【IT168 特稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”。22日会议第一天，进行了年会高层论坛之“构建网络安全应急体系，提高网络安全突发事件应对能力”，精彩观点如下：

　　· 整个信息安全工作分为事前防护和事后处置两个阶段，在事前防护阶段要力求不出事;但是，事情是没有绝对的，也没有绝对的安全，从总体上说绝对不出事是不可能的。信息安全的风险和建设成本，要科学配置资源，最后确保重点。(工信部信息安全协调司赵泽良副司长)

　　· 对于大规模网络安全事件来说，如果想有效地处理，单凭任何一个单位，任何一个个人是很难处理的，需要共建共享、共同协作，需要政府部门、安全组织、企业合作起来，一起应对突发性地、大规模的安全事件。(国家互联网应急中心云晓春副主任)

　　· 运营企业在网络安全系统中是一道很重要的防线，中国联通在国家的相关要求和工信部的指导下，对网络安全应急体系建设做了一些工作。主要是在六个方面，一是组织引导;二是制定规定;三是队伍建设;四是治理;五是加强日常监测;六是强化应急演练。(中国联通运维部李晓明副总经理)

　　·作为应急支撑单位从技术角度来看，网络安全应急是有一个宗旨的，是要为网络信息安全服务。这些工作要跟着本身的信息安全发展变化而发展变化，作为应急支撑单位要有长期的积累，长期的追求，长期的执着。(北京启明星辰首席执行官严望佳)

　　以下是年会高层论坛之“构建网络安全应急体系，提高网络安全突发事件应对能力”文字实录：

　　主持人孙蔚敏：感谢参加第一轮论坛对话的嘉宾到观众席就坐，谢谢。下面，进入第二个话题“构建网络安全应急体系，提高网络安全突发事件应对能力”。有请工信部信息安全协调司赵泽良副司长;国家互联网应急中心云晓春副主任;中国联通运维部李晓明副总经理、北京启明星辰信息技术有限公司首席执行官严望佳先生到主席台就坐。

　　主持人孙蔚敏：大家都比较清楚，08年国务院机构改革组建了工业和信息化部，其中有一项很重要的职能是协调和维护国家的网络信息安全。虽然，我们在08年奥运会和60年国庆网络安全网中，整个网络没有特别严重的网络安全事件。但从上午各位专家的报告中，大家可以看出国际国内网络安全形势不容乐观，我们面临非常严峻和复杂的形势。因此，网络安全应急系统的构建也是我们非常重要的一个任务。

　　案例一：“两会”提案将信息网络应急纳入全国应急体系。3月4日，吴邦国委员长主持会议，会议将提出五大提案加快信息化建设。其中，将信息网络应急纳入全国应急体系是相关提案的重点，提案建议将信息网络应急提升至与国家安全与基础设施应急同等地位的高度。请赵司长就这个话题谈一点自己的看法。

工信部信息安全协调司赵泽良副司长

　　赵泽良：大家刚才已经注意到主持人已经说明了网络信息安全工作的重要性，整个信息安全工作分为事前防护和事后处置两个阶段，在事前防护阶段要力求不出事;但是，事情是没有绝对的，也没有绝对的安全，从总体上说绝对不出事是不可能的。信息安全的风险和建设成本，要科学配置资源，最后确保重点。那么，既然有可能出事就一定要做好准备工作，一旦事情来了要做到迅速地响应，迅速地处置，迅速地恢复，把损失降到最低程度。

　　对于这一点，国家的要求是非常明确的。03年国家信息化领导小组关于加强信息安全保障的意见，也就是27号文件要求：国家和社会各方面要重视信息安全应急工作，要进一步建立完善国家信息安全应急协调机制，建立信息安全通报制度，加强信息安全应急工作。

　　06 年国家发布了《国家突发公共事件应急总体预案》，应该是将信息安全应急工作纳入了国家应急体系，也就是在这一年，原信息产业部发布了《国家通信应急预案》。去年年底，国家又发布了《国家网络信息安全突发事件应急预案》，《预案》明确了网络信息安全工作的原则，也明确了组织体系，对应急工作的各个方面也提出了相对比较具体地要求。

