第3章
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織與相關(guān)標(biāo)準(zhǔn)

3.1　國際網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織介紹

計算機應(yīng)急響應(yīng)組織（Computer Emergency Response Team，CERT）是國際網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的重要運行機構(gòu)。為了加強國際交流與合作，各國CERT一方面通過雙邊的聯(lián)系渠道，開展交流和合作；另一方面由各國CERT自主發(fā)起成立了應(yīng)急響應(yīng)與安全組論壇（稱FIRST）、歐盟的事件響應(yīng)組織工作組（TF-CSIRT）、亞太地區(qū)應(yīng)急響應(yīng)合作組織（Asia Pacific Computer Emergency Response Team，APCERT）等國際組織開展多邊交流與合作。另外，聯(lián)合國（UN）、國際電信聯(lián)盟（ITU）、亞太經(jīng)濟合作組織（APEC）、上海合作組織（SCO）等國際間的合作組織，陸續(xù)已將CERT組織合作機制納入有關(guān)工作或文件中[9]。

下面分別從國際和區(qū)域應(yīng)急響應(yīng)組織情況、國外國家級應(yīng)急響應(yīng)組織情況兩方面進行簡要介紹。

1．國際和區(qū)域應(yīng)急響應(yīng)組織情況

1）FIRST介紹

FIRST成立于1990年，是規(guī)模最大、成員最多的全球網(wǎng)絡(luò)安全應(yīng)急響應(yīng)領(lǐng)域的聯(lián)盟。當(dāng)前FIRST擁有500多個會員，遍布非洲、美洲、亞洲、歐洲和大洋洲，匯集了來自政府、商業(yè)和教育組織的各種計算機安全事件響應(yīng)團隊。FIRST旨在促進事件預(yù)防方面的合作與協(xié)調(diào)，激發(fā)對事件的快速反應(yīng)，并促進成員與整個社區(qū)之間的信息共享。

FIRST屬于自治的自愿結(jié)合組織，對其成員的組織、行為不存在實際控制力。FIRST下設(shè)董事會和秘書處。董事會由10人組成，任期兩年，由成員選舉產(chǎn)生，負(fù)責(zé)日常運作的政策、程序和相關(guān)事務(wù)的修訂和決策。秘書處負(fù)責(zé)網(wǎng)站、郵件列表的維護，財務(wù)管理，以及年會的籌辦等工作。我國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）于2002年成為FIRST的正式成員。

2）APCERT介紹

APCERT是亞太地區(qū)計算機應(yīng)急響應(yīng)的合作組織，成立于2003年，其地位和影響力近年來明顯上升。截至2021年1月，APCERT已有成員30多個，來自中國、澳大利亞、日本、韓國、馬來西亞等20多個國家和地區(qū)。在2021年1月6日，伊斯蘭合作組織計算機緊急響應(yīng)小組（OIC-CERT）申請成為APCERT的戰(zhàn)略合作伙伴獲得批準(zhǔn)，成為APCERT最新的戰(zhàn)略合作伙伴。在2020年內(nèi)，亞太網(wǎng)絡(luò)信息中心（APNIC）、非洲計算機緊急響應(yīng)小組（AfricaCERT）等已成為APCERT的戰(zhàn)略合作伙伴，美國CISA（網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）、韓國KN-CERT、哈薩克斯坦KZ-CERT、菲律賓CERT-PH、湯加CERT等成為APCERT的運營成員或聯(lián)絡(luò)伙伴。APCERT的目標(biāo)是通過國際合作幫助建立亞太地區(qū)安全、干凈、可信的網(wǎng)絡(luò)空間。

和FIRST類似，APCERT按照其制定的運行原則和規(guī)章開展工作，對其成員的組織運行等不存在任何控制力。APCERT下設(shè)指導(dǎo)委員會和秘書處。指導(dǎo)委員會由7個成員組織組成，任期兩年，由成員選舉產(chǎn)生，負(fù)責(zé)日常運作的政策、程序和相關(guān)事務(wù)的修訂和決策。秘書處負(fù)責(zé)網(wǎng)站、郵件列表的維護等工作。中國的CNCERT是APCERT的發(fā)起組織之一，現(xiàn)任APCERT副主席職務(wù)、APCERT指導(dǎo)委員會委員，是APCERT信息共享組的負(fù)責(zé)人。馬來西亞的CyberSecurity Malaysia組織是現(xiàn)任APCERT主席。

3）TF-CSIRT介紹

TF-CSIRT是歐盟的事件響應(yīng)組織工作組，是歐洲研究團隊（TERENA）的一個任務(wù)小組，成立于2000年。每年舉辦三次會議，2021年將舉辦第62～64期會議，受新冠肺炎疫情影響，從2020年5月第60期會議至今，都以線上的虛擬會議形式舉行。

