第3章 网络安全应急响应法律法规

“立善法于天下，则天下治；立善法于一国，则一国治”。健全法律制度一方面可以推动法治社会建设，另一方面也为社会治理提供制度化保障。虽然网络空间是现实社会的延伸，但它也要受到法律法规的约束，所以完善网络安全领域的法律法规，形成规范化的网络治理环境，成为当前社会工作的重中之重。目前网络安全应急响应相关法律法规、政策正逐步趋于完善，特别是《中华人民共和国网络安全法》和《信息安全技术 信息安全应急响应计划规范》（GB/T 24363—2009）的出台弥补了网络安全应急响应在法律和规范上的空白。

3.1 我国网络安全应急响应相关法律法规、政策

当前，世界各国纷纷将网络空间安全纳入国家安全战略，制定和完善网络空间安全战略规划和法律法规。2007年至2018年，我国相继出台了一系列法律法规、政策，确定了我国网络空间安全的基本方略和行动指南，也将应急响应能力建设提升到了新的高度，各项法律法规从不同角度对应急响应标准体系进行了丰富和完善，具体情况如下：

（1）《中华人民共和国突发事件应对法》，针对突发事件的预防与应急准备、监测与预警、应急处置与救援、事后恢复与重建进行了立法。

（2）《中华人民共和国网络安全法》第五章专门对监测预警与应急处置提出了明确要求。

（3）《国家网络空间安全战略》对完善网络安全监测预警和网络安全重大事件应急处置机制进行了部署。

（4）《网络空间国际合作战略》提出要推动加强各国在预警防范、应急响应、技术创新、标准规范、信息共享等方面合作。

（5）《国家网络安全事件应急预案》为国家层面组织应对涉及多部门、跨地区、跨行业的特别重大网络安全事件的应急处置提供政策性、指导性和可操作性方案。随后各行业、各地区也纷纷制定了行业/地区网络安全事件应急预案。

（6）《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施范围、运营者安全保护义务、产品和服务安全、监测预警、应急处置和检测评估等一系列事项进行了详细的规定，构建了关键信息基础设施安全保护制度的具体框架。

（7）《公共互联网网络安全威胁监测与处置办法》指导公共互联网网络安全威胁监测与处置工作的开展。

（8）《公共互联网网络安全突发事件应急预案》进一步强化在电信主管部门的统一领导、指挥和协调下，明确面向社会提供服务的基础电信企业、域名注册管理和服务机构、互联网企业（含工业互联网平台企业）、网络安全专业机构等相关单位的职责分工。

（9）《工业控制系统信息安全事件应急管理工作指南》对工业控制安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了一系列管理要求，明确了责任分工、工作流程和保障措施。

（10）《网络安全等级保护条例（征求意见稿）》第十三条监测预警和信息通报、第三十二条应急处置要求都对网络运营者在网络安全应急方面提出了要求。

3.2 《网络安全法》的指导意义

2017年6月1日起实施的《中华人民共和国网络安全法》（简称《网络安全法》）是我国第一部全面规范网络空间安全管理方面的问题的基础性法律，是全面规范网络安全工作的基本法，是将成熟的政策规定和措施上升为法律，是依法治网化解网络风险的具体体现。《中华人民共和国网络安全法》第五章重点将监测预警与应急处置工作制度化、法制化，为网络安全监测预警、信息通报、网络安全风险评估、应急工作机制、应急预案制定及演练等工作提供了法律依据，为完善网络安全防护体系，规范网络安全应急响应工作提供了法律保障。

3.2.1 建立网络安全监测预警和信息通报制度

《中华人民共和国网络安全法》第五十一条要求国家建立网络安全监测预警和信息通报制度。

当今社会关键基础设施的信息化程度越来越高，随着技术的发展和对信息安全认识的不断加深，如何发展和完善基础设施的信息网络安全监测预警和信息通报制度成为世界各国普遍重视的焦点问题。

1.网络安全监测预警制度

随着Internet的迅速发展以及人类对计算机的依赖程度不断提高，网络技术向各领域的广泛渗透使计算机病毒网络化扩散速度急骤加快，其破坏性越来越大，提高计算机病毒和网络攻击的监测与预警能力，随时掌握网络安全的实时情况已经成为当前亟待解决的重大课题，网络安全监测预警技术、安全监测预警平台的研究成了首要任务。

