劉欣然，李柏松，常安琪，魯輝，田志宏

（1. 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029；2. 安天實驗室，哈爾濱 150000；3. 中國科學(xué)院微電子研究所，北京 100029；4. 中國工程物理研究院計算機應(yīng)用研究所，四川綿陽 621900）

當(dāng)前網(wǎng)絡(luò)安全形勢與應(yīng)急響應(yīng)

劉欣然1，李柏松2，常安琪2，魯輝3，田志宏4

（1. 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029；2. 安天實驗室，哈爾濱 150000；3. 中國科學(xué)院微電子研究所，北京 100029；4. 中國工程物理研究院計算機應(yīng)用研究所，四川綿陽 621900）

隨著互聯(lián)網(wǎng)應(yīng)用的迅速發(fā)展，各種網(wǎng)絡(luò)安全威脅不斷出現(xiàn)。本文介紹了網(wǎng)絡(luò)安全所呈現(xiàn)的特點以及目前所面臨的形勢。攻擊方法的更新、攻擊技術(shù)的提升以及攻擊范圍的擴大給應(yīng)急工作帶來了考驗。應(yīng)急工作的管理現(xiàn)狀存在一定的問題，在核心技術(shù)、安全保障方面都比較落后。借鑒傳統(tǒng)領(lǐng)域的應(yīng)急體系，改善當(dāng)前應(yīng)急技術(shù)措施成為網(wǎng)絡(luò)安全工作的重要部分。針對新時期的網(wǎng)絡(luò)安全應(yīng)急工作環(huán)境，提出了調(diào)動體系力量，多方聯(lián)動的消除方法，從體制和機制等方面來進行保證，以防止網(wǎng)絡(luò)威脅產(chǎn)生的巨大影響。

網(wǎng)絡(luò)安全；威脅；信息安全；應(yīng)急響應(yīng)；應(yīng)急體系

DOI 10.15302/J-SSCAE-2016.06.017

一、前言

隨著信息技術(shù)的不斷發(fā)展進步，網(wǎng)絡(luò)安全面臨的問題增多，企業(yè)對安全的重視程度逐漸增加，應(yīng)急響應(yīng)工作顯得舉足輕重。新時期網(wǎng)絡(luò)安全應(yīng)急的定位已發(fā)生了變化，應(yīng)急的范圍不僅僅包括網(wǎng)絡(luò)，同時也有重要的信息內(nèi)容。隨著威脅的不斷演化，網(wǎng)絡(luò)安全應(yīng)急也面臨著考驗。

從總體上看，網(wǎng)絡(luò)安全事件的處置分為包括國家級政府、國家級非政府和地方級非政府在內(nèi)的三個層面。下層安全應(yīng)急體系例如各家安全廠商的應(yīng)急響應(yīng)中心，互聯(lián)網(wǎng)公司、電商的應(yīng)急響應(yīng)中心紛紛建立。即便如此，新一代網(wǎng)絡(luò)安全威脅的傳播速度很快，攻擊面很廣，其威脅覆蓋面已超乎我們的想象，移動電話、個人電腦、網(wǎng)站、應(yīng)用、社交媒體無一幸免。突發(fā)事件的發(fā)生給應(yīng)急工作帶來巨大的困難與考驗。

進入21世紀(jì)，網(wǎng)絡(luò)安全這一問題變得更加突出。如2000年雅虎網(wǎng)站的大規(guī)模拒絕服務(wù)攻擊，2001年的紅色代碼事件，2001年全球根域名服務(wù)器遭到大規(guī)模拒絕服務(wù)攻擊，2003年的SQL Slammer蠕蟲病毒，2004年的震蕩波 ，2006年的熊貓燒香病毒，2010年的震網(wǎng)事件[1]，2015年利用Cobalt Strike平臺的APT-TOCS[2]事件、Hacking-Team數(shù)據(jù)泄露事件、Biige等商業(yè)手機木馬利用事件，以及2016年日趨活躍的勒索軟件的出現(xiàn)，使信息安全事件種類越來越多，呈現(xiàn)出如下特點。

（一）攻擊組織化、趨利化

網(wǎng)絡(luò)攻擊不僅僅是單個黑客的炫技行為，也體現(xiàn)為許多有組織的以獲取經(jīng)濟利益為目的的商業(yè)行為。其攻擊行為的實施都有清晰分工，攻擊組織化大大增強了攻擊者對各類網(wǎng)站和信息系統(tǒng)的攻擊能力，而目標(biāo)趨利化則使得攻擊所造成的危害進一步加大。

