2022年6月27日,蘭德公司國(guó)土安全作戰(zhàn)分析中心(HSOAC)發(fā)布報(bào)告《重大網(wǎng)絡(luò)事件計(jì)劃:決策者導(dǎo)論》(Planning for Significant Cyber Incidents:An Introduction for Decisionmakers)。
報(bào)告旨在為國(guó)家關(guān)鍵職能利益相關(guān)的部門制定專門的“重大網(wǎng)絡(luò)事件應(yīng)急計(jì)劃”,尤其是為政府和私營(yíng)部門制定可操作的應(yīng)急計(jì)劃。文章詳細(xì)描述了“重大網(wǎng)絡(luò)事件應(yīng)急計(jì)劃”的重要性分析、制定過程與計(jì)劃實(shí)施內(nèi)容等,僅供參考。
重大網(wǎng)絡(luò)事件計(jì)劃-決策者導(dǎo)論
編譯:學(xué)術(shù)plus高級(jí)觀察員 冰墩墩和雪融融
本文主要內(nèi)容及關(guān)鍵詞
1.重大網(wǎng)絡(luò)事件應(yīng)急計(jì)劃:用于指導(dǎo)國(guó)家關(guān)鍵職能部門重大網(wǎng)絡(luò)事件的響應(yīng)。計(jì)劃的含義與內(nèi)容,特定網(wǎng)絡(luò)計(jì)劃的挑戰(zhàn),計(jì)劃層級(jí)(戰(zhàn)略層-作戰(zhàn)層-戰(zhàn)術(shù)層),可與其他計(jì)劃協(xié)同實(shí)施。
2.如何制定這一計(jì)劃?團(tuán)隊(duì)組成;計(jì)劃制定流程(收集數(shù)據(jù)和調(diào)查威脅,制定任務(wù)說明和目標(biāo),制定行動(dòng)方案,確定關(guān)鍵任務(wù)活動(dòng)并起草計(jì)劃,評(píng)估計(jì)劃風(fēng)險(xiǎn))。
3.計(jì)劃的實(shí)施:宣貫和修訂,演練和培訓(xùn)?,復(fù)盤,建立知識(shí)庫(kù),維護(hù)和更新。
4.評(píng)析:為重大網(wǎng)絡(luò)事件制定計(jì)劃是一項(xiàng)復(fù)雜的工作,需要多方密切合作;本指南為美國(guó)政府與私營(yíng)部門“運(yùn)營(yíng)核心網(wǎng)絡(luò)”的重大網(wǎng)絡(luò)事件的應(yīng)急處理提供了一個(gè)有效的計(jì)劃框架。
網(wǎng)絡(luò)事件發(fā)生的頻率越高,對(duì)政府、企業(yè)和個(gè)人的破壞性越大、成本越高,大多數(shù)事件可以通過定期協(xié)調(diào)和響應(yīng)機(jī)制處置,但有些事件卻超出了利益相關(guān)者的范圍。
1.應(yīng)急計(jì)劃
重大網(wǎng)絡(luò)事件應(yīng)急計(jì)劃
1.1 計(jì)劃內(nèi)容
“重大網(wǎng)絡(luò)事件應(yīng)急計(jì)劃”是對(duì)包括網(wǎng)絡(luò)事件在內(nèi)的突發(fā)事件做出協(xié)調(diào)、快速地和有效地反應(yīng)。對(duì)重大網(wǎng)絡(luò)事件的計(jì)劃過程可促進(jìn)對(duì)事件響應(yīng)的思考,利益相關(guān)者可加深對(duì)各自角色和責(zé)任的理解、并達(dá)成對(duì)信息共享的共識(shí),具體包括:
● 明確事件響應(yīng)中相關(guān)的角色和職責(zé)
● 建立對(duì)信息共享的預(yù)期和需求
● 制定私營(yíng)部門與政府之間的協(xié)調(diào)機(jī)制
● 識(shí)別國(guó)家關(guān)鍵職能部門相互依賴關(guān)系和級(jí)聯(lián)效應(yīng)
● 在重大網(wǎng)絡(luò)事件發(fā)生前,提高防御能力與韌性
**以上計(jì)劃可應(yīng)用到相關(guān)領(lǐng)域中,作為事件響應(yīng)期間的指南使用
1.2 特定網(wǎng)絡(luò)計(jì)劃的挑戰(zhàn)
