美國網(wǎng)絡(luò)事件響應(yīng)問題研究
——機(jī)構(gòu)、行動(dòng)及特點(diǎn)

◎國防科技大學(xué)信息通信學(xué)院 鄭理 葛曉慧

網(wǎng)絡(luò)事件是指惡意攻擊行為體（個(gè)人或政治集團(tuán)）利用計(jì)算機(jī)網(wǎng)絡(luò)發(fā)起的針對目標(biāo)主機(jī)或系統(tǒng)，或系統(tǒng)中承載的數(shù)據(jù)的不良行為，包括破壞網(wǎng)絡(luò)或網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、未授權(quán)訪問、數(shù)據(jù)竊取或篡改等等，其影響包括網(wǎng)絡(luò)域和受網(wǎng)絡(luò)系統(tǒng)控制的物理設(shè)施域。

針對越來越頻發(fā)的網(wǎng)絡(luò)事件，美國政府相應(yīng)出臺(tái)了PPD-41（第41號總統(tǒng)政策指令）《美國網(wǎng)絡(luò)事件協(xié)調(diào)》和《國家網(wǎng)絡(luò)事件響應(yīng)協(xié)調(diào)計(jì)劃》，從國家戰(zhàn)略層面、行動(dòng)協(xié)調(diào)層面，以及威脅響應(yīng)協(xié)調(diào)、設(shè)施響應(yīng)協(xié)調(diào)、情報(bào)支撐保障等角度闡述了美聯(lián)邦政府應(yīng)對網(wǎng)絡(luò)事件采取的基本協(xié)調(diào)機(jī)制和戰(zhàn)略框架，為應(yīng)對網(wǎng)絡(luò)事件，尤其是對國家安全和經(jīng)濟(jì)系統(tǒng)產(chǎn)生嚴(yán)重影響的網(wǎng)絡(luò)事件提供了重要指導(dǎo)。

一、戰(zhàn)略協(xié)調(diào)機(jī)構(gòu)

（一）主要機(jī)構(gòu)

建立以網(wǎng)絡(luò)響應(yīng)小組、網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組為主體的國家戰(zhàn)略協(xié)調(diào)機(jī)構(gòu)。

縱向上：網(wǎng)絡(luò)響應(yīng)小組受總統(tǒng)特別助理和網(wǎng)絡(luò)安全協(xié)調(diào)官領(lǐng)導(dǎo)，對總統(tǒng)國土安全和反恐助理負(fù)責(zé)，其上級機(jī)構(gòu)是國家安全委員會(huì)。網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組是網(wǎng)絡(luò)響應(yīng)小組下屬機(jī)構(gòu)之一，受網(wǎng)絡(luò)響應(yīng)小組領(lǐng)導(dǎo)，對網(wǎng)絡(luò)響應(yīng)小組負(fù)責(zé)，有權(quán)提出建議。《美國網(wǎng)絡(luò)事件協(xié)調(diào)》規(guī)定：當(dāng)重大網(wǎng)絡(luò)事件處置完畢后，網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組要在30天內(nèi)向網(wǎng)絡(luò)響應(yīng)小組呈交事件處置報(bào)告。

橫向上：網(wǎng)絡(luò)響應(yīng)小組與國家（災(zāi)害）恢復(fù)小組和反恐怖安全小組就網(wǎng)絡(luò)安全事宜和網(wǎng)絡(luò)反恐事宜進(jìn)行溝通協(xié)調(diào)。

（二）機(jī)構(gòu)組成

網(wǎng)絡(luò)響應(yīng)小組是一個(gè)跨部門的組織，其小組成員來自聯(lián)邦政府的多個(gè)機(jī)構(gòu)，主要為“部”一級。包括：國務(wù)院、財(cái)政部、國防部、司法部、商務(wù)部、能源部、國土安全部、美國特勤局、參聯(lián)會(huì)、國家情報(bào)總監(jiān)辦公室、聯(lián)邦調(diào)查局、國家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣隊(duì)、中情局、國家安全局，必要時(shí)，聯(lián)邦通信委員會(huì)、部門特定機(jī)構(gòu)也納入其中。