（二）攻擊方法推陳出新

傳統(tǒng)攻擊通常采用rootkit、感染式病毒等方式，而如今網(wǎng)絡(luò)攻擊的新思路、新技術(shù)、新方法不斷出現(xiàn)，如網(wǎng)絡(luò)釣魚、社會工程、網(wǎng)頁掛馬、0day漏洞、重定向等攻擊。不斷出現(xiàn)的種種新的攻擊方法也增加了網(wǎng)絡(luò)與信息安全事件原因分析和技術(shù)處置的難度。

（三）攻擊技術(shù)工具化、平臺化

縱觀全球，傳統(tǒng)意義的高級持續(xù)性威脅（APT）攻擊更多地讓人聯(lián)想到精干的作業(yè)團隊、用于攻擊的基礎(chǔ)設(shè)施、0day漏洞挖掘小組以及惡意代碼的編寫小組等。但APT-TOCS事件攻擊者依托自動化攻擊測試平臺Cobalt Strike實現(xiàn)了對目標(biāo)主機進行遠(yuǎn)程控制的能力，用一種新的方式為一些技術(shù)能力和資源相對有限的國家和組織提供一種新的示范選擇。這種方式降低了攻擊的成本，而這種高度“模式化”的攻擊也會讓攻擊缺少鮮明的基因特點，從而更難追溯，應(yīng)急工作更難有效執(zhí)行。

（四）攻擊目標(biāo)范圍廣泛化

除傳統(tǒng)的網(wǎng)站、信息系統(tǒng)外，域名系統(tǒng)等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、郵件系統(tǒng)、工業(yè)控制系統(tǒng)、個人終端、智能手機、無線網(wǎng)絡(luò)等都已經(jīng)成為網(wǎng)絡(luò)攻擊的目標(biāo)。這兩年，除了熟悉的漏洞Windows、Linux和其他類Unix系統(tǒng)、iOS、Android等操作系統(tǒng)及其應(yīng)用軟件漏洞外，安全威脅在小到智能汽車、智能家居、智能穿戴，大到智慧城市都無所不在。

二、應(yīng)急響應(yīng)的管理現(xiàn)狀與存在問題

多年來，信息化發(fā)展已經(jīng)深入到政府管理、企業(yè)運作、群眾生活等方面，成為支撐社會正常運轉(zhuǎn)的重要基礎(chǔ)。當(dāng)作為基礎(chǔ)設(shè)施的信息系統(tǒng)出現(xiàn)故障時，將會直接影響正常的社會管理和服務(wù)。

（一）復(fù)雜的國內(nèi)外環(huán)境

當(dāng)今世界正發(fā)生著復(fù)雜深刻的變化。國際金融危機深層次影響繼續(xù)顯現(xiàn)，世界經(jīng)濟緩慢復(fù)蘇、發(fā)展分化，國際投資貿(mào)易格局和多邊投資貿(mào)易規(guī)則醞釀深刻調(diào)整，各國面臨的發(fā)展問題依然嚴(yán)峻。我國“一帶一路”頂層戰(zhàn)略充分依靠與有關(guān)國家既有的雙多邊機制[3]，借助既有的、行之有效的區(qū)域合作平臺，積極發(fā)展與沿線國家的經(jīng)濟合作伙伴關(guān)系。

國際經(jīng)濟貿(mào)易戰(zhàn)略交叉，互聯(lián)網(wǎng)應(yīng)用水平增高，使各國在合作的同時也體現(xiàn)出激烈的國際競爭與網(wǎng)絡(luò)力量的博弈。

（二）核心技術(shù)和設(shè)備的缺失

國內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)包括重要部門的信息系統(tǒng)使用國外技術(shù)和產(chǎn)品的比率居高不下，技術(shù)水平與基礎(chǔ)設(shè)施供應(yīng)不能很好匹配，與大國還有差距。如美國具備強大的技術(shù)力量，包括監(jiān)控硬件生產(chǎn)、制造，操作系統(tǒng)、芯片在世界范圍內(nèi)的占有率，其所具備的強大的信息獲取能力是其他國家無法比擬的。

