◎國(guó)防科技大學(xué)信息通信學(xué)院 鄭理 葛曉慧

網(wǎng)絡(luò)事件是指惡意攻擊行為體（個(gè)人或政治集團(tuán)）利用計(jì)算機(jī)網(wǎng)絡(luò)發(fā)起的針對(duì)目標(biāo)主機(jī)或系統(tǒng)，或系統(tǒng)中承載的數(shù)據(jù)的不良行為，包括破壞網(wǎng)絡(luò)或網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、未授權(quán)訪問(wèn)、數(shù)據(jù)竊取或篡改等等，其影響包括網(wǎng)絡(luò)域和受網(wǎng)絡(luò)系統(tǒng)控制的物理設(shè)施域。

針對(duì)越來(lái)越頻發(fā)的網(wǎng)絡(luò)事件，美國(guó)政府相應(yīng)出臺(tái)了PPD-41（第41號(hào)總統(tǒng)政策指令）《美國(guó)網(wǎng)絡(luò)事件協(xié)調(diào)》和《國(guó)家網(wǎng)絡(luò)事件響應(yīng)協(xié)調(diào)計(jì)劃》，從國(guó)家戰(zhàn)略層面、行動(dòng)協(xié)調(diào)層面，以及威脅響應(yīng)協(xié)調(diào)、設(shè)施響應(yīng)協(xié)調(diào)、情報(bào)支撐保障等角度闡述了美聯(lián)邦政府應(yīng)對(duì)網(wǎng)絡(luò)事件采取的基本協(xié)調(diào)機(jī)制和戰(zhàn)略框架，為應(yīng)對(duì)網(wǎng)絡(luò)事件，尤其是對(duì)國(guó)家安全和經(jīng)濟(jì)系統(tǒng)產(chǎn)生嚴(yán)重影響的網(wǎng)絡(luò)事件提供了重要指導(dǎo)。

一、戰(zhàn)略協(xié)調(diào)機(jī)構(gòu)

（一）主要機(jī)構(gòu)

建立以網(wǎng)絡(luò)響應(yīng)小組、網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組為主體的國(guó)家戰(zhàn)略協(xié)調(diào)機(jī)構(gòu)。

縱向上：網(wǎng)絡(luò)響應(yīng)小組受總統(tǒng)特別助理和網(wǎng)絡(luò)安全協(xié)調(diào)官領(lǐng)導(dǎo)，對(duì)總統(tǒng)國(guó)土安全和反恐助理負(fù)責(zé)，其上級(jí)機(jī)構(gòu)是國(guó)家安全委員會(huì)。網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組是網(wǎng)絡(luò)響應(yīng)小組下屬機(jī)構(gòu)之一，受網(wǎng)絡(luò)響應(yīng)小組領(lǐng)導(dǎo)，對(duì)網(wǎng)絡(luò)響應(yīng)小組負(fù)責(zé)，有權(quán)提出建議。《美國(guó)網(wǎng)絡(luò)事件協(xié)調(diào)》規(guī)定：當(dāng)重大網(wǎng)絡(luò)事件處置完畢后，網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組要在30天內(nèi)向網(wǎng)絡(luò)響應(yīng)小組呈交事件處置報(bào)告。

橫向上：網(wǎng)絡(luò)響應(yīng)小組與國(guó)家（災(zāi)害）恢復(fù)小組和反恐怖安全小組就網(wǎng)絡(luò)安全事宜和網(wǎng)絡(luò)反恐事宜進(jìn)行溝通協(xié)調(diào)。

（二）機(jī)構(gòu)組成

網(wǎng)絡(luò)響應(yīng)小組是一個(gè)跨部門(mén)的組織，其小組成員來(lái)自聯(lián)邦政府的多個(gè)機(jī)構(gòu)，主要為“部”一級(jí)。包括：國(guó)務(wù)院、財(cái)政部、國(guó)防部、司法部、商務(wù)部、能源部、國(guó)土安全部、美國(guó)特勤局、參聯(lián)會(huì)、國(guó)家情報(bào)總監(jiān)辦公室、聯(lián)邦調(diào)查局、國(guó)家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣隊(duì)、中情局、國(guó)家安全局，必要時(shí)，聯(lián)邦通信委員會(huì)、部門(mén)特定機(jī)構(gòu)也納入其中。

