美國網(wǎng)絡事件響應問題研究
——機構(gòu)、行動及特點

◎國防科技大學信息通信學院 鄭理 葛曉慧

網(wǎng)絡事件是指惡意攻擊行為體（個人或政治集團）利用計算機網(wǎng)絡發(fā)起的針對目標主機或系統(tǒng)，或系統(tǒng)中承載的數(shù)據(jù)的不良行為，包括破壞網(wǎng)絡或網(wǎng)絡系統(tǒng)的正常運行、未授權(quán)訪問、數(shù)據(jù)竊取或篡改等等，其影響包括網(wǎng)絡域和受網(wǎng)絡系統(tǒng)控制的物理設(shè)施域。

針對越來越頻發(fā)的網(wǎng)絡事件，美國政府相應出臺了PPD-41（第41號總統(tǒng)政策指令）《美國網(wǎng)絡事件協(xié)調(diào)》和《國家網(wǎng)絡事件響應協(xié)調(diào)計劃》，從國家戰(zhàn)略層面、行動協(xié)調(diào)層面，以及威脅響應協(xié)調(diào)、設(shè)施響應協(xié)調(diào)、情報支撐保障等角度闡述了美聯(lián)邦政府應對網(wǎng)絡事件采取的基本協(xié)調(diào)機制和戰(zhàn)略框架，為應對網(wǎng)絡事件，尤其是對國家安全和經(jīng)濟系統(tǒng)產(chǎn)生嚴重影響的網(wǎng)絡事件提供了重要指導。

一、戰(zhàn)略協(xié)調(diào)機構(gòu)

（一）主要機構(gòu)

建立以網(wǎng)絡響應小組、網(wǎng)絡聯(lián)合協(xié)調(diào)組為主體的國家戰(zhàn)略協(xié)調(diào)機構(gòu)。

縱向上：網(wǎng)絡響應小組受總統(tǒng)特別助理和網(wǎng)絡安全協(xié)調(diào)官領(lǐng)導，對總統(tǒng)國土安全和反恐助理負責，其上級機構(gòu)是國家安全委員會。網(wǎng)絡聯(lián)合協(xié)調(diào)組是網(wǎng)絡響應小組下屬機構(gòu)之一，受網(wǎng)絡響應小組領(lǐng)導，對網(wǎng)絡響應小組負責，有權(quán)提出建議?！睹绹W(wǎng)絡事件協(xié)調(diào)》規(guī)定：當重大網(wǎng)絡事件處置完畢后，網(wǎng)絡聯(lián)合協(xié)調(diào)組要在30天內(nèi)向網(wǎng)絡響應小組呈交事件處置報告。

橫向上：網(wǎng)絡響應小組與國家（災害）恢復小組和反恐怖安全小組就網(wǎng)絡安全事宜和網(wǎng)絡反恐事宜進行溝通協(xié)調(diào)。

（二）機構(gòu)組成

網(wǎng)絡響應小組是一個跨部門的組織，其小組成員來自聯(lián)邦政府的多個機構(gòu)，主要為“部”一級。包括：國務院、財政部、國防部、司法部、商務部、能源部、國土安全部、美國特勤局、參聯(lián)會、國家情報總監(jiān)辦公室、聯(lián)邦調(diào)查局、國家網(wǎng)絡調(diào)查聯(lián)合特遣隊、中情局、國家安全局，必要時，聯(lián)邦通信委員會、部門特定機構(gòu)也納入其中。

國家戰(zhàn)略協(xié)調(diào)機構(gòu)組成

網(wǎng)絡聯(lián)合協(xié)調(diào)組是一個非常設(shè)機構(gòu)，主要是根據(jù)相應部門的領(lǐng)導和網(wǎng)絡事件的嚴重程度而決定是否啟動?！睹绹W(wǎng)絡事件協(xié)調(diào)》規(guī)定了3種啟動情況：國家安全委員會或代表委員會做出指示；網(wǎng)絡聯(lián)合協(xié)調(diào)組的2個或2個以上的參與方提出建議；發(fā)生可能造成嚴重后果的網(wǎng)絡事件。其參與方包括：司法部聯(lián)邦調(diào)查局和國家網(wǎng)絡調(diào)查聯(lián)合特遣隊、國土安全部國家網(wǎng)絡安全和通信集成中心、國家情報總監(jiān)辦公室網(wǎng)絡威脅情報綜合中心，以及其它可能涉及到的聯(lián)邦政府部門，州、地方、部落和地區(qū)政府機構(gòu)，非政府組織、國際組織和私營企業(yè)。文件要求參與方要指派高級官員參加。

