網絡安全應急響應
凡事預則立,不預則廢。網絡安全應急響應就是要對網絡安全有清晰認識,有所預估和準備,從而在一旦發生突發網絡安全事件時,有序應對、妥善處理。在理解網絡安全的應急響應之前,需要了解一般意義下的突發公共安全事件及其應急響應的體制機制。實際上,我國網絡安全應急響應體系建設也是建立在原有應急響應體系基礎上的,并經過實踐不斷改進完善。
一、網絡安全應急響應基本情況
(一)網絡安全的概念
網絡安全已經深刻影響世界各個國家的經濟社會發展,甚至涉及政治、社會穩定、軍事、外交等眾多領域,成為新興安全研究的全球性課題。網絡安全一詞在學術和工業實踐領域尚未達成一致的、科學嚴謹的定義,但其涉及的內容已經有較為清晰的認識,可以看作是對業內已認可的術語概念基礎上的融合、擴展、深化。
從歷史上看,信息安全(Information Security)一詞使用最為廣泛,并演變成為覆蓋電子數字信息、計算機系統、網絡系統(Network System)、電磁空間、網絡空間(Cyberspace)各個領域安全問題的廣義上的網絡安全概念。
除了信息安全,計算機安全這個概念出現較早,并伴隨著主機安全、信息系統安全、內聯網安全、互聯網安全、網絡空間安全等概念不斷變化演進。近幾年來,網絡安全一詞在報紙、文章以及互聯網新媒體上大量出現,而在 2014 年中央網絡安全與信息化領導小組成立之后,更是在外交、內政各領域的官方媒體、公共輿論場里被廣泛使用和引用。
1、計算機安全
根據國際標準化委員會的定義,計算機安全是指為數據處理系統而采取的技術和管理的安全保護,保護計算機硬件、軟件、數據不因偶然或惡意的原因而遭到破壞、更改、顯露。又根據我國公安部有關部門的定義:計算機安全是指計算機資產安全,即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。
2、信息(系統)安全
狹義的信息安全是建立在密碼論基礎上的計算機安全領域,廣義的信息安全從傳統的計算機安全發展延伸,不再是單純的技術問題,而是將管理、技術、法律等問題相結合的產物。在實踐中,信息安全落實在信息系統或計算機網絡系統的安全。信息系統安全包括4個層面:設備安全+數據安全+內容安全+行為安全。其關鍵是數據安全,確保信息數據的保密性、完整性、可用性;而終極目的是行為不危害數據秘密性、不危害數據完整性、行為的過程和目標可預期、行為具有可控性。
3、互聯網安全
互聯網又稱因特網(Internet),于20世紀60年代興起、90年代開啟商用,并逐步推廣至全球各個國家共同使用的基于 TCP/IP 等鏈接協議的全球性開放的信息網絡。互聯網安全從其本質上來講就是互聯網上的信息安全,凡是涉及互聯網上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域,涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科范疇。
4、專網安全(如工控網絡安全)
專網是指為特定對象服務的網絡,如鐵路系統專網、公安系統專網、防汛專網、軍用專網、工控網絡等,一般只為該系統服務,不提供連接公網的接口。專網通信是對于公網通信的一種必要補充,在特定行業發揮著不可替代的作用。因此專網安全,例如工控網絡安全,既存在內網安全隱患同時也存在可能的由外網間接引入的安全問題。
5、企業內網安全
企業內網安全是指企業內部網絡信息系統的一系列安全策略和措施的總和。企業為滿足內部網絡安全需求,建立物理隔離或邏輯隔離的網絡,并對來自外部、內部的訪問加以嚴格控制和限制,從而形成企業內網安全策略方法。
6、網絡空間安全/賽博空間安全
網絡空間安全對應于外文文獻中的賽博安全/賽博空間安全(Cyber Security/Cyberspace Security),近年來越來越多地受到國內專家學者的重視和使用。網絡空間安全融合現實物理空間安全與虛擬信息空間安全,被稱為“第二生存空間安全”,或者是關聯海、陸、空、天(太空)安全的“第五空間安全”,業界對其認識尚未成型,總的來說,網絡空間安全相對現實空間安全可用“融入其中、凌駕其上、控制其內”作概略理解。
7、網絡安全
狹義的網絡安全(Network Security)是指計算機局域網絡或互聯網環境下的網絡信息系統的安全,而廣義的網絡安全則可以泛化為網絡空間安全,涉及國家、社會、企業、個人等各個層面。例如輿論輿情、企業品牌聲譽、個人隱私,以及虛擬物品資產安全、商業知識產權安全等,既有虛擬空間的安全,又有受關聯、牽扯的實體空間的安全。
