劉晨暉 王能民

(1. 西安交通大學(xué)管理學(xué)院 西安 710049；2. 過程控制與效率工程教育部重點(diǎn)實(shí)驗(yàn)室 西安 710049；3. 陜西省制造服務(wù)業(yè)過程挖掘工程研究中心 西安 710049)

A Cyber Security Incident Response System Based on Piezoelectric Theory—The Practice in the United States and Its Implications

Liu Chenhui1,2,3Wang Nengmin1,2,3

(1. School of Management, Xi'an Jiaotong University, Xi'an 710049;2. The Key Lab of the Ministry of Education for Process Control & Efficiency Engineering，Xi'an 710049;3. ERC for Process Mining of Manufacturing Services in Shaanxi Province, Xi'an 710049)

Abstract:[Purpose/Significance]By constructing the cyber security incident response system based on piezoelectric theory, this paper provides the theoretical foundation and practical suggestions for Chinese enterprises' incident response management. [Method/Process]Based on the text analysis of Best Practices for Victim Response and Reporting of Cyber Incidents issued by the US Department of Justice, this paper interprets the practical experience of incident response in the United States from the perspective of three stages (pre-event, in-event and post-event), and constructs cyber security incident response system from the perspective of changing events, situational awareness and critical alignment in piezoelectric theory, which is applicable to Chinese enterprises.[Result/Conclusion]Based on the practical experience of the US federal investigators, prosecutors, and US enterprises in dealing with cyber security incidents, this study puts forward a checklist of the incident response plan, in which the whole-process management and the response strategy of critical alignment provide valuable references for Chinese enterprises.

Keywords:piezoelectric theory; cyber security; incident response; critical alignment；the United States

0 引 言

隨著《中華人民共和國網(wǎng)絡(luò)安全法》和《中華人民共和國數(shù)據(jù)安全法(草案)》等一系列政策法規(guī)的公布和實(shí)行，網(wǎng)絡(luò)安全已經(jīng)成為社會各行業(yè)以及學(xué)術(shù)界關(guān)注的熱點(diǎn)問題，同時也是國家安全與經(jīng)濟(jì)社會穩(wěn)定運(yùn)行的關(guān)鍵所在[1]。然而，隨著企業(yè)信息系統(tǒng)建設(shè)的不斷深入以及對信息技術(shù)依賴性的日益增強(qiáng)，持續(xù)增長的網(wǎng)絡(luò)安全事件讓企業(yè)的主體防護(hù)任務(wù)愈加艱巨，很多企業(yè)都存在響應(yīng)計劃欠缺與響應(yīng)速度較慢的問題，應(yīng)急響應(yīng)體系的建立和完善勢在必行。雖然我國已經(jīng)出臺了戰(zhàn)略層面的總體性應(yīng)急預(yù)案[2]——《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，但是在企業(yè)實(shí)踐層面仍然存在空白。

本文參考美國司法部所發(fā)布的《網(wǎng)絡(luò)安全事件受害者響應(yīng)與報告的最佳實(shí)踐》 (BestPracticesforVictimResponseandReportingofCyberIncidents)[3], 構(gòu)建了一套基于壓電式理論的、面向企業(yè)實(shí)踐層面的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)體系。信息風(fēng)險管理的壓電式理論[4](Piezoelectric Theory)指出，如果企業(yè)的網(wǎng)絡(luò)安全實(shí)踐體系可以賦予其面對變化的風(fēng)險事件不斷調(diào)整的能力，那么來自風(fēng)險事件的負(fù)面影響就能被企業(yè)的調(diào)整舉措所消除。換言之，網(wǎng)絡(luò)安全事件的影響與企業(yè)的響應(yīng)能力以及準(zhǔn)備工作呈負(fù)相關(guān)?；趬弘娛嚼碚摰睦砟?，本文為我國企業(yè)構(gòu)建高效的應(yīng)急響應(yīng)體系和提升響應(yīng)速度提供了理論支持；在吸納和整合美國應(yīng)急管理經(jīng)驗(yàn)的基礎(chǔ)上，提出了清單式的、具備可操作性的體系構(gòu)建方案，為企業(yè)提供了實(shí)踐與應(yīng)用層面的借鑒參考。

1 網(wǎng)絡(luò)安全事件與應(yīng)急響應(yīng)

參考美國第41號總統(tǒng)政策令的定義，網(wǎng)絡(luò)安全事件是指發(fā)生在網(wǎng)絡(luò)系統(tǒng)中或者依托網(wǎng)絡(luò)系統(tǒng)，已經(jīng)或者將要干擾和危害信息系統(tǒng)基礎(chǔ)設(shè)施與信息資產(chǎn)完整性、機(jī)密性或可用性的事件[5]。也就是說，無論是否造成實(shí)質(zhì)性的負(fù)面影響和損失，也無論是無意還是惡意的網(wǎng)絡(luò)攻擊、系統(tǒng)侵入和數(shù)據(jù)泄露等事故，亦或是系統(tǒng)故障和自然災(zāi)害，只要威脅到數(shù)據(jù)或設(shè)施的完整性、機(jī)密性與可用性，都屬于網(wǎng)絡(luò)安全事件的范疇。應(yīng)急響應(yīng)是組織為了應(yīng)對突發(fā)的意外事件而進(jìn)行的準(zhǔn)備工作，以及在事件發(fā)生后采取的補(bǔ)救措施[6]，也就是“未雨綢繆”和“亡羊補(bǔ)牢”。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的目的在于保護(hù)組織的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)以及信息資產(chǎn)免受惡意攻擊與非法入侵，降低乃至消除安全事件帶來的損失和負(fù)面影響，并縮短組織業(yè)務(wù)與系統(tǒng)在遭受攻擊后的恢復(fù)時間，其實(shí)質(zhì)是通過整合與協(xié)調(diào)整個組織的資源來應(yīng)對安全事件。響應(yīng)的有效性主要取決于對網(wǎng)絡(luò)安全事件的認(rèn)知，針對安全事件的準(zhǔn)備工作和應(yīng)對措施，以及處理和解決安全事件的速度。