二者的區(qū)別與聯(lián)系：一是從組分的級別上來看，網(wǎng)絡響應小組高于網(wǎng)絡聯(lián)合協(xié)調(diào)組，前者主要由美國聯(lián)邦政府的“部”一級機構(gòu)組成，決定了它有條件從政策層面實施協(xié)調(diào)，后者多為部下屬的執(zhí)行機構(gòu)組成，決定了它主要從行動層面進行協(xié)同。二是從參與的廣泛程度上看，網(wǎng)絡聯(lián)合協(xié)調(diào)組高于網(wǎng)絡響應小組，前者在包含聯(lián)邦政府的基礎(chǔ)上，延伸到了州、地方、部落和地區(qū)政府，不僅如此，網(wǎng)絡聯(lián)合協(xié)調(diào)組的參與方還有非政府組織、國際組織和私營企業(yè)，這種組織機構(gòu)為公私合作、國際合作鋪平了道路，為從行動層面集中更為廣泛的力量開展網(wǎng)絡事件響應奠定了基礎(chǔ)，體現(xiàn)了“聯(lián)合”的特點。后者僅由聯(lián)邦政府組成，機構(gòu)相對精簡、單一，符合在政策層面開展協(xié)調(diào)工作的保密性要求，運轉(zhuǎn)效率相對較高，體現(xiàn)了“精干”的特點。總體上看，網(wǎng)絡響應小組主要從事國家政策層面的協(xié)調(diào)，網(wǎng)絡聯(lián)合協(xié)調(diào)組主要從事具體行動層面的協(xié)調(diào)，它們的結(jié)構(gòu)符合其功能，并體現(xiàn)其功能。

二、行動及特點

《國家網(wǎng)絡事件響應協(xié)調(diào)計劃》中網(wǎng)絡事件響應行動包括：威脅響應、設(shè)施響應、情報支持和受影響對象的內(nèi)部響應，這四類行動雖然在文件中是獨立闡述的，但相互間緊密聯(lián)系、互為支撐，且以前三種為主。在執(zhí)行層面，威脅響應由美國司法部聯(lián)邦調(diào)查局和國家網(wǎng)絡調(diào)查聯(lián)合特遣隊牽頭實施；設(shè)施響應由美國國土安全部國家網(wǎng)絡安全和通信集成中心牽頭實施；情報支持活動由國家情報總監(jiān)辦公室網(wǎng)絡威脅情報綜合中心牽頭實施。下面重點就威脅響應、設(shè)施響應及情報支持這三種行動進行闡述。

（一）威脅響應、設(shè)施響應和情報支持行動的劃分

網(wǎng)絡事件溯源于網(wǎng)絡空間，歸因于獨立國家行為體或個人，但造成的影響卻貫通網(wǎng)絡空間和物理空間，嚴重的會影響到國家安全。因此，對于嚴重網(wǎng)絡事件的處置要歸因溯源，立案調(diào)查，排除潛在隱患，恢復受影響設(shè)施和系統(tǒng)，并建立常態(tài)化監(jiān)測和情報收集機制。

1.威脅響應

威脅響應主要是指針對網(wǎng)絡事件發(fā)起的源頭和發(fā)起者開展調(diào)查取證等相關(guān)執(zhí)法活動。涉及一般（網(wǎng)絡）犯罪行為的，要立案、起訴，并對犯罪個體或集團實施逮捕；涉及危害國家安全的，國土安全部門要介入其中開展調(diào)查，如美國特勤局、移民與海關(guān)執(zhí)法部國土安全調(diào)查局；涉及到國防信息網(wǎng)絡的，則由國防部負責處理。

