當今社會，信息化持續發展，中國互聯網絡信息中心發布的報告顯示，截至2016年12月，中國網民規模達7.31億，互聯網普及率達到53.2%。個人網上消費娛樂，政府網上公開信息和網上辦事，企業在線銷售與采購等等，已經成為一種不可阻擋的潮流。

信息化給生產、生活和治理帶來極大便利的同時，也不可避免地產生了副產品——網絡安全事件。網絡安全事件的危害小至對生產生活造成困擾，大至影響國家安全。為了避免發生網絡安全事件，控制已發生網絡安全事件防止其惡化，做到“大事化小，小事化了”，就需要加強網絡安全應急工作。

一、網絡安全應急出現新特點

隨著云計算、大數據、物聯網、移動互聯網、工業控制系統、人工智能等新技術新應用的不斷涌現以及各國對網絡空間爭奪的日益加劇，網絡安全應急出現如下新特點：

一是對新技術新應用伴生的新型網絡安全事件應急缺乏經驗。由于信息化涉及面廣，創新速度快，不斷有新的網絡安全事件產生，這些事件的應對技術和手段難以同步跟進，從而導致這些網絡安全事件應對不力。

二是網絡安全應急的時間窗口越來越短。當一個漏洞被公開后，漏洞的補丁研發者和攻擊工具的研發者就展開時間賽跑。很多漏洞的攻擊利用工具先于或同步于補丁研發出來，這些漏洞就成為著名的“零日漏洞”。2016年國家信息安全漏洞共享平臺（CNVD）共收錄通用軟硬件漏洞10822個，其中有2203個屬于“零日漏洞”。

三是物理信息融合更加深入，網絡安全事件應急更加復雜。2010年發生的“震網”病毒襲擊伊朗核設施事件是典型的通過網絡攻擊實現對物理世界攻擊的案例。而2016年10月發生的震驚全球的美國斷網事件則利用連接物理世界的物聯網設備攻擊域名服務器致使互聯網不能訪問。這些網絡安全事件應急既涉及網絡安全應急，也涉及到生產安全應急，甚至涉及人身安全應急。

四是網絡安全應急不再局限于信息系統，關鍵信息基礎設施網絡安全應急更加突出。關鍵信息基礎設施已成為網絡攻防的重點。關鍵信息基礎設施一旦遭到攻擊，不僅影響面廣，而且破壞程度大，網絡安全應急則更加困難。

在新形勢下，我國網絡安全應急受到高度重視。2016年11月7日，十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法》，其第五章專門規范了“監測預警與應急處置”，對國家及關鍵信息基礎設施保護部門網絡安全監測預警和信息通報制度建立、風險評估和應急工作機制健全與應急預案制定和應急演練、應急處置、安全監管、突發事件與安全生產事故處罰、網絡通信臨時限制等都作出了明確規定。2016年12月27日發布的《國家網絡空間安全戰略》指出“完善網絡安全監測預警和網絡安全重大事件應急處置機制”、“深化在政策法律、技術創新、標準規范、應急響應、關鍵信息基礎設施保護等領域的國際合作”。

二、網絡安全應急是一項整體工程

網絡安全應急管理是一個體系化的系統工程，網絡安全應急管理體系的內容可以概括為“一案三制”，即網絡安全事件的應急預案、應急機制、應急體制和應急法制，以及支撐“一案三制”的網絡安全應急基礎設施。我國政府在加強網絡安全應急管理中，突出重點、抓住核心、建立制度、打牢基礎，圍繞應急預案、應急管理體制、機制和法制建設，構建了網絡安全應急管理體系的核心框架，初步形成了中國特色的網絡安全應急管理體系。

1、網絡安全應急法制

法律手段是應對網絡安全事件最基本、最主要的手段。網絡安全應急管理法制建設，就是依法開展應急工作，努力使網絡安全事件的應急處置走向規范化、制度化和法制化軌道，使政府和公民在網絡安全事件中明確權利和義務，既使政府得到高度授權，維護國家利益和公共利益，又使公民基本權益得到最大限度的保護。

2007年8月30日發布了《中華人民共和國突發事件應對法》，該法中“應急”中的“應”指的是“應對”，它包括預防與準備、監測與預警、處置與救援、事后恢復與重建等活動，“急”則指“突發事件”，是指突然發生，造成或者可能造成嚴重社會危害，需要采取應急處置措施予以應對的自然災害、事故災難、公共衛生事件和社會安全事件。

2016年11月7日，十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法》，第五十七條指出“因網絡安全事件，發生突發事件或者生產安全事故的，應當依照《中華人民共和國突發事件應對法》、《中華人民共和國安全生產法》等有關法律、行政法規的規定處置。”可見嚴重的網絡安全事件可導致突發事件或者生產安全事故。

1994年頒布的《中華人民共和國計算機信息系統安全保護條例》（即國務院147號令）、2009年通過的《刑法》（修正案七）、2010年修訂通過的《中華人民共和國保守國家秘密法》等都是網絡安全應急法制建設的重要內容。

