网络安全体系响应

A. 国际网络安全应急响应体系的重要运行机构是什么

国际网络安全应急响应体系的重要运行机构是：计算机应急响应组织(CERT)。

拓展资料：

随着网络技术的日益发展引，网络犯罪已成为一个贺李全球性问题，网络犯罪给各国造成的损失逐年增加。据国际网络安全保护联盟执行总裁约翰·莱昂斯介绍禅漏迟，ICSPA是一个全球性非营利组织，其成员包括迈克菲（McAfee）、趋势科技（Trend Micro）等数家全球知名企业。

英国内政部主管犯罪与安全事务的部长詹姆士·布罗肯希尔在7月5日的新闻发布会上表示，互联网在带来各种商业机会的同时，也为犯罪分子提供了牟利机会，网络犯罪已成为一个全球性问题，需要国与国间、公私部门间的广泛协作来应对。搜行

B. 在网络安全体系构成要素中“响应”是指什么

计算机通讯是保持双方之间，再发送一个请求过或则命令是，需知道对方是否成功收到请求或命令。必须有一个响应。否则就失败。这是可靠传输协议不可缺少的条件之一。

C. 从认知技能到自动网络安全响应

摘要： 组织应该面对网络安全攻击，这可以强烈影响他们的操作流程，业务形象，和关键信息的安全。建立安全机制有助于减少可能被攻击者利用的弱点;然而，它们并不总是足够的，而且一次攻击可能会成功。因此，组织需要建立计划或过程来处理这些安全事件，甚至构建称为CSIRTs的事件响应团队。由于不同形式的攻击和海量数据的增长，处理网络安全事件需要适应新的安全管理策略。从这个意义上说，将大数据、人工智能和数据分析应用于网络安全，被定义为认知安全，提出了一种可行的替代方案，但有必要考虑，如果没有对网络安全专家进行充分培训，或者如果使用了他们的技术和非技术技能，技术解决方案就会缺乏有效性。在人类技能和技术解决方案之间建立密切的相互关系可以帮助设计一个充分和有效的检测和自动化过程，从而改进安全事件的处理。本研究分析了认知安全技术解决方案与网络安全专家技能之间的相互关系。提出了一个通过建立态势感知来进行决策的自动化事件响应框架。

一、引言

由于技术在不同领域的扩展，如金融服务、医疗服务、公共服务以及水、电、电信等关键基础设施，计算机安全已成为社会的一个基本要素。根据麻省理工学院(MIT)的说法，安全团队将面临的风险主要是针对物联网(IoT)设备、区块链和关键基础设施[1]的攻击;例如，麻省理工学院提到，攻击者在2019年主要使用人工智能和量子技术进行攻击。这种情况涉及有准备充分的组织和有能力面对这些新挑战的安全专业人员;在国际层面上，一些组织已经定义了通过称为计算机事件响应小组(CSIRTs)[2]的专家和研究人员团队快速响应安全风险的策略。CSIRT由来自网络安全、法律、心理学和数据分析师等领域的专家组成。CSIRT根据预先设定的程序和政策，对网络安全事件做出快速有效的反应，并降低网络攻击的风险。

CSIRTs中的安全分析人员需要处理大量的数据，以便i)确定触发可能的攻击警报的模式或异常，ii)更快速和有效地执行检测过程。CSIRTs的成员正在寻求基于技术解决方案的新策略，如大数据、机器学习和数据科学[3]。为了加快数据分析方法[4]的研究进程，美国国家标准与技术研究院(NIST)等国际组织启动了数据科学研究计划(DSRP)。在网络安全领域，认知科学在信息安全过程中的应用推动了认知安全[5]的概念;这允许进行预测性和说明性分析，从而提供安全攻击的可能影响的视图。CSIRTs成功的另一个关键因素是团队协作能力和对不同环境的适应能力。在21世纪的[7]时代，安全专业人员需要团队合作、批判性思维和沟通等技能。2015年9月,一个之间的协作计算机协会(ACM), IEEE计算机协会(IEEE CS),信息系统协会特殊利益集团对信息安全和隐私(AIS SIGSEC),以及国际信息处理联合会技术委员会信息安全教育(11.8联合会WG)提出了一个网络安全教育课程指南提到非技术技能计价的软技能,对于安全专业人员来说至关重要，并专注于:团队合作、沟通、情景感知的生成，以及使用不同组织文化[8]的操作。

