刘晨晖 王能民

(1. 西安交通大学管理学院 西安 710049；2. 过程控制与效率工程教育部重点实验室 西安 710049；3. 陕西省制造服务业过程挖掘工程研究中心 西安 710049)

A Cyber Security Incident Response System Based on Piezoelectric Theory—The Practice in the United States and Its Implications

Liu Chenhui1,2,3Wang Nengmin1,2,3

(1. School of Management, Xi'an Jiaotong University, Xi'an 710049;2. The Key Lab of the Ministry of Education for Process Control & Efficiency Engineering，Xi'an 710049;3. ERC for Process Mining of Manufacturing Services in Shaanxi Province, Xi'an 710049)

Abstract:[Purpose/Significance]By constructing the cyber security incident response system based on piezoelectric theory, this paper provides the theoretical foundation and practical suggestions for Chinese enterprises' incident response management. [Method/Process]Based on the text analysis of Best Practices for Victim Response and Reporting of Cyber Incidents issued by the US Department of Justice, this paper interprets the practical experience of incident response in the United States from the perspective of three stages (pre-event, in-event and post-event), and constructs cyber security incident response system from the perspective of changing events, situational awareness and critical alignment in piezoelectric theory, which is applicable to Chinese enterprises.[Result/Conclusion]Based on the practical experience of the US federal investigators, prosecutors, and US enterprises in dealing with cyber security incidents, this study puts forward a checklist of the incident response plan, in which the whole-process management and the response strategy of critical alignment provide valuable references for Chinese enterprises.

Keywords:piezoelectric theory; cyber security; incident response; critical alignment；the United States

0 引 言

随着《中华人民共和国网络安全法》和《中华人民共和国数据安全法(草案)》等一系列政策法规的公布和实行，网络安全已经成为社会各行业以及学术界关注的热点问题，同时也是国家安全与经济社会稳定运行的关键所在[1]。然而，随着企业信息系统建设的不断深入以及对信息技术依赖性的日益增强，持续增长的网络安全事件让企业的主体防护任务愈加艰巨，很多企业都存在响应计划欠缺与响应速度较慢的问题，应急响应体系的建立和完善势在必行。虽然我国已经出台了战略层面的总体性应急预案[2]——《国家网络安全事件应急预案》，但是在企业实践层面仍然存在空白。

本文参考美国司法部所发布的《网络安全事件受害者响应与报告的最佳实践》 (BestPracticesforVictimResponseandReportingofCyberIncidents)[3], 构建了一套基于压电式理论的、面向企业实践层面的网络安全事件应急响应体系。信息风险管理的压电式理论[4](Piezoelectric Theory)指出，如果企业的网络安全实践体系可以赋予其面对变化的风险事件不断调整的能力，那么来自风险事件的负面影响就能被企业的调整举措所消除。换言之，网络安全事件的影响与企业的响应能力以及准备工作呈负相关。基于压电式理论的理念，本文为我国企业构建高效的应急响应体系和提升响应速度提供了理论支持；在吸纳和整合美国应急管理经验的基础上，提出了清单式的、具备可操作性的体系构建方案，为企业提供了实践与应用层面的借鉴参考。

1 网络安全事件与应急响应

参考美国第41号总统政策令的定义，网络安全事件是指发生在网络系统中或者依托网络系统，已经或者将要干扰和危害信息系统基础设施与信息资产完整性、机密性或可用性的事件[5]。也就是说，无论是否造成实质性的负面影响和损失，也无论是无意还是恶意的网络攻击、系统侵入和数据泄露等事故，亦或是系统故障和自然灾害，只要威胁到数据或设施的完整性、机密性与可用性，都属于网络安全事件的范畴。应急响应是组织为了应对突发的意外事件而进行的准备工作，以及在事件发生后采取的补救措施[6]，也就是“未雨绸缪”和“亡羊补牢”。网络安全事件应急响应的目的在于保护组织的网络设施、信息系统以及信息资产免受恶意攻击与非法入侵，降低乃至消除安全事件带来的损失和负面影响，并缩短组织业务与系统在遭受攻击后的恢复时间，其实质是通过整合与协调整个组织的资源来应对安全事件。响应的有效性主要取决于对网络安全事件的认知，针对安全事件的准备工作和应对措施，以及处理和解决安全事件的速度。

