网络安全应急响应体系研究

◆李若愚 贾 蕊



网络安全应急响应体系研究

◆李若愚 贾 蕊

（中国互联网络信息中心 北京 100190）

合理建立网络安全应急响应体系，利用有限的投入最大程度地降低网络安全突发事件的负面影响，是当前一个迫切需要解决的问题。本文阐述了国内外网络安全应急响应的基本情况，以国家和北京市为例介绍了网络安全应急响应的组织形式，提出了面向政府和企业的网络安全应急响应体系模型。

网络安全；网络安全事件；应急响应；应急响应体系

0 引言

新形势下，我国网络安全应急工作受到高度重视，《网络安全法》从立法高度明确网络安全应急工作机制，重要行业和地区均制订了较为完善的应急预案和应急响应体系，明确了应急组织架构及职责、预警机制、处置流程等，能够在发生网络安全事件时进行有效应急响应。本文介绍了国内外网络安全应急体系建设情况，以国家和北京市为例分别介绍了网络安全应急响应的组织形式，并分别针对政务单位和一般企业的特点，提出了相对简化版的网络安全应急响应体系模型，旨在高效利用单位内部有限资源、配置落实专人职责、迅速取得外界援助，快速协调响应，遏制危害网络安全事件的发生。

1 我国网络安全应急响应基本情况

2014年2月，中央网络安全和信息化领导小组成立，中央网信办为其办事机构。随后，各省、自治区、直辖市成立了省网络安全和信息化领导小组和省网信办，小组组长均由省(自治区)市委书记担任、网信办主任多由省(自治区)市委宣传部副部长兼任，形成了网络安全和信息化全国统一谋划、统一部署、统一推进、统一实施的组织架构。《国家网络安全事件应急预案》指出，中央网信办统筹协调组织国家网络安全事件应对工作，建立健全跨部门联动处置机制，工信部、公安部、国家保密局等部门按照职责分工负责相关领域网络安全事件应对工作，国家网络安全应急办公室设在中央网信办，由网络安全协调局承担具体工作。

目前，我国在国家层面、重要行业和地区均建立了明确的网络安全应急工作机制以及相关的制度，应急管理组织架构较为明确、权责清晰，制定了切实可行的处置流程，并指导下属单位或部门编制了一系列总、分、专等多层次应急预案，实现了突发事件应急处置规范化[1]。地方政府通常依托地方网信办、经信委等机构负责本地区网络安全应急体系建设，结合公共安全应急工作，建立了相对完备的应急机制；有些行业和单位充分利用国家网络安全机构技术力量，建立了多方合作、情报共享和事件通报机制，实现了信息情报的及时有效沟通，为网络安全应急响应提供充足的预警、决策、反应时间；部分中小企业则依靠外部厂商开展网络安全应急响应工作。

2 国外网络安全应急响应基本情况

2.1 美国应急管理情况

美国在应急管理方面的研究起步比较早，特别是“9·11”事件后，美国对危机管理和突发事件应急救援方面更加重视，各种应急演练活动频繁展开，形成了比较健全的应急响应体系。

1979年成立的“美国联邦应急管理署(FEMA)”是美国专门的应急管理机构，公共安全事件和网络安全事件的应急管理都在FEMA的管理范畴内，于2003年并入国土安全部(DHS)。《美国应急准备指引》(National Preparedness Guidelines，“NPG”)和《美国应急响应计划》(National Response Plan，“NRP”),是美国应急体系的主要政策文件和应急工作总体框架，为应急响应提供战略性指引。

2.2 欧盟应急管理情况

欧盟目前共有28个成员国，其应急管理的突出特点是很多跨地域突发事件的处置需要多个成员国共同参与，协同应对。2004年3月，欧盟成立了“欧洲信息安全局（ENISA）”。除ENISA外，欧盟各成员国均有各自的网络安全管理机构，它们主要负责制定国家战略政策，还在欧盟一级代表各自的国家。2009年3月，欧盟委员会公布了新的《重大信息基础设施保护战略》，同年4月，ENISA发布了《通信网络弹性：成员国政策和法规及政策建议》报告，明确要求各成员国必须建立一支全国性的计算机应急小组[2]。

