◆李若愚 賈 蕊

?

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系研究

◆李若愚 賈 蕊

（中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心 北京 100190）

合理建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系，利用有限的投入最大程度地降低網(wǎng)絡(luò)安全突發(fā)事件的負(fù)面影響，是當(dāng)前一個(gè)迫切需要解決的問(wèn)題。本文闡述了國(guó)內(nèi)外網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的基本情況，以國(guó)家和北京市為例介紹了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的組織形式，提出了面向政府和企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系模型。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全事件；應(yīng)急響應(yīng)；應(yīng)急響應(yīng)體系

0 引言

新形勢(shì)下，我國(guó)網(wǎng)絡(luò)安全應(yīng)急工作受到高度重視，《網(wǎng)絡(luò)安全法》從立法高度明確網(wǎng)絡(luò)安全應(yīng)急工作機(jī)制，重要行業(yè)和地區(qū)均制訂了較為完善的應(yīng)急預(yù)案和應(yīng)急響應(yīng)體系，明確了應(yīng)急組織架構(gòu)及職責(zé)、預(yù)警機(jī)制、處置流程等，能夠在發(fā)生網(wǎng)絡(luò)安全事件時(shí)進(jìn)行有效應(yīng)急響應(yīng)。本文介紹了國(guó)內(nèi)外網(wǎng)絡(luò)安全應(yīng)急體系建設(shè)情況，以國(guó)家和北京市為例分別介紹了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的組織形式，并分別針對(duì)政務(wù)單位和一般企業(yè)的特點(diǎn)，提出了相對(duì)簡(jiǎn)化版的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系模型，旨在高效利用單位內(nèi)部有限資源、配置落實(shí)專(zhuān)人職責(zé)、迅速取得外界援助，快速協(xié)調(diào)響應(yīng)，遏制危害網(wǎng)絡(luò)安全事件的發(fā)生。

1 我國(guó)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基本情況

2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，中央網(wǎng)信辦為其辦事機(jī)構(gòu)。隨后，各省、自治區(qū)、直轄市成立了省網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組和省網(wǎng)信辦，小組組長(zhǎng)均由省(自治區(qū))市委書(shū)記擔(dān)任、網(wǎng)信辦主任多由省(自治區(qū))市委宣傳部副部長(zhǎng)兼任，形成了網(wǎng)絡(luò)安全和信息化全國(guó)統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施的組織架構(gòu)?！秶?guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》指出，中央網(wǎng)信辦統(tǒng)籌協(xié)調(diào)組織國(guó)家網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作，建立健全跨部門(mén)聯(lián)動(dòng)處置機(jī)制，工信部、公安部、國(guó)家保密局等部門(mén)按照職責(zé)分工負(fù)責(zé)相關(guān)領(lǐng)域網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作，國(guó)家網(wǎng)絡(luò)安全應(yīng)急辦公室設(shè)在中央網(wǎng)信辦，由網(wǎng)絡(luò)安全協(xié)調(diào)局承擔(dān)具體工作。

目前，我國(guó)在國(guó)家層面、重要行業(yè)和地區(qū)均建立了明確的網(wǎng)絡(luò)安全應(yīng)急工作機(jī)制以及相關(guān)的制度，應(yīng)急管理組織架構(gòu)較為明確、權(quán)責(zé)清晰，制定了切實(shí)可行的處置流程，并指導(dǎo)下屬單位或部門(mén)編制了一系列總、分、專(zhuān)等多層次應(yīng)急預(yù)案，實(shí)現(xiàn)了突發(fā)事件應(yīng)急處置規(guī)范化[1]。地方政府通常依托地方網(wǎng)信辦、經(jīng)信委等機(jī)構(gòu)負(fù)責(zé)本地區(qū)網(wǎng)絡(luò)安全應(yīng)急體系建設(shè)，結(jié)合公共安全應(yīng)急工作，建立了相對(duì)完備的應(yīng)急機(jī)制；有些行業(yè)和單位充分利用國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu)技術(shù)力量，建立了多方合作、情報(bào)共享和事件通報(bào)機(jī)制，實(shí)現(xiàn)了信息情報(bào)的及時(shí)有效溝通，為網(wǎng)絡(luò)安全應(yīng)急響應(yīng)提供充足的預(yù)警、決策、反應(yīng)時(shí)間；部分中小企業(yè)則依靠外部廠(chǎng)商開(kāi)展網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作。