2 网络安全事件应急响应：美国的实践经验

2018年9月，隶属美国司法部(U.S. Department of Justice)的网络安全工作组(Cybersecurity Unit)发布了《网络安全事件受害者响应与报告的最佳实践》(在后文统一简称《最佳实践》)，旨在指导企业管理者有效预防与应对网络安全事故并降低损失和影响。2014年12月，美国司法部组建了网络安全工作组，下属于网络犯罪与知识产权部(Computer Crime and Intellectual Property Section)。作为提供网络安全咨询与法律指导的核心部门，网络安全工作组旨在协助执法部门有效打击网络罪犯，并保护民众和组织的信息隐私。为了实现这个目标，该工作组致力于制定与完善各项网络安全法规和政策，保护企业和机构的计算机系统以及个人用户免受网络攻击的危害。网络安全工作组还广泛接触各类私营企业，以促进合规高效的网络安全实践。

基于美国联邦调查员、检察员以及私营企业处理和解决网络安全事件的实践经验，《最佳实践》提出了一套应用层面的全过程响应策略，旨在帮助企业和相关从业者预防网络安全事件的发生，减缓攻击扩散和降低事故影响，最终有效地处理和应对各种突发事件。《最佳实践》指出，任何使用信息系统和连接互联网的组织，都可能成为网络入侵、黑客攻击与数据泄露等网络安全事件的受害者。企业为了保障自身的信息资产安全，应当从事前、事中和事后三个阶段制定全过程的应急响应策略：

2.1事前响应策略对企业而言，在应对网络安全事件时，最大的挑战是“我们不知道我们不知道什么”[7]。因此，事前的风险评估与响应计划可以帮助企业明晰潜在风险，针对关键环节与薄弱环节“对症下药”，从而有效降低安全事件带来的损失，避免业务停滞并增强企业的运营稳定性。根据《最佳实践》的建议，事前响应策略主要包括以下6个方面：

2.1.1 高管培训与管理层推动 鉴于网络安全活动需要企业各项资源的支持和跨部门的协调性工作，并有可能承担事故发生的责任，通过自上而下的管理层推动才能确保实质性的工作进展。因此，只有管理者深刻认识到风险事件的存在和风险管理的重要性，方能正确而高效地推动企业的应急响应体系建设，面向高管的网络安全培训也就显得尤为重要。企业的管理层需要了解哪些网络威胁和风险事件会干扰组织运作、破坏核心系统与产品、影响消费者与合作者信任，并汲取和采纳成熟的风险管理与应急响应实践经验。例如，美国网络安全工作组推荐以美国国家标准与技术研究院(National Institute of Standards and Technology)制定的网络安全框架[8]为代表的风险管理实践作为制定响应计划的决策参考。

2.1.2 关键资产识别与风险事件评估 在管理层的支持和推动下，识别组织的关键资产和可能面临的风险事件是事前响应策略中至关重要的一步。由于网络威胁的种类和攻击方式各式各样，企业需要确定准备工作与响应措施保护的重点目标，那就是组织的关键资产(crown jewels)。所谓的关键资产，是与企业的核心竞争力与商业机密紧密相关的数据、系统、服务以及流程等无形和有形资产。企业应当以关键资产为中心，识别和明晰可能的潜在风险事件。在进行风险事件评估时，不应局限于组织内部，还需要考虑外部的第三方合作者，上下游企业，以及其他有业务联系的机构，并将评估重点放在对边界的确定和描述[9]，因为只有边界的确定才能保证职责范围的确定。最后，根据事件的性质进行分类，包括恶意攻击、人因事故以及技术故障等。

2.1.3 网络安全相关的法律问题 在网络安全事件的响应过程中，会涉及一系列复杂的法律问题，处理突发事态的管理决策也有可能引发法律后果。因此，在制定响应计划前，企业需要对相关的法律法规有充分的了解，并积极听取和采纳法务部专员或者外部专家的建议，在合规合法的前提下构建和完善响应体系与决策备案。

