致力于行业领跑者

不只有产品,更注重于服务。

您现在所在的位置: 首页 > 关于和捷 > 行业新闻

——不能让武汉新冠疫情同样的悲剧在网信业重演

和捷管理公司行业应急感知:

新年伊始,注定了2020年的不平凡,一场疫情,肆虐整个神州大地,给社会来了一场急刹车。疫情之下,焉有完卵,大部分的行业因这次灾难均受重创。灾难已经形成,社会上针对本次疫情形成的公共卫生事件的成因及控制措施有太多的文章可寻。我们有17年前抗击SARS病毒的经验,我们的国家有各种突发事件应急响应机制,但为什么我们还会在这次疫情下遭受如此重创?这是我们的疑问,也是大家的疑问。

回顾我们国家针对本次疫情的应对措施,从地方到中央,从武汉卫健委到国家卫健委,从“英雄李文亮医生”到另一个英雄钟南山老院士,从自媒体到传统媒体,从红十字会到个人和社会团队捐助力量……我们几乎动用了我们所有可以动员的力量,我们通常把这种状态叫做“战时”。那么如果时光可以倒退的话,我们是不是可以倒退到2019年的早些时候,比如,2019108日、128日、1218日,直到现在可以在武汉市卫健委官网上查询到疫情的最早信息是20191231日。如果预警可以早一些发出……可是没有如果!

 

我们关注本次疫情的三个关键词:预警、启动预案、备用物资。从专业的角度来解读这三个词,这三个词基本涵盖了应急响应的大部分流程。以及期望可以转化为网络和信息安全行业(简称“网信行业”)的经验教训和行动力。

先从预警说起。有关突发事件预警问题,《中华人民共和国突发事件应对法》规定得非常明确。第四十条规定:“ 县级以上地方各级人民政府应当及时汇总分析突发事件隐患和预警信息,必要时组织相关部门、专业技术人员、专家学者进行会商,对发生突发事件的可能性及其可能造成的影响进行评估;认为可能发生重大或者特别重大突发事件的,应当立即向上级人民政府报告,并向上级人民政府有关部门、当地驻军和可能受到危害的毗邻或者相关地区的人民政府通报。

《中华人民共和国突发事件应对法》第四十三条规定:“可以预警的自然灾害、事故灾难或者公共卫生事件即将发生或者发生的可能性增大时,县级以上地方各级人民政府应当根据有关法律、行政法规和国务院规定的权限和程序,发布相应级别的警报,决定并宣布有关地区进入预警期,同时向上一级人民政府报告,必要时可以越级上报,并向当地驻军和可能受到危害的毗邻或者相关地区的人民政府通报”。

再说启动预案。根据《中华人民共和国突发事件应对法》第四十四条规定,发布三级、四级警报,宣布进入预警期后,县级以上地方各级人民政府应当根据即将发生的突发事件的特点和可能造成的危害,采取下列措施:(一)启动应急预案;(二)责令有关部门、专业机构、监测网点和负有特定职责的人员及时收集、报告有关信息,向社会公布反映突发事件信息的渠道,加强对突发事件发生、发展情况的监测、预报和预警工作;(三)组织有关部门和机构、专业技术人员、有关专家学者,随时对突发事件信息进行分析评估,预测发生突发事件可能性的大小、影响范围和强度以及可能发生的突发事件的级别;(四)定时向社会发布与公众有关的突发事件预测信息和分析评估结果,并对相关信息的报道工作进行管理;(五)及时按照有关规定向社会发布可能受到突发事件危害的警告,宣传避免、减轻危害的常识,公布咨询电话。

再来看看备用物资。根据《中华人民共和国突发事件总体应急预案》4.3 物资保障。要建立健全应急物资监测网络、预警体系和应急物资生产、储备、调拨及紧急配送体系,完善应急工作程序,确保应急所需物资和生活用品的及时供应,并加强对物资储备的监督管理,及时予以补充和更新。

用上述专业的知识来呼应我们之前说的“如果……”,武汉市政府和卫健委在应该发出疫情预警的时候没有发出,并不是因为信息收集不完整而不能形成预警,起码预警信息包含“即将发生或者发生的可能性增大时”的信息,所以我们就没有讨论在武汉发生的预警是否及时的必要,因为这不是预警专业范畴,而是瞒报专业;同样的,第一家启动响应预案的是浙江,湖北连第二、第三都没有赶上,哪怕他是疫情发生中心。应急物资调用就更不用说了,现状就是永远都是在捐赠,但物资永远不够,这里要赘述一句,直到雷神山医院交付使用了,才发现原来没有医生啊,所以国家用了三个小时从大连调了500名医护人员,很多人关注人员调用的高效,但少有人能看到紧急场所的资源规划和配置,人员是最重要的资源。