2 網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)：美國的實(shí)踐經(jīng)驗(yàn)

2018年9月，隸屬美國司法部(U.S. Department of Justice)的網(wǎng)絡(luò)安全工作組(Cybersecurity Unit)發(fā)布了《網(wǎng)絡(luò)安全事件受害者響應(yīng)與報告的最佳實(shí)踐》(在后文統(tǒng)一簡稱《最佳實(shí)踐》)，旨在指導(dǎo)企業(yè)管理者有效預(yù)防與應(yīng)對網(wǎng)絡(luò)安全事故并降低損失和影響。2014年12月，美國司法部組建了網(wǎng)絡(luò)安全工作組，下屬于網(wǎng)絡(luò)犯罪與知識產(chǎn)權(quán)部(Computer Crime and Intellectual Property Section)。作為提供網(wǎng)絡(luò)安全咨詢與法律指導(dǎo)的核心部門，網(wǎng)絡(luò)安全工作組旨在協(xié)助執(zhí)法部門有效打擊網(wǎng)絡(luò)罪犯，并保護(hù)民眾和組織的信息隱私。為了實(shí)現(xiàn)這個目標(biāo)，該工作組致力于制定與完善各項(xiàng)網(wǎng)絡(luò)安全法規(guī)和政策，保護(hù)企業(yè)和機(jī)構(gòu)的計算機(jī)系統(tǒng)以及個人用戶免受網(wǎng)絡(luò)攻擊的危害。網(wǎng)絡(luò)安全工作組還廣泛接觸各類私營企業(yè)，以促進(jìn)合規(guī)高效的網(wǎng)絡(luò)安全實(shí)踐。

基于美國聯(lián)邦調(diào)查員、檢察員以及私營企業(yè)處理和解決網(wǎng)絡(luò)安全事件的實(shí)踐經(jīng)驗(yàn)，《最佳實(shí)踐》提出了一套應(yīng)用層面的全過程響應(yīng)策略，旨在幫助企業(yè)和相關(guān)從業(yè)者預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生，減緩攻擊擴(kuò)散和降低事故影響，最終有效地處理和應(yīng)對各種突發(fā)事件。《最佳實(shí)踐》指出，任何使用信息系統(tǒng)和連接互聯(lián)網(wǎng)的組織，都可能成為網(wǎng)絡(luò)入侵、黑客攻擊與數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件的受害者。企業(yè)為了保障自身的信息資產(chǎn)安全，應(yīng)當(dāng)從事前、事中和事后三個階段制定全過程的應(yīng)急響應(yīng)策略：

2.1事前響應(yīng)策略對企業(yè)而言，在應(yīng)對網(wǎng)絡(luò)安全事件時，最大的挑戰(zhàn)是“我們不知道我們不知道什么”[7]。因此，事前的風(fēng)險評估與響應(yīng)計劃可以幫助企業(yè)明晰潛在風(fēng)險，針對關(guān)鍵環(huán)節(jié)與薄弱環(huán)節(jié)“對癥下藥”，從而有效降低安全事件帶來的損失，避免業(yè)務(wù)停滯并增強(qiáng)企業(yè)的運(yùn)營穩(wěn)定性。根據(jù)《最佳實(shí)踐》的建議，事前響應(yīng)策略主要包括以下6個方面：

2.1.1 高管培訓(xùn)與管理層推動 鑒于網(wǎng)絡(luò)安全活動需要企業(yè)各項(xiàng)資源的支持和跨部門的協(xié)調(diào)性工作，并有可能承擔(dān)事故發(fā)生的責(zé)任，通過自上而下的管理層推動才能確保實(shí)質(zhì)性的工作進(jìn)展。因此，只有管理者深刻認(rèn)識到風(fēng)險事件的存在和風(fēng)險管理的重要性，方能正確而高效地推動企業(yè)的應(yīng)急響應(yīng)體系建設(shè)，面向高管的網(wǎng)絡(luò)安全培訓(xùn)也就顯得尤為重要。企業(yè)的管理層需要了解哪些網(wǎng)絡(luò)威脅和風(fēng)險事件會干擾組織運(yùn)作、破壞核心系統(tǒng)與產(chǎn)品、影響消費(fèi)者與合作者信任，并汲取和采納成熟的風(fēng)險管理與應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)。例如，美國網(wǎng)絡(luò)安全工作組推薦以美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology)制定的網(wǎng)絡(luò)安全框架[8]為代表的風(fēng)險管理實(shí)踐作為制定響應(yīng)計劃的決策參考。