2 國(guó)外網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基本情況

2.1 美國(guó)應(yīng)急管理情況

美國(guó)在應(yīng)急管理方面的研究起步比較早，特別是“9·11”事件后，美國(guó)對(duì)危機(jī)管理和突發(fā)事件應(yīng)急救援方面更加重視，各種應(yīng)急演練活動(dòng)頻繁展開(kāi)，形成了比較健全的應(yīng)急響應(yīng)體系。

1979年成立的“美國(guó)聯(lián)邦應(yīng)急管理署(FEMA)”是美國(guó)專(zhuān)門(mén)的應(yīng)急管理機(jī)構(gòu)，公共安全事件和網(wǎng)絡(luò)安全事件的應(yīng)急管理都在FEMA的管理范疇內(nèi)，于2003年并入國(guó)土安全部(DHS)?！睹绹?guó)應(yīng)急準(zhǔn)備指引》(National Preparedness Guidelines，“NPG”)和《美國(guó)應(yīng)急響應(yīng)計(jì)劃》(National Response Plan，“NRP”),是美國(guó)應(yīng)急體系的主要政策文件和應(yīng)急工作總體框架，為應(yīng)急響應(yīng)提供戰(zhàn)略性指引。

2.2 歐盟應(yīng)急管理情況

歐盟目前共有28個(gè)成員國(guó)，其應(yīng)急管理的突出特點(diǎn)是很多跨地域突發(fā)事件的處置需要多個(gè)成員國(guó)共同參與，協(xié)同應(yīng)對(duì)。2004年3月，歐盟成立了“歐洲信息安全局（ENISA）”。除ENISA外，歐盟各成員國(guó)均有各自的網(wǎng)絡(luò)安全管理機(jī)構(gòu)，它們主要負(fù)責(zé)制定國(guó)家戰(zhàn)略政策，還在歐盟一級(jí)代表各自的國(guó)家。2009年3月，歐盟委員會(huì)公布了新的《重大信息基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略》，同年4月，ENISA發(fā)布了《通信網(wǎng)絡(luò)彈性：成員國(guó)政策和法規(guī)及政策建議》報(bào)告，明確要求各成員國(guó)必須建立一支全國(guó)性的計(jì)算機(jī)應(yīng)急小組[2]。

3 我國(guó)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織形式

我國(guó)2005年出臺(tái)《國(guó)家突發(fā)公共事件總體應(yīng)急預(yù)案》，構(gòu)建了我國(guó)應(yīng)急體系和預(yù)案體系基本架構(gòu)?！毒W(wǎng)絡(luò)安全法》規(guī)范了“監(jiān)測(cè)預(yù)警與應(yīng)急處置”，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)部門(mén)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度建立、風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制健全、數(shù)據(jù)保護(hù)與信息利用、運(yùn)營(yíng)監(jiān)管與處罰等都作出了明確規(guī)定。《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》明確了領(lǐng)導(dǎo)機(jī)構(gòu)、辦事機(jī)構(gòu)、國(guó)家各部門(mén)、各省（市、區(qū)）部門(mén)在網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)過(guò)程中的工作職責(zé)，建立了跨部門(mén)聯(lián)動(dòng)應(yīng)急處置體系。

3.1 國(guó)家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系

我國(guó)2002年成立了“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心”，簡(jiǎn)稱(chēng)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT），它是我國(guó)國(guó)家級(jí)的計(jì)算機(jī)安全事件應(yīng)急組織。2003年，CNCERT在全國(guó)31個(gè)省成立分中心，實(shí)現(xiàn)了互聯(lián)網(wǎng)的信息共享、技術(shù)協(xié)調(diào)，同時(shí)完成了我國(guó)互聯(lián)網(wǎng)安全技術(shù)支撐體系跨網(wǎng)、跨系統(tǒng)、跨地域的建設(shè)階段[3]。

