今日頭條
官方微信
官方抖音
資訊頻道國際網絡安全應急響應體系的重要運行機構是計算機應急響應組織(CERT)。CERT最早是20世紀80年代末為對抗突發的大規模網絡安全事件而產生的,并逐步演變成圍繞安全事件對抗提供有計劃的、全面技術支持的隊伍。如今各國政府、企業和高校建立的CERT組織已成為各國網絡安全保障領域不可或缺的專業隊伍,在全世界活躍著數百支各類事件響應組織。為了加強國際交流與合作,CERT組織一方面通過雙邊的聯系渠道,開展交流和合作;另一方面由各國CERT組織自主發起成立了國際事件響應與安全組織(FIRST)、亞太地區應急響應合作組織(APCERT)、歐盟的事件響應組織工作組(TF-CSIRT)等國際組織開展多邊交流與合作。另外,聯合國、國際電信聯盟(ITU)、亞太經合組織(APEC)、上合組織等國際政府間合作組織,也都已經將CERT組織合作納入到有關工作或文件。
一、國際和區域組織
(一)FIRST介紹
FIRST成立于1990年,是全球網絡安全應急響應領域的聯盟。FIRST現有成員520個,來自美國、俄羅斯、英國、德國、澳大利亞、中國、巴西等95個經濟體,是預防和處置網絡安全事件的國際聯合會,通過向成員提供可信的聯系渠道、分享最佳實踐和工具等途徑,促進成員間對網絡安全事件的快速響應。
FIRST按照其制定的運行原則和規章開展工作,對其成員的組織運行等不存在任何控制權力。FIRST下設董事會和秘書處。董事會由10人組成,任期兩年,由成員選舉產生,負責日常運作的政策、程序和相關事務的修訂和決策。秘書處負責網站、郵件列表的維護,財務管理,以及年會的籌辦等工作。CNCERT于2002年成為FIRST的正式成員。
(二)APCERT介紹
APCERT成立于2003年,是亞太地區計算機應急響應組織的聯盟。APCERT現有成員30個,來自中國、澳大利亞、日本、韓國、馬來西亞等21個經濟體,其目標是通過國際合作幫助建立亞太地區安全、干凈、可信的網絡空間。
APCERT按照其制定的運行原則和規章開展工作,對其成員的組織運行等不存在任何控制權力。APCERT下設指導委員會和秘書處。指導委員會由7個成員組織組成,任期兩年,由成員選舉產生,負責日常運作的政策、程序和相關事務的修訂和決策。秘書處負責網站、郵件列表的維護等工作。CNCERT是APCERT的發起組織之一,現任APCERT副主席職務、APCERT指導委員會委員,是APCERT信息共享組的負責人。
二、國家級CERT情況
近年來隨著世界各國更加深入地認識到網絡安全對國家安全的重要影響力,以及跨境網絡安全事件呈現日益增多的趨勢,政府層面也開始從國家角度關注CERT組織的建設和發展,各國政府紛紛指定和建立本國的國家級CERT組織,作為國內外的主要聯絡點,負責協調處置涉及本國的網絡安全事件和威脅。如2017年新西蘭成立的NCSC-NZ。
多數國家指定一個CERT作為本國的國家級CERT,也有一些國家有兩個國家級CERT,其中“CERT”負責國家的基礎網絡安全,而“GovCERT”負責政府的網絡安全。近年來,新出現不同于“CERT”或“GovCERT”的國家級CERT名稱:“NCSC”(National Cyber Security Center,國家賽博安全中心)。如荷蘭的NCSC-NL、芬蘭的NCSC-FI、英國NCSC、澳大利亞ACSC(澳大利亞網絡安全中心)。
多數國家的國家級CERT隸屬于本國的通信信息主管部門,如日本JPCERT、韓國KrCERT、新加坡SingCERT、馬來西亞Cybersecurity Malaysia、印度尼西亞ID-SIRTII、柬埔寨CamCERT、哈薩克斯坦KZ-CERT、烏茲別克斯坦CERT.UZ、德國CERT-Bund、西班牙CERTSI、羅馬尼亞CERT-RO、巴西CERT.br。也有部分國家的CERT比較特殊,如美國CISA隸屬于美國國土安全部,俄羅斯GOV-CERT.RU隸屬于俄羅斯聯邦安全局。
(一)美國CISA
網絡安全和基礎設施安全局(CISA)是國家的風險顧問機構,與合作伙伴一道捍衛網絡安全威脅,并合作建立更安全,更具彈性的基礎設施。CISA提供網絡安全和基礎設施安全支持和實踐,實現風險管理,保護國家的基本資源。2018年11月特朗普總統簽署了《 2018年網絡安全和基礎設施安全局法》,提高了國土安全部(DHS)內前國家保護和計劃局(NPPD)的使命,并建立了CISA ,其中包括國家網絡安全和通信集成中心(NCCIC)。在CISA成立之前,NCCIC在2017年調整了組織結構,整合了以前由美國計算機應急準備小組(US-CERT)和工業控制系統網絡應急小組(ICS-CERT)獨立執行的職能。