國(guó)家戰(zhàn)略協(xié)調(diào)機(jī)構(gòu)組成

網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組是一個(gè)非常設(shè)機(jī)構(gòu)，主要是根據(jù)相應(yīng)部門(mén)的領(lǐng)導(dǎo)和網(wǎng)絡(luò)事件的嚴(yán)重程度而決定是否啟動(dòng)。《美國(guó)網(wǎng)絡(luò)事件協(xié)調(diào)》規(guī)定了3種啟動(dòng)情況：國(guó)家安全委員會(huì)或代表委員會(huì)做出指示；網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組的2個(gè)或2個(gè)以上的參與方提出建議；發(fā)生可能造成嚴(yán)重后果的網(wǎng)絡(luò)事件。其參與方包括：司法部聯(lián)邦調(diào)查局和國(guó)家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣隊(duì)、國(guó)土安全部國(guó)家網(wǎng)絡(luò)安全和通信集成中心、國(guó)家情報(bào)總監(jiān)辦公室網(wǎng)絡(luò)威脅情報(bào)綜合中心，以及其它可能涉及到的聯(lián)邦政府部門(mén)，州、地方、部落和地區(qū)政府機(jī)構(gòu)，非政府組織、國(guó)際組織和私營(yíng)企業(yè)。文件要求參與方要指派高級(jí)官員參加。

二者的區(qū)別與聯(lián)系：一是從組分的級(jí)別上來(lái)看，網(wǎng)絡(luò)響應(yīng)小組高于網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組，前者主要由美國(guó)聯(lián)邦政府的“部”一級(jí)機(jī)構(gòu)組成，決定了它有條件從政策層面實(shí)施協(xié)調(diào)，后者多為部下屬的執(zhí)行機(jī)構(gòu)組成，決定了它主要從行動(dòng)層面進(jìn)行協(xié)同。二是從參與的廣泛程度上看，網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組高于網(wǎng)絡(luò)響應(yīng)小組，前者在包含聯(lián)邦政府的基礎(chǔ)上，延伸到了州、地方、部落和地區(qū)政府，不僅如此，網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組的參與方還有非政府組織、國(guó)際組織和私營(yíng)企業(yè)，這種組織機(jī)構(gòu)為公私合作、國(guó)際合作鋪平了道路，為從行動(dòng)層面集中更為廣泛的力量開(kāi)展網(wǎng)絡(luò)事件響應(yīng)奠定了基礎(chǔ)，體現(xiàn)了“聯(lián)合”的特點(diǎn)。后者僅由聯(lián)邦政府組成，機(jī)構(gòu)相對(duì)精簡(jiǎn)、單一，符合在政策層面開(kāi)展協(xié)調(diào)工作的保密性要求，運(yùn)轉(zhuǎn)效率相對(duì)較高，體現(xiàn)了“精干”的特點(diǎn)?？傮w上看，網(wǎng)絡(luò)響應(yīng)小組主要從事國(guó)家政策層面的協(xié)調(diào)，網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組主要從事具體行動(dòng)層面的協(xié)調(diào)，它們的結(jié)構(gòu)符合其功能，并體現(xiàn)其功能。

二、行動(dòng)及特點(diǎn)

《國(guó)家網(wǎng)絡(luò)事件響應(yīng)協(xié)調(diào)計(jì)劃》中網(wǎng)絡(luò)事件響應(yīng)行動(dòng)包括：威脅響應(yīng)、設(shè)施響應(yīng)、情報(bào)支持和受影響對(duì)象的內(nèi)部響應(yīng)，這四類行動(dòng)雖然在文件中是獨(dú)立闡述的，但相互間緊密聯(lián)系、互為支撐，且以前三種為主。在執(zhí)行層面，威脅響應(yīng)由美國(guó)司法部聯(lián)邦調(diào)查局和國(guó)家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣隊(duì)牽頭實(shí)施；設(shè)施響應(yīng)由美國(guó)國(guó)土安全部國(guó)家網(wǎng)絡(luò)安全和通信集成中心牽頭實(shí)施；情報(bào)支持活動(dòng)由國(guó)家情報(bào)總監(jiān)辦公室網(wǎng)絡(luò)威脅情報(bào)綜合中心牽頭實(shí)施。下面重點(diǎn)就威脅響應(yīng)、設(shè)施響應(yīng)及情報(bào)支持這三種行動(dòng)進(jìn)行闡述。

