論互聯網安全應急響應開放中心（ESRC）模式對加強央企網絡安全管理的意義

劉明 彭軾 彭天齊 崔亞富 張洪喜

摘 ?要：互聯網國家層面的網絡安全應急響應機制日益完善，關鍵基礎設施的網絡安全防護要求提高，互聯網安全應急響應開放中心（ESRC）是企業網絡安全的重要一環。本文主要探討央企安全管理面臨的新的要求，互聯網安全應急響應開放中心（ESRC）模式解決央企網絡安全的社會化門戶、規范吸納社會網絡安全力量、企業間交流與協作、高效和開放方面的問題。

關鍵詞：網絡安全;應急響應;央企;安全管理

前言：

信息技術廣泛應用和網絡空間興起發展，極大促進經濟社會繁榮進步，同時也帶來新的安全風險和挑戰。網絡空間安全（以下簡稱網絡安全）事關人類共同利益，事關世界和平與發展，事關各國國家安全[2]。世界各國也加強網絡空間的建設，維護各自的網絡空間主權。

為維護我國網絡安全，保障互聯網健康有序的發展，近年來，我國持續推進網絡安全法律法規體系建設，完善網絡安全管理體制機制，不斷加強互聯網網絡安全監測和治理，構建互聯網發展安全基礎，構筑網民安全上網環境。作為網絡安全保障的主體，國家監管機構、企業等各方面力量各自發揮自己的作用。

1.互聯網安全響應開放中心（ESRC）

大型企業的業務模式多，涉及產品多，且部分具有互聯網的在線特性，使得善意的、惡意的人都能接觸到。由于當今技術發展情況和人為原因，系統具有安全漏洞不可避免。這樣漏洞被外界發現不可避免。

對于安全漏洞披露，互聯網工作組的“負責任的安全漏洞披露過程”基本是業界共識。互聯網企業講究“小步快跑敏捷迭代”，率先在吸引外部安全力量規范地參與進企業產品的漏洞發掘與披露方面開展了工作。

1.1 SRC概念和特點

SRC（SecurityResponse Center），即安全應急響應中心，目前沒有統一的標準的定義，一般只籠統地定義為：主要針對科技互聯網企業常見的安全漏洞而特別設立的機構[1]。是在實踐中為了解決實際問題而產生的。

SRC的核心是一套漏洞收集平臺，面向社會收集企業自身產品或者第三方的安全漏洞。從實踐來看，絕大多數的SRC定位于企業自身產品和社會網絡安全力量的窗口。核心之外，配套的有：漏洞獎勵計劃、漏洞通知和修復驗證的流程管理、甚至有項目眾測等。

SRC本身就是企業的一個窗口，傳遞企業對安全的態度。SRC一個很直接的功能就是內部安全系統的試金石。稍具規模重視安全的企業肯定有自己的安全團隊和系統，那為何還會被外部發現漏洞？一定是相關團隊和系統存在這樣那樣的疏漏所致[1]。SRC啟動了企業安全的復盤、分析和改進進程。

1.2 我國SRC建設情況

（1）企業門戶性質的SRC

2012年5月，騰訊率先推出騰訊安全應急響應中心（TSRC）。

2013年1月，網易也推出了漏洞報告平臺。接著京東、百度、阿里等都相繼推出，SRC模式基本被大型互聯網企業接受并且如火如荼地開展。這一年可以稱為“SRC元年”[1]。

隨著安全行業的發展，像深信服、中興、聯想、華為、這樣的傳統企業都開展了SRC。據統計，目前所有的電商、安全廠商、通信廠商等互聯網企業架設并運營自己的SRC平臺。

（2）第三方平臺性質的SRC

360旗下“補天”漏洞響應平臺，定位側重于處理第三方web應用漏洞等安全問題，漏洞數據同步公安部、網信辦和國家漏洞庫。

漏洞盒子是一個主打眾包模式的漏洞發現與處理平臺，幫助企業測試產品中潛在的安全風險，FreeBuf黑客與極客團隊產品，具備與各企業SRC合作的窗口。

2.我國的網絡安全應急響應機制

我國計算機網絡應急處理體制中的牽頭單位，為中國計算機網絡應急處理技術協調中心（簡稱中國互聯網應急中心，英文簡稱CNCERT或CNCERT/CC），成立于2001年8月。其主要職責為：“積極預防、及時發現，快速響應、力保恢復”的方針，開展互聯網網絡安全事件的預防、發現、預警和協調處置等工作，維護國家公共互聯網安全，保障關鍵信息基礎設施的安全運行[2]。

