劉欣然，李柏松，常安琪，魯輝，田志宏

（1. 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029；2. 安天實(shí)驗(yàn)室，哈爾濱 150000；3. 中國(guó)科學(xué)院微電子研究所，北京 100029；4. 中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所，四川綿陽 621900）

當(dāng)前網(wǎng)絡(luò)安全形勢(shì)與應(yīng)急響應(yīng)

劉欣然1，李柏松2，常安琪2，魯輝3，田志宏4

（1. 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029；2. 安天實(shí)驗(yàn)室，哈爾濱 150000；3. 中國(guó)科學(xué)院微電子研究所，北京 100029；4. 中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所，四川綿陽 621900）

隨著互聯(lián)網(wǎng)應(yīng)用的迅速發(fā)展，各種網(wǎng)絡(luò)安全威脅不斷出現(xiàn)。本文介紹了網(wǎng)絡(luò)安全所呈現(xiàn)的特點(diǎn)以及目前所面臨的形勢(shì)。攻擊方法的更新、攻擊技術(shù)的提升以及攻擊范圍的擴(kuò)大給應(yīng)急工作帶來了考驗(yàn)。應(yīng)急工作的管理現(xiàn)狀存在一定的問題，在核心技術(shù)、安全保障方面都比較落后。借鑒傳統(tǒng)領(lǐng)域的應(yīng)急體系，改善當(dāng)前應(yīng)急技術(shù)措施成為網(wǎng)絡(luò)安全工作的重要部分。針對(duì)新時(shí)期的網(wǎng)絡(luò)安全應(yīng)急工作環(huán)境，提出了調(diào)動(dòng)體系力量，多方聯(lián)動(dòng)的消除方法，從體制和機(jī)制等方面來進(jìn)行保證，以防止網(wǎng)絡(luò)威脅產(chǎn)生的巨大影響。

網(wǎng)絡(luò)安全；威脅；信息安全；應(yīng)急響應(yīng)；應(yīng)急體系

DOI 10.15302/J-SSCAE-2016.06.017

一、前言

隨著信息技術(shù)的不斷發(fā)展進(jìn)步，網(wǎng)絡(luò)安全面臨的問題增多，企業(yè)對(duì)安全的重視程度逐漸增加，應(yīng)急響應(yīng)工作顯得舉足輕重。新時(shí)期網(wǎng)絡(luò)安全應(yīng)急的定位已發(fā)生了變化，應(yīng)急的范圍不僅僅包括網(wǎng)絡(luò)，同時(shí)也有重要的信息內(nèi)容。隨著威脅的不斷演化，網(wǎng)絡(luò)安全應(yīng)急也面臨著考驗(yàn)。

從總體上看，網(wǎng)絡(luò)安全事件的處置分為包括國(guó)家級(jí)政府、國(guó)家級(jí)非政府和地方級(jí)非政府在內(nèi)的三個(gè)層面。下層安全應(yīng)急體系例如各家安全廠商的應(yīng)急響應(yīng)中心，互聯(lián)網(wǎng)公司、電商的應(yīng)急響應(yīng)中心紛紛建立。即便如此，新一代網(wǎng)絡(luò)安全威脅的傳播速度很快，攻擊面很廣，其威脅覆蓋面已超乎我們的想象，移動(dòng)電話、個(gè)人電腦、網(wǎng)站、應(yīng)用、社交媒體無一幸免。突發(fā)事件的發(fā)生給應(yīng)急工作帶來巨大的困難與考驗(yàn)。

進(jìn)入21世紀(jì)，網(wǎng)絡(luò)安全這一問題變得更加突出。如2000年雅虎網(wǎng)站的大規(guī)模拒絕服務(wù)攻擊，2001年的紅色代碼事件，2001年全球根域名服務(wù)器遭到大規(guī)模拒絕服務(wù)攻擊，2003年的SQL Slammer蠕蟲病毒，2004年的震蕩波 ，2006年的熊貓燒香病毒，2010年的震網(wǎng)事件[1]，2015年利用Cobalt Strike平臺(tái)的APT-TOCS[2]事件、Hacking-Team數(shù)據(jù)泄露事件、Biige等商業(yè)手機(jī)木馬利用事件，以及2016年日趨活躍的勒索軟件的出現(xiàn)，使信息安全事件種類越來越多，呈現(xiàn)出如下特點(diǎn)。

