等保资讯

网络危机管理挑战分析与能力建设

摘　要：伴随着重大网络安全事件的频繁发生，网络安全已从 IT 专家关注的技术问题逐渐演变为国际安全和国家安全课题。从安全视角来看，网络危机是由重大网络安全事件引发的、常规技术响应不足以应对、需要在有限时间和有限信息条件下决策处置的紧急事态，除危机共性特点外，具有技术诱发性、显著跨界性、快速级联性、部分可根除性等特征，需要从事前预防、事中响应、事后学习等方面进行全过程管理。网络危机跨界效应的呈现过程十分隐蔽，主导因素源自技术，传播扩散光速运行，对危机感知预警、决策指挥、事态控制等提出了新挑战、新任务。亟需从建立健全危机管理机构、构建完善危机协调机制、制订更新危机响应计划、积极开展危机管理演练等方面未雨绸缪，加强网络危机管理体系和能力建设。

内容目录：

1　网络危机与网络危机管理概念界定

2　网络危机跨界效应与危机管理挑战

3　网络危机管理能力建设初探

4　结　语

互联网作为 20 世纪最伟大的发明之一，引领带动信息网络技术蓬勃发展、广泛应用，网络空间崛起为“第二类生存空间”，人类社会已进入网络空间与物理空间深度交融的数字时代。各种网络信息系统支撑和驱动经济社会发展的同时，相伴而生的网络安全问题也成为互联网时代的“阿喀琉斯之踵”，电子珍珠港、网络“9·11”、数字核武器尽管没有发生，但类似的危机警报却不时被政府人士引用、被媒体渲染报道，网络安全逐渐从 IT 专家关注的技术问题演变为国际政治、国家安全课题，愈发对国际安全稳定、国家总体安全等产生重大影响。2007 年爱沙尼亚遭受分布式拒绝服务攻击，2010 年“震网”病毒袭击伊朗核设施，2015 年黑客入侵致使乌克兰大范围停电，2017 年勒索病毒肆虐全球，2019 年澳大利亚国会因网络攻击引发该国第一起国家级网络危机，2021 年上半年美国最大燃油运输管道运营商遭网络攻击触发紧急状态等重大网络安全事件接连发生，推动网络危机管理逐渐进入非传统安全领域大国危机管理 、非常规状态下国家安全治理议程，成为国际危机管理、国家安全危机管理、政府公共危机管理领域新的实践难点和理论前沿问题。

1

网络危机与网络危机管理概念界定

网络危机有时亦被称为网络空间危机、网络安全危机、信息通信技术危机、IT 危机、网络信息安全紧急状态、网络紧急状态等。目前，国内外对其概念的界定主要从 4 个视阈展开：一是国际安全视阈。例如欧盟理事会将欧盟层面的网络危机定义为“一类大规模网络安全事件，这类事件造成的破坏过于广泛，以致于相关成员国无法自行处理，影响两个以上成员国或欧盟机构，并对这些成员国或欧盟机构带来技术层面或政治层面的广泛和重大影响，需要欧盟政治层面及时地进行政策协调和响应”。二是国家安全视阈。强调网络危机是破坏或影响多个国家信息关键基础设施且常规危机管理结构不足以应对的重大网络安全事件 。三是组织管理视阈。其认为网络危机是组织核心战略目标、声誉和可靠性面临网络破坏威胁的异常和不稳定情境 。四是通用视阈。将网络危机界定为“网络空间的基本结构、基本价值和规则受到严重威胁，在时间压力和高度不确定的情况下，必须做出重要决定”，或简单地界定为“危机情境的网络安全方面”“源自网络的危机”。综上所述，本文认为网络危机是由重大网络安全事件引发的、常规技术响应不足以应对、需要在有限时间和有限信息条件下决策处置的紧急事态。它源于人为原因、软硬件缺陷或故障等造成的网络安全事件，但并不是所有网络安全事件最终都会导致网络危机发生，只有网络安全事件失控并带来重大现实或潜在灾难性后果时，方才构成网络危机。

网络危机除具有危害性、不确定性、紧急性等危机共性特点外，还具有以下特征：一是技术诱发性。网络危机本身是一种信息技术危机，通常是由技术原因诱发的。二是显著跨界性。与其他类型的危机相比，网络危机跨地理边界，跨部门边界，跨物理域、信息域、认知域边界的特征更加显著。三是快速级联性。网络危机以网络速度展开与蔓延，能够快速地由单个组织、部门的危机扩散升级为国家级危机、全球性危机。四是部分可根除性。与传统的地震、海啸等自然危机无法根除不同，对于同一诱因、同一种攻击手段、同一漏洞引发的网络危机，可以通过技术修复加以根除，但广义上的网络危机难以根除。

