作者:中国网络空间研究院、中国网络空间安全协会
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
![网络安全应急响应培训教程[精品]](http://img60.ddimg.cn/digital/product/46/81/1900784681_ii_cover.jpg)
网络安全应急响应培训教程[精品]试读:
前言
近年来,互联网的普及与应用飞速发展,截至2016年6月,中国网民规模达7.1亿人,普及率也达到 51.7%。网络迅猛发展的同时,网络安全事件也层出不穷。美国一份互联网安全报告中的数据显示,全球过半的500强企业遭遇过黑客攻击,造成的经济损失达到数千万美元。网络安全与其他安全事件类似,也具有突发性和不可预测性,如果不能妥善处理和及时响应,将对政府、企业、机构和个人造成重大损失和恶劣影响。如何在突发安全事件发生时采取及时、有效的措施,已经成为政府、企业、相关领域从业人员高度关注和不得不面对的挑战。
自国家制定施行“互联网+”行动计划以来,无所不在的“互联网+”潮流趋势已到来,越来越多的政府部门、行业和企业都与互联网结合得更加紧密。可以预见,未来的网络安全事件将不断增加。尤其是规模较大、影响范围广、影响人员众多的网络安全事件,将会持续不断地出现。因此,网络安全应急响应的体系建设、制度建设、组织建设等显得越来越重要,并得到各个国家的高度重视。
作为网信干部培训辅导丛书的重要教材,本书系统介绍了网络安全应急响应的体制、组织、法律法规、流程、机制、策略、关键技术、应急预案、模拟演练等,共9章,分为三大部分。第一部分(第1章~第3章),介绍了网络安全应急响应的基本概念,涉及基础知识、典型的网络安全事件案例、关键能力建设以及基本处置流程等内容;第二部分(第4章~第6章),介绍了网络安全应急响应的主要内容与方法,涉及组织体系、内部协调机制、实施部署、执行策略以及具体实施阶段等内容;第三部分(第 7 章~第 9 章),介绍了网络安全应急响应发挥保障作用的重要环节,涉及应急预案规范、事件调查与取证以及应急演练等内容。
本书由中国网络空间研究院与中国网络空间安全协会负责编写,参与调研与编写的人员还有来自国内知名科研院所和企事业单位的专家学者。本书目录与大纲通过了信息安全专业教学指导委员会专家的咨询论证,并利用中国网络空间安全协会专家群的优势组织开展编写工作,向业界专家发出编写任务认领邀请,经遴选后委派编写工作。聘请专家对提交的稿件进行多次统稿,最终通过专家审稿会的评审。方滨兴院士对本书的整体筹划和布局给予了悉心指导,陈晓桦研究员负责本书的内容安排与组织,裴智勇博士负责本书的统稿,参与编写和组稿的还有(以下按姓氏笔画排序)王海龙、王润合、刘文婷、刘建皓、李柏松、肖新光、余慧英、陈晓云、赵平、胡怀亮、徐延吉、徐志强、徐克付、高金,在此表示感谢!
由于水平有限,编写过程中难免有错误之处,欢迎大家批评指正!第一部分 基本概念第1章网络安全应急响应概述
凡事预则立,不预则废。网络安全应急响应就是要对网络安全有清晰认识,有所预估和准备,从而在一旦发生突发网络安全事件时,有序应对、妥善处理。在理解网络安全的应急响应之前,需要了解一般意义下的突发公共安全事件及其应急响应的体制机制。实际上,我国网络安全应急响应体系建设也是建立在原有应急响应体系基础上的,并经过实践不断改进完善。因此本章将对应急响应和网络安全应急响应分别加以介绍。1.1 应急响应概述1.1.1 我国应急响应体系发展简介
什么是应急响应?一般来说,应急响应机制是由政府或组织推出的针对各种突发公共事件而设立的各种应急方案,通过该方案使损失减到最小。应急响应系统是指,为应对突发事件,由一定的(作业实施)要素按特定的组织形式构成,以实现社会系统安全保障功能为目的的统一整体。随着近年来越来越多大型企业逐渐实现办公环境,甚至生产环节的网络化,部分企业已经建立起企业级的应急响应系统机制和应急响应系统。
应急响应的主体通常是公共部门,如政府部门、大型机构、基础设施管理经营单位或企业等。应急响应所处理的问题,通常为突发公共事件或突发的重大安全事件。应急响应所采取的措施,通常为临时性的应急方案,属于短期的针对性较强的处置措施。应急响应的首要目的是减少突发事件所造成的损失,包括人民群众的生命、财产损失与国家和企业的经济损失,以及相应的社会不良影响等。
应急响应方案是一项复杂而体系化的突发事件应急方案,包括预案管理、应急行动方案、组织管理、信息管理等环节。其相关执行主体包括应急响应相关责任单位、应急指挥人员、应急响应工作实施组织、事件发生当事人。
我国应急体系发展可分为2个阶段。
1.第一代国家应急体系
自中华人民共和国成立以来,我国政府逐步形成了突发事件的国家应急管理体系。这个体系就是第一代国家应急管理体系,采取的是条块分割的方式,风险和灾难的治理都是由不同的部委或机构负责。其主要特点在于部门垂直控制强而水平协作弱。
第一代国家应急管理体系,又叫传统应急管理体系,主要面向公众熟悉的、日常的灾难应急处置。这些灾难具有一定的规律性,因而便于政府决策者和政府相关机构进行预测并做好相应的准备,如洪灾、旱灾、地震、涨潮等自然灾害。
但随着现代社会的飞速发展,尤其是通信技术的发展,以及突发公共事件形式的变化,第一代国家应急管理体系在实践过程中遇到越来越多的困难。
首先,现代社会的人员流动大,造成诸如一些公共卫生事件的危害很快蔓延到全国。
其次,某些突发事件横跨不同省市区域,也牵涉更多政府职能部门参与协调。
最后,由于现代通信与传播技术发达,电视、互联网等媒体部门对政府应急处置工作的透明度要求增高,第一代应急管理体系在信息披露和公众沟通方面表现迟缓。