为此，《中华人民共和国网络安全法》在第五十一条、五十二条对网络安全监测预警制度的建立健全、以及统一发布网络安全监测预警信息的责任部门给出了明确的规定。国家网信部门统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。负责关键信息基础设施安全保护工作的部门，建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

2.信息通报制度

信息安全通报工作是国家网络安全工作的重要组成部分，加强信息通报机制和平台手段建设，整合资源和力量，及时收集、分析和通报网络安全信息，能有效防范、处置网络安全风险和威胁，维护网络与信息安全。

2017年，全国各省市开始陆续成立了网络与信息安全信息通报中心。信息通报中心负责网络安全事件的接收和通报工作。网络安全事件处置结束后，信息通报中心应督促主管部门和相关单位及时报送事件的详细情况、处置措施以及处置结果等，并及时通过网络安全态势感知与通报预警平台，向上级信息通报中心上报处置情况。

信息通报机制是协同有关部门、整合各方资源、实现网络安全信息交流共享的重要平台，是及时发现网络安全风险和隐患，有效应对网络安全威胁，妥善处置网络安全事件的重要支撑，因此必须建立并畅通信息通报机制，及时将搜索、汇总的网络安全信息和情况通报给相关单位。定期向上级信息通报中心报送当地网络与信息系统安全状况。有关重大网络安全事件信息、重大网络安全威胁信息、重要专题研究报告等应随时报告。通过建立信息通报共享平台和网站的方式，为各成员单位共享网络安全信息提供支撑。

信息通报主要包括以下内容：

（1）境内外敌对势力、黑客组织、不法分子等对我国实施网络攻击、破坏、渗透、窃密、入侵控制等情况，以及使用的攻击手段、策略和技术。

（2）我国网络与信息系统存在的安全漏洞、隐患风险等情况，被入侵、攻击、控制、信息泄露的行业单位以及信息系统情况。

（3）恶意程序传播、钓鱼网站等情况。

（4）因网络与信息系统软硬件故障，导致其瘫痪、应用服务中断或数据丢失等安全事故情况。

（5）利用信息网络从事违法犯罪活动情况。

（6）地下网络“黑产”活动情况。

（7）网络违法犯罪活动所使用的技术手段和方法情况。

（8）网络安全保障工作情况。

（9）国内外网络与信息安全动态情况。

（10）其他重要的网络与信息安全情况信息。

3.2.2 建立网络安全风险评估和应急工作机制

《中华人民共和国网络安全法》第五十三条要求国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制。《中华人民共和国网络安全法》之所以专门提出网络安全风险评估和应急工作机制，原因如下：

安全风险评估是参照风险评估标准和管理规范，对各种系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。风险评估不是某个系统或网络、事件特有的，风险评估随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以接受的范围内。分析网络系统的安全风险，综合平衡风险和代价的过程就是风险评估，任何网络的安全性都可以通过风险的大小来衡量。明确网络系统的安全现状，确定网络系统的主要安全风险，是网络安全体系与管理体系建设的基础。

应急工作机制是指针对特殊事件、突发事件的紧急处理机制，事先做好防备及应对策略，避免事件进一步扩大或事态加重，使损失降到最低。应急工作机制的前提是安全风险评估，分析事件的性质、类型和影响，从而“防患于未然”。启动应急工作机制的前提是，首先分析判断事件的性质、类型及影响。应急工作机制的主要内容：组成应急小组，制定工作计划；确保联络方案，保障信息畅通；开设热线电话，收集各方资讯；协调有关单位共同开展工作。应急工作机制的启动，并非一种单纯的技术操作，它是面对突发事件反应能力增强的一种表现，它更代表处理突发事件的观念转变，危机意识在不断增强。统一指挥是应急机制的基础，也是整个应急体系的基础。