2.1.4 制定应急响应计划 波耐蒙研究所(Ponemon Institute)的一项调查显示，77%的企业缺乏正式的应急响应计划[10]。巴尔比克斯(Balbix)的调研报告也指出，只有58%的企业可以在网络安全事件发生后的24小时内确定处于危险状态的组织资产，40%以上的企业需要24小时以上的时间来进行识别与确认[11]，凸显了应急响应计划对提升响应速度的重要性。企业应当明确一个原则：应急响应中任何可以事先准备的措施都应当出现在事前计划中，从而节省发生事故后宝贵的响应时间。在制定事前响应计划时，首要的原则是可操作性，具体的内容包括但不限于以下方面：

(1)根据安全事件的性质和类别制定对应的响应计划，明确关键节点的完成时限；

(2)应该得到最优先保护的数据，网络系统，以及信息资产；

(3)确定各个响应环节中具有决策权的责任人，包括信息沟通与发布，响应方案的执行，与执法部门的对接，以及法律问题的解决等，组建内部的应急响应处理团队；

(4)各个责任人的联系方式，并制定无法联系时的备选方案；

(5)规划、设计并启用企业内部的网络安全程序，逐步建立网络监控体系；

(6)政府执法部门、信息资产相关的第三方组织(云储存服务商或商业数据中心)、可能受到影响的组织与机构 (供应商，客户，合作伙伴等)、信息安全应急响应服务商或其他可以提供协助的机构的联系方式；

(7)使用备份数据的时机与条件；

(8)通知外部机构与组织安全事件信息的时机与条件；

(9)制定演练方案检验响应计划的可行性；

(10)保持对响应计划的更新，及时反映人员与组织结构的调整变化。

2.1.5 组织政策与响应计划对齐 为了确保响应计划发挥应有的作用，企业应当适当调整和改变组织政策(包括通用的规章制度、人力资源管理和人事政策)，避免制度规定与人员分配的冲突，确保应对事故的技术、系统以及人员各在其位，并将应急响应计划的学习纳入日常的培训和会议中，让尽可能多的组织员工熟悉和了解。为了防止勒索病毒等恶意攻击导致的系统瘫痪，企业需要将应急响应计划做好纸质备份。此外，巴尔比克斯(Balbix)发布的调研报告显示，80%企业员工的信息系统访问权限都高于完成本职工作的需要[11]，因此组织的人事政策还需要特别防范来自内部员工的威胁，尤其是离职员工。应当及时解除前员工的网络权限，并对现员工的权限保持监管和动态调整。

2.1.6 与外部组织和机构建立关系 在安全事件发生之前，企业应当主动与政府的执法部门建立良好关系，确保能够在事故发生的第一时间取得联系并获得帮助。此外，与企业数据共通或者有可能受到波及的上下游合作者，企业客户以及云储存服务商等也应该就网络安全协同展开合作，也可以寻求应急响应服务商的帮助。

2.2事中响应策略即使企业在事前做足了充分的防范，也仍然有可能成为网络安全事件的受害者。因此，在事中应急处置阶段高效而迅速地执行响应计划就是成为了降低损失和消除影响的关键。《最佳实践》提出了以下5个事中响应步骤：

2.2.1 性质与范围的评估 当网络安全事件发生时，首先需要对其本质和范围做一个初步评估，确认它是一个恶意攻击，人因事故还是技术故障，或是一个多因素的复杂事故，然后根据完全事件的种类启用对应的响应计划。

2.2.2 启用频带外通讯系统 在安全事件发生时，企业不应使用遭受攻击的组织系统进行网络通讯，应尽可能启用频带外的通讯系统，并使用加密形式来发布或者传达安全事件的处理信息，避免被入侵者劫持或利用。为了避免成为社会工程学攻击[12](利用人性弱点建立诱饵来突破防御，诱导目标泄露信息或进行恶意侵入)的受害者，企业需要警惕来自未知IP或者未确认意图的安全事故问询，向执法部门提供信息的同时保持追踪监控可疑的问询请求。

2.2.3 执行响应计划 在明确了事故类型和启用频带外通讯的基础上，企业应当迅速执行既定的响应计划。首先应该采取一系列紧急措施来防止局势的进一步的扩散和恶化， 例如重置网络通信，阻止针对服务器的攻击和隔离受损系统等。根据安全事件的性质、范围以及严重程度，依照事前制定的响应计划组建应急响应处理团队，包括高层管理人员、信息技术人员、物理安全协调员、通信或公共事务人员、以及内部的法律专员和外部的法律顾问等。值得注意的是，并不是所有的安全事件都需要调动所有的组织资源进行应对，不同类型的事故需要的人员构成也各不相同。此时就凸显了事前计划的重要性：如果企业在事前响应中针对每一种类型的安全事件规划好对应的人员配置，就会在事中阶段争取到宝贵的响应时间。