計(jì)劃對(duì)于網(wǎng)絡(luò)事件的響應(yīng)尤其重要,在持續(xù)發(fā)生的網(wǎng)絡(luò)事件環(huán)境中,由于政府和私營(yíng)部門的應(yīng)急人員缺乏相應(yīng)的經(jīng)驗(yàn)和事件響應(yīng)能力以及不完善的流程測(cè)試,嚴(yán)重降低了人員有效的協(xié)調(diào)能力。所以計(jì)劃對(duì)于網(wǎng)絡(luò)事件的響應(yīng)尤其重要,同時(shí)也面臨以下4個(gè)挑戰(zhàn):
網(wǎng)絡(luò)事件發(fā)展迅速:采取行動(dòng)減輕事件影響的窗口有限
網(wǎng)絡(luò)事件具有高度不確定性:響應(yīng)者需要根據(jù)不完全的信息做出響應(yīng)決策
網(wǎng)絡(luò)事件難以檢測(cè):與其他事件(如自然災(zāi)害)不同,網(wǎng)絡(luò)事件沒有明確的開始和結(jié)束,入侵行為通常不會(huì)被立即檢測(cè)到
網(wǎng)絡(luò)事件起因無法確認(rèn):可能是無意引起的還是由人為惡意引起的
1.3 計(jì)劃層級(jí)
在戰(zhàn)略、作戰(zhàn)、戰(zhàn)術(shù)層面上制定計(jì)劃:
戰(zhàn)略層:戰(zhàn)略計(jì)劃為作戰(zhàn)計(jì)劃設(shè)定了背景和預(yù)期。提供一個(gè)總體框架,為政策、作戰(zhàn)計(jì)劃和資源決策建立基礎(chǔ)
作戰(zhàn)層:作戰(zhàn)計(jì)劃明確為執(zhí)行戰(zhàn)略計(jì)劃任務(wù)所需的資源。闡述了在實(shí)際和潛在事件中,各機(jī)構(gòu)和組織之間的角色職責(zé)、任務(wù)、活動(dòng)和資源的統(tǒng)籌協(xié)調(diào),以及其他組織的預(yù)期(作戰(zhàn)層的應(yīng)急計(jì)劃明確指出:計(jì)劃的意圖,事件響應(yīng)的目標(biāo),預(yù)期的最終狀態(tài);計(jì)劃對(duì)威脅和風(fēng)險(xiǎn)的管理;適用范圍:適用該計(jì)劃的條件和情況;組織角色、職責(zé)和協(xié)調(diào)機(jī)制)
戰(zhàn)術(shù)層:戰(zhàn)術(shù)計(jì)劃闡述了如何在規(guī)定時(shí)間內(nèi)使用資源完成作戰(zhàn)計(jì)劃中既定目標(biāo)的詳細(xì)行動(dòng)
應(yīng)急計(jì)劃用于指導(dǎo)國(guó)家關(guān)鍵職能部門的重大網(wǎng)絡(luò)事件影響的響應(yīng),可以與其他計(jì)劃一起實(shí)施。包括應(yīng)急和災(zāi)難響應(yīng)計(jì)劃、行動(dòng)手冊(cè)和業(yè)務(wù)連續(xù)性計(jì)劃,可能與網(wǎng)絡(luò)事件有關(guān)或旨在解決網(wǎng)絡(luò)攻擊或其他事件的后果。此外,也涉及執(zhí)法部門和美國(guó)防部的相關(guān)應(yīng)對(duì)計(jì)劃,因?yàn)閺木W(wǎng)絡(luò)事件響應(yīng)計(jì)劃中獲得的信息可以納入反威脅計(jì)劃,反之亦然。
2.計(jì)劃制定流程
組建核心計(jì)劃團(tuán)隊(duì)包括:①主要負(fù)責(zé)國(guó)家關(guān)鍵職能部門事件響應(yīng)的關(guān)鍵組織的代表;②具有作戰(zhàn)方面經(jīng)驗(yàn)和專業(yè)知識(shí)的專家;③硬件和軟件供應(yīng)商;④網(wǎng)絡(luò)安全公司;⑤互聯(lián)網(wǎng)服務(wù)提供商;⑥負(fù)責(zé)檢測(cè)、評(píng)估和監(jiān)控的有經(jīng)驗(yàn)員工;⑦負(fù)責(zé)事件期間跨部門的聯(lián)絡(luò)人;⑧了解法律法規(guī)的公關(guān)人員。
一旦核心計(jì)劃團(tuán)隊(duì)和其他利益干系人就位,并且選擇了協(xié)作方法,團(tuán)隊(duì)就可以自己開始計(jì)劃過程。此過程分為五個(gè)步驟,如圖1所示。
圖1:計(jì)劃過程
2.1收集數(shù)據(jù)和調(diào)查威脅
● 根據(jù)收集的數(shù)據(jù)找到問題原因
● 再識(shí)別國(guó)家關(guān)鍵職能部門自身和將來面臨的風(fēng)險(xiǎn)和威脅,并進(jìn)行優(yōu)先排序
● 最后制定應(yīng)急計(jì)劃,包括基于場(chǎng)景和基于職能的計(jì)劃
● 數(shù)據(jù)收集和風(fēng)險(xiǎn)識(shí)別是一個(gè)迭代的過程,貫穿整個(gè)計(jì)劃過程
2.2 制定任務(wù)說明和目標(biāo)
● 制定一份初步任務(wù)說明,以幫助計(jì)劃人員實(shí)現(xiàn)預(yù)期的事件響應(yīng)目標(biāo)、
● 計(jì)劃過程開始時(shí),目標(biāo)可以以草稿形式描述,并隨著計(jì)劃的進(jìn)展不斷完善
● 計(jì)劃過程結(jié)束時(shí),吸取經(jīng)驗(yàn)教訓(xùn)優(yōu)化任務(wù)說明
● 并為實(shí)際突發(fā)事件時(shí)為執(zhí)行計(jì)劃的人員明確方向
2.3 制定行動(dòng)方案
● 制定替代行動(dòng)方案,并評(píng)估方案的有效性,最大限度地降低風(fēng)險(xiǎn)和最大限度地提高成功概率
● 每個(gè)方案必須指定時(shí)間表、關(guān)鍵決策點(diǎn)和任務(wù)職責(zé)
● 明確的預(yù)期目標(biāo),包括可行性、完整性和可接受性
2.4 確定關(guān)鍵任務(wù)活動(dòng),起草計(jì)劃
應(yīng)急計(jì)劃有四個(gè)主要組成部分情況、概述、執(zhí)行、附錄:
情況:描述制定計(jì)劃的原因,并提供有關(guān)計(jì)劃范圍和關(guān)鍵假設(shè)的信息
概述:描述參與計(jì)劃執(zhí)行人員的使命、目標(biāo)、角色和任務(wù)
執(zhí)行:詳細(xì)描述利益相關(guān)者將如何應(yīng)對(duì)重大網(wǎng)絡(luò)事件,包括將如何識(shí)別和評(píng)估事件(第1階段)、協(xié)調(diào)和補(bǔ)救事件(第2階段)、緩解和過渡到事后操作(第3階段),并解釋操作協(xié)調(diào)和信息共享
附錄:提供獨(dú)立且對(duì)執(zhí)行計(jì)劃有用的附加信息
2.5 評(píng)估計(jì)劃風(fēng)險(xiǎn)
兩個(gè)主要風(fēng)險(xiǎn)點(diǎn):評(píng)估重大網(wǎng)絡(luò)應(yīng)急計(jì)劃的風(fēng)險(xiǎn),需要在風(fēng)險(xiǎn)評(píng)估過程中進(jìn)行識(shí)別、評(píng)估和補(bǔ)救,作為制定應(yīng)急計(jì)劃成功的一部分。兩個(gè)主要風(fēng)險(xiǎn)點(diǎn):一是,可能阻礙國(guó)家關(guān)鍵職能部門執(zhí)行應(yīng)急計(jì)劃解決重大網(wǎng)絡(luò)事件的風(fēng)險(xiǎn);二是,如果執(zhí)行應(yīng)急計(jì)劃,可能會(huì)損害其他國(guó)家關(guān)鍵職能部門提供基本服務(wù)的能力的風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評(píng)估步驟:
風(fēng)險(xiǎn)識(shí)別:收集數(shù)據(jù)識(shí)別風(fēng)險(xiǎn)形成風(fēng)險(xiǎn)列表
風(fēng)險(xiǎn)分析:涉及對(duì)不同風(fēng)險(xiǎn)的可能性和結(jié)果的研究,從而判斷出哪些風(fēng)險(xiǎn)是重要的,以及補(bǔ)救措施的重點(diǎn)