网络危机管理涵盖事前准备、事中响应、事后恢复与学习等各个方面，旨在实施一系列特定的政策、组织和技术措施，最大限度地预防网络危机的发生，并在危机发生后快速遏制危机扩散，且有效解决危机。网络危机概念的提出拓展了危机管理的内涵与外延：从国家层面视角来看，网络危机管理是网络安全应急管理、关键基础设施保护、国家安全危机管理、公共危机管理的结合体；从组织视角来看，网络危机管理是业务连续性管理的一部分，必须与业务连续性管理保持一致；从危机管理理论视角来看，网络危机管理是危机管理领域新增的子集，根据危机影响范围分为组织、部门、国家、国际等不同层级，每个层级都涉及战略、运营、技术等不同层面，是一项极具复杂性的管理科学。

2

网络危机跨界效应与危机管理挑战

以互联网为代表的信息化、网络化进程，在加速人类社会现代化步伐的同时，也让世界深度迈入了德国社会学家贝克提出的“充满不确定性、挑战性和全球性的高风险社会”。社会结构的复杂化以及人员、信息、资金流动性的增强，使得危机的形态越来越复合和复杂，由此出现了发生载体或危害对象跨越不同基本危机类型的危机形态——跨界危机。网络危机是互联网时代出现的一种新型跨界危机 ，因网络的普及应用、互联互通、虚拟交互的特性，其跨界效应与其他类型的危机相比更为显著。

一是跨地理边界特征更加显著。一般来讲，火灾、地震、海啸等类型的危机具有确定的地理位置，发生在特定国家或地区边界和管辖权以内，这有助于明确危机应对权责并迅速调动应急资源。但是，以互联网为代表的全球网络基础设施互联互通，导致网络危机能够与生俱来地跨越现实世界的地理和政治界限，一国国内的网络危机有可能会迅速扩散蔓延至其他国家，这便带来了跨境网络危机管理的不确定性。特别是在发生由网络攻击事件引发的网络危机时，攻击者、攻击者利用的资源、攻击的目标对象很可能隶属多个不同的主权国家，这对危机期间的政治博弈、协同响应、归因取证、责任追究等方面都带来了严峻挑战，网络危机管控不当甚至有可能引发政治军事危机。

二是跨部门边界特征更加显著。由于关乎国家安全、国计民生的关键信息基础设施通常建立在共用信息网络技术之上，即便这些关键信息基础设施彼此物理隔离，网络危机的发生也可能会导致多个部门同时受到影响。严重的通信网络故障或计算机病毒蔓延，可能会同时造成电力部门的控制系统、交通部门的调度系统、金融部门的电子交易、卫生部门的在线医疗等发生功能性中断或混乱。网络危机的跨部门特性，对危机决策具有制约作用，例如，让某个网络服务提供商关停服务，可能会导致其他部门的通信受到影响，从而不得不采取其他选项处理危机。

三是跨物理域、信息域、认知域边界特征更加显著。网络空间由物理网络构件及其逻辑关系、网络中传输及存储的数据、用户网络身份及其网上活动 3 个层次构成，客观造成了网络危机能够跨越物理域、信息域、认知域 3 个人类社会活动维度，以跨域赋能的方式造成重大危害。在 2010 年“震网”病毒破坏伊朗核设施的危机事件中，危机源于网络病毒感染事件，后果是对伊朗核设施造成了不可逆的物理破坏。2014 年美国索尼影业，2015 年英国电信集团 Talk Talk 因网络攻击导致数据泄露从而引发组织层面的网络危机，最终造成了企业声誉受损、市值下跌、客户数量下降等严重后果。

有效预防和管理网络危机，需要深入理解把握网络危机管理区别于常规危机管理的特殊性，充分认识网络危机跨界效应对危机管理带来的新挑战、新任务。

一是网络危机跨界效应的呈现过程十分隐蔽，对网络危机感知预警提出了新挑战。由于网络安全事件源于虚拟网络世界，网络危机与常规危机的显现方式不同，网络危机在被发现或者造成足够大影响之前可能已经持续了很长一段时间。加之网络新技术、新应用发展迅速，网络系统的复杂程度不断增加、新的漏洞不断出现都意味着网络危机的诱因不断增多，适用于常规危机的预警传感器通常只能检测已知威胁，因此网络危机的早期感知预警难度很大。由此可见，建立融合开源威胁信息、网络威胁情报、用户异常报告等信息的综合预警系统，推动跨国、跨部门的威胁情报共享，对尽早感知预警网络危机至关重要。

二是网络危机跨界效应的主导因素源自技术，对网络危机决策指挥提出了新挑战。网络危机是一种技术诱发型危机，在技术含量高的网络危机面前，公共部门和决策者通常很难理解危机的产生根源、影响范围及其可能产生的后果等方面的技术细节，网络危机决策和指挥面临着比常规危机管理更大的挑战。有效开展网络危机管理工作，技术专业知识比纯粹的人力更加重要，要解决决策指挥中的技术翻译问题，必须让具有跨相关领域知识和技能的复合型“翻译”人员参与决策过程，担负同一线技术响应人员交流技术细节、将正确的信息传递给决策者的双重职能，以弥合技术语言和社会语言之间的差距。