2014年2月27日,習總書記在中央網絡安全與信息化領導小組成立的講話中指出“沒有網絡安全,就沒有國家安全”。習總書記的講話說明,網絡安全問題不再是簡單的互聯網技術領域的安全問題,而是和經濟安全、社會安全,甚至軍事、外交等關系國計民生的國家層面的戰略問題。同時,中央網絡安全與信息化領導小組的成立本身也表明,網絡安全對經濟發展的方方面面,對國家和社會各領域具有極其深刻的影響。網絡安全一詞的內涵實際已經超越了技術范疇,具備了融合個人安全、組織安全、社會安全以及國家安全的意義,網絡安全外延已擴展到部分包含或整體包含計算機安全、信息系統安全、內網安全、互聯網安全、內容安全、專用通信網絡(工控網絡)安全等。
綜合來看,信息安全、網絡安全、企業內網安全、互聯網安全(Internet Security)、專網安全、網絡空間安全,以及我國中文語境里使用較為普遍的計算機系統安全、網絡與信息安全、網絡安全等學界、業界使用的這些詞匯,其內涵意義既各有側重,又相互融合。從技術發展來看,存在諸多重疊交叉部分,不是簡單的包含或被包含的關系,難以在嚴格意義上區分。
最簡單的例子就是,某個企業內部計算機網絡的安全問題,可能涉及內部攻擊、外部攻擊、互聯網黑客攻擊、甚至境外組織的威脅,即便是企業的內網不接入互聯網,也難以擺脫高級別的安全隱患。
從應急響應實際問題處理流程可操作層面來講,可以將網絡安全相對狹義和通俗地定義為:在互聯網以及移動互聯網廣泛應用、智能設備、大數據和云計算等新技術新應用等日益融合的大環境下,各類組織實體,通過采用各種技術和管理措施,使網絡系統正常運行,從而確保網絡數據的可用性、完整性和保密性;同時,網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
簡單來講,網絡安全是以網絡系統安全(Network Security & Internet Security)為核心的網絡空間安全問題,兼顧網絡自身安全與其中信息數據安全,其內涵主旨是網絡系統安全、應用系統安全保障及相關安全業務管理。
因此,在上述限定意義下,網絡安全的應急響應主要針對國家、部門、企業等組織機構,并需要在實踐中從技術、管理、法律等各角度綜合應用,保證突發網絡安全事件應急處理有序、有效、有力,確保涉事機構企業損失降到最低,同時威懾肇事者。
(二)網絡安全應急響應管理與相關法規
近20年來,Internet的重要性不斷提高,同時,隱藏其中的危險也日益明顯。雖然保護網絡安全的技術迅速發展,但實踐證明,現實中再昂貴的安全保護也無法發現和抵御所有的威脅。因此,完善的網絡安全體系要求在保護體系之外必須建立應急響應體系。我國第一個網絡安全事件響應組織——中國教育和科研計算機網緊急響應組成立于 1999 年 5 月;國家計算機網絡應急技術處理協調中心(CNCERT/CC)也于2002年9月正式成立。除了政府部門和機構,一些大型國有企業組織、全國性跨地區辦公企業、大型互聯網企業等也建立了自己的應急響應組織部門。
1、網絡安全應急響應體系
網絡安全領域的應急響應(Cyber Security Emergency Response System)是指在突發重大網絡安全事件后對包括計算機運行在內的業務運行進行維持或恢復的各種技術和管理策略與規程。
網絡應急響應的活動應該主要包括2個方面:
(1)未雨綢繆,即在事件發生前先做好準備,比如風險評估、制定安全計劃、安全意識的培訓,以發布安全通告的方式進行預警,以及各種防范措施;
(2)亡羊補牢,即在事件發生后采取的措施,其目的在于把事件造成的損失降到最低。這些行動措施可能來自人,也可能來自系統,比如事件發生后,系統備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。
以上2個方面的工作是相互補充的。首先,事前的計劃和準備為事件發生后的響應動作提供了指導框架,否則,響應動作將陷入混亂,可能造成比事件本身更大的損失;其次,事后的響應可能發現事前計劃的不足,從而吸取教訓,進一步完善安全計劃。因此,這2個方面應該形成一種正反饋的機制,逐步強化組織的安全防范體系。
目前的相關工作仍無法滿足實際工作需求,突出表現在2個方面:一是網絡安全應急標準體系不完善;二是公共安全應急基礎性、通用性、綜合性標準研制不足。
2、網絡安全應急響應管理
網絡安全應急響應體系的管理是一個周而復始、持續改進的過程,大致包含以下3個階段。
