)根據(jù)事故的分類、優(yōu)先級(jí)和影響范圍等，決定是否向上級(jí)報(bào)告，并進(jìn)行事故分析，指導(dǎo)下級(jí)進(jìn)行事故響應(yīng)。上級(jí)也可根據(jù)已經(jīng)獲得的網(wǎng)絡(luò)安全預(yù)警信息，命令下級(jí)實(shí)施相關(guān)的網(wǎng)絡(luò)安全行動(dòng)和協(xié)作。

2.2 網(wǎng)絡(luò)事件報(bào)告機(jī)制

事故報(bào)告機(jī)制是將所有應(yīng)上報(bào)網(wǎng)絡(luò)事件或事故通過(guò)統(tǒng)一的網(wǎng)絡(luò)事件處理平臺(tái)進(jìn)行上報(bào)的過(guò)程。它確保能通過(guò)報(bào)告的信息逐步提供對(duì)事故準(zhǔn)確、有意義的徹底理解，包括初始檢測(cè)、分析、事故的解決和事件處置過(guò)程的關(guān)閉等。在網(wǎng)絡(luò)事故報(bào)告機(jī)制部分，DoD提出了網(wǎng)絡(luò)事故報(bào)告的途徑、格式、時(shí)限和注意事項(xiàng)等。這些報(bào)告信息為網(wǎng)絡(luò)安全態(tài)勢(shì)分析、事故處理、數(shù)據(jù)綜合、統(tǒng)籌分析等提供了多種有價(jià)值的數(shù)據(jù)來(lái)源。值得注意的是，美軍在事件報(bào)告階段，著重上報(bào)的時(shí)效性，而對(duì)關(guān)于網(wǎng)絡(luò)事件信息的完整性要求較低，僅提供能夠提供的信息即可，然后通過(guò)對(duì)事件的逐步調(diào)查逐漸完善事故的描述信息，并最終達(dá)到對(duì)事故的完整描述。

2.3 網(wǎng)絡(luò)事件處理

網(wǎng)絡(luò)事故處理的一般過(guò)程包括事件（事故）分類、事件檢測(cè)、初步分析和識(shí)別、初步響應(yīng)行動(dòng)、事故分析、網(wǎng)絡(luò)事故響應(yīng)和事故后分析等階段，以及網(wǎng)絡(luò)事故處理所涉及的協(xié)調(diào)關(guān)系。

2.3.1 網(wǎng)絡(luò)事件（事故）劃分

美軍將網(wǎng)絡(luò)事件根據(jù)其對(duì)網(wǎng)絡(luò)或信息系統(tǒng)的危害程度劃分為10個(gè)類型，優(yōu)先級(jí)分為0～9級(jí)。在網(wǎng)絡(luò)事故或事件適用多個(gè)類別時(shí)，按照優(yōu)先級(jí)高的類型處理。事件（事故）類型及優(yōu)先級(jí)關(guān)系如表1所示。

表1 事件（事故）分類及優(yōu)先級(jí)描述

表1中的事故分類和優(yōu)先級(jí)關(guān)系，是后續(xù)進(jìn)行網(wǎng)絡(luò)事故處理的基本依據(jù)。不同類型和優(yōu)先級(jí)的事故，其處理方式、時(shí)限等會(huì)有不同的要求。

2.3.2 網(wǎng)絡(luò)事件（事故）處置流程

網(wǎng)絡(luò)事件處理流程是按照網(wǎng)絡(luò)事件的生命周期確定的，基本流程可劃分為6個(gè)階段——事件的檢測(cè)，事故的初步分析和識(shí)別，初步響應(yīng)行動(dòng)，事故分析，響應(yīng)和恢復(fù)，事后分析，如圖1所示。

圖1 網(wǎng)絡(luò)事件生命周期

網(wǎng)絡(luò)事件檢測(cè)是一個(gè)連續(xù)過(guò)程，是網(wǎng)絡(luò)事故生命周期的第一個(gè)階段，用于識(shí)別任何可能對(duì)信息網(wǎng)絡(luò)、信息系統(tǒng)或作戰(zhàn)任務(wù)產(chǎn)生不利影響的異常網(wǎng)絡(luò)或信息系統(tǒng)活動(dòng)。

