前言

第一部分主要是将国家安全战略，1.1是概述，报告原文并为进行展开，只是列了一些步骤。重点是1.2，描述国家级应急响应工作如何来做，怎样落地。

前文回顾：

国家网络安全能力成熟度模型（一）

正文

D 1.1 – National cybersecurity strategy

概述

这一因素侧重于国家制定、审查和更新国家网络安全战略的能力，以确定网络安全行动的优先次序，确定实施责任并分配采取行动所需的资源。

国家网络安全战略（National Cyber Security Strategy, NCSS）的目的是为国家有关网络安全的中长期政策和行动提供方向和框架。一项战略的制定，首先应分析和理解它将在何种更广泛的背景下运作，一个国家希望通过其行动保护或影响哪些领域，以及国家网络生态系统面临的威胁和挑战。如果以前已经开发了其他 NCSSs，也需要了解新战略将如何与这些战略联系并在这些战略的基础上加以发展。应根据广泛的利益相关方磋商与反馈的结果，定期审查和更新 NCSS。

未来战略及其相关实施计划的所有权和治理是在起草、交付、监测和评估战略时，与更广泛的利益相关方一起考虑的关键要素。为了有效，策略仅仅存在是不够的，它应该得到实施，制定实施计划作为起草过程的一部分，以支持战略的通过。为了促进这一点，一项战略可分为更小的(如部门性的)次级战略、政策和执行计划。实施计划应将战略细节转化为具体的、可执行的任务，并制定明确的时间表，并明确任务负责人和所有者。概述明确、可衡量和有时限的国家战略实施计划，可促进其随后的评估和确定在未来修订总体战略时需要进一步发展的领域。

预计寻求发展 NCSS 的国家将需要通过一系列步骤来实现。下面的框 1.1 概述了通过涉及包含性的、多利益相关方的过程设计策略所需的高级步骤。

为了避免重复，并与感兴趣的利益相关方达成一致，本文档没有进一步阐述这些步骤。GCSCC 关系成员正在对创建或更新国家网络安全战略所需的步骤进行深入分析，the Commonwealth Secretariat Cybercrime Initiative, the CTO, the European Network and Information Security Agency (ENISA), ITU, the Microsoft Corporation, the North Atlantic Treaty Organization (NATO) Cooperative Cyber Defence Centre of Excellence (CCDCOE), the Organization for Economic Co-operation and Development (OECD), the OAS, the Potomac Institute, the United Nations Conference on Trade and Development (UNCTAD), and the World Bank.

这一伙伴关系的成果将是利益相关方和决策者可以参考的资源，以便澄清国家网络安全战略的目的、内容和起草程序。本指南已于 2017 年底出版。

D 1.2 – Incident Response

网络攻击由各种各样的、动机各异的行为者发起，包括网络罪犯、内部人士、黑客分子、网络战士、网络恐怖分子、国家行动者、企业等。针对互联网用户包括：政府和公共机构到政治党派、私人企业、非政府组织、非营利性机构，个人公民和其他用户。网络攻击造成影响的类型和程度差异很大，可能包括减少网络和计算系统的功能、销毁记录、经济损失、敏感信息丢失、业务竞争力丧失，以及中断物理世界，例如，通过停电和损失关键基础设施来进行网络攻击。

国家级的安全应急响应可以涵盖这些领域中的全部，或者部分领域。本节重点讨论在国家层面认识和检测这些网络安全威胁和事件，并以协调的、系统的和有效的方式做出响应的能力。它鼓励各国建设安全应急响应能力，不仅从技术角度，而且通过制定适当的组织和沟通措施来进行建设。