國家戰(zhàn)略協(xié)調(diào)機(jī)構(gòu)組成

網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組是一個(gè)非常設(shè)機(jī)構(gòu)，主要是根據(jù)相應(yīng)部門的領(lǐng)導(dǎo)和網(wǎng)絡(luò)事件的嚴(yán)重程度而決定是否啟動(dòng)。《美國網(wǎng)絡(luò)事件協(xié)調(diào)》規(guī)定了3種啟動(dòng)情況：國家安全委員會(huì)或代表委員會(huì)做出指示；網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組的2個(gè)或2個(gè)以上的參與方提出建議；發(fā)生可能造成嚴(yán)重后果的網(wǎng)絡(luò)事件。其參與方包括：司法部聯(lián)邦調(diào)查局和國家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣隊(duì)、國土安全部國家網(wǎng)絡(luò)安全和通信集成中心、國家情報(bào)總監(jiān)辦公室網(wǎng)絡(luò)威脅情報(bào)綜合中心，以及其它可能涉及到的聯(lián)邦政府部門，州、地方、部落和地區(qū)政府機(jī)構(gòu)，非政府組織、國際組織和私營企業(yè)。文件要求參與方要指派高級官員參加。

二者的區(qū)別與聯(lián)系：一是從組分的級別上來看，網(wǎng)絡(luò)響應(yīng)小組高于網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組，前者主要由美國聯(lián)邦政府的“部”一級機(jī)構(gòu)組成，決定了它有條件從政策層面實(shí)施協(xié)調(diào)，后者多為部下屬的執(zhí)行機(jī)構(gòu)組成，決定了它主要從行動(dòng)層面進(jìn)行協(xié)同。二是從參與的廣泛程度上看，網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組高于網(wǎng)絡(luò)響應(yīng)小組，前者在包含聯(lián)邦政府的基礎(chǔ)上，延伸到了州、地方、部落和地區(qū)政府，不僅如此，網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組的參與方還有非政府組織、國際組織和私營企業(yè)，這種組織機(jī)構(gòu)為公私合作、國際合作鋪平了道路，為從行動(dòng)層面集中更為廣泛的力量開展網(wǎng)絡(luò)事件響應(yīng)奠定了基礎(chǔ)，體現(xiàn)了“聯(lián)合”的特點(diǎn)。后者僅由聯(lián)邦政府組成，機(jī)構(gòu)相對精簡、單一，符合在政策層面開展協(xié)調(diào)工作的保密性要求，運(yùn)轉(zhuǎn)效率相對較高，體現(xiàn)了“精干”的特點(diǎn)。總體上看，網(wǎng)絡(luò)響應(yīng)小組主要從事國家政策層面的協(xié)調(diào)，網(wǎng)絡(luò)聯(lián)合協(xié)調(diào)組主要從事具體行動(dòng)層面的協(xié)調(diào)，它們的結(jié)構(gòu)符合其功能，并體現(xiàn)其功能。

二、行動(dòng)及特點(diǎn)

《國家網(wǎng)絡(luò)事件響應(yīng)協(xié)調(diào)計(jì)劃》中網(wǎng)絡(luò)事件響應(yīng)行動(dòng)包括：威脅響應(yīng)、設(shè)施響應(yīng)、情報(bào)支持和受影響對象的內(nèi)部響應(yīng)，這四類行動(dòng)雖然在文件中是獨(dú)立闡述的，但相互間緊密聯(lián)系、互為支撐，且以前三種為主。在執(zhí)行層面，威脅響應(yīng)由美國司法部聯(lián)邦調(diào)查局和國家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣隊(duì)牽頭實(shí)施；設(shè)施響應(yīng)由美國國土安全部國家網(wǎng)絡(luò)安全和通信集成中心牽頭實(shí)施；情報(bào)支持活動(dòng)由國家情報(bào)總監(jiān)辦公室網(wǎng)絡(luò)威脅情報(bào)綜合中心牽頭實(shí)施。下面重點(diǎn)就威脅響應(yīng)、設(shè)施響應(yīng)及情報(bào)支持這三種行動(dòng)進(jìn)行闡述。

