购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

第1章 网络安全应急响应概述

凡事预则立,不预则废。网络安全应急响应就是要对网络安全有清晰认识,有所预估和准备,从而在一旦发生突发网络安全事件时,有序应对、妥善处理。在理解网络安全的应急响应之前,需要了解一般意义下的突发公共安全事件及其应急响应的体制机制。实际上,我国网络安全应急响应体系建设也是建立在原有应急响应体系基础上的,并经过实践不断改进完善。因此本章将对应急响应和网络安全应急响应分别加以介绍。

1.1 应急响应概述

1.1.1 我国应急响应体系发展简介

什么是应急响应?一般来说,应急响应机制是由政府或组织推出的针对各种突发公共事件而设立的各种应急方案,通过该方案使损失减到最小。应急响应系统是指,为应对突发事件,由一定的(作业实施)要素按特定的组织形式构成,以实现社会系统安全保障功能为目的的统一整体。随着近年来越来越多大型企业逐渐实现办公环境,甚至生产环节的网络化,部分企业已经建立起企业级的应急响应系统机制和应急响应系统。

应急响应的主体通常是公共部门,如政府部门、大型机构、基础设施管理经营单位或企业等。应急响应所处理的问题,通常为突发公共事件或突发的重大安全事件。应急响应所采取的措施,通常为临时性的应急方案,属于短期的针对性较强的处置措施。应急响应的首要目的是减少突发事件所造成的损失,包括人民群众的生命、财产损失与国家和企业的经济损失,以及相应的社会不良影响等。

应急响应方案是一项复杂而体系化的突发事件应急方案,包括预案管理、应急行动方案、组织管理、信息管理等环节。其相关执行主体包括应急响应相关责任单位、应急指挥人员、应急响应工作实施组织、事件发生当事人。

我国应急体系发展可分为2个阶段。

1.第一代国家应急体系

自中华人民共和国成立以来,我国政府逐步形成了突发事件的国家应急管理体系。这个体系就是第一代国家应急管理体系,采取的是条块分割的方式,风险和灾难的治理都是由不同的部委或机构负责。其主要特点在于部门垂直控制强而水平协作弱。

第一代国家应急管理体系,又叫传统应急管理体系,主要面向公众熟悉的、日常的灾难应急处置。这些灾难具有一定的规律性,因而便于政府决策者和政府相关机构进行预测并做好相应的准备,如洪灾、旱灾、地震、涨潮等自然灾害。

但随着现代社会的飞速发展,尤其是通信技术的发展,以及突发公共事件形式的变化,第一代国家应急管理体系在实践过程中遇到越来越多的困难。

首先,现代社会的人员流动大,造成诸如一些公共卫生事件的危害很快蔓延到全国。

其次,某些突发事件横跨不同省市区域,也牵涉更多政府职能部门参与协调。

最后,由于现代通信与传播技术发达,电视、互联网等媒体部门对政府应急处置工作的透明度要求增高,第一代应急管理体系在信息披露和公众沟通方面表现迟缓。

2.当前新的国家应急管理体系

“非典”危机过后,我国采用系统方法构建了一个以风险为基础、包括了所有灾害的综合性国家应急管理体系。该体系包括以下4个方面:突发事件应急管理的立法(法律法规);协调各级政府和机构进行应急管理的机构体制;国家和地方各级的突发事件应急预案;处理上述活动的运作程序。

(1)加强突发事件应急管理的专门立法

2003年5月7日,国务院通过了《突发公共卫生事件应急条例》。2004年3月,我国宪法修正案用“紧急状态”一词取代了“戒严”。这一法律用语的修改,使其适用范围更宽,便于应对源于自然界、公共安全和经济方面的各种危机。这一修正案为突发事件应急管理提供了基本支撑。

2007年11月1日,《中华人民共和国突发事件应对法》生效,是中国突发事件应急管理体系的重大里程碑。依据该法律,我国开始建立以“统一领导、综合协调、分类管理、分级负责、属地管理”为主的突发事件应急管理体系。

(2)建立各级政府和机构进行应急管理的机构体制

2005年12月,国务院应急管理办公室正式成立。至2005年底,卫生部已在我国27个省、自治区和直辖市设立了应急管理办公室。

基于这种新的系统模式,各类突发事件可以分为四类:自然灾害、事故灾难、公共卫生事件和社会安全事件。每一类突发事件都有一个国家级的政府委员会负责应对:国家减灾委员会——自然灾害应对、国家安全生产委员会——工业事故灾难、国家食品安全委员会——公共卫生事件、国家综合管理委员会——社会安全事件。“一个办公室四个委员会”的中国基本的灾难应急管理体系开始形成。

随后,国务院对应急响应管理做出一系列部署。2006年,国务院发布《国务院关于全面加强应急管理工作的意见》(国发〔2006〕24号),提出要“加快国务院应急平台建设,完善有关专业应急平台功能,推进地方人民政府综合应急平台建设,形成连接各地区和各专业应急指挥机构、统一高效的应急平台体系”。2007年6月,国务院下发了《国家应急平台体系建设指导意见(试行)》,对国家应急平台体系建设总体框架内容和建设任务分工等提出要求,明确了建设的实施思路,按照“统筹规划、分级实施;因地制宜、整合资源;注重内容、讲求实效;立足当前、着眼长远”的原则进行建设。

(3)制定全国范围的突发事件应急预案

2003年12月,中国国务院开始着手制定《国家突发公共事件总体应急预案》,为各类突发公共事件的防范和应急管理提供指南。此外,国务院还制定和发布了 25 件专项应急处置预案,基本涵盖了我国经常发生的突发公共事件的主要方面,包括:自然灾害、防汛、地震、地质灾害、重特大森林火灾、安全生产事故、铁路行车事故、民用航空器飞行事故、海上搜救、城市地铁事故、电网大面积停电、核事故、突发环境事件、通信事故、突发公共卫生事件、突发公共医疗事故、突发重大动物疫情、重大食品安全事故、粮食安全事故、金融突发事件、涉外突发事件。

此外,国务院负责突发事件应对的主要部门,如卫生部、农业部和国家安全部,已经制定和实施了80项部门预案。我国省、市、区(县)等各级地方政府也编制了各自的应急方案。

(4)完善突发事件应急方案运行程序

依据《国家突发公共事件总体应急预案》和《中华人民共和国突发事件应对法》,应对各类突发灾难的标准运行程序为:突发事件的预防、应急处置的准备与演练、监测与预警、应急处置和救援、事后的恢复和重建。根据相关法律规定,灾难期间,各级应急管理委员会和应急管理办公室负责应急处置,有权组织和协调相关部门和社会机构之间的应急处置行动。

国务院于2003年5月7日通过了《突发公共卫生事件应急条例》,该条例制定了突发事件应急报告规范,建立重大、紧急疫情的信息汇报制度。中央政府还要求国家部门和省级政府机构在危机处理期间设立“发言人和新闻通报制度”。

2007年9月,《国家应急平台体系技术要求》印发试行,对各级(国务院、部门和省级)应急平台设计的技术规范和要求做出了规定。2008年5月1日,《中华人民共和国政府信息公开条例》生效施行,有关突发公共事件的国家应急管理信息,可以通过政府网站进行查询,具体网址为www.gov.cn/yjgl/index.htm。

