网络安全应急响应通常由一个应急响应组织负责提供,应急响应组织可以是正式的、固定的,也可以因网络安全事件的发生而临时组建。对于国家来说,一般要设立专门的网络安全应急响应机构;但对于大部分企业来说,则可由内部网络与网络安全有关部门负责应急响应的组织工作,不必设置专门的应急响应岗位,但是职责的负责人一定要事先明确。应急响应组织的工作涵盖了接收、复查、响应各类安全事件报告和活动,并进行一定的协调、研究、分析、统计和处理工作,甚至还可提供安全、培训、入侵检测、渗透测试或程序开发等服务,其组织体系的设计要保障网络安全事件发生后,应急响应的及时到位、快速有效。设计网络安全应急响应组织体系可依据下述原则。
应急响应体系的设计应遵循指导性的原则。网络安全应急响应体系建设是一项系统工程,对整个国家和组织的应急响应工作做一个长期性、整体性的规划和指示,包含应急响应体系和流程,也包含应急响应工作的发展和创新。
应急响应体系的设计应遵循可行性的原则。对国家而言,应急响应体系的设计须考虑国情和社会持续健康发展现状,对应急响应工作而言,既要符合现阶段业务特点,保证资源的可调动性、可实施性,又要留有业务的成长发展空间。
大数据时代的应急响应将更加依赖数据的处理和分析结果,作为应急响应策略的有效依据。一方面,更广泛、更加系统的数据来源将提升应急响应策略的准确性;另一方面,在应急响应的过程中,如何保证共享信息安全是现代应急响应体系的重大课题。
网络安全领域的应急保障,有其自身较为显著的特点,其面向的对象灵活性更好多变、信息更为复杂海量,难以完全靠人力做综合分析决策,需要大力依托自动化手段,实现对不同来源海量信息的自动采集、识别和关联分析,形成态势分析结果,为指挥机构和专家提供决策依据。因此,应急响应体系应该依托完整、严格的信息管理体系和制度,对信息的采集、汇总、分析、呈现进行系统化管理和分工,保证在突发事件中,有关信息能够迅速地汇总完成,形成准确、直观、可供参考的信息辅助报告,并且进一步挖掘信息潜在语义,对事件发展进行预判和评估。
信息共享是突发事件中各级、各部门进行协调配合的关键,决定着应急响应所有的环节对总体指令的落实情况。在信息共享的过程中,应该遵循信息权限的原则:在保证指令效果的前提下,对信息进行分级管理,在执行环节隐藏重要级别信息,防止被敌对势力获取,破坏应急响应的实施,对国家、社会和相关产业造成损失。
应急响应体系的设计应遵循整体性的原则。应急响应的策略须着眼于全局,在整个体系内综合运作,任何一个环节的疏漏都将导致整个应急响应的坍塌。整个应急响应策略体系的设计必须兼顾管理与技术两个方面,而由于管理问题而导致的安全事件更为严重。同时,制定管理策略时必须兼顾技术所能达到的响应能力,在管理上投入充足的精力。
应急响应体系的设计应遵循协同性的原则。突发事件的处置过程仅靠一个部门是不可能完成的,需要多方的共同协作,在应急响应体系和流程的指挥下,建立顺畅的应急处置渠道。往往涉及科研机构、政府部门、社会组织等,各角色各司其职,通力合作。
静态是指在应急响应的过程中严格执行相关指令和流程,动态是指在动态中逐渐完备应急响应体系和管理。两者缺一不可。
国家应急响应体系应该具有完整的规章,涵盖应急响应的总体原则和严格的体系流程,涵盖各行业、各组织、各突发情况下的应急响应工作开展方式、工作职责,作为应急响应工作的制度性和指导性文件而存在。
突发事件的复杂性使应急响应策略在制定下不可能做到尽善尽美,在突发事件发生的过程中会不断地出现新的情况和意外,同时,伴随着国家环境和科技发展的变化,应急响应的手段和策略要一直地更新换代,因此国家应急响应体系是一个动态完善的过程,也只有不断地完善才可能正真的保证国家、社会、组织、行业处在一个动态安全的环境中。
突发事件的紧迫性要求有关部门从日常状态到应急状态的切换要迅速、高效,在最短的时间内适应应急响应状态并开展工作,这就要求各有关部门的日常工作管理注意积累和调整。一方面,各部门对应急状态需要有一定的心理预备。在日常状态熟悉应急响应体系,了解响应过程的每一个流程和环节,各部门的协同和资源调配渠道等,保证在突发事件中第一时间到岗并开展工作。另一方面,日常工作管理中应注意积累和调整。包括信息数据的常规收集和分析研判,日常工作中的应急演练管理、预案管理等工作,也是应急响应能力建设的一部分。此外,应急状态下的平台建设也应最大限度地考虑日常状态下的工作需要,强化对日常业务的支撑能力。
