首页 > 网络 > 网络安全 > 正文

十九大胜利召开,背后的网络安全如何落实?

2018-02-06 18:01:49    来源:互联网    

十九大胜利召开,背后的网络安全如何落实?


三、国外网络安全应急经验


1. 美国应急管理情况


美国在应急管理方面的研究起步比较早,特别是“9·11”事件后,美国对危机管理和突发事件应急救援更加重视,各种应急演练活动更是频繁展开,形成了比较健全的应急管理体系。


美国专门的应急管理机构-美国联邦应急管理署(Federal Emergency Management Agency - FEMA)于1979年成立,2003年并入国土安全部(Department of Homeland Security - DHS),其中心任务是保护国家免受各种灾害,减少人员生命财产损失。公共安全事件和网络安全事件的应急管理都在FEMA的应急管理范畴内。


《美国应急准备指引》(National Preparedness Guidelines,“NPG”)和《美国应急响应计划(National Response Plan,“NRP”),是美国应急体系的主要政策文件和应急工作总体框架,为应急响应提供战略性指引。


2011年为落实国土安全法案,美国联邦应急管理署(FEMA)发布了国家应急演练项目(National Exercise Program,“NEP”)基本计划,该计划是各级政府、各类组织制定应急演练计划、实施演练、进行评估的标尺性文件,与其配套的《国土安全演练与评估计划》(Homeland Security Exercise and Evaluation program,“HSEEP”)作为支持系统,系统阐述了应急演练的策划、实施、评估、改进方法和过程,为应急演练的开展提供了战略性指引。


美国规定州和地方政府每4年举行一次全面演练;核电站必须每两年举行一次全面演练,并由国家太阳能委员会进行评估;机场、医院等重要公共服务部门每两年需举行一次全面演练。演练结果与其相关资质管理挂钩。


美国网络安全应急演练项目“网络风暴”是国土安全部(DHS)举行的一个多国家、多联邦政府部门、多安全能力机构、多私营企业的协同演练。“网络风暴”侧重于考察跨国家、政府机构、公司部门等的针对基础设施遭到网络攻击的情况下的协调应急能力。参演单位包括政府部门(如国防部、财政部、交通部、国家安全局等);行业信息共享和分析中心;州、国际政府伙伴;私营合作伙伴。演练主要检验:一是预案的设置是否合理,持续改进预案成熟度;二是政府与私营伙伴之间、政府部门之间网络安全信息共享是否充分、及时;三是应急团队对网络攻击的最终处理效果,即补救用时长短和产生的损失大小。


从2006年的“网络风暴”演练开始以来,美国相继开展了5次“网络风暴”系列演练,在保证“提升应对网络空间重大攻击事件的应急响应能力”总体目标保证不变的基础上,包含了一系列由当时国际关系、自身认识、外部需求等造成的特点。国际参演单位从“网络风暴”最初的5国同盟,发展到后来的13个伙伴国家(包括:英国、加拿大、澳大利亚、法国、德国、匈牙利、日本、意大利、荷兰、新西兰、挪威、瑞典和瑞士)。演练重在协同,促进网络联合防御。不像传统攻防演练比赛,而是侧重于组织协同、情报共享,更符合军事演练的一贯风格。从这个角度看,美国已经把网络空间纳入到其国防体系中来统一规划了。


2. 欧盟应急管理情况


欧盟目前共有28个成员国,总面积约438万平方公里,人口规模约为5.02亿。作为一个整体,其地理面积和人口规模均接近于我国的一半,区域内常见的自然灾害和技术灾难等突发事件类型也与我国存在很多相似性。欧盟应急管理的一大突出特点是很多跨界突发事件的处置需要各成员国共同参与,协同应对。经过二十多年的实践发展,欧盟逐步形成了一套相对完善的重大突发事件协同应对体制和应急管理机制。


在整个应急管理体系中,欧盟比较重视应急演练工作,认为应急演练能够检验欧盟危机决策流程、计划、方案,及时发现急需改进的薄弱环节,并逐渐形成了规范有效的应急演练制度。