1.1.2 突发公共事件应急响应分类与分级

根据突发事件的发生过程、性质和机理,我国突发公共事件主要分自然灾害、事故灾难、公共卫生事件、社会安全事件四类;按照其性质、严重程度、可控性和影响范围等因素分成4个级别,特别重大的是Ⅰ级,重大的是Ⅱ级,较大的是Ⅲ级,一般的是Ⅳ级。依次用红色、橙色、黄色和蓝色4种颜色表示。

具体来看,自然灾害主要包括水旱灾害、气象灾害、地震灾害、地质灾害、海洋灾害、生物灾害和森林草原火灾等;事故灾难主要包括工矿商贸等企业的各类安全事故、交通运输事故、公共设施和设备事故、环境污染和生态破坏事件等;公共卫生事件主要包括传染病疫情、群体性不明原因疾病、食品安全和职业危害、动物疫情以及其他严重影响公众健康和生命安全的事件;社会安全事件主要包括恐怖袭击事件、经济安全事件、涉外突发事件等。

为应对这四类灾难,我国设计了“统一领导、多级管理、多级负责”的行政模式,以便权力和责任由各级政府分享和归责。这意味着,从最严重到最不严重的各类突发事件分别是由中央、省、市和县级政府四级政府负责应急管理。

1.1.3 我国应急响应管理体制、机制介绍

近年来,我国应急响应管理体制机制建设不断完善,形成从中央到地方、从应急管理与保障到专业技术平台原型系统研制与应用的较为完备的格局。

应急平台建设是应急管理的一项基础性工作,它是以公共安全科技为核心,以信息技术为支撑,以应急管理流程为主线,软硬件相结合的突发公共事件应急保障技术系统,是实施应急预案的工具,具备风险分析、信息报告、监测监控、预测预警、综合研判、辅助决策、综合协调与总结评估等功能。

1.我国国家层面的应急响应运行体制

(1)领导机构

国务院是突发公共事件应急管理工作的最高行政领导机构。在国务院总理领导下,通过国务院常务会议和国家相关突发公共事件应急指挥机构,负责突发公共事件的应急管理工作;必要时,派出国务院工作组指导有关工作。

(2)办事机构

国务院办公厅设国务院应急管理办公室,履行值守应急、信息汇总和综合协调职责,发挥运转枢纽作用。

(3)工作机构

国务院有关部门依据有关法律、行政法规和各自职责,负责相关类别突发公共事件的应急管理工作。具体负责相关类别的突发公共事件专项和部门应急预案的起草与实施,贯彻落实国务院有关决定事项。

(4)地方机构

地方各级人民政府是本行政区域突发公共事件应急管理工作的行政领导机构,负责本行政区域各类突发公共事件的应对工作。

(5)专家组

国务院和各应急管理机构建立各类专业人才库,可以根据实际需要聘请有关专家组成专家组,为应急管理提供决策建议,必要时参加突发公共事件的应急处置工作。

目前,各级政府有关部门在信息化建设过程中,已经逐步建立起服务于各自部门的应急指挥或应急信息系统,在防御重大灾害和事故方面发挥了重要作用,为全面实施国家应急平台体系建设创造了一定条件。在实际工作中,应急平台建设发展仍不平衡,应用功能不够完善,信息资源和平台系统尚未有效整合。

2.国家行政管理体系中四类应急响应平台

我国“十一五”期间,在科技部科技支撑计划和教育部科技创新平台项目的支持下,清华大学通过原始创新和集成创新,已研制出了应急平台体系技术原型系统,包括基础支撑系统、综合应用系统和移动应急平台,在一定程度上兼备“借鉴过去、把握当前、预测未来”的技术功能,能实现应急管理“平战结合”及其顺畅转换的全流程、全系统、全体系互联互通。该系统可用于检验应急平台及其体系的总体或详细设计方案的可行性、可靠性和先进性;为硬件设备、软件系统、平台体系和应急管理相关技术的筛选、研发、测试、培训、演练提供支持;为政府、部门、企业和基层应急平台,及其相关节点的建设提供借鉴和参考。

以上述原型系统为基础,我国已建立国家级、国务院、部门、省级为主体的互联互通的应急响应平台。

(1)国家应急平台体系

国家应急平台体系包括国务院应急平台,31 个省(自治区、直辖市)、新疆生产建设兵团、5个计划单列市应急平台,20个有应急职能的部门应急平台和100个部门值班系统。

国家应急平台体系建设项目(一期工程)可行性研究报告于 2008 年初通过发展改革委评审。一期工程主要建设国务院应急平台以及与各有关部门、省级应急平台的互联互通部分。

同时,《应急资源分类与编码规范》和国家应急平台体系省级和部门应急平台数据库表结构规范已经编写完成并开始试行;《国家应急平台体系数据交换与共享系统规范》已经印发示范部门和地方征求意见;《应急信息资源目录规范》《应急平台标识规范》《应急平台门户技术规范》等标准规范在修改完善后也将逐步印发征求意见。

另外,国家应急平台体系应急通信系统方案,中、小型移动应急平台设计方案,安全保障系统设计方案在这一时期基本完成,并已开始试验测试和实施。

(2)国务院应急平台

国务院应急响应平台包括应急指挥场所、基础支撑系统、综合应用系统和基础数据库系统等内容。其硬件系统集成方案包括计算机网络、图像接入系统、视频会议系统、大屏幕显示系统、桌面会议系统、集中控制系统、音频系统等方案设计,以及应急指挥场所综合布线等内容。

综合应用系统包括综合业务管理、风险隐患监测防控、综合预测预警、智能辅助方案、指挥调度、应急保障、应急评估和模拟演练等主要功能,并已开始试用和上线准备。

国务院应急平台的一项重要工作是互联互通,包括政务外网接入、卫星通信过渡方案、音视频互联互通、信息交换与共享等,以及国务院应急平台与示范部门和各省级应急平台视频会议和图像接入的互联互通。

(3)部门应急平台

国务院直属单位均已根据各自管辖业务特点,基本完成了应急平台的方案设计、框架设计和有关标准制定,进行了有关数据资源的整合,基本完成有关数据库或数据交换与共享系统建设。

例如,在自然灾害方面,水利部应急平台通过国家防汛抗旱指挥系统建设,形成了雨水情的实时报送网络,建设了水文气象综合业务管理系统、Web水情查询系统、水情会商系统、中国洪水预报系统、对外信息发布系统等,以及水利通信网、水利信息网、视频会议系统等。在事故灾难方面,安监总局实施了综合政务信息系统、视频会议系统和安全生产基础调度与统计系统建设,并设计完成国家安全生产应急平台体系总体方案。在公共卫生方面,卫生部从SARS后开始,建立了疾病和突发公共卫生事件网络直报系统,全国县级和县级以上的医疗机构实现了疫情和突发公共卫生事件的网络直报。在社会安全方面,公安部依托指挥中心建立部门应急平台,建设部指挥中心到省厅地市的宽带专网,实现了视频会议、有线指挥调度、图像监控、无线通信和卫星通信系统等,建立了包括人口信息库在内的八大基础信息数据库和出入境管理等应用系统。

(4)省级应急平台

随着国家通信事业和电子政务的发展,各地区都基本具备了覆盖市县的通信和计算机网络,这些基础资源是进行应急平台建设的重要条件。各省级人民政府正抓紧根据国家规划进行应急平台的立项和建设工作,但总体仍处于起步状态。北京市应急平台开展较早,正在进行完善,其他省级应急平台大多尚未完成建设。如上海、黑龙江等正在进行规划,青海、山西等正在进行立项,广东、天津等正在进行项目建设。