事故的初步分析和識(shí)別是對(duì)已檢測(cè)到的網(wǎng)絡(luò)事件進(jìn)行初步分析，以確定它是否為應(yīng)上報(bào)網(wǎng)絡(luò)事件或事故的過(guò)程。

初級(jí)的響應(yīng)是為保護(hù)信息網(wǎng)絡(luò)或信息系統(tǒng)免遭任何惡意行為的更大破壞而采取的初步應(yīng)急行動(dòng)。

事故分析是為了找出事故中到底發(fā)生了什么而采取的一系列分析步驟，是比初步分析更詳細(xì)的取證和分析。事故分析的核心是了解事故的詳細(xì)信息，通過(guò)對(duì)一系列事故分析步驟，了解事故的技術(shù)細(xì)節(jié)、問(wèn)題的根源和潛在影響。事故分析的結(jié)果有助于確定收集哪些額外信息、與他人共享協(xié)調(diào)信息，并制定響應(yīng)行動(dòng)方案。

響應(yīng)和恢復(fù)是為防止損害擴(kuò)大、恢復(fù)受影響信息系統(tǒng)的完整性以及實(shí)施跟進(jìn)策略以防止事故再次發(fā)生而采取的更具體的響應(yīng)步驟。

事故后分析是評(píng)估事故處理的有效性和效率，產(chǎn)生的數(shù)據(jù)包括吸取的經(jīng)驗(yàn)教訓(xùn)、最初的事故根源、行動(dòng)方案執(zhí)行中的問(wèn)題、缺少的政策和程序、不適當(dāng)?shù)幕A(chǔ)設(shè)施防御策略等，便于進(jìn)行后續(xù)網(wǎng)絡(luò)安全事故處理的優(yōu)化、網(wǎng)絡(luò)安全防護(hù)策略的修正以及各種協(xié)調(diào)工作的改進(jìn)[3]。

2.3.3 網(wǎng)絡(luò)事件（事故）處理的方法步驟

網(wǎng)絡(luò)事故處理的方法步驟包括9個(gè)方面。

（1）收集信息。確定并收集有關(guān)該事故的所有相關(guān)信息，以備事故分析中使用。

（2）驗(yàn)證事故。對(duì)應(yīng)報(bào)告事故進(jìn)行審查、確認(rèn)和更新（如可能的話），確保所有信息是準(zhǔn)確的，與報(bào)告是一致的。

（3）確定傳遞載體。分析信息以確定威脅者所使用的傳遞載體。

（4）確定系統(tǒng)的弱點(diǎn)。分析信息以確定任何能防止或減輕事故影響的相關(guān)系統(tǒng)的弱點(diǎn)、漏洞或安全控制。

（5）確定根本原因。分析信息以確定特定系統(tǒng)中事故發(fā)生的原因。

（6）確定影響。分析收集到的信息來(lái)驗(yàn)證和擴(kuò)大原有的初步分析期間所做的初始影響評(píng)估。

（7）研究和制定COA。制定必要的措施，以響應(yīng)應(yīng)上報(bào)網(wǎng)絡(luò)事件或事故，修復(fù)信息系統(tǒng)，并對(duì)信息系統(tǒng)和信息網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

（8）其他協(xié)調(diào)工作。與其他相關(guān)部門協(xié)調(diào)工作，收集更多的信息，獲得援助和更多的專業(yè)知識(shí)或指南，并將應(yīng)上報(bào)事件、事故及事故處理活動(dòng)的狀態(tài)變化情況通知有關(guān)業(yè)務(wù)和技術(shù)部門。

（9）執(zhí)行相關(guān)性和趨勢(shì)分析。包括分析和確定在短期內(nèi)事故之間的關(guān)系、趨勢(shì)以及長(zhǎng)期內(nèi)事故之間的模式。

在進(jìn)行網(wǎng)絡(luò)安全事故處理過(guò)程中，可能涉及到其他部門或者法律等問(wèn)題，需要在事故處理過(guò)程中進(jìn)行適當(dāng)協(xié)調(diào)，便于在遵守法律的前提下，快速、安全、盡可能地在不影響正常業(yè)務(wù)的情況下，消除網(wǎng)絡(luò)安全事故的影響。