（一）威脅響應(yīng)、設(shè)施響應(yīng)和情報(bào)支持行動(dòng)的劃分

網(wǎng)絡(luò)事件溯源于網(wǎng)絡(luò)空間，歸因于獨(dú)立國(guó)家行為體或個(gè)人，但造成的影響卻貫通網(wǎng)絡(luò)空間和物理空間，嚴(yán)重的會(huì)影響到國(guó)家安全。因此，對(duì)于嚴(yán)重網(wǎng)絡(luò)事件的處置要?dú)w因溯源，立案調(diào)查，排除潛在隱患，恢復(fù)受影響設(shè)施和系統(tǒng)，并建立常態(tài)化監(jiān)測(cè)和情報(bào)收集機(jī)制。

1.威脅響應(yīng)

威脅響應(yīng)主要是指針對(duì)網(wǎng)絡(luò)事件發(fā)起的源頭和發(fā)起者開(kāi)展調(diào)查取證等相關(guān)執(zhí)法活動(dòng)。涉及一般（網(wǎng)絡(luò)）犯罪行為的，要立案、起訴，并對(duì)犯罪個(gè)體或集團(tuán)實(shí)施逮捕；涉及危害國(guó)家安全的，國(guó)土安全部門(mén)要介入其中開(kāi)展調(diào)查，如美國(guó)特勤局、移民與海關(guān)執(zhí)法部國(guó)土安全調(diào)查局；涉及到國(guó)防信息網(wǎng)絡(luò)的，則由國(guó)防部負(fù)責(zé)處理。

2.設(shè)施響應(yīng)

設(shè)施響應(yīng)主要是指針對(duì)網(wǎng)絡(luò)事件已造成的影響，如對(duì)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)的破壞，網(wǎng)絡(luò)癱瘓，以及對(duì)物理設(shè)施，尤其是支撐國(guó)家經(jīng)濟(jì)正常運(yùn)轉(zhuǎn)的關(guān)鍵基礎(chǔ)設(shè)施造成的影響而采取的恢復(fù)和減災(zāi)行為。對(duì)于設(shè)施響應(yīng)，聯(lián)邦政府重點(diǎn)關(guān)注的是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，通過(guò)建立信息共享和分析中心“對(duì)口協(xié)調(diào)”各類關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域（行業(yè)）。

3.情報(bào)支持

情報(bào)支持則貫穿威脅響應(yīng)、設(shè)施響應(yīng)的整個(gè)過(guò)程，包括事前的情報(bào)收集和危害預(yù)測(cè)，事后的犯罪調(diào)查和風(fēng)險(xiǎn)評(píng)估，重點(diǎn)在于提供一種支撐性活動(dòng)。

（二）特點(diǎn)分析

1.建立分類別的處置原則，既不遷就照顧，也不過(guò)分干預(yù)