疫情事件的处置过程分析的差不多了,既然是为了警示网信行业,所以大部分都是差评,是希望我们在差评中学会总结经验。把预警、启动预案和备用物资这三个词放在网信行业里分析他们在应急响应中的重要性。

《国家网络安全应急预案》中定义的预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。预警信息包含的信息是多样化、复杂化的,要做到及时获取预警信息必然是需要建立完善的监测体系,即我们常说的“看的见,听得到”,看、听在网络安全监测中不是简单的生物属性,而是复杂的监测体系,通过建立可量化的监测指标和阈值,依据云大物移智先进的数字化监测、监控手段“看”到预警信息;听是多路径报告模式的集合,既有现场一线人员的业务感知,上级部门、监管机构的警示,也有道听途说的旁路信息,这些综合信息的结合体才能“听”得到。看、听到的数据有时候是海量的,需要我们专业的团队,比如影响和损害评估人员进行数据清洗和汇总,再依据我们预先制定的预警分类分级信息基线做比对,这样发出的预警信息才是具备科学性的。需要强调说明的是,预警信息的发布也是非常重要的环节,预警信息发布需要具备或被赋予一定权限的人员来执行,一是满足权威性,二是预警之后的应急处置,比如备用资源准备随之而来,这些处置都是在授权下才可以执行的流程。

启动预案的先决条件是我们必须要制定预案,预案是预先制定的一系列资源和资源使用流程的集合。《中华人民共和国网络安全法》第二十一条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。启动预案,这是所有应急处置执行的开始动作,之前所有的操作都是为了作为是否需要启动预案的判定条件。

有效的网络安全应急预案应该包含有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件等突发事件的应对措施;在网络安全应急预案中应该明确网络安全应急响应的决策层、指挥层、执行层和保障层面的组织架构,并明确各个层级的职责;在预案中制定明确的事件分类分级原则,并尽可能的量化分级判定原则。制定细化的应急响应流程,包括突发事件的通知通告、紧急抢修、影响和损害评估、预警、启动预案、应急处置和应急结束等环节。需要说明的是,紧急抢修、影响和损害评估是贯穿整个应急响应过程的,预警可以发生在任何时段,前提是获得足够的预警信息。应急预案既然有启动就一定要有关闭,预案的关闭是应急响应结束的标志。

预案编制完成和启动预案之间隔着一定数量级的演练,演练是为了将编制预案的能力扩展到真正的应急响应,将“纸上谈兵”变成“沙场秋点兵”再到“运筹帷幄之中,决胜千里之外”的境界,是应急能力的终极体现。《中华人民共和国网络安全法》里面针对演练做了规定“中央网信办及有关地区和部门对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。”演练一定要按照预案来做,起码在能力未到达时,否则,预案就是个文本文档。

备用物资的重要性就不再赘述了,因为没有资源是做不了任何应急响应的。《国家网络安全事件应急预案》中也对资源保障作出了明确的要求,包括技术支撑队伍、专家队伍、社会资源、基础平台,物资保障、经费保障等。在实际预案中需要明确各类资源使用的条件和流程,并将资源使用流程尽可能的固化到事件处置流程中。备用资源的储备是重要的环节,人是最重要的资源,有效的手段是建立AB角色。同样的备用物资的储备非常重要,本次疫情事件的扩大很大程度是资源储备和调配不足引起的。

前车之鉴,不忘后事之师。网络安全应急管理其实就是“预则立,不预则废;就是平时多流汗,战时少流血”。要积极做好网络安全事件的监测、研判、预警工作;做好应急预案的研究、制定、培训、应急演练等工作,要使应急预案真正落地而不是“文件”摆设。做好应急工具、装备器材、专业队伍及应急资金储备,以防不时之需;一切工作为在网络安全事件发生之时有备无患。希望“新冠病毒肺炎”这样的应急响应机制不再上演到网信行业中,因为大规模的网络安全突发事件发生的概率和影响是排名在全球十大风险之列。

和捷人一直在从事着网络安全应急及教育培训工作,虽然在这次突发疫情时不能像白衣天使一样冲在战疫的前线,但希望尽我所能为国家的网络安全事业贡献一份力量。欢迎各界人士对以上的理解做出指导,目的只有一个,把网络安全应急事件做好,保障人民幸福生活。
 

作者:于元泽 大连和捷科技 董事长

联系我们

电话:0411-86725599/84175777

传真:0411-86725599-8008

Email:admin@hejiechina.com

地址: 大连市沙河口区黄河路858号