2.1.2 關(guān)鍵資產(chǎn)識別與風(fēng)險事件評估 在管理層的支持和推動下，識別組織的關(guān)鍵資產(chǎn)和可能面臨的風(fēng)險事件是事前響應(yīng)策略中至關(guān)重要的一步。由于網(wǎng)絡(luò)威脅的種類和攻擊方式各式各樣，企業(yè)需要確定準(zhǔn)備工作與響應(yīng)措施保護(hù)的重點(diǎn)目標(biāo)，那就是組織的關(guān)鍵資產(chǎn)(crown jewels)。所謂的關(guān)鍵資產(chǎn)，是與企業(yè)的核心競爭力與商業(yè)機(jī)密緊密相關(guān)的數(shù)據(jù)、系統(tǒng)、服務(wù)以及流程等無形和有形資產(chǎn)。企業(yè)應(yīng)當(dāng)以關(guān)鍵資產(chǎn)為中心，識別和明晰可能的潛在風(fēng)險事件。在進(jìn)行風(fēng)險事件評估時，不應(yīng)局限于組織內(nèi)部，還需要考慮外部的第三方合作者，上下游企業(yè)，以及其他有業(yè)務(wù)聯(lián)系的機(jī)構(gòu)，并將評估重點(diǎn)放在對邊界的確定和描述[9]，因?yàn)橹挥羞吔绲拇_定才能保證職責(zé)范圍的確定。最后，根據(jù)事件的性質(zhì)進(jìn)行分類，包括惡意攻擊、人因事故以及技術(shù)故障等。

2.1.3 網(wǎng)絡(luò)安全相關(guān)的法律問題 在網(wǎng)絡(luò)安全事件的響應(yīng)過程中，會涉及一系列復(fù)雜的法律問題，處理突發(fā)事態(tài)的管理決策也有可能引發(fā)法律后果。因此，在制定響應(yīng)計劃前，企業(yè)需要對相關(guān)的法律法規(guī)有充分的了解，并積極聽取和采納法務(wù)部專員或者外部專家的建議，在合規(guī)合法的前提下構(gòu)建和完善響應(yīng)體系與決策備案。

2.1.4 制定應(yīng)急響應(yīng)計劃 波耐蒙研究所(Ponemon Institute)的一項(xiàng)調(diào)查顯示，77%的企業(yè)缺乏正式的應(yīng)急響應(yīng)計劃[10]。巴爾比克斯(Balbix)的調(diào)研報告也指出，只有58%的企業(yè)可以在網(wǎng)絡(luò)安全事件發(fā)生后的24小時內(nèi)確定處于危險狀態(tài)的組織資產(chǎn)，40%以上的企業(yè)需要24小時以上的時間來進(jìn)行識別與確認(rèn)[11]，凸顯了應(yīng)急響應(yīng)計劃對提升響應(yīng)速度的重要性。企業(yè)應(yīng)當(dāng)明確一個原則：應(yīng)急響應(yīng)中任何可以事先準(zhǔn)備的措施都應(yīng)當(dāng)出現(xiàn)在事前計劃中，從而節(jié)省發(fā)生事故后寶貴的響應(yīng)時間。在制定事前響應(yīng)計劃時，首要的原則是可操作性，具體的內(nèi)容包括但不限于以下方面：

(1)根據(jù)安全事件的性質(zhì)和類別制定對應(yīng)的響應(yīng)計劃，明確關(guān)鍵節(jié)點(diǎn)的完成時限；

(2)應(yīng)該得到最優(yōu)先保護(hù)的數(shù)據(jù)，網(wǎng)絡(luò)系統(tǒng)，以及信息資產(chǎn)；

(3)確定各個響應(yīng)環(huán)節(jié)中具有決策權(quán)的責(zé)任人，包括信息溝通與發(fā)布，響應(yīng)方案的執(zhí)行，與執(zhí)法部門的對接，以及法律問題的解決等，組建內(nèi)部的應(yīng)急響應(yīng)處理團(tuán)隊(duì)；

(4)各個責(zé)任人的聯(lián)系方式，并制定無法聯(lián)系時的備選方案；

(5)規(guī)劃、設(shè)計并啟用企業(yè)內(nèi)部的網(wǎng)絡(luò)安全程序，逐步建立網(wǎng)絡(luò)監(jiān)控體系；

(6)政府執(zhí)法部門、信息資產(chǎn)相關(guān)的第三方組織(云儲存服務(wù)商或商業(yè)數(shù)據(jù)中心)、可能受到影響的組織與機(jī)構(gòu) (供應(yīng)商，客戶，合作伙伴等)、信息安全應(yīng)急響應(yīng)服務(wù)商或其他可以提供協(xié)助的機(jī)構(gòu)的聯(lián)系方式；