(二)英國NCSC
2017年英國國家網絡安全中心(NCSC)經女王伊麗莎白二世揭幕宣告正式成立。該中心是為了《網絡安全戰略》和《英國數字化戰略》的指導工作而生,由三個網絡安全組織合并而成,分別是網絡評估中心、計算機應急響應小組和情報機構政府通信總部的信息安全小組。此外,它也涉及國家基礎設施保護中心與網絡相關的部分工作。英國NCSC從事以下各類項目:增強電子郵件的安全性;掃描公共組織的系統漏洞;鼓勵創新身份認證模式;開展默認安全伙伴計劃;自動過濾實現網絡保護;完善軟件生態系統;減少攻擊和應對安全事件以及在研究、創新和技能上提升網絡安全能力等。
(三)澳大利亞ACSC
澳大利亞網絡安全中心(ACSC)于2014年開始運營。作為2017年獨立情報評估的一部分,澳大利亞政府指出需要提供增強的網絡安全能力,以及對網絡安全的建議和支持。2018年7月1日,聯合網絡安全計劃將與CERT Australia一起過渡到ACSC,并將成為ACSC與行業合作的重要項目,ACSC擴大并正式成為澳大利亞信號局(ASD)的一部分。ACSC總部設在堪培拉,在全國各地設有辦事處。ACSC是澳大利亞政府在國家網絡安全方面的牽頭機構,具體職能包括:作為澳大利亞計算機應急響應小組(CERT)應對網絡安全威脅和事件;與私營和公共部門合作,共享有關威脅的信息并增強抵御能力;與政府,行業和社區合作,提高網絡安全意識;為所有澳大利亞人提供信息,建議和幫助。
(四)韓國KrCERT
KrCERT/CC設立在韓國互聯網振興院(KISA),是韓國未來創造科學部指導下的國家級網絡安全應急組織,負責韓國互聯網網絡安全事件的監測響應,致力于創造一個安全可靠的互聯網使用環境,為韓國互聯網和通信服務發展提供安全防護。韓國互聯網振興院(KISA)是2009年由韓國信息安全部門、韓國國家互聯網發展部門和韓國IT國際合作部門等三個機構合并而成的一家公共機構,致力于促進韓國互聯網發展,維護韓國互聯網安全。其主要業務范圍包括:互聯網安全監測、事件投訴和處置、安全漏洞分析和處理、關鍵基礎設施和重要信息系統安全防護、網絡安全技術普及和意識宣傳、PKI服務、下一代互聯網應用、網絡安全國際交流、網絡安全培訓和咨詢服務。
(五)馬來西亞Cybersecurity Malaysia
Cybersecurity Malaysia是隸屬于馬來西亞科學技術創新部的國家網絡安全專門機構。1997年,它作為馬來西亞應急響應組織(MyCERT)開始運作,1998年成為國家ICT安全和應急響應中心(NISER),2007年NISER又經歷一次轉型,更名為Cybersecurity Malaysia。其主要職責是:運行面向馬來西亞互聯網用戶的Cyber999TM幫助中心;提供網絡安全領域的安全提示、咨詢和專門服務,如數字取證和無線網絡安全等;運行專業的認證培訓機構,并且是ISO15408通用標準在馬來西亞的唯一認證機構。
(六)中國CNCERT
國家計算機網絡應急技術處理協調中心(CNCERT/CC),成立于2001年8月,為非政府非盈利的網絡安全技術中心,是中國計算機網絡應急處理體系中的牽頭單位。作為國家級應急中心,CNCERT的主要職責是:按照“積極預防、及時發現、快速響應、力保恢復”的方針,開展互聯網網絡安全事件的預防、發現、預警和協調處置等工作,維護公共互聯網安全,保障關鍵信息基礎設施的安全運行。
三、國際網絡安全應急響應體系
各國國家級CERT組織作為本國網絡安全威脅和事件的應急聯絡點,在國內和國際兩個層面開展協調和溝通工作。一方面,作為國內網絡安全應急體系中的牽頭單位,通過組織網絡安全企業、學校、社會組織和研究機構,協調運營商、域名服務機構和其他應急組織等,構建本國的網絡安全應急體系,共同處理各類互聯網重大網絡安全事件,分析本國的網絡安全威脅態勢。另一方面,在國際上作為本國的網絡安全應急聯絡點,分享網絡安全威脅信息,協調處置跨境網絡安全事件,凈化互聯網環境。國際網絡安全應急響應體系由各國的網絡安全應急響應組織共同協調工作組成,主要具有以下職能:
(一)威脅和事件發現
部分能力較強的網絡安全應急響應組織可實現對網絡安全威脅和事件的自主監測。大部分組織還通過與國內外合作伙伴進行數據和信息共享,以及通過事件接受渠道等接收國內外用戶的網絡安全事件報告等多種渠道發現網絡攻擊威脅和網絡安全事件。
(二)預警通報
網絡安全應急響應組織通過對掌握的網絡安全威脅和事件資源的綜合分析,實現網絡安全威脅的分析預警、網絡安全事件的情況通報、宏觀網絡安全狀況的態勢分析等,為其用戶提供互聯網網絡安全態勢信息通報、網絡安全技術和資源信息共享等服務。
(三)應急處置
對于發現和接收到的事件及時響應并積極協調處置,每個組織都有各自規范的事件處置流程,大體包括事件投訴、受理、處置和反饋幾個環節。
(四)信息共享
網絡安全應急響應組織間相互共享掌握的網絡安全威脅和事件信息。部分國家級CERT組織還承擔著本國網絡安全信息共享的中樞職能,收集各企業、基礎設施部門、政府部門的相關威脅和事件信息,進行分析研判等工作。同時,各網絡安全應急響應組織還通過國際或區域應急響應聯盟的聯系渠道或雙邊的聯系方式就重大的跨境網絡安全威脅和事件進行及時溝通、信息共享和等工作。
(五)人才培養和意識提升
部分有能力的網絡安全應急響應組織注重人才培養和意識提升工作,每年定期舉辦活動提高本機構或本國的網絡安全意識水平和技術能力。包括舉辦網絡安全年會、技術培訓、應急演練、大賽等。
四、國內開展網絡安全應急工作的重要性
隨著信息技術的飛速發展和廣泛應用,互聯網深入到政治、社會、經濟、國計民生的每一個領域。與此同時,網絡安全事件頻發,網絡安全形勢不容樂觀。習總書記深刻指出,“沒有網絡安全就沒有國家安全”。網絡安全事關國家安全和國家發展,事關廣大人民群眾工作生活。網絡安全應急工作作為網絡安全工作的重要一環,已納入國家網絡安全頂層設計。做好網絡安全事件應急工作,快速、有效處置網絡安全事件,預防和減少網絡安全事件帶來的損失和危害,是維護國家安全和社會穩定的現實需要。
近年來,我國高度重視網絡安全應急工作,將網絡安全應急工作上升到國家戰略高度,并在體制、機制和立法等方面取得了一定進展。一是我國將網絡安全應急工作上升到國家戰略高度。2016年12月,我國發布首份《國家網絡空間安全戰略》。戰略中明確規定,“??完善網絡安全監測預警和網絡安全重大事件應急處置機制”。這就為我國網絡安全應急工作指明了方向和重點,作出了重要戰略部署。二是出臺《中華人民共和國網絡安全法》,從立法高度明確網絡安全應急工作機制。三是,我國網絡安全事件應急預案體系初步建立。近年來,我國各地區各行業紛紛制定了地區和行業的網絡安全事件應急預案,為網絡安全應急處置工作提供了標準和依據。四是,我國網絡安全應急演練普遍開展。為檢驗網絡安全應急預案的有效性,細化網絡安全事件應急處置流程,各地區各行業定期或不定期開展了網絡安全應急演練。
國家計算機網絡應急技術處理協調中心(CNCERT/CC),作為中國計算機網絡應急處理體系中的牽頭單位,通過組織網絡安全企業、學校、社會組織和研究機構,協調骨干網絡運營單位、域名服務機構和其他應急組織等,構建中國互聯網安全應急體系,共同處理各類互聯網重大網絡安全事件。CNCERT還發揮行業聯動合力,發起成立了國家信息安全漏洞共享平臺(CNVD)、中國反網絡病毒聯盟(ANVA)和中國互聯網網絡安全威脅治理聯盟(CCTGA),與國內的基礎電信企業、增值電信企業、域名注冊服務機構、網絡安全服務廠商等建立漏洞信息共享、網絡病毒防范、威脅治理和情報共享等工作機制,加強網絡安全信息共享和技術合作。同時,CNCERT開展網絡安全國際合作,致力于構建跨境網絡安全事件的快速響應和協調處置機制。截至2019年,CNCERT已與78個國家和地區的260個組織建立了“CNCERT國際合作伙伴”關系。CNCERT還是國際事件應急響應和安全組織FIRST的成員,以及亞太應急組織APCERT的副主席,還積極參加亞太經合組織、國際電聯、上合組織、東盟、金磚等政府層面國際和區域組織的網絡安全相關工作。通過構建的國內國外網絡安全應急響應聯系體系,CNCERT成功處置了wannacry勒索病毒、某電商服務器遭受持續性DDoS攻擊、中國某些銀行無法訪問的事件等,極大降低了我國政府部門、企業和公眾的損失,同時增進國家間的互信,促進國際社會對我國互聯網管理政策和思路的理解和認識,樹立我大國負責任形象。
網絡安全應急工作是一項系統性、綜合性工作,應在國家、地方、行業密切配合、相互協同,社會公眾和社會力量的廣泛參與的基礎上,通過強化網絡安全事件應急的體制、機制和法制建設,應急技術提升、人才隊伍建設,以及應急培訓、演練、意識提升活動等基礎性工作,加快提升我國網絡安全事件預防和應急處置能力,為我國的國家安全保駕護航。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號