　　现在，关键是要把这些《预案》，把国家的政策要求落到实处，要结合各自的实际来建立完善切实落实各级应急预案，让切实做到处置有手段，有资源，真正维护信息安全。谢谢大家。

　　主持人孙蔚敏：谢谢赵司长，应急中心也被纳入了优异信息安全应急队伍，在处理突发事件中积累了不少的经验。下来请云晓春副主任介绍CNCERT在构建网络安全应急技术体系方面做介绍。

　　云晓春：今天上午我做报告的时候谈了一下我的观点，对于大规模网络安全事件来说，如果想有效地处理，单凭任何一个单位，任何一个个人是很难处理的，需要共建共享、共同协作，需要政府部门、安全组织、企业合作起来，一起应对突发性地、大规模的安全事件。

国家互联网应急中心云晓春副主任

　　实践证明，在大规模安全事件出现的时候，如5.19事件，政府组织、安全企业、公安机关一起合作，最终把整个事件压了下来，把犯罪嫌疑人给抓获了。所以说，合作共赢仍然是将来处置大规模安全事件，尤其是突发事件的一个非常重要的原则。

　　应该说，非常可喜的是经过大家共同的努力，现在在我国已经形成了相对来说比较规范，比较完善的协作、合作机制，上午也给在座的各位嘉宾看了案例，形成了国家安全应急体系框架，有一个示意图，在这里就不强调了。

　　那么，听到嘉宾在谈这个问题的时候，给我自己有一点启发。刚才，邓宏敏局长说希望各个企业能够在建立信息系统或安全系统的时候，能够把一些日志数据留存下来。我想说，为什么现在很多我们需要的原始证据，在真正发现安全事件的时候跟不上速度呢?就是缺乏协作、合作。换句话说，虽然机制上在一定程度上建立了应急框架，但在技术程序上，技术手段上的规范性还是比较欠缺的。

　　现在，各单位、各部门在建立自己的安全体系，应该说没有一个非常标准地框架，大家都是根据自己的需要，根据自己的想法，或者请一些专家，根据专家的意见来建设自己的安全系统，没有一个很规范的标准。最后导致的结果是，第一，出现大规模安全事件的时候，我们希望记录各个环节的系统能够相互联动，但因为大家各建各的，相互之间的协调就做不到;第二，因为没有相同的规范，各单位建各自的安全系统，不同的部门、不同的单位建立起的安全系统，应该说是参差不齐的，或者说形态各不相同。

　　但是，我们认为随着现在安全事件越来越多，安全形势越来越恶化，标准化、体系化的安全系统体系框架构建是需要提上议事日程的。我们希望大家一起坐下来协商，如何从技术的角度建立一个互联互通、互相协作的技术体系。

　　当然，这和各自保证自己的隐私是不冲突的，大家可以保护自己的隐私，只要出现大规模安全事件的时候能够统一运行，取证，达到最好的效果。如果可以做好这个事的话，对国家的网络信息安全保障工作将做出更大的贡献。

　　主持人孙蔚敏：谢谢云副主任提出的共建、共享、协作，其实最终的结果是共赢。有很多应急预案在落实，如何落实呢?各个部门都有自己的职责，在各自的职责范围内要做好流程规范，每个部门都落实好了自己的职责的话，整个预案才能落到实处。

　　在应急体系框架中，大家看到运营企业是一个非常重要的环节。因为，任何一个互联网环境都离不开运营企业。今天，我们请了中国联通运维部的李晓明副总经理，运营企业在网络安全应急体系中发挥了重要的作用，我们和运营企业也有非常密切的联系。下面，请李晓明副总就企业在全局应急工作中的体会。

中国联通运维部李晓明副总经理

　　李晓明：大家好，运营企业在网络安全系统中是一道很重要的防线，我们公司在国家的相关要求和工信部的指导下，对网络安全应急体系建设做了一些工作。主要是在六个方面，一是组织引导;二是制定规定;三是队伍建设;四是治理;五是加强日常监测;六是强化应急演练。