（三）信息安全保障工作比較落后

我國信息安全整體水平還相對比較落后，各級地方政府雖然已經(jīng)開始認(rèn)識到信息安全的重要性，但在具體工作的實施過程中仍存在問題，如應(yīng)急響應(yīng)工作的開展相對滯后，很多單位未能較好地落實國家要求，人才與投資顯現(xiàn)出不足等問題。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）自主監(jiān)測的數(shù)據(jù)顯示，2015年已發(fā)現(xiàn)10.5萬余個木馬和僵尸網(wǎng)絡(luò)控制端，控制了我國境內(nèi)1 978萬余臺主機，抽樣監(jiān)測的惡意程序轉(zhuǎn)發(fā)的用戶郵件數(shù)量超過66萬封[2]，個人信息泄露事件頻發(fā)，網(wǎng)絡(luò)設(shè)備安全漏洞風(fēng)險較大，并有增加趨勢。

2014年，我國成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，統(tǒng)籌協(xié)調(diào)涉及各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題。國務(wù)院重組了國家互聯(lián)網(wǎng)信息辦公室，授權(quán)其負(fù)責(zé)全國互聯(lián)網(wǎng)信息內(nèi)容管理工作，并負(fù)責(zé)監(jiān)督管理執(zhí)法。2016年4月19日，中共中央總書記習(xí)近平召開網(wǎng)絡(luò)安全和信息化座談會探討網(wǎng)絡(luò)安全措施與辦法[4]，強調(diào)在“十三五”開局之年網(wǎng)絡(luò)安全和信息化工作是“十三五”時期的重頭戲；在考察東北老工業(yè)基地期間，他來到了哈爾濱本地網(wǎng)絡(luò)安全企業(yè)安天科技股份有限公司，突顯了國家對于網(wǎng)絡(luò)安全方面的重視。

縱觀網(wǎng)絡(luò)安全形勢，去年由網(wǎng)絡(luò)攻擊引發(fā)的數(shù)據(jù)泄露依舊猖獗。信息泄露的背后已經(jīng)形成一條完整的利益鏈，這些用戶信息或被用于團伙詐騙、釣魚，或被用于精準(zhǔn)營銷。因惡意代碼導(dǎo)致的信息泄露事件中，極為值得反思的是XcodeGhost事件[5]，截至2015年9月20日，各方累計發(fā)現(xiàn)已確認(rèn)共692種APP曾受到污染，受影響的包括微信、滴滴、網(wǎng)易云音樂等流行應(yīng)用[6]。這次事件采用了非官方供應(yīng)鏈污染的方式，反映了我國互聯(lián)網(wǎng)廠商研發(fā)存在缺陷和安全意識薄弱的現(xiàn)狀。

從我國現(xiàn)階段來看，信息安全突發(fā)事件應(yīng)急管理工作取得了一定的進展，但從總體來看，應(yīng)急預(yù)案不夠完善，在實際應(yīng)用上，缺乏實用性和可操作性。除了中國外，世界上網(wǎng)絡(luò)大國或網(wǎng)絡(luò)發(fā)達(dá)國家都制定了網(wǎng)絡(luò)安全國家戰(zhàn)略[7]。各國網(wǎng)絡(luò)安全戰(zhàn)略之所以如此密集地出臺，主要是因為隨著互聯(lián)網(wǎng)的迅速發(fā)展和普及，各國政府、關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)和公民均嚴(yán)重依賴于網(wǎng)絡(luò)的可靠功能；網(wǎng)絡(luò)安全出現(xiàn)問題，將嚴(yán)重危及政府和企業(yè)的運轉(zhuǎn)，極大影響公眾的社會生活，可以說網(wǎng)絡(luò)安全是一國繁榮發(fā)展的“生命線”。因此，合理建立信息安全突發(fā)事件的應(yīng)急響應(yīng)體系，實現(xiàn)有限投入下最大程度地降低信息安全突發(fā)事件的負(fù)面影響，就成為一個迫切需要解決的問題。

我國在互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急保障體系方面，已經(jīng)初步形成了在工業(yè)和信息化部互聯(lián)網(wǎng)應(yīng)急工作辦公室領(lǐng)導(dǎo)下，以CNCERT/CC為核心、以各種互聯(lián)網(wǎng)骨干網(wǎng)運營企業(yè)為依托、以應(yīng)急服務(wù)支撐單位為后援的國家級網(wǎng)絡(luò)安全應(yīng)急處理體系[8]。