(7)使用備份數(shù)據(jù)的時機(jī)與條件；

(8)通知外部機(jī)構(gòu)與組織安全事件信息的時機(jī)與條件；

(9)制定演練方案檢驗(yàn)響應(yīng)計劃的可行性；

(10)保持對響應(yīng)計劃的更新，及時反映人員與組織結(jié)構(gòu)的調(diào)整變化。

2.1.5 組織政策與響應(yīng)計劃對齊 為了確保響應(yīng)計劃發(fā)揮應(yīng)有的作用，企業(yè)應(yīng)當(dāng)適當(dāng)調(diào)整和改變組織政策(包括通用的規(guī)章制度、人力資源管理和人事政策)，避免制度規(guī)定與人員分配的沖突，確保應(yīng)對事故的技術(shù)、系統(tǒng)以及人員各在其位，并將應(yīng)急響應(yīng)計劃的學(xué)習(xí)納入日常的培訓(xùn)和會議中，讓盡可能多的組織員工熟悉和了解。為了防止勒索病毒等惡意攻擊導(dǎo)致的系統(tǒng)癱瘓，企業(yè)需要將應(yīng)急響應(yīng)計劃做好紙質(zhì)備份。此外，巴爾比克斯(Balbix)發(fā)布的調(diào)研報告顯示，80%企業(yè)員工的信息系統(tǒng)訪問權(quán)限都高于完成本職工作的需要[11]，因此組織的人事政策還需要特別防范來自內(nèi)部員工的威脅，尤其是離職員工。應(yīng)當(dāng)及時解除前員工的網(wǎng)絡(luò)權(quán)限，并對現(xiàn)員工的權(quán)限保持監(jiān)管和動態(tài)調(diào)整。

2.1.6 與外部組織和機(jī)構(gòu)建立關(guān)系 在安全事件發(fā)生之前，企業(yè)應(yīng)當(dāng)主動與政府的執(zhí)法部門建立良好關(guān)系，確保能夠在事故發(fā)生的第一時間取得聯(lián)系并獲得幫助。此外，與企業(yè)數(shù)據(jù)共通或者有可能受到波及的上下游合作者，企業(yè)客戶以及云儲存服務(wù)商等也應(yīng)該就網(wǎng)絡(luò)安全協(xié)同展開合作，也可以尋求應(yīng)急響應(yīng)服務(wù)商的幫助。

2.2事中響應(yīng)策略即使企業(yè)在事前做足了充分的防范，也仍然有可能成為網(wǎng)絡(luò)安全事件的受害者。因此，在事中應(yīng)急處置階段高效而迅速地執(zhí)行響應(yīng)計劃就是成為了降低損失和消除影響的關(guān)鍵?！蹲罴褜?shí)踐》提出了以下5個事中響應(yīng)步驟：

2.2.1 性質(zhì)與范圍的評估 當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時，首先需要對其本質(zhì)和范圍做一個初步評估，確認(rèn)它是一個惡意攻擊，人因事故還是技術(shù)故障，或是一個多因素的復(fù)雜事故，然后根據(jù)完全事件的種類啟用對應(yīng)的響應(yīng)計劃。

2.2.2 啟用頻帶外通訊系統(tǒng) 在安全事件發(fā)生時，企業(yè)不應(yīng)使用遭受攻擊的組織系統(tǒng)進(jìn)行網(wǎng)絡(luò)通訊，應(yīng)盡可能啟用頻帶外的通訊系統(tǒng)，并使用加密形式來發(fā)布或者傳達(dá)安全事件的處理信息，避免被入侵者劫持或利用。為了避免成為社會工程學(xué)攻擊[12](利用人性弱點(diǎn)建立誘餌來突破防御，誘導(dǎo)目標(biāo)泄露信息或進(jìn)行惡意侵入)的受害者，企業(yè)需要警惕來自未知IP或者未確認(rèn)意圖的安全事故問詢，向執(zhí)法部門提供信息的同時保持追蹤監(jiān)控可疑的問詢請求。

2.2.3 執(zhí)行響應(yīng)計劃 在明確了事故類型和啟用頻帶外通訊的基礎(chǔ)上，企業(yè)應(yīng)當(dāng)迅速執(zhí)行既定的響應(yīng)計劃。首先應(yīng)該采取一系列緊急措施來防止局勢的進(jìn)一步的擴(kuò)散和惡化， 例如重置網(wǎng)絡(luò)通信，阻止針對服務(wù)器的攻擊和隔離受損系統(tǒng)等。根據(jù)安全事件的性質(zhì)、范圍以及嚴(yán)重程度，依照事前制定的響應(yīng)計劃組建應(yīng)急響應(yīng)處理團(tuán)隊(duì)，包括高層管理人員、信息技術(shù)人員、物理安全協(xié)調(diào)員、通信或公共事務(wù)人員、以及內(nèi)部的法律專員和外部的法律顧問等。值得注意的是，并不是所有的安全事件都需要調(diào)動所有的組織資源進(jìn)行應(yīng)對，不同類型的事故需要的人員構(gòu)成也各不相同。此時就凸顯了事前計劃的重要性：如果企業(yè)在事前響應(yīng)中針對每一種類型的安全事件規(guī)劃好對應(yīng)的人員配置，就會在事中階段爭取到寶貴的響應(yīng)時間。

2.2.4 保存和收集信息 當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時，企業(yè)應(yīng)該立即展開所有相關(guān)信息的記錄和收集工作，包括但不限于：