3 我国网络安全应急响应组织形式

我国2005年出台《国家突发公共事件总体应急预案》，构建了我国应急体系和预案体系基本架构。《网络安全法》规范了“监测预警与应急处置”，对关键信息基础设施保护部门网络安全监测预警和信息通报制度建立、风险评估和应急工作机制健全、数据保护与信息利用、运营监管与处罚等都作出了明确规定。《国家网络安全事件应急预案》明确了领导机构、办事机构、国家各部门、各省（市、区）部门在网络安全事件应急响应过程中的工作职责，建立了跨部门联动应急处置体系。

3.1 国家网络安全应急响应体系

我国2002年成立了“国家计算机网络应急技术处理协调中心”，简称国家互联网应急中心（CNCERT），它是我国国家级的计算机安全事件应急组织。2003年，CNCERT在全国31个省成立分中心，实现了互联网的信息共享、技术协调，同时完成了我国互联网安全技术支撑体系跨网、跨系统、跨地域的建设阶段[3]。

国家网络安全应急响应体系是由国家网络安全主管部门、CNCERT、国家级网络安全技术队伍等组织构成。这里只讨论公共互联网应急响应体系，在该体系中CNCERT负责协调国家各行业相关主管部门及各计算机网络安全事件应急小组共同处理网络安全紧急事件，为国家重要信息系统、公共互联网以及关键部门提供监测预警、应急处置等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内网络安全应急响应单位进行国际合作和交流。

3.2 北京市网络安全应急响应体系

在北京市应急响应体系中，按照工作中所承担职责的不同，网络安全应急机构包括应急管理的组织指挥机构、专项应急指挥机构、地方机构、日常办事机构、工作机构、支撑机构及专家组织等[4]。

图1 国家网络安全应急响应体系

图2 北京市网络安全应急响应体系

2005年4月，北京市成立了突发公共事件应急委员会，其办事机构设在政府办公厅，加挂北京市应急指挥中心和市政府总值班室的牌子，统筹协调全市公共突发事件应急管理工作。目前市应急办下设19个专项指挥部，其中“通信保障和信息安全应急指挥部”承担北京市网络与信息安全事件应对和应急通信保障工作的规划、组织、协调、指导和检查职责。通信保障和信息安全应急指挥部统筹协调市经信委、公安、新闻出版广电局、保密局，依托其各自的技术支撑单位开展政府、社会、广电、保密等各行业领域的网络安全应急工作。2018年11月，北京市应急管理局正式挂牌成立，突发公共事件应急委员会办公室职责已划入应急管理局，但大部分专项指挥部还沿用原有管理体系，具体细节目前还未公开。

4 针对政府和企业的网络安全应急响应体系模型

自2008年以来，一些机构和行业陆续建立了网络安全应急管理机制，但总体来说较为零散，针对性和规范性不强，需要进一步完善以“点”、“线”为主的预案体系和应急机制，加强“面”上的应急体系建设，落实“一案三制”要求，建立全面完善的网络安全应急响应体系。

在实际工作中政务单位和企业会碰到诸多难题，如网络安全事件人员组织和调配困难、专业技术人员和应急装备管理混乱、网络故障原因复杂、攻击手段难以取证等。本节提出了两个相对简化的应急响应模型供政府和企业参考，各政务单位和企业需根据自身业务的特点和性质，尽早建立响应迅速保障有力的网络安全应急响应体系，防患于未然。

4.1 政务单位网络安全应急响应组织体系模型

政府作为协调主体的响应对象并不是应对政府办公内网的网络安全事故，而是针对普遍影响广大网民、关键信息基础设施防护甚至国家安全的重大事件，如电信基础设施遭攻击、省骨干网瘫痪、关键信息基础设施服务中断等，可能涉及到各地区多部门之间的组织协调与资源调度。因此，政务单位的应急响应体系模型，不必区分内部与外部，需要相关机构、涉事互联网企业、供应商、电信运营商、专业安全厂商和政府下属机构齐心协力，形成有机整体，共同完成响应任务。