2.当前新的国家应急管理体系“非典”危机过后,我国采用系统方法构建了一个以风险为基础、包括了所有灾害的综合性国家应急管理体系。该体系包括以下4个方面:突发事件应急管理的立法(法律法规);协调各级政府和机构进行应急管理的机构体制;国家和地方各级的突发事件应急预案;处理上述活动的运作程序。(1)加强突发事件应急管理的专门立法
2003年5月7日,国务院通过了《突发公共卫生事件应急条例》。2004年3月,我国宪法修正案用“紧急状态”一词取代了“戒严”。这一法律用语的修改,使其适用范围更宽,便于应对源于自然界、公共安全和经济方面的各种危机。这一修正案为突发事件应急管理提供了基本支撑。
2007年11月1日,《中华人民共和国突发事件应对法》生效,是中国突发事件应急管理体系的重大里程碑。依据该法律,我国开始建立以“统一领导、综合协调、分类管理、分级负责、属地管理”为主的突发事件应急管理体系。(2)建立各级政府和机构进行应急管理的机构体制
2005年12月,国务院应急管理办公室正式成立。至2005年底,卫生部已在我国27个省、自治区和直辖市设立了应急管理办公室。
基于这种新的系统模式,各类突发事件可以分为四类:自然灾害、事故灾难、公共卫生事件和社会安全事件。每一类突发事件都有一个国家级的政府委员会负责应对:国家减灾委员会——自然灾害应对、国家安全生产委员会——工业事故灾难、国家食品安全委员会——公共卫生事件、国家综合管理委员会——社会安全事件。“一个办公室四个委员会”的中国基本的灾难应急管理体系开始形成。
随后,国务院对应急响应管理做出一系列部署。2006年,国务院发布《国务院关于全面加强应急管理工作的意见》(国发〔2006〕24号),提出要“加快国务院应急平台建设,完善有关专业应急平台功能,推进地方人民政府综合应急平台建设,形成连接各地区和各专业应急指挥机构、统一高效的应急平台体系”。2007年6月,国务院下发了《国家应急平台体系建设指导意见(试行)》,对国家应急平台体系建设总体框架内容和建设任务分工等提出要求,明确了建设的实施思路,按照“统筹规划、分级实施;因地制宜、整合资源;注重内容、讲求实效;立足当前、着眼长远”的原则进行建设。(3)制定全国范围的突发事件应急预案
2003年12月,中国国务院开始着手制定《国家突发公共事件总体应急预案》,为各类突发公共事件的防范和应急管理提供指南。此外,国务院还制定和发布了 25 件专项应急处置预案,基本涵盖了我国经常发生的突发公共事件的主要方面,包括:自然灾害、防汛、地震、地质灾害、重特大森林火灾、安全生产事故、铁路行车事故、民用航空器飞行事故、海上搜救、城市地铁事故、电网大面积停电、核事故、突发环境事件、通信事故、突发公共卫生事件、突发公共医疗事故、突发重大动物疫情、重大食品安全事故、粮食安全事故、金融突发事件、涉外突发事件。
此外,国务院负责突发事件应对的主要部门,如卫生部、农业部和国家安全部,已经制定和实施了80项部门预案。我国省、市、区(县)等各级地方政府也编制了各自的应急方案。(4)完善突发事件应急方案运行程序
依据《国家突发公共事件总体应急预案》和《中华人民共和国突发事件应对法》,应对各类突发灾难的标准运行程序为:突发事件的预防、应急处置的准备与演练、监测与预警、应急处置和救援、事后的恢复和重建。根据相关法律规定,灾难期间,各级应急管理委员会和应急管理办公室负责应急处置,有权组织和协调相关部门和社会机构之间的应急处置行动。
国务院于2003年5月7日通过了《突发公共卫生事件应急条例》,该条例制定了突发事件应急报告规范,建立重大、紧急疫情的信息汇报制度。中央政府还要求国家部门和省级政府机构在危机处理期间设立“发言人和新闻通报制度”。
2007年9月,《国家应急平台体系技术要求》印发试行,对各级(国务院、部门和省级)应急平台设计的技术规范和要求做出了规定。2008年5月1日,《中华人民共和国政府信息公开条例》生效施行,有关突发公共事件的国家应急管理信息,可以通过政府网站进行查询,具体网址为www.gov.cn/yjgl/index.htm。1.1.2 突发公共事件应急响应分类与分级
根据突发事件的发生过程、性质和机理,我国突发公共事件主要分自然灾害、事故灾难、公共卫生事件、社会安全事件四类;按照其性质、严重程度、可控性和影响范围等因素分成4个级别,特别重大的是Ⅰ级,重大的是Ⅱ级,较大的是Ⅲ级,一般的是Ⅳ级。依次用红色、橙色、黄色和蓝色4种颜色表示。
具体来看,自然灾害主要包括水旱灾害、气象灾害、地震灾害、地质灾害、海洋灾害、生物灾害和森林草原火灾等;事故灾难主要包括工矿商贸等企业的各类安全事故、交通运输事故、公共设施和设备事故、环境污染和生态破坏事件等;公共卫生事件主要包括传染病疫情、群体性不明原因疾病、食品安全和职业危害、动物疫情以及其他严重影响公众健康和生命安全的事件;社会安全事件主要包括恐怖袭击事件、经济安全事件、涉外突发事件等。
为应对这四类灾难,我国设计了“统一领导、多级管理、多级负责”的行政模式,以便权力和责任由各级政府分享和归责。这意味着,从最严重到最不严重的各类突发事件分别是由中央、省、市和县级政府四级政府负责应急管理。1.1.3 我国应急响应管理体制、机制介绍
近年来,我国应急响应管理体制机制建设不断完善,形成从中央到地方、从应急管理与保障到专业技术平台原型系统研制与应用的较为完备的格局。
应急平台建设是应急管理的一项基础性工作,它是以公共安全科技为核心,以信息技术为支撑,以应急管理流程为主线,软硬件相结合的突发公共事件应急保障技术系统,是实施应急预案的工具,具备风险分析、信息报告、监测监控、预测预警、综合研判、辅助决策、综合协调与总结评估等功能。
1.我国国家层面的应急响应运行体制(1)领导机构
国务院是突发公共事件应急管理工作的最高行政领导机构。在国务院总理领导下,通过国务院常务会议和国家相关突发公共事件应急指挥机构,负责突发公共事件的应急管理工作;必要时,派出国务院工作组指导有关工作。(2)办事机构