(1)對受損的系統(tǒng)第一時間進(jìn)行“取證圖像”的記錄。所謂取證圖像，是對電子設(shè)備上的數(shù)據(jù)進(jìn)行精確的逐位復(fù)制，也就是對某一時間節(jié)點(diǎn)的系統(tǒng)進(jìn)行的完美快照，可供事后分析所用，并成為刑事審判階段的證據(jù)。

(2)如果企業(yè)沒有在受到攻擊和入侵的系統(tǒng)上啟用日志，應(yīng)當(dāng)立即啟用或者增加服務(wù)器中日志文件的默認(rèn)大小，以防止重要文件與信息被覆蓋或泄露。企業(yè)應(yīng)當(dāng)盡量避免受損系統(tǒng)的信息被擦除或覆蓋，這些數(shù)據(jù)對事后分析和調(diào)查攻擊源頭至關(guān)重要。

(3)記錄所有的攻擊行為和泄露的信息，以及安全事故造成的所有損失，從而用于后期的刑罰定罪以及追償。

(4)企業(yè)應(yīng)該詳細(xì)記錄應(yīng)急響應(yīng)階段所采取的所有步驟，并保存所有的登錄與訪問記錄，以及與事故相關(guān)的所有其他數(shù)據(jù)。

(5)對尚未受到影響的系統(tǒng)以及文件使用全新介質(zhì)進(jìn)行備份，盡可能使用二進(jìn)制或者按位備份[13]。

2.2.5 聯(lián)系外部組織和機(jī)構(gòu)協(xié)作應(yīng)對 如果企業(yè)在響應(yīng)過程中獲取了泄露數(shù)據(jù)的位置或網(wǎng)絡(luò)攻擊的來源地址，應(yīng)在第一時間與政府的執(zhí)法部門取得聯(lián)系，然后根據(jù)安全事件發(fā)展態(tài)勢與處理結(jié)果，及時與外部的組織或機(jī)構(gòu)合作，并通知可能波及到的組織關(guān)于事故的最新情況與可能的影響結(jié)果，必要時進(jìn)行協(xié)同響應(yīng)。

2.3事后響應(yīng)策略作為應(yīng)急響應(yīng)體系的最后一環(huán)，事后響應(yīng)策略主要專注于網(wǎng)絡(luò)安全事件的收尾處理與總結(jié)反饋工作，是構(gòu)建閉環(huán)管理體系的關(guān)鍵步驟：

2.3.1 保持監(jiān)視異常事件 即使信息安全事件已經(jīng)解決，或者事態(tài)已在掌控之中，企業(yè)仍然應(yīng)該保持警覺。過往的經(jīng)驗(yàn)表明,很多被入侵過的系統(tǒng)會遭遇二次攻擊，即使已經(jīng)解決了當(dāng)前已知的系統(tǒng)漏洞，也不能保證沒有其他的薄弱環(huán)節(jié)。因此，企業(yè)應(yīng)當(dāng)繼續(xù)監(jiān)測組織系統(tǒng)中的異?；顒?，謹(jǐn)防被再次入侵或者攻擊。

2.3.2 事后回顧與總結(jié)反饋 企業(yè)從安全事件中恢復(fù)過來后，應(yīng)當(dāng)總結(jié)和分析在應(yīng)對過程中所暴露的薄弱環(huán)節(jié)，切實(shí)提升系統(tǒng)的安全防護(hù)等級，加強(qiáng)和第三方組織或機(jī)構(gòu)的合作，采取針對性的措施來防止類似事件在未來的發(fā)生。

2.3.3 調(diào)整和改進(jìn)響應(yīng)計劃 在總結(jié)反饋的基礎(chǔ)上，企業(yè)應(yīng)當(dāng)做一個全面的復(fù)盤和調(diào)整，評估先前制定的響應(yīng)計劃的優(yōu)點(diǎn)與不足，反思執(zhí)行時的經(jīng)驗(yàn)教訓(xùn)并進(jìn)行修改和完善，最后制定出新版本的應(yīng)急響應(yīng)計劃，從而形成完整的閉環(huán)體系。

3 壓電式理論與應(yīng)急響應(yīng)

3.1壓電式理論的內(nèi)涵在美國司法部發(fā)布的《最佳實(shí)踐》的基礎(chǔ)上，本文應(yīng)用了風(fēng)險管理領(lǐng)域中的壓電式理論(Piezoelectric Theory)來構(gòu)建適用中國企業(yè)的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)體系。壓電式理論是在多年的企業(yè)實(shí)踐過程中提煉出的信息風(fēng)險管理的理念與方法，核心內(nèi)涵是強(qiáng)調(diào)風(fēng)險事件的不確定性與企業(yè)響應(yīng)能力的重要性，認(rèn)為風(fēng)險導(dǎo)致的負(fù)面影響與企業(yè)面對風(fēng)險事件不斷調(diào)整的響應(yīng)能力呈負(fù)相關(guān)。該理論名稱中的 “Piezo”源于希臘詞匯“piezein”，原意是擠壓，壓電式理論也正是源于壓電式傳感器受到外力擠壓時的特性：當(dāng)有外力作用時，傳感器內(nèi)部的電荷會移動到對應(yīng)的表面(正負(fù)電荷分別移動聚集到一側(cè))，當(dāng)外力消失的時候，傳感器又會恢復(fù)初始不帶電的狀態(tài)。換言之，壓電式行為的本質(zhì)就是通過內(nèi)部狀態(tài)的變化(電荷移動)來響應(yīng)外力的作用。在外部施加壓力時，壓電式行為可以歸納為三個狀態(tài)：擠壓(squeeze)，觸發(fā)(trigger)和對齊(alignment)；當(dāng)壓力消失時，則是放松(relax)、觸發(fā)(trigger)和無對齊(de-alignment)。