能力建设步骤

➢ 建立国家级计算机安全事件响应小组（CSIRT），负责国家层面的安全应急响应

国家级安全应急响应的职责应分配给明确确定的任务负责机构。这个角色通常由国家级的计算机安全事件响应小组（CSIRT）执行。计算机安全事件响应小组（CSIRT）是一个由信息技术（IT）安全专家组成的团队，负责处理和应对安全事件，支持目标对象，帮助其从入侵和事件中恢复。计算机安全事件响应小组（CSIRTs）可以提供广泛的服务，范围广至反应性安全应急响应到预防和教育服务。

有几个指南列出了建立计算机安全事件响应小组（CSIRT）所需的活动（参见本节末尾的参考列表）。这个工具箱并没有试图代替或扩充这些文档，而是强调了某些关键的重点领域，包括：

• 定义一个任务（计算机安全事件响应小组（CSIRT）打算做什么?）；

• 确定有关的利益攸关方；

• 定义计算机安全事件响应小组（CSIRT）在更广泛的制度框架中的地位；

• 定义目标对象（计算机安全事件响应小组（CSIRT）为谁行动?）；

• 通过法律框架建立计算机安全事件响应小组（CSIRT）；

• 定义计算机安全事件响应小组（CSIRT）提供的功能和服务（与任务一致）；

• 建立组织结构，包括内部组织和相关的其他组织。

任务

从计算机安全事件响应小组（CSIRT）一开始就定义其总体任务是很重要的。任务应明确地、简明地进行定义、记载并分发，并应提供该团队正在努力实现的目标的基本概况。应该可以将任务说明限制在最多三到四个明确的句子中。任务说明应得到高级官员的支持，以确保它能得到政府和私营部门的认可。通常有用的是，在一份任务说明的基础上补充一份二级的目的说明，该说明简要概述计算机安全事件响应小组（CSIRT）形成的原因。

计算机安全事件响应小组（CSIRT）至少应提供某种形式的处理能力，以应对网络事件，但国家计算机安全事件响应小组（CSIRT）的任务通常包括以下内容：

（一）作为安全应急响应的国家协调员；

（二）充当国家事件和国际事件的联络点；

（三）担任其他部门、私营部门行动者和机构的信息安全咨询协调员；

（四）为政府的相关利益者及其他最终用户提供事故响应服务。

值得注意的是，国家计算机安全事件响应小组（CSIRT）协调安全应急响应可由各种其他的计算机安全事件响应小组（CSIRTs）进行协助，包括：

关键基础设施保护（CIP）或关键的信息基础设施保护（CIIP） 计算机安全事件响应小组（CSIRTs），负责关键基础设施资产的监控和保护；

政府计算机安全事件响应小组（CSIRTs），负责监测和应对政府网络中的事件，并确保政府 IT 基础设施和服务得到充分保障；

军事计算机安全事件响应小组（CSIRTs），其任务是保护国防设施和国防活动所需的网络和信息通信技术（ICT）基础设施；

学术计算机安全事件响应小组（CSIRTs），负责为学术机构和团体提供安全应急响应服务；

中小型企业（SME）部门计算机安全事件响应小组（CSIRTs），负责提供安全应急响应服务，以满足中小企业（SMEs）的需求；

商用计算机安全事件响应小组（CSIRTs），提供个人公司内或付费客户的事故响应服务。

利益相关方

在建立国家级计算机安全事件响应小组（CSIRT）时，重要的是要确定相关的利益攸关方，他们既可能支持计算机安全事件响应小组（CSIRT），也可能从其存在中获益。对于国家的计算机安全事件响应小组（CSIRT）而言，参与其中的利益攸关方群体通常包括：

政府和政府机构

执法机构

国防机构

学术部门

互联网服务提供商（ISPs）

金融行业和其他关键行业

国家和国际组织和工作组。

可以根据其预期角色和贡献来对利益攸关方进行集群。这包括查明那些应当更密切地参与，并能够影响国家计算机安全事件响应小组（CSIRT）的发展和运作的利益攸关方，以及那些应该被告知的利益攸关方。在建立国家计算机安全事件响应小组（CSIRT）的早期阶段，利益攸关方可以通过工作组参与进来，工作组独立地寻求完善团队的使命和更广泛的愿景。早期参与还有助于建立关系，并获得个人和组织的支持，这些个人和组织可能会在未来直接支持计算机安全事件响应小组（CSIRT）的活动。