3.2.3 制定网络安全事件应急预案并定期演练

《中华人民共和国网络安全法》第五十三条要求，制定网络安全事件应急预案，并定期组织演练。网络安全是动态的，而不是静态的，是相对的，而不是绝对的，维护网络安全，必须“防患于未然”。网络安全事件与传统公共安全事件有很大不同，突出体现在以下四个方面：

（1）扩散速度快，影响范围大。信息网络的互联特性决定了很多网络安全事件不再限于局部，而是通过网络迅速扩散的。加之，由于经济社会发展已高度依赖关键信息基础设施，网络安全事件的影响往往十分严重。

（2）级联效应明显。国民经济各行各业之间有很强的相互依赖性，尤以依赖电力、通信为甚。这导致网络安全事件的后果很容易“雪崩”式放大，必须跨部门、跨行业协同处置。

（3）隐蔽性强。应对国家级网络攻击和一般黑客攻击，所需调动的应急资源和处置过程迥然不同。但在事件初始阶段，可能很难分辨事件的性质，这对态势感知、事件分析和情报支援提出了很高的要求。

（4）战时与平时没有清晰的界限。极端情况下，一些事件可能是他国网络战部队发起的攻击。但这类攻击多以电网、通信网等民用设施为目标，网络安全应急预案必须考虑到这类情况。

由以上特点所决定，国家必须建立统一的网络安全应急指挥体系，着力加强统筹协调，着力提升信息共享和情报分析能力。纵观全球，制定网络安全应急预案都是各国维护网络安全的“规定动作”。近年来，随着重大网络安全事件的增多，各国都在加强这方面的工作，纷纷修订已发布的预案。这些国家的预案普遍关注跨部门协调，甚至是国际协调问题，同时突出各网络安全职能部门、地方、行业的责任和义务，加强情报、执法等应急支撑技术队伍和机构建设。我国的《国家网络安全事件应急预案》在制定时充分借鉴了国外的有关经验，2017年6月，中央网络安全和信息化委员会办公室公布了《国家网络安全事件应急预案》，制定《国家网络安全事件应急预案》是网络安全的一项基础性工作，是落实国家《中华人民共和国突发事件应对法》的需要，更是实施《中华人民共和国网络安全法》、加强国家网络安全保障体系建设的本质要求。

应急演练一是检验应急预案的有效性、应急准备的完善性、应急响应能力的适应性；二是检验应急人员的协同性和实战水平；三是提高人们避免事故、防止事故、抵抗事故的能力和对事故的警惕性；四是取得改正应急预案的经验而进行的一种模拟应急响应的事件活动。

3.3 《信息安全技术 信息安全应急响应计划规范》（GB/T 24363—2009）

应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。而安全事件则是指影响一个系统正常工作的情况。应急响应计划是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程。

信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。虽然很多信息安全事件的发生可以通过技术的、管理的、操作的方法予以消减，但没有任何一种信息安全策略或防护措施能够对信息系统提供绝对的保护，即便采取了措施，仍可能存在残留的弱点，使得信息安全防护可能被攻破，从而导致业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件发生，并对组织和业务的运行产生直接或间接的负面影响，因此，为了减小信息安全事件对组织和业务的影响，应对应急响应工作进行总结，并进行周密的策划，形成一套思路缜密的规范。

《信息安全技术 信息安全应急响应计划规范》（GB/T 24363—2009）（以下简称《规范》）确定了应急响应计划文档的编制依据，以协助相关人员制定和维护有效的信息安全计划。使得信息安全事件能得到及时有效的处理，并能及时总结应急响应过程中的经验教训，改进信息安全事件的预防措施，提高应急响应处理能力，将信息安全事件对系统造成的损失降低到最小。《规范》将为国家信息安全保障提供强有力的技术支撑。

信息安全应急响应计划的制定是一个周而复始、持续改进的过程，包含以下四个阶段：

（1）应急响应需求分析和应急响应策略的确定。

（2）编制应急响应计划文档。

（3）应急响应计划的测试、培训、演练。

（4）应急响应计划的管理和维护。

3.3.1 应急响应需求分析和应急响应策略的确定

《规范》第五部分“应急响应计划的编制准备”规定业务影响分析是在风险评估的基础上，标识信息系统的资产价值，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性和各种信息安全事件发生时对业务功能可能产生的影响，进而确定应急响应的恢复目标。分析业务功能和相关资源配置，确定信息系统相关资源，确定信息安全事件的影响，确定应急响应的恢复目标。

