2022年6月27日,兰德公司国土安全作战分析中心(HSOAC)发布报告《重大网络事件计划:决策者导论》(Planning for Significant Cyber Incidents:An Introduction for Decisionmakers)。
报告旨在为国家关键职能利益相关的部门制定专门的“重大网络事件应急计划”,尤其是为政府和私营部门制定可操作的应急计划。文章详细描述了“重大网络事件应急计划”的重要性分析、制定过程与计划实施内容等,仅供参考。
重大网络事件计划-决策者导论
编译:学术plus高级观察员 冰墩墩和雪融融
本文主要内容及关键词
1.重大网络事件应急计划:用于指导国家关键职能部门重大网络事件的响应。计划的含义与内容,特定网络计划的挑战,计划层级(战略层-作战层-战术层),可与其他计划协同实施
2.如何制定这一计划?团队组成;计划制定流程(收集数据和调查威胁,制定任务说明和目标,制定行动方案,确定关键任务活动并起草计划,评估计划风险)
3.计划的实施:宣贯和修订,演练和培训,复盘,建立知识库,维护和更新
4.评析:为重大网络事件制定计划是一项复杂的工作,需要多方密切合作;本指南为美国政府与私营部门“运营核心网络”的重大网络事件的应急处理提供了一个有效的计划框架。
仅供学习参考,欢迎交流指正!
文章观点不代表本机构立场
网络事件发生的频率越高,对政府、企业和个人的破坏性越大、成本越高,大多数事件可以通过定期协调和响应机制处置,但有些事件却超出了利益相关者的范围。
1.应急计划
重大网络事件应急计划
1.1 计划内容
“重大网络事件应急计划”是对包括网络事件在内的突发事件做出协调、快速地和有效地反应。对重大网络事件的计划过程可促进对事件响应的思考,利益相关者可加深对各自角色和责任的理解、并达成对信息共享的共识,具体包括:
明确事件响应中相关的角色和职责
建立对信息共享的预期和需求
制定私营部门与政府之间的协调机制
识别国家关键职能部门相互依赖关系和级联效应
在重大网络事件发生前,提高防御能力与韧性
**以上计划可应用到相关领域中,作为事件响应期间的指南使用
1.2 特定网络计划的挑战
计划对于网络事件的响应尤其重要,在持续发生的网络事件环境中,由于政府和私营部门的应急人员缺乏相应的经验和事件响应能力以及不完善的流程测试,严重降低了人员有效的协调能力。所以计划对于网络事件的响应尤其重要,同时也面临以下4个挑战:
网络事件发展迅速:采取行动减轻事件影响的窗口有限
网络事件具有高度不确定性:响应者需要根据不完全的信息做出响应决策
网络事件难以检测:与其他事件(如自然灾害)不同,网络事件没有明确的开始和结束,入侵行为通常不会被立即检测到
网络事件起因无法确认:可能是无意引起的还是由人为恶意引起的
1.3 计划层级
在战略、作战、战术层面上制定计划:
战略层:战略计划为作战计划设定了背景和预期。提供一个总体框架,为政策、作战计划和资源决策建立基础
作战层:作战计划明确为执行战略计划任务所需的资源。阐述了在实际和潜在事件中,各机构和组织之间的角色职责、任务、活动和资源的统筹协调,以及其他组织的预期(作战层的应急计划明确指出:计划的意图,事件响应的目标,预期的最终状态;计划对威胁和风险的管理;适用范围:适用该计划的条件和情况;组织角色、职责和协调机制)
战术层:战术计划阐述了如何在规定时间内使用资源完成作战计划中既定目标的详细行动
应急计划用于指导国家关键职能部门的重大网络事件影响的响应,可以与其他计划一起实施。包括应急和灾难响应计划、行动手册和业务连续性计划,可能与网络事件有关或旨在解决网络攻击或其他事件的后果。此外,也涉及执法部门和美国防部的相关应对计划,因为从网络事件响应计划中获得的信息可以纳入反威胁计划,反之亦然。
2.计划制定流程
组建核心计划团队包括:①主要负责国家关键职能部门事件响应的关键组织的代表;②具有作战方面经验和专业知识的专家;③硬件和软件供应商;④网络安全公司;⑤互联网服务提供商;⑥负责检测、评估和监控的有经验员工;⑦负责事件期间跨部门的联络人;⑧了解法律法规的公关人员。