一般情况下,企业和事业单位的网络安全应急响应工作和网络信息安全保障工作是一套人马来做,组织上是合一的。网络安全应急响应工作的组织体系包括内部协调和外部协调。内部协调的对象主体是机构/企业内部组建的网络安全应急响应领导小组(或决策中心)、网络安全保障与应急办公室(以下简称应急办)、相关业务线或受影响的业务、各专项保障组和技术专家组、咨询顾问组、市场公关组;外部协调的对象主体包括各相关政府部门、业务关联方、供应商(包括相关的设备供应商、软件供应商、系统集成商、服务提供商等)、专业安全服务厂商等。
值得注意的是,如果机构/企业的网络安全突发事件和经营业务的合作方/关联方有密切关系,那么应急办公室需考虑与合作方/关联方的协调,双方的法人主体地位是平等的,但双方应保持密切畅通的沟通。其次,由于通常企业或机构的高级安全人才缺乏,在出现重大安全事件之后,还应该要考虑引入专业安全厂商力量,因为专业安全厂商的安全专家应对高级别的网络黑客行为和网络攻击更富有经验,在处理工具与策略上会更具优势。
另外,之所以在机构/企业的网络安全应急响应领导小组设置市场公关职能,是因为在新媒体日趋普及的传播环境下,企业和事业单位逐渐重视公共舆论的传播,一旦内部网络发生安全事件,将可能会面临着公共舆论的关切,特别是运营大量用户的企业,一般会在新媒体官方公共账户上与公众互动,发布企业应急响应的动态信息等,并且,企业市场公关行为事关企业形象和声誉,因此将市场公关组职能放在决策中心层面。
在具体职能上,领导小组对网络安全应急工作进行统一指挥,网络安全应急响应办公室具体负责执行。例如应急办负责各类上报信息的收集和整体态势的研判、信息的对外通报等;相关业务线的协调工作是指,网络安全事件影响了机构或企业的某些业务,使之无法正常运行,甚至瘫痪,需要业务线有关人员参与到应急响应工作中,配合查明原因,恢复业务;各专项保障组在各级网络安全应急办公室的领导下,承担执行网络系统安全应急处置与保障工作;技术专家组的任务是指导技术实施人员采取比较有效技术措施,及时诊断网络安全事故,及时响应;顾问专家组则主要提供总体或专项策略支持,而市场公关组则负责对外的消息发布,以及应急处置情况的公开沟通与回应。
在外部协调上,应急办需要和政府机构,如公安部门、工信部门、CNCERT等及时通报情况,并沟通应急处置事宜;业务关联方、供应商也是外部协调对象。通常来说,安全服务专业厂商也是供应商的一种,但是根据近年来的网络安全应急响应实践来看,专业安全服务厂商的作用慢慢的变大,也受到各方的重视,因此在一般模型中单独列出。
需要强调的是,网络安全应急办是应急响应执行的关键组织保障,其负责人需要在有足够的协调能力的同时,有足够的权力,才能调动内部部门、主营业务领域的协同力量。机构内部的专家咨询小组和技术咨询小组对网络安全应急响应的制度流程建设完善有重要支撑作用,在应急事件响应上也发挥参谋作用,并且需要和保障层的软件供应商、设备供应商、系统集成商、服务提供商的有关技术支持人员,以及专业安全厂商的支持人员保持密切配合。
政府作为协调主体的网络安全应急任务是针对公共互联网安全事件,需要政府公共部门出面协调各地区各部门应急响应主体。需要注意的是,政府出面协调的网络安全应急响应,并不是应对政府办公内网的网络安全事故,而是例如我国骨干网瘫痪、国际出口遭堵塞、电信基础设施遭攻击等普遍影响广大网民和企事业单位甚至国家安全的重大事件。
因此,其相应的应急响应组织模型,不必区分内部与外部,需要相关机构、涉事互联网企业、供应商、电信运营商、专业安全厂商和政府下属机构齐心协力,共同完成响应任务。而且,需要通报的政府机构有公安部门、工信部门,甚至金融监管、国际贸易、国家安全等部门,也可能是其他相关主管部门或是业务关联部门,如工商、税务。此外,应急办下面可能还设有省级或市县级分支机构,因此也需要对这些分支机构部门统一协调。
由于政府一般设置新闻发言人,对外发布应急处置消息,因此决策中心的新闻发布职能可由“公共舆论组”负责。政府作为协调主体的组织体系模型如图2所示。