制度框架

国家计算机安全事件响应小组（CSIRT）应该与现有的政府结构很好地结合在一起，并拥有充足的资源。计算机安全事件响应小组（CSIRT）在更广泛的政府组织结构中的地位和沟通渠道应该得到明确界定。此外，国家计算机安全事件响应小组（CSIRT）应当能够获得充足的财政、人力和基础设施资源。国家计算机安全事件响应小组（CSIRT）的机构设置和资源配置应该能反映其任务说明中概述的抱负目标和责任。

法律框架

如果没有严格的法律框架，计算机安全事件响应小组（CSIRT）就无法有效运行。应该验证计算机安全事件响应小组（CSIRT）是否符合现有法律，并为团队将要进行的活动提供法律依据。一个有缺陷的法律框架，可能使计算机安全事件响应小组（CSIRT）在应对网络攻击时容易受到诉讼或并发症的影响。

目标对象

在建立计算机安全事件响应小组（CSIRT）时，重要的是确定团队想要为之提供服务的目标对象（即计算机安全事件响应小组（CSIRT）的客户）。确定客户或目标对象应该在计算机安全事件响应小组（CSIRT）的任务说明中予以明确。确定计算机安全事件响应小组（CSIRT）的目标对象时，任何现有的计算机安全事件响应小组（CSIRT）在公共部门和私营部门组织内的角色作用也应该考虑进去，以及是否应该给不同的委托人提供差异化服务（例如，某些服务是否应该只提供给数量受限制的利益攸关方行动者和群组）。计算机安全事件响应小组（CSIRT）相对于其目标对象的权威程度也应在现阶段予以确定。这可能会以权威的不同级别为基础，例如：

完全授权，使计算机安全事件响应小组（CSIRT）能够单方面地代表其目标对象执行必要的行动；

共享权力，计算机安全事件响应小组（CSIRT）能够通过与其目标对象的联合决策进行干预；

间接权力，即计算机安全事件响应小组（CSIRT）能够通过间接压力（例如，通过监管或信任关系）影响其目标对象；

无效权限，计算机安全事件响应小组（CSIRT）无法决定是否做出决策，尽管仍然可以提供建议、信息和经验。

功能和服务

除了总体任务之外，还应该确定国家计算机安全事件响应小组（CSIRT）的功能和作用。

这些功能可以细分为以下四类：

• 正式功能指的是计算机安全事件响应小组（CSIRT）的官方授权。尽管各国对计算机安全事件响应小组（CSIRTs）的授权范围存在差异，计算机安全事件响应小组（CSIRTs）仍然可能在制定和实施国家网络安全战略方面发挥重要的作用。计算机安全事件响应小组（CSIRT）的任务一般包括：明确界定其在国家政策和法律框架中的作用和责任；对网络安全事件采取行动和做出反应的权力；明确定义计算机安全事件响应小组（CSIRT）与其他网络安全利益攸关方的关系；任务的稳定性以及成熟度和有效性的增长空间；以及资源和资金的连续性。

• 业务技术功能是指计算机安全事件响应小组（CSIRT）为外部组织和内部组织提供的技术服务。计算机安全事件响应小组（CSIRT）可为外部组织提供主动、被动和/或其他安全管理服务。计算机安全事件响应小组（CSIRTs）还可以向其总体组织（比如，国家计算机安全事件响应小组（CSIRTs）的国家政府）提供内部服务，例如针对内部员工以及外部利益攸关方和受众的提高网络安全意识或网络安全培训活动。国家计算机安全事件响应小组（CSIRT）的核心业务技术功能包括事件处理和管理，并且可被指定为国家联络点。下面的信息方框中提供了对计算机安全事件响应小组（CSIRTs）通常提供的外部业务-技术功能的进一步讨论。