（一）威脅響應(yīng)、設(shè)施響應(yīng)和情報(bào)支持行動(dòng)的劃分

網(wǎng)絡(luò)事件溯源于網(wǎng)絡(luò)空間，歸因于獨(dú)立國家行為體或個(gè)人，但造成的影響卻貫通網(wǎng)絡(luò)空間和物理空間，嚴(yán)重的會(huì)影響到國家安全。因此，對于嚴(yán)重網(wǎng)絡(luò)事件的處置要?dú)w因溯源，立案調(diào)查，排除潛在隱患，恢復(fù)受影響設(shè)施和系統(tǒng)，并建立常態(tài)化監(jiān)測和情報(bào)收集機(jī)制。

1.威脅響應(yīng)

威脅響應(yīng)主要是指針對網(wǎng)絡(luò)事件發(fā)起的源頭和發(fā)起者開展調(diào)查取證等相關(guān)執(zhí)法活動(dòng)。涉及一般（網(wǎng)絡(luò)）犯罪行為的，要立案、起訴，并對犯罪個(gè)體或集團(tuán)實(shí)施逮捕；涉及危害國家安全的，國土安全部門要介入其中開展調(diào)查，如美國特勤局、移民與海關(guān)執(zhí)法部國土安全調(diào)查局；涉及到國防信息網(wǎng)絡(luò)的，則由國防部負(fù)責(zé)處理。

2.設(shè)施響應(yīng)

設(shè)施響應(yīng)主要是指針對網(wǎng)絡(luò)事件已造成的影響，如對計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)的破壞，網(wǎng)絡(luò)癱瘓，以及對物理設(shè)施，尤其是支撐國家經(jīng)濟(jì)正常運(yùn)轉(zhuǎn)的關(guān)鍵基礎(chǔ)設(shè)施造成的影響而采取的恢復(fù)和減災(zāi)行為。對于設(shè)施響應(yīng)，聯(lián)邦政府重點(diǎn)關(guān)注的是國家關(guān)鍵基礎(chǔ)設(shè)施，通過建立信息共享和分析中心“對口協(xié)調(diào)”各類關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域（行業(yè)）。

3.情報(bào)支持

情報(bào)支持則貫穿威脅響應(yīng)、設(shè)施響應(yīng)的整個(gè)過程，包括事前的情報(bào)收集和危害預(yù)測，事后的犯罪調(diào)查和風(fēng)險(xiǎn)評估，重點(diǎn)在于提供一種支撐性活動(dòng)。

（二）特點(diǎn)分析

1.建立分類別的處置原則，既不遷就照顧，也不過分干預(yù)