国务院办公厅设国务院应急管理办公室,履行值守应急、信息汇总和综合协调职责,发挥运转枢纽作用。(3)工作机构
国务院有关部门依据有关法律、行政法规和各自职责,负责相关类别突发公共事件的应急管理工作。具体负责相关类别的突发公共事件专项和部门应急预案的起草与实施,贯彻落实国务院有关决定事项。(4)地方机构
地方各级人民政府是本行政区域突发公共事件应急管理工作的行政领导机构,负责本行政区域各类突发公共事件的应对工作。(5)专家组
国务院和各应急管理机构建立各类专业人才库,可以根据实际需要聘请有关专家组成专家组,为应急管理提供决策建议,必要时参加突发公共事件的应急处置工作。
目前,各级政府有关部门在信息化建设过程中,已经逐步建立起服务于各自部门的应急指挥或应急信息系统,在防御重大灾害和事故方面发挥了重要作用,为全面实施国家应急平台体系建设创造了一定条件。在实际工作中,应急平台建设发展仍不平衡,应用功能不够完善,信息资源和平台系统尚未有效整合。
2.国家行政管理体系中四类应急响应平台
我国“十一五”期间,在科技部科技支撑计划和教育部科技创新平台项目的支持下,清华大学通过原始创新和集成创新,已研制出了应急平台体系技术原型系统,包括基础支撑系统、综合应用系统和移动应急平台,在一定程度上兼备“借鉴过去、把握当前、预测未来”的技术功能,能实现应急管理“平战结合”及其顺畅转换的全流程、全系统、全体系互联互通。该系统可用于检验应急平台及其体系的总体或详细设计方案的可行性、可靠性和先进性;为硬件设备、软件系统、平台体系和应急管理相关技术的筛选、研发、测试、培训、演练提供支持;为政府、部门、企业和基层应急平台,及其相关节点的建设提供借鉴和参考。
以上述原型系统为基础,我国已建立国家级、国务院、部门、省级为主体的互联互通的应急响应平台。(1)国家应急平台体系
国家应急平台体系包括国务院应急平台,31 个省(自治区、直辖市)、新疆生产建设兵团、5个计划单列市应急平台,20个有应急职能的部门应急平台和100个部门值班系统。
国家应急平台体系建设项目(一期工程)可行性研究报告于 2008 年初通过发展改革委评审。一期工程主要建设国务院应急平台以及与各有关部门、省级应急平台的互联互通部分。
同时,《应急资源分类与编码规范》和国家应急平台体系省级和部门应急平台数据库表结构规范已经编写完成并开始试行;《国家应急平台体系数据交换与共享系统规范》已经印发示范部门和地方征求意见;《应急信息资源目录规范》《应急平台标识规范》《应急平台门户技术规范》等标准规范在修改完善后也将逐步印发征求意见。
另外,国家应急平台体系应急通信系统方案,中、小型移动应急平台设计方案,安全保障系统设计方案在这一时期基本完成,并已开始试验测试和实施。(2)国务院应急平台
国务院应急响应平台包括应急指挥场所、基础支撑系统、综合应用系统和基础数据库系统等内容。其硬件系统集成方案包括计算机网络、图像接入系统、视频会议系统、大屏幕显示系统、桌面会议系统、集中控制系统、音频系统等方案设计,以及应急指挥场所综合布线等内容。
综合应用系统包括综合业务管理、风险隐患监测防控、综合预测预警、智能辅助方案、指挥调度、应急保障、应急评估和模拟演练等主要功能,并已开始试用和上线准备。
国务院应急平台的一项重要工作是互联互通,包括政务外网接入、卫星通信过渡方案、音视频互联互通、信息交换与共享等,以及国务院应急平台与示范部门和各省级应急平台视频会议和图像接入的互联互通。(3)部门应急平台
国务院直属单位均已根据各自管辖业务特点,基本完成了应急平台的方案设计、框架设计和有关标准制定,进行了有关数据资源的整合,基本完成有关数据库或数据交换与共享系统建设。
例如,在自然灾害方面,水利部应急平台通过国家防汛抗旱指挥系统建设,形成了雨水情的实时报送网络,建设了水文气象综合业务管理系统、Web水情查询系统、水情会商系统、中国洪水预报系统、对外信息发布系统等,以及水利通信网、水利信息网、视频会议系统等。在事故灾难方面,安监总局实施了综合政务信息系统、视频会议系统和安全生产基础调度与统计系统建设,并设计完成国家安全生产应急平台体系总体方案。在公共卫生方面,卫生部从SARS后开始,建立了疾病和突发公共卫生事件网络直报系统,全国县级和县级以上的医疗机构实现了疫情和突发公共卫生事件的网络直报。在社会安全方面,公安部依托指挥中心建立部门应急平台,建设部指挥中心到省厅地市的宽带专网,实现了视频会议、有线指挥调度、图像监控、无线通信和卫星通信系统等,建立了包括人口信息库在内的八大基础信息数据库和出入境管理等应用系统。(4)省级应急平台
随着国家通信事业和电子政务的发展,各地区都基本具备了覆盖市县的通信和计算机网络,这些基础资源是进行应急平台建设的重要条件。各省级人民政府正抓紧根据国家规划进行应急平台的立项和建设工作,但总体仍处于起步状态。北京市应急平台开展较早,正在进行完善,其他省级应急平台大多尚未完成建设。如上海、黑龙江等正在进行规划,青海、山西等正在进行立项,广东、天津等正在进行项目建设。
在科技部“十一五”科技支撑计划的支持下,各示范地区都完成了应急平台方案、框架设计和有关标准制定,内蒙古、吉林、江苏和重庆等还进行了有关数据资源的整合,吉林建成“静中通”移动平台,河南建设应急指挥场所和移动应急平台。各示范地区均开展了有关数据库、数据库内容或数据交换与共享系统的建设,如北京地区已筹划建设综合应用系统。
在地市级应急相关系统方面,很多大城市的应急联动系统都已开始建设,但多数为“三警合一”系统,距真正意义上的应急平台还有差距。1.1.4 应急响应技术发展特点
近年来,世界发达国家大力加强跨领域、跨部门、跨行业的突发安全事件应急技术的研发和一体化应急平台的架构,高度重视应急平台的风险分析、信息报告、监测监控、预测预警、综合分析、辅助决策、综合协调与风险评估等关键环节所需的关键技术。