（一）攻擊組織化、趨利化

網(wǎng)絡(luò)攻擊不僅僅是單個(gè)黑客的炫技行為，也體現(xiàn)為許多有組織的以獲取經(jīng)濟(jì)利益為目的的商業(yè)行為。其攻擊行為的實(shí)施都有清晰分工，攻擊組織化大大增強(qiáng)了攻擊者對(duì)各類網(wǎng)站和信息系統(tǒng)的攻擊能力，而目標(biāo)趨利化則使得攻擊所造成的危害進(jìn)一步加大。

（二）攻擊方法推陳出新

傳統(tǒng)攻擊通常采用rootkit、感染式病毒等方式，而如今網(wǎng)絡(luò)攻擊的新思路、新技術(shù)、新方法不斷出現(xiàn)，如網(wǎng)絡(luò)釣魚、社會(huì)工程、網(wǎng)頁掛馬、0day漏洞、重定向等攻擊。不斷出現(xiàn)的種種新的攻擊方法也增加了網(wǎng)絡(luò)與信息安全事件原因分析和技術(shù)處置的難度。

（三）攻擊技術(shù)工具化、平臺(tái)化

縱觀全球，傳統(tǒng)意義的高級(jí)持續(xù)性威脅（APT）攻擊更多地讓人聯(lián)想到精干的作業(yè)團(tuán)隊(duì)、用于攻擊的基礎(chǔ)設(shè)施、0day漏洞挖掘小組以及惡意代碼的編寫小組等。但APT-TOCS事件攻擊者依托自動(dòng)化攻擊測(cè)試平臺(tái)Cobalt Strike實(shí)現(xiàn)了對(duì)目標(biāo)主機(jī)進(jìn)行遠(yuǎn)程控制的能力，用一種新的方式為一些技術(shù)能力和資源相對(duì)有限的國(guó)家和組織提供一種新的示范選擇。這種方式降低了攻擊的成本，而這種高度“模式化”的攻擊也會(huì)讓攻擊缺少鮮明的基因特點(diǎn)，從而更難追溯，應(yīng)急工作更難有效執(zhí)行。

（四）攻擊目標(biāo)范圍廣泛化

除傳統(tǒng)的網(wǎng)站、信息系統(tǒng)外，域名系統(tǒng)等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、郵件系統(tǒng)、工業(yè)控制系統(tǒng)、個(gè)人終端、智能手機(jī)、無線網(wǎng)絡(luò)等都已經(jīng)成為網(wǎng)絡(luò)攻擊的目標(biāo)。這兩年，除了熟悉的漏洞Windows、Linux和其他類Unix系統(tǒng)、iOS、Android等操作系統(tǒng)及其應(yīng)用軟件漏洞外，安全威脅在小到智能汽車、智能家居、智能穿戴，大到智慧城市都無所不在。

二、應(yīng)急響應(yīng)的管理現(xiàn)狀與存在問題

多年來，信息化發(fā)展已經(jīng)深入到政府管理、企業(yè)運(yùn)作、群眾生活等方面，成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的重要基礎(chǔ)。當(dāng)作為基礎(chǔ)設(shè)施的信息系統(tǒng)出現(xiàn)故障時(shí)，將會(huì)直接影響正常的社會(huì)管理和服務(wù)。

（一）復(fù)雜的國(guó)內(nèi)外環(huán)境

當(dāng)今世界正發(fā)生著復(fù)雜深刻的變化。國(guó)際金融危機(jī)深層次影響繼續(xù)顯現(xiàn)，世界經(jīng)濟(jì)緩慢復(fù)蘇、發(fā)展分化，國(guó)際投資貿(mào)易格局和多邊投資貿(mào)易規(guī)則醞釀深刻調(diào)整，各國(guó)面臨的發(fā)展問題依然嚴(yán)峻。我國(guó)“一帶一路”頂層戰(zhàn)略充分依靠與有關(guān)國(guó)家既有的雙多邊機(jī)制[3]，借助既有的、行之有效的區(qū)域合作平臺(tái)，積極發(fā)展與沿線國(guó)家的經(jīng)濟(jì)合作伙伴關(guān)系。