在科技部“十一五”科技支撑计划的支持下,各示范地区都完成了应急平台方案、框架设计和有关标准制定,内蒙古、吉林、江苏和重庆等还进行了有关数据资源的整合,吉林建成“静中通”移动平台,河南建设应急指挥场所和移动应急平台。各示范地区均开展了有关数据库、数据库内容或数据交换与共享系统的建设,如北京地区已筹划建设综合应用系统。

在地市级应急相关系统方面,很多大城市的应急联动系统都已开始建设,但多数为“三警合一”系统,距真正意义上的应急平台还有差距。

1.1.4 应急响应技术发展特点

近年来,世界发达国家大力加强跨领域、跨部门、跨行业的突发安全事件应急技术的研发和一体化应急平台的架构,高度重视应急平台的风险分析、信息报告、监测监控、预测预警、综合分析、辅助决策、综合协调与风险评估等关键环节所需的关键技术。

在互联网出现之前,传统的应急响应技术具有以下特点。

1.单一行业、专业、领域中的应对与处置,面对的事件复杂性相对较低。

2.可以是对于一个区域内常见事件的应对与处置,人们认识角度比较单一。

3.传统的多领域协同响应,应急中需要采用的技术手段和管理策略比较明晰。

现实中出现各类突发事件后,立刻就会对相应的应急响应技术提出更高的要求,来满足这些来自现实的需求。在欧洲,德国建立的危机预防信息系统(deNIS/deNISII)为联邦和地方政府决策者提供信息网络支持,以便进行信息沟通、事件响应,为突发安全事件的援救提供应急响应。英国建立集成应急管理平台(IEM),提高了应急部门之间的协同工作能力,通过有效地预测和管理各种安全事件的风险,使其应对突发事件的能力处于世界一流水平。美国的应急平台已经具备资源共享、综合智能分析、统一规范的协调管理以及信息畅通的技术能力,为应急响应综合预测预警、形势通告、协调指挥等提供强大的技术支持。在日本,灾害信息系统包括早期评价系统和应急对策支持系统,为政府快速、准确制定决策提供依据,为相关机构提供共享信息平台,其信息获取和传输覆盖了从首相官邸、到内阁府、到都道府县的行政机关和消防本部、到基层的村庄。我国清华大学公共安全研究中心在应急技术领域的研究也取得了诸多成果,公共安全学者也提出了公共安全体系的三角形模型,3 个边分别是突发事件、承载载体和应急管理,里面分布着灾害要素。基于公共安全基础理论,公共安全科技应当具备三大核心技术:全方位无障碍危险源探测监测与精确定位技术、多尺度动态准确预测与快速预警技术、基于危险性分析的优化决策与救援处置技术。它们是实现全面监控与自动处置、科学预测与快速预警、优化决策与高效救援、保障公共安全的重要技术手段。

综合而言,现代应急响应技术的发展趋势具有以下特点。

1.开展体系性的建设与整合工作

在下一代应急响应平台的开发过程中,更重视和加强应急系统的体系性工作,进行大系统集成,要求整合现场、现场指挥中心、后方指挥中心的资源和信息。由于现有应急相关系统在建立时目标和需求有差别,要整合成为有机整体,需要信息系统框架、基础平台、接口协议、信息交换、数据结构和功能实现等方面的统一标准。从纵向上,不同层次的应急平台的功能和技术体系要有一致性,与统一指挥、分级响应、属地为主的应急体制相一致;在横向上,应急平台应能改变同级部门间条块分割、独立作战的局面,充分体现一体化应急的功用。

2.加大监测监控与预警技术的应用

发达国家重视运用先进的网络技术、遥感技术、传感和信号处理技术,建立和完善网络化的国家级应急预警系统。美国建设了互联网络安全防范系统,以及食品安全、外来生物入侵、反生物恐怖及动植物防疫等具有相对独立又互相联系的预警和快速反应体系;国外普遍重视对重大危险源在线检测识别与监控技术的应用;日本先进的地震监控监测与预警系统在震后数秒内即可向公众发布灾害现场信息,有效辅助救灾与指挥决策。发达国家还积极发展各种卫星、雷达等遥感探测技术,以多种手段获取高精度和高时空分辨率的气象信息。

3.加强应急平台涉及的公共安全基础数据的综合汇集与分级分类管理

公共安全应急数据涉及面广,具有跨部门、跨领域的特点,数据汇集复杂、困难。美国信息综合中心(NIMS Integration Center)制定了公共安全数据资源的搜集、分类管理和状态跟踪方法,并通过国土安全运行中心来实施数据和情报的汇集。相比之下,我国还没有建立有效的信息资源共享机制,各种应急信息存在割裂,缺乏整合,全国应急管理的综合信息数据库和应用系统仍没有形成体系,突发公共事件发生时,难以迅速汇集、汇总和分析各类有关信息,不利于为科学应急提供参考和依据。为此,急需在应急管理领域建立大型综合性、公用性数据库,研究应急数据统一汇集、有机融合和分级分类管理的技术方案。

4.重视灾害事故的时空风险预测、危险性分析与决策支持

应急平台的关键性作用是对突发公共事件的发展、危害以及应急效果进行动态、科学、合理的预测评估,为应急决策提供依据。2005年卡特里娜飓风后,即使在灾害仿真与预测模拟方面具有强大优势的美国仍然认为其预测预警工作不足。突发公共事件随空间和时间变化规律的预测分析以及协调多方人员、物资和信息实现动态优化决策,是急需解决的重要问题,核心解决途径是开展综合风险分析、预测预警、辅助决策和模拟仿真等应急技术的综合性攻关与应用,并与空间地理信息相融合进行动态分析、快速评价和直观显示。

5.建设研究基地实现应急平台的不断完善和应急科技的持续创新

我国在公共安全与应急技术领域虽然已取得了初步成果,但尚未形成整体的公共安全应急核心技术自主开发能力。相比发达国家建立的地震、火灾、气象灾害、洪水等大型研究基地和培训基地,我国迄今还没有公共安全与应急技术领域的国家级综合性研究机构,无法适应国家公共安全保障与应急科技的重大需求。建设国家级应急科技与工程研究机构,完善其研发与测试的条件和设施,将为国家应急平台体系建设与运行、应急关键技术和装备研发以及系统验证、应急技术培训与演练等提供科技支撑。

总之,应急响应技术的发展要满足跨行业、专业、领域的突发事件应对与处理,要满足一个区域内罕见事件的处置,所需资源需要和其他区域进行协调。要满足多部门的协同响应,并且很多事件需要平时业务关联性较低的部门间进行协作,使应急响应变得更加快捷有效。

1.1.5 现代应急响应技术分类

现代应急响应技术是根据应急需求进行的改良、改善和改进,使之能面对未来更为复杂的安全事件,在应急响应实践中获得更高效的应用。现代应急响应技术在不同领域、区域、行业、机构都有具体应用,不同类型的事件对于应急响应技术的需求也会有不同的特征。

1.按不同类型灾害对于技术的需求分类

现代应急响应技术可依据不同灾害类型对于技术的需求来进行分类,主要分为自然灾害、人为灾害、人因事故和混杂事件。依据事件类型分类的应急响应技术如图1-1所示。

图1-1 依据事件类型分类的应急响应技术

2.按照技术本身所具备的功能划分

现代应急响应技术按照技术本身所具备的功能划分,可分为应急监测和检测技术、应急通信技术、定位与遥感技术、应急物流运输技术、事故调查分析技术、数据处理分析技术和决策支持技术。