2.2.4 保存和收集信息 当网络安全事件发生时，企业应该立即展开所有相关信息的记录和收集工作，包括但不限于：

(1)对受损的系统第一时间进行“取证图像”的记录。所谓取证图像，是对电子设备上的数据进行精确的逐位复制，也就是对某一时间节点的系统进行的完美快照，可供事后分析所用，并成为刑事审判阶段的证据。

(2)如果企业没有在受到攻击和入侵的系统上启用日志，应当立即启用或者增加服务器中日志文件的默认大小，以防止重要文件与信息被覆盖或泄露。企业应当尽量避免受损系统的信息被擦除或覆盖，这些数据对事后分析和调查攻击源头至关重要。

(3)记录所有的攻击行为和泄露的信息，以及安全事故造成的所有损失，从而用于后期的刑罚定罪以及追偿。

(4)企业应该详细记录应急响应阶段所采取的所有步骤，并保存所有的登录与访问记录，以及与事故相关的所有其他数据。

(5)对尚未受到影响的系统以及文件使用全新介质进行备份，尽可能使用二进制或者按位备份[13]。

2.2.5 联系外部组织和机构协作应对 如果企业在响应过程中获取了泄露数据的位置或网络攻击的来源地址，应在第一时间与政府的执法部门取得联系，然后根据安全事件发展态势与处理结果，及时与外部的组织或机构合作，并通知可能波及到的组织关于事故的最新情况与可能的影响结果，必要时进行协同响应。

2.3事后响应策略作为应急响应体系的最后一环，事后响应策略主要专注于网络安全事件的收尾处理与总结反馈工作，是构建闭环管理体系的关键步骤：

2.3.1 保持监视异常事件 即使信息安全事件已经解决，或者事态已在掌控之中，企业仍然应该保持警觉。过往的经验表明,很多被入侵过的系统会遭遇二次攻击，即使已经解决了当前已知的系统漏洞，也不能保证没有其他的薄弱环节。因此，企业应当继续监测组织系统中的异常活动，谨防被再次入侵或者攻击。

2.3.2 事后回顾与总结反馈 企业从安全事件中恢复过来后，应当总结和分析在应对过程中所暴露的薄弱环节，切实提升系统的安全防护等级，加强和第三方组织或机构的合作，采取针对性的措施来防止类似事件在未来的发生。

2.3.3 调整和改进响应计划 在总结反馈的基础上，企业应当做一个全面的复盘和调整，评估先前制定的响应计划的优点与不足，反思执行时的经验教训并进行修改和完善，最后制定出新版本的应急响应计划，从而形成完整的闭环体系。

3 压电式理论与应急响应

3.1压电式理论的内涵在美国司法部发布的《最佳实践》的基础上，本文应用了风险管理领域中的压电式理论(Piezoelectric Theory)来构建适用中国企业的网络安全事件应急响应体系。压电式理论是在多年的企业实践过程中提炼出的信息风险管理的理念与方法，核心内涵是强调风险事件的不确定性与企业响应能力的重要性，认为风险导致的负面影响与企业面对风险事件不断调整的响应能力呈负相关。该理论名称中的 “Piezo”源于希腊词汇“piezein”，原意是挤压，压电式理论也正是源于压电式传感器受到外力挤压时的特性：当有外力作用时，传感器内部的电荷会移动到对应的表面(正负电荷分别移动聚集到一侧)，当外力消失的时候，传感器又会恢复初始不带电的状态。换言之，压电式行为的本质就是通过内部状态的变化(电荷移动)来响应外力的作用。在外部施加压力时，压电式行为可以归纳为三个状态：挤压(squeeze)，触发(trigger)和对齐(alignment)；当压力消失时，则是放松(relax)、触发(trigger)和无对齐(de-alignment)。

