文│ 国家计算机网络应急技术处理协调中心 徐原
国际网络安全应急响应体系的重要运行机构是计算机应急响应组织(CERT)。CERT最早是20世纪80年代末为对抗突发的大规模网络安全事件而产生的,并逐步演变成围绕安全事件对抗提供有计划的、全面技术支持的队伍。如今各国政府、企业和高校建立的CERT组织已成为各国网络安全保障领域不可或缺的专业队伍,在全世界活跃着数百支各类事件响应组织。为了加强国际交流与合作,CERT组织一方面通过双边的联系渠道,开展交流和合作;另一方面由各国CERT组织自主发起成立了国际事件响应与安全组织(FIRST)、亚太地区应急响应合作组织(APCERT)、欧盟的事件响应组织工作组(TF-CSIRT)等国际组织开展多边交流与合作。另外,联合国、国际电信联盟(ITU)、亚太经合组织(APEC)、上合组织等国际政府间合作组织,也都已经将CERT组织合作纳入到有关工作或文件。
一、国际和区域组织
(一)FIRST介绍
FIRST成立于1990年,是全球网络安全应急响应领域的联盟。FIRST现有成员520个,来自美国、俄罗斯、英国、德国、澳大利亚、中国、巴西等95个经济体,是预防和处置网络安全事件的国际联合会,通过向成员提供可信的联系渠道、分享最佳实践和工具等途径,促进成员间对网络安全事件的快速响应。
FIRST按照其制定的运行原则和规章开展工作,对其成员的组织运行等不存在任何控制权力。FIRST下设董事会和秘书处。董事会由10人组成,任期两年,由成员选举产生,负责日常运作的政策、程序和相关事务的修订和决策。秘书处负责网站、邮件列表的维护,财务管理,以及年会的筹办等工作。CNCERT于2002年成为FIRST的正式成员。
(二)APCERT介绍
APCERT成立于2003年,是亚太地区计算机应急响应组织的联盟。APCERT现有成员30个,来自中国、澳大利亚、日本、韩国、马来西亚等21个经济体,其目标是通过国际合作帮助建立亚太地区安全、干净、可信的网络空间。
APCERT按照其制定的运行原则和规章开展工作,对其成员的组织运行等不存在任何控制权力。APCERT下设指导委员会和秘书处。指导委员会由7个成员组织组成,任期两年,由成员选举产生,负责日常运作的政策、程序和相关事务的修订和决策。秘书处负责网站、邮件列表的维护等工作。CNCERT是APCERT的发起组织之一,现任APCERT副主席职务、APCERT指导委员会委员,是APCERT信息共享组的负责人。
二、国家级CERT情况
近年来随着世界各国更加深入地认识到网络安全对国家安全的重要影响力,以及跨境网络安全事件呈现日益增多的趋势,政府层面也开始从国家角度关注CERT组织的建设和发展,各国政府纷纷指定和建立本国的国家级CERT组织,作为国内外的主要联络点,负责协调处置涉及本国的网络安全事件和威胁。如2017年新西兰成立的NCSC-NZ。
多数国家指定一个CERT作为本国的国家级CERT,也有一些国家有两个国家级CERT,其中“CERT”负责国家的基础网络安全,而“GovCERT”负责政府的网络安全。近年来,新出现不同于“CERT”或“GovCERT”的国家级CERT名称:“NCSC”(National Cyber Security Center,国家赛博安全中心)。如荷兰的NCSC-NL、芬兰的NCSC-FI、英国NCSC、澳大利亚ACSC(澳大利亚网络安全中心)。
多数国家的国家级CERT隶属于本国的通信信息主管部门,如日本JPCERT、韩国KrCERT、新加坡SingCERT、马来西亚Cybersecurity Malaysia、印度尼西亚ID-SIRTII、柬埔寨CamCERT、哈萨克斯坦KZ-CERT、乌兹别克斯坦CERT.UZ、德国CERT-Bund、西班牙CERTSI、罗马尼亚CERT-RO、巴西CERT.br。也有部分国家的CERT比较特殊,如美国CISA隶属于美国国土安全部,俄罗斯GOV-CERT.RU隶属于俄罗斯联邦安全局。
(一)美国CISA
网络安全和基础设施安全局(CISA)是国家的风险顾问机构,与合作伙伴一道捍卫网络安全威胁,并合作建立更安全,更具弹性的基础设施。CISA提供网络安全和基础设施安全支持和实践,实现风险管理,保护国家的基本资源。2018年11月特朗普总统签署了《 2018年网络安全和基础设施安全局法》,提高了国土安全部(DHS)内前国家保护和计划局(NPPD)的使命,并建立了CISA ,其中包括国家网络安全和通信集成中心(NCCIC)。在CISA成立之前,NCCIC在2017年调整了组织结构,整合了以前由美国计算机应急准备小组(US-CERT)和工业控制系统网络应急小组(ICS-CERT)独立执行的职能。