(1)網絡安全應急響應需求分析和應急響應策略的確定。
(2)編制網絡安全應急響應計劃文檔。
(3)應急響應計劃的測試、培訓、演練和維護。
從管理角度看,網絡安全應急響應的管理可分為事件報告、事件評估、應急啟動、應急處置、后期處置,如下圖所示。
網絡安全應急響應管理流程
另外,上圖主要針對國家部門或國有單位或企業,而對于企業網絡安全應急響應來說,信息通報、上報、披露等環節可以根據實際情況選擇。事件的分類、定級也可以按照企業自己制定的標準執行。
3、網絡安全應急響應的專項法律法規及標準
目前,已正式發布并施行的《網絡安全法律法規》
(三)網絡安全應急響應模型的探索與實踐
1、應急響應模型探索
當前主流的應急模型響應方法有三類,包括基于應急資源數據映射算法的應急模型響應方法、基于蟻群算法(又稱螞蟻算法,是一種用來在圖中尋找優化路徑的機率型算法)的應急模型響應方法和基于歸一化算法(歸一化就是通過某種算法把需要處理的數據經過處理后限制在特定范圍內)的應急模型響應方法等。
目前,最常用的是基于應急資源數據映射算法的應急模型響應方法。隨著突發事件的種類不斷增加,應急資源分類體系繁多,導致應急資源響應模型的結構描述不精確。有學者提出,為了避免上述缺陷,有必要建立一種基于響應模糊概率算法的應急模型響應方法,提取突發事件的特征,建立突發事件與響應模型特征之間的映射聯系,通過運算獲取不同種類應急模型響應的模糊概率,從而實現應急模型響應。
這些理論模型的算法研究主要出于科研機構的理論研究,在網絡安全應急響應實踐中不必要了解這些算法的具體內容,在實踐過程中理解其基本的原理即可。
2、網絡安全應急響應模型應用與探索
在網絡信息安全領域,現實是網絡安全事件應急響應聯動系統目前尚未有被廣泛接受的模型,但學術界、業界的實踐探索也在持續深入。如何建立一個網絡安全事件應急響應聯動系統的基本模型,從而更好地應對各種網絡安全事件、協調應急響應組織人力和信息資源,一直為業界不斷探索與實踐。
由于一般意義的應急響應組織有2個缺陷:一是應急響應組織受地理限制與Internet地理無關的矛盾依然存在;二是應對安全事件時的被動缺乏有效的合作,理想的大規模(Internet范圍)的響應組織被普遍認為是改進事件響應最有效的措施,但其復雜性決定這種協作在現階段很難實現。一種觀點認為,目前最可行的趨勢是應急響應組織的廣泛協作。
在網絡安全應急響應組織協調與社會聯動系統的基礎上,還有專家提出了一套網絡安全事件應急響應聯動系統的基本模型。它立足于充分協調地理分布的人力和信息等資源協同應對網絡安全事件,是從應急響應組織及其協調中心發展起來的一套應急響應聯動體系,屬于應急響應組織發展后期的組織形式。其所包含的聯動有3個含義:(1)組織間的協作;(2)功能上的統一;(3)網絡安全策略上的聯合。其目的是通過統一的組織結構和運作方式、統一的操作流程與軟件平臺、通用的信息共享和交換方式以及完整的安全策略,力爭最大限度地在應對網絡安全事件時互相提供有利于快速解決問題的方案。
綜合來看,網絡安全事件應急響應聯動系統是協作的應急響應組織,也是安全信息的共享、交換和分析中心,更是完整的網絡安全策略,具有重要的意義和實用價值。而構建這些,離不開良好的信息保障,以支持應急決策和響應任務的試驗;離不開描述信息流的信息模型,以提高應急預案的實施效率;也離不開構建可計算的突發事件應急響應信息模型,以達到網絡安全保障的目的。
二、網絡安全應急響應分類與特點
(一)網絡安全事件分類和分級
對網絡安全事件進行分類和分級是網絡安全事件管理的基礎性工作。規范、合理的網絡安全事件分類分級,有利于促進網絡安全事件的信息共享和交流;提高其通報和應急響應的自動化程度;有利于在規范化的網絡安全事件類別和級別基礎上進行統計和分析,從而確定網絡安全事件的嚴重、危害程度,進而為科學的應急處置做好準備。
目前,我國網絡安全的分級分類多參照國家標準 GB/Z20986?2007《信息安全事件分類指南》。根據信息安全事件發生的原因、表現形式等,對網絡/信息安全事件進行分類;根據遭遇危險的信息系統的重要程度、系統損失和社會影響,對網絡/信息安全事件進行分級。
1、網絡安全事件的分類
根據信息安全事件的起因、表現、結果等,信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他信息安全事件等7個基本分類,每個基本分類包括若干個子類。
(1)惡意程序事件