網(wǎng)絡(luò)事件響應(yīng)活動(dòng)雖由國(guó)家層面的聯(lián)邦政府整體牽頭，但對(duì)于不同地域、不同領(lǐng)域的網(wǎng)絡(luò)事件的處置原則各不相同。針對(duì)發(fā)生在聯(lián)邦政府內(nèi)部的網(wǎng)絡(luò)事件：體現(xiàn)著高要求。明文規(guī)定對(duì)聯(lián)邦政府內(nèi)部網(wǎng)絡(luò)系統(tǒng)產(chǎn)生影響的網(wǎng)絡(luò)事件，從識(shí)別定性到通知國(guó)土安全部的高層不得超過(guò)1個(gè)小時(shí)（1小時(shí)反應(yīng)機(jī)制），這由聯(lián)邦政府網(wǎng)絡(luò)系統(tǒng)的高度涉密性和重要性所決定。為配合這一機(jī)制的實(shí)現(xiàn)，美國(guó)政府集中國(guó)內(nèi)精英力量建立了頂級(jí)的計(jì)算機(jī)安全事件響應(yīng)隊(duì)和安全運(yùn)行中心，在強(qiáng)有力的技術(shù)支持下，維護(hù)聯(lián)邦政府內(nèi)部網(wǎng)絡(luò)暢通和設(shè)施安全。針對(duì)發(fā)生在私營(yíng)企業(yè)領(lǐng)域的網(wǎng)絡(luò)事件：體現(xiàn)自主原則。由于美國(guó)的私營(yíng)企業(yè)對(duì)政府的依賴性相對(duì)較低，且對(duì)隱私、自由和信息共享的要求較高，因此一般情況下政府不干預(yù)。但所謂的“不干預(yù)”是有限度的不干預(yù)，即以企業(yè)自身處置為主，政府協(xié)助。在網(wǎng)絡(luò)技術(shù)高度發(fā)達(dá)的今天，美國(guó)政府通過(guò)相關(guān)機(jī)構(gòu)和技術(shù)手段，時(shí)時(shí)刻刻監(jiān)測(cè)私營(yíng)企業(yè)的網(wǎng)絡(luò)運(yùn)行狀態(tài)和發(fā)生在私營(yíng)企業(yè)內(nèi)部的網(wǎng)絡(luò)事件，如果私企自身因失察、失控或不作為導(dǎo)致網(wǎng)絡(luò)事件升級(jí)，政府則強(qiáng)制介入?yún)⑴c事件調(diào)查處理當(dāng)中，尤其是關(guān)系到國(guó)家安全的16個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。這是由政府和私企利益的不可分割性所決定的，即美國(guó)政府和私營(yíng)企業(yè)有著共同利益、共同的責(zé)任。美國(guó)政府對(duì)私企的網(wǎng)絡(luò)事件不過(guò)多干預(yù)的另一個(gè)原因是美國(guó)有大量的網(wǎng)絡(luò)安全公司和信息服務(wù)公司，這些公司與企業(yè)簽有大量合同，即私企通過(guò)訂立合同的方式將本企業(yè)的網(wǎng)絡(luò)安全事宜交由網(wǎng)絡(luò)安全公司來(lái)托管，只需每年交納相應(yīng)費(fèi)用即可。針對(duì)發(fā)生在州、地區(qū)的網(wǎng)絡(luò)事件：體現(xiàn)合作原則。負(fù)責(zé)網(wǎng)絡(luò)空間安全的美國(guó)國(guó)土安全部通過(guò)向各個(gè)州派駐外勤人員，與各個(gè)州的“融合中心”、州首席信息安全官進(jìn)行合作辦公，包括經(jīng)驗(yàn)交流、培訓(xùn)和資格認(rèn)證。類似的還有在網(wǎng)絡(luò)事件調(diào)查處置中，聯(lián)邦調(diào)查局網(wǎng)絡(luò)工作隊(duì)設(shè)在全國(guó)范圍內(nèi)的56個(gè)地區(qū)性辦公室。針對(duì)發(fā)生在普通民眾身上的網(wǎng)絡(luò)事件：體現(xiàn)支持原則。由于針對(duì)普通民眾和家庭的網(wǎng)絡(luò)事件并不多見(jiàn)，且大多較為輕微，美國(guó)政府將相關(guān)的學(xué)習(xí)資源、行為指導(dǎo)和安全提示置于網(wǎng)上，供民眾學(xué)習(xí)和參考。