網(wǎng)絡(luò)事件響應(yīng)活動(dòng)雖由國家層面的聯(lián)邦政府整體牽頭，但對于不同地域、不同領(lǐng)域的網(wǎng)絡(luò)事件的處置原則各不相同。針對發(fā)生在聯(lián)邦政府內(nèi)部的網(wǎng)絡(luò)事件：體現(xiàn)著高要求。明文規(guī)定對聯(lián)邦政府內(nèi)部網(wǎng)絡(luò)系統(tǒng)產(chǎn)生影響的網(wǎng)絡(luò)事件，從識(shí)別定性到通知國土安全部的高層不得超過1個(gè)小時(shí)（1小時(shí)反應(yīng)機(jī)制），這由聯(lián)邦政府網(wǎng)絡(luò)系統(tǒng)的高度涉密性和重要性所決定。為配合這一機(jī)制的實(shí)現(xiàn)，美國政府集中國內(nèi)精英力量建立了頂級的計(jì)算機(jī)安全事件響應(yīng)隊(duì)和安全運(yùn)行中心，在強(qiáng)有力的技術(shù)支持下，維護(hù)聯(lián)邦政府內(nèi)部網(wǎng)絡(luò)暢通和設(shè)施安全。針對發(fā)生在私營企業(yè)領(lǐng)域的網(wǎng)絡(luò)事件：體現(xiàn)自主原則。由于美國的私營企業(yè)對政府的依賴性相對較低，且對隱私、自由和信息共享的要求較高，因此一般情況下政府不干預(yù)。但所謂的“不干預(yù)”是有限度的不干預(yù)，即以企業(yè)自身處置為主，政府協(xié)助。在網(wǎng)絡(luò)技術(shù)高度發(fā)達(dá)的今天，美國政府通過相關(guān)機(jī)構(gòu)和技術(shù)手段，時(shí)時(shí)刻刻監(jiān)測私營企業(yè)的網(wǎng)絡(luò)運(yùn)行狀態(tài)和發(fā)生在私營企業(yè)內(nèi)部的網(wǎng)絡(luò)事件，如果私企自身因失察、失控或不作為導(dǎo)致網(wǎng)絡(luò)事件升級，政府則強(qiáng)制介入?yún)⑴c事件調(diào)查處理當(dāng)中，尤其是關(guān)系到國家安全的16個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。這是由政府和私企利益的不可分割性所決定的，即美國政府和私營企業(yè)有著共同利益、共同的責(zé)任。美國政府對私企的網(wǎng)絡(luò)事件不過多干預(yù)的另一個(gè)原因是美國有大量的網(wǎng)絡(luò)安全公司和信息服務(wù)公司，這些公司與企業(yè)簽有大量合同，即私企通過訂立合同的方式將本企業(yè)的網(wǎng)絡(luò)安全事宜交由網(wǎng)絡(luò)安全公司來托管，只需每年交納相應(yīng)費(fèi)用即可。針對發(fā)生在州、地區(qū)的網(wǎng)絡(luò)事件：體現(xiàn)合作原則。負(fù)責(zé)網(wǎng)絡(luò)空間安全的美國國土安全部通過向各個(gè)州派駐外勤人員，與各個(gè)州的“融合中心”、州首席信息安全官進(jìn)行合作辦公，包括經(jīng)驗(yàn)交流、培訓(xùn)和資格認(rèn)證。類似的還有在網(wǎng)絡(luò)事件調(diào)查處置中，聯(lián)邦調(diào)查局網(wǎng)絡(luò)工作隊(duì)設(shè)在全國范圍內(nèi)的56個(gè)地區(qū)性辦公室。針對發(fā)生在普通民眾身上的網(wǎng)絡(luò)事件：體現(xiàn)支持原則。由于針對普通民眾和家庭的網(wǎng)絡(luò)事件并不多見，且大多較為輕微，美國政府將相關(guān)的學(xué)習(xí)資源、行為指導(dǎo)和安全提示置于網(wǎng)上，供民眾學(xué)習(xí)和參考。