惡意程序事件是指蓄意制造、傳播有害程序,或是因受到有害程序的影響而導致的信息安全事件。有害程序是指插入到信息系統中的一段程序,有害程序危害系統中數據、應用程序或操作系統的保密性、完整性或可用性,或影響信息系統的正常運行。有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件和其他有害程序事件等7個子類。
1)計算機病毒事件
此類信息安全事件是指蓄意制造、傳播計算機病毒,或是因受到計算機病毒影響而導致的信息安全事件。計算機病毒是指編制或者在計算機程序中插入的一組計算機指令或者程序代碼,它可以破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制并傳播。
2)蠕蟲事件
此類信息安全事件是指蓄意制造、傳播蠕蟲,或是因受到蠕蟲影響而導致的信息安全事件。蠕蟲是指除計算機以外,利用信息系統缺陷,通過網絡自動復制并傳播的有害程序。
3)特洛伊木馬事件
此類信息安全事件是指蓄意制造、傳播特洛伊木馬程序,或是因受到特洛伊木馬程序影響而導致的信息安全事件,特洛伊木馬程序是指偽裝在信息系統中的一種有害程序,具有控制該系統或進行信息竊取等對該信息系統有害的功能。
4)僵尸網絡事件
此類信息安全事件是指利用僵尸工具軟件,形成僵尸網絡而導致的信息安全事件。僵尸網絡是指網絡上受到黑客集中控制的一群計算機,它可以被用于伺機發起網絡攻擊,進行信息竊取或傳播木馬、蠕蟲等其他有害程序。
5)混合攻擊程序事件
此類信息安全事件是指蓄意制造、傳播混合攻擊程序,或是因受到混合攻擊程序影響而導致的信息安全事件。混合攻擊程序是指利用多種方法傳播和感染其他系統的有害程序,可能兼有計算機病毒、蠕蟲、木馬或僵尸網絡等多種特征。混合攻擊程序事件也可以是一系列有害程序綜合作用的結果,例如,一個計算機病毒或蠕蟲在侵入系統后安裝木馬程序等。
6)網頁內嵌惡意代碼事件
此類信息安全事件是指蓄意制造、傳播網頁內嵌惡意代碼。
7)其他有害程序事件
此類信息安全事件是指不能包含在以上6個子類之中的有害程序事件。
(2)網絡攻擊事件
網絡攻擊事件是指通過網絡或其他技術手段,利用信息系統的配置缺陷、協議缺陷、程序缺陷或使用暴力攻擊對信息系統實施攻擊,并造成信息系統異常或對信息系統當前運行造成潛在危害的信息安全事件。
網絡攻擊事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件等7個子類,具體如下。
1)拒絕服務攻擊事件
此類信息安全事件是指利用信息系統缺陷、或通過暴力攻擊的手段,以大量消耗信息系統的CPU、內存、磁盤空間或網絡帶寬等資源,從而影響信息系統正常運行為目的的信息安全事件。
2)后門攻擊事件
此類信息安全事件是指利用軟件系統、硬件系統設計過程中留下的后門或有害程序所設置的后門而對信息系統實施攻擊的信息安全事件。
3)漏洞攻擊事件
此類信息安全事件是指除拒絕服務攻擊事件和后門攻擊事件之外,利用信息系統配置缺陷、協議缺陷、程序缺陷等漏洞,對信息系統實施攻擊的信息安全事件。
4)網絡掃描竊聽事件
此類信息安全事件是指利用網絡掃描或竊聽軟件,獲取信息系統網絡配置、端口、服務、存在的脆弱性等特征而導致的信息安全事件。
5)網絡釣魚事件
此類信息安全事件是指利用欺騙性的計算機網絡技術,使用戶泄露重要信息而導致的信息安全事件。例如,利用欺騙性電子郵件獲取用戶銀行賬號密碼等。
6)干擾事件
此類信息安全事件是指通過技術手段對網絡進行干擾,或對廣播電視有線或無線傳輸網絡進行插播,對衛星廣播電視信號非法攻擊等導致的信息安全事件。
7)其他網絡攻擊事件
此類信息安全事件是指不能被包含在以上6個子類之中的網絡攻擊事件。
(3)信息破壞事件
信息破壞事件是指通過網絡或其他技術手段,造成信息系統中的信息被篡改、假冒、泄露、竊取等而導致的信息安全事件。
信息破壞事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件等6個子類,具體如下。
1)信息篡改事件
此類信息安全事件是指未經授權將信息系統中的信息更換為攻擊者所提供的信息而導致的信息安全事件,例如網頁篡改等導致的信息安全事件。
2)信息假冒事件
此類信息安全事件是指通過假冒他人信息系統收發信息而導致的信息安全事件,例如網頁假冒等導致的信息安全事件。
3)信息泄露事件
此類信息安全事件是指因誤操作、軟硬件缺陷或電磁泄露等因素導致信息系統中的保密、敏感、個人隱私等信息暴露于未經授權者而導致的信息安全事件。
