李艷霄

（國家工業(yè)信息安全發(fā)展研究中心，北京100040）

0 引 言

2021年11月，美國國土安全部網(wǎng)絡安全與基礎設施安全局（Cybersecurity And Infrastructure Security Agency，CISA）發(fā)布《網(wǎng)絡安全事件與漏洞響應指南》（以下簡稱《指南》），旨在為聯(lián)邦機構應對網(wǎng)絡安全事件和漏洞響應提供一套標準程序手冊，從而有效開展對網(wǎng)絡安全事件及漏洞的識別、應對及上報活動?！吨改稀酚蓛刹糠纸M成：一是網(wǎng)絡安全事件響應程序；二是漏洞響應程序。《指南》的發(fā)布標志著美國已經(jīng)制定了一套標準化的聯(lián)邦政府網(wǎng)絡安全事件處理程序，將形成整體性網(wǎng)絡防御行動能力。

1 《指南》出臺背景

近年來，網(wǎng)絡和信息安全已成為美國國家安全的重要組成部分，針對日益加劇的網(wǎng)絡安全威脅，美國出臺多項網(wǎng)絡安全政策，采取多種措施，努力加強本國的網(wǎng)絡和信息安全。2021年5月，美國總統(tǒng)拜登簽署第14028號行政令“關于加強國家網(wǎng)絡安全”。行政令要求提升美國聯(lián)邦機構網(wǎng)絡安全事件檢測和響應，以及應對威脅的能力[1-2]。為落實上述要求，2021年11月16日，CISA發(fā)布《指南》?！吨改稀窞槁?lián)邦行政部門提供了一套標準程序，該《指南》不適用于涉密信息網(wǎng)絡及國家安全系統(tǒng)威脅。

2 《指南》主要內容

《指南》明確了網(wǎng)絡安全事件和漏洞響應兩類處理程序，相關處理程序主要是按照《美國法典》《愛國者法案》等9項法律法規(guī)，《美國國土安全部網(wǎng)絡安全戰(zhàn)略》《美國網(wǎng)絡事件協(xié)調（PPD-41）》等19項政府文件，《聯(lián)邦事故通知指南》等3項標準和《網(wǎng)絡事件報告最佳做法》1項最佳實踐，共計32份文件編制而成。

2.1 概念界定

《指南》對重大事件及其等級進行了界定。重大事件是指任何可能對美國國家安全利益、外交關系、經(jīng)濟或公眾造成明顯損害的事件，其包括3級、4級、5級事件。其中，第3級事件（橙色），定義為“可能對公共健康或安全、國家安全、經(jīng)濟安全，對外關系、公民自由或公眾信心產(chǎn)生明顯影響”的事件；第4級事件（紅色），定義為“可能對公共健康或安全、國家安全、經(jīng)濟安全、外交關系或公民自由產(chǎn)生重大影響”的事件；第5級事件（黑色），定義為“對提供廣泛的關鍵基礎設施服務、國家政府穩(wěn)定或人民生命構成迫在眉睫的威脅”。發(fā)生與上述相關的網(wǎng)絡安全事件或漏洞應執(zhí)行《指南》要求。

2.2 網(wǎng)絡安全事件響應程序

網(wǎng)絡安全事件響應程序包括準備、檢測與分析、遏制、根除和恢復、事后活動、協(xié)調6方面內容。事件響應過程如圖1所示。

2.2.1 準備階段

在重大事件發(fā)生前做好相關準備，以減輕對組織的影響。記錄和理解事件反應的政策和程序；監(jiān)視并檢測可疑惡意活動；制定人員配置計劃；對用戶開展網(wǎng)絡威脅和通知程序相關培訓；利用網(wǎng)絡威脅情報主動識別潛在惡意活動。其中，監(jiān)視工作由CISA使用的愛因斯坦入侵檢測系統(tǒng)負責，當檢測到可疑活動時發(fā)出警報，并實時監(jiān)測網(wǎng)絡態(tài)勢變化。

2.2.2 檢測與分析

及時確定入侵活動是否已經(jīng)發(fā)生，如果發(fā)生，則確定云、主機和網(wǎng)絡系統(tǒng)受害的類型和程度。檢查主機、防火墻、日志以及其他網(wǎng)絡數(shù)據(jù)（如路由器流量）的異常情況，對事件進行初步分類后上報CISA；按照美國國家標準與技術研究院SP 800-61《計算機安全事件處理指南》標準要求進行分類、優(yōu)先排序，收集潛在證據(jù)；建立事件時間表，記錄和描述事件；查明事件的根源，收集威脅信息，評估網(wǎng)絡和系統(tǒng)變化；如有需要，可調用聯(lián)邦網(wǎng)絡授權進行事件響應和追捕協(xié)助。

