文│ 国家计算机网络应急技术处理协调中心 胡俊 严寒冰 吕志泉 周彧
2020年伊始,新型冠状病毒肺炎疫情突然暴发,并在全球范围流行。多个国家的 apt 攻击组织都发起了以新冠疫情为诱饵主题的高级威胁攻击。互联网+在我国新冠肺炎疫情防控方面发挥了积极的支撑作用。但随之而来的网络攻击、安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全风险威胁日益凸显,为我国网络安全防护工作带来巨大压力。网络安全应急体系在网络安全工作中越来越重要。网络安全应急工作作为网络安全工作的重要一环,已纳入国家网络安全顶层设计。2016 年12 月,我国发布首份《国家网络空间安全战略》。战略明确规定:“完善网络安全监测预警和网络安全重大事件应急处置机制”。这为我国网络安全应急工作指明了方向和重点,作出了重要战略部署。2017 年 1 月,中央网信办印发了《国家网络安全事件应急预案》,2017 年 6 月向社会公开发布。该预案是国家层面组织应对特别重大网络安全事件的应急处置行动方案,也是各地区、各部门、各行业开展网络安全应急工作的重要依据。
目前,我国已经基本形成以“一案三制”为核心的网络安全事件应急体系。一是应急预案体系基本形成。我国已制定各级各类网络安全事件应急预案,基本形成覆盖范围较广的应急预案体系,并开展培训和演练。二是基本建立了统一领导、综合协调、谁主管谁负责,谁运营谁负责,全社会参与的网络安全应急体系。三是逐步形成了“统一指挥,反应灵敏、协调有序、运转高效”的应急机制。网络安全事件的信息共享机制,事件研判机制,跨部门协同机制逐步完善。四是网络安全应急管理法制建设得到加强。本文分别从预案体系、组织架构、法律法规、机制等几个部分对我国网络安全事件应急体系进行梳理,并同美国的网络安全应急体系进行对比。
一、我国网络安全事件应急体系现状
(一)预案体系
1.国家网络安全事件应急预案
《国家网络安全事件应急预案》兼顾了管理和处置要求,明确了中央和国家各部门、各省(区、市)网信部门在网络安全事件预防、监测、报告和应急处置工作中的职责,提出了特别重大网络安全事件的应急响应流程,既有指导性又有可操作性,既是各地区、各部门、各单位开展网络安全应急工作的依据,又是国家层面组织各地区、各部门应对特别重大网络安全事件应急处置行动的方案,有利于形成横向协同、纵向联动、全国统一的网络安全应急体系。《国家网络安全事件应急预案》内容主要包括组织机构和职责、监测与预警、应急响应、调查评估、预防工作和保障措施。
2017 年 6 月 27 日,《国家网络安全事件应急预案》通过中央网信网向社会公开发布
《国家网络安全事件应急预案》是国家网络安全事件应急预案体系的总纲,为各级部门制定相应级别网络安全应急预案提供了指导和参照。网络安全应急工作主要围绕以下几个方面展开:
事前:预防
网络安全事件预防工作主要包括风险评估,日常管理、演练、宣传、培训、重要活动期间的预防措施。
事发:监测与预警
各单位按照“谁主管谁负责,谁运营谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。建设监测预警平台,努力提高预警监测、信息汇聚能力,是建设更加有效的网络安全事件应急体系的重要内容。监测预警体系应涵盖国家,部门,地区,企事业单位,专业机构,公司等多级单位。各地区、各部门、各单位都应最大化做好所属地区的监测预警工作。
事中:应急处置
《国家网络安全事件应急预案》明确了在中央网信委领导下,中央网信办负责统筹协调,各部门分工负责的领导机制,必要时成立国家网络安全事件应急指挥部。中央和国家机关各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作,在网络安全事件发生后,尽可能快速、高效跟踪、处置与防范,确保网络信息安全。
根据事件的级别启动不同级别的应急响应流程。事发单位、事发单位监管机构或行业主管机构、国家网络安全应急办、国家网络安全应急支撑队伍根据事件情况和预案要求分别承担不同的任务,按既定流程开展网络安全应急工作。其中国家网络安全应急办承担网络安全应急跨部门、跨地区协调工作和指挥部的事务性工作,组织指导国家网络安全应急技术支撑队伍做好应急处置的技术支撑工作。
事后:调查评估与追责
按照职责权限,各地区、各部门在重大网络安全事件处置结束后,要开展调查评估,向中央网信办提交总结调查报告,对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。责任追究与奖惩。按照国家预案,网络安全事件应急处置工作实行责任追究制。
2.行业、地方网络安全事件应急预案
