赛迪前瞻：提升我国网络安全应急能力亟需构筑“三大体系”

网络安全应急工作是网络安全的最后一道屏障，加强网络安全应急能力建设、规范网络安全应急处置流程是有效应对网络安全风险挑战、最大限度降低各类突发事件影响的核心手段。从我国网络安全应急处置实际情况看，由于部分应急预案缺乏处置应急事件所需的系统平台、技术装备和人员等要素的战略统筹机制，处置时难以实现高效联动，处置效果不如预期。赛迪研究院网络安全研究所建议，应多方发力响应大安全大应急框架建设的战略部署，通过灾备体系、预警体系、联动体系的互相支撑和作用，为事前预防机制的形成和网络安全应急管理能力的建设提供保障。

一、网络安全应急能力建设进展

（一）网络安全应急能力法律保障基本完善

2017年《中华人民共和国网络安全法》的施行，标志着我国网络安全监测预警与应急处置战略部署形成。同年，中央网信办印发的《国家网络安全事件应急预案》为各地区、各部门和各行业网络安全应急管理工作的开展和推进提供了重要依据，对构建横向协同、纵向联动、全国统一的网络安全应急系统提出了具体的管理和处置要求。2021年通过的《中华人民共和国数据安全法》，表明实现了对国家数据安全工作协调机制与数据安全应急处置机制建设必要性的制度性明确。此后，等保合规、身份认证、漏洞管理等一系列涉及细分场景的网络安全规章制度渐次落地，为我国网络安全产业发展提供了全新契机，也为推进网络安全应急工作提供了有力支撑。

（二）网络安全应急工作机制逐步强化

2022年国务院发布了《“十四五”数字经济发展规划》，要求健全和完善网络安全应急事件预警通报机制，同时将网络安全应急能力建设的要点任务进行细化。现阶段，在网络安全应急事件处置组织架构、预防手段、监测分析、调查评估和保障策略等环节实现有规可循的基础上，我国已基本具备了覆盖多层级、囊括各流程的网络安全应急预案体系。

（三）网络安全应急能力框架初步形成

2022年11月，《信息安全技术关键基础设施网络安全应急体系框架》面向社会公开征求意见，初步明确了网络安全应急能力框架结构及内涵。分析识别、应急预案、应急处置、事后恢复与总结、事件报告与信息共享，以及应急保障、演练与培训等环节成为网络安全应急能力的基本构成。应急体系架构由运营方和网络安全应急相关方两部分组成，运营方通过事件报告接口向应急相关方上报应急事件及信息，双方通过信息共享接口实现双向联通，确保全流程能力建设的协同高效。

总体来看，我国网络安全应急能力在法律法规、应急预案、组织架构、处置机制和技术配置等建设方面均取得了一定进展。现阶段，体系化建设成为重点，网络安全应急预案体系的建立与完善构成了网络安全治理的重要前提和关键基础，处置效果更依赖于应急处置全过程、全要素的支撑以及成熟的应急管理运行能力，我国网络安全应急能力仍有较大提升空间。

由于发展基础薄弱，我国网络安全应急能力体系化建设主要有三大短板。一是灾备建设不完善。兼顾数据备份和存储恢复策略的灾备体系投入不足、覆盖不全面，导致灾备需求尚不能得到充分满足。二是网络监测预警不到位。网络安全态势感知、攻击意图分析等技术在一定程度上实现了对潜在网络威胁的识别，但安全监测数据共享、攻击行为取证等环节仍较为薄弱。三是网络安全应急处置联动机制待加强。在当前网络安全威胁频发的局面下，多级联动应急指挥不充分、多点协同防御不彻底、安全数据输出路径不明确和信息交互渠道不畅通等问题仍较为突出，以稳定、顺畅的网络安全应急系统联动体系助推“协同式”网络安全治理模式发展未能实现。

二、构筑“三大体系”，切实提升网络安全应急能力

（一）构筑灾备体系，筑牢网络安全应急基石

一是明确网络安全运营目标，统筹灾备系统建设与运维。加强灾备体系顶层设计，明确灾备系统建设标准规范、技术架构、运行监管和安全防护等方面要求，构建集约高效的灾备体系。针对不同类型的网络安全主体或不同级别数据，尽快建立并完善灾备相关技术规范、运行制度及管理体系。综合考虑数据与系统的重要性、业务关联度、技术匹配度、投入成本和基础设施情况，以及组织的安全策略及目标等一系列因素，遵循数据级、应用级和业务级三类业务恢复等级，以及本地容灾、异地灾备、云灾备等不同的灾备场景要求，为组织生成恰当的灾备策略提供指引。