应急响应策略提供了在业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件发生后，快速有效地恢复信息系统运行的方法，这些策略应涉及在业务影响分析中确定的应急响应的恢复目标。

3.3.2 编制应急响应计划文档

《规范》第六部分详细阐述了编制应急响应计划文档的规范，编制应急响应计划文档是应急响应规划中的关键一步，应急响应计划应描述支持应急操作的技术能力，并适应机构需求。应急响应计划需要在详细程度和灵活程度之间取得平衡，通常是计划越详细，其方法就越缺乏弹性和通用性。本标准说明了编制应急响应计划的要点。计划编制者应根据实际情况对其内容进行适当的调整、充实和本地化，以更好地满足特殊系统、操作和机构需求。应急响应计划文档包括总则、角色及职责、防护和预警机制、应急响应流程、应急响应保障措施和附件六个部分。

3.3.3 应急响应计划的测试、培训、演练

《规范》第七部分指出为了检验应急响应计划的有效性，同时使相关人员了解信息安全应急响应计划的目标和流程，熟悉应急响应的操作规程，组织应按以下要求组织应急响应计划的测试、培训和演练。

（1）预先制定测试、培训和演练的计划，在计划中说明测试和演练的场景。

（2）测试、培训和演练的整个过程应有详细的记录，并形成报告。

（3）测试和演练不能打断信息系统的正常业务运行。

（4）每年至少完成一次有最终用户参与的完整测试和演练。

3.3.4 应急响应计划的管理和维护

《规范》第七部分规定经过审核和批准的应急响应计划文档的保存与分发应按照以下程序进行：

（1）由专人负责保存与分发。

（2）具有多份拷贝，并在不同的地点保存。

（3）分发给参与应急响应工作的所有人员。

（4）在每次修订后所有拷贝统一更新，并保留一套，以备查阅。

（5）旧版本应按有关规定销毁。

为了保证应急响应计划的有效性，应从以下三个方面对应急响应计划文档进行严格的维护：

（1）业务流程的变化、信息系统的变更、人员的变更，都应在应急响应文档中及时进行反应。

（2）应急响应计划在测试、演练和信息安全事件发生后实际执行时，其过程应有详细的记录，并应对测试、演练和执行效果进行评估，同时对应急响应计划文档进行相应的修订。

（3）应急响应计划文档应定期评审和修订，至少每年一次。

3.4 信息安全事件分类分级

目前，随着国内企业或组织对信息安全保障需求的频次日趋增多，信息安全保障涉及的场景也日趋复杂和多样化。例如，保障场景可包括重大活动、学术会议、实战对抗演习等。在不同的保障场景下，信息安全事件的等级和需求是不一样的。因此，在这个背景下，信息安全事件的分类分级规范应运而生。本节将对分类分级规范的重要意义及制定分类分级规范的原则进行阐述。

3.4.1 分类分级规范的重要意义

合理和规范的信息安全事件分类分级，能够降低安全事件处置响应时间、推进自动化处置系统建设、规范应急管理体制。因此，一个合理规范的分类分级指南，对于实现信息安全事件高效处置和管理而言具有重要的意义。

1.降低处置响应时间

信息安全事件分类分级，能够减少处置人员的应急响应时间。信息安全事件分类分级简化了人员之间的信息交流、共享和通报，加速了应急处置响应的速度。由于分类分级能够使个人和组织以一致的方式记录和传播事件，安全人员之间不需要使用烦琐的语言描述事件。通过一致化的语言，安全人员可以在短时间内完成事件交流、共享和通报，并及时做好应急处置准备、采取相应的应急措施。

2.推进自动化处置系统建设

未来自动化处置系统旨在高强度的对抗下，让机器语言代替安全人员实现高效率的应急处置。为了让机器“识别”更宽的领域和更复杂的场景下的安全事件，需要分类分级指南将安全事件转化为一致的认知。基于此，通过将处置策略与相应类别、级别的安全事件进行绑定，自动化处置系统便可逻辑执行对相关事件的处置策略。