國(guó)家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系是由國(guó)家網(wǎng)絡(luò)安全主管部門(mén)、CNCERT、國(guó)家級(jí)網(wǎng)絡(luò)安全技術(shù)隊(duì)伍等組織構(gòu)成。這里只討論公共互聯(lián)網(wǎng)應(yīng)急響應(yīng)體系，在該體系中CNCERT負(fù)責(zé)協(xié)調(diào)國(guó)家各行業(yè)相關(guān)主管部門(mén)及各計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急小組共同處理網(wǎng)絡(luò)安全緊急事件，為國(guó)家重要信息系統(tǒng)、公共互聯(lián)網(wǎng)以及關(guān)鍵部門(mén)提供監(jiān)測(cè)預(yù)警、應(yīng)急處置等安全服務(wù)和技術(shù)支持，及時(shí)收集、核實(shí)、匯總、發(fā)布有關(guān)互聯(lián)網(wǎng)安全的權(quán)威性信息，組織國(guó)內(nèi)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)單位進(jìn)行國(guó)際合作和交流。

3.2 北京市網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系

在北京市應(yīng)急響應(yīng)體系中，按照工作中所承擔(dān)職責(zé)的不同，網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)包括應(yīng)急管理的組織指揮機(jī)構(gòu)、專(zhuān)項(xiàng)應(yīng)急指揮機(jī)構(gòu)、地方機(jī)構(gòu)、日常辦事機(jī)構(gòu)、工作機(jī)構(gòu)、支撐機(jī)構(gòu)及專(zhuān)家組織等[4]。

圖1 國(guó)家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系

圖2 北京市網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系

2005年4月，北京市成立了突發(fā)公共事件應(yīng)急委員會(huì)，其辦事機(jī)構(gòu)設(shè)在政府辦公廳，加掛北京市應(yīng)急指揮中心和市政府總值班室的牌子，統(tǒng)籌協(xié)調(diào)全市公共突發(fā)事件應(yīng)急管理工作。目前市應(yīng)急辦下設(shè)19個(gè)專(zhuān)項(xiàng)指揮部，其中“通信保障和信息安全應(yīng)急指揮部”承擔(dān)北京市網(wǎng)絡(luò)與信息安全事件應(yīng)對(duì)和應(yīng)急通信保障工作的規(guī)劃、組織、協(xié)調(diào)、指導(dǎo)和檢查職責(zé)。通信保障和信息安全應(yīng)急指揮部統(tǒng)籌協(xié)調(diào)市經(jīng)信委、公安、新聞出版廣電局、保密局，依托其各自的技術(shù)支撐單位開(kāi)展政府、社會(huì)、廣電、保密等各行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全應(yīng)急工作。2018年11月，北京市應(yīng)急管理局正式掛牌成立，突發(fā)公共事件應(yīng)急委員會(huì)辦公室職責(zé)已劃入應(yīng)急管理局，但大部分專(zhuān)項(xiàng)指揮部還沿用原有管理體系，具體細(xì)節(jié)目前還未公開(kāi)。

4 針對(duì)政府和企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系模型

自2008年以來(lái)，一些機(jī)構(gòu)和行業(yè)陸續(xù)建立了網(wǎng)絡(luò)安全應(yīng)急管理機(jī)制，但總體來(lái)說(shuō)較為零散，針對(duì)性和規(guī)范性不強(qiáng)，需要進(jìn)一步完善以“點(diǎn)”、“線(xiàn)”為主的預(yù)案體系和應(yīng)急機(jī)制，加強(qiáng)“面”上的應(yīng)急體系建設(shè)，落實(shí)“一案三制”要求，建立全面完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系。

在實(shí)際工作中政務(wù)單位和企業(yè)會(huì)碰到諸多難題，如網(wǎng)絡(luò)安全事件人員組織和調(diào)配困難、專(zhuān)業(yè)技術(shù)人員和應(yīng)急裝備管理混亂、網(wǎng)絡(luò)故障原因復(fù)雜、攻擊手段難以取證等。本節(jié)提出了兩個(gè)相對(duì)簡(jiǎn)化的應(yīng)急響應(yīng)模型供政府和企業(yè)參考，各政務(wù)單位和企業(yè)需根據(jù)自身業(yè)務(wù)的特點(diǎn)和性質(zhì)，盡早建立響應(yīng)迅速保障有力的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系，防患于未然。