2.2.3 遏制

遏制是事件反應的高度優(yōu)先事項，通過實施短期緩解措施，以隔離威脅并防止威脅轉移到其他系統(tǒng)。主要活動包括：確定遏制戰(zhàn)略；隔離受影響的系統(tǒng)和網(wǎng)絡；更新防火墻過濾規(guī)則；攔截并記錄非授權訪問；關閉特定端口和郵件服務器；更換系統(tǒng)管理員密碼、服務或應用賬戶信息等。

2.2.4 根除和恢復

修復所有受感染的IT環(huán)境，例如云、主機和網(wǎng)絡系統(tǒng)等；重建硬件；安裝補丁；重置已泄露的賬戶密碼；監(jiān)視對手對遏制活動作出的反應。

2.2.5 事后活動

這一階段的目標是記錄入侵事件，向機構領導層通報情況，加強防護措施防止類似事件發(fā)生，并借鑒經(jīng)驗教訓改進對未來事件的處理，尋找并解決業(yè)務上的“盲點”。

2.2.6 協(xié)調

《指南》要求在事件確定后1小時內將初次事故報告通知CISA。從CISA國家網(wǎng)絡安全事件評分系統(tǒng)中獲取事件優(yōu)先等級。隨后，CISA將與聯(lián)邦調查局、國家情報主任辦公室等取得聯(lián)系共同完成以下內容，如表1所示。

表1 聯(lián)邦政府為落實《國家網(wǎng)絡事件響應計劃》的努力方向

2.3 漏洞響應程序

《指南》規(guī)范了政府機構應對緊急和高優(yōu)先級漏洞時應遵循的流程。漏洞響應程序包括識別、評估、修復和報告4個階段。

2.3.1 識別階段

有效的漏洞響應建立在強有力的漏洞管理之上。跟蹤操作系統(tǒng)和其他應用程序，掌握系統(tǒng)中可能存在的漏洞，以及潛在漏洞的影響。通過監(jiān)控威脅流主動識別漏洞情況，具體過程如圖2所示。

2.3.2 評估階段

確定漏洞是否存在，對于主動攻擊型漏洞，需使用“快速”工具，開展與漏洞相關的掃描。如有需要，可與第三方事故應對人員合作。

2.3.3 修復階段

及時修復漏洞，具體措施包括：限制訪問，隔離易受攻擊的系統(tǒng)、應用程序、服務、配置文件等。

2.3.4 報告階段

共享漏洞信息，向CISA報告漏洞修補程序及響應狀態(tài)。

3 初步認識

《指南》的發(fā)布將使美聯(lián)邦政府在重大網(wǎng)絡安全事件與漏洞響應方面有章可依，未來將大幅提升美國網(wǎng)絡安全事件及漏洞檢測和響應處理能力。

3.1 美國將進一步加強網(wǎng)絡安全標準與指南等落地性政策的制定與實施

美國總統(tǒng)拜登在2021年5月簽署的《關于加強國家網(wǎng)絡安全的行政命令》中規(guī)定要制定專門手冊，使聯(lián)邦政府部門和機構更加高效地處理網(wǎng)絡安全事件。同時要求手冊需覆蓋國家標準與技術研究院的相關要求。此次發(fā)布的《指南》在編制過程中參考了30余份法律政策與標準文件制定而成，完全符合拜登政府行政令的要求。美國從網(wǎng)絡安全事件與漏洞的確定、處理到報告，提出了系列操作規(guī)程與標準，清晰闡明了事件各個階段的處理重點與要求，預計《指南》正式實施后將大幅提升美聯(lián)邦政府和機構網(wǎng)絡安全事件處理效率。雖然美國涉密信息網(wǎng)絡和國家安全系統(tǒng)網(wǎng)絡威脅活動不適用于本《指南》，但是《指南》的發(fā)布為美聯(lián)邦政府機構處理重大網(wǎng)絡安全事件與漏洞事故給出了標準化操作流程，未來也將向非政府部門推廣使用。

3.2 美國將協(xié)調各部門形成合力，提高網(wǎng)絡安全事件處理效率

美國網(wǎng)絡安全事件應急響應處置工作一般涉及國土安全部門、情報部門、國防及司法部門等，每個部門又包括多個下設機構，如此繁雜的內設機構如何快速有效地處理網(wǎng)絡安全事件，事關美國國家安全利益。為此，美國通過多年探索將舉全政府之力加強網(wǎng)絡安全防護[3]。其通過明確職責與合作模式，暢通上報機制，形成合力高效地處理網(wǎng)絡安全事件。

美國通過細化網(wǎng)絡安全應急響應不同階段的重點工作與機構職責和分工，從而進一步提升網(wǎng)絡安全事件處理效率。如在威脅反應階段，工作側重是開展調查活動，此時需要司法部、聯(lián)邦調查局等部門行動。在威脅識別后要加強資產(chǎn)保護，此時工作側重是減輕攻擊活動帶來的不良影響，將事件影響降到最低，此時需要國土安全部與CISA等部門開展行動。匯編分析機構信息安全數(shù)據(jù)，制定和進行有針對性的威脅和脆弱性評估等。在威脅趨勢分析階段，要調查如何降低對手入侵能力，此時需要國家情報主任辦公室、網(wǎng)絡威脅情報整合中心等部門開展行動。

3.3 美國注重形成主動性、整體性的網(wǎng)絡防御能力

近年來，美國政府通過施行“懾戰(zhàn)并舉”“前出防御”以及“智能化網(wǎng)絡安全防御”等防御理念，不斷加強網(wǎng)絡安全防御能力。著重構建主動防御能力，例如將攻擊者重新定向到蜜罐系統(tǒng)。蜜罐是一類對網(wǎng)絡攻擊方進行欺騙的技術，通過布設誘餌主機，誘使攻擊者對其進行攻擊，從而對攻擊行為進行捕獲和分析，獲取攻擊工具、動機意圖等信息，甚至對攻擊者進行追蹤溯源，能提高系統(tǒng)和網(wǎng)絡的安全防護能力[4]。同時，美國通過開展“網(wǎng)絡空間感知與理解”項目、“大規(guī)模網(wǎng)絡捕獵”項目等系列智能網(wǎng)絡安全防御項目，不斷提升其網(wǎng)絡空間態(tài)勢感知能力。美國注重從全局視角出發(fā)，提升對網(wǎng)絡安全威脅的及時發(fā)現(xiàn)、實時分析、應急響應能力，最終實現(xiàn)快速決策與保護行動。標準化落地政策加智能化網(wǎng)絡防御工具雙管齊下的發(fā)展模式將幫助美國迅速提升整體性網(wǎng)絡防御能力。

3.4 美國著重加強網(wǎng)絡安全事件的經(jīng)驗總結與信息共享

美國十分重視網(wǎng)絡安全事件的經(jīng)驗總結工作。特別強調要加強對安全事件進行編目，從而更好地管理未來類似事件、指導分析與搜索安全漏洞等。同時，多年來美國一直十分重視網(wǎng)絡安全信息共享從頂層謀劃到細則落地，有效指導了美國網(wǎng)絡安全工作開展。早在2012年奧巴馬政府就發(fā)布《信息共享與安全保障國家戰(zhàn)略》，要求美國政府機構間加強情報交流建立數(shù)據(jù)共享機制，重點加強涉密和敏感非密信息保護。2015年4月，美國國防部發(fā)布《2015年國防部網(wǎng)絡戰(zhàn)略》要求美軍加強網(wǎng)絡威脅情報與信息共享，維護美國核心利益。2018年5月，美國國土安全部發(fā)布《網(wǎng)絡空間安全戰(zhàn)略》要求加強合作，從而有效應對網(wǎng)絡漏洞與威脅[5]。2020年3月，美國網(wǎng)絡空間日光浴委員會①美國網(wǎng)絡空間日光浴委員會以艾森豪威爾時代，在美國白宮日光浴室召開的一次會議為藍本命名。委員會根據(jù)《2019財年國防授權法案》授權，于2019年5月成立。專門負責系統(tǒng)評估美國當前網(wǎng)絡安全政策的有效性，并直接向美國政府和國會提交網(wǎng)絡安全戰(zhàn)略和政策等頂層指導文件。發(fā)布《來自未來的警告》報告，建議美國政府加強與私營部門合作，共享網(wǎng)絡威脅信息。此次發(fā)布的《指南》要求通信技術服務商要向CISA報告網(wǎng)絡事件，并與聯(lián)邦機構合作開展相關調查工作。

4 結 語

近年來，CISA在聯(lián)合各部門加強網(wǎng)絡態(tài)勢感知、情報威脅共享方面的總體協(xié)調作用得到進一步強化，此次《指南》的發(fā)布是落實美國拜登政府關于加強國家網(wǎng)絡安全的最直接體現(xiàn)。歷來，各國在頂層網(wǎng)絡安全戰(zhàn)略政策制定與底層標準實踐銜接方面存在較大差距，可操作性不明朗。但是，拜登政府特別注重國家戰(zhàn)略政策與具體落地政策的銜接。美國計劃通過標準化共享實踐，將最佳解決方案和人才聚集在一起，推動聯(lián)邦政府的網(wǎng)絡安全應對實踐不斷發(fā)展。未來，在提高組織網(wǎng)絡安全實踐中，美國將重視發(fā)揮標準、指南等一系列落地性政策的牽引作用。