4.9　網絡安全事件管理實務

網絡安全事件響應機制是CSO需要掌握的重要內容，要使網絡安全響應機制有效運轉，除了上述建立過程，還需要關注下述實操過程中的實務問題。

4.9.1　避免外行領導內行

通常情況下，由于絕大多數公司高層在實際工作中并不直接負責網絡安全，因此他們對網絡安全未必都能有較為深刻的理解，對網絡安全事件響應程序和作用也就缺乏認識。CSO切忌避免在網絡安全危機來臨之時，臨時讓公司高層進行決策，這種主觀上的臨時決策往往會給網絡安全事件的處置帶來新增風險。

因此，基于完善的網絡安全事件響應機制，CSO必須給予公司高層“傻瓜式”的決策，即啟動預案是“是”還是“否”。至于預案啟動的后續所有操作，理論上不應由公司高層干預，應按照既定的流程執行。如果執行過程中遇到問題，則需要根據現場情況由專業人員設計具體執行方案后，再由公司高層決策“是”或“否”。

鑒于此，CSO在平時也有必要開展一些活動，以提升高層領導相應的網絡安全事件處置知識及網絡安全背景及管理能力，這樣在發生網絡安全事故時才能更好地借助專業性知識儲備來做出正確的分析判斷和決策處置。

4.9.2　事件響應指南的常見問題

當下絕大多數機構均已按照網絡安全事件響應管理的要求編制了安全事件響應指南，但是如果這些處置指南存在以下四個主要問題，將會導致發生事故時無法有效指導相應處置工作的執行，造成不必要的風險損失。

（1）事件響應指南沒有做到操作級

一般情況下我們可以把事件響應指南分為場景級指南和應急操作級預案。例如僅泛泛說明有病毒入侵導致業務主機宕機、業務中斷，要求進行網絡隔離和病毒查殺的預案屬于場景級別。而詳細描述通過何種具體操作恢復宕機主機、阻斷網絡病毒的傳播、刪除主機病毒、進行數據恢復的預案則屬于應急操作級別。顯而易見，應急操作級預案是場景級指南的細化，其落地性和可操作性更強。

很多機構的響應指南通常僅限于場景級別，這些定義的場景如停電、網絡通信中斷、網絡攻擊和入侵、業務中斷、數據泄露、安全臨檢等。未編制應急操作級預案的原因包括機構的網絡復雜、業務系統繁多復雜、業務操作復雜以及牽涉部門人員較多等因素，這些因素導致網絡安全部門難以下定決心進行預案編制。盡管存在上述客觀因素，但考慮到事件處置的有效性和可靠性，建議機構下決心編制和完善應急操作級預案。

在編制過程中可采取循序漸進的方式，首先將場景進行細化，將其拆分成不同的操作子場景；其次要求在某一操作子場景情況下涉及的部門進行場景適用性確認，并據此進行應急操作級預案的編制；最后定期或不定期組織相關人員進行預案的評審和修編。相信只要持續進行該項工作，機構最終將建立完善的應急操作級預案體系。

（2）事件響應指南沒有考慮實施完成的自持性

不少中小機構在一些特定的指南，如網絡攻擊、入侵事件響應指南和數據災備恢復指南中基本上很少考慮機構內部人員是否能夠獨立完成該處置操作的需求。在實際事件處置的活動中，由于網絡攻擊、入侵防控和數據恢復的復雜性，同時還可能受限于機構的編制和人員的技能，很多中小機構在發生此類安全事故時，其內部事件響應人員并不能獨立應對。

因此這些機構在制定響應指南時需要評估機構本身的事件處置能力，并考慮在發生事故時是否需要邀請第三方力量參與，幫助共同應對。此外機構還要考慮和評估參與的第三方機構的匹配能力、介入的成本負擔、介入的方式和方法、信息共享的范圍和內容、合同及責任的約定，以及因共享信息和介入后可能發生第三方信息泄露的風險。

（3）事件響應指南更新不及時

機構在運營過程中常常會面臨內外部環境的變化。外部變化通常包括法律法規等監管要求的變化（如提升和加強了對事件響應處置的要求）、第三方合作機構和人員（業務往來/運維支撐/開發外包等）發生了人事及通信聯系方式變更、服務能力變更、駐地機構變更等。內部變化則主要包括內部的網絡環境發生變化、業務系統發生軟硬件更迭/升級、業務操作流程變更、內部人員人事及通信聯系方式變更、事件處置工具不再可用等。以上內外部的變化如果沒有在事件應急響應指南中得到及時更新，那么當發生事故時，將發生指南與實際情形相差甚遠的情況，而致使相應處置工作無法按預期順利進行。

