当今社会,信息化持续发展,中国互联网络信息中心发布的报告显示,截至2016年12月,中国网民规模达7.31亿,互联网普及率达到53.2%。个人网上消费娱乐,政府网上公开信息和网上办事,企业在线销售与采购等等,已经成为一种不可阻挡的潮流。
信息化给生产、生活和治理带来极大便利的同时,也不可避免地产生了副产品——网络安全事件。网络安全事件的危害小至对生产生活造成困扰,大至影响国家安全。为了避免发生网络安全事件,控制已发生网络安全事件防止其恶化,做到“大事化小,小事化了”,就需要加强网络安全应急工作。
一、网络安全应急出现新特点
随着云计算、大数据、物联网、移动互联网、工业控制系统、人工智能等新技术新应用的不断涌现以及各国对网络空间争夺的日益加剧,网络安全应急出现如下新特点:
一是对新技术新应用伴生的新型网络安全事件应急缺乏经验。由于信息化涉及面广,创新速度快,不断有新的网络安全事件产生,这些事件的应对技术和手段难以同步跟进,从而导致这些网络安全事件应对不力。
二是网络安全应急的时间窗口越来越短。当一个漏洞被公开后,漏洞的补丁研发者和攻击工具的研发者就展开时间赛跑。很多漏洞的攻击利用工具先于或同步于补丁研发出来,这些漏洞就成为著名的“零日漏洞”。2016年国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞10822个,其中有2203个属于“零日漏洞”。
三是物理信息融合更加深入,网络安全事件应急更加复杂。2010年发生的“震网”病毒袭击伊朗核设施事件是典型的通过网络攻击实现对物理世界攻击的案例。而2016年10月发生的震惊全球的美国断网事件则利用连接物理世界的物联网设备攻击域名服务器致使互联网不能访问。这些网络安全事件应急既涉及网络安全应急,也涉及到生产安全应急,甚至涉及人身安全应急。
四是网络安全应急不再局限于信息系统,关键信息基础设施网络安全应急更加突出。关键信息基础设施已成为网络攻防的重点。关键信息基础设施一旦遭到攻击,不仅影响面广,而且破坏程度大,网络安全应急则更加困难。
在新形势下,我国网络安全应急受到高度重视。2016年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,其第五章专门规范了“监测预警与应急处置”,对国家及关键信息基础设施保护部门网络安全监测预警和信息通报制度建立、风险评估和应急工作机制健全与应急预案制定和应急演练、应急处置、安全监管、突发事件与安全生产事故处罚、网络通信临时限制等都作出了明确规定。2016年12月27日发布的《国家网络空间安全战略》指出“完善网络安全监测预警和网络安全重大事件应急处置机制”、“深化在政策法律、技术创新、标准规范、应急响应、关键信息基础设施保护等领域的国际合作”。
二、网络安全应急是一项整体工程
网络安全应急管理是一个体系化的系统工程,网络安全应急管理体系的内容可以概括为“一案三制”,即网络安全事件的应急预案、应急机制、应急体制和应急法制,以及支撑“一案三制”的网络安全应急基础设施。我国政府在加强网络安全应急管理中,突出重点、抓住核心、建立制度、打牢基础,围绕应急预案、应急管理体制、机制和法制建设,构建了网络安全应急管理体系的核心框架,初步形成了中国特色的网络安全应急管理体系。
1、网络安全应急法制
法律手段是应对网络安全事件最基本、最主要的手段。网络安全应急管理法制建设,就是依法开展应急工作,努力使网络安全事件的应急处置走向规范化、制度化和法制化轨道,使政府和公民在网络安全事件中明确权利和义务,既使政府得到高度授权,维护国家利益和公共利益,又使公民基本权益得到最大限度的保护。
2007年8月30日发布了《中华人民共和国突发事件应对法》,该法中“应急”中的“应”指的是“应对”,它包括预防与准备、监测与预警、处置与救援、事后恢复与重建等活动,“急”则指“突发事件”,是指突然发生,造成或者可能造成严重社会危害,需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。
2016年11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,第五十七条指出“因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。”可见严重的网络安全事件可导致突发事件或者生产安全事故。