二是细化网络安全防御方向，提升业务连续性保障水平。完善业务连续性流程，并进行长期、动态化的更新及调整，将增强灾难恢复能力和系统业务连续性保障水平作为确保灾备体系成熟建设的必要环节。识别网络安全潜在威胁并判断影响及损失，进而根据恢复业务所需的资源来制定恢复策略，从而保证组织以最快速度启动响应机制，将业务中断带来的损失降到最低。

三是把握网络安全核心阵地，落实关键信息基础设施安全防护。加强对灾难恢复预案、灾备中心管理和灾备演练计划等环节和流程的资金投入，综合考虑成本、地理环境、基础设施条件、数据及应用系统的重要性等，实现对灾备体系建设的合理布局。针对关键信息基础设施直接牵动网络安全、间接关联国家安全的领域，实现灾备建设资源的适度倾斜和业务连续性需求的重点满足。同时，优化存储备份技术应用以及系统异构兼容性，发挥灾备系统作为保障数据安全、增强业务抗风险能力关键组件的重要作用。

（二）构筑预警体系，激发网络安全应急动能

一是强化顶层设计，健全网络安全监测预警制度。把监测预警作为维护网络安全的首要环节和常态化任务，细化包括网络监管主体的网络安全责任，落实“谁主管谁负责、谁运行谁负责”的要求。各监管主体应每日查看各类网络安全设备告警信息并进行汇总，分析评估发生网络安全应急事件的可能性及其可能造成的影响，及时向上级报告可能与网络安全应急事件发生有关联的信息。

二是优化统筹协调，注重多源数据融合和信息共享。充分发挥网络安全威胁和漏洞信息共享平台效能，全面汇聚政府机关、网络安全部门、安全监管单位和企业等不同数据应用主体和数据应用场景中的重要出入口数据，督促网络产品提供者及安全机构限期修复信息系统风险漏洞。强化平台对重要信息的过滤功能，根据恶意网络资源、恶意程序、安全隐患和安全事件等信息形成漏洞威胁情报，结合威胁情报对漏洞进行多维度的信息整合和属性标定。对威胁类型、利用场景、危害程度进行技术层面评估，判定威胁和漏洞可能导致的实际安全风险。挖掘漏洞信息上下文并确定处理优先级，进而跟踪威胁状态并关联相应安全事件。此外，明确各地区或各级网络安全应急指挥机构角色与职责，组建国家级网络安全信息共享及合作中心，形成网络安全威胁防护及风险应对的集体韧性。

三是深化场景储备，加快凝聚网络安全预警力量。应打造场景敏感度高、识别能力强的预警体系，搭建政府部门、企业和社会组织（行业协会和产业联盟等）的合作空间，发挥高等院校、科研院所在网络安全技术研究领域的优势，识别不同业务场景对安全合规性的不同需求，促进预警机制建设和应用探索的逐步发展。

（三）构筑联动体系，夯实网络安全应急管理成效

一是技术保障层面的联动。通过立体纵深的防御逐一击破安全痼疾，切实提升专业处置能力，促进计算机层面与网络层面的结合以及软硬件的联动。从入网身份、客户端PC和网络通信等多个角度开展网络安全监控、检测、防御和处理，形成多重防线，并对此进行统一规划、建设和管理，通过周密的技术方案和动态防护能力，实现交换机、防火墙和用户安全平台等技术元素之间的联动，以合理的“沟通机制”高效应对网络安全应急事件。

二是组织机制层面的联动。需整合不同类别的安全资源，以多点协同联动机制推动全方位安全联动能力生态的构建，加强各相关部门或主体的系统联动与协同治理，优化产业链上下游网络安全情报及信息共享。在顶层设计方面出台战略的同时，从末端落实举措，加强地区协同整合和联动机制建设。压实政府、企业及社会组织的监管责任、主体责任和社会责任，构建任务清晰、分工明确和环环相扣的责任链条，汇聚纵向层级结构和横向主体部门两个维度的安全能力并体现安全价值。

三是响应处理层面的联动。建设较为完备的系统化应急响应方式，以平台联动实现响应处理联动。建立调度通报、动态管理、跟踪研判和问效改进制度，打通网络安全预警信息和应急响应方案互通渠道，确保各网络安全事件处理主体部门在信息共享、应急联动等方面实现深度对接。搭建联合响应指挥技术支撑平台，在值班值守、协商研讨和指挥决策时，实现对跨类别、跨维度态势信息的重组整合、关联分析和可视化掌控。

来源 | 赛迪研究院网络安全研究所

编辑 | 办公室