3 對(duì)我國(guó)網(wǎng)絡(luò)安全事故處理的啟示與思考

網(wǎng)絡(luò)安全是國(guó)家安全的重要組成部分，關(guān)系到國(guó)家政治局勢(shì)的穩(wěn)定、經(jīng)濟(jì)社會(huì)的秩序、金融市場(chǎng)的安定、未來(lái)信息化戰(zhàn)爭(zhēng)的勝負(fù)，成為信息化時(shí)代各國(guó)競(jìng)相爭(zhēng)奪的戰(zhàn)略制高點(diǎn)。習(xí)近平主席強(qiáng)調(diào)，“網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題，要從國(guó)際國(guó)內(nèi)大勢(shì)出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)”。網(wǎng)絡(luò)安全已經(jīng)成為關(guān)系國(guó)計(jì)民生的全局性問(wèn)題，因此必須樹立網(wǎng)絡(luò)安全大觀念，從大處著手，從全局著手，構(gòu)建包括戰(zhàn)略、體制、機(jī)制、平臺(tái)、系統(tǒng)和人才等全方位的網(wǎng)絡(luò)安全大布局，形成“觸一發(fā)而動(dòng)全身”的網(wǎng)絡(luò)安全大系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)安全事故發(fā)現(xiàn)即通告、發(fā)現(xiàn)即處置、發(fā)現(xiàn)即阻止的動(dòng)態(tài)安全態(tài)勢(shì)。

3.1 擴(kuò)大網(wǎng)絡(luò)安全的保護(hù)對(duì)象

在信息化時(shí)代，網(wǎng)絡(luò)安全事件的攻擊目標(biāo)難以琢磨。例如，針對(duì)美軍遭受的網(wǎng)絡(luò)攻擊，美軍已經(jīng)從國(guó)防部到國(guó)土安全部，從設(shè)備提供商到服務(wù)提供商，從人力資源部到各種醫(yī)療組織，甚至是社交網(wǎng)站和網(wǎng)上零售商店等，利用大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)提取有用的信息，保持對(duì)各種網(wǎng)絡(luò)事件的警惕、感知和自主防御能力。我軍網(wǎng)絡(luò)安全保護(hù)的直接對(duì)象也應(yīng)當(dāng)從單純的保護(hù)軍事網(wǎng)絡(luò)和軍事信息系統(tǒng)拓展到保護(hù)國(guó)防工業(yè)基礎(chǔ)網(wǎng)絡(luò)、國(guó)家基礎(chǔ)網(wǎng)絡(luò)、教育網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)以及軍事信息網(wǎng)絡(luò)各種設(shè)備提供商、各種服務(wù)提供商、各種物流服務(wù)商、銀行、醫(yī)院、各種社會(huì)服務(wù)性機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)，甚至是社交媒體網(wǎng)站等，同時(shí)應(yīng)當(dāng)覆蓋重要的行業(yè)和大用戶群體，如電信行業(yè)、電力行業(yè)、手機(jī)終端群體、各種智能監(jiān)控系統(tǒng)和設(shè)備，以及涉及國(guó)計(jì)民生的基礎(chǔ)行業(yè)，如自來(lái)水行業(yè)、油氣行業(yè)等，從中獲取網(wǎng)絡(luò)大數(shù)據(jù)，分析和預(yù)測(cè)網(wǎng)絡(luò)安全事件的發(fā)生，并防止從信息網(wǎng)絡(luò)中刺探軍事信息的行為，及時(shí)發(fā)現(xiàn)，及時(shí)制止，防止出現(xiàn)信息的大泄露而對(duì)軍事信息和軍事網(wǎng)絡(luò)造成危害。