在互联网出现之前,传统的应急响应技术具有以下特点。
1.单一行业、专业、领域中的应对与处置,面对的事件复杂性相对较低。
2.可以是对于一个区域内常见事件的应对与处置,人们认识角度比较单一。
3.传统的多领域协同响应,应急中需要采用的技术手段和管理策略比较明晰。
现实中出现各类突发事件后,立刻就会对相应的应急响应技术提出更高的要求,来满足这些来自现实的需求。在欧洲,德国建立的危机预防信息系统(deNIS/deNISII)为联邦和地方政府决策者提供信息网络支持,以便进行信息沟通、事件响应,为突发安全事件的援救提供应急响应。英国建立集成应急管理平台(IEM),提高了应急部门之间的协同工作能力,通过有效地预测和管理各种安全事件的风险,使其应对突发事件的能力处于世界一流水平。美国的应急平台已经具备资源共享、综合智能分析、统一规范的协调管理以及信息畅通的技术能力,为应急响应综合预测预警、形势通告、协调指挥等提供强大的技术支持。在日本,灾害信息系统包括早期评价系统和应急对策支持系统,为政府快速、准确制定决策提供依据,为相关机构提供共享信息平台,其信息获取和传输覆盖了从首相官邸、到内阁府、到都道府县的行政机关和消防本部、到基层的村庄。我国清华大学公共安全研究中心在应急技术领域的研究也取得了诸多成果,公共安全学者也提出了公共安全体系的三角形模型,3 个边分别是突发事件、承载载体和应急管理,里面分布着灾害要素。基于公共安全基础理论,公共安全科技应当具备三大核心技术:全方位无障碍危险源探测监测与精确定位技术、多尺度动态准确预测与快速预警技术、基于危险性分析的优化决策与救援处置技术。它们是实现全面监控与自动处置、科学预测与快速预警、优化决策与高效救援、保障公共安全的重要技术手段。
综合而言,现代应急响应技术的发展趋势具有以下特点。
1.开展体系性的建设与整合工作
在下一代应急响应平台的开发过程中,更重视和加强应急系统的体系性工作,进行大系统集成,要求整合现场、现场指挥中心、后方指挥中心的资源和信息。由于现有应急相关系统在建立时目标和需求有差别,要整合成为有机整体,需要信息系统框架、基础平台、接口协议、信息交换、数据结构和功能实现等方面的统一标准。从纵向上,不同层次的应急平台的功能和技术体系要有一致性,与统一指挥、分级响应、属地为主的应急体制相一致;在横向上,应急平台应能改变同级部门间条块分割、独立作战的局面,充分体现一体化应急的功用。
2.加大监测监控与预警技术的应用
发达国家重视运用先进的网络技术、遥感技术、传感和信号处理技术,建立和完善网络化的国家级应急预警系统。美国建设了互联网络安全防范系统,以及食品安全、外来生物入侵、反生物恐怖及动植物防疫等具有相对独立又互相联系的预警和快速反应体系;国外普遍重视对重大危险源在线检测识别与监控技术的应用;日本先进的地震监控监测与预警系统在震后数秒内即可向公众发布灾害现场信息,有效辅助救灾与指挥决策。发达国家还积极发展各种卫星、雷达等遥感探测技术,以多种手段获取高精度和高时空分辨率的气象信息。
3.加强应急平台涉及的公共安全基础数据的综合汇集与分级分类管理
公共安全应急数据涉及面广,具有跨部门、跨领域的特点,数据汇集复杂、困难。美国信息综合中心(NIMS Integration Center)制定了公共安全数据资源的搜集、分类管理和状态跟踪方法,并通过国土安全运行中心来实施数据和情报的汇集。相比之下,我国还没有建立有效的信息资源共享机制,各种应急信息存在割裂,缺乏整合,全国应急管理的综合信息数据库和应用系统仍没有形成体系,突发公共事件发生时,难以迅速汇集、汇总和分析各类有关信息,不利于为科学应急提供参考和依据。为此,急需在应急管理领域建立大型综合性、公用性数据库,研究应急数据统一汇集、有机融合和分级分类管理的技术方案。
4.重视灾害事故的时空风险预测、危险性分析与决策支持
应急平台的关键性作用是对突发公共事件的发展、危害以及应急效果进行动态、科学、合理的预测评估,为应急决策提供依据。2005年卡特里娜飓风后,即使在灾害仿真与预测模拟方面具有强大优势的美国仍然认为其预测预警工作不足。突发公共事件随空间和时间变化规律的预测分析以及协调多方人员、物资和信息实现动态优化决策,是急需解决的重要问题,核心解决途径是开展综合风险分析、预测预警、辅助决策和模拟仿真等应急技术的综合性攻关与应用,并与空间地理信息相融合进行动态分析、快速评价和直观显示。
5.建设研究基地实现应急平台的不断完善和应急科技的持续创新
我国在公共安全与应急技术领域虽然已取得了初步成果,但尚未形成整体的公共安全应急核心技术自主开发能力。相比发达国家建立的地震、火灾、气象灾害、洪水等大型研究基地和培训基地,我国迄今还没有公共安全与应急技术领域的国家级综合性研究机构,无法适应国家公共安全保障与应急科技的重大需求。建设国家级应急科技与工程研究机构,完善其研发与测试的条件和设施,将为国家应急平台体系建设与运行、应急关键技术和装备研发以及系统验证、应急技术培训与演练等提供科技支撑。
总之,应急响应技术的发展要满足跨行业、专业、领域的突发事件应对与处理,要满足一个区域内罕见事件的处置,所需资源需要和其他区域进行协调。要满足多部门的协同响应,并且很多事件需要平时业务关联性较低的部门间进行协作,使应急响应变得更加快捷有效。1.1.5 现代应急响应技术分类
现代应急响应技术是根据应急需求进行的改良、改善和改进,使之能面对未来更为复杂的安全事件,在应急响应实践中获得更高效的应用。现代应急响应技术在不同领域、区域、行业、机构都有具体应用,不同类型的事件对于应急响应技术的需求也会有不同的特征。
1.按不同类型灾害对于技术的需求分类