• 业务-组织功能是指计算机安全事件响应小组（CSIRT）提供的资源、基础设施和服务提供的连续性。这包括人力资源（比如，人员编制、技能水平等）、技术资源（软件和硬件）、预算分配、培训供应和维持 24/7 运营的能力。

• 合作功能是指利益攸关方之间的纵向合作和横向合作。在国家层面有各种各样的利益攸关方参与到安全应急响应中，包括政府和其他公共机构、硬件和软件提供者、操作者、服务提供者和最终用户。网络空间是无国界的，而网络事件通常具有国际性，需要与其他国家的计算机安全事件响应小组（CSIRTs）和网络安全组织进行合作。建立和维护与所有相关的利益攸关方之间的信任和沟通对于安全应急响应来讲是非常重要的。

计算机安全事件响应小组（CSIRT）提供的功能和服务可能会随着时间的推移而发展壮大，尽管这取决于许多因素，包括规模、基础设施、资金支持和人力资源。

组织结构

在计算机安全事件响应小组（CSIRT）中有明确的角色和责任的委派是很重要的，尽管在较小的团队中，单个个人可能会承担多个角色。虽然许多功能都与所有计算机安全事件响应小组（CSIRT）相关，但是内部组织结构在一定程度上还是依赖于计算机安全事件响应小组（CSIRT）的任务说明、规模和范围。建议将以下元素作为初始结构的最小组成部分：

管理：这包括战略、预算、运营组织、与外部利益攸关方的联系和沟通，以及媒体关系。

操作：这包括事件管理和威胁监控。

IT：这包括 IT 基础设施的维护，以及对运营和研发（R&D）的支持。

研究和发展：这包括技术开发、威胁和事件趋势的统计分析、系统和工具的开发、培训，以及运营支持等方面的研究。

支持服务：这包括市场营销、法律支持、媒体关系、行政和财务。

较大的计算机安全事件响应小组（CSIRT）通常包括另外的职能，如专家安全应急响应团队、安全操作中心、培训、专家信息安全管理、内部审核和恶意软件取证实验室。

➢ 为国家计算机安全事件响应小组（CSIRT）招募、发展和保留员工队伍，负责在国家层面的安全应急响应

重要的是要确保计算机安全事件响应小组（CSIRT）配备有足够数量的专业人员，他们具有承担安全应急响应功能所需的真正的技能。美国国家标准与技术研究所商务部，通过国家网络安全教育计划（NICE），开发一个全面的网络安全工作框架，以便于描绘不同类型的网络安全专家角色所需要的知识、技能和能力， 从更广泛的意义上讲，包括那些与计算机安全事件响应小组（CSIRTs）和安全应急响应有关的知识、技能和能力。除了标准的管理角色和配置文件外，计算机安全事件响应小组（CSIRT）还应聘用具有网络安全应急响应、计算机取证、信息保障和系统开发方面专业知识和经验的操作人员。