2.機(jī)構(gòu)設(shè)置互為補(bǔ)充，強(qiáng)力推進(jìn)信息共享

由于網(wǎng)絡(luò)事件具有一定隱蔽性，且擴(kuò)散速度快，難以監(jiān)測(cè)。為了有效應(yīng)對(duì)越來(lái)越頻發(fā)的網(wǎng)絡(luò)事件，美國(guó)政府建立了多種信息共享和分析中心（ISAC），較為典型的有：基于行業(yè)領(lǐng)域的ISAC、州際ISAC（即MS-ISAC）和組織較為靈活的ISAO。區(qū)別及主要功能如下：基于行業(yè)領(lǐng)域的ISAC是按照關(guān)鍵基礎(chǔ)設(shè)施行業(yè)來(lái)分類的，如化工業(yè)有從事化學(xué)品生產(chǎn)、存儲(chǔ)、分配、使用的民間協(xié)會(huì)和企業(yè)的代表所組成的化工業(yè)ISAC（Chemical-ISAC），這些代表來(lái)自美國(guó)化學(xué)理事會(huì)、美國(guó)石油協(xié)會(huì)、壓縮氣體協(xié)會(huì)、肥料研究所等10多個(gè)組織，它們通過(guò)本行業(yè)的ISAC共享網(wǎng)絡(luò)安全信息，體現(xiàn)了行業(yè)特色。州際ISAC用于美國(guó)各個(gè)州與聯(lián)邦政府之間共享網(wǎng)絡(luò)安全信息，彌補(bǔ)了前者信息共享于行業(yè)內(nèi)的局限，發(fā)揮了空間優(yōu)勢(shì)，而ISAO的設(shè)置則更為靈活，它既不受行業(yè)限制，也不受地理位置的限制，可以實(shí)現(xiàn)基于共同利益和興趣的網(wǎng)絡(luò)威脅信息共享，能夠從更大的程度上發(fā)展信息共享的參與者和調(diào)動(dòng)其積極性，尤其為美國(guó)的一些小型企業(yè)，以及特殊行業(yè)的企業(yè)參與到信息共享當(dāng)中開(kāi)放了渠道，通過(guò)辦理相關(guān)手續(xù)，即可申請(qǐng)成為ISAO的會(huì)員，享受及時(shí)的信息共享帶來(lái)的互利互惠。由此可見(jiàn)，美國(guó)對(duì)信息共享的高度重視，對(duì)機(jī)構(gòu)設(shè)置的精心籌劃，客觀上也反映了在當(dāng)前如果沒(méi)有高效的信息共享難以應(yīng)對(duì)瞬息萬(wàn)變的網(wǎng)絡(luò)事件。

3.法律保障為交錯(cuò)復(fù)雜的協(xié)調(diào)行動(dòng)提供了有力支持

在應(yīng)對(duì)網(wǎng)絡(luò)事件響應(yīng)的過(guò)程中，一方面涉及大量的跨不同領(lǐng)域、不同行業(yè)以及聯(lián)邦政府與州政府、政府機(jī)構(gòu)與私營(yíng)企業(yè)間的行動(dòng)協(xié)調(diào)，另一方面，在公私跨域合作和信息共享的過(guò)程中，政府對(duì)企業(yè)網(wǎng)絡(luò)、系統(tǒng)的介入勢(shì)必接觸企業(yè)內(nèi)部的商業(yè)數(shù)據(jù)和員工隱私。因此，行動(dòng)的協(xié)調(diào)如何保障順暢開(kāi)展，信息獲取、調(diào)查取證等如何保護(hù)公民和個(gè)人隱私顯得尤為重要。對(duì)此，美國(guó)政府通過(guò)立法對(duì)上述環(huán)節(jié)加以規(guī)范。如《網(wǎng)絡(luò)安全信息共享法》為聯(lián)邦政府、州和地區(qū)政府以及私營(yíng)企業(yè)間共享信息提供法律保護(hù)和重要環(huán)境；《斯塔福德災(zāi)害救援和緊急援助法》規(guī)范了當(dāng)州政府在處理網(wǎng)絡(luò)事件中調(diào)用的資源超出其能力范圍時(shí)向聯(lián)邦政府請(qǐng)求援助的處理原則；《聯(lián)邦信息安全現(xiàn)代化法》規(guī)定了聯(lián)邦部門(mén)和機(jī)構(gòu)要在7天內(nèi)向國(guó)會(huì)、國(guó)土安全部、預(yù)算和管理辦公室報(bào)告重要網(wǎng)絡(luò)事件，并且每年要綜合報(bào)告一次；《國(guó)防生產(chǎn)法》規(guī)定了商務(wù)部工業(yè)和安全局在處置有關(guān)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件中的一些職責(zé)。上述法文列舉的不全，但各有其功能，并且在實(shí)踐中不斷完善和擴(kuò)充，綜合起來(lái)為美國(guó)的網(wǎng)絡(luò)事件響應(yīng)行動(dòng)的順利實(shí)施提供法律權(quán)威。