现代应急响应技术可依据不同灾害类型对于技术的需求来进行分类,主要分为自然灾害、人为灾害、人因事故和混杂事件。依据事件类型分类的应急响应技术如图1-1所示。图1-1 依据事件类型分类的应急响应技术
2.按照技术本身所具备的功能划分
现代应急响应技术按照技术本身所具备的功能划分,可分为应急监测和检测技术、应急通信技术、定位与遥感技术、应急物流运输技术、事故调查分析技术、数据处理分析技术和决策支持技术。(1)应急监测和检测技术
在应急响应技术中,应急监测和检测技术是指运用传感器、全球定位系统、通信技术、其他监测检测技术,获得突发公共事件以及受灾对象的全方位信息,并综合运用各种智能数据分析技术,及时做出应急响应,从而达到防灾减灾的目的。
应急监测和检测技术涵盖了信息、通信、探测、地球地理等众多学科和领域。典型的监测技术包括数据库技术、3S(遥感技术-RS、地理信息系统技术-GIS、全球定位系统-GPS)技术、应急通信技术、视频监控技术、无线射频识别技术、雷达技术、人群监测技术、舆情监测技术和传感技术。而光谱技术、色谱技术和病毒检测技术属于检测技术。(2)应急通信技术
应急通信技术是各种通信技术、通信手段在紧急情况下的综合运用,比如一个1 000线程控交换车就是一个可以独立运作的微型通信系统,在通信系统负载过大或已有系统不能使用的情况下,起到扩容或执行应用通信介质的作用。
目前,我国拥有的具体应急通信方式有:固定电话、Ku频段卫星通信车、C频段车载卫星通信车、100 W单边带通信车、一点多址微波通信车、用户无环路设备、海事卫星A型站、B型站、M型站、24路特高频通信车、1 000线程控交换车、900 M移动电话通信车、自适应电台、互联网等。
应急通信技术一般涉及公众通信网、数字集群、无线传感器网络、微波、视频会议和视频监控、卫星通信等多个技术领域。应急通信技术的类型如图1-2所示。图1-2 应急通信技术的类型(3)定位与遥感技术
定位与遥感技术包括遥感技术、地理信息系统和全球定位系统,是空间技术、传感器技术、卫星定位与导航技术和计算机技术、通信技术的结合,实现了对空间信息的采集、处理、管理、分析、表达、传播和应用,从而增强了应急管理系统的数据分析、建模、预测、模拟等决策功能。(4)应急物流运输技术
应急物流运输技术可以协调运输、存储、装卸、包装、流通加工、配送、相关的信息处理等功能,在应急状态下更高效地实现物流活动中各个环节的合理衔接,并取得最佳的经济和社会效益。(5)事故调查分析技术
事故调查分析技术一般包括事故现场勘查和取证、物证分析与鉴别、事故原因与过程分析、事故认定以及事故报告,内容涉及多方面调查方法和分析技术。(6)数据处理分析技术
数据处理是应急管理中一项非常关键的任务,它连接现场和指挥中心的决策机构,涉及的数据包括图形、图像、视频、音频、文本等各种类型,涉及的处理技术包括数据库、数据仓库、联机分析处理、数据挖掘、可视化技术、案例推理与规则推理技术等。(7)决策支持技术
决策支持技术是一项涉及信息技术、网络技术、知识管理、信息管理、经济学、决策学等多学科、多领域的综合性课题。决策支持技术将现有的决策方法和相关的技术手段集成,比如不确定决策、多目标决策、风险评估决策等。
现代应急响应技术还可以根据准则、领域对技术的要求等进行划分,在这里主要讨论网络安全应急响应的相关技术,下面将对网络存在的安全隐患以及相应的现代响应技术做介绍。1.2 网络安全应急响应基本情况1.2.1 本书对网络安全内涵界定
网络安全已经深刻影响世界各个国家的经济社会发展,甚至涉及政治、社会稳定、军事、外交等众多领域,成为新兴安全研究的全球性课题。网络安全一词在学术和工业实践领域尚未达成一致的、科学严谨的定义,但其涉及的内容已经有较为清晰的认识,可以看作是对业内已认可的术语概念基础上的融合、扩展、深化。
从历史上看,信息安全(Information Security)一词使用最为广泛,并演变成为覆盖电子数字信息、计算机系统、网络系统(Network System)、电磁空间、网络空间(Cyberspace)各个领域安全问题的广义上的网络安全概念。
除了信息安全,计算机安全这个概念出现较早,并伴随着主机安全、信息系统安全、内联网安全、互联网安全、网络空间安全等概念不断变化演进。近3年来,网络安全一词在报纸、文章以及互联网新媒体上大量出现,而在 2014 年中央网络安全与信息化领导小组成立之后,更是在外交、内政各领域的官方媒体、公共舆论场里被广泛使用和引用。
下面分别介绍各个概念的含义,并给出本书界定的内涵定义。
1.计算机安全
根据国际标准化委员会的定义,计算机安全是指为数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然或恶意的原因而遭到破坏、更改、显露。又根据我国公安部有关部门的定义:计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。
2.信息(系统)安全
狭义的信息安全是建立在密码论基础上的计算机安全领域,广义的信息安全从传统的计算机安全发展延伸,不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。在实践中,信息安全落实在信息系统或计算机网络系统的安全。信息系统安全包括4个层面:设备安全+数据安全+内容安全+行为安全。其关键是数据安全,确保信息数据的保密性、完整性、可用性(即 CIA 原则);而终极目的是行为不危害数据秘密性、不危害数据完整性、行为的过程和目标可预期、行为具有可控性。
3.互联网安全
互联网又称因特网(Internet),于20世纪60年代兴起、90年代开启商用,并逐步推广至全球各个国家共同使用的基于 TCP/IP 等链接协议的全球性开放的信息网络。互联网安全从其本质上来讲就是互联网上的信息安全,凡是涉及互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域,涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科范畴。