國(guó)際經(jīng)濟(jì)貿(mào)易戰(zhàn)略交叉，互聯(lián)網(wǎng)應(yīng)用水平增高，使各國(guó)在合作的同時(shí)也體現(xiàn)出激烈的國(guó)際競(jìng)爭(zhēng)與網(wǎng)絡(luò)力量的博弈。

（二）核心技術(shù)和設(shè)備的缺失

國(guó)內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)包括重要部門的信息系統(tǒng)使用國(guó)外技術(shù)和產(chǎn)品的比率居高不下，技術(shù)水平與基礎(chǔ)設(shè)施供應(yīng)不能很好匹配，與大國(guó)還有差距。如美國(guó)具備強(qiáng)大的技術(shù)力量，包括監(jiān)控硬件生產(chǎn)、制造，操作系統(tǒng)、芯片在世界范圍內(nèi)的占有率，其所具備的強(qiáng)大的信息獲取能力是其他國(guó)家無法比擬的。

（三）信息安全保障工作比較落后

我國(guó)信息安全整體水平還相對(duì)比較落后，各級(jí)地方政府雖然已經(jīng)開始認(rèn)識(shí)到信息安全的重要性，但在具體工作的實(shí)施過程中仍存在問題，如應(yīng)急響應(yīng)工作的開展相對(duì)滯后，很多單位未能較好地落實(shí)國(guó)家要求，人才與投資顯現(xiàn)出不足等問題。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）自主監(jiān)測(cè)的數(shù)據(jù)顯示，2015年已發(fā)現(xiàn)10.5萬余個(gè)木馬和僵尸網(wǎng)絡(luò)控制端，控制了我國(guó)境內(nèi)1 978萬余臺(tái)主機(jī)，抽樣監(jiān)測(cè)的惡意程序轉(zhuǎn)發(fā)的用戶郵件數(shù)量超過66萬封[2]，個(gè)人信息泄露事件頻發(fā)，網(wǎng)絡(luò)設(shè)備安全漏洞風(fēng)險(xiǎn)較大，并有增加趨勢(shì)。

2014年，我國(guó)成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，統(tǒng)籌協(xié)調(diào)涉及各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題。國(guó)務(wù)院重組了國(guó)家互聯(lián)網(wǎng)信息辦公室，授權(quán)其負(fù)責(zé)全國(guó)互聯(lián)網(wǎng)信息內(nèi)容管理工作，并負(fù)責(zé)監(jiān)督管理執(zhí)法。2016年4月19日，中共中央總書記習(xí)近平召開網(wǎng)絡(luò)安全和信息化座談會(huì)探討網(wǎng)絡(luò)安全措施與辦法[4]，強(qiáng)調(diào)在“十三五”開局之年網(wǎng)絡(luò)安全和信息化工作是“十三五”時(shí)期的重頭戲；在考察東北老工業(yè)基地期間，他來到了哈爾濱本地網(wǎng)絡(luò)安全企業(yè)安天科技股份有限公司，突顯了國(guó)家對(duì)于網(wǎng)絡(luò)安全方面的重視。

縱觀網(wǎng)絡(luò)安全形勢(shì)，去年由網(wǎng)絡(luò)攻擊引發(fā)的數(shù)據(jù)泄露依舊猖獗。信息泄露的背后已經(jīng)形成一條完整的利益鏈，這些用戶信息或被用于團(tuán)伙詐騙、釣魚，或被用于精準(zhǔn)營(yíng)銷。因惡意代碼導(dǎo)致的信息泄露事件中，極為值得反思的是XcodeGhost事件[5]，截至2015年9月20日，各方累計(jì)發(fā)現(xiàn)已確認(rèn)共692種APP曾受到污染，受影響的包括微信、滴滴、網(wǎng)易云音樂等流行應(yīng)用[6]。這次事件采用了非官方供應(yīng)鏈污染的方式，反映了我國(guó)互聯(lián)網(wǎng)廠商研發(fā)存在缺陷和安全意識(shí)薄弱的現(xiàn)狀。