3.2压电式应急响应的核心要素在没有安全事件(外力)时，企业中的员工以及组织体系正常运转，就如同正常状态的压电式传感器；当安全事件发生时，一个高效的响应体系会让企业员工或处理指令如同电荷一般迅速聚集到事发的关键节点，协调和整合内部资源来应对突发事件。随着安全事件的解决(外部压力的释放)，企业通过总结反馈，对风险事件有了更深的认知，又会回归到正常的工作状态。如图1所示，如果将压电式行为类比到企业的组织系统，就可以归纳出压电式应急响应的三个核心要素[4]：变化事件(change events), 态势感知(situation awareness)以及关键性对齐(critical alignment)。变化事件指通过检测和识别可能的风险诱因，界定对组织具有实质性威胁的网络安全事件；态势感知强调增强对网络安全事件的感知能力，通过准备就绪的系统(人员、制度与技术)高效响应和解决网络安全事件；关键性对齐着眼于调整和协调企业中的人员、制度与技术，重点关注影响业务运作与核心利益的关键资产，从而确保组织业务的连续性与损失的最小化。

图1 压电式行为与压电式应急响应

正如上文提到的决定应急响应有效性的三个因素——对安全事件的认知，准备工作和应对措施，以及处理和解决安全事件的速度，压电式应急响应的三个特征正是契合了这三个关键点。变化事件意味着企业需要提前识别与检测可能的风险诱因和安全事件，即使安全事件的类型和攻击方式都在不断变化，其本质的风险诱因是一致的，这就需要企业结合自身情况加深对网络安全事件的认知。态势感知的能力代表着企业应对和解决安全事件的速度，关键性对齐的核心是调整和协调组织资源集中于关键资产，不仅引导和优化了企业的准备工作与应对措施，同时也间接提升了企业对安全事件的认知和响应效率。

3.3压电式应急响应的核心导向值得指出的是，在企业中构建压电式应急响应体系与企业追求经济效益的目标并不冲突，因为关键性对齐以企业的商业绩效为核心导向，整个响应体系构建的宗旨也是保障企业的核心资产以及业务连续性。因此，企业在构建应急响应体系的过程中付出的资源与人力，都会转化为无形资产和制度优势，并保障企业的业绩增长。

4 基于压电式理论的应急响应体系

4.1体系构建基于压电式理论与美国的应急响应实践，结合我国企业管理现状，本文构建了一套适用于我国企业的压电式应急响应模式，如图2所示。企业在应对网络安全事件时，如果要像压电式传感器那样高效运转，就需要在事前、事中和事后的三阶段全过程管理的基础上，以变化事件、态势感知与关键性对齐作为行动导向，构建高效和闭环的压电式响应体系。在事前响应阶段，变化事件是企业关注的重点，态势感知主要在事中阶段发挥作用，关键性对齐的策略则是贯穿事前、事中和事后三个阶段。

图2 基于压电式理论的应急响应体系

事前响应是压电式响应体系中最关键，也是需要投入最多的一环。在管理层的推动下，企业要完成对风险诱因以及安全事件的识别(变化事件)，然后确定组织最重要的资产，在合规合法的基础上围绕关键资产制定响应计划，并通过协调和调整组织的政策制度促进两者对齐(关键性对齐)，确保与外部组织和机构建立关系，保证需要时可以迅速获取帮助(态势感知)。

在安全事件发生阶段，在对安全事件进行性质评估的基础上(变化事件)启动频带外的通讯系统，然后根据事件的类型迅速启动对应的响应计划，在记录和收集相关信息的同时联系外部组织协同应对(态势感知)，充分调动所有可能的资源来保障组织的关键资产与核心业务(关键性对齐)。