(1)应急监测和检测技术

在应急响应技术中,应急监测和检测技术是指运用传感器、全球定位系统、通信技术、其他监测检测技术,获得突发公共事件以及受灾对象的全方位信息,并综合运用各种智能数据分析技术,及时做出应急响应,从而达到防灾减灾的目的。

应急监测和检测技术涵盖了信息、通信、探测、地球地理等众多学科和领域。典型的监测技术包括数据库技术、3S(遥感技术-RS、地理信息系统技术-GIS、全球定位系统-GPS)技术、应急通信技术、视频监控技术、无线射频识别技术、雷达技术、人群监测技术、舆情监测技术和传感技术。而光谱技术、色谱技术和病毒检测技术属于检测技术。

(2)应急通信技术

应急通信技术是各种通信技术、通信手段在紧急情况下的综合运用,比如一个1 000线程控交换车就是一个可以独立运作的微型通信系统,在通信系统负载过大或已有系统不能使用的情况下,起到扩容或执行应用通信介质的作用。

目前,我国拥有的具体应急通信方式有:固定电话、Ku频段卫星通信车、C频段车载卫星通信车、100 W单边带通信车、一点多址微波通信车、用户无环路设备、海事卫星A型站、B型站、M型站、24路特高频通信车、1 000线程控交换车、900 M移动电话通信车、自适应电台、互联网等。

应急通信技术一般涉及公众通信网、数字集群、无线传感器网络、微波、视频会议和视频监控、卫星通信等多个技术领域。应急通信技术的类型如图1-2所示。

图1-2 应急通信技术的类型

(3)定位与遥感技术

定位与遥感技术包括遥感技术、地理信息系统和全球定位系统,是空间技术、传感器技术、卫星定位与导航技术和计算机技术、通信技术的结合,实现了对空间信息的采集、处理、管理、分析、表达、传播和应用,从而增强了应急管理系统的数据分析、建模、预测、模拟等决策功能。

(4)应急物流运输技术

应急物流运输技术可以协调运输、存储、装卸、包装、流通加工、配送、相关的信息处理等功能,在应急状态下更高效地实现物流活动中各个环节的合理衔接,并取得最佳的经济和社会效益。

(5)事故调查分析技术

事故调查分析技术一般包括事故现场勘查和取证、物证分析与鉴别、事故原因与过程分析、事故认定以及事故报告,内容涉及多方面调查方法和分析技术。

(6)数据处理分析技术

数据处理是应急管理中一项非常关键的任务,它连接现场和指挥中心的决策机构,涉及的数据包括图形、图像、视频、音频、文本等各种类型,涉及的处理技术包括数据库、数据仓库、联机分析处理、数据挖掘、可视化技术、案例推理与规则推理技术等。

(7)决策支持技术

决策支持技术是一项涉及信息技术、网络技术、知识管理、信息管理、经济学、决策学等多学科、多领域的综合性课题。决策支持技术将现有的决策方法和相关的技术手段集成,比如不确定决策、多目标决策、风险评估决策等。

现代应急响应技术还可以根据准则、领域对技术的要求等进行划分,在这里主要讨论网络安全应急响应的相关技术,下面将对网络存在的安全隐患以及相应的现代响应技术做介绍。

1.2 网络安全应急响应基本情况

1.2.1 本书对网络安全内涵界定

网络安全已经深刻影响世界各个国家的经济社会发展,甚至涉及政治、社会稳定、军事、外交等众多领域,成为新兴安全研究的全球性课题。网络安全一词在学术和工业实践领域尚未达成一致的、科学严谨的定义,但其涉及的内容已经有较为清晰的认识,可以看作是对业内已认可的术语概念基础上的融合、扩展、深化。

从历史上看,信息安全(Information Security)一词使用最为广泛,并演变成为覆盖电子数字信息、计算机系统、网络系统(Network System)、电磁空间、网络空间(Cyberspace)各个领域安全问题的广义上的网络安全概念。

除了信息安全,计算机安全这个概念出现较早,并伴随着主机安全、信息系统安全、内联网安全、互联网安全、网络空间安全等概念不断变化演进。近3年来,网络安全一词在报纸、文章以及互联网新媒体上大量出现,而在 2014 年中央网络安全与信息化领导小组成立之后,更是在外交、内政各领域的官方媒体、公共舆论场里被广泛使用和引用。

下面分别介绍各个概念的含义,并给出本书界定的内涵定义。

1.计算机安全

根据国际标准化委员会的定义,计算机安全是指为数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然或恶意的原因而遭到破坏、更改、显露。又根据我国公安部有关部门的定义:计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。

2.信息(系统)安全

狭义的信息安全是建立在密码论基础上的计算机安全领域,广义的信息安全从传统的计算机安全发展延伸,不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。在实践中,信息安全落实在信息系统或计算机网络系统的安全。信息系统安全包括4个层面:设备安全+数据安全+内容安全+行为安全。其关键是数据安全,确保信息数据的保密性、完整性、可用性(即 CIA 原则);而终极目的是行为不危害数据秘密性、不危害数据完整性、行为的过程和目标可预期、行为具有可控性。

3.互联网安全

互联网又称因特网(Internet),于20世纪60年代兴起、90年代开启商用,并逐步推广至全球各个国家共同使用的基于 TCP/IP 等链接协议的全球性开放的信息网络。互联网安全从其本质上来讲就是互联网上的信息安全,凡是涉及互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域,涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科范畴。

4.专网安全(如工控网络安全)

专网是指为特定对象服务的网络,如铁路系统专网、公安系统专网、防汛专网、军用专网、工控网络等,一般只为该系统服务,不提供连接公网的接口。专网通信是对于公网通信的一种必要补充,在特定行业发挥着不可替代的作用。因此专网安全,例如工控网络安全,既存在内网安全隐患同时也存在可能的由外网间接引入的安全问题。

5.企业内网安全

企业内网安全是指企业内部网络信息系统的一系列安全策略和措施的总和。企业为满足内部网络安全需求,建立物理隔离或逻辑隔离的网络,并对来自外部、内部的访问加以严格控制和限制,从而形成企业内网安全策略方法。

6.网络空间安全/赛博空间安全

网络空间安全对应于外文文献中的赛博安全/赛博空间安全(Cyber Security/Cyberspace Security),近年来越来越多地受到国内专家学者的重视和使用。网络空间安全融合现实物理空间安全与虚拟信息空间安全,被称为“第二生存空间安全”,或者是关联海、陆、空、天(太空)安全的“第五空间安全”,业界对其认识尚未成型,总的来说,网络空间安全相对现实空间安全可用“融入其中、凌驾其上、控制其内”作概略理解。

7.网络安全

狭义的网络安全(Network Security)是指计算机局域网络或互联网环境下的网络信息系统的安全,而广义的网络安全则可以泛化为网络空间安全,涉及国家、社会、企业、个人等各个层面。例如舆论舆情、企业品牌声誉、个人隐私,以及虚拟物品资产安全、商业知识产权安全等,既有虚拟空间的安全,又有受关联、牵扯的实体空间的安全。