從我國(guó)現(xiàn)階段來看，信息安全突發(fā)事件應(yīng)急管理工作取得了一定的進(jìn)展，但從總體來看，應(yīng)急預(yù)案不夠完善，在實(shí)際應(yīng)用上，缺乏實(shí)用性和可操作性。除了中國(guó)外，世界上網(wǎng)絡(luò)大國(guó)或網(wǎng)絡(luò)發(fā)達(dá)國(guó)家都制定了網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略[7]。各國(guó)網(wǎng)絡(luò)安全戰(zhàn)略之所以如此密集地出臺(tái)，主要是因?yàn)殡S著互聯(lián)網(wǎng)的迅速發(fā)展和普及，各國(guó)政府、關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)和公民均嚴(yán)重依賴于網(wǎng)絡(luò)的可靠功能；網(wǎng)絡(luò)安全出現(xiàn)問題，將嚴(yán)重危及政府和企業(yè)的運(yùn)轉(zhuǎn)，極大影響公眾的社會(huì)生活，可以說網(wǎng)絡(luò)安全是一國(guó)繁榮發(fā)展的“生命線”。因此，合理建立信息安全突發(fā)事件的應(yīng)急響應(yīng)體系，實(shí)現(xiàn)有限投入下最大程度地降低信息安全突發(fā)事件的負(fù)面影響，就成為一個(gè)迫切需要解決的問題。

我國(guó)在互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急保障體系方面，已經(jīng)初步形成了在工業(yè)和信息化部互聯(lián)網(wǎng)應(yīng)急工作辦公室領(lǐng)導(dǎo)下，以CNCERT/CC為核心、以各種互聯(lián)網(wǎng)骨干網(wǎng)運(yùn)營(yíng)企業(yè)為依托、以應(yīng)急服務(wù)支撐單位為后援的國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急處理體系[8]。

隨著我國(guó)經(jīng)濟(jì)的發(fā)展，在信息安全的法律法規(guī)方面，我國(guó)已經(jīng)進(jìn)行了初步嘗試，但相對(duì)發(fā)達(dá)國(guó)家來講距離還不小?；ヂ?lián)網(wǎng)的復(fù)雜性和跨地域性決定了網(wǎng)絡(luò)安全事件的應(yīng)急處置應(yīng)該是多個(gè)部門和單位協(xié)同的過程，這便要求各主管部門和應(yīng)急機(jī)構(gòu)要不斷整合各自的優(yōu)勢(shì)，最終形成合力，并根據(jù)各部門在應(yīng)急響應(yīng)中所發(fā)揮的作用，確定一個(gè)應(yīng)急響應(yīng)牽頭部門，負(fù)責(zé)統(tǒng)一指導(dǎo)整個(gè)應(yīng)急響應(yīng)工作，以改變目前各自為政的局面。不規(guī)范的網(wǎng)絡(luò)行為，是造成網(wǎng)絡(luò)風(fēng)險(xiǎn)最重要的因素。然而，僅僅依靠打擊網(wǎng)上犯罪和違法行為來解決問題也是遠(yuǎn)遠(yuǎn)不夠的，要充分做到網(wǎng)絡(luò)安全監(jiān)管的關(guān)口前移，發(fā)揮行政管理措施的職能。目前整個(gè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作仍存在諸多問題，如應(yīng)急響應(yīng)的時(shí)間滯后性問題，應(yīng)急響應(yīng)工作有效落實(shí)的問題，應(yīng)急計(jì)劃操作性不強(qiáng)、部門聯(lián)動(dòng)性差、應(yīng)急培訓(xùn)演練次數(shù)不足、應(yīng)急技術(shù)人員的專業(yè)性不足、過分依賴國(guó)家應(yīng)急平臺(tái)等問題[9,10]。