要取得这些专长，工作人员首先应具备下列起码的知识水平：

（一）互联网技术和协议；

（二）Linux、Unix 或 Windows 系统（取决于目标对象的设备）；

（三）网络基础设施设备；

（四）互联网应用；

（五）安全威胁和风险评估。

有一些网络安全认证可以帮助确定在计算机安全事件响应小组（CSIRT）中工作的合适人选。这些网络安全认证包括：

• 电子商务理事会（EC-Council）认证事件处理程序（ECIH）项目：ECIH 是由 EC-Council 提供

的为期两天的培训项目，重点是事件处理、风险管理、渗透测试、事故调查以及其他检测和应对计算机

安全威胁的原理和技术。为了获取证书，必须在课程结束时通过考试。EC-Council 是一家私营的网络安

全技术认证机构，在全球 145 个国家开展业务，为公共部门和私营部门的雇员提供认证。

• GIAC 认证事件处理程序（GCIH）：GCIH 由全球信息保证认证（GIAC）提供，是对检测、响应

和解决计算机安全事件熟练程度的认证。它不是一个培训课程，而是一个 4 小时的考试，涵盖了事件处

理、检测恶意应用程序和网络活动、常见攻击技术、检测和分析漏洞以及实现持续的过程改进。该认证

必须每四年更新一次。GIAC 是一家专注于计算机、信息和软件安全的私人认证公司，为政府和行业的

事件处理人员提供认证。

• GIAC 响应和工业防御（GRID）：该 GRID 认证也由 GIAC 提供，重点是确定和保护关键基础设

施，比如公共设施、商业制造设施或其他类型的工业控制系统（ICS）。特别是，它要求考生展示对特定

ICS 的主动防御战略的理解，以及对特定 ICS 的攻击的理解，以及这些攻击是如何为缓解战略提供信息

的。为了获得认证，考生必须通过一场历时两个小时的考试。该认证必须每四年更新一次。

• 认证网络取证专业人员（CCFP）：CCFP 是一个专业认证，专注于取证技术和程序，实践标准，以

及法律和伦理原则，以确保网络取证证据在法庭上的可接受性。该认证旨在适用于不同的领域，包括执

法、国防和安全领域的网络情报，以及私营部门。

• GIAC 计算机取证认证：GIAC 还提供一系列的网络取证认证，包括全球信息保证认证鉴证员

（GCFE）、GIAC 网络取证分析师（GNFA）和 GIAC 高级智能手机取证（GASF）。

➢ 建立物理设施和获取在国家层面响应事件所需的技术能力，并培训人员来执行这一任务

计算机安全事件响应小组（CSIRT）的人员应该有专用的空间和设施，这些设施的安保措施与组织机构保护数据中心的安保措施相同。计算机安全事件响应小组（CSIRT）不应位于开放的小隔间环境中，而应位于单独的办公空间中，并制定限制访问战略，以防止未经授权访问计算机安全事件响应小组（CSIRT）资源和信息。计算机安全事件响应小组（CSIRT）的建筑物或设施应该受到 24 小时的监控保护。对服务器、通信设备、逻辑安全设备和数据存储库的物理和逻辑访问应该受到严格的访问控制。下图概述了最低设计的计算机安全事件响应小组（CSIRT）的网络体系结构。

除了将计算机安全事件响应小组（CSIRT）安置在设备齐全的专用设施内以外，还应向计算机安全事件响应小组（CSIRT）的人员提供定期培训，并且更新课程，确保他们能够有效地履行其职责。除上述技术认证外，计算机安全事件响应小组（CSIRT）的操作人员还应在内部或通过外部供应商来学习网络安全基础和威胁、计算机和网络取证、恶意软件分析和逆向工程，以及其他分析工具和技术等课程。

除了培训以外，网络演习也成为培训人员处理网络事件的有效工具。这需要评估哪些资源（例如，人员、基础设施和通信功能）有待进行测试，确定演习的目标和负责人员，并且将演习纳入网络安全战略。需要对演习的影响进行评估，而且评估结果将为未来演习或网络安全战略的整体调整提供依据。

➢ 定义、记载和操作安全应急响应过程。定期检查这些过程，以确保它们适合于不同的事件场景

事件处理响应过程是计算机安全事件响应小组（CSIRT）需遵循的一组已定义好的步骤，以便于有效地应对网络安全事件，它是一个独立于特定事件而定义和开发的过程，其目标是开发一个框架，使安全应急响应能够采用结构化的、协调的、有系统的和一致的方法。