3.2壓電式應(yīng)急響應(yīng)的核心要素在沒有安全事件(外力)時，企業(yè)中的員工以及組織體系正常運(yùn)轉(zhuǎn)，就如同正常狀態(tài)的壓電式傳感器；當(dāng)安全事件發(fā)生時，一個高效的響應(yīng)體系會讓企業(yè)員工或處理指令如同電荷一般迅速聚集到事發(fā)的關(guān)鍵節(jié)點(diǎn)，協(xié)調(diào)和整合內(nèi)部資源來應(yīng)對突發(fā)事件。隨著安全事件的解決(外部壓力的釋放)，企業(yè)通過總結(jié)反饋，對風(fēng)險事件有了更深的認(rèn)知，又會回歸到正常的工作狀態(tài)。如圖1所示，如果將壓電式行為類比到企業(yè)的組織系統(tǒng)，就可以歸納出壓電式應(yīng)急響應(yīng)的三個核心要素[4]：變化事件(change events), 態(tài)勢感知(situation awareness)以及關(guān)鍵性對齊(critical alignment)。變化事件指通過檢測和識別可能的風(fēng)險誘因，界定對組織具有實(shí)質(zhì)性威脅的網(wǎng)絡(luò)安全事件；態(tài)勢感知強(qiáng)調(diào)增強(qiáng)對網(wǎng)絡(luò)安全事件的感知能力，通過準(zhǔn)備就緒的系統(tǒng)(人員、制度與技術(shù))高效響應(yīng)和解決網(wǎng)絡(luò)安全事件；關(guān)鍵性對齊著眼于調(diào)整和協(xié)調(diào)企業(yè)中的人員、制度與技術(shù)，重點(diǎn)關(guān)注影響業(yè)務(wù)運(yùn)作與核心利益的關(guān)鍵資產(chǎn)，從而確保組織業(yè)務(wù)的連續(xù)性與損失的最小化。

圖1 壓電式行為與壓電式應(yīng)急響應(yīng)

正如上文提到的決定應(yīng)急響應(yīng)有效性的三個因素——對安全事件的認(rèn)知，準(zhǔn)備工作和應(yīng)對措施，以及處理和解決安全事件的速度，壓電式應(yīng)急響應(yīng)的三個特征正是契合了這三個關(guān)鍵點(diǎn)。變化事件意味著企業(yè)需要提前識別與檢測可能的風(fēng)險誘因和安全事件，即使安全事件的類型和攻擊方式都在不斷變化，其本質(zhì)的風(fēng)險誘因是一致的，這就需要企業(yè)結(jié)合自身情況加深對網(wǎng)絡(luò)安全事件的認(rèn)知。態(tài)勢感知的能力代表著企業(yè)應(yīng)對和解決安全事件的速度，關(guān)鍵性對齊的核心是調(diào)整和協(xié)調(diào)組織資源集中于關(guān)鍵資產(chǎn)，不僅引導(dǎo)和優(yōu)化了企業(yè)的準(zhǔn)備工作與應(yīng)對措施，同時也間接提升了企業(yè)對安全事件的認(rèn)知和響應(yīng)效率。

3.3壓電式應(yīng)急響應(yīng)的核心導(dǎo)向值得指出的是，在企業(yè)中構(gòu)建壓電式應(yīng)急響應(yīng)體系與企業(yè)追求經(jīng)濟(jì)效益的目標(biāo)并不沖突，因?yàn)殛P(guān)鍵性對齊以企業(yè)的商業(yè)績效為核心導(dǎo)向，整個響應(yīng)體系構(gòu)建的宗旨也是保障企業(yè)的核心資產(chǎn)以及業(yè)務(wù)連續(xù)性。因此，企業(yè)在構(gòu)建應(yīng)急響應(yīng)體系的過程中付出的資源與人力，都會轉(zhuǎn)化為無形資產(chǎn)和制度優(yōu)勢，并保障企業(yè)的業(yè)績增長。

4 基于壓電式理論的應(yīng)急響應(yīng)體系

4.1體系構(gòu)建基于壓電式理論與美國的應(yīng)急響應(yīng)實(shí)踐，結(jié)合我國企業(yè)管理現(xiàn)狀，本文構(gòu)建了一套適用于我國企業(yè)的壓電式應(yīng)急響應(yīng)模式，如圖2所示。企業(yè)在應(yīng)對網(wǎng)絡(luò)安全事件時，如果要像壓電式傳感器那樣高效運(yùn)轉(zhuǎn)，就需要在事前、事中和事后的三階段全過程管理的基礎(chǔ)上，以變化事件、態(tài)勢感知與關(guān)鍵性對齊作為行動導(dǎo)向，構(gòu)建高效和閉環(huán)的壓電式響應(yīng)體系。在事前響應(yīng)階段，變化事件是企業(yè)關(guān)注的重點(diǎn)，態(tài)勢感知主要在事中階段發(fā)揮作用，關(guān)鍵性對齊的策略則是貫穿事前、事中和事后三個階段。

