2017年6月,中央网信办公布了《国家网络安全事件应急预案》。习近平总书记指出,网络安全是动态的而不是静态的,是相对的而不是绝对的。维护网络安全,必须“防患于未然”。制定《国家网络安全事件应急预案》是网络安全的一项基础性工作,是落实国家《突发事件应对法》的需要,更是实施《网络安全法》、加强国家网络安全保障体系建设的本质要求。
《国家网络安全事件应急预案》为《网络安全法》的实施提供重要支撑
《网络安全法》第五十三条要求,国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。这个预案指的便是《国家网络安全事件应急预案》,《网络安全法》授权国家网信部门牵头制定。同时,《网络安全法》还要求,网络运营者应当制定网络安全事件应急预案;负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案。这些预案都要在《国家网络安全事件应急预案》的总体框架下分别制定。
不仅如此,《网络安全法》中若干处提到的有关“规定”,也是指《国家网络安全事件应急预案》。如,第二十五条要求,在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告;第五十一条要求,国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息;第五十二条要求,负责关键信息基础设施安全保护工作的部门,应当按照规定报送网络安全监测预警信息。《国家网络安全事件应急预案》均对上述事项做出了规定。
《国家网络安全事件应急预案》突出统筹协调和统一指挥
网络安全事件与传统公共安全事件有很大不同,突出体现在以下方面:
扩散速度快,影响范围大。信息网络的互联特性决定了很多网络安全事件不再限于局部,而是通过网络迅速扩散。加之,由于经济社会发展已高度依赖关键信息基础设施,网络安全事件的影响往往十分严重。
级联效应明显。国民经济各行各业之间有很强的互依赖性,尤以依赖电力、通信为甚。这导致网络安全事件的后果很容易“雪崩”式放大,必须跨部门、跨行业协同处置。
隐蔽性强。应对国家级对手攻击和一般黑客攻击,所需调动的应急资源和处置过程迥然不同。但在事件初始阶段,可能很难分辨事件的性质,这对态势感知、事件分析和情报支援提出了很高的要求。
战时与平时没有清晰界限。极端情况下,一些事件可能是他国网络战部队发起的攻击。但这类攻击却多以电网、通信网等民用设施为目标,网络安全应急预案必须考虑到这类情况。
由以上特点所决定,国家必须建立统一的网络安全应急指挥体系,着力加强统筹协调,着力提升信息共享和情报分析能力,这是《国家网络安全事件应急预案》最突出的特点。
《国家网络安全事件应急预案》是国家网络安全事件应急预案体系的总纲
应急处置需要上下联动,对大规模网络攻击事件的处置甚至要形成全国一盘棋态势。为此,应急预案必须成为一个体系,《国家网络安全事件应急预案》只是总纲,之下还应制定以下几类预案,各预案间有机衔接:
部门应急预案。国务院有关部门根据《国家网络安全事件应急预案》和部门职责,为应对网络安全事件制定的预案。
地方应急预案。省级网络安全应急预案及各市(地)、县(市)级网络安全应急预案。上述预案在各省网信小组领导下,按照分类管理、分级负责的原则,由地方网信部门分别制定。
企事业单位应急预案。各企事业单位根据有关法律法规制定本单位的网络安全应急预案。
专项应急预案。举办重大活动,应制定重大活动期间网络安全应急预案。
我国的国家级网络安全应急预案最早制定于2008年,即《国家网络与信息安全事件应急预案》,以国办名义印发。中央网络安全和信息化领导小组成立后,结合实际情况对该预案进行了修订,但以上预案都没有对社会公开。网络安全是共同的而不是孤立的,此次将修订后的国家网络安全应急预案公开印发,就是为了使全社会周知《国家网络安全事件应急预案》的内容,形成共同应对网络安全重大事件的局面。同时,也是为了更好地指导各级各类网络安全预案的制定,构建科学合理、有机统一的国家网络安全应急预案体系。
部门和地方的应急预案应做好与《国家网络安全事件应急预案》的衔接
今后一段时间,根据《网络安全法》的要求,各部门、各地方要加强网络安全预案制定工作,并组织定期演练。目前,已经有一些部门和地方制定了网络安全应急预案,并在实际工作中发挥了重要作用。但也有些预案存在以下问题:
一是预案编制主体不明确。根据中央精神,各省(区、市)网信部门在本地区党委网络安全和信息化领导小组统一领导下,统筹协调组织本地区网络安全事件的预防、监测、报告和应急处置工作。但一些地方的网络安全应急工作还没有纳入地方网信小组的领导范畴,预案也不是由地方网信部门牵头制定。这在客观上也导致了预案的统筹协调性不够,资源没有充分调动。这当然有历史的原因,但要抓紧修订。
二是照猫画虎、比葫芦画瓢。《国家网络安全事件应急预案》将网络安全事件分为四级,各级事件的处置权限不完全相同,最高级事件需要调动国家级资源予以应对。但一些部门和地方的应急预案也是机械地将网络安全事件分为四级,而且每一级事件都是在本单位内部处置,这有可能会导致国家网络安全应急处置工作成为一个个孤岛。
三是过于原则。《国家网络安全事件应急预案》主要是明确网络安全事件处理的总体框架和主要原则,但各部门、各地方的应急预案则应突出可操作性,不能与《国家网络安全事件应急预案》一样原则。有的地方预案,翻遍全篇找不到应急联络人和热线电话,应急支援队伍也是“犹抱琵琶半遮面”,这样的应急预案起不到实际作用。
《国家网络安全事件应急预案》充分借鉴了国外经验
纵观全球,制定网络安全应急预案都是各国维护网络安全的“规定动作”。近年来,随着重特大网络安全事件的增多,各国都在加强这方面的工作,纷纷修订已发布的预案。这些国家的预案普遍关注跨部门协调,甚至是国际协调问题,同时突出各网络安全职能部门、地方、行业的责任和义务,加强情报、执法等应急支撑技术队伍和机构建设,旨在形成举国体制。我国的《国家网络安全事件应急预案》在制定时充分借鉴了国外的有关经验。