美国网络事件响应问题研究：机构、行动及特点

【编者按】2016年，美国政府相继出台了《美国网络事件协调》和《国家网络事件响应协调计划》，从国家战略层面、行动协调层面，以及威胁响应协调、设施响应协调、情报支撑保障等角度阐述了美联邦政府应对网络事件采取的基本协调机制和战略框架，为应对重大网络事件提供指导。

美国网络事件响应问题研究

——机构、行动及特点

国防科技大学信息通信学院 郑理 葛晓慧

网络事件是指恶意攻击行为体（个人或政治集团）利用计算机网络发起的针对目标主机或系统，或系统中承载的数据的不良行为，包括破坏网络或网络系统的正常运行、未授权访问、数据窃取或篡改等等，其影响包括网络域和受网络系统控制的物理设施域。

针对越来越频发的网络事件，美国政府相应出台了 PPD-41（第 41 号总统政策指令）《美国网络事件协调》和《国家网络事件响应协调计划》，从国家战略层面、行动协调层面，以及威胁响应协调、设施响应协调、情报支撑保障等角度阐述了美联邦政府应对网络事件采取的基本协调机制和战略框架，为应对网络事件，尤其是对国家安全和经济系统产生严重影响的网络事件提供了重要指导。

一、战略协调机构（一）主要机构

建立以网络响应小组、网络联合协调组为主体的国家战略协调机构。

纵向上：网络响应小组受总统特别助理和网络安全协调官领导，对总统国土安全和反恐助理负责，其上级机构是国家安全委员会。网络联合协调组是网络响应小组下属机构之一，受网络响应小组领导，对网络响应小组负责，有权提出建议。《美国网络事件协调》规定：当重大网络事件处置完毕后，网络联合协调组要在 30 天内向网络响应小组呈交事件处置报告。

横向上：网络响应小组与国家（灾害）恢复小组和反恐怖安全小组就网络安全事宜和网络反恐事宜进行沟通协调。

（二）机构组成

网络响应小组是一个跨部门的组织，其小组成员来自联邦政府的多个机构，主要为“部”一级。包括：国务院、财政部、国防部、司法部、商务部、能源部、国土安全部、美国特勤局、参联会、国家情报总监办公室、联邦调查局、国家网络调查联合特遣队、中情局、国家安全局，必要时，联邦通信委员会、部门特定机构也纳入其中。

网络联合协调组是一个非常设机构，主要是根据相应部门的领导和网络事件的严重程度而决定是否启动。《美国网络事件协调》规定了3 种启动情况：国家安全委员会或代表委员会做出指示；网络联合协调组的2 个或 2 个以上的参与方提出建议；发生可能造成严重后果的网络事件。其参与方包括：司法部联邦调查局和国家网络调查联合特遣队、国土安全部国家网络安全和通信集成中心、国家情报总监办公室网络威胁情报综合中心，以及其它可能涉及到的联邦政府部门，州、地方、部落和地区政府机构，非政府组织、国际组织和私营企业。文件要求参与方要指派高级官员参加。

二者的区别与联系：一是从组分的级别上来看，网络响应小组高于网络联合协调组，前者主要由美国联邦政府的“部”一级机构组成，决定了它有条件从政策层面实施协调，后者多为部下属的执行机构组成，决定了它主要从行动层面进行协同。二是从参与的广泛程度上看，网络联合协调组高于网络响应小组，前者在包含联邦政府的基础上，延伸到了州、地方、部落和地区政府，不仅如此，网络联合协调组的参与方还有非政府组织、国际组织和私营企业，这种组织机构为公私合作、国际合作铺平了道路，为从行动层面集中更为广泛的力量开展网络事件响应奠定了基础，体现了“联合”的特点。后者仅由联邦政府组成，机构相对精简、单一，符合在政策层面开展协调工作的保密性要求，运转效率相对较高，体现了“精干”的特点。总体上看，网络响应小组主要从事国家政策层面的协调，网络联合协调组主要从事具体行动层面的协调，它们的结构符合其功能，并体现其功能。

二、行动及特点

《国家网络事件响应协调计划》中网络事件响应行动包括：威胁响应、设施响应、情报支持和受影响对象的内部响应，这四类行动虽然在文件中是独立阐述的，但相互间紧密联系、互为支撑，且以前三种为主。在执行层面，威胁响应由美国司法部联邦调查局和国家网络调查联合特遣队牵头实施；设施响应由美国国土安全部国家网络安全和通信集成中心牵头实施；情报支持活动由国家情报总监办公室网络威胁情报综合中心牵头实施。下面重点就威胁响应、设施响应及情报支持这三种行动进行阐述。

（一）威胁响应、设施响应和情报支持行动的划分

网络事件溯源于网络空间，归因于独立国家行为体或个人，但造成的影响却贯通网络空间和物理空间，严重的会影响到国家安全。因此，对于严重网络事件的处置要归因溯源，立案调查，排除潜在隐患，恢复受影响设施和系统，并建立常态化监测和情报收集机制。

1. 威胁响应

威胁响应主要是指针对网络事件发起的源头和发起者开展调查取证等相关执法活动。涉及一般（网络）犯罪行为的，要立案、起诉，并对犯罪个体或集团实施逮捕；涉及危害国家安全的，国土安全部门要介入其中开展调查，如美国特勤局、移民与海关执法部国土安全调查局；涉及到国防信息网络的，则由国防部负责处理。