2004年3月,为提高欧共体范围内网络安全的级别,提高欧共体、成员国以及业界团体对于网络安全问题的防范、处理和响应能力,欧盟成立了“欧洲信息安全局(ENISA)”。除统一的欧洲信息安全局外,欧盟各成员国均有各具特色的信息安全管理相关机构。这些政府部门主要负责制定战略政策,并同其他国家公共机构以及私人组织协商,它们还在欧盟一级代表各自的国家。同时,欧盟通过开展“加强网络安全日”、信息安全意识调查报告、模拟网络战等活动,不断提高普通民众及企业的信息网络安全意识。


2009年3月30日,欧盟委员会公布了新的重大信息基础设施保护战略,以更好地应对任何网络攻击和入侵。战略建议重点采取以下行动:准备和预防、监测和响应、减灾和灾后恢复、国际和欧盟范围内的合作、ICT部门的标准实施。


2009年4月,欧盟网络与信息安全局(ENISA)发布了《通信网络弹性:成员国政策和法规及政策建议》报告,明确要求每个成员国必须建立一支全国性的计算机应急小组。欧盟大多数国家都有一个计算机应急响应小组作为国家网络与信息安全的联络点,与其他国家的计算机应急响应小组开展国际合作,并与本国其他计算机应急响应小组共同应对危机和开展其他活动。


2010年5月19日由欧盟正式发布《欧洲数字议程》,共提出101项行动,其中明确提出从2010年开始支持欧盟范围的网络安全准备演练。


2016年7月6日欧洲议会全体会议通过《欧盟网络与信息系统安全指令》,以加强欧盟各成员国之间在网络与信息安全方面的合作,提高欧盟应对处理网络信息技术故障的能力,提升欧盟打击黑客恶意攻击特别是跨国网络犯罪的力度。这是欧盟出台的第一个关于网络与信息安全的指导性法规,其主要内容是,要求欧盟各成员国加强跨境管理与合作,制定本国的网络与信息安全战略,建立事故应急机制,对各自在能源、银行、交通运输和饮用水供应等公共服务重点领域的企业进行梳理,强制这些企业加强其网络信息系统的安全,增强防范风险和处理事故的能力。


四、国内网络安全应急建设


通过对我国重要行业和地区的问卷调查和当面访谈,了解到各重要行业和地区均高度重视网络安全应急及应急演练工作。综合来看,对于信息系统依赖程度较高的行业,对安全应急体系及网络安全演练的重视程度也相应较高。我们从应急机制与组织结构、应急制度与平台建设、应急演练与实施过程等方面进行了详细调研。


1. 应急机制与组织架构


网络安全应急机制的建设是统筹完善网络安全应急体系的首要工作。我国从国家层面、行业层面都建立了明确的应急工作机制以及相关的制度,可以指导网络安全应急工作顺利地开展。有些行业还充分利用国家网络安全机构力量,建立情报共享、多方合作以及事件通报机制,实现网络安全信息情报的及时、有效沟通,能够为网络安全应急提供充足的预警、决策、反应时间。


2014年2月27日,中央网络安全和信息化领导小组成立,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。


中央网络安全和信息化领导小组办事机构为中央网信办。中央网络安全和信息化领导小组和中央网信办成立后,各省、自治区、直辖市也先后成立了省网络安全和信息化领导小组和省网信办,小组组长均由省(自治区)市委书记担任、网信办主任多由省(自治区)市委宣传部副部长兼任,初步形成了网络安全和信息化全国统一谋划、统一部署、统一推进、统一实施的组织架构。


但在实际工作中,各地网信办主要对原有机构进行调整组建,但由于诸多原因限制,使得多地网信办在建立后,长期存在职能划转不到位、职责不清等问题,使得相应工作机制调整不到位,无法有效发挥统筹协调作用,网络安全应急等工作仍依托原有机制开展。


重要行业和地区均建立了相应的应急管理组织架构。应急管理组织架构较为明确、权责清晰,制定了切实可行的制度流程,并指导下属单位或部门编制了一系列总、分、专等多层次应急预案,实现了突发事件应急处置规范化。有的行业自身信息安全力量相对薄弱,主要依靠外部力量开展网络安全应急管理工作。地方政府通常是依托经信委、地方网信办等专门机构负责本地区网络安全应急管理,并结合公共安全应急工作,建立了相对完备的应急机制。