(二)英国NCSC
2017年英国国家网络安全中心(NCSC)经女王伊丽莎白二世揭幕宣告正式成立。该中心是为了《网络安全战略》和《英国数字化战略》的指导工作而生,由三个网络安全组织合并而成,分别是网络评估中心、计算机应急响应小组和情报机构政府通信总部的信息安全小组。此外,它也涉及国家基础设施保护中心与网络相关的部分工作。英国NCSC从事以下各类项目:增强电子邮件的安全性;扫描公共组织的系统漏洞;鼓励创新身份认证模式;开展默认安全伙伴计划;自动过滤实现网络保护;完善软件生态系统;减少攻击和应对安全事件以及在研究、创新和技能上提升网络安全能力等。
(三)澳大利亚ACSC
澳大利亚网络安全中心(ACSC)于2014年开始运营。作为2017年独立情报评估的一部分,澳大利亚政府指出需要提供增强的网络安全能力,以及对网络安全的建议和支持。2018年7月1日,联合网络安全计划将与CERT Australia一起过渡到ACSC,并将成为ACSC与行业合作的重要项目,ACSC扩大并正式成为澳大利亚信号局(ASD)的一部分。ACSC总部设在堪培拉,在全国各地设有办事处。ACSC是澳大利亚政府在国家网络安全方面的牵头机构,具体职能包括:作为澳大利亚计算机应急响应小组(CERT)应对网络安全威胁和事件;与私营和公共部门合作,共享有关威胁的信息并增强抵御能力;与政府,行业和社区合作,提高网络安全意识;为所有澳大利亚人提供信息,建议和帮助。
(四)韩国KrCERT
KrCERT/CC设立在韩国互联网振兴院(KISA),是韩国未来创造科学部指导下的国家级网络安全应急组织,负责韩国互联网网络安全事件的监测响应,致力于创造一个安全可靠的互联网使用环境,为韩国互联网和通信服务发展提供安全防护。韩国互联网振兴院(KISA)是2009年由韩国信息安全部门、韩国国家互联网发展部门和韩国IT国际合作部门等三个机构合并而成的一家公共机构,致力于促进韩国互联网发展,维护韩国互联网安全。其主要业务范围包括:互联网安全监测、事件投诉和处置、安全漏洞分析和处理、关键基础设施和重要信息系统安全防护、网络安全技术普及和意识宣传、PKI服务、下一代互联网应用、网络安全国际交流、网络安全培训和咨询服务。
(五)马来西亚Cybersecurity Malaysia
Cybersecurity Malaysia是隶属于马来西亚科学技术创新部的国家网络安全专门机构。1997年,它作为马来西亚应急响应组织(MyCERT)开始运作,1998年成为国家ICT安全和应急响应中心(NISER),2007年NISER又经历一次转型,更名为Cybersecurity Malaysia。其主要职责是:运行面向马来西亚互联网用户的Cyber999TM帮助中心;提供网络安全领域的安全提示、咨询和专门服务,如数字取证和无线网络安全等;运行专业的认证培训机构,并且是ISO15408通用标准在马来西亚的唯一认证机构。
(六)中国CNCERT
国家计算机网络应急技术处理协调中心(CNCERT/CC),成立于2001年8月,为非政府非盈利的网络安全技术中心,是中国计算机网络应急处理体系中的牵头单位。作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护公共互联网安全,保障关键信息基础设施的安全运行。
三、国际网络安全应急响应体系
各国国家级CERT组织作为本国网络安全威胁和事件的应急联络点,在国内和国际两个层面开展协调和沟通工作。一方面,作为国内网络安全应急体系中的牵头单位,通过组织网络安全企业、学校、社会组织和研究机构,协调运营商、域名服务机构和其他应急组织等,构建本国的网络安全应急体系,共同处理各类互联网重大网络安全事件,分析本国的网络安全威胁态势。另一方面,在国际上作为本国的网络安全应急联络点,分享网络安全威胁信息,协调处置跨境网络安全事件,净化互联网环境。国际网络安全应急响应体系由各国的网络安全应急响应组织共同协调工作组成,主要具有以下职能:
(一)威胁和事件发现
部分能力较强的网络安全应急响应组织可实现对网络安全威胁和事件的自主监测。大部分组织还通过与国内外合作伙伴进行数据和信息共享,以及通过事件接受渠道等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件。
(二)预警通报
网络安全应急响应组织通过对掌握的网络安全威胁和事件资源的综合分析,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等,为其用户提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务。