隨著我國經(jīng)濟的發(fā)展，在信息安全的法律法規(guī)方面，我國已經(jīng)進行了初步嘗試，但相對發(fā)達(dá)國家來講距離還不小?；ヂ?lián)網(wǎng)的復(fù)雜性和跨地域性決定了網(wǎng)絡(luò)安全事件的應(yīng)急處置應(yīng)該是多個部門和單位協(xié)同的過程，這便要求各主管部門和應(yīng)急機構(gòu)要不斷整合各自的優(yōu)勢，最終形成合力，并根據(jù)各部門在應(yīng)急響應(yīng)中所發(fā)揮的作用，確定一個應(yīng)急響應(yīng)牽頭部門，負(fù)責(zé)統(tǒng)一指導(dǎo)整個應(yīng)急響應(yīng)工作，以改變目前各自為政的局面。不規(guī)范的網(wǎng)絡(luò)行為，是造成網(wǎng)絡(luò)風(fēng)險最重要的因素。然而，僅僅依靠打擊網(wǎng)上犯罪和違法行為來解決問題也是遠(yuǎn)遠(yuǎn)不夠的，要充分做到網(wǎng)絡(luò)安全監(jiān)管的關(guān)口前移，發(fā)揮行政管理措施的職能。目前整個網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作仍存在諸多問題，如應(yīng)急響應(yīng)的時間滯后性問題，應(yīng)急響應(yīng)工作有效落實的問題，應(yīng)急計劃操作性不強、部門聯(lián)動性差、應(yīng)急培訓(xùn)演練次數(shù)不足、應(yīng)急技術(shù)人員的專業(yè)性不足、過分依賴國家應(yīng)急平臺等問題[9,10]。

三、傳統(tǒng)領(lǐng)域的應(yīng)急內(nèi)容參考

傳統(tǒng)領(lǐng)域的應(yīng)急體系包括企業(yè)安全生產(chǎn)事故應(yīng)急體系、公共災(zāi)害安全事故應(yīng)急體系、公共衛(wèi)生領(lǐng)域傳統(tǒng)安全事件應(yīng)急體系等，各領(lǐng)域均已建立起相應(yīng)的法律法規(guī)和相關(guān)工作技術(shù)，并取得了一定的技術(shù)創(chuàng)新。傳統(tǒng)領(lǐng)域的安全是真實環(huán)境下的國家公共基礎(chǔ)設(shè)施應(yīng)急體系建設(shè)的安全，而網(wǎng)絡(luò)安全方面的防范重點表現(xiàn)為計算機病毒與黑客犯罪。網(wǎng)絡(luò)安全除了保護設(shè)備與系統(tǒng)安全外，要保護數(shù)據(jù)安全。網(wǎng)絡(luò)安全與其他領(lǐng)域安全均要做到在應(yīng)急事件來臨時快速、高效、全面的響應(yīng)。從針對傳統(tǒng)領(lǐng)域應(yīng)急體系的建設(shè)中，總結(jié)出網(wǎng)絡(luò)安全應(yīng)急在組織機制、指揮體系以及救援隊伍方面需要借鑒之處，為從高位（國家機構(gòu)）、中位 [互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）、內(nèi)容分發(fā)網(wǎng)絡(luò)機構(gòu)（CDN）、電商、行業(yè)主管]到低位（網(wǎng)民）三方面建立網(wǎng)絡(luò)安全應(yīng)急體系提供指導(dǎo)。網(wǎng)絡(luò)安全應(yīng)急體系建設(shè)過程中需要考慮以下幾個方面——組織體系：需要建立國家層面的安全應(yīng)急指揮部門和應(yīng)急管理部門，在各省市、自治區(qū)及地方區(qū)域建立相應(yīng)的應(yīng)急機構(gòu)；指揮體系：需要建立各級應(yīng)急指揮系統(tǒng)、通信指揮系統(tǒng)；建立監(jiān)測和預(yù)防預(yù)警系統(tǒng)；建立信息共享機制、事件上報機制、通報機制；建立專業(yè)的應(yīng)急隊伍：國家隊、省級隊和各單位建立應(yīng)急隊伍，并加強演練和培訓(xùn)。四大應(yīng)急體系差異分析情況見表1。