事件处理响应过程通常是在较高级别上进行开发的，然后针对特定类型的攻击细化为更具体的过程。从战略层面看，一个包罗万象的安全应急响应过程概述了应对网络事件时应该采取的通用步骤。这些步骤的定义方式应该能够使其适用于不同类型的攻击，尽管如此，仍然可以针对特定的计算机安全事件响应小组（CSIRT）范围内的事件处理响应进行调整，虽然在单个计算机安全事件响应小组（CSIRT）范围中，根据本地需求开发事件处理响应过程是最有效的，但是已经开发了许多通用框架来支持 计算机安全事件响应小组（CSIRTs）开发其安全应急响应过程。这些框架在其分解和结构上略有不同，但大体上涵盖了同样的因素。

下列各段落依次对这些阶段进行了进一步的阐述。准备阶段是指事件发生之前的一段时间，它不仅包括应对网络攻击所需要的技术和人的能力，还包括应对网络攻击所需要的、清晰而协调一致的组织结构和程序。准备工作还包括为了保护系统和网络以防止攻击的过程，尽管这通常超出了计算机安全事件响应小组（CSIRT）呈交当局解决的事项范围。

检测和分析阶段的目的是一旦发生网络攻击，对其进行确定和了解。在检测阶段，这涉及到引入和维持适当的技术检测机制，以及建立能够确定数据丢失，监控和检测系统和网络入侵的组织程序，一旦检测到有攻击发生，随后的分析应该力求了解该攻击的类型、规模和影响，包括端点分析、二进制分析和企业捕获。

遏制、根除和恢复阶段指的是最初确定和分析网络攻击后的一段时间。第一阶段——遏制——试图通过阻止网络攻击扩散到其他设备、系统和网络，来限制网络攻击造成的损害。然后从受影响的系统中删除攻击本身，例如，通过阻止攻击者访问网络，删除恶意软件和禁用已被攻击的用户帐户，根除阶段还应监控来自该攻击者的任何响应，与此同时，努力识别和删除攻击期间最初利用的漏洞。

为了确保在对特定事件的响应过程中完成每一个阶段，可以使用事件处理检查清单来跟踪整个事件处理过程的进度。一般的事件处理过程，在可用的文献资料中已经有不同粒度层次的详细描述，而且应该根据计算机安全事件响应小组CSIRT）的特定需求开发定制的检查清单。

最后，一旦开发了一种高级别的事件处理方法，通常就可以为特定类型的网络攻击定制这种方法。具体来说，不同类型的网络攻击需要不同类型的遏制、根除和恢复过程，这意味着针对安全应急响应的更有针对性的方法可能比单一的总体框架更有用。

更具体的安全应急响应过程是针对特定类型的攻击（比如，分布式拒绝服务（DDOS）攻击或恶意软件的检测）而定制的。

➢ 建立一个国家级网络安全事件的注册中心；建立定期更新注册中心的机制，并根据环境变化及不断演变的威胁情况发出警告

国家计算机安全事件响应小组（CSIRT）应该托管一个服务器，作为国家级事件的注册中心，记录和跟踪网络安全事件。该注册中心应该记载接收到的事件报告，以及与安全应急响应有关的进出计算机安全事件响应小组（CSIRT）的通信记录，并应将其用于检查参与安全应急响应的人员的状况。

此外，计算机安全事件响应小组（CSIRT）应该运行并定期检查为其目标对象（用户）和客户创建安全咨询警报和警告的过程。这一过程应包括下列几个步骤：

1. 从计算机安全事件响应小组（CSIRT）的合作伙伴网络或供应商简报和时事通讯接收关于安全漏洞的警告。

2 收集有关漏洞的信息，并对其相关性、分类、相关风险和潜在影响进行评估。

3 准备并向计算机安全事件响应小组（CSIRT）的目标对象（用户）发布安全警告，说明漏洞的来源、相关性（即它所应用的软件或硬件）、风险、影响和潜在损害、解决方案以及细节描述。