4)信息竊取事件
此類信息安全事件是指未經授權用戶利用可能的技術手段惡意主動獲取信息系統中的信息而導致的信息安全事件。
5)信息丟失事件
此類信息安全事件是指因誤操作、人為蓄意或軟硬件缺陷等因素致使信息系統中的信息丟失而導致的信息安全事件。
6)其他信息破壞事件
此類信息安全事件是指不能被包含在以上5個子類之中的信息破壞事件。
(4)信息內容安全事件
信息內容安全事件是指利用信息網絡發布、傳播危害國家安全、社會穩定和公共利益等內容的安全事件。信息內容安全事件包括以下4個子類。
1)違反憲法和法律、行政法規的信息安全事件。
2)針對社會事項進行討論、評論形成網上敏感的輿論熱點,出現一定規模炒作的信息安全事件。
3)組織串連、煽動集會游行的信息安全事件。
4)其他信息內容安全事件。
(5)設備設施故障
設備設施故障是指由于信息系統自身故障或外圍保障設施故障而導致的信息安全事件,以及人為地使用非技術手段有意或無意地造成信息系統破壞而導致的信息安全事件。
設備設施故障包括軟硬件自身故障、外圍保障設施故障、人為破壞事故、其他設備設施故障等4個子類,具體如下。
1)軟硬件自身故障
此類信息安全事件是指因信息系統中硬件設備的自然故障、軟硬件設計缺陷或者軟硬件運行環境發生變化等而導致的信息安全事件。
2)外圍保障設施故障
此類信息安全事件是指由于保障信息系統正常運行所必需的外部設施出現故障而導致的信息安全事件,例如電力故障、外圍網絡故障等導致的信息安全事件。
3)人為破壞事故
此類信息安全事件是指人為蓄意地對保障信息系統正常運行的硬件、軟件等實施竊取、破壞造成的信息安全事件;或由于人為地遺失、誤操作以及其他無意行為造成信息系統硬件、軟件等遭到破壞,影響信息系統正常運行的信息安全事件。
4)其他設備設施故障
此類信息安全事件是指不能被包含在以上3個子類之中的設備設施故障而導致的信息安全事件。
(6)災害性事件
災害性事件是指由于不可抗力對信息系統造成物理破壞而導致的信息安全事件。災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰爭等。
(7)其他信息安全事件
此類信息安全事件是指不能被包含在以上6類中的信息安全事件。
2、網絡安全事件的分級
對信息安全事件進行必要分級,是做好應急響應工作的前提。信息安全事件分級要統籌考慮諸多因素,直觀展示信息安全事件的風險程度,為后續處置工作提供重要參考。
(1)網絡安全事件的分級要素
對網絡安全事件的分級主要考慮3個要素:一是網絡信息系統的重要程度;二是系統遭受的損失;三是信息安全事件造成的社會影響。
1)信息系統的重要程度
信息系統的重要程度主要考慮信息系統所承載的業務對國家安全、經濟建設、社會生活的重要性以及業務對信息系統的依賴程度,主要劃分為特別重要信息系統、重要信息系統和一般信息系統。
2)系統損失
系統損失是指由于信息安全事件對信息系統的軟硬件、功能及數據的破壞,導致系統業務中斷,從而給事發組織所造成的損失,其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價,劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失。
①特別嚴重的系統損失:造成系統大面積癱瘓,使其喪失業務處理能力,或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞,恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大,對于事發組織是不可承受的。
②嚴重的系統損失:造成系統長時間中斷或局部癱瘓,使其業務處理能力受到極大影響,或系統關鍵數據的保密性、完整性、可用性遭到破壞,恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大,但對于事發組織是可承受的。
③較大的系統損失:造成系統中斷,明顯影響系統效率,使重要信息系統或一般信息系統業務處理能力受到影響,或系統重要數據的保密性、完整性、可用性遭到破壞,恢復系統正常運行和消除安全事件負面影響所需付出的代價較大,但對于事發組織是完全可以承受的。
④較小的系統損失:造成系統短暫中斷,影響系統效率,使系統業務處理能力受到影響,或系統重要數據的保密性、完整性、可用性遭到影響,恢復系統正常運行和消除安全事件負面影響所需付出的代價較小。
3)社會影響
