第3章
网络安全应急响应组织与相关标准

3.1　国际网络安全应急响应组织介绍

计算机应急响应组织（Computer Emergency Response Team，CERT）是国际网络安全应急响应体系的重要运行机构。为了加强国际交流与合作，各国CERT一方面通过双边的联系渠道，开展交流和合作；另一方面由各国CERT自主发起成立了应急响应与安全组论坛（称FIRST）、欧盟的事件响应组织工作组（TF-CSIRT）、亚太地区应急响应合作组织（Asia Pacific Computer Emergency Response Team，APCERT）等国际组织开展多边交流与合作。另外，联合国（UN）、国际电信联盟（ITU）、亚太经济合作组织（APEC）、上海合作组织（SCO）等国际间的合作组织，陆续已将CERT组织合作机制纳入有关工作或文件中[9]。

下面分别从国际和区域应急响应组织情况、国外国家级应急响应组织情况两方面进行简要介绍。

1．国际和区域应急响应组织情况

1）FIRST介绍

FIRST成立于1990年，是规模最大、成员最多的全球网络安全应急响应领域的联盟。当前FIRST拥有500多个会员，遍布非洲、美洲、亚洲、欧洲和大洋洲，汇集了来自政府、商业和教育组织的各种计算机安全事件响应团队。FIRST旨在促进事件预防方面的合作与协调，激发对事件的快速反应，并促进成员与整个社区之间的信息共享。

FIRST属于自治的自愿结合组织，对其成员的组织、行为不存在实际控制力。FIRST下设董事会和秘书处。董事会由10人组成，任期两年，由成员选举产生，负责日常运作的政策、程序和相关事务的修订和决策。秘书处负责网站、邮件列表的维护，财务管理，以及年会的筹办等工作。我国国家计算机网络应急技术处理协调中心（CNCERT/CC）于2002年成为FIRST的正式成员。

2）APCERT介绍

APCERT是亚太地区计算机应急响应的合作组织，成立于2003年，其地位和影响力近年来明显上升。截至2021年1月，APCERT已有成员30多个，来自中国、澳大利亚、日本、韩国、马来西亚等20多个国家和地区。在2021年1月6日，伊斯兰合作组织计算机紧急响应小组（OIC-CERT）申请成为APCERT的战略合作伙伴获得批准，成为APCERT最新的战略合作伙伴。在2020年内，亚太网络信息中心（APNIC）、非洲计算机紧急响应小组（AfricaCERT）等已成为APCERT的战略合作伙伴，美国CISA（网络安全和基础设施安全局）、韩国KN-CERT、哈萨克斯坦KZ-CERT、菲律宾CERT-PH、汤加CERT等成为APCERT的运营成员或联络伙伴。APCERT的目标是通过国际合作帮助建立亚太地区安全、干净、可信的网络空间。

和FIRST类似，APCERT按照其制定的运行原则和规章开展工作，对其成员的组织运行等不存在任何控制力。APCERT下设指导委员会和秘书处。指导委员会由7个成员组织组成，任期两年，由成员选举产生，负责日常运作的政策、程序和相关事务的修订和决策。秘书处负责网站、邮件列表的维护等工作。中国的CNCERT是APCERT的发起组织之一，现任APCERT副主席职务、APCERT指导委员会委员，是APCERT信息共享组的负责人。马来西亚的CyberSecurity Malaysia组织是现任APCERT主席。

3）TF-CSIRT介绍

TF-CSIRT是欧盟的事件响应组织工作组，是欧洲研究团队（TERENA）的一个任务小组，成立于2000年。每年举办三次会议，2021年将举办第62～64期会议，受新冠肺炎疫情影响，从2020年5月第60期会议至今，都以线上的虚拟会议形式举行。

TF-CSIRT采取会员制，会员分为正式会员、列席会员、联络员、个人会员4种类别。只有正式会员才有投票权。

2．国外国家级应急响应组织情况

多数网络强国对网络安全应急建设相当重视，美、俄、英、法、日、澳等网络强国纷纷从国家层面建立网络安全应急组织CERT，作为本国国内外的信息安全联络点，协调处置本国国内外的网络安全事件和威胁。大多数国家由一个统一的CERT作为国家级网络安全应急组织，也有部分国家设置两个国家级网络安全应急组织，一个负责国家的基础网络安全，另一个负责政府的网络安全。近年来，也有部分国家的网络安全应急组织有了新名称：NCSC（National Cyber Security Center，国家网络安全中心）。

大多数国家的国家级网络安全应急组织归本国通信信息主管部门管理和指导，如德国、西班牙、日本、韩国、新加坡、印度尼西亚、巴西等。也有部分国家的网络安全应急组织比较特殊，如美国CISA归美国国土安全部管理，俄罗斯GOV-CERT.RU归俄罗斯联邦安全局管理。

1）美国

美国CISA（Cybersecurity and Infrastructure Security Agency，网络安全和基础设施安全局）是负责美国网络和基础架构安全的机构，该机构是和美国特勤局同级的联邦政府单位，隶属国土安全部。它的前身是国家保护和计划局（NPPD），2018年改组为CISA。相比于改组前，CISA提升了行政级别，拥有了更多预算和更高职权。

CISA的下属部门包括网络安全司、应急通信司、基础设施安全司、国家风险管理中心等。

2）英国

2017年2月14日，面对越来越频繁和复杂的网络攻击，英国国家网络安全中心（National Cyber Security Center，NCSC）正式启动，英国女王为该中心揭幕。NCSC于2016年10月开始筹建，后来搬进伦敦市中心正式运作。其成立之初的首要目的是简化网络安全的政府职责分工，用一个机构保护所有的重要组织的网络安全，统一处理网络安全诉求，从而更好地提供支持。

NCSC四大主要目标：降低英国的网络安全风险；有效应对网络事件并减少损失；了解网络安全环境、共享信息并解决系统漏洞；增强英国网络安全能力，并在重要国家网络安全问题上提供指导。该中心的工作包括邀请各界的专家参与合作，研究网络安全威胁和漏洞，并对如何应对网络攻击提出建议。

3）日本

日本于1996年10月成立计算机紧急响应中心（JPCERT/CC），开始传播与计算机安全相关的信息，1998年8月作为日本首个组织加入了FIRST，2003年3月更名为JPCERT协调中心并注册为中介公司，办公地点位于东京都中央区新日本桥本町东山大厦，业务内容包括：对与计算机安全性相关的事件（以下称为事件）的响应；与国内外事件响应组织、其他相关组织等合作；开展国内外事件响应组织的支持和指导；收集、整理、积累和提供与计算机安全相关的各种信息，例如事件的案例分析，有关安全补丁的信息，系统漏洞的信息；外包计算机安全事件调查；相关技术调查研究；相关技术、教育事业的传播等。