（4）事件響應指南未得到實際操演

響應指南本身是停留在紙面上的，在沒有實際操作的情況下，指南所涵蓋的內容并不能得到充分的檢測，同時也不能發現其中內容的不足（如未考慮到備品備件的不足、人員實際到崗的不足、人員事件處置技能的不足等）。在實踐中，由于并行測試和完全中斷測試演練成本高、周期長，通常難以進行，可以參考應急預案的演練模式對事件響應指南進行操演。

例如在模擬測試的方式下，建議采取頭腦風暴的方法，在預先設定的場景中盡可能全面地評估和考慮所有的可能性，并進行一一推演和測試。當然，如果機構具備并行測試和完全中斷測試的條件，建議定期采用這兩種演練方式并獲得最為全面和最為真實的演練效果。

4.9.3　人員因素是事件響應的關鍵要素之一

在網絡安全事件響應處置流程中，在預防/準備階段通過開展對內部員工的安全意識教育、安全技能培訓提升以及演練可以極大改善事件響應處置的效果。普通員工的安全意識教育在此不再多說。

需要特別注意的是，在實踐中，機構的IT設施運營通常由軟件開發與測試、業務運維、系統運維、網絡運維、桌面運維、安全運維的員工或外包服務商來完成，因此對于這幾類角色的人員，一定要讓他們具備較之普通員工更高的安全意識，深入了解自己負責的工作內容可能面臨怎樣的安全威脅、產生怎樣的安全風險以及相應的應對手段。

此外，演練也應覆蓋以上人員，通過桌面推演、模擬測試、并行測試、完全中斷測試以及第三方參演的紅藍對抗的方式錘煉他們的事件處置能力，增加他們的事件處置經驗，機構的事件響應處置能力也將隨之改善和提升。

網絡安全事件響應小組是事件響應處置中的主要團隊。機構管理者通常過于強調小組成員組成的全面性、小組成員的技能，卻忽視了人員在事件處置時所面臨的精神壓力。這些壓力包括逃避免責壓力和響應處置壓力。

逃避免責壓力即網絡安全事件響應人員本身可能就是平時的運維人員或一線管理人員，因此一旦發生網絡安全事故，根據人類心理容易趨利避禍，有可能會采取瞞報漏報、虛報謊報的方式來盡可能降低自身可能因事后追責而需要承擔的個人風險。

因此，在安全管理過程中需要盡可能地避免此類情況的出現。具體可行的方式包括在相關管理制度中明確禁止主動屏蔽正確信息的輸出以及對應處罰，在明確職責的同時也盡可能闡明例外的情況以及相應的免責，同時也包括對應急處置應對得當，避免更進一步損失發生的獎勵措施。

響應處置壓力即在處置的過程中，由于響應時間窗口十分有限，事件處置人員面臨的公司高管傳遞的工作壓力。心理抗壓能力差的員工在此種情況下可能會出現心理抵觸、工作推諉、專注力和操作能力的非正常下降。因此在處置過程中，應要求處置人員具備良好的心理抗壓能力和嫻熟的處置應對技能。

在平時的安全事件響應處置演練過程中，CSO一方面需要加入壓力訓練的內容，以增加和強化在這種壓力環境下的抗壓演練；另一方面也需要主動觀察參演人員的具體表現，對未來參與事件響應的人員有正確的預判和優先預設的考慮。

4.9.4　建立“吹哨人”機制

在常規的安全事件響應處置流程中，安全事故的發現和處置報告應遵循層層上報的機制。這個傳統的流程機制本身沒有錯，但是如果機構存在官僚作風，以及前面提到的層級領導缺乏專業性知識儲備的情況，那么該流程機制就有可能導致安全事故響應處置窗口期被人為的拉長。

另外網絡安全應急響應小組通常被認為是純粹的技術單元，因此在很多機構的網絡安全管理體系中，網絡安全響應小組的意見和報告并不能直接和完整地呈現在管理層的溝通會議上，這意味著，沒有一種可行的直接上報機制和通道能將最直接的風險損失分析信息上傳抵達更高決策層。此種快速直通車機制的缺失或將導致身處一線的員工在一些突發且隱患巨大的情況下無法成為喚醒巨人的“吹哨人”。