社會影響是指信息安全事件對社會所造成影響的范圍和程度,其大小主要考慮國家安全、社會秩序、經濟建設和公眾利益等方面的影響,主要劃分為特別重大的社會影響、重大的社會影響、較大的社會影響和一般的社會影響。
①特別重大的社會影響:波及一個或多個省市的大部分地區,極大地威脅國家安全,引起社會動蕩,對經濟建設有極其惡劣的負面影響,或者嚴重損害公眾利益。
②重大的社會影響:波及一個或多個地市的大部分地區,威脅到國家安全,引起社會恐慌,對經濟建設有重大的負面影響,或者損害到公眾利益。
③較大的社會影響:波及一個或多個地市的部分地區,可能影響到國家安全,擾亂社會秩序,對經濟建設有一定的負面影響,或者影響到公眾利益。
④一般的社會影響:波及一個地市的部分地區,對國家安全、社會秩序、經濟建設和公眾利益基本沒有影響,但對個別公民、法人或其他組織的利益會造成損害。
(2)信息安全事件的級別劃分
根據信息安全事件的分級考慮要素,將信息安全事件劃分為4個級別:特別重大事件、重大事件、較大事件和一般事件。
1)特別重大事件(Ⅰ級)
特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件,包括以下情況:
①會使特別重要信息系統遭受特別嚴重的系統損失;
②產生特別重大的社會影響。
2)重大事件(Ⅱ級)
重大事件是指能夠導致嚴重影響或破壞的信息安全事件,包括以下情況:
①會使特別重要信息系統遭受嚴重的系統損失、或使重要信息系統遭受特別嚴重的系統損失;
②產生的重大的社會影響。
3)較大事件(Ⅲ級)
較大事件是指能夠導致較嚴重影響或破壞的信息安全事件,包括以下情況:
①會使特別重要信息系統遭受較大的系統損失、或使重要信息系統遭受嚴重的系統損失、一般信息系統遭受特別嚴重的系統損失;
②產生較大的社會影響。
4)一般事件(Ⅳ級)
一般事件是指不滿足以上條件的信息安全事件,包括以下情況:
①會使特別重要信息系統遭受較小的系統損失、或使重要信息系統遭受較大的系統損失,一般信息系統遭受嚴重或嚴重以下級別的系統損失;
②產生一般的社會影響。
(二)網絡安全應急響應特點
1、從國家層面來看,網絡安全應急響應事件具備以下2個特點
(1)針對中國中央政府的政策,或國家大政方針,具有主觀對抗性質。
(2)由相關事件觸發,而相關事件本身的起初的影響力可能很小,且其影響力擴大具有偶然性。
國家在做上述網絡安全事件應急響應工作時表現出以下幾個特征。
(1)設立全國性集中的應急響應機構,如國家互聯網應急中心(CNCERT),負責網絡安全應急響應機構的最高統籌工作。
(2)在一些復雜的網絡安全事件中,由于牽涉到境外相關組織的國際合作,因此在技術合作、司法調查等領域加強跨國合作。
(3)通過與網絡安全技術與服務企業密切合作,發揮企業特別是網絡專業廠商在技術實戰、攻防對抗、專業工具積累等方面的優勢,統籌協調國內各方資源,力求及時有效控制網絡安全事態。
2、大型活動項目期間網絡安全應急響應
國家舉辦重大活動項目,如奧運會、國慶閱兵、全國兩會、全國黨代會換屆選舉,或承辦國際重要會議如亞太經合組織(APEC)峰會、亞洲相互協作與信任措施會議、上海合作組織峰會、世界互聯網大會烏鎮峰會等,特定日期以內及相近日期里,網絡安全黑客與攻擊事件等突發事件概率上升,網絡安全應急響應形勢嚴峻。
大型活動項目期間網絡安全應急響應需要有關部門制定系統性的網絡安全服務保障預案,抽調精干組織協調力量,動員和協調有關部門、機構、網絡安全應急響應專家、顧問、專業安全廠商、專業技術廠商等,為密切高效配合做好準備。
3、部門機構網絡安全應急響應
針對(中央、地方)政府部門或機構的網站或者內部網絡的滲透、入侵,造成內部網絡的癱瘓、重要信息系統的故障、數據信息的泄露或丟失。此時,相關機構的應急響應工作,一般由該部門主導,影響范圍在部門系統內,當然也可能是全國性的垂直系統,在行政區劃上波及其他省市區域。
部門機構,主要指中央和省級政府部門,所面臨的網絡安全突發事件具備以下幾個特點。
(1)帶有政治性攻擊企圖。一些黑客行為致使政治性反動、惡意攻擊信息內容在相關政府機構的公開信息渠道傳播、擴散。
(2)高級可持續威脅(APT,Advanced Persistent Threat)攻擊。近年來,政府部門APT攻擊的案例已不鮮見,主要來源于境外政府組織、黑客組織甚至個人,其利用一些先進的工具和高級滲透手段,竊取政府機密信息或為謀求個人經濟利益。其帶來的潛在危害巨大,因為相關部門可能對于隱藏極深的APT攻擊毫不知情。