四、采取的措施

綜上所述，當(dāng)今網(wǎng)絡(luò)安全形勢嚴(yán)峻，網(wǎng)絡(luò)威脅發(fā)展迅速，應(yīng)急響應(yīng)工作面臨重大考驗?；ヂ?lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急保障體系在穩(wěn)步建設(shè)的同時仍存在許多問題，通過應(yīng)急響應(yīng)工作的加強與改善來解決網(wǎng)絡(luò)安全問題成為行之有效的服務(wù)手段之一，并具有一定的迫切性。

針對新時期的網(wǎng)絡(luò)安全應(yīng)急工作，因其定位已發(fā)生變化，應(yīng)急的對象也在不斷擴充，需要調(diào)動體系的力量，多方聯(lián)動及時消除隱患，從體制和機制等方面來進行保證，防止產(chǎn)生巨大的惡劣影響。具體包括以下幾方面內(nèi)容。

（一）堅持戰(zhàn)時協(xié)助攻防、急時快速掌控、平時側(cè)

重服務(wù)的應(yīng)急方針

戰(zhàn)時協(xié)助攻防：網(wǎng)絡(luò)應(yīng)急工作應(yīng)該以保障軍事網(wǎng)絡(luò)安全運行為核心，協(xié)助我國軍事網(wǎng)絡(luò)部隊進行網(wǎng)絡(luò)戰(zhàn)的方案制定等，必要時可以切斷公共互聯(lián)網(wǎng)網(wǎng)絡(luò)。急時快速掌控：在發(fā)生大規(guī)模網(wǎng)絡(luò)攻擊事件時，能夠在最短時間內(nèi)控制事件的擴散，掌握事件的發(fā)展動態(tài)，準(zhǔn)確判斷事件的影響范圍，制定應(yīng)急響應(yīng)措施，將損失降低到最小。平時側(cè)重服務(wù)：應(yīng)急響應(yīng)的平時工作是保障互聯(lián)網(wǎng)的安全運行，及時應(yīng)對一般性網(wǎng)絡(luò)安全事件。

（二）在應(yīng)急處理中開展體系化對抗

從法制、機制、人員、資金、技術(shù)等多個層面建立立體對抗體系，用國家機器去完成網(wǎng)絡(luò)應(yīng)急。應(yīng)急的目標(biāo)不局限于把境外有害言論的源頭挖出來，而是震懾一大批有企圖的人，從而達(dá)到降低宏觀指數(shù)的目的。

（三）明確危害網(wǎng)絡(luò)信息安全的責(zé)任和義務(wù)

現(xiàn)實空間的每個主體都具有各自的權(quán)利與義務(wù)，同樣，網(wǎng)絡(luò)空間也如此，每個主體都為維護所處空間的正常運行而努力。每個網(wǎng)絡(luò)主體有權(quán)要求國家提供一個正常、安全的網(wǎng)域空間，同時也有義務(wù)來維護其安全。

表1 四大應(yīng)急體系差異分析

在網(wǎng)絡(luò)信息安全立法中，必須對危害國家和公共網(wǎng)絡(luò)安全的行為明確法律責(zé)任，為追究違法者創(chuàng)造法律條件。一是對于違法行為，應(yīng)當(dāng)相應(yīng)地規(guī)定其民事責(zé)任、行政責(zé)任和刑事責(zé)任，明確各自的責(zé)任界限；二是要解決好民事責(zé)任、行政責(zé)任和刑事責(zé)任之間的銜接問題，對于尚不構(gòu)成犯罪的違法行為，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任或行政責(zé)任；三是建立移送制度，對于危害性較大且已經(jīng)構(gòu)成犯罪的行為，應(yīng)依法移送司法機關(guān)追究刑事責(zé)任，避免“以罰代刑”；四是所有網(wǎng)絡(luò)運營商都有維護用戶信息安全的義務(wù)，這些義務(wù)主體在未履行保護網(wǎng)絡(luò)信息安全義務(wù)時，應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任。