2014年2月27日,习总书记在中央网络安全与信息化领导小组成立的讲话中指出“没有网络安全,就没有国家安全”。习总书记的讲话说明,网络安全问题不再是简单的互联网技术领域的安全问题,而是和经济安全、社会安全,甚至军事、外交等关系国计民生的国家层面的战略问题。同时,中央网络安全与信息化领导小组的成立本身也表明,网络安全对经济发展的方方面面,对国家和社会各领域具有极其深刻的影响。网络安全一词的内涵实际已经超越了技术范畴,具备了融合个人安全、组织安全、社会安全以及国家安全的意义,网络安全外延已扩展到部分包含或整体包含计算机安全、信息系统安全、内网安全、互联网安全、内容安全、专用通信网络(工控网络)安全等。

综合来看,信息安全、网络安全、企业内网安全、互联网安全(Internet Security)、专网安全、网络空间安全,以及我国中文语境里使用较为普遍的计算机系统安全、网络与信息安全、网络安全等学界、业界使用的这些词汇,其内涵意义既各有侧重,又相互融合。从技术发展来看,存在诸多重叠交叉部分,不是简单的包含或被包含的关系,难以在严格意义上区分。

最简单的例子就是,某个企业内部计算机网络的安全问题,可能涉及内部攻击、外部攻击、互联网黑客攻击、甚至境外组织的威胁,即便是企业的内网不接入互联网,也难以摆脱高级别的安全隐患。

本书主要关注应急响应,从应急响应实际问题处理流程可操作层面来讲,可以将网络安全相对狭义和通俗地定义为:在互联网以及移动互联网广泛应用、智能设备、大数据和云计算等新技术新应用等日益融合的大环境下,各类组织实体,通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性;同时,网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

简单来讲,本书所讲的网络安全是以网络系统安全(Network Security & Internet Security)为核心的网络空间安全问题,兼顾网络自身安全与其中信息数据安全,其内涵主旨是网络系统安全、应用系统安全保障及相关安全业务管理。

因此,在上述限定意义下,网络安全的应急响应主要针对国家、部门、企业等组织机构,并需要在实践中从技术、管理、法律等各角度综合应用,保证突发网络安全事件应急处理有序、有效、有力,确保涉事机构企业损失降到最低,同时威慑肇事者。

1.2.2 网络安全应急响应管理与相关法规

近20年来,Internet的重要性不断提高,同时,隐藏其中的危险也日益明显。虽然保护网络安全的技术迅速发展,但实践证明,现实中再昂贵的安全保护也无法发现和抵御所有的威胁。因此,完善的网络安全体系要求在保护体系之外必须建立应急响应体系。我国第一个网络安全事件响应组织——中国教育和科研计算机网紧急响应组成立于 1999 年 5 月;国家计算机网络应急技术处理协调中心(CNCERT/CC)也于2002年9月正式成立。除了政府部门和机构,一些大型国有企业组织、全国性跨地区办公企业、大型互联网企业等也建立了自己的应急响应组织部门。

1.网络安全应急响应体系

网络安全领域的应急响应(Cyber Security Emergency Response System)是指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程。

网络应急响应的活动应该主要包括2个方面:(1)未雨绸缪,即在事件发生前先做好准备,比如风险评估、制定安全计划、安全意识的培训,以发布安全通告的方式进行预警,以及各种防范措施;(2)亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最低。这些行动措施可能来自人,也可能来自系统,比如事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

以上2个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,从而吸取教训,进一步完善安全计划。因此,这2个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。

目前的相关工作仍无法满足实际工作需求,突出表现在2个方面:一是网络安全应急标准体系不完善;二是公共安全应急基础性、通用性、综合性标准研制不足。

2.网络安全应急响应管理

网络安全应急响应体系的管理是一个周而复始、持续改进的过程,大致包含以下3个阶段。

(1)网络安全应急响应需求分析和应急响应策略的确定。

(2)编制网络安全应急响应计划文档。

(3)应急响应计划的测试、培训、演练和维护。

从管理角度看,网络安全应急响应的管理可分为事件报告、事件评估、应急启动、应急处置、后期处置,如图1-3所示。

图1-3 网络安全应急响应管理流程

另外,图1-3主要针对国家部门或国有单位或企业,而对于企业网络安全应急响应来说,信息通报、上报、披露等环节可以根据实际情况选择。事件的分类、定级也可以按照企业自己制定的标准执行。

3.网络安全应急响应的专项法律法规及标准

目前,我国网络安全、计算机犯罪等领域的立法总体不足,这里主要列出已正式发布并施行的法律法规及国家标准。

(1)《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令147号), 1994年2月18日发布。

(2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文), 2003年9月。

(3)《中华人民共和国突发事件应对法》,全国人民代表大会常务委员会,2007 年 8 月30日发布。

(4)《国家突发公共事件总体应急预案》,国务院,2006年1月8日发布并实施。

(5)《北京市网络与信息安全事件应急预案》,北京市,2009年10月。

(6)《国家网络与信息安全事件应急预案》,未知(《北京市网络与信息安全事件应急预案》发布时提到,并作为制定之参考)。

(7)《北京市社会领域网络与信息安全事件应急预案》,北京市,2009年。

(8)GB/T 24363−2009《信息安全技术 信息安全应急响应计划规范》,国家质检总局与国标委,2009年11月。

(9)GB/T 20988−2007《信息安全技术 信息系统灾难恢复规范》,国家质检总局与国标委,2007年6月发布。

(10)GB/Z 20985−2007《信息安全技术 信息安全事件管理指南》,国家质检总局与国标委,2007年9月。

(11)GB/Z 20986−2007《信息安全技术 信息安全事件分类分级指南》,国家质检总局与国标委,2007年9月。

根据全国人大立法规划,《中华人民共和国网络安全法》(草案)已经起草完毕并向社会公开征集意见,有望在“十三五”期间正式出台。

1.2.3 网络安全应急响应模型的探索与实践

1.应急响应模型探索

当前主流的应急模型响应方法有三类,包括基于应急资源数据映射算法的应急模型响应方法、基于蚁群算法(又称蚂蚁算法,是一种用来在图中寻找优化路径的机率型算法)的应急模型响应方法和基于归一化算法(归一化就是通过某种算法把需要处理的数据经过处理后限制在特定范围内)的应急模型响应方法等。

目前,最常用的是基于应急资源数据映射算法的应急模型响应方法。随着突发事件的种类不断增加,应急资源分类体系繁多,导致应急资源响应模型的结构描述不精确。有学者提出,为了避免上述缺陷,有必要建立一种基于响应模糊概率算法的应急模型响应方法,提取突发事件的特征,建立突发事件与响应模型特征之间的映射联系,通过运算获取不同种类应急模型响应的模糊概率,从而实现应急模型响应。

这些理论模型的算法研究主要出于科研机构的理论研究,在网络安全应急响应实践中不必要了解这些算法的具体内容,在实践过程中理解其基本的原理即可。

2.网络安全应急响应模型应用与探索

在网络信息安全领域,现实是网络安全事件应急响应联动系统目前尚未有被广泛接受的模型,但学术界、业界的实践探索也在持续深入。如何建立一个网络安全事件应急响应联动系统的基本模型,从而更好地应对各种网络安全事件、协调应急响应组织人力和信息资源,一直为业界不断探索与实践。

由于一般意义的应急响应组织有2个缺陷:一是应急响应组织受地理限制与Internet地理无关的矛盾依然存在;二是应对安全事件时的被动缺乏有效的合作,理想的大规模(Internet范围)的响应组织被普遍认为是改进事件响应最有效的措施,但其复杂性决定这种协作在现阶段很难实现。一种观点认为,目前最可行的趋势是应急响应组织的广泛协作。