一旦核心计划团队和其他利益干系人就位,并且选择了协作方法,团队就可以自己开始计划过程。此过程分为五个步骤,如图1所示。
图1:计划过程
2.1收集数据和调查威胁
根据收集的数据找到问题原因
再识别国家关键职能部门自身和将来面临的风险和威胁,并进行优先排序
最后制定应急计划,包括基于场景和基于职能的计划
数据收集和风险识别是一个迭代的过程,贯穿整个计划过程
2.2 制定任务说明和目标
制定一份初步任务说明,以帮助计划人员实现预期的事件响应目标、
计划过程开始时,目标可以以草稿形式描述,并随着计划的进展不断完善
计划过程结束时,吸取经验教训优化任务说明
并为实际突发事件时为执行计划的人员明确方向
2.3 制定行动方案
制定替代行动方案,并评估方案的有效性,最大限度地降低风险和最大限度地提高成功概率
每个方案必须指定时间表、关键决策点和任务职责
明确的预期目标,包括可行性、完整性和可接受性
2.4 确定关键任务活动,起草计划
应急计划有四个主要组成部分情况、概述、执行、附录:
情况:描述制定计划的原因,并提供有关计划范围和关键假设的信息
概述:描述参与计划执行人员的使命、目标、角色和任务
执行:详细描述利益相关者将如何应对重大网络事件,包括将如何识别和评估事件(第1阶段)、协调和补救事件(第2阶段)、缓解和过渡到事后操作(第3阶段),并解释操作协调和信息共享
附录:提供独立且对执行计划有用的附加信息
2.5 评估计划风险
两个主要风险点:评估重大网络应急计划的风险,需要在风险评估过程中进行识别、评估和补救,作为制定应急计划成功的一部分。两个主要风险点:一是,可能阻碍国家关键职能部门执行应急计划解决重大网络事件的风险;二是,如果执行应急计划,可能会损害其他国家关键职能部门提供基本服务的能力的风险。
风险评估步骤:
风险识别:收集数据识别风险形成风险列表
风险分析:涉及对不同风险的可能性和结果的研究,从而判断出哪些风险是重要的,以及补救措施的重点
风险降低:包括加强关键设施故障的保护;加强风险评估和信息共享,改进对新出现威胁的识别,以减少响应延迟;预先部署库存和资源,并进行定期培训和演练,确保人员和资源准备就绪
图2:风险评估步骤
3.实施计划
3.1 计划宣贯和修订
计划编制完成后,分发给相关的个人和组织,并进行宣贯
计划编制人员与各方进行后续谈论,并提供反馈意见
在国家关键职能利益相关者中指定一名协调员,负责后续计划文件的维护,涉及收集反馈意见的修订
3.2 计划演练和培训
通过演练测试验证计划在响应能力方面的差距和限制
建议在尽可能接近真实情况的环境中进行演练测试
制定培训计划,以帮助参与应急响应人员具备相应的知识和技能
3.3 经验记录和复盘
通过实际的网络事件响应和演练中总结经验,及时调整计划
每个组织应制定严格的事后审查程序,包括记录、审查、评估和计划改进
3.4 建立知识库
关注网络安全和韧性方面的最新文献和最佳实践,帮助计划持续改进
调研审查网络安全出版物、报告、趋势和威胁分析
参加部门和国家关键职能利益团体之间的信息分享活动、座谈会和非正式讨论
参加跨部门危机管理和应急计划演练
3.5 计划维护和更新
应急计划,需定期修订
制定监管过程,定期审查计划,确保其准确性和完整性
各组织确保计划中所需的人员和资源,满足计划要求
4.评析
为重大网络事件制定应对计划是一项复杂的工作,需要多个利益相关方密切合作。本报告总结了由美国国土安全作战分析中心(HSOAC)和美国网络安全和基础设施安全局(CISA)的专家制定的《重大网络事件的计划:网络事件应急计划指南》的关键要素,并列出了利益相关者在制定国家关键职能应急计划时要考虑的流程、问题和注意事项,提供了一个有效的计划框架和模板。旨在指导私营部门和联邦政府如何应对“运营核心网络”的重大网络事件对国家关键职能的影响。
(全文完)
参考链接:
https://www.rand.org/pubs/research_reports/RRA1265-1.html
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。