三是网络危机跨界效应的传播扩散光速运行，对网络危机事态控制提出了新挑战。网络的互联互通和数据的光速传输，导致网络危机的扩散更迅速，带来的影响更显著，网络危机范围的快速蔓延促进了公众认知影响的迅速传播，使得危机事态控制的窗口期大为压缩，对控制网络危机升级扩散构成了严重挑战。例如地震救援遵循“黄金 72 小时”原则，但国外学者研究认为，企业网络危机管理应当遵循“黄金一刻钟”原则。面对时间压力及高度不确定的网络危机情境，必须迅速决策、快速响应，不能及时有效遏制意味着单个组织机构的网络危机，很可能会快速演变为国家层面的网络危机、地区层面的网络危机甚至全球性的网络危机。

3

网络危机管理能力建设初探

近年来，重大网络安全事件呈现频发多发态势，引发网络危机的风险不断加剧，网络危机管理得到国际组织、主要国家、网络安全企业、高校与研究机构等不同层面的广泛重视，网络危机管理理论研究与实践探索快速发展。德国、以色列、爱沙尼亚等国均已出台国家网络危机管理专项计划或国家概念，欧盟制定了网络危机管理“标准操作程序”并专门开发了网络危机“外交工具箱”，2022 年初联合国裁军研究所专门组织召开系列国际网络危机管理区域研讨会，探讨相关理论和能力建设问题。当前，我国初步建立了以“一案三制”为核心的网络安全应急管理体系，在应对常规网络安全事件方面发挥了重要作用，积累了丰富经验，但面向危机管控层面纵深扩展不足。《国家网络空间安全战略》强调“完善网络安全重大事件应急处置机制”，《网络空间国际合作战略》提出在“遏控网络空间重大危机”的大背景下，加强网络危机管理能力建设，可从以下 4 个主要方面入手。

一是建立健全的网络危机管理机构。组建或指定专门负责网络危机管理工作的机构或团队，是发展网络危机管理能力的第一步。国家级、部门级网络危机管理机构通常由网络危机协调机构、网络危机处置机构、网络危机专家咨询机构组成，分别担负组织协调、应急响应、技术支持职能。一般组织层面的危机管理机构通常是综合性的网络危机管理团队，例如，大型企业层面一般由董事会成员、首席信息官、首席信息安全官、首席风险官、首席技术官、首席财务官、法律顾问、公共关系负责人、具体业务负责人组成，统一负责企业网络危机的决策、协调、处置、客户沟通等工作。

二是构建完善的网络危机协调机制。网络危机的利益相关方可能涉及政府、公共机构、运营商、服务提供商、软硬件供应商、用户以及其他行业组织，有效应对危机需要所有利益相关方之间迅速有效的协调与合作。国家级、部门级网络危机管理协调机构，应牵头建立跨部门协调机制、公共与私营部门协调机制、跨国协调机制，健全完善协调与合作的程序、平台、工具，畅通网络信息共享和行动协同渠道。一般组织的危机管理团队应与政府、公共部门、网络安全企业、媒体等建立协调机制，以便在危机期间协调获取执法、技术、媒体等方面的支持。

三是制订更新网络危机响应计划。网络危机响应计划是网络危机应对准备的基础性工作，通常包括网络危机利益相关方的职责、预想危机场景的响应行动和流程等内容，可以是一份综合性网络危机响应计划，也可以由网络危机行动计划、协调计划、沟通计划等构成。制订网络危机响应计划需要所有利益相关方共同参与，在确定战略目标、开展风险分析、预测危机场景的基础上进行，核心要求是突出针对性、可操作性，以便危机发生时快速付诸实施。形成的网络危机响应计划要让所有利益相关方掌握并及时更新，以适应网络危机诱因、形态、应对方法及手段等的新变化。

四是积极开展网络危机管理演练。网络危机管理演练通常包括桌面推演、模拟演练、对抗演练 3 种形式，是提高网络危机管理能力的重要手段，能够增强对网络危机管理的理性和感性认知，积累网络危机管理经验，熟悉网络危机管理流程和工具，检验修订网络危机响应计划。从近几年欧盟组织的“网络欧洲”系列演习和美国组织的“网络风暴”系列演习来看，开展网络危机管理演练，要重点演练跨部门协调、网络危机信息共享、技术层面与决策层面的沟通互动、网络危机、公共沟通等方面的内容，统筹抓好网络靶场建设、演练相关开发、参演人员培训、演练评估总结等相关工作，全面锻炼提升网络危机管理体系的整体能力。

4

结　语

当前，恶意网络攻击活动愈加多发频发，网络霸权主义、网络恐怖主义、网络安全犯罪威胁不断加剧，亟需强化底线思维，建立完善风险管理、应急管理、危机管理衔接融合的网络安全管理体系，做好网络危机应对准备，筑牢维护网络空间安全和发展利益的保底防线。

来源：信息安全与通信保密杂志社 信息安全与通信保密