云晓春：今天上午我做报告的时候谈了一下我的观点，对于大规模网络安全事件来说，如果想有效地处理，单凭任何一个单位，任何一个个人是很难处理的，需要共建共享、共同协作，需要政府部门、安全组织、企业合作起来，一起应对突发性地、大规模的安全事件。

国家互联网应急中心云晓春副主任

　　实践证明，在大规模安全事件出现的时候，如5.19事件，政府组织、安全企业、公安机关一起合作，最终把整个事件压了下来，把犯罪嫌疑人给抓获了。所以说，合作共赢仍然是将来处置大规模安全事件，尤其是突发事件的一个非常重要的原则。

　　应该说，非常可喜的是经过大家共同的努力，现在在我国已经形成了相对来说比较规范，比较完善的协作、合作机制，上午也给在座的各位嘉宾看了案例，形成了国家安全应急体系框架，有一个示意图，在这里就不强调了。

　　那么，听到嘉宾在谈这个问题的时候，给我自己有一点启发。刚才，邓宏敏局长说希望各个企业能够在建立信息系统或安全系统的时候，能够把一些日志数据留存下来。我想说，为什么现在很多我们需要的原始证据，在真正发现安全事件的时候跟不上速度呢?就是缺乏协作、合作。换句话说，虽然机制上在一定程度上建立了应急框架，但在技术程序上，技术手段上的规范性还是比较欠缺的。

　　现在，各单位、各部门在建立自己的安全体系，应该说没有一个非常标准地框架，大家都是根据自己的需要，根据自己的想法，或者请一些专家，根据专家的意见来建设自己的安全系统，没有一个很规范的标准。最后导致的结果是，第一，出现大规模安全事件的时候，我们希望记录各个环节的系统能够相互联动，但因为大家各建各的，相互之间的协调就做不到;第二，因为没有相同的规范，各单位建各自的安全系统，不同的部门、不同的单位建立起的安全系统，应该说是参差不齐的，或者说形态各不相同。

　　但是，我们认为随着现在安全事件越来越多，安全形势越来越恶化，标准化、体系化的安全系统体系框架构建是需要提上议事日程的。我们希望大家一起坐下来协商，如何从技术的角度建立一个互联互通、互相协作的技术体系。

　　当然，这和各自保证自己的隐私是不冲突的，大家可以保护自己的隐私，只要出现大规模安全事件的时候能够统一运行，取证，达到最好的效果。如果可以做好这个事的话，对国家的网络信息安全保障工作将做出更大的贡献。

　　主持人孙蔚敏：谢谢云副主任提出的共建、共享、协作，其实最终的结果是共赢。有很多应急预案在落实，如何落实呢?各个部门都有自己的职责，在各自的职责范围内要做好流程规范，每个部门都落实好了自己的职责的话，整个预案才能落到实处。

　　在应急体系框架中，大家看到运营企业是一个非常重要的环节。因为，任何一个互联网环境都离不开运营企业。今天，我们请了中国联通运维部的李晓明副总经理，运营企业在网络安全应急体系中发挥了重要的作用，我们和运营企业也有非常密切的联系。下面，请李晓明副总就企业在全局应急工作中的体会。

中国联通运维部李晓明副总经理

　　李晓明：大家好，运营企业在网络安全系统中是一道很重要的防线，我们公司在国家的相关要求和工信部的指导下，对网络安全应急体系建设做了一些工作。主要是在六个方面，一是组织引导;二是制定规定;三是队伍建设;四是治理;五是加强日常监测;六是强化应急演练。

　　组织引导，一定要做到责任到人，各部门、各分公司网络安全责任明确，建立网络安全信息内部通报制度，以及向国家有关部门及时通报。

　　制定规定，如制定网络应急预案、木马监测网络办法、域名系统安全部署等方面，指导分公司将各自的流程体系建立起来。

　　队伍建设，应该说网络安全队伍建设的人员人才是比较紧缺的，我们也在这方面做了很多努力，尽量做到位。

　　加强日常监测，如5.19事件也是我们通过日常监测发现问题进行了处置。

　　强化应急演练，制定应急预案以后，要进行预案演练，有全国性的、局部的，还针对特殊网络安全事件进行演练，有的是我们内部组织的，有的是参与工信部组织的演练，将应急处置预案落实到位，我们还有效地落实了用于建设网络信息安全系统的经费。

　　其实，信息共享方面也确实做得不太到位，5.19事件也是我们通过日常监测，发现了流量的异常，根据预案分析确定了流量的类型，确定了是暴风影音软件的侵袭，2分钟不到就监测出来了。然后，根据应急预案将这些流量暂时扔到黑洞里面去了，这样基本保证了系统的运行，也不影响其他域名的解析。通过这个事件，我们感觉有了应急体系和没有应急体系的差别是很大的。当然，也有个别分公司在5.19事件处理中滞后的时间比较长，当然也跟本身的DNS系统不太健壮有关系，下一步我们也会对我们公司所有的DNS系统进行加固，至少类似5.19的安全事件出现的话，将有一套办法来进行跟踪处理。

　　网络安全应急工作是道高一尺魔高一丈的工作，肯定会不断地出现新花样，那么网络安全应急体系建设也要不断完善，谢谢。