3.2 構(gòu)建軍事信息網(wǎng)絡(luò)大安全

從國(guó)家網(wǎng)絡(luò)安全大觀念出發(fā)，軍事信息網(wǎng)絡(luò)安全不能僅僅依賴軍事網(wǎng)絡(luò)的安全防護(hù)，而應(yīng)該將軍事信息網(wǎng)放在全國(guó)的網(wǎng)絡(luò)安全大局下進(jìn)行進(jìn)行網(wǎng)絡(luò)安全防御部署。網(wǎng)絡(luò)安全在民用網(wǎng)絡(luò)和軍事網(wǎng)絡(luò)中有很多可以相互借鑒、相互支持的地方。當(dāng)前，美軍已經(jīng)將民用網(wǎng)絡(luò)的安全防護(hù)納入軍事網(wǎng)絡(luò)的安全防護(hù)范疇。對(duì)我軍而言，構(gòu)建網(wǎng)絡(luò)安全大局，應(yīng)當(dāng)將軍事信息網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供商以及相關(guān)第三方都納入軍事網(wǎng)絡(luò)安全防御范疇，對(duì)中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通、中國(guó)網(wǎng)通、中國(guó)廣電、中國(guó)華為、中國(guó)中興等大型電信設(shè)備和運(yùn)營(yíng)廠商企業(yè)以及騰訊、360、百度、京東、搜狐、小米、優(yōu)酷、新浪、樂(lè)視、迅雷等大型公司的網(wǎng)絡(luò)進(jìn)行日常流量監(jiān)測(cè)，采集威脅數(shù)據(jù)并進(jìn)行大數(shù)據(jù)分析，得到各種威脅的樣本信息，并深入分析各種網(wǎng)絡(luò)威脅，了解其工作原理、特征以及預(yù)防措施和方法，構(gòu)建網(wǎng)絡(luò)安全威脅知識(shí)庫(kù)；統(tǒng)計(jì)分析網(wǎng)絡(luò)惡意流量的發(fā)展趨勢(shì)，建模、預(yù)測(cè)網(wǎng)絡(luò)流量，形成網(wǎng)絡(luò)流量模型和流量趨勢(shì)數(shù)據(jù)，從而為應(yīng)對(duì)網(wǎng)絡(luò)安全事件提供第一手的基礎(chǔ)大數(shù)據(jù)支持[4]。網(wǎng)絡(luò)安全威脅知識(shí)庫(kù)、網(wǎng)絡(luò)流量模型及流量趨勢(shì)數(shù)據(jù)，將成為網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施之一，為網(wǎng)絡(luò)安全事故的處置提供直接支持。

3.3 開展網(wǎng)絡(luò)安全領(lǐng)域的大合作

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展和各種黑客組織的逐步專業(yè)化、功利化，網(wǎng)絡(luò)安全事件的復(fù)雜程度大大增加。近幾年發(fā)現(xiàn)的震網(wǎng)病毒、Duqu病毒、火焰病毒、勒索病毒等，背后都隱藏著一個(gè)有組織、專業(yè)化、技術(shù)精湛的團(tuán)隊(duì)。因此，僅僅依靠某個(gè)網(wǎng)絡(luò)安全機(jī)構(gòu)，在短時(shí)間內(nèi)難以進(jìn)行有效的分析和防護(hù)。以火焰病毒為例，根據(jù)卡巴斯基首席安全專家亞歷山大·戈斯捷夫表示，由于“火焰”病毒體積較大且編寫方式非常復(fù)雜，因此可能需花上數(shù)年時(shí)間才能完全了解該病毒的全部情況。因此，未來(lái)應(yīng)對(duì)網(wǎng)絡(luò)安全控件的各種威脅，必須依靠網(wǎng)絡(luò)安全公司、廠商以及各種機(jī)構(gòu)、民間團(tuán)體等的大合作、大協(xié)調(diào)，才能在短時(shí)間內(nèi)有效分析惡意病毒，找到應(yīng)對(duì)的方法。進(jìn)行網(wǎng)絡(luò)安全領(lǐng)域的大合作、大協(xié)調(diào)，必須建立網(wǎng)絡(luò)安全協(xié)作組織，將各網(wǎng)絡(luò)安全防護(hù)專業(yè)部門、各網(wǎng)絡(luò)安全公司、國(guó)家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)力量、國(guó)家網(wǎng)絡(luò)安全支援力量以及各種網(wǎng)絡(luò)安全相關(guān)組織和個(gè)人納入其中，建立有效的合作機(jī)制進(jìn)行高效協(xié)調(diào)和分工合作，便于緊急應(yīng)對(duì)各種威脅，維持網(wǎng)絡(luò)運(yùn)行的安全狀態(tài)。