在网络安全应急响应组织协调与社会联动系统的基础上,还有专家提出了一套网络安全事件应急响应联动系统的基本模型。它立足于充分协调地理分布的人力和信息等资源协同应对网络安全事件,是从应急响应组织及其协调中心发展起来的一套应急响应联动体系,属于应急响应组织发展后期的组织形式。其所包含的联动有3个含义:(1)组织间的协作;(2)功能上的统一;(3)网络安全策略上的联合。其目的是通过统一的组织结构和运作方式、统一的操作流程与软件平台、通用的信息共享和交换方式以及完整的安全策略,力争最大限度地在应对网络安全事件时互相提供有利于快速解决问题的方案。

综合来看,网络安全事件应急响应联动系统是协作的应急响应组织,也是安全信息的共享、交换和分析中心,更是完整的网络安全策略,具有重要的意义和实用价值。而构建这些,离不开良好的信息保障,以支持应急决策和响应任务的试验;离不开描述信息流的信息模型,以提高应急预案的实施效率;也离不开构建可计算的突发事件应急响应信息模型,以达到网络安全保障的目的。

1.3 网络安全应急响应分类与特点

1.3.1 网络安全事件分类和分级

对网络安全事件进行分类和分级是网络安全事件管理的基础性工作。规范、合理的网络安全事件分类分级,有利于促进网络安全事件的信息共享和交流;提高其通报和应急响应的自动化程度;有利于在规范化的网络安全事件类别和级别基础上进行统计和分析,从而确定网络安全事件的严重、危害程度,进而为科学的应急处置做好准备。

目前,我国网络安全的分级分类多参照国家标准 GB/Z20986−2007《信息安全事件分类指南》。根据信息安全事件发生的原因、表现形式等,对网络/信息安全事件进行分类;根据遭遇危险的信息系统的重要程度、系统损失和社会影响,对网络/信息安全事件进行分级。

1.网络安全事件的分类

根据信息安全事件的起因、表现、结果等,信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类包括若干个子类。

(1)恶意程序事件

恶意程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件等7个子类。

1)计算机病毒事件

此类信息安全事件是指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码,它可以破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制并传播。

2)蠕虫事件

此类信息安全事件是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机以外,利用信息系统缺陷,通过网络自动复制并传播的有害程序。

3)特洛伊木马事件

此类信息安全事件是指蓄意制造、传播特洛伊木马程序,或是因受到特洛伊木马程序影响而导致的信息安全事件,特洛伊木马程序是指伪装在信息系统中的一种有害程序,具有控制该系统或进行信息窃取等对该信息系统有害的功能。

4)僵尸网络事件

此类信息安全事件是指利用僵尸工具软件,形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击,进行信息窃取或传播木马、蠕虫等其他有害程序。

5)混合攻击程序事件

此类信息安全事件是指蓄意制造、传播混合攻击程序,或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其他系统的有害程序,可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果,例如,一个计算机病毒或蠕虫在侵入系统后安装木马程序等。

6)网页内嵌恶意代码事件

此类信息安全事件是指蓄意制造、传播网页内嵌恶意代码。

7)其他有害程序事件

此类信息安全事件是指不能包含在以上6个子类之中的有害程序事件。

(2)网络攻击事件

网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。

网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类,具体如下。

1)拒绝服务攻击事件

此类信息安全事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。

2)后门攻击事件

此类信息安全事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施攻击的信息安全事件。

3)漏洞攻击事件

此类信息安全事件是指除拒绝服务攻击事件和后门攻击事件之外,利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击的信息安全事件。

4)网络扫描窃听事件

此类信息安全事件是指利用网络扫描或窃听软件,获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件。

5)网络钓鱼事件

此类信息安全事件是指利用欺骗性的计算机网络技术,使用户泄露重要信息而导致的信息安全事件。例如,利用欺骗性电子邮件获取用户银行账号密码等。

6)干扰事件

此类信息安全事件是指通过技术手段对网络进行干扰,或对广播电视有线或无线传输网络进行插播,对卫星广播电视信号非法攻击等导致的信息安全事件。

7)其他网络攻击事件

此类信息安全事件是指不能被包含在以上6个子类之中的网络攻击事件。

(3)信息破坏事件

信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。

信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个子类,具体如下。

1)信息篡改事件

此类信息安全事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件。

2)信息假冒事件

此类信息安全事件是指通过假冒他人信息系统收发信息而导致的信息安全事件,例如网页假冒等导致的信息安全事件。

3)信息泄露事件

此类信息安全事件是指因误操作、软硬件缺陷或电磁泄露等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件。

4)信息窃取事件

此类信息安全事件是指未经授权用户利用可能的技术手段恶意主动获取信息系统中的信息而导致的信息安全事件。

5)信息丢失事件

此类信息安全事件是指因误操作、人为蓄意或软硬件缺陷等因素致使信息系统中的信息丢失而导致的信息安全事件。

6)其他信息破坏事件

此类信息安全事件是指不能被包含在以上5个子类之中的信息破坏事件。

(4)信息内容安全事件

信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益等内容的安全事件。信息内容安全事件包括以下4个子类。

1)违反宪法和法律、行政法规的信息安全事件。

2)针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件。

3)组织串连、煽动集会游行的信息安全事件。

4)其他信息内容安全事件。

(5)设备设施故障

设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为地使用非技术手段有意或无意地造成信息系统破坏而导致的信息安全事件。

设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障等4个子类,具体如下。

1)软硬件自身故障

此类信息安全事件是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件。

2)外围保障设施故障

此类信息安全事件是指由于保障信息系统正常运行所必需的外部设施出现故障而导致的信息安全事件,例如电力故障、外围网络故障等导致的信息安全事件。

3)人为破坏事故

此类信息安全事件是指人为蓄意地对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件;或由于人为地遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏,影响信息系统正常运行的信息安全事件。

4)其他设备设施故障

此类信息安全事件是指不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。

(6)灾害性事件

灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等。

(7)其他信息安全事件

此类信息安全事件是指不能被包含在以上6类中的信息安全事件。

2.网络安全事件的分级

对信息安全事件进行必要分级,是做好应急响应工作的前提。信息安全事件分级要统筹考虑诸多因素,直观展示信息安全事件的风险程度,为后续处置工作提供重要参考。

(1)网络安全事件的分级要素

对网络安全事件的分级主要考虑3个要素:一是网络信息系统的重要程度;二是系统遭受的损失;三是信息安全事件造成的社会影响。

1)信息系统的重要程度

信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度,主要划分为特别重要信息系统、重要信息系统和一般信息系统。

2)系统损失

系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失。

①特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的。

②严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的。

③较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的。

④较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。

3)社会影响

社会影响是指信息安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,主要划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响。

①特别重大的社会影响:波及一个或多个省市的大部分地区,极大地威胁国家安全,引起社会动荡,对经济建设有极其恶劣的负面影响,或者严重损害公众利益。

②重大的社会影响:波及一个或多个地市的大部分地区,威胁到国家安全,引起社会恐慌,对经济建设有重大的负面影响,或者损害到公众利益。

③较大的社会影响:波及一个或多个地市的部分地区,可能影响到国家安全,扰乱社会秩序,对经济建设有一定的负面影响,或者影响到公众利益。

④一般的社会影响:波及一个地市的部分地区,对国家安全、社会秩序、经济建设和公众利益基本没有影响,但对个别公民、法人或其他组织的利益会造成损害。

(2)信息安全事件的级别划分

根据信息安全事件的分级考虑要素,将信息安全事件划分为4个级别:特别重大事件、重大事件、较大事件和一般事件。

1)特别重大事件(Ⅰ级)