三、傳統(tǒng)領(lǐng)域的應(yīng)急內(nèi)容參考

傳統(tǒng)領(lǐng)域的應(yīng)急體系包括企業(yè)安全生產(chǎn)事故應(yīng)急體系、公共災(zāi)害安全事故應(yīng)急體系、公共衛(wèi)生領(lǐng)域傳統(tǒng)安全事件應(yīng)急體系等，各領(lǐng)域均已建立起相應(yīng)的法律法規(guī)和相關(guān)工作技術(shù)，并取得了一定的技術(shù)創(chuàng)新。傳統(tǒng)領(lǐng)域的安全是真實(shí)環(huán)境下的國(guó)家公共基礎(chǔ)設(shè)施應(yīng)急體系建設(shè)的安全，而網(wǎng)絡(luò)安全方面的防范重點(diǎn)表現(xiàn)為計(jì)算機(jī)病毒與黑客犯罪。網(wǎng)絡(luò)安全除了保護(hù)設(shè)備與系統(tǒng)安全外，要保護(hù)數(shù)據(jù)安全。網(wǎng)絡(luò)安全與其他領(lǐng)域安全均要做到在應(yīng)急事件來臨時(shí)快速、高效、全面的響應(yīng)。從針對(duì)傳統(tǒng)領(lǐng)域應(yīng)急體系的建設(shè)中，總結(jié)出網(wǎng)絡(luò)安全應(yīng)急在組織機(jī)制、指揮體系以及救援隊(duì)伍方面需要借鑒之處，為從高位（國(guó)家機(jī)構(gòu)）、中位 [互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）、內(nèi)容分發(fā)網(wǎng)絡(luò)機(jī)構(gòu)（CDN）、電商、行業(yè)主管]到低位（網(wǎng)民）三方面建立網(wǎng)絡(luò)安全應(yīng)急體系提供指導(dǎo)。網(wǎng)絡(luò)安全應(yīng)急體系建設(shè)過程中需要考慮以下幾個(gè)方面——組織體系：需要建立國(guó)家層面的安全應(yīng)急指揮部門和應(yīng)急管理部門，在各省市、自治區(qū)及地方區(qū)域建立相應(yīng)的應(yīng)急機(jī)構(gòu)；指揮體系：需要建立各級(jí)應(yīng)急指揮系統(tǒng)、通信指揮系統(tǒng)；建立監(jiān)測(cè)和預(yù)防預(yù)警系統(tǒng)；建立信息共享機(jī)制、事件上報(bào)機(jī)制、通報(bào)機(jī)制；建立專業(yè)的應(yīng)急隊(duì)伍：國(guó)家隊(duì)、省級(jí)隊(duì)和各單位建立應(yīng)急隊(duì)伍，并加強(qiáng)演練和培訓(xùn)。四大應(yīng)急體系差異分析情況見表1。

四、采取的措施

綜上所述，當(dāng)今網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，網(wǎng)絡(luò)威脅發(fā)展迅速，應(yīng)急響應(yīng)工作面臨重大考驗(yàn)?；ヂ?lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急保障體系在穩(wěn)步建設(shè)的同時(shí)仍存在許多問題，通過應(yīng)急響應(yīng)工作的加強(qiáng)與改善來解決網(wǎng)絡(luò)安全問題成為行之有效的服務(wù)手段之一，并具有一定的迫切性。

針對(duì)新時(shí)期的網(wǎng)絡(luò)安全應(yīng)急工作，因其定位已發(fā)生變化，應(yīng)急的對(duì)象也在不斷擴(kuò)充，需要調(diào)動(dòng)體系的力量，多方聯(lián)動(dòng)及時(shí)消除隱患，從體制和機(jī)制等方面來進(jìn)行保證，防止產(chǎn)生巨大的惡劣影響。具體包括以下幾方面內(nèi)容。

（一）堅(jiān)持戰(zhàn)時(shí)協(xié)助攻防、急時(shí)快速掌控、平時(shí)側(cè)