3.规范应急管理体制

信息安全事件分类分级有助于应急管理体制的职责分工、分级管理。当对信息安全事件进行了分类分级之后，相应的企业或组织便可建立快速执行的标准化流程，使得人员调度协同统一。例如，根据事件所处类别、级别的特点，明确应急人员的分工机制：网络攻击类事件应找网络攻防专业性、技术性强的安全人员牵头；设备故障类事件应找设备维护专业性、技术性强的安全人员牵头。

3.4.2 信息安全事件分类原则

信息安全事件的分类和分级是两个相互独立的部分，制定分类和分级指南采用的原则也不尽相同。事件的分类主要通过科学总结、归纳各类信息安全事件的特点、发展规律和应对机理，对可能发生的信息安全事件进行分类。目前，信息安全事件的分类主要按照表现形式和事件诱因进行分类。本节将分别对这些原则进行阐述。

1.按照表现形式进行分类

这种分类方法本质上主要是基于事件的客观表现进行分类的，这样做的意义在于：从事件所属的类别名可以大致确定事件的行为特征，进而快速将事件分配给专业技术对口的安全人员，并迅速采取相应的措施。例如，在标准化指导性技术文件《信息安全技术 信息安全事件分类分级指南》（GB/Z 20986—2007）中，信息安全事件从表现形式上被划分为有害程序事件、网络攻击事件、设备设施故障等。其中，有害程序事件主要表现为受到有害程序的影响，而设备设施故障事件主要表现为信息系统或外围保障设施故障。

2.按照事件诱因进行分类

这种分类方法本质上主要是基于事件发生的诱因进行分类的，这样做的意义在于：从事件所属的类别名可以为事件的诱因提供线索，进而快速将事件分配给专业技术对口的安全人员。例如，在标准化指导性技术文件《信息安全技术 信息安全事件分类分级指南》（GB/Z 20986—2007）中，有害程序事件从事件诱因上被细分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络病毒事件、混合攻击程序事件、网页内嵌恶意代码事件以及其他有害程序事件。

3.4.3 信息安全事件分级原则

信息安全事件的分级主要从事件的危害程度和政府的控制能力来考虑，对可能发生的安全事件划分级别。分级的意义在于从相关企业或组织的应急管理能力出发，科学确定信息安全事件的级别。目前，信息安全事件主要按照事件的主观属性（影响程度、损失后果）和相关单位的客观属性（应对能力）进行分级。本节将分别对上述原则进行阐述。

1.按照信息安全事件的主观属性分级

不同类型的信息安全事件导致的影响程度和范围、产生社会危害的严重程度以及系统损失程度都有很大差异。信息安全事件的影响程度或系统损失程度往往需要主观判断，它们是在事件发生时基于历史经验的一种总结性阐述。按照信息安全事件的影响程度或系统损失程度分级，可以使各企业和组织根据最小化损失目标，科学充分地调度应急响应力量（物质和人力储备）。例如，在标准化指导性技术文件《信息安全技术 信息安全事件分类分级指南》（GB/Z 20986—2007）中，信息安全事件按照主观属性可以划分为特别重大事件、重大事件、较大事件和一般事件。当判断发生重大事件时，除了调度自身专业性、技术性强的人员，还可以申请邀请其他企业或组织的专家团队协助研判。

2.按照应对能力分级

由于不同企业和组织的应急处置能力不一定相同，因此，相同类型的信息安全事件对不同企业和组织造成的影响和损失也不一定相同。基于此背景，许多机构和团队提出主要根据企业自身的应对能力对安全事件进行分级，即分级标准以应对能力为主，兼顾事件的客观属性。虽然这种分级标准可能会造成同样的事件在不同地方的分级不同，但这更符合实际情况。

由于涉及事件影响和损失程度，上述两种分级方案皆要借鉴、分析实际的历史资料和经验，采用统计方法分析事件的影响程度、影响范围以及损失程度。当按主观属性分级时，分级不是一次完成的，而是随着事件样本的扩充而不断地修改、调整和完善主观判断。这是因为随着时间改变，事件的影响和损失程度也会改变。