CNCERT發起成立了國家信息安全漏洞共享平臺（CNVD）、中國反網絡病毒聯盟（ANVA）和中國互聯網網絡安全威脅治理聯盟（CCTGA），與國內的基礎電信企業、增值電信企業、域名注冊服務機構、網絡安全服務廠商等建立漏洞信息共享、網絡病毒防范、威脅治理和情報共享等工作機制，加強網絡安全信息共享和技術合作[2]。還通過公開選拔方式，選擇國內安全專業廠商成為“網絡安全應急服務支撐單位”，目前共有10家國家級和51家省級應急服務支撐單位。

3.央企的網絡安全管理

3.1央企的網絡安全管理形勢

我國積極推進網絡安全方面的建設，頒布并實施《網絡安全法》以及一系列的配套法律規范。在網絡安全法中明確了對關鍵基礎設施的網絡安全防護要求。針對關鍵基礎設施進行網絡攻擊，會造成重大網絡安全事件，甚至社會性事件。當經的國際國內網絡安全形勢下，關鍵基礎設施處在網絡攻防的火線位置。央企，是國計民生基礎行業的經濟實體，是這些關鍵基礎設施的建設者和運營者，當今的網絡安全形勢給央企的網絡安全管理提出了更高的要求。

目前，中央企業已經在媒體、物資采購等方面資源整合和協作，成立了“央企媒體聯盟”、“央企電商聯盟”等組織。我國網絡安全行業的“國家隊”-中國電子信息產業集團，聯合網絡安全廠商-北京奇安信科技有限公司，于2019年5月宣布，將合作推進“央企網絡安全響應中心”的建設。

3.2央企的網絡安全管理面臨的問題

（1）網絡安全形勢嚴峻，現有網絡安全管理機制和能力面臨極大挑戰;

（2）各央企的網絡安全方面的建設水平層次不齊;

（3）央企的網絡安全管理，沿襲傳統管理思路和手段，各自為戰;

（4）央企的網絡安全處于總體封閉狀態，與社會網絡安全力量沒有交流和協作渠道;

（5）央企內部安全資產管理、網絡攻防人員管理、網絡安全漏洞動態監測等俱需要更加開放、高效，與社會接軌。

4.ESRC對于加強央企網絡安全管理的意義

央企搭建互聯網安全應急中心（ESRC），可作用于網絡安全管理的諸多方面。

（1）央企網絡安全管理與互聯網的思路與方式接軌，直面網絡安全方面的挑戰，使央企網絡安全更有效納入國家網絡安全應急處理響應體系;

（2）搭建了央企網絡安全的門戶，促進了交流與開放，為央企與互聯網企業、央企之間的網絡安全交流與協作提供了渠道，使協作與互助成為可能;

（3）引導網絡安全社會力量規范納入央企的攻防安全體系，為央企引入新的安全測試方式;

（4）使央企內部的安全資產管理、網絡攻防人員管理、安全態勢動態監測，更加高效和開放，網絡安全防護能力和保障能力大大增強。

5.總結

在新的網絡安全時代下，國家層面的網絡安全應急處理響應機制的發展，對關鍵基礎設施的網絡安全的防護要求，都對央企的網絡安全管理提出了更高的要求;互聯網企業的安全應急中心（ESRC）模式的發展，給央企的網絡安全管理提供了新的思路與方式。互聯網安全應急中心（ESRC）模式，能構建央企網絡安全門戶，促進交流與協作，引導社會安全力量規范安全攻防體系，可有效加強央企的網絡安全管理。

參考文獻

[1] ?騰訊安全應急響應中心.《企業安全應急響應中心建設理論與實踐》.2015

[2] ?國家互聯網應急中心.國家計算機網絡應急技術處理協調中心.《2018年中國互聯網網絡安全報告》.北京：人民郵電出版社，2019.

[3] 國家互聯網應急中心.國家計算機網絡應急技術處理協調中心.《2019年上半年我國互聯網網絡安全態勢》.2019

[4] ?聶君.李燕.何楊軍.企業安全建設指南[M].北京：人民郵電出版社.2019.3 379-387.393-396