4.专网安全(如工控网络安全)
专网是指为特定对象服务的网络,如铁路系统专网、公安系统专网、防汛专网、军用专网、工控网络等,一般只为该系统服务,不提供连接公网的接口。专网通信是对于公网通信的一种必要补充,在特定行业发挥着不可替代的作用。因此专网安全,例如工控网络安全,既存在内网安全隐患同时也存在可能的由外网间接引入的安全问题。
5.企业内网安全
企业内网安全是指企业内部网络信息系统的一系列安全策略和措施的总和。企业为满足内部网络安全需求,建立物理隔离或逻辑隔离的网络,并对来自外部、内部的访问加以严格控制和限制,从而形成企业内网安全策略方法。
6.网络空间安全/赛博空间安全
网络空间安全对应于外文文献中的赛博安全/赛博空间安全(Cyber Security/Cyberspace Security),近年来越来越多地受到国内专家学者的重视和使用。网络空间安全融合现实物理空间安全与虚拟信息空间安全,被称为“第二生存空间安全”,或者是关联海、陆、空、天(太空)安全的“第五空间安全”,业界对其认识尚未成型,总的来说,网络空间安全相对现实空间安全可用“融入其中、凌驾其上、控制其内”作概略理解。
7.网络安全
狭义的网络安全(Network Security)是指计算机局域网络或互联网环境下的网络信息系统的安全,而广义的网络安全则可以泛化为网络空间安全,涉及国家、社会、企业、个人等各个层面。例如舆论舆情、企业品牌声誉、个人隐私,以及虚拟物品资产安全、商业知识产权安全等,既有虚拟空间的安全,又有受关联、牵扯的实体空间的安全。
2014年2月27日,习总书记在中央网络安全与信息化领导小组成立的讲话中指出“没有网络安全,就没有国家安全”。习总书记的讲话说明,网络安全问题不再是简单的互联网技术领域的安全问题,而是和经济安全、社会安全,甚至军事、外交等关系国计民生的国家层面的战略问题。同时,中央网络安全与信息化领导小组的成立本身也表明,网络安全对经济发展的方方面面,对国家和社会各领域具有极其深刻的影响。网络安全一词的内涵实际已经超越了技术范畴,具备了融合个人安全、组织安全、社会安全以及国家安全的意义,网络安全外延已扩展到部分包含或整体包含计算机安全、信息系统安全、内网安全、互联网安全、内容安全、专用通信网络(工控网络)安全等。
综合来看,信息安全、网络安全、企业内网安全、互联网安全(Internet Security)、专网安全、网络空间安全,以及我国中文语境里使用较为普遍的计算机系统安全、网络与信息安全、网络安全等学界、业界使用的这些词汇,其内涵意义既各有侧重,又相互融合。从技术发展来看,存在诸多重叠交叉部分,不是简单的包含或被包含的关系,难以在严格意义上区分。
最简单的例子就是,某个企业内部计算机网络的安全问题,可能涉及内部攻击、外部攻击、互联网黑客攻击、甚至境外组织的威胁,即便是企业的内网不接入互联网,也难以摆脱高级别的安全隐患。
本书主要关注应急响应,从应急响应实际问题处理流程可操作层面来讲,可以将网络安全相对狭义和通俗地定义为:在互联网以及移动互联网广泛应用、智能设备、大数据和云计算等新技术新应用等日益融合的大环境下,各类组织实体,通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性;同时,网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
简单来讲,本书所讲的网络安全是以网络系统安全(Network Security & Internet Security)为核心的网络空间安全问题,兼顾网络自身安全与其中信息数据安全,其内涵主旨是网络系统安全、应用系统安全保障及相关安全业务管理。
因此,在上述限定意义下,网络安全的应急响应主要针对国家、部门、企业等组织机构,并需要在实践中从技术、管理、法律等各角度综合应用,保证突发网络安全事件应急处理有序、有效、有力,确保涉事机构企业损失降到最低,同时威慑肇事者。1.2.2 网络安全应急响应管理与相关法规
近20年来,Internet的重要性不断提高,同时,隐藏其中的危险也日益明显。虽然保护网络安全的技术迅速发展,但实践证明,现实中再昂贵的安全保护也无法发现和抵御所有的威胁。因此,完善的网络安全体系要求在保护体系之外必须建立应急响应体系。我国第一个网络安全事件响应组织——中国教育和科研计算机网紧急响应组成立于 1999 年 5 月;国家计算机网络应急技术处理协调中心(CNCERT/CC)也于2002年9月正式成立。除了政府部门和机构,一些大型国有企业组织、全国性跨地区办公企业、大型互联网企业等也建立了自己的应急响应组织部门。
1.网络安全应急响应体系
网络安全领域的应急响应(Cyber Security Emergency Response System)是指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程。
网络应急响应的活动应该主要包括2个方面:(1)未雨绸缪,即在事件发生前先做好准备,比如风险评估、制定安全计划、安全意识的培训,以发布安全通告的方式进行预警,以及各种防范措施;(2)亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最低。这些行动措施可能来自人,也可能来自系统,比如事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上2个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,从而吸取教训,进一步完善安全计划。因此,这2个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