同時，與法律法規相配套的政策文件和標準紛紛出臺。

2、網絡安全應急體制

網絡安全應急管理體制主要是指應急管理機構的組織形式。

國家層面，2014年2月，中央網絡安全和信息化領導小組成立。在網絡安全應急專業技術隊伍方面，經過多年努力依托各國家部委組建了包括國家計算機網絡應急技術處理協調中心（國家互聯網應急中心）、國家信息技術安全研究中心、中國信息安全測評中心等國家級網絡安全應急專業機構。

以北京市為例，按照在應急響應工作中所承擔職責的不同，網絡安全應急機構包括應急管理的領導指揮機構、專項應急指揮機構、地方機構、日常辦事機構、工作機構、支撐機構及專家組織等。

　　3、網絡安全應急機制

信息安全應急響應工作機制是信息安全應急響應體系各個組成部分相互配合、高效運轉的重要前提。從工作內容上，應急響應工作機制主要包括指揮協調機制、信息通報共享機制、監督檢查機制等。

指揮協調機制從過程上可分為情報會商、應急決策、資源協調、指揮實施等。信息通報共享機制從過程上可分為信息搜集、信息匯總、信息發布。通過監督檢查機制，應急指揮機構對管轄范圍內各單位信息安全應急準備以及特定網絡安全事件應急處置情況進行檢查和調查。

4、網絡安全應急預案

網絡安全應急預案是網絡安全應急法制、體制和機制落地的載體。近年來，各部委、各地區、各單位根據國家相關要求，陸續制訂發布了本部門、本地區、本單位的網絡安全事件應急預案，初步建立了國家網絡安全事件應急預案體系。

5、網絡安全應急基礎設施

網絡安全應急響應基礎設施是有效組織與開展網絡安全應急響應工作的重要技術基礎。從開展網絡安全應急響應工作的角度上，應急響應基礎設施可包括：應急指揮平臺、應急值守平臺、應急呼叫中心、安全態勢分析平臺、監測預警系統、災難備份中心、威脅管理平臺、漏洞管理平臺、補丁管理平臺、應急資源數據庫、應急工具裝備庫和信息安全應急技術研究實驗室等。

三、建立主動網絡安全應急模式

在網絡安全應急新形勢下，被動地開展網絡安全應急，已經不能滿足要求了，亟需做到知己知彼，主動出擊，在完善網絡安全應急體系基礎上，建立主動網絡安全應急模式。下面提出一些主動網絡安全應急的思路：

1、主動跟蹤發現威脅源。雖然網絡安全威脅源非常廣泛，但挖掘發現發起威脅的國家、機構、個人及惡意代碼并進行跟蹤，掌握他們的動態，可以大大提高網絡安全應急效率。目前業內在這方面開展的工作包括網絡威脅情報分析、建立和共享惡意網頁URL庫、跟蹤僵尸網絡、建立蜜罐等。

2、加強網絡違規執法。對一旦發現的網絡犯罪，嚴格進行執法，對網絡犯罪主體進行打擊，形成威懾力量，從而抑制威脅源，達到主動網絡安全應急的效果。

3、明確重點應急對象。國家和地方分別建立自己的重點網絡安全應急對象，特別是關鍵信息基礎設施，針對這些對象建立專門網絡安全應急隊伍、制定網絡安全應急制度、制定應急預案、開展應急演練、儲備應急資源等。

4、主動挖掘安全漏洞。建立軟件開發商安全漏洞責任制，要求軟件開發商建立自身漏洞挖掘隊伍，及時主動向國家相關機構報告；建立國家級漏洞挖掘機構和行業領域漏洞挖掘機構，聯合社會漏洞挖掘機構，統一漏洞的挖掘，并建立漏洞和補丁的分級管理體制和機制。目前，我國CNCERT和中國信息安全測評中心分別建立了漏洞報告和發布制度，但漏洞的發現靠個別安全機構和個人是不夠的。

5、完善風險評估機制。在傳統信息系統風險評估基礎上，探索面向工業控制系統、大數據、人工智能等新領域的風險評估方法。按照《中華人民共和國網絡安全法》要求，推動風險評估工作，定期開展風險評估，主動發現安全隱患并進行整改，控制安全風險。

6、加強應急人才培養。我國網絡安全人才培養中，注重網絡安全防護人才的培養，對網絡安全應急人才培養關注不夠，網絡安全應急人才缺乏，影響了網絡安全應急的效果。需要加大網絡安全應急優秀教材的編制，把網絡安全應急列入網絡安全人才的必修課程。

7、強化國際應急合作。在國際層面發現和跟蹤威脅源，掌握安全漏洞，阻斷網絡攻擊，共同打擊跨國網絡犯罪。

（作者：北京信息安全測評中心 錢秀檳 趙章界）