但从国家总体层面上,暂未形成有效、统一的信息安全应急组织机制,缺乏明确统一的顶层领导,各部门在应急工作中职责划分不明确,部分职责落实不到位,各行业(地区)层面,存在交叉管理和真空地带的问题。缺乏跨行业沟通协调机制,部分行业监管部门(垂直)与地方政府主管单位(横向)之间缺乏统筹协调,导致开展跨行业、跨地区的综合演练难度非常大,一旦遇到跨行业跨地区的重特大突发事件,各行业与地方政府之间不能有效协同应对突发事件。


同时,行业和地方政府内部也存在约束不够、缺乏统筹安排等问题。主要表现为监管部门监管力度差,与下属单位脱节,对下属单位约束不够,缺乏顶层设计和宏观层面统筹计划安排。


2. 应急制度与平台系统


2005年我国出台了《国家突发公共事件总体应急预案》,构建了我国应急体系和预案体系基本架构。预案要求各地各部门要结合实际,有计划、有重点地组织有关部门对相关预案进行演练。


2016年11月7日发布《中华人民共和国网络安全法》,从立法高度明确网络安全应急工作机制,弥补了我国综合性网络安全法律法规的缺失,也契合了当前严峻的网络安全形势对网络安全应急工作的迫切要求。在《中华人民共和国网络安全法》和2008年公安部发布的《信息系统安全等级保护基本要求》中都对应急管理和演练周期提出了要求。


2016年12月,我国首次公开发布《国家网络空间安全战略》。战略中明确提出当前和今后一个时期国家网络空间安全工作的战略任务:“建立国家网络安全技术支撑体系,完善网络安全监测预警和网络安全重大事件应急处置机制”。


2017年1月10日,中央网信以《中央网信办关于印发《国家网络安全事件应急预案》的通知》(中网办发文〔2017〕4号)公开发布了《国家网络安全事件应急预案》。


重要行业和地区均制订了较为完善的应急预案和应急演练管理制度,明确了应急组织架构及职责、预警、应急处置流程等,指导发生网络安全事故时有效地进行应急处置,同时对开展应急演练的形式、周期等提出要求。


重要行业和地区的网络安全应急平台建设基本处于起步阶段。行业管理部门有些自行建设网络信息安全应急管理平台,有些依靠下属单位建设信息安全应急管理平台,也有和第三方合作建设信息安全应急管理平台,但功能有待进一步完善。目前的网络信息安全应急管理平台建设目标从被动的应急管理为目的转变到对网络安全态势感知和预警报警管理的提升,但尚未发现任何行业或地方政府搭建了相对完善的能够实现应急管理、态势感知、通报预警等功能的平台。


目前,国家层面的网络安全应急管理平台正在搭建中。


3. 应急演练与实施过程


重要行业和地区均陆续出台了各自的应急演练指导文件,在一定程度上促进了应急工作的统一化、规范化。从开展网络安全应急演练的频率、规模、深度等方面看,重要行业总体上好于地区,对信息系统依赖程度越高的行业,对于应急演练的重视程度也越高,开展应急演练的范围更广、频率更高、形式多样、大多数行业以桌面推演、实战演练为主,也有部分行业采用了多种方式结合的综合演练方式。


重要行业和地区应急演练的对象主要分为两类:一是针对各行业领域重要基础设施和信息系统面临的设备故障、软件缺陷、数据泄露、操作失误、自然灾害等风险,组织开展专项应急演练。二是针对面向互联网开展的电子政务、电子商务等系统面临的网络攻击、信息破坏等风险,组织开展网络安全攻防演练。


重要行业的演练范围主要包括行业内部应急演练以及跨行业、跨地区联合应急演练,多数行业普遍能够根据行业及下属单位实际特点,组织行业内协同演练。


重要行业和地区在演练方式选择上,较好地结合了各行业、地区的实际情况,基本满足了应急演练的需求和目标,大多数行业以桌面推演、实战演练为主,也有部分行业采用了多种方式结合的综合演练方式。


重要行业和地区对于演练的总结与评估均比较重视,旨在通过总结与评估,发现演练中存在的问题,采取措施加以改进。部分行业还能够在自我评估的基础上,引入参演交叉评估、跨区现场观摩等机制。