➢ 建立公共部门和私营部门之间的国家级协调机构，为政府和关键行业设立国家接触点

由于网络安全是一个由不同的公共和私人行为主体承担责任和能力的领域，因此这些行为主体彼此之间的密切合作至关重要。应该采用具有接触点的国家级协调机构和日常合作，范围从信息交流和分享良好做法一直到联合行动。

➢ 建立或加入安全应急响应和信息共享的国际和区域协调机构

国家计算机安全事件响应小组（CSIRT）工作的一个重要方面涉及到与邻国计算机安全事件响应小组（CSIRTs）发展互相受信任的工作关系。此外，国家计算机安全事件响应小组（CSIRT）可以加入某些区域和国际协调机构，以便分享和协调安全应急响应信息。这些包括：

• 安全应急响应和安全小组论坛（FIRST）： 按照其任务说明，FIRST 是一个受信任的计算机事件响应小组国际联盟，合作处理计算机安全事件，并促进事件预防方案的制定。具体来说，FIRST：（一）鼓励和促进开发高质量的安全产品、政策和服务；（二）制定和推广计算机安全方面的最佳做法实践；以及（三）推动成立及扩张来自世界各地组织机构的安全应急响应小组及成员。

FIRST成员：（一）开发和分享技术资料、工具、方法、过程和最佳做法实践；以及（二）利用他们的知识、技能和经验，来促成更安全的全球电子环境。

• 工作组（TF）-计算机安全事件响应小组（CSIRT）：TF-CSIRT 旨在促进欧洲各国计算机安全事件响应小组（CSIRTs）之间的协作。工作组（TF）的主要目标包括： （一）提供一个交流经验和知识的论坛； （二）为欧洲计算机安全事件响应小组（CSIRT）共同体建立试点服务； （三）推广对安全事件做出响应的共同标准和程序；以及（四）协助设立新的计算机安全事件响应小组（CSIRTs），并对计算机安全事件响应小组（CSIRT）的工作人员进行培训。

• 亚太计算机应急响应小组（APCERT）：亚太计算机应急响应小组是一个论坛，旨在维护亚太地区计算机安全专家受信任（可信）的联系网络，以提高该地区对计算机安全事件的认识和应变能力。APCERT的目标包括：（一）加强亚太地区和国际在信息安全方面的合作；（二）共同制定应对大规模、区域性网络安全事件的措施；（三）促进其成员间进行信息共享和技术交流，包括信息安全、计算机病毒和恶意代码；（四）促进对其成员感兴趣的课题的合作研发；（五）协助该地区内其他 CERTs 及计算机安全事件响应小组（CSIRTs）进行有效率的、有效的计算机应急响应；（六）提供输入文件和/或建议，帮助解决区域范围内与信息安全和应急响应有关的法律问题。

• 非洲 CERT：非洲 CERT 将自己描述为非洲安全应急响应小组论坛。非洲 CERT 的目标包括： （一）协调非洲计算机安全事件响应小组（CSIRTs）之间的合作；（二）协助非洲国家建立计算机安全事件响应小组（CSIRTs）；（三）在非洲国家和国家之间促进和支持信息和通信技术安全方面的教育和外展方案；（四）加强非洲计算机安全事件响应小组（CSIRTs）和世界各地其他利益攸关方之间的关系；（五）鼓励信息通信技术安全领域的信息共享，以便于迅速地确定漏洞，并消除风险；（六）促进其成员之间分享最佳实践做法和经验，从而制定全面的网络安全框架；（七）协助非洲计算机安全事件响应小组（CSIRTs）提高网络战备能力和增强信息通信技术（ICT）基础设施的恢复能力；以及（八）促进信息和通信技术安全领域的合作技术研究、发展和创新。

其他参考资料

结语

个人感觉，这是一个相当给力的研究报告，同时给出落地的建议。觉得有用就是真的有用，觉得没用也是真的没用，各取所需。

*本文作者：宇宸@默安科技合规研究小组，转载请注明来自FreeBuf.COM