2.設(shè)施響應

設(shè)施響應主要是指針對網(wǎng)絡事件已造成的影響，如對計算機系統(tǒng)和數(shù)據(jù)的破壞，網(wǎng)絡癱瘓，以及對物理設(shè)施，尤其是支撐國家經(jīng)濟正常運轉(zhuǎn)的關(guān)鍵基礎(chǔ)設(shè)施造成的影響而采取的恢復和減災行為。對于設(shè)施響應，聯(lián)邦政府重點關(guān)注的是國家關(guān)鍵基礎(chǔ)設(shè)施，通過建立信息共享和分析中心“對口協(xié)調(diào)”各類關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域（行業(yè)）。

3.情報支持

情報支持則貫穿威脅響應、設(shè)施響應的整個過程，包括事前的情報收集和危害預測，事后的犯罪調(diào)查和風險評估，重點在于提供一種支撐性活動。

（二）特點分析

1.建立分類別的處置原則，既不遷就照顧，也不過分干預

網(wǎng)絡事件響應活動雖由國家層面的聯(lián)邦政府整體牽頭，但對于不同地域、不同領(lǐng)域的網(wǎng)絡事件的處置原則各不相同。針對發(fā)生在聯(lián)邦政府內(nèi)部的網(wǎng)絡事件：體現(xiàn)著高要求。明文規(guī)定對聯(lián)邦政府內(nèi)部網(wǎng)絡系統(tǒng)產(chǎn)生影響的網(wǎng)絡事件，從識別定性到通知國土安全部的高層不得超過1個小時（1小時反應機制），這由聯(lián)邦政府網(wǎng)絡系統(tǒng)的高度涉密性和重要性所決定。為配合這一機制的實現(xiàn)，美國政府集中國內(nèi)精英力量建立了頂級的計算機安全事件響應隊和安全運行中心，在強有力的技術(shù)支持下，維護聯(lián)邦政府內(nèi)部網(wǎng)絡暢通和設(shè)施安全。針對發(fā)生在私營企業(yè)領(lǐng)域的網(wǎng)絡事件：體現(xiàn)自主原則。由于美國的私營企業(yè)對政府的依賴性相對較低，且對隱私、自由和信息共享的要求較高，因此一般情況下政府不干預。但所謂的“不干預”是有限度的不干預，即以企業(yè)自身處置為主，政府協(xié)助。在網(wǎng)絡技術(shù)高度發(fā)達的今天，美國政府通過相關(guān)機構(gòu)和技術(shù)手段，時時刻刻監(jiān)測私營企業(yè)的網(wǎng)絡運行狀態(tài)和發(fā)生在私營企業(yè)內(nèi)部的網(wǎng)絡事件，如果私企自身因失察、失控或不作為導致網(wǎng)絡事件升級，政府則強制介入?yún)⑴c事件調(diào)查處理當中，尤其是關(guān)系到國家安全的16個關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。這是由政府和私企利益的不可分割性所決定的，即美國政府和私營企業(yè)有著共同利益、共同的責任。美國政府對私企的網(wǎng)絡事件不過多干預的另一個原因是美國有大量的網(wǎng)絡安全公司和信息服務公司，這些公司與企業(yè)簽有大量合同，即私企通過訂立合同的方式將本企業(yè)的網(wǎng)絡安全事宜交由網(wǎng)絡安全公司來托管，只需每年交納相應費用即可。針對發(fā)生在州、地區(qū)的網(wǎng)絡事件：體現(xiàn)合作原則。負責網(wǎng)絡空間安全的美國國土安全部通過向各個州派駐外勤人員，與各個州的“融合中心”、州首席信息安全官進行合作辦公，包括經(jīng)驗交流、培訓和資格認證。類似的還有在網(wǎng)絡事件調(diào)查處置中，聯(lián)邦調(diào)查局網(wǎng)絡工作隊設(shè)在全國范圍內(nèi)的56個地區(qū)性辦公室。針對發(fā)生在普通民眾身上的網(wǎng)絡事件：體現(xiàn)支持原則。由于針對普通民眾和家庭的網(wǎng)絡事件并不多見，且大多較為輕微，美國政府將相關(guān)的學習資源、行為指導和安全提示置于網(wǎng)上，供民眾學習和參考。