我国尚未开展国家级网络安全应急演练。


五、网络安全应急关键对策


1. 完善网络安全应急体系


(1)建立健全应急管理制度


当前,国家对于自然灾害类、事故灾难类、公共卫生事件类、社会安全事件类应急管理已制订了相关的法律法规和制度条例,来保障此类事件发生时的有效应急管理。而对于网络安全应急尚缺少相应的法律法规和制度条例,以及开展应急演练的框架性要求和指导意见。建议全国立法机关应该从战略全局的高度,尽量加快网络安全应急体系与应急机制的相关法律法规的规划、制定工作,将网络应急工作全面纳入系统化的法制建设轨道中来。


与此同时,建议有关部门尽快出台网络安全应急管理及网络安全事件应急演练业务流程和相关业务标准,进一步加强有关信息安全应急及演练的标准规范、管理办法,并进一步细化相关配套措施,构建应急管理全程规范体系。


(2)统筹协调,职责明确


完善的应急管理协调机制有助于在网络安全危机发生时有效开展应急协调和资源调度。借鉴美国及欧盟的应急管理经验,建议成立国家网络安全应急中心,作为应对特别重大网络安全突发事件的应急指挥机构,统一指导、统一协调、统一督促关键信息基础设施应急、公共基础设施信息系统应急、网络内容管理应急等网络安全应急工作,建立不同地区、部门、系统之间应急处理的联动机制。


由国家网络安全应急中心牵头加快国家网络安全应急统筹协调,进一步明确各行业监管部门与地方政府主管机构之间的职责边界,明确网络安全应急责任主体,梳理应急工作中的交叉环节和空白地带,把目前仍然较为模糊和分散的网络安全应急管理职能适当加以整合。将不同业务部门所涉及到的不同类型的网络安全应急机制与系统有机地统筹、结合在一个体系中,以避免形成多头监管的局面,提升网络安全应急体系与系统的应急指挥、协同部署的效率与效能。


(3)加强全民意识宣贯


我国的网络安全应急管理往往更加关注技术和资源建设,而忽略了应急管理文化建设。普通民众缺乏必要的安全观念和危机意识,政府和其他社会主体对于网络安全突发事件的预警、防范意识也较为缺乏,因此要加强安全意识宣贯教育。


可以通过多种方法、多种形式对政府机构人员、各企事业单位人员及公众进行不同层面的网络安全意识教育,提升必要的网络安全观念及意识。也可以借鉴美国网络风暴演习,考虑通过“网络安全宣传周”活动统筹协调推动开展各级政府机构、各重要行业及全国人民共同参与的跨行业、跨地域综合性灾难应急演练或大规模网络空间演练,形成国家级的权威标准,提高全民网络安全意识,以“应急演练”的方式促进网络安全应急工作的发展完善。


2. 提升网络安全应急能力


(1)完善预警机制建设


科学完善的预警机制不仅能够在突发事件发生前监控、预防灾难的发生,而且在突发事件发生后能够有条不紊的实施处理,最大程度降低突发事件带来的损失。同西方发达国家相比,我国各级单位应急突发事件的预警机制还比较落后,存在的问题较多,使得这个层面在应对突发事件时往往较为被动和滞后。因此,尽快完善应对突发事件的预警机制,提升应急响应能力,也是我国现阶段面临的重要工作。


在条件允许的情况下,可以考虑网络安全应急中心负责协调关键基础设施拥有者和经营者,保障在业务连续性、危害管理、信息系统攻击、网络犯罪、保护关键场所免受破坏等方面的信息共享,并与中国情报分析相关部门建立密切联系,共享网络威胁情报,提高网络安全风险形势研判能力。充分利用目前相关政府部门推进电子政务业务协同、信息共享这一有利契机,在做好顶层设计的前提下,积极推进社会各方在网络安全方面的共建、共享。建立有效的应急管理机构,保证政令畅通。建立完善的预警检测、通报机制,分析安全信息,发布警报信息和制订预警预案,做到有备无患。


(2)加大技术研发应用


借鉴美国和欧盟的经验,我国应大力加强在应急技术及平台方面的研发,密切跟踪网络信息安全领域新技术、新应用的发展,加强相关技术特别是关键核心技术的攻关力度,着力开展新的网络框架下网络安全问题的研究,推动网络信息安全产业的发展,以有效应对网络信息安全面临的各种挑战。随着科学技术的飞速发展,,越来越多的新型技术设备和宣传手段被开发并运用到应急工作中。在应急工作中,有条件的机构可考虑运用新型技术和设备,依照自身实际情况开发操作性和可用性更强的系统或软件,并在演练中投入使用。应当注意的是,应不断测试系统、检验性能,及时改良。在使用过程中,提高人与设备、系统的磨合度,熟练操作方法,提高实际应用中的操作水平。