重服務(wù)的應(yīng)急方針

戰(zhàn)時(shí)協(xié)助攻防：網(wǎng)絡(luò)應(yīng)急工作應(yīng)該以保障軍事網(wǎng)絡(luò)安全運(yùn)行為核心，協(xié)助我國(guó)軍事網(wǎng)絡(luò)部隊(duì)進(jìn)行網(wǎng)絡(luò)戰(zhàn)的方案制定等，必要時(shí)可以切斷公共互聯(lián)網(wǎng)網(wǎng)絡(luò)。急時(shí)快速掌控：在發(fā)生大規(guī)模網(wǎng)絡(luò)攻擊事件時(shí)，能夠在最短時(shí)間內(nèi)控制事件的擴(kuò)散，掌握事件的發(fā)展動(dòng)態(tài)，準(zhǔn)確判斷事件的影響范圍，制定應(yīng)急響應(yīng)措施，將損失降低到最小。平時(shí)側(cè)重服務(wù)：應(yīng)急響應(yīng)的平時(shí)工作是保障互聯(lián)網(wǎng)的安全運(yùn)行，及時(shí)應(yīng)對(duì)一般性網(wǎng)絡(luò)安全事件。

（二）在應(yīng)急處理中開展體系化對(duì)抗

從法制、機(jī)制、人員、資金、技術(shù)等多個(gè)層面建立立體對(duì)抗體系，用國(guó)家機(jī)器去完成網(wǎng)絡(luò)應(yīng)急。應(yīng)急的目標(biāo)不局限于把境外有害言論的源頭挖出來，而是震懾一大批有企圖的人，從而達(dá)到降低宏觀指數(shù)的目的。

（三）明確危害網(wǎng)絡(luò)信息安全的責(zé)任和義務(wù)

現(xiàn)實(shí)空間的每個(gè)主體都具有各自的權(quán)利與義務(wù)，同樣，網(wǎng)絡(luò)空間也如此，每個(gè)主體都為維護(hù)所處空間的正常運(yùn)行而努力。每個(gè)網(wǎng)絡(luò)主體有權(quán)要求國(guó)家提供一個(gè)正常、安全的網(wǎng)域空間，同時(shí)也有義務(wù)來維護(hù)其安全。

表1 四大應(yīng)急體系差異分析

在網(wǎng)絡(luò)信息安全立法中，必須對(duì)危害國(guó)家和公共網(wǎng)絡(luò)安全的行為明確法律責(zé)任，為追究違法者創(chuàng)造法律條件。一是對(duì)于違法行為，應(yīng)當(dāng)相應(yīng)地規(guī)定其民事責(zé)任、行政責(zé)任和刑事責(zé)任，明確各自的責(zé)任界限；二是要解決好民事責(zé)任、行政責(zé)任和刑事責(zé)任之間的銜接問題，對(duì)于尚不構(gòu)成犯罪的違法行為，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任或行政責(zé)任；三是建立移送制度，對(duì)于危害性較大且已經(jīng)構(gòu)成犯罪的行為，應(yīng)依法移送司法機(jī)關(guān)追究刑事責(zé)任，避免“以罰代刑”；四是所有網(wǎng)絡(luò)運(yùn)營(yíng)商都有維護(hù)用戶信息安全的義務(wù)，這些義務(wù)主體在未履行保護(hù)網(wǎng)絡(luò)信息安全義務(wù)時(shí)，應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任。

（四）完備網(wǎng)絡(luò)安全組織體制，強(qiáng)化應(yīng)急救援體系

建議成立專門機(jī)構(gòu)，作為中央政府應(yīng)對(duì)特別重大突發(fā)公共事件的應(yīng)急指揮機(jī)構(gòu)，統(tǒng)一指導(dǎo)、協(xié)調(diào)和督促網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)急、公共基礎(chǔ)設(shè)施信息系統(tǒng)應(yīng)急、網(wǎng)絡(luò)內(nèi)容管理應(yīng)急等網(wǎng)絡(luò)安全應(yīng)急工作，建立不同網(wǎng)絡(luò)、系統(tǒng)、部門之間應(yīng)急處理的聯(lián)動(dòng)機(jī)制，對(duì)分散在各部門的網(wǎng)絡(luò)安全應(yīng)急管理職能適當(dāng)加以整合。

（五）機(jī)制上落實(shí)應(yīng)急處理主體的行政執(zhí)行能力和執(zhí)法權(quán)

