1.1 應(yīng)急響應(yīng)及網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

應(yīng)急響應(yīng)（Incident Response/Emergency Response），通常指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施。其目的是減少意外事件造成的損失，包括人民群眾的生命、財(cái)產(chǎn)損失，國(guó)家和企業(yè)的經(jīng)濟(jì)損失，以及相應(yīng)的社會(huì)不良影響等。

應(yīng)急響應(yīng)所處理的意外事件，通常為突發(fā)公共事件或突發(fā)重大安全事件。組織可以通過(guò)執(zhí)行由政府或組織推出的針對(duì)各種意外事件的應(yīng)急方案，將損失降到最低。應(yīng)急方案是一套復(fù)雜而體系化的意外事件處置方案，包括預(yù)案管理、應(yīng)急行動(dòng)方案、組織管理和信息管理等內(nèi)容。其相關(guān)執(zhí)行主體包括應(yīng)急響應(yīng)相關(guān)責(zé)任單位、應(yīng)急響應(yīng)指揮人員、應(yīng)急工作實(shí)施組織和事件當(dāng)事人。

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是應(yīng)急響應(yīng)的一個(gè)特定分支，側(cè)重于處理網(wǎng)絡(luò)安全事件，如數(shù)據(jù)泄露、系統(tǒng)入侵、惡意軟件攻擊等。

1.1.1　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的含義

網(wǎng)絡(luò)安全是指通過(guò)使用各種安全措施和技術(shù)手段，保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)等信息資產(chǎn)免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)、修改、竊取或破壞等威脅的過(guò)程。它主要涉及信息的機(jī)密性、完整性和可用性三方面內(nèi)容。

（1）信息的機(jī)密性：指保護(hù)機(jī)構(gòu)的敏感信息不被非授權(quán)人員或其他機(jī)構(gòu)訪(fǎng)問(wèn)或泄露。為了保障信息的機(jī)密性，需要采取加密通信、訪(fǎng)問(wèn)控制、身份驗(yàn)證和授權(quán)等安全措施。

（2）信息的完整性：指確保機(jī)構(gòu)的信息在傳輸和存儲(chǔ)過(guò)程中沒(méi)有被篡改或損壞。為了保障信息的完整性，需要采取數(shù)字簽名、哈希校驗(yàn)、數(shù)據(jù)備份和恢復(fù)等安全措施。

（3）信息的可用性：指機(jī)構(gòu)的信息資產(chǎn)始終可供合法用戶(hù)訪(fǎng)問(wèn)和使用。為了保障信息的可用性，需要采取防御性措施，如備份、容錯(cuò)、負(fù)載均衡和網(wǎng)絡(luò)冗余等。

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)（后文簡(jiǎn)稱(chēng)“應(yīng)急響應(yīng)”，即本書(shū)后續(xù)內(nèi)容提到的“應(yīng)急響應(yīng)”均指“網(wǎng)絡(luò)安全應(yīng)急響應(yīng)”）是保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)等信息資產(chǎn)的完整性、機(jī)密性和可用性的一種重要手段，包括應(yīng)急預(yù)案編制、事件快速響應(yīng)、情報(bào)分析、漏洞管理和恢復(fù)重建等環(huán)節(jié)。這些環(huán)節(jié)的實(shí)施能夠幫助組織在承受網(wǎng)絡(luò)安全威脅時(shí)，迅速做出反應(yīng)并采取應(yīng)對(duì)措施，在最大程度上減少損失。

1.1.2　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的作用

在發(fā)生確切的網(wǎng)絡(luò)安全事件時(shí)，應(yīng)急響應(yīng)人員應(yīng)及時(shí)采取行動(dòng)，限制事件擴(kuò)散和影響的范圍，防范潛在的損失與破壞。應(yīng)急響應(yīng)人員應(yīng)協(xié)助用戶(hù)檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事件發(fā)生原因的基礎(chǔ)上，提出基于安全事件的整體解決方案，排除系統(tǒng)的安全風(fēng)險(xiǎn)，并協(xié)助追查事件來(lái)源，協(xié)助后續(xù)處置。