(3)加强人才能力培养


近年来,网络安全形势的日趋严峻也对应急管理人才、应急处置人才提出了更高要求。因此,建议从国家立法层面对应急资源投入给予相应支撑,加强人才队伍建设,完善相关教育培训,发挥科学研究部门和高等院校的优势,积极支持网络安全学科专业和培训机构建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型人才队伍,为加强网络安全应急管理提供坚实的人才保障和智力支持。


要不断提高网络安全应急人才队伍素质,定期组织对网络安全应急人员的能力培训,强化和补充新的网络安全威胁知识,进一步加强对有关网络安全应急一线工作人员、科研人员的有关政治素养和技术业务培训。同时,注重培养专门的应急教育人员,使之有效发挥危机传递的重要纽带作用。此外,还要充分发挥网络安全行业企业在应急治理中的作用,科学调配企业中的人才资源,为应急治理提供多元的人力资源支持。


3. 加强网络安全应急演练


(1)建立应急演练中心


借鉴美国应急演练模拟中心(NESC)的建设经验,可以选择桌面演练软件及相关决策支持系统为突破口,不断提高应急演练信息化水平和实用性。通过自主创新和国际合作,加快平台化建设,建立基于云计算的,集预警通报、信息共享、应急指挥协调于一体的应急演练模拟中心。在线模拟突发事件处置流程和实际操作检验,通过系统进行任务设定和模拟演练,演练结束后,也由系统进行电子测评。最终形成演练全程记录及报告,对演练过程作出评估。


建议成立国家网络安全应急指挥协调中心,建立统一的应急保障管理平台工作机制和指引,集中力量重点建设一批具有世界先进水平的国家级、区域性、行业性应急演练中心,使其成为应急演练的科研、训练、保障和国际交流的重要基地,并通过成果示范提升行业整体水平。应急演练中心的建立,也将偏流程的应急演练转变为全面演练,真正提高网络安全应急的管理和技术水平。


(2)提高应急演练水平


借鉴欧美等发达国家经验,立足我国国情,坚持理论先行和标准先行,通过技术攻关和实验试点,尽快建立统一规范的应急演练规则、演练工具、演练方法和评价标准体系及其定期修编制度,确保应急演练的标准化和规范化。其中建立健全演练绩效评估机制,由定性走向定量,由仅注重实施环节走向覆盖全过程,是演练评估工作的发展趋势。建立明确方法,量化指标,通过系统的全过程全方位的评估总结,将演练过程中的感性认识提升为理性认识,并进而转化为预期的应急能力。


与此同时,加大各行业地区的演练力度,通过多层次、多角度、全方位的演练实践持续改进方法和流程,广泛征求意见并深入论证,力求在充分实践与优化相结合的基础之上,摸索出一套能够指导应急演练高效开展的成熟的演练管理和评估流程,形成完整的演练程序循环系统,从规划、设计、实施到评估和改进,实现对应急演练的全方位管理,从而为各行业和地区应急演练实施提供有效指导,提高应急演练的科学性、可行性、有效性。


(3)推广应急演练实施


应要求各行业、地区根据各自特点实行精细化应急管理,因地制宜,结合行业、企业的情况,探索最有效的应急演练形式。按照系统重要性、时效性等进行等级划分,预案分级,安排分级演练,定期演练。不断提高应急预案质量与水平,结合行业实际情况,对行业应急预案提出要求并落实,及时更新。同时,进一步整合政府部门、高校、科研机构、企业等各方应急资源,建立全方位的、开放的、统一的演练经验交流和信息共享平台,推进各行业、地区相互观摩,以加强横向交流、沟通,总结经验,并对应急演练做最佳实践推广。


总之,网络安全应急工作是一项系统性、综合性工作,国家、地方、行业应密切配合、相互协同,社会公众和社会力量的广泛参与的基础上,通过强化网络安全事件应急的体制、机制和法制建设,应急技术装备、人才队伍建设,以及应急培训、演练等基础性工作,加快提升我国网络安全事件预防和应急处置能力,为我国的国家安全保驾护航。

itcn本文来源:互联网  作者:ITCN
©2015 意见反馈|网站地图|| 京ICP备15005947号