4.1 政務(wù)單位網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織體系模型

政府作為協(xié)調(diào)主體的響應(yīng)對(duì)象并不是應(yīng)對(duì)政府辦公內(nèi)網(wǎng)的網(wǎng)絡(luò)安全事故，而是針對(duì)普遍影響廣大網(wǎng)民、關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)甚至國(guó)家安全的重大事件，如電信基礎(chǔ)設(shè)施遭攻擊、省骨干網(wǎng)癱瘓、關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)中斷等，可能涉及到各地區(qū)多部門(mén)之間的組織協(xié)調(diào)與資源調(diào)度。因此，政務(wù)單位的應(yīng)急響應(yīng)體系模型，不必區(qū)分內(nèi)部與外部，需要相關(guān)機(jī)構(gòu)、涉事互聯(lián)網(wǎng)企業(yè)、供應(yīng)商、電信運(yùn)營(yíng)商、專(zhuān)業(yè)安全廠(chǎng)商和政府下屬機(jī)構(gòu)齊心協(xié)力，形成有機(jī)整體，共同完成響應(yīng)任務(wù)。

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組（簡(jiǎn)稱(chēng)“領(lǐng)導(dǎo)小組”）對(duì)應(yīng)急響應(yīng)工作進(jìn)行統(tǒng)一指揮，對(duì)安全事件作出決策，組長(zhǎng)由本單位內(nèi)主管信息化工作的最高領(lǐng)導(dǎo)擔(dān)任。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)辦公室（簡(jiǎn)稱(chēng)“應(yīng)急辦”）是應(yīng)急響應(yīng)體系的核心，一方面協(xié)調(diào)應(yīng)急體系的正常運(yùn)行，維護(hù)信息分析共享平臺(tái)，處理日常事務(wù)性工作，另一方面管理協(xié)調(diào)各個(gè)應(yīng)急響應(yīng)組。需要通報(bào)的機(jī)構(gòu)有網(wǎng)信、公安、工信部門(mén)，甚至金融監(jiān)管、國(guó)際貿(mào)易、國(guó)家安全等部門(mén)，也可能是其他業(yè)務(wù)關(guān)聯(lián)部門(mén)，如工商、稅務(wù)。需要強(qiáng)調(diào)的是，應(yīng)急辦是應(yīng)急響應(yīng)的關(guān)鍵組織保障，其負(fù)責(zé)人在熟悉信息化業(yè)務(wù)的同時(shí)還需具備一定的指揮協(xié)調(diào)能力和足夠的權(quán)力，才能調(diào)動(dòng)內(nèi)部部門(mén)、主營(yíng)業(yè)務(wù)領(lǐng)域的協(xié)同力量，通常應(yīng)急辦負(fù)責(zé)人由信息中心主任或副主任兼任。此外，應(yīng)急辦根據(jù)需要下設(shè)省或市縣級(jí)分支機(jī)構(gòu)，并對(duì)這些分支機(jī)構(gòu)部門(mén)統(tǒng)一協(xié)調(diào)。

在單位內(nèi)部需設(shè)立技術(shù)專(zhuān)家組、顧問(wèn)專(zhuān)家組、公共輿論組。技術(shù)專(zhuān)家組指導(dǎo)技術(shù)支撐人員采取有效措施，及時(shí)遏制、診斷原因、迅速處置；顧問(wèn)專(zhuān)家組提供總體或?qū)ｍ?xiàng)策略支持；公共輿論組負(fù)責(zé)對(duì)外的消息發(fā)布，由于政府機(jī)構(gòu)通常設(shè)置新聞發(fā)言人，“公共輿論組”可同時(shí)兼任新聞發(fā)布職能，統(tǒng)一口徑對(duì)外發(fā)布應(yīng)急處置消息。