第一，強(qiáng)制要求網(wǎng)站擁有者配備安全人員、安全設(shè)備。安全人員如首席安全官（CFO）等需具備相關(guān)資歷，在相關(guān)安全應(yīng)急培訓(xùn)組織進(jìn)行過專業(yè)培訓(xùn)，并可提供其能力的官方證明材料。

第二，將“gov”和“edu”等國(guó)字頭網(wǎng)站做統(tǒng)一托管，將流量數(shù)據(jù)大集中，便于進(jìn)行安全檢測(cè)。

（六）將事后應(yīng)急向事前和事中應(yīng)急轉(zhuǎn)變

第一，平時(shí)發(fā)出探針，發(fā)現(xiàn)異常就針對(duì)關(guān)鍵目標(biāo)監(jiān)控，對(duì)來源IP分析，通過運(yùn)營(yíng)商查詢通聯(lián)日志，有針對(duì)性地搭建蜜罐，當(dāng)攻擊者攻擊蜜罐時(shí)，不僅可以記錄下詳細(xì)的攻擊過程，還有希望伺機(jī)利用漏洞來反制。

第二，不僅是網(wǎng)絡(luò)設(shè)備，QQ、淘寶、烏云等常用應(yīng)用要進(jìn)行監(jiān)測(cè)，收集數(shù)據(jù)，盡可能地發(fā)現(xiàn)非正?，F(xiàn)象，從中找出攻擊者的某些可識(shí)別信息、資金鏈等，并及時(shí)將信息共享。

（七）定期開展國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急演練

互聯(lián)網(wǎng)是一個(gè)高度軍民融合的環(huán)境，一方面要堅(jiān)持軍民共建共享，另一方面要統(tǒng)籌平戰(zhàn)需求。為了實(shí)現(xiàn)“戰(zhàn)時(shí)協(xié)助攻防，平時(shí)側(cè)重服務(wù)，急時(shí)快速掌控”的目標(biāo)，需要加強(qiáng)應(yīng)急演練，保證網(wǎng)絡(luò)空間安全體系處于應(yīng)急態(tài)時(shí)可以高效運(yùn)轉(zhuǎn)，形成科學(xué)有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，保障重要信息系統(tǒng)的穩(wěn)定運(yùn)行。需要成立國(guó)家級(jí)和省市級(jí)的網(wǎng)絡(luò)安全應(yīng)急演練工作組，制定網(wǎng)絡(luò)安全的規(guī)章制度；組織安全排查，及時(shí)消除網(wǎng)絡(luò)安全隱患；組織制定并實(shí)施各級(jí)網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案，能夠及時(shí)、準(zhǔn)確地報(bào)告網(wǎng)絡(luò)安全事故。

五、結(jié)語

本文詳細(xì)介紹了在互聯(lián)網(wǎng)大背景下網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻性與應(yīng)急響應(yīng)工作的重要性，分析了威脅的主要來源與其攻擊方式所呈現(xiàn)的特點(diǎn)，總結(jié)了當(dāng)前網(wǎng)絡(luò)應(yīng)急工作的管理現(xiàn)狀與存在的問題，并列舉了所要采取的措施。與以往的網(wǎng)絡(luò)威脅相比，當(dāng)前網(wǎng)絡(luò)攻擊方法正不斷推陳出新，應(yīng)急響應(yīng)工作更應(yīng)隨時(shí)做出調(diào)整與完善，以應(yīng)對(duì)各種威脅。

[1]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 西門子宣布修復(fù)被Stuxnet蠕蟲利用的漏洞[EB/OL]. (2012-07-25) [2016-10-08]. http://www.cert.org.cn/publish/main/98/2012/2012072515280190 4458081/20120725152801904458081_.html. National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC). Siemens announced to repair the vulnerability utilized by Stuxnet [EB/OL]. (2012-07-25) [2016-10-08]. http://www.cert.org.cn/publish/main/9 8/2012/20120725152801904458081/20120725152801904458081 _.html.

[2]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2015年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[R]. 北京:郵電出版社, 2016. National Computer Network Emergency Response Technical Team/Coordination Center of China. China Internet network security report of 2015 [R]. Beijing: Posts & Telecom Press, 2016.