2.機(jī)構(gòu)設(shè)置互為補(bǔ)充，強(qiáng)力推進(jìn)信息共享

由于網(wǎng)絡(luò)事件具有一定隱蔽性，且擴(kuò)散速度快，難以監(jiān)測。為了有效應(yīng)對越來越頻發(fā)的網(wǎng)絡(luò)事件，美國政府建立了多種信息共享和分析中心（ISAC），較為典型的有：基于行業(yè)領(lǐng)域的ISAC、州際ISAC（即MS-ISAC）和組織較為靈活的ISAO。區(qū)別及主要功能如下：基于行業(yè)領(lǐng)域的ISAC是按照關(guān)鍵基礎(chǔ)設(shè)施行業(yè)來分類的，如化工業(yè)有從事化學(xué)品生產(chǎn)、存儲(chǔ)、分配、使用的民間協(xié)會(huì)和企業(yè)的代表所組成的化工業(yè)ISAC（Chemical-ISAC），這些代表來自美國化學(xué)理事會(huì)、美國石油協(xié)會(huì)、壓縮氣體協(xié)會(huì)、肥料研究所等10多個(gè)組織，它們通過本行業(yè)的ISAC共享網(wǎng)絡(luò)安全信息，體現(xiàn)了行業(yè)特色。州際ISAC用于美國各個(gè)州與聯(lián)邦政府之間共享網(wǎng)絡(luò)安全信息，彌補(bǔ)了前者信息共享于行業(yè)內(nèi)的局限，發(fā)揮了空間優(yōu)勢，而ISAO的設(shè)置則更為靈活，它既不受行業(yè)限制，也不受地理位置的限制，可以實(shí)現(xiàn)基于共同利益和興趣的網(wǎng)絡(luò)威脅信息共享，能夠從更大的程度上發(fā)展信息共享的參與者和調(diào)動(dòng)其積極性，尤其為美國的一些小型企業(yè)，以及特殊行業(yè)的企業(yè)參與到信息共享當(dāng)中開放了渠道，通過辦理相關(guān)手續(xù)，即可申請成為ISAO的會(huì)員，享受及時(shí)的信息共享帶來的互利互惠。由此可見，美國對信息共享的高度重視，對機(jī)構(gòu)設(shè)置的精心籌劃，客觀上也反映了在當(dāng)前如果沒有高效的信息共享難以應(yīng)對瞬息萬變的網(wǎng)絡(luò)事件。

3.法律保障為交錯(cuò)復(fù)雜的協(xié)調(diào)行動(dòng)提供了有力支持

在應(yīng)對網(wǎng)絡(luò)事件響應(yīng)的過程中，一方面涉及大量的跨不同領(lǐng)域、不同行業(yè)以及聯(lián)邦政府與州政府、政府機(jī)構(gòu)與私營企業(yè)間的行動(dòng)協(xié)調(diào)，另一方面，在公私跨域合作和信息共享的過程中，政府對企業(yè)網(wǎng)絡(luò)、系統(tǒng)的介入勢必接觸企業(yè)內(nèi)部的商業(yè)數(shù)據(jù)和員工隱私。因此，行動(dòng)的協(xié)調(diào)如何保障順暢開展，信息獲取、調(diào)查取證等如何保護(hù)公民和個(gè)人隱私顯得尤為重要。對此，美國政府通過立法對上述環(huán)節(jié)加以規(guī)范。如《網(wǎng)絡(luò)安全信息共享法》為聯(lián)邦政府、州和地區(qū)政府以及私營企業(yè)間共享信息提供法律保護(hù)和重要環(huán)境；《斯塔福德災(zāi)害救援和緊急援助法》規(guī)范了當(dāng)州政府在處理網(wǎng)絡(luò)事件中調(diào)用的資源超出其能力范圍時(shí)向聯(lián)邦政府請求援助的處理原則；《聯(lián)邦信息安全現(xiàn)代化法》規(guī)定了聯(lián)邦部門和機(jī)構(gòu)要在7天內(nèi)向國會(huì)、國土安全部、預(yù)算和管理辦公室報(bào)告重要網(wǎng)絡(luò)事件，并且每年要綜合報(bào)告一次；《國防生產(chǎn)法》規(guī)定了商務(wù)部工業(yè)和安全局在處置有關(guān)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件中的一些職責(zé)。上述法文列舉的不全，但各有其功能，并且在實(shí)踐中不斷完善和擴(kuò)充，綜合起來為美國的網(wǎng)絡(luò)事件響應(yīng)行動(dòng)的順利實(shí)施提供法律權(quán)威。