目前的相关工作仍无法满足实际工作需求,突出表现在2个方面:一是网络安全应急标准体系不完善;二是公共安全应急基础性、通用性、综合性标准研制不足。
2.网络安全应急响应管理
网络安全应急响应体系的管理是一个周而复始、持续改进的过程,大致包含以下3个阶段。(1)网络安全应急响应需求分析和应急响应策略的确定。(2)编制网络安全应急响应计划文档。(3)应急响应计划的测试、培训、演练和维护。
从管理角度看,网络安全应急响应的管理可分为事件报告、事件评估、应急启动、应急处置、后期处置,如图1-3所示。图1-3 网络安全应急响应管理流程
另外,图1-3主要针对国家部门或国有单位或企业,而对于企业网络安全应急响应来说,信息通报、上报、披露等环节可以根据实际情况选择。事件的分类、定级也可以按照企业自己制定的标准执行。
3.网络安全应急响应的专项法律法规及标准
目前,我国网络安全、计算机犯罪等领域的立法总体不足,这里主要列出已正式发布并施行的法律法规及国家标准。(1)《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令147号), 1994年2月18日发布。(2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文), 2003年9月。(3)《中华人民共和国突发事件应对法》,全国人民代表大会常务委员会,2007 年 8 月30日发布。(4)《国家突发公共事件总体应急预案》,国务院,2006年1月8日发布并实施。(5)《北京市网络与信息安全事件应急预案》,北京市,2009年10月。(6)《国家网络与信息安全事件应急预案》,未知(《北京市网络与信息安全事件应急预案》发布时提到,并作为制定之参考)。(7)《北京市社会领域网络与信息安全事件应急预案》,北京市,2009年。(8)GB/T 24363−2009《信息安全技术 信息安全应急响应计划规范》,国家质检总局与国标委,2009年11月。(9)GB/T 20988−2007《信息安全技术 信息系统灾难恢复规范》,国家质检总局与国标委,2007年6月发布。(10)GB/Z 20985−2007《信息安全技术 信息安全事件管理指南》,国家质检总局与国标委,2007年9月。(11)GB/Z 20986−2007《信息安全技术 信息安全事件分类分级指南》,国家质检总局与国标委,2007年9月。
根据全国人大立法规划,《中华人民共和国网络安全法》(草案)已经起草完毕并向社会公开征集意见,有望在“十三五”期间正式出台。1.2.3 网络安全应急响应模型的探索与实践
1.应急响应模型探索
当前主流的应急模型响应方法有三类,包括基于应急资源数据映射算法的应急模型响应方法、基于蚁群算法(又称蚂蚁算法,是一种用来在图中寻找优化路径的机率型算法)的应急模型响应方法和基于归一化算法(归一化就是通过某种算法把需要处理的数据经过处理后限制在特定范围内)的应急模型响应方法等。
目前,最常用的是基于应急资源数据映射算法的应急模型响应方法。随着突发事件的种类不断增加,应急资源分类体系繁多,导致应急资源响应模型的结构描述不精确。有学者提出,为了避免上述缺陷,有必要建立一种基于响应模糊概率算法的应急模型响应方法,提取突发事件的特征,建立突发事件与响应模型特征之间的映射联系,通过运算获取不同种类应急模型响应的模糊概率,从而实现应急模型响应。
这些理论模型的算法研究主要出于科研机构的理论研究,在网络安全应急响应实践中不必要了解这些算法的具体内容,在实践过程中理解其基本的原理即可。
2.网络安全应急响应模型应用与探索
在网络信息安全领域,现实是网络安全事件应急响应联动系统目前尚未有被广泛接受的模型,但学术界、业界的实践探索也在持续深入。如何建立一个网络安全事件应急响应联动系统的基本模型,从而更好地应对各种网络安全事件、协调应急响应组织人力和信息资源,一直为业界不断探索与实践。
由于一般意义的应急响应组织有2个缺陷:一是应急响应组织受地理限制与Internet地理无关的矛盾依然存在;二是应对安全事件时的被动缺乏有效的合作,理想的大规模(Internet范围)的响应组织被普遍认为是改进事件响应最有效的措施,但其复杂性决定这种协作在现阶段很难实现。一种观点认为,目前最可行的趋势是应急响应组织的广泛协作。
在网络安全应急响应组织协调与社会联动系统的基础上,还有专家提出了一套网络安全事件应急响应联动系统的基本模型。它立足于充分协调地理分布的人力和信息等资源协同应对网络安全事件,是从应急响应组织及其协调中心发展起来的一套应急响应联动体系,属于应急响应组织发展后期的组织形式。其所包含的联动有3个含义:(1)组织间的协作;(2)功能上的统一;(3)网络安全策略上的联合。其目的是通过统一的组织结构和运作方式、统一的操作流程与软件平台、通用的信息共享和交换方式以及完整的安全策略,力争最大限度地在应对网络安全事件时互相提供有利于快速解决问题的方案。
综合来看,网络安全事件应急响应联动系统是协作的应急响应组织,也是安全信息的共享、交换和分析中心,更是完整的网络安全策略,具有重要的意义和实用价值。而构建这些,离不开良好的信息保障,以支持应急决策和响应任务的试验;离不开描述信息流的信息模型,以提高应急预案的实施效率;也离不开构建可计算的突发事件应急响应信息模型,以达到网络安全保障的目的。1.3 网络安全应急响应分类与特点1.3.1 网络安全事件分类和分级
对网络安全事件进行分类和分级是网络安全事件管理的基础性工作。规范、合理的网络安全事件分类分级,有利于促进网络安全事件的信息共享和交流;提高其通报和应急响应的自动化程度;有利于在规范化的网络安全事件类别和级别基础上进行统计和分析,从而确定网络安全事件的严重、危害程度,进而为科学的应急处置做好准备。