[3]儲(chǔ)殷. 中國(guó)“一帶一路”戰(zhàn)略定位的三個(gè)問題[J]. 國(guó)際經(jīng)濟(jì)評(píng)論,2015(2):12-13. Chu Y. Three issues on the strategic orientation of China “One Belt One Road”[J]. International Economic Review, 2015(2):12-13.

[4]新華通訊社. 習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話[J]. 中國(guó)信息安全,2016(5):2-9. Xinhua News Agency. Speech by Xi Jinping at the symposium on network security and information work [J]. China Information Security, 2016(5):2-9.

[5]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 關(guān)于使用非蘋果官方XCODE存在植入惡意代碼情況的預(yù)警通報(bào)[EB/OL]. [EB/OL]. (2015-09-30) [2016-10-08]. http://www.cert.org.cn/publish/main/12/2 015/20150914152821158428128/20150914152821158428128_.html. National Computer Network Emergency Response Technical Team/Coordination Center of China. Alert about unofficial apple XCODE contain malicious code [EB/OL]. (2015-09-30) [2016-10-08]. http://www.cert.org.cn/publish/main/12/2015/2015091415282 1158428128/20150914152821158428128_.html.

[6]Antiy CERT. 非官方版本惡意代碼污染事件(XcodeGhost)的分析與綜述[EB/OL]. (2015-09-30) [2016-10-08]. http://www.antiy. com/response/xcodeghost.html. Computer Emergency Response Team of Antiy. Analysis and review of Xcode unofficial supply chain pollution incident (XcodeGhost) [EB/OL]. (2015-09-30) [2016-10-08]. http://www.antiy. com/response/xcodeghost.html.

[7]袁春陽,杜躍進(jìn),周威,等. 美國(guó)政府國(guó)家網(wǎng)絡(luò)應(yīng)急響應(yīng)計(jì)劃及其借鑒意義[J]. 保密科學(xué)技術(shù),2012(5):35-37. Yuan C Y, Du Y J, Zhou W, et al. US national network emergency response plan and its reference significance [J]. Secrecy Science and Technology, 2012(5): 35-37.

[8]劉玉龍. 我國(guó)網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)體系建設(shè)[J]. 能源技術(shù)與管理,2012,3(3):164-165. Liu Y L. Network and information security emergency response system construction of China [J]. Energy Technology and Management, 2012,3(3):164-165.

[9]網(wǎng)絡(luò)安全課題組. 中國(guó)網(wǎng)絡(luò)安全應(yīng)急體系的問題與對(duì)策[J]. 電子政務(wù),2014,139(7):20-25. Research Group of Network Security. Problems and solutions of network and information security emergency response system of China [J]. E-Government, 2014,139(7):20-25.

[10]解旭紅. 基于網(wǎng)絡(luò)空間的應(yīng)急動(dòng)員信息管理能力建設(shè)管見[J].國(guó)防科技,2015,36(1):55-57. Xie X H. Construction of emergency mobilization information management capabilities based on cyberspace [J]. National Defense Science & Technology, 2015,36(1):55-57.

The Current Network Security Situation and Emergency Network Response

Liu Xinran1, Li Baisong2, Chang Anqi2, Lu Hui3, Tian Zhihong4
(1. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China; 2. Antiy Labs, Harbin 150000, China; 3. Institute of Microelectronics, Chinese Academy of Sciences, Beijing 100029, China; 4. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, Sichuan, China)

Considering the emergence of recent network security threats, this article presents network security features and the current situation. Updated attack methods, enhanced attack technology, and expanded attack scope have changed emergency work. Some problems exist in emergency management of the status quo; the core technology and security assurance are relatively backward. Learning from the emergency response system in traditional areas in order to improve current emergency technical measures becomes an important part of network security. In this paper, the author proposes a multi-linkage elimination method that can mobilize system strength and protect against network threats based on the system and the mechanism.

network security; threat; information security; emergency response; emergency system

TP393

A

2016-10-08；

2016-10-20

劉欣然，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，研究員，博士生導(dǎo)師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全，分布式計(jì)算等；E-mail: lxr@cert.org.cn

中國(guó)工程院重大咨詢項(xiàng)目“網(wǎng)絡(luò)空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn