論互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)開放中心（ESRC）模式對加強(qiáng)央企網(wǎng)絡(luò)安全管理的意義

劉明 彭軾 彭天齊 崔亞富 張洪喜

摘 ?要：互聯(lián)網(wǎng)國家層面的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制日益完善，關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)要求提高，互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)開放中心（ESRC）是企業(yè)網(wǎng)絡(luò)安全的重要一環(huán)。本文主要探討央企安全管理面臨的新的要求，互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)開放中心（ESRC）模式解決央企網(wǎng)絡(luò)安全的社會化門戶、規(guī)范吸納社會網(wǎng)絡(luò)安全力量、企業(yè)間交流與協(xié)作、高效和開放方面的問題。

關(guān)鍵詞：網(wǎng)絡(luò)安全;應(yīng)急響應(yīng);央企;安全管理

前言：

信息技術(shù)廣泛應(yīng)用和網(wǎng)絡(luò)空間興起發(fā)展，極大促進(jìn)經(jīng)濟(jì)社會繁榮進(jìn)步，同時也帶來新的安全風(fēng)險和挑戰(zhàn)。網(wǎng)絡(luò)空間安全（以下簡稱網(wǎng)絡(luò)安全）事關(guān)人類共同利益，事關(guān)世界和平與發(fā)展，事關(guān)各國國家安全[2]。世界各國也加強(qiáng)網(wǎng)絡(luò)空間的建設(shè)，維護(hù)各自的網(wǎng)絡(luò)空間主權(quán)。

為維護(hù)我國網(wǎng)絡(luò)安全，保障互聯(lián)網(wǎng)健康有序的發(fā)展，近年來，我國持續(xù)推進(jìn)網(wǎng)絡(luò)安全法律法規(guī)體系建設(shè)，完善網(wǎng)絡(luò)安全管理體制機(jī)制，不斷加強(qiáng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測和治理，構(gòu)建互聯(lián)網(wǎng)發(fā)展安全基礎(chǔ)，構(gòu)筑網(wǎng)民安全上網(wǎng)環(huán)境。作為網(wǎng)絡(luò)安全保障的主體，國家監(jiān)管機(jī)構(gòu)、企業(yè)等各方面力量各自發(fā)揮自己的作用。

1.互聯(lián)網(wǎng)安全響應(yīng)開放中心（ESRC）

大型企業(yè)的業(yè)務(wù)模式多，涉及產(chǎn)品多，且部分具有互聯(lián)網(wǎng)的在線特性，使得善意的、惡意的人都能接觸到。由于當(dāng)今技術(shù)發(fā)展情況和人為原因，系統(tǒng)具有安全漏洞不可避免。這樣漏洞被外界發(fā)現(xiàn)不可避免。

對于安全漏洞披露，互聯(lián)網(wǎng)工作組的“負(fù)責(zé)任的安全漏洞披露過程”基本是業(yè)界共識。互聯(lián)網(wǎng)企業(yè)講究“小步快跑敏捷迭代”，率先在吸引外部安全力量規(guī)范地參與進(jìn)企業(yè)產(chǎn)品的漏洞發(fā)掘與披露方面開展了工作。

1.1 SRC概念和特點(diǎn)

SRC（SecurityResponse Center），即安全應(yīng)急響應(yīng)中心，目前沒有統(tǒng)一的標(biāo)準(zhǔn)的定義，一般只籠統(tǒng)地定義為：主要針對科技互聯(lián)網(wǎng)企業(yè)常見的安全漏洞而特別設(shè)立的機(jī)構(gòu)[1]。是在實踐中為了解決實際問題而產(chǎn)生的。

SRC的核心是一套漏洞收集平臺，面向社會收集企業(yè)自身產(chǎn)品或者第三方的安全漏洞。從實踐來看，絕大多數(shù)的SRC定位于企業(yè)自身產(chǎn)品和社會網(wǎng)絡(luò)安全力量的窗口。核心之外，配套的有：漏洞獎勵計劃、漏洞通知和修復(fù)驗證的流程管理、甚至有項目眾測等。

SRC本身就是企業(yè)的一個窗口，傳遞企業(yè)對安全的態(tài)度。SRC一個很直接的功能就是內(nèi)部安全系統(tǒng)的試金石。稍具規(guī)模重視安全的企業(yè)肯定有自己的安全團(tuán)隊和系統(tǒng)，那為何還會被外部發(fā)現(xiàn)漏洞？一定是相關(guān)團(tuán)隊和系統(tǒng)存在這樣那樣的疏漏所致[1]。SRC啟動了企業(yè)安全的復(fù)盤、分析和改進(jìn)進(jìn)程。

1.2 我國SRC建設(shè)情況

（1）企業(yè)門戶性質(zhì)的SRC

2012年5月，騰訊率先推出騰訊安全應(yīng)急響應(yīng)中心（TSRC）。

2013年1月，網(wǎng)易也推出了漏洞報告平臺。接著京東、百度、阿里等都相繼推出，SRC模式基本被大型互聯(lián)網(wǎng)企業(yè)接受并且如火如荼地開展。這一年可以稱為“SRC元年”[1]。

隨著安全行業(yè)的發(fā)展，像深信服、中興、聯(lián)想、華為、這樣的傳統(tǒng)企業(yè)都開展了SRC。據(jù)統(tǒng)計，目前所有的電商、安全廠商、通信廠商等互聯(lián)網(wǎng)企業(yè)架設(shè)并運(yùn)營自己的SRC平臺。

（2）第三方平臺性質(zhì)的SRC

360旗下“補(bǔ)天”漏洞響應(yīng)平臺，定位側(cè)重于處理第三方web應(yīng)用漏洞等安全問題，漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國家漏洞庫。

漏洞盒子是一個主打眾包模式的漏洞發(fā)現(xiàn)與處理平臺，幫助企業(yè)測試產(chǎn)品中潛在的安全風(fēng)險，F(xiàn)reeBuf黑客與極客團(tuán)隊產(chǎn)品，具備與各企業(yè)SRC合作的窗口。

2.我國的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制

我國計算機(jī)網(wǎng)絡(luò)應(yīng)急處理體制中的牽頭單位，為中國計算機(jī)網(wǎng)絡(luò)應(yīng)急處理技術(shù)協(xié)調(diào)中心（簡稱中國互聯(lián)網(wǎng)應(yīng)急中心，英文簡稱CNCERT或CNCERT/CC），成立于2001年8月。其主要職責(zé)為：“積極預(yù)防、及時發(fā)現(xiàn)，快速響應(yīng)、力保恢復(fù)”的方針，開展互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件的預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等工作，維護(hù)國家公共互聯(lián)網(wǎng)安全，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行[2]。

CNCERT發(fā)起成立了國家信息安全漏洞共享平臺（CNVD）、中國反網(wǎng)絡(luò)病毒聯(lián)盟（ANVA）和中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟（CCTGA），與國內(nèi)的基礎(chǔ)電信企業(yè)、增值電信企業(yè)、域名注冊服務(wù)機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)廠商等建立漏洞信息共享、網(wǎng)絡(luò)病毒防范、威脅治理和情報共享等工作機(jī)制，加強(qiáng)網(wǎng)絡(luò)安全信息共享和技術(shù)合作[2]。還通過公開選拔方式，選擇國內(nèi)安全專業(yè)廠商成為“網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位”，目前共有10家國家級和51家省級應(yīng)急服務(wù)支撐單位。

3.央企的網(wǎng)絡(luò)安全管理

3.1央企的網(wǎng)絡(luò)安全管理形勢

我國積極推進(jìn)網(wǎng)絡(luò)安全方面的建設(shè)，頒布并實施《網(wǎng)絡(luò)安全法》以及一系列的配套法律規(guī)范。在網(wǎng)絡(luò)安全法中明確了對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)要求。針對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊，會造成重大網(wǎng)絡(luò)安全事件，甚至社會性事件。當(dāng)經(jīng)的國際國內(nèi)網(wǎng)絡(luò)安全形勢下，關(guān)鍵基礎(chǔ)設(shè)施處在網(wǎng)絡(luò)攻防的火線位置。央企，是國計民生基礎(chǔ)行業(yè)的經(jīng)濟(jì)實體，是這些關(guān)鍵基礎(chǔ)設(shè)施的建設(shè)者和運(yùn)營者，當(dāng)今的網(wǎng)絡(luò)安全形勢給央企的網(wǎng)絡(luò)安全管理提出了更高的要求。