國(guó)家對(duì)網(wǎng)絡(luò)安全高度重視，且機(jī)構(gòu)、企業(yè)面臨越來(lái)越多、越來(lái)越復(fù)雜的網(wǎng)絡(luò)安全事件的威脅，使得應(yīng)急響應(yīng)工作變得日益重要。應(yīng)急響應(yīng)工作主要包括以下兩方面。

● 未雨綢繆，即在事件發(fā)生前先做好準(zhǔn)備。例如，開(kāi)展風(fēng)險(xiǎn)評(píng)估，制訂安全計(jì)劃，編制應(yīng)急響應(yīng)預(yù)案，進(jìn)行加強(qiáng)安全意識(shí)的培訓(xùn)，以發(fā)布安全通告的方法進(jìn)行預(yù)警，以及采取各種其他防范措施。

● 亡羊補(bǔ)牢，即在事件發(fā)生后采取的響應(yīng)措施，其目的在于把事件造成的損失減到最小。這些響應(yīng)措施可能來(lái)自人，也可能來(lái)自系統(tǒng)。例如，在發(fā)現(xiàn)事件后，采取緊急措施，進(jìn)行系統(tǒng)備份、病毒及后門(mén)檢測(cè)、可疑樣本隔離、清除病毒或后門(mén)、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵取證等一系列操作。

以上兩方面的工作是互有影響的。首先，事前的計(jì)劃可為事后的響應(yīng)措施提供指導(dǎo)框架，否則采取響應(yīng)措施時(shí)很可能陷入混亂，毫無(wú)章法的響應(yīng)措施有可能造成更大的損失；其次，事后的響應(yīng)措施可能會(huì)指出事前計(jì)劃的不足，從而使我們吸取教訓(xùn)，進(jìn)一步完善安全計(jì)劃。因此，這兩方面的工作應(yīng)該形成一種正反饋的機(jī)制，逐步強(qiáng)化組織的安全防范體系。

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)需要機(jī)構(gòu)、企業(yè)在實(shí)踐中從技術(shù)、管理、法律等多角度考慮，保證針對(duì)突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)能夠做到有序、有效、有力，確保將涉事機(jī)構(gòu)、企業(yè)的損失減到最小，同時(shí)威懾肇事者。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)要求應(yīng)急響應(yīng)人員對(duì)網(wǎng)絡(luò)安全有清晰的認(rèn)識(shí)，對(duì)其有所預(yù)估和準(zhǔn)備，從而在突發(fā)網(wǎng)絡(luò)安全事件時(shí)，有序應(yīng)對(duì)、妥善處理。

1.1.3　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的相關(guān)法律法規(guī)與要求

2003年7月，我國(guó)首次從國(guó)家層面對(duì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)做出指導(dǎo)。國(guó)家信息化領(lǐng)導(dǎo)小組根據(jù)國(guó)家信息化發(fā)展的客觀(guān)需求和網(wǎng)絡(luò)與信息安全工作的現(xiàn)實(shí)需要，制定出臺(tái)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)〔2003〕27號(hào)文件），明確了“積極防御、綜合防范”的信息安全保障工作方針。該文件指出“國(guó)家和社會(huì)各方面都要充分重視信息安全應(yīng)急處理工作。要進(jìn)一步完善國(guó)家信息安全應(yīng)急處理協(xié)調(diào)機(jī)制，建立健全指揮調(diào)度機(jī)制和信息安全通報(bào)制度，加強(qiáng)信息安全事件的應(yīng)急處置工作”。

2016年12月，經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（現(xiàn)“中國(guó)共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會(huì)”）批準(zhǔn)，中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》。該戰(zhàn)略指出“堅(jiān)持技術(shù)和管理并重、保護(hù)和震懾并舉，著眼識(shí)別、防護(hù)、檢測(cè)、預(yù)警、響應(yīng)、處置等環(huán)節(jié)，建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度，從管理、技術(shù)、人才、資金等方面加大投入，依法綜合施策，切實(shí)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)”，明確了“做好等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、漏洞發(fā)現(xiàn)等基礎(chǔ)性工作，完善網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和網(wǎng)絡(luò)安全重大事件應(yīng)急處置機(jī)制”的重點(diǎn)任務(wù)。