企业作为协调主体的网络安全应急任务一般是针对企业内网的安全事件,需要企业自主应对、及时响应,降低对企业自身的影响或冲击。需要注意的是,除非有特别重大原因,企业内网安全应急响应不必向政府主管部门通报。特殊情况下企业网络攻击事件需要追究网络攻击犯罪嫌疑人,则需通报、协助公安机关抓捕犯罪分子。此外,对于大型企业,可能会协调异地分支机构,而普通企业则可能用不到。在寻求外部协助方面,大部分的企业自身的网络安全应急响应技术实力还是不够的,需要借助供应商、专业安全服务厂商的协助支持(服务采购与外包)来应对遭遇的黑客行为或网络攻击。
由于企业在对外发布应急处置消息时,既要兼顾企业公共关系,同时也要维护客户/用户的信心——品牌信誉,因此,决策中心的新闻发布职能可由“市场公关组”负责。企业作为协调主体的组织体系模型如图3所示。
随着互联网的快速普及,各行各业企业(公司甚至工厂)的内部办公与业务管理逐步实现网络化,企业内部网络安全事件频率和威胁程度不断增加。依据上述企业网络安全应急响应模型,各企业法人需根据自身业务的特点和性质,尽早建立保障有力的应急响应组织体系,防患于未然。
在网络安全应急响应领域,我国于 2002 年 9 月正式成立了“中国计算机网络应急处理协调中心(National Computer Network Emergency Technical Team/Coordinational Center of China)”,简称国家互联网应急中心(CNCERT/CC)。它是我国国家级的计算机安全事件应急组织。工业和信息化部(原信息产业部)为我国互联网运行行业的主管部门,已正式发文要求各大骨干网成立计算机应急组织,并接受工信部互联网应急处理小组协调办公室的指导。另外,中国教育与科研网(CERNET,China Education&Research Net)早在1999年5月,以清华大学为中心,组建了中国教育科研网的应急组织(CCERT)。
2003 年,CNCERT/CC 在全国 31 个省成立分中心,形成了互联网的信息共享、技术协调,同时完成了我国互联网安全技术支撑体系跨网、跨系统、跨地域的建设阶段。CNCERT/CC的相关部门包括政府部门、互联网运营单位、CNCERT各省分中心、网络安全工作委员会、国家级应急服务支撑单位、省级应急服务支撑单位、中国CERT社区、国内合作伙伴、国外合作伙伴等。
这里主要讨论公共互联网安全应急响应体系,其他接入国际互联网的中国科技网、教育网、国际贸易网等可参考公共互联网的体系架构。
国家网络安全应急响应体系是由国家网络安全主管部门、国家计算机网络应急响应协调中心等组织构成,其具体构成如图4所示。
在上述体系中,CNCERT/CC 是我国国家级网络安全事件应急组织,负责协调我国各计算机网络安全事件应急小组(CERT)共同处理网络安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算网络安全的监测、预警、应急、防范等安全服务和技术上的支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息,组织国内网络安全应急响应组织进行国际合作和交流。CNCERT于2002年成为国际权威组织FIRST的正式会员,是中国对外处理网络安全事件的窗口。自成立以来,组织处理了大量计算机安全事件。
在实践中,网络安全应急响应组织架构通常划分为2个中心和2个组,2个中心分别是信息共享与分析中心和应急响应指挥协调中心,2个组分别是应急管理组和专业应急组。
应急响应指挥协调中心处于系统的最高层,它一方面负责协调体系的正常运行,维护信息共享与分析中心平台,另一方面也是系统联动的控制中心,管理并协调各个应急响应组。
信息共享与分析中心是整个架构的核心,它负责与各级组织进行信息共享和交换,其主要功能包括信息收集整理、事件跟踪、预警发布等。
应急响应中心体现了整个应急响应体系的核心任务,如信息安全事件分类、应急响应、预案管理等。
应急管理组是整个体系及联动运作的总协调机构,包括技术研发与策略制定组、专家咨询组等。
专业应急组以直接应对安全事件为目标,客户是面对安全事件的最直接的实体,客户一方面可通过查看信息实施必要的防范措施,必要时与其他实体进行联动,并接受专业应急组提供的服务;另一方面也要及时上报所遇到的安全事件信息。