　　组织引导，一定要做到责任到人，各部门、各分公司网络安全责任明确，建立网络安全信息内部通报制度，以及向国家有关部门及时通报。

　　制定规定，如制定网络应急预案、木马监测网络办法、域名系统安全部署等方面，指导分公司将各自的流程体系建立起来。

　　队伍建设，应该说网络安全队伍建设的人员人才是比较紧缺的，我们也在这方面做了很多努力，尽量做到位。

　　加强日常监测，如5.19事件也是我们通过日常监测发现问题进行了处置。

　　强化应急演练，制定应急预案以后，要进行预案演练，有全国性的、局部的，还针对特殊网络安全事件进行演练，有的是我们内部组织的，有的是参与工信部组织的演练，将应急处置预案落实到位，我们还有效地落实了用于建设网络信息安全系统的经费。

　　其实，信息共享方面也确实做得不太到位，5.19事件也是我们通过日常监测，发现了流量的异常，根据预案分析确定了流量的类型，确定了是暴风影音软件的侵袭，2分钟不到就监测出来了。然后，根据应急预案将这些流量暂时扔到黑洞里面去了，这样基本保证了系统的运行，也不影响其他域名的解析。通过这个事件，我们感觉有了应急体系和没有应急体系的差别是很大的。当然，也有个别分公司在5.19事件处理中滞后的时间比较长，当然也跟本身的DNS系统不太健壮有关系，下一步我们也会对我们公司所有的DNS系统进行加固，至少类似5.19的安全事件出现的话，将有一套办法来进行跟踪处理。

　　网络安全应急工作是道高一尺魔高一丈的工作，肯定会不断地出现新花样，那么网络安全应急体系建设也要不断完善，谢谢。

　　主持人孙蔚敏：谢谢李总。对于安全企业来说，从事网络安全应急工作是一种社会责任，也是企业发展的一种机遇。启明星辰公司开展网络安全应急工作比较早，和CNCERT一直有比较好的合作。刚才，三位领导和专家的发言，严总肯定也有很多感触，请严总谈谈。

北京启明星辰首席执行官严望佳

　　严望佳：从应急支撑单位角度来看，这么多年做应急工作，和互联网安全打交道，的确有很多体会和感触，作为应急支撑单位从技术角度来看，网络安全应急是有一个宗旨的，是要为网络信息安全服务。这些工作要跟着本身的信息安全发展变化而发展变化，作为应急支撑单位要有长期的积累，长期的追求，长期的执着。早期也只是网站简单地篡改，现在都是挂网等问题了，技术本身的发展对应急支撑系统非常重要。

　　互联网安全非常特别，非常强调协同。比如奥运官网搜狐网在北京，如果发生安全事件时，单凭搜狐网是无法解决的，互联网是没有区域的，现在的互联网犯罪成本地低，没有区域边界。从防御和技术变化来看，迫切需要互联网的新概念、新思路。在网络安全领域，靠局部解决突发事件是不可能的。那么，共建漏洞数据库共享平台是非常重要的。

　　从用户的角度来看也有两点体会和感受，用户单位的领导，尤其是一把手和业务领导，必须对网络安全带来的严重性要提高重视。我国随着国力的发展，产业布局的调整，信息化体现了一个企业重不重视信息安全的价值，我非常担心地下产业链别哪一天超出国家的安全产业链的规模，我觉得那将是一个非常可悲的事情。

　　在我们国家产业振兴，宏观调控过程中，信息产业振兴是重中之重，在国家依赖于信息化发展的时候，安全还是需要重视，需要同步建设，未雨绸缪还是要比亡羊补牢来得更加好一些，应急体系是事后建设，更多的是事前的安全投入。

　　其实，突发事件发生以后，如果一个单位的安全措施做得好的话，应急处置就能很快进行，不会使事件进一步恶化。特别是监控体系、监测体系，都需要随着国家信息化的发展同步建设，大家一起形成协同的工作机制，才能形成好的网络安全应急体系发展规律。谢谢。

　　主持人孙蔚敏：谢谢严总。我想严总担心的问题也是大家担心的问题。希望大家在各自的岗位上各尽其职，把网络安全工作落到实处。

　　我们希望在政府的领导下建立一系列的资源库，包括经常发布的域名黑名单等等数据。在西西里厅的网络安全回顾展也是全民反网络病毒的一种形式，希望通过回顾展的工作呼吁全民、全社会共同关注网络病毒的危害性，尽自己的一份义务。

　　谢谢四位嘉宾，同时请嘉宾到观众席就坐。