(3)兼具跨地域破壞性。中央政府的部門機構,尤其是垂直管理的系統,擁有跨省區分布業務系統,因此,一旦攻破造成的影響具有跨地域的破壞性。即使攻擊地方政府網站或內部信息系統,由于橫向的信任關系,其影響也可能擴散至更多區域。
4、企業網絡安全應急響應
企業用戶是互聯網的關鍵主體用戶之一,互聯網環境下的不安全因素直接影響到企業的信息網絡。同時,企業內網安全也會遭遇突發事件,如2015年5月某上市企業服務器“疑似數據庫物理刪除”,給企業帶來嚴重的負面影響。
企業內部網絡的安全對企業生死攸關的知識產權保護、商業機密管控有非常高要求,因此,如果出現重大突發網絡安全事故而不能及時響應、妥善處理,將可能遭遇滅頂之災。企業網絡安全應急響應工作所面臨的主要對象及特點有以下三點。
(1)企業網絡安全應急首要關注漏洞。企業網絡最關注的是系統或軟件漏洞引發的網絡與信息安全問題。漏洞是黑客入侵與滲透的主要“通道”之一,企業既面臨程序開發導致的漏洞,也有協議架構或系統管理流程上的漏洞,還有硬件上的漏洞。
(2)還應關注其他網絡攻擊事件的應急響應,如信息泄露、分布式拒絕服務(DDoS, Distributed Denial of Service)攻擊、病毒木馬。
(3)對于跨區域大型企業,由于其內部網絡的復雜度高,比如各地分部、分支辦事機構之間的網絡互聯,將使企業網絡安全應急響應復雜度、隱患排查難度大大提高。
5、無責任主體突發事件
一些網絡安全突發事件并不涉及具體的責任主體,不是政府部門、社會組織機構或企業團體,但會使國家、政府、企業、社會組織實體等受到影響。此類無責任主體網絡安全緊急事件和上述全國性網絡安全應急響應事件類型有相似之處,但也存在其獨特表現。
(1)全球性網絡安全事件,導致中國也成為突發事件的受害方,影響國家、機構、企業、個人等使用開放的互聯網或內部網絡。
(2)此類網絡安全事故偶然性更加明顯,例如OpenSSL漏洞、境外黑客組織的DDoS攻擊、Internet根域名服務器故障等沖擊我國網絡正常運行等。這類事件,雖不用我國承擔主要的應急響應任務,但是跨國合作、內部督查、排除隱患的工作依然需要力行。
三、網絡安全應急響應發展趨勢
(一)“互聯網+”時代的網絡安全應急響應
2015 年兩會期間,“互聯網+”這一概念被國家正式提出。根據中國互聯網絡信息中心(CNNIC)統計的數據,截至2018年6月30日,我國網民規模達8.02億,普及率為57.7%。其中,手機網民規模已達7.88億,網民通過手機接入互聯網的比例高達98.3%。計算機、PAD、手機都已成為工作、生活中的必備設備。我們已經進入“互聯網+”時代,因此網絡安全應急響應也呈現出新的趨勢。
以往網絡安全應急響應只和電信運營商、互聯網企業和大眾網民用戶相關,但是隨著“互聯網+”時代到來,互聯網成為很多社會生產的重要組成部分,而且越來越多的企事業單位采用網絡化辦公,網絡安全應急響應已經不再局限在傳統應急通信技術領域,也不再僅僅是國家公共安全管理部門的職責,而是成為各行各業企業、機構日常管理的一部分。
在“互聯網+”各行各業的時代背景下,不論是商業貿易企業,還是生產制造企業,甚至大型農場合作社,都已經和互聯網發生千絲萬縷的聯系,一旦網絡安全出現問題,造成企業網絡中斷、運作失靈、知識產權泄密,有可能造成企業關門倒閉。即使企業沒有致命的損失,也會造成企業聲譽的不良影響。
同時,網絡化的實體企業越來越多,他們各自行業背景不同,會產生定制化的應急響應服務需求。由于絕大多數企業本身不具備高級別的專業技術能力,而常備應急技術與人力資源也是成本負擔,因此向外部尋求安全應急服務采購,成為企業法人處置網絡安全重大事故的最佳選擇。這也需要我國本土網絡安全技術廠商成長壯大,達到與國際網絡安全廠商看齊的技術與產品實力,在保障我國企業組織的網絡安全發揮關鍵支撐作用。
因此,在“互聯網+”的新時期,網絡安全應急響應的規劃與落實逐步成為大型企業的“必修課”。越來越多的大型企事業單位,特別是經營傳統業務的大型企業、跨地區運營的公司,也在探索建立其內部辦公網絡、業務承載網絡的安全應急響應工作機制。
綜上所述,隨著網絡和信息化的普及應用,網絡安全已經不僅影響我們在網絡空間的虛擬“上網”生活(玩游戲、看電影、讀新聞…),而且影響實際的生產經營企業,對實體企業的影響不限于斷網,而是企業的核心資產和生存能力,并且未來在“互聯網+”徹底覆蓋我們日常生活方方面面的時候,網絡安全的影響將迅速擴大到我們生活在網絡和現實融合時空之內的絕大多數場景。如下表所示。