(三)应急处置
对于发现和接收到的事件及时响应并积极协调处置,每个组织都有各自规范的事件处置流程,大体包括事件投诉、受理、处置和反馈几个环节。
(四)信息共享
网络安全应急响应组织间相互共享掌握的网络安全威胁和事件信息。部分国家级CERT组织还承担着本国网络安全信息共享的中枢职能,收集各企业、基础设施部门、政府部门的相关威胁和事件信息,进行分析研判等工作。同时,各网络安全应急响应组织还通过国际或区域应急响应联盟的联系渠道或双边的联系方式就重大的跨境网络安全威胁和事件进行及时沟通、信息共享和等工作。
(五)人才培养和意识提升
部分有能力的网络安全应急响应组织注重人才培养和意识提升工作,每年定期举办活动提高本机构或本国的网络安全意识水平和技术能力。包括举办网络安全年会、技术培训、应急演练、大赛等。
四、国内开展网络安全应急工作的重要性
随着信息技术的飞速发展和广泛应用,互联网深入到政治、社会、经济、国计民生的每一个领域。与此同时,网络安全事件频发,网络安全形势不容乐观。习总书记深刻指出,“没有网络安全就没有国家安全”。网络安全事关国家安全和国家发展,事关广大人民群众工作生活。网络安全应急工作作为网络安全工作的重要一环,已纳入国家网络安全顶层设计。做好网络安全事件应急工作,快速、有效处置网络安全事件,预防和减少网络安全事件带来的损失和危害,是维护国家安全和社会稳定的现实需要。
近年来,我国高度重视网络安全应急工作,将网络安全应急工作上升到国家战略高度,并在体制、机制和立法等方面取得了一定进展。一是我国将网络安全应急工作上升到国家战略高度。2016年12月,我国发布首份《国家网络空间安全战略》。战略中明确规定,“⋯⋯完善网络安全监测预警和网络安全重大事件应急处置机制”。这就为我国网络安全应急工作指明了方向和重点,作出了重要战略部署。二是出台《中华人民共和国网络安全法》,从立法高度明确网络安全应急工作机制。三是,我国网络安全事件应急预案体系初步建立。近年来,我国各地区各行业纷纷制定了地区和行业的网络安全事件应急预案,为网络安全应急处置工作提供了标准和依据。四是,我国网络安全应急演练普遍开展。为检验网络安全应急预案的有效性,细化网络安全事件应急处置流程,各地区各行业定期或不定期开展了网络安全应急演练。
国家计算机网络应急技术处理协调中心(CNCERT/CC),作为中国计算机网络应急处理体系中的牵头单位,通过组织网络安全企业、学校、社会组织和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,构建中国互联网安全应急体系,共同处理各类互联网重大网络安全事件。CNCERT还发挥行业联动合力,发起成立了国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)和中国互联网网络安全威胁治理联盟(CCTGA),与国内的基础电信企业、增值电信企业、域名注册服务机构、网络安全服务厂商等建立漏洞信息共享、网络病毒防范、威胁治理和情报共享等工作机制,加强网络安全信息共享和技术合作。同时,CNCERT开展网络安全国际合作,致力于构建跨境网络安全事件的快速响应和协调处置机制。截至2019年,CNCERT已与78个国家和地区的260个组织建立了“CNCERT国际合作伙伴”关系。CNCERT还是国际事件应急响应和安全组织FIRST的成员,以及亚太应急组织APCERT的副主席,还积极参加亚太经合组织、国际电联、上合组织、东盟、金砖等政府层面国际和区域组织的网络安全相关工作。通过构建的国内国外网络安全应急响应联系体系,CNCERT成功处置了wannacry勒索病毒、某电商服务器遭受持续性DDoS攻击、中国某些银行无法访问的事件等,极大降低了我国政府部门、企业和公众的损失,同时增进国家间的互信,促进国际社会对我国互联网管理政策和思路的理解和认识,树立我大国负责任形象。
网络安全应急工作是一项系统性、综合性工作,应在国家、地方、行业密切配合、相互协同,社会公众和社会力量的广泛参与的基础上,通过强化网络安全事件应急的体制、机制和法制建设,应急技术提升、人才队伍建设,以及应急培训、演练、意识提升活动等基础性工作,加快提升我国网络安全事件预防和应急处置能力,为我国的国家安全保驾护航。
(本文刊登于《中国信息安全》杂志2020年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。