因此建議機構組織可以考慮設置和開放這樣的“吹哨人”上報機制和通道，允許技術層面的反饋也能在特殊情況下直接反饋于高管層，縮短網絡安全事件響應處置的時間窗，并降低風險損失。此外，該機制從管理層面上看還可增加一個威懾監督的作用，在一定程度上減少和降低執行管理人員發生瞞報、虛報等不合規行為的概率。

4.9.5　合理的匯報升級機制

網絡安全事件處置的要點在于對于不同等級的網絡安全事件，應由相應等級的網絡安全事件處置責任人員來負責處置，這樣可以避免由于負責人權限或資源不足導致的事件無法被及時解決，影響面擴大。

在實際操作中，很多技術負責人往往執著于網絡安全事件中的具體故障或問題處理，在問題處理限于窘境的時候，不知道應該交出自己的負責權，讓權利更大的上級介入并進行更大范圍的總體干預和協調。陷于具體問題處置的后果往往就是網絡安全事件響應處置周期的失控。

要解決這樣的問題，在網絡安全事件響應機制中應嚴格規定和執行網絡安全事件的逐級匯報機制。如事件發生30分鐘內，匯報給安全主管，由安全主管負責事件處置；安全主管接到匯報30分鐘后如無法解決，則匯報給CSO，由CSO負責事件處置；CSO在接到匯報后60分鐘內無法解決事件，則匯報給CEO，由CEO負責進一步處置，以此類推。通過這樣的逐級匯報機制，讓更多的資源逐步進入網絡安全事件處置的流程中。

另外要注意的是，匯報機制不僅要包括機構內部人員，還需要考慮機構外部人員的介入，包括行業主管單位、監管機構、執法機構等。因為有些企業的網絡安全事件影響范圍擴大到一定程度后，可能不僅影響企業自身的業務開展，還會影響社會穩定或國家安全。

4.9.6　不慎重的危機公關將是另一場危機

在發生網絡安全事故時，機構有可能會根據情況開展危機公關，消除或降低客戶或公眾存在的憤怒、困惑和沮喪等情緒，挽回公眾對機構的信任，降低企業商業信譽遭受破壞的風險。然而回顧既往眾多的安全事件危機公關處置示例，我們可以發現很多處置不當的例子。綜合來看，主要有以下這些問題。

• 事件上報不及時。
• 事件對外披露不及時。
• 對外披露信息不足。
• 對外披露信息可信度不足。
• 出現多個發布口徑，且披露信息不一致。
• 措辭表態不恰當。
• 發言人的級別與事件危害程度和影響程度不符合。
• 發言人現場應對能力不足。
• 后續責罰措施及補償應對措施處置不當。

……

這些問題的存在不僅無法達到公關本身設定的目標，而且可能導致事件影響不斷發酵和蔓延，消耗和浪費了客戶或公眾的信任度，最終不得不付出更多的處置成本和公關成本。因此在決定進行正式對外的危機公關時，建議機構提前做好公關分析和演練（如果涉及現場發布會的話）。在公關分析的時候，內部一定要對事故信息進行梳理，使得信息同步對稱。梳理的內容包括：

• 發生事故的原因是什么？
• 哪些系統和業務受到了影響？
• 影響的程度如何？
• 是否發生客戶信息泄露的情況？
• 預計泄露了多少數據信息？
• 可能造成什么影響？
• 機構內部當前的響應處置進度和情況如何？比如系統漏洞是否已修補、攻擊入侵是否已結束或已經得到控制、惡意代碼是否已清除、系統配置是否已恢復、業務是否已恢復運行、業務數據是否已恢復、已采取了哪些安全改進措施等。
• 擬對遭受損失的客戶所采取的補償措施。
• 針對本次事故對客戶側推薦的安全建議。
• 適合的信息發布時間點、發布渠道以及恰當的發言人。
• 公關后可能未達到預期效果后的備選方案設計等。

參與的部門和人員建議包括IT支撐團隊、市場/業務團隊、法務團隊、公關團隊以及牽頭負責的高管。此外，如果有現場信息發布會，那么建議在正式的發布會之前進行至少一次的模擬演練，確保公關發布萬無一失。

4.9.7　重視網絡安全事件的回顧工作

在網絡安全事件關閉后，要重視網絡安全事件的回顧工作。回顧工作的目的是防止類似的網絡安全事件在未來再次發生，因此，在回顧過程中重點要對導致該網絡安全事件的核心原因進行深入分析，找到根源問題并進行改進。同時，在回顧的過程中還應設立獎懲機制，對安全事件處置過程中各負責人的工作表現進行評價、表彰或懲處，這樣可以引導員工向組織期望的方向發展，有助于未來網絡安全工作的開展。