3.4 實(shí)施網(wǎng)絡(luò)空間安全人才大國(guó)戰(zhàn)略

網(wǎng)絡(luò)空間安全人才可以劃分為作戰(zhàn)指揮類、策略管理類、裝備操作類、值勤維護(hù)類和技術(shù)支持類。

作戰(zhàn)指揮類：負(fù)責(zé)在作戰(zhàn)行動(dòng)中靈活運(yùn)用網(wǎng)絡(luò)安全戰(zhàn)法，運(yùn)用網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御和網(wǎng)絡(luò)誘騙等手段，以謀取對(duì)敵方優(yōu)勢(shì)為目標(biāo)的網(wǎng)絡(luò)作戰(zhàn)指揮人員。

策略管理類：依據(jù)網(wǎng)絡(luò)作戰(zhàn)指揮人員的意圖，制定和修正網(wǎng)絡(luò)安全防御策略、網(wǎng)絡(luò)誘騙策略和網(wǎng)絡(luò)安全進(jìn)攻策略的作戰(zhàn)輔助人才。網(wǎng)絡(luò)安全策略管理人才負(fù)責(zé)制定和維護(hù)全軍的網(wǎng)絡(luò)安全基線，設(shè)計(jì)和修正所轄網(wǎng)絡(luò)的安全策略、各網(wǎng)絡(luò)安全裝備的具體安全規(guī)則，以阻止發(fā)生網(wǎng)絡(luò)安全事件并降低網(wǎng)絡(luò)安全威脅等任務(wù)。

網(wǎng)絡(luò)安全攻擊類：負(fù)責(zé)依據(jù)作戰(zhàn)指揮人員的意圖，利用相關(guān)的攻擊武器，對(duì)敵方網(wǎng)絡(luò)展開攻擊，以達(dá)成作戰(zhàn)意圖。

裝備操作類：能夠依據(jù)網(wǎng)絡(luò)安全防御策略、網(wǎng)絡(luò)誘騙策略和網(wǎng)絡(luò)安全進(jìn)攻策略等，對(duì)所屬的網(wǎng)絡(luò)安全裝備展開規(guī)則配置，從而實(shí)現(xiàn)策略要求的意圖。

值勤維護(hù)類：值勤維護(hù)類人才是我軍網(wǎng)絡(luò)安全人才領(lǐng)域需求數(shù)量較大的一類人才，負(fù)責(zé)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的日常值勤和維護(hù)，記錄所發(fā)生的網(wǎng)絡(luò)安全事件和對(duì)網(wǎng)絡(luò)安全規(guī)則進(jìn)行的各種修改、網(wǎng)絡(luò)安全日志查看、網(wǎng)絡(luò)安全事件上報(bào)等日常工作。

技術(shù)支持類：技術(shù)支持類人才處理并解決網(wǎng)絡(luò)中出現(xiàn)的任何技術(shù)類問(wèn)題，是進(jìn)行網(wǎng)絡(luò)運(yùn)維、網(wǎng)絡(luò)安全事故處理的主要力量。從網(wǎng)絡(luò)安全事故處理的角度看，網(wǎng)絡(luò)安全事故處理中，所需人才數(shù)量最大、技術(shù)要求最高的是技術(shù)支持類人才為惡意代碼分析人才。惡意代碼分析人才負(fù)責(zé)對(duì)獲得的惡意代碼進(jìn)行行為分析、逆向工程等操作，以理解惡意代碼的工作原理、所利用的系統(tǒng)弱點(diǎn)、產(chǎn)生的危害、波及的范圍、評(píng)估其影響等，并提出針對(duì)性的防御措施和系統(tǒng)恢復(fù)建議，開發(fā)網(wǎng)絡(luò)安全事故恢復(fù)工具和清除惡意代碼的工具等[5]。由于惡意代碼編寫的復(fù)雜性和源代碼的不可獲得性，惡意代碼分析絕大多數(shù)是在逆向工程的基礎(chǔ)上進(jìn)行的，需要的人才數(shù)量大、技術(shù)要求高，而且分析時(shí)間長(zhǎng)，短則一周至數(shù)周，長(zhǎng)則幾年至十幾年。