《网络安全法》明确,“网络运营者应当制定网络安全事件应急预案;负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案”。同时,根据《国家网络安全事件应急预案》要求,各地区、各部门、各单位需制修订本地区、本部门、本行业的网络安全事件应急预案,在事件分级上与国家预案一致,在事件报告、指挥机构、处置流程上与国家预案有效衔接,以形成国家网络安全事件应急预案体系。因此,各地区各部门预案都要在国家级的网络安全应急预案的总体框架下分别制定。
行业、地方网络安全应急预案主要包括:中央国家机关应急预案、行业部门应急预案、地方应急预案、企事业单位应急预案、专项应急预案。
国家网络安全事件应急预案与行业、地方网络安全事件应急预案一起形成我国的网络安全事件应急预案体系。(见下图)中央网信办协调有关部门定期组织演练,检验和完善预案,提高实战能力。
(二)组织架构
中央网信办统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工开展相关网络安全事件应对工作。
设立国家网络安全应急办。按照《国家网络安全事件应急预案》,在中央网信办设立国家网络安全应急办,作为网络安全应急日常工作机构,承担跨地区跨部门协调、信息汇集研判和预警发布、技术队伍调度支持等工作,工信、公安等有关部门派司局级联络员参加国家网络安全应急办工作。
与各地区各部门建立应急联络渠道。要求各地区各部门明确本地区、本部门、本行业网络安全应急负责机构、负责人和联络人。
特别重大网络安全事件 , 成立国家网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调,指挥部办公室设在中央网信办。
重大网络安全事件 , 事件发生省(区、市)或部门负责指挥应对,及时将事态发展变化情况报中央网信办,处置中需要其他有关地区部门和国家网络安全应急技术支撑队伍配合和支持的,商中央网信办予以协调。中央网信办综合研判,及时向中央网信委报告,向有关地区部门通报情况。
较大和一般网络安全事件 , 中央网信办将情况通报有关地区和部门,由其指导督促相关单位进行处置,并向中央网信办反馈处置情况。
(三)法律法规
1. 网络安全事件应急相关法律
网络安全法对国家网络安全事件应急工作进行规定。《网络安全法》第五章“监测预警与应急处置”明确,“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。”同时,《网络安全法》规定,“发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。”
在网络安全法出台之后,我国相继推出了一系列配套法律法规,包括《网络安全审查办法》《云计算服务安全评估办法》《网络安全等级保护条例(征求意见稿)》《数据安全管理办法(征求意见稿)》《网络安全威胁信息发布管理办法 ( 征求意见稿 )》《公共互联网网络安全威胁监测与处置办法》《关键信息基础设施安全保护条例(征求意见稿)》《工业控制系统信息安全事件应急管理工作指南》《网络安全事件应急演练指南(试行)》等,对网络安全应急工作提出了要求。
2. 网络安全事件应急相关标准规范
目前我国在全国信息安全标准化技术委员会(Tc++260)组织下开展了一系列应急响应相关标准制订工作,在网络安全事件应急的全流程中制定了多项标准规范,涉及信息共享、事件管理、组织建设、应急演练、平台建设等多个方面。同时针对钓鱼网站、木马和僵尸网络、移动互联网恶意程序等特定网络安全事件的应急工作,通信标准化协会(tc8) 制定了详细的能力要求和接口规范等标准(详见表 1)。
信息共享方面:《网络安全事件描述和交换格式》(GB/T 28517-2012)规定了描述计算机网络安全事件的通用数据格式,以便于计算机安全应急响应组间进行网络安全事件交换,并提供了XML 的参考实现,适用于计算机安全应急响应组间进行计算机网络安全事件交换,也可供建设和维护计算机网络安全事件处理系统时参考。《信息安全技术威胁信息格式规范》(GB/T 36643-2018)通过结构化、标准化的方法描述网络安全威胁信息,以便实现各组织间网络安全威胁信息的共享和利用,并支持网络安全威胁管理和应用自动化。
事件管理方面:《信息安全事件管理第 1 部分:事件管理原理》(GB/T 20985.1-2017)提出了信息安全事件管理的基本概念和阶段,并根据这些概念来发现、报告、评估和响应事件,以及进行经验总结。《信息安全应急响应计划规范》(GB/T 24363-2009)规定了编制信息安全应急响应计划的前期准备 , 确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。适用于包括整个组织、组织中的部门和组织的信息系统(包括网络系统)的各层面信息安全应急响应计划。
