1、从国家层面来看,网络安全应急响应事件具备以下2个特点。
(1)针对中国中央政府的政策,或国家大政方针,具有主观对抗性质。
(2)由相关事件触发,而相关事件本身的起初的影响力可能很小,且其影响力扩大具有偶然性。
国家在做上述网络安全事件应急响应工作时表现出以下几个特征。
(1)设立全国性集中的应急响应机构,如国家互联网应急中心(CNCERT),负责网络安全应急响应机构的最高统筹工作。
(2)在一些复杂的网络安全事件中,由于牵涉到境外相关组织的国际合作,因此在技术合作、司法调查等领域加强跨国合作。
(3)通过与网络安全技术与服务企业密切合作,发挥企业特别是网络专业厂商在技术实战、攻防对抗、专业工具积累等方面的优势,统筹协调国内各方资源,力求及时有效控制网络安全事态。
2、大型活动项目期间网络安全应急响应。国家举办重大活动项目,如奥运会、国庆阅兵、全国两会、全国党代会换届选举,或承办国际重要会议如亚太经合组织(APEC)峰会、亚洲相互协作与信任措施会议、上海合作组织峰会、世界互联网大会乌镇峰会等,特定日期以内及相近日期里,网络安全黑客与攻击事件等突发事件概率上升,网络安全应急响应形势严峻。
大型活动项目期间网络安全应急响应需要有关部门制定系统性的网络安全服务保障预案,抽调精干组织协调力量,动员和协调有关部门、机构、网络安全应急响应专家、顾问、专业安全厂商、专业技术厂商等,为密切高效配合做好准备。
3、部门机构网络安全应急响应。针对(中央、地方)政府部门或机构的网站或者内部网络的渗透、入侵,造成内部网络的瘫痪、重要信息系统的故障、数据信息的泄露或丢失。此时,相关机构的应急响应工作,一般由该部门主导,影响范围在部门系统内,当然也可能是全国性的垂直系统,在行政区划上波及其他省市区域。
部门机构,主要指中央和省级政府部门,所面临的网络安全突发事件具备以下几个特点。
(1)带有政治性攻击企图。一些黑客行为致使政治性反动、恶意攻击信息内容在相关政府机构的公开信息渠道传播、扩散。
(2)高级可持续威胁(APT,Advanced Persistent Threat)攻击。近年来,政府部门APT攻击的案例已不鲜见,主要来源于境外政府组织、黑客组织甚至个人,其利用一些先进的工具和高级渗透手段,窃取政府机密信息或为谋求个人经济利益。其带来的潜在危害巨大,因为相关部门可能对于隐藏极深的APT攻击毫不知情。
(3)兼具跨地域破坏性。中央政府的部门机构,尤其是垂直管理的系统,拥有跨省区分布业务系统,因此,一旦攻破造成的影响具有跨地域的破坏性。即使攻击地方政府网站或内部信息系统,由于横向的信任关系,其影响也可能扩散至更多区域。
4、企业网络安全应急响应。企业用户是互联网的关键主体用户之一,互联网环境下的不安全因素直接影响到企业的信息网络。同时,企业内网安全也会遭遇突发事件,如某上市企业服务器“疑似数据库物理删除”,给企业带来严重的负面影响。
企业内部网络的安全对企业生死攸关的知识产权保护、商业机密管控有非常高要求,因此,如果出现重大突发网络安全事故而不能及时响应、妥善处理,将可能遭遇灭顶之灾。企业网络安全应急响应工作所面临的主要对象及特点有以下三点。
(1)企业网络安全应急首要关注漏洞。企业网络最关注的是系统或软件漏洞引发的网络与信息安全问题。漏洞是黑客入侵与渗透的主要“通道”之一,企业既面临程序开发导致的漏洞,也有协议架构或系统管理流程上的漏洞,还有硬件上的漏洞。
(2)还应关注其他网络攻击事件的应急响应,如信息泄露、分布式拒绝服务(DDoS, Distributed Denial of Service)攻击、病毒木马。
(3)对于跨区域大型企业,由于其内部网络的复杂度高,比如各地分部、分支办事机构之间的网络互联,将使企业网络安全应急响应复杂度、隐患排查难度大大提高。
5、无责任主体突发事件。一些网络安全突发事件并不涉及具体的责任主体,不是政府部门、社会组织机构或企业团体,但会使国家、政府、企业、社会组织实体等受到影响。此类无责任主体网络安全紧急事件和上述全国性网络安全应急响应事件类型有相似之处,但也存在其独特表现。
(1)全球性网络安全事件,导致中国也成为突发事件的受害方,影响国家、机构、企业、个人等使用开放的互联网或内部网络。
(2)此类网络安全事故偶然性更加明显,例如OpenSSL漏洞、境外黑客组织的DDoS攻击、Internet根域名服务器故障等冲击我国网络正常运行等。这类事件,虽不用我国承担主要的应急响应任务,但是跨国合作、内部督查、排除隐患的工作依然需要力行。
原文始发于微信公众号(计算机与网络安全):网络安全应急响应分类
评论