目前，中央企業(yè)已經(jīng)在媒體、物資采購等方面資源整合和協(xié)作，成立了“央企媒體聯(lián)盟”、“央企電商聯(lián)盟”等組織。我國網(wǎng)絡(luò)安全行業(yè)的“國家隊”-中國電子信息產(chǎn)業(yè)集團(tuán)，聯(lián)合網(wǎng)絡(luò)安全廠商-北京奇安信科技有限公司，于2019年5月宣布，將合作推進(jìn)“央企網(wǎng)絡(luò)安全響應(yīng)中心”的建設(shè)。

3.2央企的網(wǎng)絡(luò)安全管理面臨的問題

（1）網(wǎng)絡(luò)安全形勢嚴(yán)峻，現(xiàn)有網(wǎng)絡(luò)安全管理機(jī)制和能力面臨極大挑戰(zhàn);

（2）各央企的網(wǎng)絡(luò)安全方面的建設(shè)水平層次不齊;

（3）央企的網(wǎng)絡(luò)安全管理，沿襲傳統(tǒng)管理思路和手段，各自為戰(zhàn);

（4）央企的網(wǎng)絡(luò)安全處于總體封閉狀態(tài)，與社會網(wǎng)絡(luò)安全力量沒有交流和協(xié)作渠道;

（5）央企內(nèi)部安全資產(chǎn)管理、網(wǎng)絡(luò)攻防人員管理、網(wǎng)絡(luò)安全漏洞動態(tài)監(jiān)測等俱需要更加開放、高效，與社會接軌。

4.ESRC對于加強(qiáng)央企網(wǎng)絡(luò)安全管理的意義

央企搭建互聯(lián)網(wǎng)安全應(yīng)急中心（ESRC），可作用于網(wǎng)絡(luò)安全管理的諸多方面。

（1）央企網(wǎng)絡(luò)安全管理與互聯(lián)網(wǎng)的思路與方式接軌，直面網(wǎng)絡(luò)安全方面的挑戰(zhàn)，使央企網(wǎng)絡(luò)安全更有效納入國家網(wǎng)絡(luò)安全應(yīng)急處理響應(yīng)體系;

（2）搭建了央企網(wǎng)絡(luò)安全的門戶，促進(jìn)了交流與開放，為央企與互聯(lián)網(wǎng)企業(yè)、央企之間的網(wǎng)絡(luò)安全交流與協(xié)作提供了渠道，使協(xié)作與互助成為可能;

（3）引導(dǎo)網(wǎng)絡(luò)安全社會力量規(guī)范納入央企的攻防安全體系，為央企引入新的安全測試方式;

（4）使央企內(nèi)部的安全資產(chǎn)管理、網(wǎng)絡(luò)攻防人員管理、安全態(tài)勢動態(tài)監(jiān)測，更加高效和開放，網(wǎng)絡(luò)安全防護(hù)能力和保障能力大大增強(qiáng)。

5.總結(jié)

在新的網(wǎng)絡(luò)安全時代下，國家層面的網(wǎng)絡(luò)安全應(yīng)急處理響應(yīng)機(jī)制的發(fā)展，對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全的防護(hù)要求，都對央企的網(wǎng)絡(luò)安全管理提出了更高的要求;互聯(lián)網(wǎng)企業(yè)的安全應(yīng)急中心（ESRC）模式的發(fā)展，給央企的網(wǎng)絡(luò)安全管理提供了新的思路與方式。互聯(lián)網(wǎng)安全應(yīng)急中心（ESRC）模式，能構(gòu)建央企網(wǎng)絡(luò)安全門戶，促進(jìn)交流與協(xié)作，引導(dǎo)社會安全力量規(guī)范安全攻防體系，可有效加強(qiáng)央企的網(wǎng)絡(luò)安全管理。

參考文獻(xiàn)

[1] ?騰訊安全應(yīng)急響應(yīng)中心.《企業(yè)安全應(yīng)急響應(yīng)中心建設(shè)理論與實踐》.2015

[2] ?國家互聯(lián)網(wǎng)應(yīng)急中心.國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.《2018年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》.北京：人民郵電出版社，2019.

[3] 國家互聯(lián)網(wǎng)應(yīng)急中心.國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》.2019

[4] ?聶君.李燕.何楊軍.企業(yè)安全建設(shè)指南[M].北京：人民郵電出版社.2019.3 379-387.393-396