网络安全应急响应领导小组（简称“领导小组”）对应急响应工作进行统一指挥，对安全事件作出决策，组长由本单位内主管信息化工作的最高领导担任。网络安全应急响应办公室（简称“应急办”）是应急响应体系的核心，一方面协调应急体系的正常运行，维护信息分析共享平台，处理日常事务性工作，另一方面管理协调各个应急响应组。需要通报的机构有网信、公安、工信部门，甚至金融监管、国际贸易、国家安全等部门，也可能是其他业务关联部门，如工商、税务。需要强调的是，应急办是应急响应的关键组织保障，其负责人在熟悉信息化业务的同时还需具备一定的指挥协调能力和足够的权力，才能调动内部部门、主营业务领域的协同力量，通常应急办负责人由信息中心主任或副主任兼任。此外，应急办根据需要下设省或市县级分支机构，并对这些分支机构部门统一协调。

在单位内部需设立技术专家组、顾问专家组、公共舆论组。技术专家组指导技术支撑人员采取有效措施，及时遏制、诊断原因、迅速处置；顾问专家组提供总体或专项策略支持；公共舆论组负责对外的消息发布，由于政府机构通常设置新闻发言人，“公共舆论组”可同时兼任新闻发布职能，统一口径对外发布应急处置消息。

图3 政务单位网络安全应急响应体系模型

4.2 企业网络安全应急响应组织体系模型

企业作为协调主体的响应对象通常是针对企业内部的网络安全事件，需要企业及时响应、自主应对，降低对企业自身的影响或冲击。大部分的中小型企业自身的网络安全应急响应技术实力还是不够的，需借助安全服务商、供应商的协助支持来应对安全事件或网络攻击。

图4 企业网络安全应急响应体系模型

企业内部的技术专家组对应急响应的流程运转有重要支撑作用，在具体决策上也发挥参谋作用，需要与企业内部IT技术支撑部门保持密切配合，顾问专家组则主要提供法务咨询。在对外发布应急处置消息时，既要兼顾企业公共关系，同时也要维护客户/用户的信心——品牌信誉，因此，新闻发布职能可由“市场公关组”负责。外部协调上，业务关联方、供应商是重点协调对象。通常来说，安全服务厂商也是供应商的一种，近年来受到各方重视，因此在模型中单独列出。由于各类外部支持人员对企业内部的网络环境和系统拓扑结构并不熟悉，需要企业IT技术支撑部门提供相关信息。需要注意的是，除非有特别重大原因，企业内网安全事件不必向政府主管部门通报，若需要追究网络攻击犯罪嫌疑人，则需通报、协助公安机关抓捕犯罪分子。

5 结语与展望

本文主要介绍了国内外网络安全应急响应基本情况，以国家和北京市为例介绍了网络安全应急响应组织形式，并针对政府和企业的特点提出了两种简化版的应急响体系模型。网络安全应急响应，归根到底是依靠卓越的指挥协调能力、沟通领导能力以及专业的技术支撑团队，由于各机构自身特点和技术能力千差万别，其应急响应体系不可能千篇一律，只有充分结合自身业务特点、发挥技术能力优势、高效组织各部门联动响应，才能在发生网络安全突发事件后妥善处置、有序响应，确保人员到位、技术到位、援助到位，从而降低事故带来的损失和负面影响。

[1]钱秀槟，赵章界.加强应急工作 强化新形势下的网络安全保障[J].人民日报网，2017.

[2]谷安安全牛.网络安全应急管理体系现状与建议.https://www.aqniu.com/industry/28758.html.

[3]周勇林.计算机应急响应与我国互联网应急处理体系.电信世界，2004.

[4]钱秀槟，毛作奎.政府网络与信息安全事件应急工作指南.中国标准出版社，2012.