2. 设施响应

设施响应主要是指针对网络事件已造成的影响，如对计算机系统和数据的破坏，网络瘫痪，以及对物理设施，尤其是支撑国家经济正常运转的关键基础设施造成的影响而采取的恢复和减灾行为。对于设施响应，联邦政府重点关注的是国家关键基础设施，通过建立信息共享和分析中心“对口协调”各类关键基础设施领域（行业）。

3. 情报支持

情报支持则贯穿威胁响应、设施响应的整个过程，包括事前的情报收集和危害预测，事后的犯罪调查和风险评估，重点在于提供一种支撑性活动。

（二）特点分析

1. 建立分类别的处置原则，既不迁就照顾，也不过分干预

网络事件响应活动虽由国家层面的联邦政府整体牵头，但对于不同地域、不同领域的网络事件的处置原则各不相同。针对发生在联邦政府内部的网络事件：体现着高要求。明文规定对联邦政府内部网络系统产生影响的网络事件，从识别定性到通知国土安全部的高层不得超过 1 个小时（1 小时反应机制），这由联邦政府网络系统的高度涉密性和重要性所决定。为配合这一机制的实现，美国政府集中国内精英力量建立了顶级的计算机安全事件响应队和安全运行中心，在强有力的技术支持下，维护联邦政府内部网络畅通和设施安全。针对发生在私营企业领域的网络事件：体现自主原则。由于美国的私营企业对政府的依赖性相对较低，且对隐私、自由和信息共享的要求较高，因此一般情况下政府不干预。但所谓的“不干预”是有限度的不干预，即以企业自身处置为主，政府协助。在网络技术高度发达的今天，美国政府通过相关机构和技术手段，时时刻刻监测私营企业的网络运行状态和发生在私营企业内部的网络事件，如果私企自身因失察、失控或不作为导致网络事件升级，政府则强制介入参与事件调查处理当中，尤其是关系到国家安全的 16个关键基础设施行业。这是由政府和私企利益的不可分割性所决定的，即美国政府和私营企业有着共同利益、共同的责任。美国政府对私企的网络事件不过多干预的另一个原因是美国有大量的网络安全公司和信息服务公司，这些公司与企业签有大量合同，即私企通过订立合同的方式将本企业的网络安全事宜交由网络安全公司来托管，只需每年交纳相应费用即可。针对发生在州、地区的网络事件：体现合作原则。负责网络空间安全的美国国土安全部通过向各个州派驻外勤人员，与各个州的“融合中心”、州首席信息安全官进行合作办公，包括经验交流、培训和资格认证。类似的还有在网络事件调查处置中，联邦调查局网络工作队设在全国范围内的56 个地区性办公室。针对发生在普通民众身上的网络事件：体现支持原则。由于针对普通民众和家庭的网络事件并不多见，且大多较为轻微，美国政府将相关的学习资源、行为指导和安全提示置于网上，供民众学习和参考。

2. 机构设置互为补充，强力推进信息共享

由于网络事件具有一定隐蔽性，且扩散速度快，难以监测。为了有效应对越来越频发的网络事件，美国政府建立了多种信息共享和分析中心（ISAC），较为典型的有：基于行业领域的 ISAC、州际 ISAC（ 即 MS-ISAC） 和组织较为灵 活 的ISAO。区别及主要功能如下：基于行业领域的ISAC 是按照关键基础设施行业来分类的，如化工业有从事化学品生产、存储、分配、使用的民间协会和企业的代表所组成的化工业 ISAC（Chemical-ISAC），这些代表来自美国化学理事会、美国石油协会、压缩气体协会、肥料研究所等 10 多个组织，它们通过本行业的 ISAC 共享网络安全信息，体现了行业特色。州际 ISAC 用于美国各个州与联邦政府之间共享网络安全信息，弥补了前者信息共享于行业内的局限，发挥了空间优势，而 ISAO 的设置则更为灵活，它既不受行业限制，也不受地理位置的限制，可以实现基于共同利益和兴趣的网络威胁信息共享，能够从更大的程度上发展信息共享的参与者和调动其积极性，尤其为美国的一些小型企业，以及特殊行业的企业参与到信息共享当中开放了渠道，通过办理相关手续，即可申请成为 ISAO 的会员，享受及时的信息共享带来的互利互惠。由此可见，美国对信息共享的高度重视，对机构设置的精心筹划，客观上也反映了在当前如果没有高效的信息共享难以应对瞬息万变的网络事件。

3. 法律保障为交错复杂的协调行动提供了有力支持

在应对网络事件响应的过程中，一方面涉及大量的跨不同领域、不同行业以及联邦政府与州政府、政府机构与私营企业间的行动协调，另一方面，在公私跨域合作和信息共享的过程中，政府对企业网络、系统的介入势必接触企业内部的商业数据和员工隐私。因此，行动的协调如何保障顺畅开展，信息获取、调查取证等如何保护公民和个人隐私显得尤为重要。对此，美国政府通过立法对上述环节加以规范。如《网络安全信息共享法》为联邦政府、州和地区政府以及私营企业间共享信息提供法律保护和重要环境；《斯塔福德灾害救援和紧急援助法》规范了当州政府在处理网络事件中调用的资源超出其能力范围时向联邦政府请求援助的处理原则；《联邦信息安全现代化法》规定了联邦部门和机构要在 7 天内向国会、国土安全部、预算和管理办公室报告重要网络事件，并且每年要综合报告一次；《国防生产法》规定了商务部工业和安全局在处置有关关键基础设施网络事件中的一些职责。上述法文列举的不全，但各有其功能，并且在实践中不断完善和扩充，综合起来为美国的网络事件响应行动的顺利实施提供法律权威。

本文刊登于《网信军民融合》杂志2019年3月刊

声明：本文来自网信军民融合，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。