網絡安全應急響應管理
(二)獲取“威脅情報”成為網絡安全應急前沿趨勢
不論是企業還是機構,未來將面臨的一個重要網絡安全問題是,企業內網絡安全的防護不再是孤立的,而是和整個互聯網安全狀況和突發網絡安全事件緊密聯合起來。例如,對企業而言,雖然內網的數據不允許向外流出,但一旦某類黑客攻擊發生在同類型企業或者使用相同信息系統架構的企業或組織,那么該企業將很有可能面臨被攻擊。
威脅情報的概念也是基于上述情況而提出。因此出現較晚,業界對威脅情報概念的理解各不相同。例如,有人認為“樣本庫”可稱為情報,也有人認為“黑名單”是情報,而一些公開資料中提到的網絡安全信息共享也被認為是威脅情報的早期版本。
國際上也有網絡安全研究機構給出“威脅情報”的專業定義(如 Gartner)。國內也有學者提出了威脅情報的六大要素(采集、關聯、歸類、整合、行動、分享)和4個階段(廣覆蓋收集有效信息、分析處理與生產、行動實施、生態圈分享)。
對威脅情報的理解:依賴證據知識,包含情境、機制、影響和應對建議,威脅情報可以第一時間診斷出存在或者正在顯露的威脅或危害資產的行為。威脅情報的目的就是實現“早、快、準、全”的安全隱患監測和警報。
如果企業能及早了解熟悉上述威脅情報信息,就可以為有效防范和采取應急措施贏得時間。而企業面對網絡黑客攻擊特別是一些嚴重的計算機犯罪行為,如能提前預知、提前響應,則可能避免系統崩潰、業務崩潰、高價值數據丟失等“滅頂之災”。
目前,威脅情報的應用主要分為以下3個方面。
1、定位網絡威脅行為
利用云端大數據分析平臺,對數據和情報進行收集、處理,綜合以后形成有效的威脅情報,通過產品的方式建立客戶側的輕量級數據平臺,從而接收威脅情報推送,快速定位攻擊行為。
2、獲取網絡安全輿情
通過對國內外知名的大眾論壇(博客、Twitter)進行安全專項輿情監測,提前做到同類可疑安全問題的盡早防范。例如當有國外論壇討論“泄露”怎么應用,以及對“某個漏洞是否好用”、“可以做免殺”等話題的討論明顯集中出現在某個“虛擬討論區”,盡管國內還沒有充分意識到這個問題,但可以通過威脅情報系統提前幫助機構或企業盡早部署預防。另外,大規模網絡攻擊(包括DDoS攻擊,大規模Web攻擊)的情況也可以實現輿情態勢監測,幫助政府或企業了解關心的情況。
3、關聯漏洞平臺
由于機構或企業面臨的漏洞威脅日益嚴重,因漏洞而導致的經濟損失越來越大,所以獲取的威脅情報的第三個價值就是關聯漏洞平臺,從而及時排查漏洞隱患、及時修補改進。企業和機構可以從威脅情報系統中得到包括漏洞安全播報、安全狀況簡報等信息內容。
全面、及時、準確獲取威脅情報,將為大型項目網絡安全應急響應提供堅實保障。比如承辦奧運會、亞運會,召開APEC、亞信上合組織峰會,以及舉行閱兵和全國兩會會議期間的威脅情報可以讓特定時期內網絡安全應急響應工作有的放矢,保持最大的主動性。
根據當前網絡安全業界的實踐狀況,已經有網絡安全廠商提出“企業威脅情報”“態勢感知”等概念,并已經開發出相應的技術和產品,投入生產實踐。總體上看,威脅情報將會對未來國家、機構、企業、大型項目活動的網絡安全應急響應產生顯著影響,威脅情報也代表了網絡安全應急響應技術與實踐的方向和發展趨勢。隨著業界和機構、企業用戶對威脅情報的認識和實踐的理解不斷加深,威脅情報理念對網絡安全應急響應技術與實踐的進一步完善和成熟將產生更大的促進作用。
四、結語
近幾年來,不管是突發公共安全事件,還是網絡安全事件,應急響應得到高度重視,并且為保障我國經濟社會穩定、人民群眾安居樂業發揮重要作用。在網絡信息安全領域,網絡安全應急響應逐步受到政府、機構組織、企業的重視。網絡安全應急響應技術、應急響應設計平臺在各個行業和各級政府不同層級上開始開發與建設。
首先對一般意義的應急響應做了概述,值得一提的是,我國2007年公布的《中華人民共和國突發事件應對法》標志著應急響應管理發展到了新的階段。但網絡安全應急響應具有其特殊的性質,且由于網絡安全問題比較新、比較復雜,在實踐中尚未形成公認一致的應急響應模型,但是業界也在不斷探索,并取得了一定的應用成果。本文在對網絡安全概念辨析、應急響應應用狀況分析之后,介紹了現代網絡安全應急響應技術,并對未來應急響應技術發展趨勢做了分析。最后對國家或地區協同響應平臺的一體化的建設進行了介紹,并對國家或地區協同響應案例做出了分析。
來源:計算機與網絡安全
原文鏈接:https://www.sohu.com/a/253113270_653604