（四）完備網(wǎng)絡(luò)安全組織體制，強化應(yīng)急救援體系

建議成立專門機構(gòu)，作為中央政府應(yīng)對特別重大突發(fā)公共事件的應(yīng)急指揮機構(gòu)，統(tǒng)一指導(dǎo)、協(xié)調(diào)和督促網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)急、公共基礎(chǔ)設(shè)施信息系統(tǒng)應(yīng)急、網(wǎng)絡(luò)內(nèi)容管理應(yīng)急等網(wǎng)絡(luò)安全應(yīng)急工作，建立不同網(wǎng)絡(luò)、系統(tǒng)、部門之間應(yīng)急處理的聯(lián)動機制，對分散在各部門的網(wǎng)絡(luò)安全應(yīng)急管理職能適當(dāng)加以整合。

（五）機制上落實應(yīng)急處理主體的行政執(zhí)行能力和執(zhí)法權(quán)

第一，強制要求網(wǎng)站擁有者配備安全人員、安全設(shè)備。安全人員如首席安全官（CFO）等需具備相關(guān)資歷，在相關(guān)安全應(yīng)急培訓(xùn)組織進行過專業(yè)培訓(xùn)，并可提供其能力的官方證明材料。

第二，將“gov”和“edu”等國字頭網(wǎng)站做統(tǒng)一托管，將流量數(shù)據(jù)大集中，便于進行安全檢測。

（六）將事后應(yīng)急向事前和事中應(yīng)急轉(zhuǎn)變

第一，平時發(fā)出探針，發(fā)現(xiàn)異常就針對關(guān)鍵目標(biāo)監(jiān)控，對來源IP分析，通過運營商查詢通聯(lián)日志，有針對性地搭建蜜罐，當(dāng)攻擊者攻擊蜜罐時，不僅可以記錄下詳細(xì)的攻擊過程，還有希望伺機利用漏洞來反制。

第二，不僅是網(wǎng)絡(luò)設(shè)備，QQ、淘寶、烏云等常用應(yīng)用要進行監(jiān)測，收集數(shù)據(jù)，盡可能地發(fā)現(xiàn)非正?，F(xiàn)象，從中找出攻擊者的某些可識別信息、資金鏈等，并及時將信息共享。

（七）定期開展國家級網(wǎng)絡(luò)安全應(yīng)急演練

互聯(lián)網(wǎng)是一個高度軍民融合的環(huán)境，一方面要堅持軍民共建共享，另一方面要統(tǒng)籌平戰(zhàn)需求。為了實現(xiàn)“戰(zhàn)時協(xié)助攻防，平時側(cè)重服務(wù)，急時快速掌控”的目標(biāo)，需要加強應(yīng)急演練，保證網(wǎng)絡(luò)空間安全體系處于應(yīng)急態(tài)時可以高效運轉(zhuǎn)，形成科學(xué)有效、反應(yīng)迅速的應(yīng)急工作機制，保障重要信息系統(tǒng)的穩(wěn)定運行。需要成立國家級和省市級的網(wǎng)絡(luò)安全應(yīng)急演練工作組，制定網(wǎng)絡(luò)安全的規(guī)章制度；組織安全排查，及時消除網(wǎng)絡(luò)安全隱患；組織制定并實施各級網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案，能夠及時、準(zhǔn)確地報告網(wǎng)絡(luò)安全事故。

五、結(jié)語

本文詳細(xì)介紹了在互聯(lián)網(wǎng)大背景下網(wǎng)絡(luò)安全形勢的嚴(yán)峻性與應(yīng)急響應(yīng)工作的重要性，分析了威脅的主要來源與其攻擊方式所呈現(xiàn)的特點，總結(jié)了當(dāng)前網(wǎng)絡(luò)應(yīng)急工作的管理現(xiàn)狀與存在的問題，并列舉了所要采取的措施。與以往的網(wǎng)絡(luò)威脅相比，當(dāng)前網(wǎng)絡(luò)攻擊方法正不斷推陳出新，應(yīng)急響應(yīng)工作更應(yīng)隨時做出調(diào)整與完善，以應(yīng)對各種威脅。

[1]國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 西門子宣布修復(fù)被Stuxnet蠕蟲利用的漏洞[EB/OL]. (2012-07-25) [2016-10-08]. http://www.cert.org.cn/publish/main/98/2012/2012072515280190 4458081/20120725152801904458081_.html. National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC). Siemens announced to repair the vulnerability utilized by Stuxnet [EB/OL]. (2012-07-25) [2016-10-08]. http://www.cert.org.cn/publish/main/9 8/2012/20120725152801904458081/20120725152801904458081 _.html.