2.機構(gòu)設(shè)置互為補充，強力推進信息共享

由于網(wǎng)絡事件具有一定隱蔽性，且擴散速度快，難以監(jiān)測。為了有效應對越來越頻發(fā)的網(wǎng)絡事件，美國政府建立了多種信息共享和分析中心（ISAC），較為典型的有：基于行業(yè)領(lǐng)域的ISAC、州際ISAC（即MS-ISAC）和組織較為靈活的ISAO。區(qū)別及主要功能如下：基于行業(yè)領(lǐng)域的ISAC是按照關(guān)鍵基礎(chǔ)設(shè)施行業(yè)來分類的，如化工業(yè)有從事化學品生產(chǎn)、存儲、分配、使用的民間協(xié)會和企業(yè)的代表所組成的化工業(yè)ISAC（Chemical-ISAC），這些代表來自美國化學理事會、美國石油協(xié)會、壓縮氣體協(xié)會、肥料研究所等10多個組織，它們通過本行業(yè)的ISAC共享網(wǎng)絡安全信息，體現(xiàn)了行業(yè)特色。州際ISAC用于美國各個州與聯(lián)邦政府之間共享網(wǎng)絡安全信息，彌補了前者信息共享于行業(yè)內(nèi)的局限，發(fā)揮了空間優(yōu)勢，而ISAO的設(shè)置則更為靈活，它既不受行業(yè)限制，也不受地理位置的限制，可以實現(xiàn)基于共同利益和興趣的網(wǎng)絡威脅信息共享，能夠從更大的程度上發(fā)展信息共享的參與者和調(diào)動其積極性，尤其為美國的一些小型企業(yè)，以及特殊行業(yè)的企業(yè)參與到信息共享當中開放了渠道，通過辦理相關(guān)手續(xù)，即可申請成為ISAO的會員，享受及時的信息共享帶來的互利互惠。由此可見，美國對信息共享的高度重視，對機構(gòu)設(shè)置的精心籌劃，客觀上也反映了在當前如果沒有高效的信息共享難以應對瞬息萬變的網(wǎng)絡事件。

3.法律保障為交錯復雜的協(xié)調(diào)行動提供了有力支持

在應對網(wǎng)絡事件響應的過程中，一方面涉及大量的跨不同領(lǐng)域、不同行業(yè)以及聯(lián)邦政府與州政府、政府機構(gòu)與私營企業(yè)間的行動協(xié)調(diào)，另一方面，在公私跨域合作和信息共享的過程中，政府對企業(yè)網(wǎng)絡、系統(tǒng)的介入勢必接觸企業(yè)內(nèi)部的商業(yè)數(shù)據(jù)和員工隱私。因此，行動的協(xié)調(diào)如何保障順暢開展，信息獲取、調(diào)查取證等如何保護公民和個人隱私顯得尤為重要。對此，美國政府通過立法對上述環(huán)節(jié)加以規(guī)范。如《網(wǎng)絡安全信息共享法》為聯(lián)邦政府、州和地區(qū)政府以及私營企業(yè)間共享信息提供法律保護和重要環(huán)境；《斯塔福德災害救援和緊急援助法》規(guī)范了當州政府在處理網(wǎng)絡事件中調(diào)用的資源超出其能力范圍時向聯(lián)邦政府請求援助的處理原則；《聯(lián)邦信息安全現(xiàn)代化法》規(guī)定了聯(lián)邦部門和機構(gòu)要在7天內(nèi)向國會、國土安全部、預算和管理辦公室報告重要網(wǎng)絡事件，并且每年要綜合報告一次；《國防生產(chǎn)法》規(guī)定了商務部工業(yè)和安全局在處置有關(guān)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡事件中的一些職責。上述法文列舉的不全，但各有其功能，并且在實踐中不斷完善和擴充，綜合起來為美國的網(wǎng)絡事件響應行動的順利實施提供法律權(quán)威。