網(wǎng)絡(luò)安全人才的培養(yǎng)可依據(jù)其崗位特點(diǎn)區(qū)分類別進(jìn)行。網(wǎng)絡(luò)安全人才培訓(xùn)內(nèi)容包括網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全裝備操作、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)控、網(wǎng)絡(luò)安全日志審計(jì)、網(wǎng)絡(luò)追蹤與溯源、網(wǎng)絡(luò)偵察、漏洞挖掘、惡意代碼分析、操作系統(tǒng)安全、網(wǎng)絡(luò)安全協(xié)議分析、Web安全、移動(dòng)安全、Web測(cè)試、軟件工程、逆向工程、嵌入式系統(tǒng)安全、工業(yè)控制系統(tǒng)安全和工業(yè)設(shè)備安全等方面，培訓(xùn)方法、培訓(xùn)內(nèi)容、培訓(xùn)的工具等可根據(jù)培訓(xùn)對(duì)象定制，也可參考美軍的網(wǎng)絡(luò)安全人才培訓(xùn)模式，以網(wǎng)絡(luò)靶場(chǎng)、模擬任務(wù)執(zhí)行、模擬訓(xùn)練等方式進(jìn)行培訓(xùn)。

網(wǎng)絡(luò)空間是各種指令流、信息流傳遞、存儲(chǔ)的空間，也是各種惡意程序蓄意破壞的空間。由于技術(shù)、操作系統(tǒng)、開發(fā)環(huán)境以及在軟件開發(fā)等的落后，網(wǎng)絡(luò)安全防御方面的力量較弱。網(wǎng)絡(luò)安全防御是知識(shí)密集型、技能密集型和經(jīng)驗(yàn)密集型的活動(dòng)，需要熟練掌握網(wǎng)絡(luò)基礎(chǔ)知識(shí)、加解密知識(shí)、操作系統(tǒng)知識(shí)、網(wǎng)絡(luò)協(xié)議知識(shí)、各種安全協(xié)議知識(shí)、各種漏洞知識(shí)和軟件配置使用知識(shí)等，同時(shí)需要熟練掌握常用的網(wǎng)絡(luò)安全測(cè)試、攻擊和分析工具、網(wǎng)絡(luò)安全裝備操作技能、網(wǎng)絡(luò)策略制定及修正技能等。這就需要培訓(xùn)各種人才、主動(dòng)收集各種威脅數(shù)據(jù)，積極檢測(cè)識(shí)別各種網(wǎng)絡(luò)行為，主動(dòng)了解各種新出現(xiàn)的漏洞和惡意軟件等，保持對(duì)網(wǎng)絡(luò)安全領(lǐng)域前沿知識(shí)的敏感和關(guān)切。同時(shí)，要求各種網(wǎng)絡(luò)安全維護(hù)人員能及時(shí)根據(jù)網(wǎng)絡(luò)威脅發(fā)展的態(tài)勢(shì)，修正所轄的網(wǎng)絡(luò)安全策略，及時(shí)修改、完善各種網(wǎng)絡(luò)安全規(guī)則，保持對(duì)網(wǎng)絡(luò)安全的動(dòng)態(tài)維護(hù)和更新，積極主動(dòng)預(yù)防可能到來(lái)的網(wǎng)絡(luò)威脅。

4 結(jié) 語(yǔ)

目前，隨著互聯(lián)網(wǎng)技術(shù)的全球化使用，我國(guó)面臨的網(wǎng)絡(luò)安全威脅日益嚴(yán)重，加強(qiáng)對(duì)網(wǎng)絡(luò)安全事故處理方法和手段的研究也越來(lái)越迫切。因此，需要深入分析網(wǎng)絡(luò)安全事故處理機(jī)理和處置流程，各相關(guān)單位按照劃分的責(zé)權(quán)范圍相互協(xié)調(diào)，形成良性互動(dòng)，共同處理網(wǎng)絡(luò)事故，保護(hù)好國(guó)家和軍事信息網(wǎng)絡(luò)的安全運(yùn)行，為國(guó)家安全發(fā)展奠定基礎(chǔ)。