[2]國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2015年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[R]. 北京:郵電出版社, 2016. National Computer Network Emergency Response Technical Team/Coordination Center of China. China Internet network security report of 2015 [R]. Beijing: Posts & Telecom Press, 2016.

[3]儲殷. 中國“一帶一路”戰(zhàn)略定位的三個問題[J]. 國際經(jīng)濟評論,2015(2):12-13. Chu Y. Three issues on the strategic orientation of China “One Belt One Road”[J]. International Economic Review, 2015(2):12-13.

[4]新華通訊社. 習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會上的講話[J]. 中國信息安全,2016(5):2-9. Xinhua News Agency. Speech by Xi Jinping at the symposium on network security and information work [J]. China Information Security, 2016(5):2-9.

[5]國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 關(guān)于使用非蘋果官方XCODE存在植入惡意代碼情況的預(yù)警通報[EB/OL]. [EB/OL]. (2015-09-30) [2016-10-08]. http://www.cert.org.cn/publish/main/12/2 015/20150914152821158428128/20150914152821158428128_.html. National Computer Network Emergency Response Technical Team/Coordination Center of China. Alert about unofficial apple XCODE contain malicious code [EB/OL]. (2015-09-30) [2016-10-08]. http://www.cert.org.cn/publish/main/12/2015/2015091415282 1158428128/20150914152821158428128_.html.

[6]Antiy CERT. 非官方版本惡意代碼污染事件(XcodeGhost)的分析與綜述[EB/OL]. (2015-09-30) [2016-10-08]. http://www.antiy. com/response/xcodeghost.html. Computer Emergency Response Team of Antiy. Analysis and review of Xcode unofficial supply chain pollution incident (XcodeGhost) [EB/OL]. (2015-09-30) [2016-10-08]. http://www.antiy. com/response/xcodeghost.html.

[7]袁春陽,杜躍進,周威,等. 美國政府國家網(wǎng)絡(luò)應(yīng)急響應(yīng)計劃及其借鑒意義[J]. 保密科學(xué)技術(shù),2012(5):35-37. Yuan C Y, Du Y J, Zhou W, et al. US national network emergency response plan and its reference significance [J]. Secrecy Science and Technology, 2012(5): 35-37.

[8]劉玉龍. 我國網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)體系建設(shè)[J]. 能源技術(shù)與管理,2012,3(3):164-165. Liu Y L. Network and information security emergency response system construction of China [J]. Energy Technology and Management, 2012,3(3):164-165.

[9]網(wǎng)絡(luò)安全課題組. 中國網(wǎng)絡(luò)安全應(yīng)急體系的問題與對策[J]. 電子政務(wù),2014,139(7):20-25. Research Group of Network Security. Problems and solutions of network and information security emergency response system of China [J]. E-Government, 2014,139(7):20-25.

[10]解旭紅. 基于網(wǎng)絡(luò)空間的應(yīng)急動員信息管理能力建設(shè)管見[J].國防科技,2015,36(1):55-57. Xie X H. Construction of emergency mobilization information management capabilities based on cyberspace [J]. National Defense Science & Technology, 2015,36(1):55-57.

The Current Network Security Situation and Emergency Network Response

Liu Xinran1, Li Baisong2, Chang Anqi2, Lu Hui3, Tian Zhihong4
(1. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China; 2. Antiy Labs, Harbin 150000, China; 3. Institute of Microelectronics, Chinese Academy of Sciences, Beijing 100029, China; 4. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, Sichuan, China)

Considering the emergence of recent network security threats, this article presents network security features and the current situation. Updated attack methods, enhanced attack technology, and expanded attack scope have changed emergency work. Some problems exist in emergency management of the status quo; the core technology and security assurance are relatively backward. Learning from the emergency response system in traditional areas in order to improve current emergency technical measures becomes an important part of network security. In this paper, the author proposes a multi-linkage elimination method that can mobilize system strength and protect against network threats based on the system and the mechanism.

network security; threat; information security; emergency response; emergency system

TP393

A

2016-10-08；

2016-10-20

劉欣然，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，研究員，博士生導(dǎo)師，研究方向為網(wǎng)絡(luò)與信息安全，分布式計算等；E-mail: lxr@cert.org.cn

中國工程院重大咨詢項目“網(wǎng)絡(luò)空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn