数字第一响应者 — — 发展中本国计算机全事论应小组 （ CSIRTS ） 的用 （ 汉 ） 2024

计算机安全的作用事件响应团队（CSIRTS）在发展中国家 © 2024国际复兴开发银行/世界银行1818 H Street NW,华盛顿, DC 20433 This work is a product of the staw of the World Bank with external contributions. Thefindings, interpretations, and这项工作中表达的结论不一定会反映世界银行执行董事会的观点董事或他们所代表的政府。世界银行不保证准确性、完整性或货币的数据包括在这项工作中，不承担任何错误，遗漏或差异的责任在信息中，或与使用或未能使用信息、方法、过程有关的责任，或conclusions set forth. The boundaries, colors, saminations, and other information shown on any map in this work do并不意味着世界银行对任何领土的法律地位或认可的任何判断或接受这样的界限。 此处的任何内容均不构成或被解释为或被视为对特权的限制或放弃世界银行的豁免权，所有这些都是特别保留的。 权限和权限 这项工作可以在知识共享署名3.0 IGO许可证（CC BY 3.0 IGO）http: / / creativecoommons下获得。org / licenses / by / 3.0 / igo. Under the Creative Commons Attribution license, you are free to copy, distribution,并使用适当的引用来调整这项工作，包括用于商业目的。 封面照片©视觉新闻协会/世界银行 受众和范围 本说明旨在使发展中国家的决策者清楚地了解 用于增强网络弹性的CSIRT。它提供了有关CSIRT部署状态的新数据和证据地区和收入群体，并概述了如何建立和运营国家CSIRT的实用建议，Including for costs and stang. The note does not examine other key dimensions of network resilability, such as national网络安全战略和治理模型、技能开发和法律框架，如在世界银行的其他知识产品。 免责声明 本说明基于撰写本报告时可用的数据，并反映了不断发展的国际良好做法， including experiences in a wide range of countries from dic witerent regions. It primarily relies on FIRST membershipas a proxy indicator to determine the e - ectiveness of a CSIRT. The authors of this note recognize that this proxyindicator does not necessary rep flect the reality of every context on the ground. However, while this proxy indicator有局限性，它被证明在评估国家的事件响应能力方面是有用的，并且通常是准确的不同地区和收入群体，包括低收入人群。 Acknowledgements 本说明由高级数字开发专家Ghislain de Salins和顾问Robert Collett撰写，来自世界银行数字发展全球实践，与克里斯·吉布森、谢尔盖·德罗兹、奥利维尔·卡莱和Klee Aiken from the global Forum of Incident Response Teams (FIRST). It was reviewed by Giacomo Assenza, PaulSeaden和世界银行的Anders Pedersen，以及Jean - Robert Hountomey（AfricaCERT）和ViliusBenetis（NRD）。它建立在国际电联，OAS，ENISA，GFCE关于事件响应能力建设的先前出版物的基础上and FIRST (referenced in the last section of this document), among others. The development of this note was funded世界银行网络安全多方捐助者信托基金。 目录 缩略语和缩写…………………………………………………………………………………………………………………………………………………………………………………………………………………………………4执行摘要………………………………………………………………………………………………………………………………………………………………………………………………………………………………………5介绍……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………… 2、CSIRT的主要特点 选区。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。11 治理……………………………………………………………………………………………………………………………………………………………14 ………………………………………………………………………………17 参考资料24 执行摘要 ••投资于建立、加强和应进一步优先考虑运营CSIRT在发展中国家。在低收入国家，政府应该专注于建立和运营国家CSIRT (nCSIRT)功能。在其开始时，nCSIRT可以专注于提供仅向政府或某些关键基础设施的运营商。••在中等收入国家，政府应加强其nCSIRT功能，建立一个强大的部门CSIRT网络致力于关键基础设施保护。新成立的CSIRT应该“从小做起”通过关注几个组成部分和有限的一套核心服务，特别是在低收入人群中context. They can grow over time to adjust to不断变化的环境、需求和资源。••开源工具的使用和资源由从业者社区开发可以有助于减少初始投资和运营参与国际和区域事件响应网络至关重要to安全的“快速胜利”(例如，点对点学习)并迅速建设新成立的企业的能力CSIRT。•一些创新模式(例如，公私伙伴关系(PPP)正在实施并可以促进知识转移和减少所需的初始公共投资建立CSIRT。 ••计算机安全事件响应小组(CSIRT)是firefi打火机的数字等价物和其他fi第一响应者。CSIRT是任何国家基础的关键网络安全生态系统。除了事件回应，他们可以提供培训，提高意识，并促进社区建设。然而，他们不参与执法或政策制定。•一个国家的鲁棒事件响应函数及其总体网络安全能力。在西部和中部例如，非洲，得分的四个国家国际电信最高联盟(ITU)全球网络安全指数(GCI)还有一个完全运作的CSIRT。••虽然已经有500多个CSIRT建立在高收入国家，只有六个低收入国家有一个全面运作的CSIRT。平均而言，中等收入国家只有一个可操作的CSIRT。的网络安全事件(高达3%的GDP），对事件响应的投资脱颖而出为经济带来可观的回报整体发展。 Introduction 网络安全事件的影响持续增加，随着每年的社会成本高达3占GDP的百分比(世界银行，2024 (即将出版))。在发达国家和发展中国家，关键部门例如医疗保健，能源和运输越来越受到网络安全事件的影响。对于大多数政府和世界各地的组织，相关的问题不再是如果网络安全事件将会发生，但when. 因此，政府一直在显著投资fi来检测和响应网络安全事件。虽然firefi打火机和医疗急救人员是典型的first响应者，但在在物理世界中，计算机安全事件响应团队(CSIRT)的sta是标准的first响应者数字领域。 CSIRT通过事件响应和安全小组论坛（FIRST）在国际一级进行合作，以及通过非洲计算机应急小组(AfricaCERT)等各种区域组织，TrustBroker Africa, CSIRTAmericas or APCERT (for Asia - Pacific). FIRST was established soon after the Morris worm1988年（Denning，1989年），大约有5个参与团队。截至2024年，超过700108个国家的事件响应小组是FIRST的成员(见图1)。 FIRST的成员可以被认为是一个国家整体事件响应的相关代理指标能力,发达国家通常有许多团队参加FIRST。2 在高收入国家，事故响应生态系统通常相当发达。这些国家通常有用于关键部门的专业CSIRT以及用于一些大型组织的企业级CSIRT。在高收入背景下，国家CSIRT (nCSIRT)通常扮演着事件响应生态系统的协调者角色，并且作为重大事故案件的“最后手段”的CSIRT。在美国，西班牙和日本，111，57，和44个团队分别参加了FIRST（FIRST，2024年5月）。平均而言，每个CSIRT中有六个以上 高收入国家(见表1)。较大的国家往往有更多的团队不是FIRST的成员(例如，仅在日本，日本CSIRT协会(NCA)就有500多名成员)。 在中等收入国家，国家或政府的CSIRT通常是可操作的，除了一个或几个在某些情况下，部门CSIRT (例如，对于fi金融或电信行业)。然而，CSIRT的成熟度中等收入国家往往比高收入国家更有限。哥斯达黎加、格鲁吉亚、加纳和埃及每个人都有两个CSIRT参与第一。平均而言，每个中等收入国家至少有一个CSIRT（见表1）。 在低收入国家，事件响应能力通常更有限(见表1)。只有六个低收入国家-埃塞俄比亚、马拉维、卢旺达、苏丹、多哥和乌干达-有一个CSIRT参与第一和低收入国家没有一个以上的国家。在一些低收入国家，有一个新的事件响应能力，尽管它们的效率仍然有限。 因此，在低收入和中等收入国家建立和加强CSIRT已成为数字发展议程。在低收入和中等收入国家，建立和加强CSIRT通常得到国际发展援助的支持，fi通过世界等组织发展银行、国际电信联盟(ITU)、美洲国家组织(OAS)和欧洲联盟(欧盟)。例如，世界银行帮助包括亚美尼亚在内的许多国家建立了CSIRT，孟加拉国、不丹、加纳、吉尔吉斯斯坦和塞拉利昂等。 然而，CSIRT在整体网络弹性中的作用，以及实现其运营的关键成功因素，政策制定者仍然经常不清楚。因此，本说明旨在为决策者提供清晰的理解CSIRT的作用和重要性，同时为CSIRT的建立和根据世界公认的最佳做法和实地经验加强发展中国家银行项目。为此，表2揭穿了一些常见的误解，这些误解通常会影响政策讨论关于CSIRT在发展中国家的投资。 1.什么是CSIRT？ CSIRT，CERT和CIRT都是相关术语，它们指的是网络安全事件响应团队的相同概念。该术语CERT™是在美国的商标由卡内基梅隆大学在1997年，这鼓励ITU通常指的是“CIRT”,而FIRST和OAS通常使用术语“CSIRT”。 事件响应函数现有首字母缩略词的多样性反映了自下而上的方法，即在过去的30年中，CSIRT出现了特征。然而，自那以后，e夫orts已经被用来提供更多事件响应函数的标准化，如方框1所述。 方框1.实现事件响应函数的标准化 自1990年代成立以来，事件响应从业者社区开发了许多工具为建立和加强CSIRT提供可比性和指导。 例如，安全事件管理成熟度模型(SIM3)提供了一个框架来评估CSIRT的成熟度。SIM3由45个可测量的参数组