特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:

①会使特别重要信息系统遭受特别严重的系统损失;

②产生特别重大的社会影响。

2)重大事件(Ⅱ级)

重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:

①会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;

②产生的重大的社会影响。

3)较大事件(Ⅲ级)

较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:

①会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失;

②产生较大的社会影响。

4)一般事件(Ⅳ级)

一般事件是指不满足以上条件的信息安全事件,包括以下情况:

①会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;

②产生一般的社会影响。

1.3.2 网络安全应急响应的类型与特点

1.网络安全应急响应类型

网络安全响应可以从多个角度进行分类。

首先,根据我国网络安全事件的分类分级标准,也将网络安全应急响应分成四级:特别重大的是Ⅰ级,重大的是Ⅱ级,较大的是Ⅲ级,一般的是Ⅳ级。

其次,根据互联网网络安全事件的六大分类,也可以把网络安全应急响应划分为六类情形。

当然,还可以根据网络安全责任主体的不同,而将网络安全应急响应的类型分为大型活动项目期间网络安全应急响应、国家层面网络安全应急响应、政府部门机构层面网络安全应急响应、企业组织层面网络安全应急响应、无责任主体突发事件类网络安全应急响应等五大类型。

由于本书面向的读者是政府、机构、企业等组织的管理人员或网络安全保障相关管理人员、工作人员,因此按照责任主体的分类方法比较符合阅读习惯。因此,本书后续的内容基本按照责任主体分类的思路对网络安全响应涉及内容展开论述。

2.网络安全应急响应特点

(1)从国家层面来看,网络安全应急响应事件具备以下2个特点。

1)针对中国中央政府的政策,或国家大政方针,具有主观对抗性质。

2)由相关事件触发,而相关事件本身的起初的影响力可能很小,且其影响力扩大具有偶然性。

国家在做上述网络安全事件应急响应工作时表现出以下几个特征。

1)设立全国性集中的应急响应机构,如国家互联网应急中心(CNCERT),负责网络安全应急响应机构的最高统筹工作。

2)在一些复杂的网络安全事件中,由于牵涉到境外相关组织的国际合作,因此在技术合作、司法调查等领域加强跨国合作。

3)通过与网络安全技术与服务企业密切合作,发挥企业特别是网络专业厂商在技术实战、攻防对抗、专业工具积累等方面的优势,统筹协调国内各方资源,力求及时有效控制网络安全事态。

(2)大型活动项目期间网络安全应急响应。国家举办重大活动项目,如奥运会、国庆阅兵、全国两会、全国党代会换届选举,或承办国际重要会议如亚太经合组织(APEC)峰会、亚洲相互协作与信任措施会议、上海合作组织峰会、世界互联网大会乌镇峰会等,特定日期以内及相近日期里,网络安全黑客与攻击事件等突发事件概率上升,网络安全应急响应形势严峻。

大型活动项目期间网络安全应急响应需要有关部门制定系统性的网络安全服务保障预案,抽调精干组织协调力量,动员和协调有关部门、机构、网络安全应急响应专家、顾问、专业安全厂商、专业技术厂商等,为密切高效配合做好准备。

(3)部门机构网络安全应急响应。针对(中央、地方)政府部门或机构的网站或者内部网络的渗透、入侵,造成内部网络的瘫痪、重要信息系统的故障、数据信息的泄露或丢失。此时,相关机构的应急响应工作,一般由该部门主导,影响范围在部门系统内,当然也可能是全国性的垂直系统,在行政区划上波及其他省市区域。

部门机构,主要指中央和省级政府部门,所面临的网络安全突发事件具备以下几个特点。

1)带有政治性攻击企图。一些黑客行为致使政治性反动、恶意攻击信息内容在相关政府机构的公开信息渠道传播、扩散。

2)高级可持续威胁(APT,Advanced Persistent Threat)攻击。近年来,政府部门APT攻击的案例已不鲜见,主要来源于境外政府组织、黑客组织甚至个人,其利用一些先进的工具和高级渗透手段,窃取政府机密信息或为谋求个人经济利益。其带来的潜在危害巨大,因为相关部门可能对于隐藏极深的APT攻击毫不知情。

3)兼具跨地域破坏性。中央政府的部门机构,尤其是垂直管理的系统,拥有跨省区分布业务系统,因此,一旦攻破造成的影响具有跨地域的破坏性。即使攻击地方政府网站或内部信息系统,由于横向的信任关系,其影响也可能扩散至更多区域。

(4)企业网络安全应急响应。 企业用户是互联网的关键主体用户之一,互联网环境下的不安全因素直接影响到企业的信息网络。同时,企业内网安全也会遭遇突发事件,如2015年5月某上市企业服务器“疑似数据库物理删除”,给企业带来严重的负面影响。

企业内部网络的安全对企业生死攸关的知识产权保护、商业机密管控有非常高要求,因此,如果出现重大突发网络安全事故而不能及时响应、妥善处理,将可能遭遇灭顶之灾。企业网络安全应急响应工作所面临的主要对象及特点有以下三点。

1)企业网络安全应急首要关注漏洞。企业网络最关注的是系统或软件漏洞引发的网络与信息安全问题。漏洞是黑客入侵与渗透的主要“通道”之一,企业既面临程序开发导致的漏洞,也有协议架构或系统管理流程上的漏洞,还有硬件上的漏洞。

2)还应关注其他网络攻击事件的应急响应,如信息泄露、分布式拒绝服务(DDoS, Distributed Denial of Service)攻击、病毒木马。

3)对于跨区域大型企业,由于其内部网络的复杂度高,比如各地分部、分支办事机构之间的网络互联,将使企业网络安全应急响应复杂度、隐患排查难度大大提高。

(5)无责任主体突发事件。一些网络安全突发事件并不涉及具体的责任主体,不是政府部门、社会组织机构或企业团体,但会使国家、政府、企业、社会组织实体等受到影响。此类无责任主体网络安全紧急事件和上述全国性网络安全应急响应事件类型有相似之处,但也存在其独特表现。

1)全球性网络安全事件,导致中国也成为突发事件的受害方,影响国家、机构、企业、个人等使用开放的互联网或内部网络。

2)此类网络安全事故偶然性更加明显,例如OpenSSL漏洞、境外黑客组织的DDoS攻击、Internet根域名服务器故障等冲击我国网络正常运行等。这类事件,虽不用我国承担主要的应急响应任务,但是跨国合作、内部督查、排除隐患的工作依然需要力行。

1.4 网络安全应急响应发展趋势

1.4.1 “互联网+”时代的网络安全应急响应

2015 年两会期间,“互联网+”这一概念被国家正式提出,根据中国互联网络信息中心(CNNIC)统计的数据,截至2015年7月,我国网民数量达到6.68亿人,而我国移动互联网网民的数量则达到5.94亿人,计算机、PAD、手机都已成为工作、生活中的必备设备。我们已经进入“互联网+”时代,因此网络安全应急响应也呈现出新的趋势。