風(fēng)險(xiǎn)降低:包括加強(qiáng)關(guān)鍵設(shè)施故障的保護(hù);加強(qiáng)風(fēng)險(xiǎn)評(píng)估和信息共享,改進(jìn)對(duì)新出現(xiàn)威脅的識(shí)別,以減少響應(yīng)延遲;預(yù)先部署庫(kù)存和資源,并進(jìn)行定期培訓(xùn)和演練,確保人員和資源準(zhǔn)備就緒
圖2:風(fēng)險(xiǎn)評(píng)估步驟
3.實(shí)施計(jì)劃
3.1 計(jì)劃宣貫和修訂
● 計(jì)劃編制完成后,分發(fā)給相關(guān)的個(gè)人和組織,并進(jìn)行宣貫
● 計(jì)劃編制人員與各方進(jìn)行后續(xù)談?wù)?,并提供反饋意?/span>
● 在國(guó)家關(guān)鍵職能利益相關(guān)者中指定一名協(xié)調(diào)員,負(fù)責(zé)后續(xù)計(jì)劃文件的維護(hù),涉及收集反饋意見的修訂
3.2 計(jì)劃演練和培訓(xùn)
● 通過演練測(cè)試驗(yàn)證計(jì)劃在響應(yīng)能力方面的差距和限制
● 建議在盡可能接近真實(shí)情況的環(huán)境中進(jìn)行演練測(cè)試
● 制定培訓(xùn)計(jì)劃,以幫助參與應(yīng)急響應(yīng)人員具備相應(yīng)的知識(shí)和技能
3.3 經(jīng)驗(yàn)記錄和復(fù)盤
● 通過實(shí)際的網(wǎng)絡(luò)事件響應(yīng)和演練中總結(jié)經(jīng)驗(yàn),及時(shí)調(diào)整計(jì)劃
● 每個(gè)組織應(yīng)制定嚴(yán)格的事后審查程序,包括記錄、審查、評(píng)估和計(jì)劃改進(jìn)
3.4 建立知識(shí)庫(kù)
● 關(guān)注網(wǎng)絡(luò)安全和韌性方面的最新文獻(xiàn)和最佳實(shí)踐,幫助計(jì)劃持續(xù)改進(jìn)
● 調(diào)研審查網(wǎng)絡(luò)安全出版物、報(bào)告、趨勢(shì)和威脅分析
● 參加部門和國(guó)家關(guān)鍵職能利益團(tuán)體之間的信息分享活動(dòng)、座談會(huì)和非正式討論
● 參加跨部門危機(jī)管理和應(yīng)急計(jì)劃演練
3.5 計(jì)劃維護(hù)和更新
● 應(yīng)急計(jì)劃,需定期修訂
● 制定監(jiān)管過程,定期審查計(jì)劃,確保其準(zhǔn)確性和完整性
● 各組織確保計(jì)劃中所需的人員和資源,滿足計(jì)劃要求
4.評(píng)析
為重大網(wǎng)絡(luò)事件制定應(yīng)對(duì)計(jì)劃是一項(xiàng)復(fù)雜的工作,需要多個(gè)利益相關(guān)方密切合作。本報(bào)告總結(jié)了由美國(guó)國(guó)土安全作戰(zhàn)分析中心(HSOAC)和美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的專家制定的《重大網(wǎng)絡(luò)事件的計(jì)劃:網(wǎng)絡(luò)事件應(yīng)急計(jì)劃指南》的關(guān)鍵要素,并列出了利益相關(guān)者在制定國(guó)家關(guān)鍵職能應(yīng)急計(jì)劃時(shí)要考慮的流程、問題和注意事項(xiàng),提供了一個(gè)有效的計(jì)劃框架和模板。旨在指導(dǎo)私營(yíng)部門和聯(lián)邦政府如何應(yīng)對(duì)“運(yùn)營(yíng)核心網(wǎng)絡(luò)”的重大網(wǎng)絡(luò)事件對(duì)國(guó)家關(guān)鍵職能的影響。
(全文完)
參考鏈接:https://www.rand.org/pubs/research_reports/RRA1265-1.html
來源:學(xué)術(shù)plus