组织建设方面:《网络安全应急处理小组建设指南》(YD/T 1826-2008)给出网络安全应急处理小组的组建过程、职责定位、服务对象界定和小组间协作等方面的指南。适用于各类网络安全应急处理小组的组建,也可供已成立的网络安全应急小组参考。
应急演练方面:《网络安全事件应急演练指南》(GB/T 38645-2020)给出了网络安全事件应急演练实施目的、原则、形式、方法及规划,并描述了应急演练的组织架构以及实施过程,适用于指导相关组织实施网络安全事件应急演练活动。
平台建设方面:《国家网络安全应急处理平台安全信息获取接口要求》(YD/T 2251-2011)规定了网络安全应急处理平台与基础电信网络或重要信息系统的集中式网络安全事件管理系统或网管系统的接口。适用于网络安全应急处理平台、集中式网络安全事件管理系统及网管系统。
同时,全国信息安全标准化技术委员会正在组织制订《信息安全事件分类分级指南》《信息安全管理体系指南》等国家标准,以提升我国网络空间安全应急响应能力。
(四)机制
信息共享方面:目前各地区、各部门、各单位结合实际,形成自己的信息共享机制。如 CNVD平台依托 CNCERT 以及相关行业单位的技术和资源基础,与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集、验证体系。各地区、各部门将重要监测信息报应急办,应急办组织开展跨地区、跨部门的网络安全信息共享。
事件研判方面:对于特别重大的网络安全事件,中央网信办将组织应急指挥部对事件进行研判。
事件处置方面:根据网络安全法和《国家网络安全事件应急预案》的相关规定,中央网信办负责统筹协调网络安全应急工作,协调处置重大网络安全事件,组织指导国家网络安全应急技术支撑队伍做好应急处置的技术支撑工作,组织开展重要网络安全信息的汇集、研判,及时向中央网信委报告,并向有关地区、部门发送风险提示和预警信息。
二、美国网络安全事件应急体系
(一)明确事件协调职能
2016 年 7 月 26 日,美国发布第 41 号总统政策指令《美国网络事件协调政策》,明确了美国联邦政府在开展网络事件响应活动中应遵循的 5大原则,即责任共担、基于风险的响应、尊重受影响实体、政府行动统一、促进修复与恢复。在网络安全事件响应过程中,美联邦政府机构应同时开展 3 方面工作:威胁响应、资产响应、情报支持及相关活动。
(二)确立协调体制架构
美联邦政府重大网络事件响应协调架构主要涉及三方面:一是国家政策协调。网络响应小组(CRG)在国家安全委员会(NSC)副部长级和部长级委员会的支持下,通过国家安全委员会协调美国政府在重大网络事件方面政策战略制定与落实。二是国家运营协调。设立网络统一协调小组(Ucg),作为重大网络事件响应时,协调各联邦机构并与私营机构合作的主要方式。该小组通常由威胁响应、资产响应、情报支持的联邦机构组成。三是现场协调。资产或威胁响应方面的政府牵头机构应在其各自的负责领域相互协调,并与受影响实体有效协调。
(三)完善网络事件分级
美国将网络事件共分 6 级,分别为基线、低级、中级、高级、严重、紧急。基线事件指缺乏事实根据或无足轻重的事件;低级事件指不会对公共健康或安全、国家安全、经济安全、外交关系、公民自由或公众信心产生影响的事件;中级事件指可能会对以上领域产生影响的事件;高级事件指可能会对以上领域产生明显影响的事件;严重事件指的是可能会对公共健康或安全、国家安全、经济安全、外交关系或公民自由造成重大影响的事件;紧急事件指的是对大范围关键基础设施服务、国家政府稳定或美国民众生活构成紧迫威胁的事件。
(四)加强核心支撑能力核心能力
主要包括访问控制和身份验证、网络安全、取证和溯源、基础设施系统、情报与信息共享、拦截和阻断、物流和供应链管理、业务通信、行动协调、规划、公共信息和预警、筛选搜索和监测、态势评估、威胁与危害识别等。
网络安全和基础设施安全局(CISA)成立于2018 年,隶属于美国国土安全部,核心职能是行使对美国联邦民事机构的物理及网络关键基础设施的安全保卫职责,负责整个联邦政府的网络安全工作。
三、对比分析与建议
通过对美国和中国的网络安全应急体系研究和梳理,两国都高度重视网络安全应急工作,都通过不断完善顶层设计、组织架构、法律法规、技术研究、人才培养等持续强化本国网络安全应急能力。但相比美国,我国还存在网络安全应急体系的体制机制不健全、核心技术装备自主化水平低、国际影响力较弱等问题。
(本文刊登于《中国信息安全》杂志2021年第3期)