于2017年6月1日開(kāi)始施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》對(duì)監(jiān)測(cè)預(yù)警與應(yīng)急處置方面的組織機(jī)構(gòu)、主體責(zé)任和工作機(jī)制作出了明確的法律規(guī)定。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室隨即下發(fā)了《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，對(duì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的組織機(jī)構(gòu)與職責(zé)、監(jiān)測(cè)與預(yù)警、應(yīng)急處置、調(diào)查與評(píng)估及預(yù)防工作和保障措施均作出了詳細(xì)的規(guī)定。上述法律法規(guī)與要求體現(xiàn)了在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方面的國(guó)家意志。

在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中，“網(wǎng)絡(luò)安全事件”出現(xiàn)15次，主要與網(wǎng)絡(luò)安全事件的技術(shù)措施，網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，網(wǎng)絡(luò)安全事件的應(yīng)對(duì)和協(xié)同配合，網(wǎng)絡(luò)安全事件發(fā)生的可能性、影響范圍和危害程度的分析，網(wǎng)絡(luò)安全事件的調(diào)查和評(píng)估，網(wǎng)絡(luò)安全事件的監(jiān)督管理和整改，網(wǎng)絡(luò)安全事件的應(yīng)急處置，網(wǎng)絡(luò)安全事件分級(jí)，網(wǎng)絡(luò)安全事件的違法處置等有關(guān)。

● 采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。

● 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。

● 定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力。

● 若發(fā)生網(wǎng)絡(luò)安全事件，應(yīng)當(dāng)立即啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查和評(píng)估，要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取技術(shù)措施和其他必要措施，消除安全隱患，防止危害擴(kuò)大，并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。

● 省級(jí)以上人民政府有關(guān)部門(mén)在履行網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)中，發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn)或者發(fā)生安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ摼W(wǎng)絡(luò)的運(yùn)營(yíng)者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談。

● 因網(wǎng)絡(luò)安全事件，發(fā)生突發(fā)事件或者生產(chǎn)安全事故的，應(yīng)當(dāng)依照《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》《中華人民共和國(guó)安全生產(chǎn)法》等有關(guān)法律、行政法規(guī)的規(guī)定處置。

● 因維護(hù)國(guó)家安全和社會(huì)公共秩序，處置重大突發(fā)社會(huì)安全事件的需要，經(jīng)國(guó)務(wù)院決定或者批準(zhǔn)，可以在特定區(qū)域?qū)W(wǎng)絡(luò)通信采取限制等臨時(shí)措施。

● 國(guó)家網(wǎng)信部門(mén)應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等，提供技術(shù)支持和協(xié)助。

● 網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案應(yīng)當(dāng)按照事件發(fā)生后的危害程度、影響范圍等因素對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分級(jí)，并規(guī)定相應(yīng)的應(yīng)急處置措施。

在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的基礎(chǔ)上，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》已經(jīng)在2021年4月27日國(guó)務(wù)院第133次常務(wù)會(huì)議通過(guò)，自2021年9月1日起施行。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》指出“國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)，采取措施，監(jiān)測(cè)、防御、處置來(lái)源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的違法犯罪活動(dòng)”。其中，第十五條第三項(xiàng)、第二十五條具體體現(xiàn)了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的相關(guān)措施。

● 按照國(guó)家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制定本單位應(yīng)急預(yù)案，定期開(kāi)展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件。

● 保護(hù)工作部門(mén)應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求，建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練；指導(dǎo)運(yùn)營(yíng)者做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置，并根據(jù)需要組織提供技術(shù)支持與協(xié)助。

根據(jù)以上法律法規(guī)與要求的指導(dǎo)，為了構(gòu)建國(guó)家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系和指導(dǎo)組織建立和完善網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制，國(guó)家還陸續(xù)出臺(tái)了一系列指南和標(biāo)準(zhǔn)。目前，與網(wǎng)絡(luò)安全應(yīng)急響應(yīng)有直接關(guān)聯(lián)的指南和標(biāo)準(zhǔn)主要如下。