专家顾问组、应急小组、监测预警机构和指挥协调机构间的联动,既依赖安全事件,也依赖安全策略的调整和安全管理职责的变更。联动响应工作流程可以是应急预案中的规定流程,也可能是指挥协调机构的临时指令,联动的目的是保证应急响应工作的有序、有效、高效地运行。
指挥协调机构负责应急响应的指挥、协调工作,指挥监测预警机构、应急小组和专家顾问组对突发的网络信息安全事件进行应急处置;协调各组织制订、修订相关的应急预案;组织应急预案演练;负责安全宣传教育与培训。
监测预警机构负责监测预警和风险评估控制、隐患排查整改工作,为整个组织提供实时监测及预警信息共享服务。
应急小组承担应急值守和事件收集、分析、上报工作,按照预案和指挥协调机构的指令执行系统升级、遏制、杜绝、恢复重建等处理工作。
专家顾问组根据指挥协调机构的要求为应急响应提供政策、法律、技术等方面的咨询与建议,提供安全教育、人员培训等服务。根据监测预警机构的事件报告,分析事件的发展趋势,为应急小组提供处置措施和恢复方案。
网络安全应急响应组织体系建立起来之后,最重要的就是建立高效的运行机制,保证应急措施顺利实施。根据业界实践过程中积累的经验,总结了以下六点主要运行机制。
尽早建立网络安全应急响应办公室,做好组织保证,准备好预案,并定期演练,积累实战能力。应急办的负责人要具备过硬的协调能力,同时也需有足够的权力方能对组织内各业务线、职能部门等人财物资源加以调度,保障应急响应顺利执行。
应急响应部门下设的各技术线、组织机构内部各业务线的资源,包括设备、网络、数据、安全保障、软件技术等各方力量,都需有效参与,协同作战,梳理可用线索或应急响应实施的突破点,从而实现迅速排查、定位网络安全问题。
外部的支持,包括专业设备及服务供应商、相关的政府组织机构、业务合作方或关联方,都需要保持畅通的沟通,保证事件调查顺利推进。
必要时,组建高层挂帅的领导小组。可视情况而定,例如事态发展超过应急响应办公室职能范围时,可设立网络安全应急响应工作领导小组,组长一般由组织最高层领导人员担任,从更高层面统筹网络安全应急响应工作的组织协调。例如,高层领导参与决策、提供优先资源和个别协调;此外,领导小组还可以就一些应急措施的风险评估做出权威决策,避免中层领导人员出现重大失误等。
顾问小组包括决策支持专家、业务管理专家、安全实践专家,他们可以帮助宏观把握一些应急措施的部署、大的外部形势的判断,优化个别问题的流程,甚至为一线人员直接提供建议、现场指导。
专业技术顾问小组可以填补机构企业内部专业力量不足的缺点,毕竟内部设置高级安全人才的成本和管理都会有障碍,因此需要外部拥有丰富经验的专业网络安全人才加入,也能相应地调动、利用机构内部的技术人员团队,保证响应任务的高效推进。特别是取得专业的网络安全企业机构的人员和技术支持,毕竟网络安全企业的相应人员,最为专业、实战经验也最为丰富。
一般企业和事业单位发生紧急网络安全事件概率不高,考虑成本等原因,因此没有必要雇佣/储备网络安全专业技术领域高级人才。因此出现突发应急事件,选择聘请专业安全厂商人员参与处理,对尽快查明原因、及时惩治不法分子是尤为重要的。
组建网络安全应急响应组织体系可依据的原则有:兼具指导性和可行性的原则、信息的汇总与共享原则、兼具整体性和协同性的原则、兼具静态和动态的原则、应急状态与日常状态契合的原则等。
一般情况下,企业和事业单位的网络安全应急响应工作和网络信息安全保障工作是一套人马来做,组织上是合一的。网络安全应急响应工作的组织体系包括指挥层、运行层和保障层。指挥层是机构/企业内部组建的网络安全应急响应领导小组;运行层由网络安全保障与应急办公室、各专项保障组以及各分支机构(或各省分支部门)应急办构成;保障层包括各专项保障单位、相关的软件开发商、系统集成商、服务提供商等。在给出网络安全应急响应组织体系一般模型之后,本文给出了以CNCERT为核心主体的全国网络安全应急响应组织体系实例。
在了解网络安全应急响应组织体系之后,又介绍了一般网络安全应急响应组织的内部架构与联动机制,最后给出了网络安全应急响应需要我们来关注的6个关键运行机制问题,分别是“及时组建应急办,协调有力”“充分调动组织内部资源,协力排查”“寻求外部支持”“重大敏感问题可通过领导小组决策”“选备顾问小组”“适时引入专业力量”。返回搜狐,查看更加多