圖2 基于壓電式理論的應(yīng)急響應(yīng)體系

事前響應(yīng)是壓電式響應(yīng)體系中最關(guān)鍵，也是需要投入最多的一環(huán)。在管理層的推動下，企業(yè)要完成對風(fēng)險誘因以及安全事件的識別(變化事件)，然后確定組織最重要的資產(chǎn)，在合規(guī)合法的基礎(chǔ)上圍繞關(guān)鍵資產(chǎn)制定響應(yīng)計劃，并通過協(xié)調(diào)和調(diào)整組織的政策制度促進(jìn)兩者對齊(關(guān)鍵性對齊)，確保與外部組織和機(jī)構(gòu)建立關(guān)系，保證需要時可以迅速獲取幫助(態(tài)勢感知)。

在安全事件發(fā)生階段，在對安全事件進(jìn)行性質(zhì)評估的基礎(chǔ)上(變化事件)啟動頻帶外的通訊系統(tǒng)，然后根據(jù)事件的類型迅速啟動對應(yīng)的響應(yīng)計劃，在記錄和收集相關(guān)信息的同時聯(lián)系外部組織協(xié)同應(yīng)對(態(tài)勢感知)，充分調(diào)動所有可能的資源來保障組織的關(guān)鍵資產(chǎn)與核心業(yè)務(wù)(關(guān)鍵性對齊)。

在事后階段，組織應(yīng)當(dāng)在保持監(jiān)控異常事件的基礎(chǔ)上，進(jìn)行回顧與經(jīng)驗(yàn)總結(jié)，進(jìn)一步調(diào)整和優(yōu)化組織的響應(yīng)方案(關(guān)鍵性對齊)，從而形成完整的閉環(huán)響應(yīng)體系。

4.2與傳統(tǒng)應(yīng)急響應(yīng)體系的比較基于壓電式理論的應(yīng)急響應(yīng)體系與傳統(tǒng)體系的差異主要體現(xiàn)在三個方面：首先是核心導(dǎo)向差異。傳統(tǒng)的應(yīng)急響應(yīng)體系以降低網(wǎng)絡(luò)安全事件的負(fù)面影響與提升企業(yè)合規(guī)性為主要目標(biāo)，但是壓電式以保障企業(yè)的商業(yè)績效為核心導(dǎo)向，更加契合現(xiàn)代企業(yè)的運(yùn)營宗旨，也就是用最小的成本實(shí)現(xiàn)業(yè)務(wù)目標(biāo)并保持業(yè)務(wù)連續(xù)性。第二是響應(yīng)策略的差異。傳統(tǒng)的應(yīng)急響應(yīng)體系主要強(qiáng)調(diào)全過程閉環(huán)管理，壓電式強(qiáng)調(diào)關(guān)鍵性對齊的響應(yīng)策略，將企業(yè)的人力資源與技術(shù)整合調(diào)配到最關(guān)鍵的系統(tǒng)與最薄弱的環(huán)節(jié)，更加符合現(xiàn)代企業(yè)的管理理念。第三是防護(hù)邏輯的差異。傳統(tǒng)的應(yīng)急響應(yīng)體系主要通過提升和優(yōu)化防御手段來確保組織的信息資產(chǎn)安全，但由于風(fēng)險的未知性和內(nèi)外環(huán)境的不確定性，防護(hù)手段的優(yōu)化升級往往跟不上風(fēng)險事件的變化，所以壓電式理論強(qiáng)調(diào)提升組織面對未知風(fēng)險的響應(yīng)能力來抵消潛在的負(fù)面影響，更適用于當(dāng)前復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。此外，由圖2可知，基于美國實(shí)踐經(jīng)驗(yàn)的應(yīng)急響應(yīng)策略蘊(yùn)含著壓電式理論中風(fēng)險事件、態(tài)勢感知與關(guān)鍵性對齊的理念，壓電式理論也已經(jīng)廣泛應(yīng)用于亞太地區(qū)的多個國家與組織，其核心理念已在企業(yè)的實(shí)踐活動中到驗(yàn)證[4]，充分體現(xiàn)了壓電式理論應(yīng)用于應(yīng)急響應(yīng)體系的適用性與可行性。

5 對我國的啟示

5.1提升企業(yè)管理層對網(wǎng)絡(luò)安全的認(rèn)知美國的實(shí)踐經(jīng)驗(yàn)表明，管理層的重視和推動對應(yīng)急響應(yīng)體系的構(gòu)建至關(guān)重要。鑒于網(wǎng)絡(luò)安全事件的多樣性、復(fù)雜性與不確定性，如果企業(yè)高管對網(wǎng)絡(luò)安全以及應(yīng)急響應(yīng)沒有足夠的認(rèn)知和重視，企業(yè)的應(yīng)急管理往往只是紙上談兵或者流于形式。因此，我國應(yīng)該鼓勵和倡導(dǎo)面向企業(yè)管理層的網(wǎng)絡(luò)安全教育和培訓(xùn)，并建立完善對企業(yè)高管的約談機(jī)制。此外，鑒于我國缺乏針對企業(yè)網(wǎng)絡(luò)安全行為的激勵機(jī)制[14]，可以考慮通過賦予榮譽(yù)稱號、研發(fā)補(bǔ)貼、網(wǎng)絡(luò)安全建設(shè)補(bǔ)貼等激勵手段來鼓勵企業(yè)高管關(guān)注網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的建設(shè)。