目前,我国网络安全的分级分类多参照国家标准 GB/Z20986−2007《信息安全事件分类指南》。根据信息安全事件发生的原因、表现形式等,对网络/信息安全事件进行分类;根据遭遇危险的信息系统的重要程度、系统损失和社会影响,对网络/信息安全事件进行分级。
1.网络安全事件的分类
根据信息安全事件的起因、表现、结果等,信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类包括若干个子类。(1)恶意程序事件
恶意程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件等7个子类。
1)计算机病毒事件
此类信息安全事件是指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码,它可以破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制并传播。
2)蠕虫事件
此类信息安全事件是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机以外,利用信息系统缺陷,通过网络自动复制并传播的有害程序。
3)特洛伊木马事件
此类信息安全事件是指蓄意制造、传播特洛伊木马程序,或是因受到特洛伊木马程序影响而导致的信息安全事件,特洛伊木马程序是指伪装在信息系统中的一种有害程序,具有控制该系统或进行信息窃取等对该信息系统有害的功能。
4)僵尸网络事件
此类信息安全事件是指利用僵尸工具软件,形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击,进行信息窃取或传播木马、蠕虫等其他有害程序。
5)混合攻击程序事件
此类信息安全事件是指蓄意制造、传播混合攻击程序,或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其他系统的有害程序,可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果,例如,一个计算机病毒或蠕虫在侵入系统后安装木马程序等。
6)网页内嵌恶意代码事件
此类信息安全事件是指蓄意制造、传播网页内嵌恶意代码。
7)其他有害程序事件
此类信息安全事件是指不能包含在以上6个子类之中的有害程序事件。(2)网络攻击事件
网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类,具体如下。
1)拒绝服务攻击事件
此类信息安全事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。
2)后门攻击事件
此类信息安全事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施攻击的信息安全事件。
3)漏洞攻击事件
此类信息安全事件是指除拒绝服务攻击事件和后门攻击事件之外,利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击的信息安全事件。
4)网络扫描窃听事件
此类信息安全事件是指利用网络扫描或窃听软件,获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件。
5)网络钓鱼事件
此类信息安全事件是指利用欺骗性的计算机网络技术,使用户泄露重要信息而导致的信息安全事件。例如,利用欺骗性电子邮件获取用户银行账号密码等。
6)干扰事件
此类信息安全事件是指通过技术手段对网络进行干扰,或对广播电视有线或无线传输网络进行插播,对卫星广播电视信号非法攻击等导致的信息安全事件。
7)其他网络攻击事件
此类信息安全事件是指不能被包含在以上6个子类之中的网络攻击事件。(3)信息破坏事件
信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。
信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个子类,具体如下。
1)信息篡改事件
此类信息安全事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件。
2)信息假冒事件
此类信息安全事件是指通过假冒他人信息系统收发信息而导致的信息安全事件,例如网页假冒等导致的信息安全事件。
3)信息泄露事件
此类信息安全事件是指因误操作、软硬件缺陷或电磁泄露等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件。
4)信息窃取事件
此类信息安全事件是指未经授权用户利用可能的技术手段恶意主动获取信息系统中的信息而导致的信息安全事件。
5)信息丢失事件
此类信息安全事件是指因误操作、人为蓄意或软硬件缺陷等因素致使信息系统中的信息丢失而导致的信息安全事件。
6)其他信息破坏事件
此类信息安全事件是指不能被包含在以上5个子类之中的信息破坏事件。(4)信息内容安全事件
信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益等内容的安全事件。信息内容安全事件包括以下4个子类。
1)违反宪法和法律、行政法规的信息安全事件。
2)针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件。
3)组织串连、煽动集会游行的信息安全事件。
4)其他信息内容安全事件。(5)设备设施故障
试读结束[说明:试读内容隐藏了图片]