1994年颁布的《中华人民共和国计算机信息系统安全保护条例》(即国务院147号令)、2009年通过的《刑法》(修正案七)、2010年修订通过的《中华人民共和国保守国家秘密法》等都是网络安全应急法制建设的重要内容。
同时,与法律法规相配套的政策文件和标准纷纷出台。
2、网络安全应急体制
网络安全应急管理体制主要是指应急管理机构的组织形式。
国家层面,2014年2月,中央网络安全和信息化领导小组成立。在网络安全应急专业技术队伍方面,经过多年努力依托各国家部委组建了包括国家计算机网络应急技术处理协调中心(国家互联网应急中心)、国家信息技术安全研究中心、中国信息安全测评中心等国家级网络安全应急专业机构。
以北京市为例,按照在应急响应工作中所承担职责的不同,网络安全应急机构包括应急管理的领导指挥机构、专项应急指挥机构、地方机构、日常办事机构、工作机构、支撑机构及专家组织等。
3、网络安全应急机制
信息安全应急响应工作机制是信息安全应急响应体系各个组成部分相互配合、高效运转的重要前提。从工作内容上,应急响应工作机制主要包括指挥协调机制、信息通报共享机制、监督检查机制等。
指挥协调机制从过程上可分为情报会商、应急决策、资源协调、指挥实施等。信息通报共享机制从过程上可分为信息搜集、信息汇总、信息发布。通过监督检查机制,应急指挥机构对管辖范围内各单位信息安全应急准备以及特定网络安全事件应急处置情况进行检查和调查。
4、网络安全应急预案
网络安全应急预案是网络安全应急法制、体制和机制落地的载体。近年来,各部委、各地区、各单位根据国家相关要求,陆续制订发布了本部门、本地区、本单位的网络安全事件应急预案,初步建立了国家网络安全事件应急预案体系。
5、网络安全应急基础设施
网络安全应急响应基础设施是有效组织与开展网络安全应急响应工作的重要技术基础。从开展网络安全应急响应工作的角度上,应急响应基础设施可包括:应急指挥平台、应急值守平台、应急呼叫中心、安全态势分析平台、监测预警系统、灾难备份中心、威胁管理平台、漏洞管理平台、补丁管理平台、应急资源数据库、应急工具装备库和信息安全应急技术研究实验室等。
三、建立主动网络安全应急模式
在网络安全应急新形势下,被动地开展网络安全应急,已经不能满足要求了,亟需做到知己知彼,主动出击,在完善网络安全应急体系基础上,建立主动网络安全应急模式。下面提出一些主动网络安全应急的思路:
1、主动跟踪发现威胁源。虽然网络安全威胁源非常广泛,但挖掘发现发起威胁的国家、机构、个人及恶意代码并进行跟踪,掌握他们的动态,可以大大提高网络安全应急效率。目前业内在这方面开展的工作包括网络威胁情报分析、建立和共享恶意网页URL库、跟踪僵尸网络、建立蜜罐等。
2、加强网络违规执法。对一旦发现的网络犯罪,严格进行执法,对网络犯罪主体进行打击,形成威慑力量,从而抑制威胁源,达到主动网络安全应急的效果。
3、明确重点应急对象。国家和地方分别建立自己的重点网络安全应急对象,特别是关键信息基础设施,针对这些对象建立专门网络安全应急队伍、制定网络安全应急制度、制定应急预案、开展应急演练、储备应急资源等。
4、主动挖掘安全漏洞。建立软件开发商安全漏洞责任制,要求软件开发商建立自身漏洞挖掘队伍,及时主动向国家相关机构报告;建立国家级漏洞挖掘机构和行业领域漏洞挖掘机构,联合社会漏洞挖掘机构,统一漏洞的挖掘,并建立漏洞和补丁的分级管理体制和机制。目前,我国CNCERT和中国信息安全测评中心分别建立了漏洞报告和发布制度,但漏洞的发现靠个别安全机构和个人是不够的。
5、完善风险评估机制。在传统信息系统风险评估基础上,探索面向工业控制系统、大数据、人工智能等新领域的风险评估方法。按照《中华人民共和国网络安全法》要求,推动风险评估工作,定期开展风险评估,主动发现安全隐患并进行整改,控制安全风险。
6、加强应急人才培养。我国网络安全人才培养中,注重网络安全防护人才的培养,对网络安全应急人才培养关注不够,网络安全应急人才缺乏,影响了网络安全应急的效果。需要加大网络安全应急优秀教材的编制,把网络安全应急列入网络安全人才的必修课程。
7、强化国际应急合作。在国际层面发现和跟踪威胁源,掌握安全漏洞,阻断网络攻击,共同打击跨国网络犯罪。
(作者:北京信息安全测评中心 钱秀槟 赵章界)