5.2引導(dǎo)企業(yè)建立全過程應(yīng)急響應(yīng)體系正如《最佳實(shí)踐》所提倡的，企業(yè)應(yīng)該建立全過程的、閉環(huán)式與清單式的應(yīng)急響應(yīng)體系，其優(yōu)點(diǎn)主要體現(xiàn)在以下三個方面：第一，根據(jù)事前、事中和事后三個階段制定不同的響應(yīng)策略，更有利于安全事件的識別與處理，最大程度地降低和消除其負(fù)面影響；第二，閉環(huán)的特性可以讓響應(yīng)計劃在系統(tǒng)反饋與經(jīng)驗(yàn)總結(jié)的基礎(chǔ)上保持更新和優(yōu)化，從而有效應(yīng)對不斷變化的安全事件；第三，清單式的準(zhǔn)備步驟與響應(yīng)策略確保了響應(yīng)體系的實(shí)用性與可操作性。

5.3倡導(dǎo)企業(yè)踐行關(guān)鍵性對齊的響應(yīng)策略作為壓電式理論的關(guān)鍵要素之一，關(guān)鍵性對齊是壓電式應(yīng)急響應(yīng)體系的核心策略。從壓電式理論的視角來看，企業(yè)應(yīng)對安全事件的關(guān)鍵是調(diào)整和協(xié)調(diào)組織內(nèi)部資源應(yīng)對變化事件的能力，也就是關(guān)鍵性對齊的能力。所謂對齊，是通過調(diào)整與協(xié)調(diào)，令有偏差的兩種系統(tǒng)或者狀態(tài)趨同或統(tǒng)一。關(guān)鍵性對齊的響應(yīng)策略主要體現(xiàn)在三個方面：第一是企業(yè)的保護(hù)重點(diǎn)與關(guān)鍵資產(chǎn)的對齊，第二是企 業(yè)響應(yīng)計劃與組織政策的對齊，第三是企業(yè)的響應(yīng)體系與薄弱以及關(guān)鍵環(huán)節(jié)的對齊。

5.4為企業(yè)提供專業(yè)的法律服務(wù)與指導(dǎo)值得注意的是，美國的《最佳實(shí)踐》著重強(qiáng)調(diào)了合規(guī)合法與法律服務(wù)對企業(yè)應(yīng)急管理的重要性，并建議企業(yè)聘請專門的網(wǎng)絡(luò)安全法律專員或外部顧問。相較于美國的法律體系，我國網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)雖起步較晚，但是也在近年來逐步完善和健全。然而，由于一系列相關(guān)的法案都是在較短的時間周期內(nèi)發(fā)布，或尚處公開征求意見的階段，很多企業(yè)并不能及時了解和踐行相關(guān)的法規(guī)與建議，這就凸顯了提供專業(yè)的法律指導(dǎo)與服務(wù)的重要性。可以通過法律宣講會、免費(fèi)法律咨詢專線、搭建線上法務(wù)咨詢平臺、協(xié)助企業(yè)進(jìn)性網(wǎng)絡(luò)安全法規(guī)培訓(xùn)等形式，確保應(yīng)急響應(yīng)體系的建設(shè)在合規(guī)合法的框架內(nèi)展開。

5.5促進(jìn)企業(yè)與政府機(jī)構(gòu)的協(xié)同響應(yīng)美國的實(shí)踐經(jīng)驗(yàn)再三強(qiáng)調(diào)了政府執(zhí)法部門在企業(yè)應(yīng)急響應(yīng)過程中的重要性，《最佳實(shí)踐》也正是美國的政府機(jī)構(gòu)與私營企業(yè)在合作處理網(wǎng)絡(luò)安全事件的過程中，匯集而成的系統(tǒng)性經(jīng)驗(yàn)。由此可見，企業(yè)和政府部門的合作對提升響應(yīng)的有效性大有裨益。因此，我國應(yīng)考慮建立網(wǎng)信部門、電信主管部門、公安部門以及其他相關(guān)部門與企業(yè)對話合作的通道，一方面可以給予企業(yè)專業(yè)的指導(dǎo)，另一方面也可以從企業(yè)獲取安全事件的信息數(shù)據(jù)以及處理經(jīng)驗(yàn)，從而促進(jìn)我國實(shí)踐層面的應(yīng)急響應(yīng)預(yù)案出臺。我國的政府機(jī)構(gòu)可以與知名大型企業(yè)構(gòu)建網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的信息共享機(jī)制[15]，鼓勵企業(yè)向政府機(jī)構(gòu)匯報和上傳與安全事故有關(guān)的數(shù)據(jù)及處置流程，相關(guān)機(jī)構(gòu)對數(shù)據(jù)信息進(jìn)行統(tǒng)籌分析后，同法律服務(wù)信息等一并在網(wǎng)絡(luò)共享平臺發(fā)布，為更多的企業(yè)提供具有可操作性和實(shí)用價值的應(yīng)急響應(yīng)指導(dǎo)。