● 《信息安全技術(shù) 網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)指南》（GB/T 20986—2023）。該指南對(duì)信息安全事件分類(lèi)依據(jù)和方法、分級(jí)依據(jù)和具體級(jí)別給出了明確的指導(dǎo)。該指南將信息安全事件分成7 類(lèi)，包括有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他事件。同時(shí)，該指南將信息安全事件劃分為4個(gè)級(jí)別，對(duì)信息安全事件的分級(jí)主要考慮3個(gè)要素，即信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響，劃分的4個(gè)級(jí)別分別是特別重大事件（I級(jí)）、重大事件（Ⅱ級(jí)）、較大事件（Ⅲ級(jí)）和一般事件（Ⅳ級(jí)）。

● 《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T 20988—2007）。該標(biāo)準(zhǔn)對(duì)信息系統(tǒng)災(zāi)難恢復(fù)的策略制定和實(shí)現(xiàn)及其相關(guān)指示和方案做了具體的描述，是應(yīng)急響應(yīng)中的信息系統(tǒng)災(zāi)難恢復(fù)工作的理論依據(jù)。

● 《信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》（GB/T 24363—2009）。該標(biāo)準(zhǔn)對(duì)信息安全應(yīng)急響應(yīng)計(jì)劃的編制以及計(jì)劃中涉及的角色及職責(zé)、應(yīng)急響應(yīng)流程和保障措施提出了明確的要求。

● 《網(wǎng)絡(luò)安全事件描述和交換格式》（GB/T 28517—2012）。該標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)安全事件描述和交換格式及其基礎(chǔ)數(shù)據(jù)類(lèi)型、擴(kuò)展和實(shí)現(xiàn)指南進(jìn)行了定義，并給出了具體實(shí)例。

● 《信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分：事件管理原理》（GB/T 20985.1—2017）。該標(biāo)準(zhǔn)代替了《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》（GB/Z 20985—2007），將指導(dǎo)性技術(shù)文件改為推薦性國(guó)家標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提出了信息安全事件管理的基本概念和階段，并將這些概念與結(jié)構(gòu)化方法的原理相結(jié)合用于發(fā)現(xiàn)、報(bào)告、評(píng)估和響應(yīng)事件，以及進(jìn)行經(jīng)驗(yàn)總結(jié)。

● 《信息技術(shù)　安全技術(shù)　信息安全事件管理　第2部分：事件響應(yīng)規(guī)劃和準(zhǔn)備指南》（GB/T 20985.2—2020）。該指南基于《信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分：事件管理原理》中給出的“信息安全事件管理階段”模型的“規(guī)劃和準(zhǔn)備”階段和“經(jīng)驗(yàn)總結(jié)”階段，給出了規(guī)劃和準(zhǔn)備事件應(yīng)急響應(yīng)以及事后經(jīng)驗(yàn)總結(jié)和實(shí)施改進(jìn)的方法。

● 《信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南》（GB/T 38645—2020）。該標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)安全事件應(yīng)急演練的目的、原則、形式及規(guī)劃，并描述了應(yīng)急演練的組織架構(gòu)以及實(shí)施過(guò)程。該標(biāo)準(zhǔn)對(duì)公司開(kāi)展應(yīng)急響應(yīng)體系建設(shè)，組織應(yīng)急演練提供了參考。

由于網(wǎng)絡(luò)安全保障工作的整體性，其他與網(wǎng)絡(luò)安全事件相關(guān)的標(biāo)準(zhǔn)，如《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》（GB/T 20984—2022）、《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》（GB/T 30276—2020）和最新發(fā)布的《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》（GB/T 20984—2022）等，也對(duì)組織開(kāi)展網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系和機(jī)制的建設(shè)具有參照和指導(dǎo)作用，此外還有國(guó)外的《信息技術(shù)系統(tǒng)應(yīng)急響應(yīng)規(guī)劃指南》（NIST SP 800-34）、《計(jì)算機(jī)安全事件處理指南》（NIST SP 800-61）、《網(wǎng)絡(luò)安全事件應(yīng)急指南》（NIST SP 800-184）可作為參考。因篇幅有限，這里不對(duì)這些標(biāo)準(zhǔn)和指南進(jìn)行詳細(xì)介紹，有興趣了解和學(xué)習(xí)的讀者可自行查找相關(guān)標(biāo)準(zhǔn)和指南的原文。