网络事件是发生在网络空间的源于个人或独立国家行为体的恶意网络攻击事件,它产生的后果包括:影响计算机系统及网络的可操作性和信息的安全性,影响支撑网络系统运行的信息基础设施的完整性和可控性,影响依托网络赋能的关键基础设施系统的可用性和可控性。而网络事件响应是指应对上述威胁和灾害而采取的一系列行动,包括威胁响应、设施响应、情报支持和受影响对象自身的处置行动。
一、网络事件响应的“政治性”
网络事件溯源于网络空间中的个人或独立国家行为体,或实施者代表特定的政治集团,或其造成的影响牵涉国家政权稳定。当网络事件的发起者归因于独立国家行为体时,则具有明显的政治性。如2010年9月伊朗(纳坦兹)核设施遭受疑似来自美国或以色列的“震网”病毒攻击,导致离心机报废,核设施瘫痪,达到了美、以遏制伊朗在中东军事崛起的政治目的。有的网络事件,虽然不是政治集团操纵的,但对国内政治稳定造成极大影响。这从美国曾经举行的“黑掉五角大楼”的网络安全演练可以反映出,为什么要针对美国五角大楼开展模拟演练,就是因为一旦国防信息网络受到攻击将严重影响美国的军事和政治稳定,然而据媒体披露,美国的国防网络就曾被英国一个25岁的年轻黑客入侵。上述两种行为均体现了网络事件的政治性。网络事件的政治性连带影响到网络事件响应的政治性,并在网络事件响应的环节中有新的具体体现。一是体现在“归因”上,对归因的要求更高。在网络事件响应中,如不能准确归因,判明事件的发起者或目标源,则无法判断一起网络事件的政治属性,即是政治集团蓄意发起的,还是普通民众无意而为之,失去了基本的判断则无法给事件定性,难以确定风险等级,以及推断潜在的可能性影响,更无法实施后续的回击等行动。二是体现在基于政治影响的“形势评估”上。对国家当局来说,发生重大网络事件的形势评估一方面是基于对国内关键基础设施造成的影响,另一方面就是基于网络事件的政治性影响,如民众对政府的信任度,舆论的方向和焦点,外交以及经济等。例如网络事件影响到经济支付系统,导致普通民众的经济行为被阻碍,网上交易受到影响,进而影响国内经济安全和民众生活,并降低了政府可信度,牵连到国家政治稳定。
二、网络事件响应的“跨域性”
宏观上,网络事件源于网络空间,但影响少不了物理设施,即网络事件的影响从虚拟域贯穿物理域,这就决定了网络事件响应中的协调是跨域协调。发生网络事件后,无论是针对政府部门的网络事件,还是针对私营企业或民众家庭的网络事件,对事件的响应都不是一个机构、一个部门、一个企业能够独立实施的,尤其对于重大网络事件。首先,事件的调查处置需要司法部门、网警力量等的参与,其中调查取证涉及到技术部门的任务,对不良网络行为的发起者实施追踪、逮捕、起诉是执法部门的职能,如果是对手蓄意发起的网络战,国家安全部门、国防部门必须参与其中,给予回击和调查。其次,在事故灾害恢复环节,对于计算机网络和系统造成的影响,需要技术部门专业人员实施,受影响对象根据所在行业和领域特征给予配合;对国家关键基础设施造成的影响,涉及关键基础设施的所有者和运维人员(某些情况下二者并不一致)实施恢复和重建工作,国家层面对应的工业部门、工信部门要给予大力配合,必要时实施资源调动。这其中涉及到公私合作,跨部门的合作。再比如,在信息共享机制的推动下,各个部门之间要搭建信息共享平台,共享网络威胁信息,各个不同的企业,在同一领域内要共享网络威胁信息,处于同一地域的若干政府机构和私营企业间要进行信息共享,这些不同种类的信息共享平台对于网络事件响应至关重要,而这些平台都是跨部门、跨行业以及跨地域的。
三、网络事件响应的“社会性”
所谓“社会性”是指网络事件的响应要及时向社会和普通民众公开,取得社会各界的一致认识,并达到警示和教育的作用。比如某一企业的网络受到了攻击,为了达到警示、提醒其它同行业的目的,美国法律规定在将受影响对象的响应处置情况对外公开时要尊重受影响对象的商业秘密和员工隐私,要保护某些必要的网络事件的细节和敏感信息,对于与联邦政府利益密切相关的企业,还必须统一口径,避免产生错漏。网络事件响应的社会性既是当今要求建立公信政府的体现,也是民众对信息自由流动、建设网络社会的迫切需求。网络事件响应的社会性还在于网络事件的处置必须集众人之力,形成以政府牵头为主、执法机构参加、技术部门主导和普通民众配合的局面,更多的是普通民众有从大型的网络事件中受到教育和学习的权利,增强网络安全防范意识和掌握必要的技能,从而为保护个人隐私,维护自身人生和财产安全,以及打击网络犯罪和网络恐怖主义提供政府的社会支持,共同构建清朗、安全的网络环境。同时,普通民众也是整个网络空间的一个接入节点,如果缺乏必要的安全常识和网络安全防护知识,将可能成为恶意的网络攻击对象发起网络攻击利用的“傀儡”和“僵尸网站”,以及网上欺骗、网络钓鱼等的受害者。
四、网络事件响应的“复杂性”
复杂性体现在两个方面:一是网络事件处置的技术复杂性,二是行动协调的复杂性。网络技术日新月异,网络安全威胁也不断演化,由于网络事件的隐蔽性、网络威胁的可复制性和发起网络攻击对象的不对称性,决定了处置网络事件、响应网络事件的技术复杂性。首先对于网络威胁信息的定位和筛查。为了建议及时有效的响应机制,必须加强平时在网络空间的信息筛查和收集,结合多源信息进行融合印证,并产生有价值的情报,形成日常性的网络威胁态势感知图和风险等级评估,为突发性网络事件响应溯源和归因提供信息支撑。其次在网络事件响应的调查取证环节,要开展综合利用多学科交叉技术的调查、认证和识别工作,确保提取的信息有效。再次,在网络事件响应中行动协调较为复杂,尤其对于重大网络事件。