在组织中产生网络安全态势感知的能力允许确定积极的策略来面对正在进行的和即将到来的攻击或威胁。情境意识产生于三个认知过程:认知、理解和投射。认知过程是人类行为固有的，它会受到不同因素的影响，例如:压力、疲劳、分心、物理或环境条件。分析任务的绩效以及这些因素的影响是一些研究者感兴趣的。例如，Robert Karasek提出了需求控制模型[9]，该模型研究了计算机人员在不同工作领域的认知、情感和身体需求，计算机人员的心理需求水平较高。在此背景下，发展认知策略在信息加工的各个层面都是必要的;此外，还需要分析执行功能如何通过:抑止控制、工作记忆处理[10]优化来整合各级信息处理，从而帮助网络安全专业人员高效工作和充足的响应时间。

在这项研究中，我们提出了一个模型来整合网络安全领域的认知技能、团队合作和数据分析，如图1所示。认知安全可以利用安全分析人员的认知能力的特点，将这种知识和智能转移到计算机系统中;通过这样做，他们可以向安全团队执行一个即时响应动作或通知，以做出针对安全攻击的决策，如图1所示。

研究的其余部分组织如下。第二节介绍了有关自动网络安全响应的相关工作。第三节介绍了心理学在网络安全中的重要性的背景。第四部分提出了一个基于认知过程的自动化网络安全框架的建议。最后，第六部分总结了本文的研究结论，并提出了今后的工作方向。

二、相关工作

根据麻省理工学院评论[11]的分析，在2018年，城市将安装多层传感器来监测空气质量、垃圾水平或交通量;这一预测，加上Gartnert对2020年的预测，[12]将有204亿台联网设备。在新的安全场景中，组织必须面对网络或计算平台的规模和复杂性的急剧变化，这些网络或计算平台是组织支持服务提供和设备连接的基础。在这种新的背景下，传统的安全解决方案的行动能力和人类对安全事件的检测和响应能力受到了限制。为组织和研究人员评估的网络安全的替代方案是使用认知模型作为一种提议，以增强计算环境的安全性和扩大人类的分析能力。

在[13]中，作者提出了一个基于机器学习的检测与基于时间逻辑的分析的组合，允许区分异常和启用动态网络响应。在[14]中，包括对个人设备的认知安全的使用，以允许设备识别所有者和自主安全，以便设备采取自己的安全决策。基于函数和依赖关系[15]的知识，可以实现诊断的自动化。在“数字服务生态系统中的自主计算方法调查”[16]中，提出了应用自主计算概念的25种不同的数字生态系统，在[13]中，提出了认知安全方法如何能够建立“良好异常”来建立正常的操作参数，以及任何变化如何生成网络设备的自动自动重新配置来控制数据流。

三、认知技能和网络安全

a 态势感知

态势感知被定义为，从心理学领域，作为一种能力，产生对他的生活的理解，基于他的经验[17]。这一概念已适用于计算机系统领域;例如，Lewis将计算系统的自我意识定义为基于内部和外部事件[18]获取自身知识的能力。在[19]中，自我意识被定义为为计算机系统生成关于自身和环境的知识，并根据这些知识决定将要执行的行动的能力。

1)网络安全态势感知(CSA):态势感知(SA)的概念描述了组织当前的威胁和攻击情况，可能的攻击的影响，以及攻击者的识别和用户行为[20]。分析人员必须了解安全情况并确定影响的可能性。为了生成态势感知，我们可以使用OODA循环。Breton提出的认知OODA循环是基于感知、理解和投射[21]的认知过程。表一展示了认知阶段、认知过程和根据Brenton的提案产生的产品之间的关系。

2)网络认知态势感知(CCSA):

为了建立组织的网络安全态势意识，我们可以依靠面向决策过程的认知方面的支持。适应了网络空间的感知、理解和投射的认知过程，我们将拥有如表二所示的关系。

b .非技术技能

美国国土安全部(DHS)和国家网络安全联盟(NCSA)等组织都开展了国家网络安全意识月活动，在2018年庆祝了第15届[22]，以促进社区了解数字环境中的风险和威胁的相关方面。在这些领域中，安全专业人员必须具有非技术技能，以便能够以清晰和一致的方式向一组没有技术背景的人员传播知识。针对组织内的网络安全，防御策略基于风险管理，如图2所示分为四个级别的网络安全风险管理生命周期。

在网络安全风险管理生命周期内，至少需要以下人员:

•团队领导/协调员;

•负责系统和信息安全;

•沟通团队或公关;

•分类器或分类;

•事件管理团队-二级;

•法律团队。

这强调了在一个由不同学科的专业人员共同协作的环境中发展协作技能的必要性，因此团队合作对于网络安全专家来说是一项非常重要的技能。Newstrom提到，21世纪的组织或公司更加灵活，能够迅速适应变化，横向关系更加有效;因此，今天的组织更加重视灵活的结构和横向沟通。任务和角色以更开放的方式定义，环境更加动态，团队的创建允许实现所描述的方面。莫林认为，复杂性和多学科工作是21世纪的一部分，未来的教育必须以人类状况和人类之间的多样化关系为中心。Morin在《21世纪教育》中提到的另一个重要方面是让学生准备好面对日常生活中不同事件所产生的不确定性。

关于Morin提到的关于关注学生人性方面的第一个方面，开始强调以加强技能为重点的培训可能是很重要的。芒福德将技能分为四类[25]:

1)认知能力;

2)人际交往能力;

3)业务技能;

4)战略技能。

一般来说，在网络安全领域的大学主要关注提高认知、商业和战略技能，但不太关注非技术技能。根据Mumford提出的分类，团队合作、协作、沟通和网络被包括在人际交往技能的类别中。未来的网络安全专业人士正在大学学习;因此，工程教育需要鼓励非技术技能的发展。Kyllonen提出了21世纪需要的技能，其中以下提到[7]:

•批判性思维;

•口头和书面沟通;

•劳动伦理;

•团队合作;

•合作;

•专业;

•故障排除。

良好的网络安全工作人员框架[26]为安全专业人员建立了一套知识、技能和能力与非技术方面相关，如:

•有能力参与计划小组，协调小组和任务小组的工作;

•能够运用合作技巧和策略;

•应用批判性阅读/思考技能的能力;

•与他人有效合作的能力。

关于Morin在计算机科学领域提出的第二个方面，即不确定性，一些作者如[27]和[28]提到，软件开发过程中的不确定性可能与人的参与、并发性和问题领域的不确定性有关。在软件环境中，产品的开发和用户最初提出的需求的变化之间可能会出现不确定性。在网络安全领域，不确定性可能与其他方面有关，如时间、类型和网络攻击的目标。

团队合作也会产生不确定性;在[29]中，作者提到，不确定性可以在人的功能和环境工作中产生，取决于诸如先见者、利他主义智力、收获和意外收获等变量。在[30]中，作者认为，不确定性取决于团队的结构和成员之间的相互作用。

如图3所示，在21世纪的教育背景下，对计算机科学工程专业的学生进行网络安全领域的教育，主要有四个方面是必须要做的。

四、基于认知技能的网络安全自动反应

我们对事件反应自动化的建议是基于建立态势意识的重要性，在理解组织安全的积极和消极方面的基础上做出正确的决策。我们的提议利用了协作的方法来产生自我意识和决策，是基于安全分析师的认知过程的重要性，以能够确定一个安全事件在多个事件之间，它必须被识别出一个异常行为，可以警告攻击。我们的建议中考虑的一个方面是为了加强认知过程。在2017年RSA会议上，IBM[31]展示了安全分析师在调查事件时必须执行的认知任务，在表III中，我们提出了网络安全认知任务和认知过程之间的联系。

对于自动响应安全事件的过程，我们提出了如图4所示的分层架构。我们的建议强调分析层，在分析层中对不同来源(如传感器、日志或安全博客)获得的数据进行理解。此外，在这一层中，安全分析人员的经验和有效的沟通是最基本的，因为它将预测充分评估事件，并将其归类为事件，并建立最适当的决策，以减少攻击的影响。具体地说，在这一层中，我们提出了两个允许建立情境意识的子组件:i)自动学习的子组件和ii)团队合作。这两个子组件共享一种直接交流的方式，目的是生成标签，用于培训基于分析人员通过互动和交换思想生成的知识的监督学习算法。另一方面，无监督学习算法可以检测不容易检测到的模式或异常，并提醒安全分析人员确定它们是否与共同的安全攻击相对应。

设计了一个基于数据管理流程的框架，以确保不同层次数据的完整性和质量;然后,它包括:

•收集;

•准备;

•分析;

•可视化;

•访问。

在下面的图4中，我们将详细描述组成我们所提议的框架的层。

a)网络收集层:涵盖将用于创建网络安全态势感知的信息来源。在资料来源中，可以考虑下列情况:

•网络模拟平台;

•传感器;

•入侵检测系统;

•脆弱性分析;

•安全门户、博客或订阅源;

•netflow;

•服务器和网络设备日志。

b)基础设施层:基础设施层包含以下组件:

•数据收集服务器，在这些服务器中，将对不同来源的信息进行数据摄取处理。至少考虑三个服务器来实现负载平衡和高可用性。

•索引服务器，在这些服务器中执行数据索引的过程，并在此基础上定义属性，在此基础上对数据进行调试和处理，生成可视化层的信息。至少考虑两台服务器用于负载平衡和高可用性进程。

•队列管理服务器,该服务器建立流程管理大数据解决方案的处理资源在多个请求信息同时执行报告服务器和数据可视化,这个服务器处理数据可视化工具,允许与分析师能够执行的交互信息的查询。

•入侵检测服务器，在此服务器中定义了检测与安全攻击相关的模式的规则，服务器可以访问安全传感器。

•警报管理服务器，在此服务器中，警报管理被定义为在检测到异常模式时通知分析师，在此服务器中包含了一个事件管理系统，允许在检测到安全事件前对升级进行流控制。

c)索引层:用于定义搜索字典。

d)态势感知层:这一层是我们的核心建议。在这一层的目标是建立一个基线安全状态的一个组织,为此我们考虑两个部分,第一个组成的机器学习算法,允许识别模式或异常基于预处理来自不同数据源的数据服务器日志,第二部分称为团队合作产生自我意识的建立基于CSIRT安全分析人士的合作。基于团队产生的知识，你可以训练学习算法来提高它们的准确性。

e)分类层:它定义了针对安全分析师、CsIRT或事件管理过程中的其他参与者生成的警报。根据良好做法，明智的做法是定义警报级别的分类。

f)自动响应层:它定义了可以自动的响应动作，因为这对于建立安全事件管理计划是必要的。

五、讨论

在心理学研究中，工作绩效是一个寻求提高工作绩效的话题，考虑到个人和环境变量。我们在这项研究中分析的变量是在网络安全领域执行事件管理的专业人员的认知技能。我们认为，与执行功能相关的认知过程越高，安全分析人员所解决的任务的性能就越好，这是由于对减少攻击影响的快速响应要求越高。出于这个原因，加强认知灵活性是至关重要的，以便i)扩大事件数据的分析，ii)能够可视化更多的可能性，以面对网络攻击，ii)发展抑制控制，以提高其决策的精确度和有效性。另一方面，工作记忆对于经验的储存和随后对这些信息的使用起着至关重要的作用，所以这种认知过程也有助于对组织所面临的风险和威胁的情况形成意识。另一个关键变量与事件管理专业人员工作中的压力管理有关，以制定策略，使他们能够抵消劳动力需求。

在基于态势感知的网络安全管理模型中，分析执行功能是否集成感知、理解和投射过程，以提高任务绩效，可以增强决策过程。非技术技能在许多方面起着至关重要的作用，因为如果没有足够的沟通和建立共享知识的能力，网络安全团队将无法达到应对安全攻击所需的效率。例如，在面对出现的事件或问题时，处理复杂性不应该由安全分析人员进行简单的推理，而是要能够生成表示复杂性的心理模型，并作为一个团队进行工作。这种理解可能很复杂，因此，管理共享的心理地图等建议可能具有重要意义。另一个事实是多学科工作，来自不同领域的专家必须一起参与，但是由于对这对搭档的知识有限、不同的技术词汇和异质的工作方法，存在交互问题。最后，处理活动或与其他团队成员交互的结果的不确定性。

提出的大数据模型涵盖了网络安全状态(网络安全态势感知)知识生成必须考虑的不同组成部分。仅仅实现一个大数据架构是不足以解决处理海量数据处理的问题的，我们应该致力于寻找可靠的信息源，建立数据质量控制流程，生成安全承诺指标，并定义更新数据时间。

为了从安全分析师可以处理的信息中建立态势感知，我们提出了一个由4个模块组成的框架，如图5所示:来源、认知过程、协作安全任务和软技能。团队合作支持四个模块。在[23]中，作者提到团队的目标是鼓励成员分析他们一起工作的方式，识别他们的弱点，并开发新的协作形式。要做到这一点，学习过程必须把重点放在任务上。按照装备建设[23]的Newstrom模型，我们在网络安全领域提出以下建议:

•经过培训的专家识别问题;

•数据收集;

•反馈行动计划的制定;

•生成态势感知;

•解决方案经验;

•持续改进。

六、结论和未来工作

技术和社会的变化产生了动态和复杂的环境，产生了大量的数据。这一事实给安全分析人员带来了新的挑战，他们必须处理数据以确定允许识别威胁或安全攻击的模式或异常情况。认知安全的使用提供了在短时间内处理大量不同格式数据的能力，从而提高了安全操作的有效性。在网络安全领域，大数据主要用于监控行动和异常检测，这些行动集中在反应性安全策略上，但其他安全活动可以通过大数据分析增强，用于主动战略，如威胁搜索或网络欺骗。

事件管理的网络安全任务包括识别有关事件的数据，以确定攻击场景的振幅。从有关威胁和攻击的数据中发展经验，可以建立对网络安全状况的意识。建立网络安全态势意识需要认知和情感技能，其中认知过程的能力至关重要;感知和注意是允许安全分析人员从外部环境收集信息的第一个过滤器。与工作记忆、认知灵活性和抑制性控制相关的高级认知过程参与决策和事件管理任务中外部化的行为。

通过以下两种技能，可以实现安全分析师认知过程的持续改进:

1)过程控制。过程控制是团队成员的一项重要技能，因为它帮助成员有建设性地感知、理解和反应。

2)反馈让你有数据支撑你的决定，根据他们对团队其他成员的看法自我修正。

关于大数据和机器学习在安全领域的应用，在商业和学术领域有不同的建议;然而，它们并没有得到广泛实施。我们认为，今后一项可能的工作是分析造成这种情况的原因，一般来说，可能是预算、人员经验、技术支持不足。此外，通过焦点小组进行的综述可能是补充本研究的重要贡献。

D. 网络安全应急响应的网络安全应急响应做什么

应急响应的活动应该主要包括两个方面：
第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；
第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，吸取教训，从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

E. 如何建立以防火墙为核心的五位一体网络安全体系

全流程实施网络安全响应。建立健全网络安全事件应急响应机制，优化完善网络安全事件应急预案，规范应急响应处置流程，常态化开展应急演练。

确保重要信息系统的实体安全、运行安全和数据安全。遴选网络安全应急支撑机构，组织支撑机构参与网络安全事件处置和重要敏感时点网络安全保障，妥善处置各类网络安全事件100余起，全部及时督促涉事单位整改到位。

计算机网络运行过程中，服务器作为核心，应作为防护重点，围绕计算机服务器构建安全防护体系。但随着计算机技术的发展，网络黑客及入侵技术在形式上也不断演变，从而使计算机网络安全威胁不断升级。为使计算机服务器安全防护体系尽量保持高效，应做好以下几点：

第一，计算机网络安全防护体系应将服务器及附属设备加以结合并做好统筹规划，同步做好计算机应用技术安全体系搭建及管理制度上的支撑。在计算机应用安全管理制度上，应针对计算机系统操作人员、管理人员及维修人员明确安全防护的基本要求，如操作口令不能泄露、计算机账户系统不能随意访问、系统管理权限要缩紧、计算机维修要做好登记等。

第二，梳理常见的计算机服务器遭入侵的途径及方式，出台相应的规章制度，对危险系数较高的网络行为加以约束。

第三，计算机服务器安全防护中的安全技术，主要通过计算机杀毒软硬件来实施相应的网络安全管理。

第四，对计算机系统本身所隐藏的安全漏洞进行识别及修补，为计算机安全防护打好基础。第五，定期做好计算机关键信息及重要数据的备份，设置计算机访问权限及操作密码，避免数据被窃取及被损害。最后，约束计算机远程访问行为，封堵电脑黑客及入侵者通过电话号码入侵计算机系统的远程路径。

F. 【分享】网络安全中应急响应需要做什么

应急响应是指组织为了应对突发事件或重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。
《网络安全法》第25条规定：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。
没有任何一种信息安全策略或防护措施，能够应对信息系统提供的绝对保护。
网络安全应急响应需要做什么?
a.事前准备
事先为了应急响应工作做好计划，包括确定成员、制定预案以及应急响应过程中所需的工具，提前做好准备会使处理过程更加高效和及时。
b.设立应急响应小组
应急响应需要相关人员来协调配合，设立小组、确定成员和组织结构，或聘请网络安全专家对突发安全事件的处置，最后一点，要依据企业所处的实际情况来决定，应考虑企业内部成员是否具备网络安全应急处置技能以及配合默契程度，如果发生重大事件，事情紧急且内部不能自行解决时，应聘请专家提供帮助，以免错过最佳的处理时机。
提前寻找网络安全专家，为突发事件做二手准备，可以最大程度地降低损失。
c.明确应急响应目标
应急响应的目的性要明确，究竟是为了阻止网络攻击事态发展、恢复网络的正常访问、减小损失、还是追踪攻击者等，应明确相应目标，目标的不同，制定的计划也会不同，开展的工作方向也会有所不同。
d.事件相应计划后期维护及演练
等应急响应计划制定出来后，还应对其进行维护、更新，新的网络攻击一直在变化，应急响应计划也要有新的方法来应对，定期将新的响应方法添加到已有的事件响应计划中去。

G. 网络安全应急响应体系的要素是什么网络安全教程

学习网络安全的小伙伴，肯定都听说过应急响应，那么到底什么是应急响应?网络安全应急响应体系的要素是什么?这是每个网络安全工程师需要了解的问题，我们一起来学习一下吧。

什么是应急响应?

“应急响应”对应的英文是“Incident Response”或“Emergency

Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

网络安全应急响应体系的要素：

(一)综合分析与汇聚能力

网络安全领域的应急保障，有其自身较为明显的特点，其对象灵活多变、信息复杂海量，难以完全靠人力进行综合分析决策，需要依靠自动化的现代分析工具，实现对不同来源海量信息的自动采集、识别和关联分析，形成态势分析结果，为指挥机构和专家提供决策依据。完整、高效、智能化，是满足现实需求的必然选择。因此，应有效建立以信息汇聚、管理、分析、发布等为核心的完整能力体系，在重大信息安全事件发生时，能够迅速汇集各类最新信息，形成易于辨识的态势分析结果，最大限度地为应急指挥机构提供决策参考依据。

(二)综合管理能力

伴随着互联网的飞速发展，网络安全领域相关的技术手段不断翻新，对应急指挥的能力、效率、准确程度要求更高。在实现网络与信息安全应急指挥业务的过程中，应注重用信息化手段建立完整的业务流程，注重建立集网络安全综合管理、动态监测、预警、应急响应为一体的网络安全综合管理能力。

要切实认识到数据资源管理的重要性，结合日常应急演练和管理工作，做好应急资源库、专家库、案例库、预案库等重要数据资源的整合、管理工作，在应急处理流程中，能够依托自动化手段，针对具体事件的研判处置推送关联性信息，不断丰富数据资源。

(三)处理网络安全日常管理与应急响应关系的能力

1、业务类型不同。日常管理工作主要包括对较小的信息安全事件进行处置，组织开展应急演练工作等，而应急响应工作一般面对较严重的信息安全事件，需要根据国家政策要求，进行必要的上报，并开展或配合开展专家联合研判、协同处置、资源保障、应急队伍管理等工作。

2、响应流程不同。日常管理工作中，对较小事件的处理在流程上要求简单快速，研判、处置等工作由少量专业人员完成即可。而应急响应工作，需要有信息上报、联合审批、分类下发等重要环节，响应流程较为复杂。

3、涉及范围不同。应急响应工作状态下，严重的网络安全事件波及范围广，需要较多的涉事单位、技术支撑机构和个人进行有效协同，也需要调集更多的应急资源进行保障，其涉及范围远大于日常工作状态。

(四)协同作战能力

研判、处置重大网络信息安全事件，需要多个单位、部门和应急队伍进行支撑和协调，需要建设良好的通信保障基础设施，建立顺畅的信息沟通机制，并通过经常开展应急演练工作，使各单位、个人能够在面对不同类型的事件时，熟悉所承担的应急响应角色，熟练开展协同保障工作。