TF-CSIRT采取會員制，會員分為正式會員、列席會員、聯(lián)絡(luò)員、個人會員4種類別。只有正式會員才有投票權(quán)。

2．國外國家級應(yīng)急響應(yīng)組織情況

多數(shù)網(wǎng)絡(luò)強國對網(wǎng)絡(luò)安全應(yīng)急建設(shè)相當(dāng)重視，美、俄、英、法、日、澳等網(wǎng)絡(luò)強國紛紛從國家層面建立網(wǎng)絡(luò)安全應(yīng)急組織CERT，作為本國國內(nèi)外的信息安全聯(lián)絡(luò)點，協(xié)調(diào)處置本國國內(nèi)外的網(wǎng)絡(luò)安全事件和威脅。大多數(shù)國家由一個統(tǒng)一的CERT作為國家級網(wǎng)絡(luò)安全應(yīng)急組織，也有部分國家設(shè)置兩個國家級網(wǎng)絡(luò)安全應(yīng)急組織，一個負(fù)責(zé)國家的基礎(chǔ)網(wǎng)絡(luò)安全，另一個負(fù)責(zé)政府的網(wǎng)絡(luò)安全。近年來，也有部分國家的網(wǎng)絡(luò)安全應(yīng)急組織有了新名稱：NCSC（National Cyber Security Center，國家網(wǎng)絡(luò)安全中心）。

大多數(shù)國家的國家級網(wǎng)絡(luò)安全應(yīng)急組織歸本國通信信息主管部門管理和指導(dǎo)，如德國、西班牙、日本、韓國、新加坡、印度尼西亞、巴西等。也有部分國家的網(wǎng)絡(luò)安全應(yīng)急組織比較特殊，如美國CISA歸美國國土安全部管理，俄羅斯GOV-CERT.RU歸俄羅斯聯(lián)邦安全局管理。

1）美國

美國CISA（Cybersecurity and Infrastructure Security Agency，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）是負(fù)責(zé)美國網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)安全的機構(gòu)，該機構(gòu)是和美國特勤局同級的聯(lián)邦政府單位，隸屬國土安全部。它的前身是國家保護和計劃局（NPPD），2018年改組為CISA。相比于改組前，CISA提升了行政級別，擁有了更多預(yù)算和更高職權(quán)。

CISA的下屬部門包括網(wǎng)絡(luò)安全司、應(yīng)急通信司、基礎(chǔ)設(shè)施安全司、國家風(fēng)險管理中心等。

2）英國

2017年2月14日，面對越來越頻繁和復(fù)雜的網(wǎng)絡(luò)攻擊，英國國家網(wǎng)絡(luò)安全中心（National Cyber Security Center，NCSC）正式啟動，英國女王為該中心揭幕。NCSC于2016年10月開始籌建，后來搬進倫敦市中心正式運作。其成立之初的首要目的是簡化網(wǎng)絡(luò)安全的政府職責(zé)分工，用一個機構(gòu)保護所有的重要組織的網(wǎng)絡(luò)安全，統(tǒng)一處理網(wǎng)絡(luò)安全訴求，從而更好地提供支持。

NCSC四大主要目標(biāo)：降低英國的網(wǎng)絡(luò)安全風(fēng)險；有效應(yīng)對網(wǎng)絡(luò)事件并減少損失；了解網(wǎng)絡(luò)安全環(huán)境、共享信息并解決系統(tǒng)漏洞；增強英國網(wǎng)絡(luò)安全能力，并在重要國家網(wǎng)絡(luò)安全問題上提供指導(dǎo)。該中心的工作包括邀請各界的專家參與合作，研究網(wǎng)絡(luò)安全威脅和漏洞，并對如何應(yīng)對網(wǎng)絡(luò)攻擊提出建議。

3）日本

日本于1996年10月成立計算機緊急響應(yīng)中心（JPCERT/CC），開始傳播與計算機安全相關(guān)的信息，1998年8月作為日本首個組織加入了FIRST，2003年3月更名為JPCERT協(xié)調(diào)中心并注冊為中介公司，辦公地點位于東京都中央?yún)^(qū)新日本橋本町東山大廈，業(yè)務(wù)內(nèi)容包括：對與計算機安全性相關(guān)的事件（以下稱為事件）的響應(yīng)；與國內(nèi)外事件響應(yīng)組織、其他相關(guān)組織等合作；開展國內(nèi)外事件響應(yīng)組織的支持和指導(dǎo)；收集、整理、積累和提供與計算機安全相關(guān)的各種信息，例如事件的案例分析，有關(guān)安全補丁的信息，系統(tǒng)漏洞的信息；外包計算機安全事件調(diào)查；相關(guān)技術(shù)調(diào)查研究；相關(guān)技術(shù)、教育事業(yè)的傳播等。