在事后阶段，组织应当在保持监控异常事件的基础上，进行回顾与经验总结，进一步调整和优化组织的响应方案(关键性对齐)，从而形成完整的闭环响应体系。

4.2与传统应急响应体系的比较基于压电式理论的应急响应体系与传统体系的差异主要体现在三个方面：首先是核心导向差异。传统的应急响应体系以降低网络安全事件的负面影响与提升企业合规性为主要目标，但是压电式以保障企业的商业绩效为核心导向，更加契合现代企业的运营宗旨，也就是用最小的成本实现业务目标并保持业务连续性。第二是响应策略的差异。传统的应急响应体系主要强调全过程闭环管理，压电式强调关键性对齐的响应策略，将企业的人力资源与技术整合调配到最关键的系统与最薄弱的环节，更加符合现代企业的管理理念。第三是防护逻辑的差异。传统的应急响应体系主要通过提升和优化防御手段来确保组织的信息资产安全，但由于风险的未知性和内外环境的不确定性，防护手段的优化升级往往跟不上风险事件的变化，所以压电式理论强调提升组织面对未知风险的响应能力来抵消潜在的负面影响，更适用于当前复杂多变的网络环境。此外，由图2可知，基于美国实践经验的应急响应策略蕴含着压电式理论中风险事件、态势感知与关键性对齐的理念，压电式理论也已经广泛应用于亚太地区的多个国家与组织，其核心理念已在企业的实践活动中到验证[4]，充分体现了压电式理论应用于应急响应体系的适用性与可行性。

5 对我国的启示

5.1提升企业管理层对网络安全的认知美国的实践经验表明，管理层的重视和推动对应急响应体系的构建至关重要。鉴于网络安全事件的多样性、复杂性与不确定性，如果企业高管对网络安全以及应急响应没有足够的认知和重视，企业的应急管理往往只是纸上谈兵或者流于形式。因此，我国应该鼓励和倡导面向企业管理层的网络安全教育和培训，并建立完善对企业高管的约谈机制。此外，鉴于我国缺乏针对企业网络安全行为的激励机制[14]，可以考虑通过赋予荣誉称号、研发补贴、网络安全建设补贴等激励手段来鼓励企业高管关注网络安全应急响应体系的建设。

5.2引导企业建立全过程应急响应体系正如《最佳实践》所提倡的，企业应该建立全过程的、闭环式与清单式的应急响应体系，其优点主要体现在以下三个方面：第一，根据事前、事中和事后三个阶段制定不同的响应策略，更有利于安全事件的识别与处理，最大程度地降低和消除其负面影响；第二，闭环的特性可以让响应计划在系统反馈与经验总结的基础上保持更新和优化，从而有效应对不断变化的安全事件；第三，清单式的准备步骤与响应策略确保了响应体系的实用性与可操作性。

5.3倡导企业践行关键性对齐的响应策略作为压电式理论的关键要素之一，关键性对齐是压电式应急响应体系的核心策略。从压电式理论的视角来看，企业应对安全事件的关键是调整和协调组织内部资源应对变化事件的能力，也就是关键性对齐的能力。所谓对齐，是通过调整与协调，令有偏差的两种系统或者状态趋同或统一。关键性对齐的响应策略主要体现在三个方面：第一是企业的保护重点与关键资产的对齐，第二是企 业响应计划与组织政策的对齐，第三是企业的响应体系与薄弱以及关键环节的对齐。

5.4为企业提供专业的法律服务与指导值得注意的是，美国的《最佳实践》着重强调了合规合法与法律服务对企业应急管理的重要性，并建议企业聘请专门的网络安全法律专员或外部顾问。相较于美国的法律体系，我国网络安全相关的法律法规虽起步较晚，但是也在近年来逐步完善和健全。然而，由于一系列相关的法案都是在较短的时间周期内发布，或尚处公开征求意见的阶段，很多企业并不能及时了解和践行相关的法规与建议，这就凸显了提供专业的法律指导与服务的重要性。可以通过法律宣讲会、免费法律咨询专线、搭建线上法务咨询平台、协助企业进性网络安全法规培训等形式，确保应急响应体系的建设在合规合法的框架内展开。

5.5促进企业与政府机构的协同响应美国的实践经验再三强调了政府执法部门在企业应急响应过程中的重要性，《最佳实践》也正是美国的政府机构与私营企业在合作处理网络安全事件的过程中，汇集而成的系统性经验。由此可见，企业和政府部门的合作对提升响应的有效性大有裨益。因此，我国应考虑建立网信部门、电信主管部门、公安部门以及其他相关部门与企业对话合作的通道，一方面可以给予企业专业的指导，另一方面也可以从企业获取安全事件的信息数据以及处理经验，从而促进我国实践层面的应急响应预案出台。我国的政府机构可以与知名大型企业构建网络安全应急响应的信息共享机制[15]，鼓励企业向政府机构汇报和上传与安全事故有关的数据及处置流程，相关机构对数据信息进行统筹分析后，同法律服务信息等一并在网络共享平台发布，为更多的企业提供具有可操作性和实用价值的应急响应指导。