以往网络安全应急响应只和电信运营商、互联网企业和大众网民用户相关,但是随着“互联网+”时代到来,互联网成为很多社会生产的重要组成部分,而且越来越多的企事业单位采用网络化办公,网络安全应急响应已经不再局限在传统应急通信技术领域,也不再仅仅是国家公共安全管理部门的职责,而是成为各行各业企业、机构日常管理的一部分。

在“互联网+”各行各业的时代背景下,不论是商业贸易企业,还是生产制造企业,甚至大型农场合作社,都已经和互联网发生千丝万缕的联系,一旦网络安全出现问题,造成企业网络中断、运作失灵、知识产权泄密,有可能造成企业关门倒闭。即使企业没有致命的损失,也会造成企业声誉的不良影响。

同时,网络化的实体企业越来越多,他们各自行业背景不同,会产生定制化的应急响应服务需求。由于绝大多数企业本身不具备高级别的专业技术能力,而常备应急技术与人力资源也是成本负担,因此向外部寻求安全应急服务采购,成为企业法人处置网络安全重大事故的最佳选择。这也需要我国本土网络安全技术厂商成长壮大,达到与国际网络安全厂商看齐的技术与产品实力,在保障我国企业组织的网络安全发挥关键支撑作用。

因此,在“互联网+”的新时期,网络安全应急响应的规划与落实逐步成为大型企业的“必修课”。越来越多的大型企事业单位,特别是经营传统业务的大型企业、跨地区运营的公司,也在探索建立其内部办公网络、业务承载网络的安全应急响应工作机制。

综上所述,随着网络和信息化的普及应用,网络安全已经不仅影响我们在网络空间的虚拟“上网”生活(玩游戏、看电影、读新闻…),而且影响实际的生产经营企业,对实体企业的影响不限于断网,而是企业的核心资产和生存能力,并且未来在“互联网+”彻底覆盖我们日常生活方方面面的时候,网络安全的影响将迅速扩大到我们生活在网络和现实融合时空之内的绝大多数场景。如表1-1所示。

表1-1 网络安全应急响应管理

1.4.2 获取“威胁情报”成为网络安全应急前沿趋势

不论是企业还是机构,未来将面临的一个重要网络安全问题是,企业内网络安全的防护不再是孤立的,而是和整个互联网安全状况和突发网络安全事件紧密联合起来。例如,对企业而言,虽然内网的数据不允许向外流出,但一旦某类黑客攻击发生在同类型企业或者使用相同信息系统架构的企业或组织,那么该企业将很有可能面临被攻击。

威胁情报的概念也是基于上述情况而提出。因此出现较晚,业界对威胁情报概念的理解各不相同。例如,有人认为“样本库”可称为情报,也有人认为“黑名单”是情报,而一些公开资料中提到的网络安全信息共享也被认为是威胁情报的早期版本。

国际上也有网络安全研究机构给出“威胁情报”的专业定义(如 Gartner)。国内也有学者提出了威胁情报的六大要素(采集、关联、归类、整合、行动、分享)和4个阶段(广覆盖收集有效信息、分析处理与生产、行动实施、生态圈分享)。

本书在此初步给出对威胁情报的理解:依赖证据知识,包含情境、机制、影响和应对建议,威胁情报可以第一时间诊断出存在或者正在显露的威胁或危害资产的行为。威胁情报的目的就是实现“早、快、准、全”的安全隐患监测和警报。

如果企业能及早了解熟悉上述威胁情报信息,就可以为有效防范和采取应急措施赢得时间。而企业面对网络黑客攻击特别是一些严重的计算机犯罪行为,如能提前预知、提前响应,则可能避免系统崩溃、业务崩溃、高价值数据丢失等“灭顶之灾”。

目前,威胁情报的应用主要分为以下3个方面。

1.定位网络威胁行为

利用云端大数据分析平台,对数据和情报进行收集、处理,综合以后形成有效的威胁情报,通过产品的方式建立客户侧的轻量级数据平台,从而接收威胁情报推送,快速定位攻击行为。

2.获取网络安全舆情

通过对国内外知名的大众论坛(博客、Twitter)进行安全专项舆情监测,提前做到同类可疑安全问题的尽早防范。例如当有国外论坛讨论“泄露”怎么应用,以及对“某个漏洞是否好用”、“可以做免杀”等话题的讨论明显集中出现在某个“虚拟讨论区”,尽管国内还没有充分意识到这个问题,但可以通过威胁情报系统提前帮助机构或企业尽早部署预防。另外,大规模网络攻击(包括DDoS攻击,大规模Web攻击)的情况也可以实现舆情态势监测,帮助政府或企业了解关心的情况。

3.关联漏洞平台

由于机构或企业面临的漏洞威胁日益严重,因漏洞而导致的经济损失越来越大,所以获取的威胁情报的第三个价值就是关联漏洞平台,从而及时排查漏洞隐患、及时修补改进。企业和机构可以从威胁情报系统中得到包括漏洞安全播报、安全状况简报等信息内容。

全面、及时、准确获取威胁情报,将为大型项目网络安全应急响应提供坚实保障。比如承办奥运会、亚运会,召开APEC、亚信上合组织峰会,以及举行阅兵和全国两会会议期间的威胁情报可以让特定时期内网络安全应急响应工作有的放矢,保持最大的主动性。

根据当前网络安全业界的实践状况,已经有个别网络安全厂商提出“企业威胁情报”“态势感知”等概念,并已经开发出相应的技术和产品,投入生产实践。总体上看,威胁情报将会对未来国家、机构、企业、大型项目活动的网络安全应急响应产生显著影响,威胁情报也代表了网络安全应急响应技术与实践的方向和发展趋势。随着业界和机构、企业用户对威胁情报的认识和实践的理解不断加深,威胁情报理念对网络安全应急响应技术与实践的进一步完善和成熟将产生更大的促进作用。

1.5 本章小结

近几年来,不管是突发公共安全事件,还是网络安全事件,应急响应得到高度重视,并且为保障我国经济社会稳定、人民群众安居乐业发挥重要作用。在网络信息安全领域,网络安全应急响应逐步受到政府、机构组织、企业的重视。网络安全应急响应技术、应急响应设计平台在各个行业和各级政府不同层级上开始开发与建设。

本章中,首先对一般意义的应急响应做了概述,值得一提的是,我国2007年公布的《中华人民共和国突发事件应对法》标志着应急响应管理发展到了新的阶段。但网络安全应急响应具有其特殊的性质,且由于网络安全问题比较新、比较复杂,在实践中尚未形成公认一致的应急响应模型,但是业界也在不断探索,并取得了一定的应用成果。本章在对网络安全概念辨析、应急响应应用状况分析之后,介绍了现代网络安全应急响应技术,并对未来应急响应技术发展趋势做了分析。最后对国家或地区协同响应平台的一体化的建设进行了介绍,并对国家或地区协同响应案例做出了分析。

思考题

1.一般意义的应急响应有哪些分类、响应等级?

2.我国应急响应发展经历了哪些阶段?

3.一般意义的应急响应/网络安全应急响应有几个响应模型?

4.网络安全应急响应与一般意义的应急响应主要差异,试举例说明。

5.网络安全应急响应类型有哪些?各自特点是什么? TGic5E1Vw1ES+3DqVZFX1tBmJOwbwFfbOFy6TSP1cBp4eVZT8H9gUKRXgRqbQZA9

点击中间区域
呼出菜单
上一章
目录
下一章
×

打开