一般情况下,企事业单位的网络安全应急响应工作和网络信息安全保障工作是一套人马来做,组织上是合一的。网络安全应急响应工作的组织体系包括内部协调和外部协调。内部协调的对象主体是机构/企业内部组建的网络安全应急响应领导小组(或决策中心)、网络安全保障与应急办公室(以下简称应急办)、相关业务线或受影响的业务、各专项保障组以及技术专家组、咨询顾问组、市场公关组;外部协调的对象主体包括各相关政府部门、业务关联方、供应商(包括相关的设备供应商、软件供应商、系统集成商、服务提供商等)、专业安全服务厂商等。
值得注意的是,如果机构/企业的网络安全突发事件和经营业务的合作方/关联方有密切关系,那么应急办公室需考虑与合作方/关联方的协调,双方的法人主体地位是平等的,但双方应保持密切畅通的沟通。其次,由于通常企业或机构的高级安全人才缺乏,在出现重大安全事件之后,还要考虑引入专业安全厂商力量,因为专业安全厂商的安全专家应对高级别的网络黑客行为和网络攻击更富有经验,在处理工具与策略上会更具优势。
另外,之所以在机构/企业的网络安全应急响应领导小组设置市场公关职能,是因为在新媒体日趋普及的传播环境下,企事业单位越来越重视公共舆论的传播,一旦内部网络发生安全事件,将可能会面临着公共舆论的关切,特别是运营大量用户的企业,一般会在新媒体官方公共账户上与公众互动,发布企业应急响应的动态信息等,并且,企业市场公关行为事关企业形象和声誉,因此将市场公关组职能放在决策中心层面。
![网络安全应急响应组织体系模型]( "网络安全应急响应组织体系模型")
在具体职能上,领导小组对网络安全应急工作进行统一指挥,网络安全应急响应办公室具体负责执行。例如应急办负责各类上报信息的收集和整体态势的研判、信息的对外通报等;相关业务线的协调工作是指,网络安全事件影响了机构或企业的某些业务,使之无法正常运行,甚至瘫痪,需要业务线相关人员参与到应急响应工作中,配合查明原因,恢复业务;各专项保障组在各级网络安全应急办公室的领导下,承担执行网络系统安全应急处置与保障工作;技术专家组的任务是指导技术实施人员采取有效技术措施,及时诊断网络安全事故,及时响应;顾问专家组则主要提供总体或专项策略支持,而市场公关组则负责对外的消息发布,以及应急处置情况的公开沟通与回应。
在外部协调上,应急办需要和政府机构,如公安部门、工信部门、CNCERT等及时通报情况,并沟通应急处置事宜;业务关联方、供应商也是外部协调对象。通常来说,安全服务专业厂商也是供应商的一种,但是根据近年来的网络安全应急响应实践来看,专业安全服务厂商的作用越来越大,也受到各方的重视,因此在一般模型中单独列出。
需要强调的是,网络安全应急办是应急响应执行的关键组织保障,其负责人需要在有足够的协调能力的同时,有足够的权力,才能调动内部部门、主营业务领域的协同力量。机构内部的专家咨询小组和技术咨询小组对网络安全应急响应的制度流程建设完善有重要支撑作用,在应急事件响应上也发挥参谋作用,并且需要和保障层的软件供应商、设备供应商、系统集成商、服务提供商的相关技术支持人员,以及专业安全厂商的支持人员保持密切配合。
2、分别针对政府和企业的两类网络安全应急响应组织体系模型
政府作为协调主体的网络安全应急任务是针对公共互联网安全事件,需要政府公共部门出面协调各地区各部门应急响应主体。需要注意的是,政府出面协调的网络安全应急响应,并不是应对政府办公内网的网络安全事故,而是例如我国骨干网瘫痪、国际出口遭堵塞、电信基础设施遭攻击等普遍影响广大网民和企事业单位甚至国家安全的重大事件。
因此,其相应的应急响应组织模型,不必区分内部与外部,需要相关机构、涉事互联网企业、供应商、电信运营商、专业安全厂商和政府下属机构齐心协力,共同完成响应任务。而且,需要通报的政府机构有公安部门、工信部门,甚至金融监管、国际贸易、国家安全等部门,也可能是其他相关主管部门或是业务关联部门,如工商、税务。此外,应急办下面可能还设有省级或市县级分支机构,因此也需要对这些分支机构部门统一协调。
由于政府一般设置新闻发言人,对外发布应急处置消息,因此决策中心的新闻发布职能可由“公共舆论组”负责。政府作为协调主体的组织体系模型如图2所示。
![网络安全应急响应组织体系模型]( "网络安全应急响应组织体系模型")
企业作为协调主体的网络安全应急任务一般是针对企业内网的安全事件,需要企业自主应对、及时响应,降低对企业自身的影响或冲击。需要注意的是,除非有特别重大原因,企业内网安全应急响应不必向政府主管部门通报。特殊情况下企业网络攻击事件需要追究网络攻击犯罪嫌疑人,则需通报、协助公安机关抓捕犯罪分子。此外,对于大型企业,可能会协调异地分支机构,而普通企业则可能用不到。在寻求外部协助方面,大部分的企业自身的网络安全应急响应技术实力还是不够的,需要借助供应商、专业安全服务厂商的协助支持(服务采购与外包)来应对遭遇的黑客行为或网络攻击。
由于企业在对外发布应急处置消息时,既要兼顾企业公共关系,同时也要维护客户/用户的信心——品牌信誉,因此,决策中心的新闻发布职能可由“市场公关组”负责。企业作为协调主体的组织体系模型如图3所示。
![网络安全应急响应组织体系模型]( "网络安全应急响应组织体系模型")
随着互联网的快速普及,各行各业企业(公司甚至工厂)的内部办公与业务管理逐步实现网络化,企业内部网络安全事件频率和威胁程度不断增加。依据上述企业网络安全应急响应模型,各企业法人需根据自身业务的特点和性质,尽早建立保障有力的应急响应组织体系,防患于未然。
原文始发于微信公众号(计算机与网络安全):网络安全应急响应组织体系模型
评论