圖3 政務(wù)單位網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系模型

4.2 企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織體系模型

企業(yè)作為協(xié)調(diào)主體的響應(yīng)對(duì)象通常是針對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)安全事件，需要企業(yè)及時(shí)響應(yīng)、自主應(yīng)對(duì)，降低對(duì)企業(yè)自身的影響或沖擊。大部分的中小型企業(yè)自身的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實(shí)力還是不夠的，需借助安全服務(wù)商、供應(yīng)商的協(xié)助支持來(lái)應(yīng)對(duì)安全事件或網(wǎng)絡(luò)攻擊。

圖4 企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系模型

企業(yè)內(nèi)部的技術(shù)專(zhuān)家組對(duì)應(yīng)急響應(yīng)的流程運(yùn)轉(zhuǎn)有重要支撐作用，在具體決策上也發(fā)揮參謀作用，需要與企業(yè)內(nèi)部IT技術(shù)支撐部門(mén)保持密切配合，顧問(wèn)專(zhuān)家組則主要提供法務(wù)咨詢(xún)。在對(duì)外發(fā)布應(yīng)急處置消息時(shí)，既要兼顧企業(yè)公共關(guān)系，同時(shí)也要維護(hù)客戶(hù)/用戶(hù)的信心——品牌信譽(yù)，因此，新聞發(fā)布職能可由“市場(chǎng)公關(guān)組”負(fù)責(zé)。外部協(xié)調(diào)上，業(yè)務(wù)關(guān)聯(lián)方、供應(yīng)商是重點(diǎn)協(xié)調(diào)對(duì)象。通常來(lái)說(shuō)，安全服務(wù)廠(chǎng)商也是供應(yīng)商的一種，近年來(lái)受到各方重視，因此在模型中單獨(dú)列出。由于各類(lèi)外部支持人員對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)環(huán)境和系統(tǒng)拓?fù)浣Y(jié)構(gòu)并不熟悉，需要企業(yè)IT技術(shù)支撐部門(mén)提供相關(guān)信息。需要注意的是，除非有特別重大原因，企業(yè)內(nèi)網(wǎng)安全事件不必向政府主管部門(mén)通報(bào)，若需要追究網(wǎng)絡(luò)攻擊犯罪嫌疑人，則需通報(bào)、協(xié)助公安機(jī)關(guān)抓捕犯罪分子。

5 結(jié)語(yǔ)與展望

本文主要介紹了國(guó)內(nèi)外網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基本情況，以國(guó)家和北京市為例介紹了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織形式，并針對(duì)政府和企業(yè)的特點(diǎn)提出了兩種簡(jiǎn)化版的應(yīng)急響體系模型。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)，歸根到底是依靠卓越的指揮協(xié)調(diào)能力、溝通領(lǐng)導(dǎo)能力以及專(zhuān)業(yè)的技術(shù)支撐團(tuán)隊(duì)，由于各機(jī)構(gòu)自身特點(diǎn)和技術(shù)能力千差萬(wàn)別，其應(yīng)急響應(yīng)體系不可能千篇一律，只有充分結(jié)合自身業(yè)務(wù)特點(diǎn)、發(fā)揮技術(shù)能力優(yōu)勢(shì)、高效組織各部門(mén)聯(lián)動(dòng)響應(yīng)，才能在發(fā)生網(wǎng)絡(luò)安全突發(fā)事件后妥善處置、有序響應(yīng)，確保人員到位、技術(shù)到位、援助到位，從而降低事故帶來(lái)的損失和負(fù)面影響。

[1]錢(qián)秀檳，趙章界.加強(qiáng)應(yīng)急工作 強(qiáng)化新形勢(shì)下的網(wǎng)絡(luò)安全保障[J].人民日?qǐng)?bào)網(wǎng)，2017.

[2]谷安安全牛.網(wǎng)絡(luò)安全應(yīng)急管理體系現(xiàn)狀與建議.https://www.aqniu.com/industry/28758.html.

[3]周勇林.計(jì)算機(jī)應(yīng)急響應(yīng)與我國(guó)互聯(lián)網(wǎng)應(yīng)急處理體系.電信世界，2004.

[4]錢(qián)秀檳，毛作奎.政府網(wǎng)絡(luò)與信息安全事件應(yīng)急工作指南.中國(guó)標(biāo)準(zhǔn)出版社，2012.