兰德公司于2018年8月发布报告《发展网络安全能力-基于概念验证的实施指南》(Developing Cybersecurity Capacity- A proof-of concept implementation guide),旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定,以应对网络领域的挑战。现由学术plus编译全文,仅供学习参考。

本文《发展网络安全能力(四)构建危机管理能力的4个步骤》针对国家网络安全能力成熟度模型中第一维度“网络安全政策与战略”中“危机管理能力”因素进行深入分析。本节讨论并强调了国家建立、审查和更新国家危机管理应用程序、功能协议和标准的能力。并指导如何对不同危机管理技术执行过程中涉及的利益攸关方的表现进行评估。

发展网络安全能力

Developing Cybersecurity Capacity

(四)

构建危机管理能力的4个步

编译:学术plus  

原载:https://www.rand.org


这一因素着重强调发展国家建立、审查和更新国家危机管理应用程序、功能协议和标准的能力。做法如下:

•考虑在危机管理计划阶段引入预警和水平扫描机制。

•确保法律和监管框架得到优化,从而提高危机管理的效率。

•制定有针对性的行动计划和操作程序,以便于改进危机管理活动。

•建立机构协调机制,并且不断发展标准化的信息收集、跨部门沟通和公共事务处理的能力。

•考虑危机管理单元的实现,该单元具有敏捷的、有效的危机响应所需要的自主权。

这些良好做法为危机管理奠定了基础,然而,为了持续构建国家的抗风险能力和危机管理能力,经历高级别的、多利益攸关方参与的演习,并对不同危机管理技术执行过程中涉及的利益攸关方的表现进行评估,这一点非常有必要。国家级、部门和跨部门的演习可帮助当局和其他相关的利益攸关方去:

•评估危机管理应用程序的功能和恢复能力、功能协议和标准;

•识别相互依赖和/或弱点;

•演习合作,分享最佳实践,并在组织和利益攸关方群体之间建立信任;

•测量改进(多个演习过程中)。

方框1.4:构建危机管理能力的步骤(D1.4)

Ø 任命一个任务负责机构负责:(一)协调在危机管理方面的工作;(二)与有关的公共部门及私营部门的利益攸关方等保持联络。

Ø 对需要评估的危机管理措施和技术进行需求评估。

Ø 开发和运行一个现实的高级别的演习场景,来测试信息流动和决策,并在其运行期间不断将新的信息注入这一场景中。

Ø 基于SMART评价目标和关键性能指标(KPIs),为国家有关利益攸关方与国际合作伙伴准备定制的、部门特定的演习评价和经验教训报告。

构建危机管理能力建设的步骤1

Ø 任命一个任务负责机构负责:

(一)协调在危机管理方面的工作;

(二)与有关的公共部门及私营部门的利益攸关方保持联络。

应指定一个任务负责机构,监督并负责与建立危机管理能力有关的活动。任务负责机构将通过监督高层次演习的生命周期,来负责促进危机管理能力的发展。这就需要确定待测试的措施和机制,建立演习的规划团队,领导演习的规划和交付(可能有外部专家支持),提供协调和执行演习的资源,确保演习得到评价,并确保经验教训和特别报告与相关的利益攸关方共享。通常,识别演习需求的组织也是负责开发和运行演习的组织,但是外部专家的支持在从演习中提取最大价值时非常有用。关于指定任务负责机构的详细信息,以及规划和执行演习的模板和示例材料,将在接下来的页面中进行讨论,都列示在本节末尾列出的参考资料中。

对于应该监督这类活动的领导组织类型,并没有明确的指导原则。在可用的公开文献中提出的范例表明,一个权威机构通常会任命一个组织,在一个特别指导委员会的帮助下,在整个生命周期全程领导和协调这一演习。

构建危机管理能力建设的步骤2

Ø 对需要评估的危机管理措施和技术进行需求评估。

在演习生命周期的一开始,任务负责机构需要确定待测试的危机管理措施和技术。一般来说,在部门和跨部门的演习中,应注重采用合作、协调和交流的机制。

在演习过程中可以评估许多不同的措施和技术,例如:参与者的共同情境意识;业务连续性计划的要素;遵守业务连续性计划;响应速度;决策过程;内部和外部协作以解决难题;以及资源、物流和支持能力的协调。

根据为评估而选定的措施和技术,应该选择相关的利益攸关方来担当关键角色。这些利益攸关方将在随后的步骤中全程参与这一能力领域的活动。

在决策过程中,要确定待测试的措施和技术,还应该考虑到整个演习生命周期中可用的资源,以及相关参与者的可用性和承诺。组织、运行和评价多利益攸关方参与的演习所需要付出的努力不应被低估。

构建危机管理能力建设的步骤3

Ø 开发和运行一个现实的高级别的演习场景,来测试信息流动和决策,并在其运行期间不断将新的信息注入这一场景中。

已经确定了待评估的措施和技术之后,该任务负责机构应该集中精力开发一个看似合理的高级别的场景,以便在演习设置中将其用于测试这些措施和技术。生成一个现实的、具有挑战性的、计划良好的场景,不论是对确保利益攸关方的参与,还是对确保演习的成功都是至关重要的。

在选定一个场景并开始详细的演习规划活动之前,应该考虑开发一系列高级别的场景。所选择的场景应该最适合于前面步骤中确定的目标和需求。

一旦为开发选定了一个高级别的场景,就应该确定其类型、规模、地理范围和参与者。可以开发几种类型的演习。每种类型都有不同的格式、优点、挑战性和成本。这些类型的演习大致可以分为两类:

基于讨论的演习:这些演习允许参与者检查和讨论场景,测试决策程序,以及开发或改进响应过程。这些演习可以采取讨论会、研讨会、桌面演习或游戏的形式来进行。

基于行动的演习:这些演习要求在危机管理程序之外采取行动,以便于允许测试这些程序,并让相关工作人员做好遵循这些程序的准备。

表1.4 基于行动的演习和基于讨论的演习的优缺点

演习的规模将在很大程度上取决于将要开展的演习的类型,以及规划者可以得到的人力、技术和财务资源方面的支持。

仔细考虑不同规模演习的优点和缺点。考虑所选择的演习规模是否与总体目标一致,以及是否适合组织者可能面临的人力、技术、财务和时间限制方面的问题。

应确定好演习的地域范围。围绕这方面的考虑可能会影响即将实施的演习的规模。即使可用的资源有限,也可以进行地域范围广泛的演习,例如,通过减少与其机制或参与者数量相关的复杂性。

地域范围更广泛的演习可能被证明更难得以实施。然而,这通常会让该演习的好处扩散到更多的组织/个人身上。

演习的地域范围可能由其高级别场景的内容来决定。考虑某些事件可能会对除最初考虑到的区域和国家以外的区域和国家的资产产生连锁效应,或者某些事件可能会因性质而在地理上分散。

最后,在进入演习开发阶段之前,应该确定好参与者。哪一个组织要参与演习,这在很大程度上取决于该演习旨在评估的措施和技术,以及将要实施的演习类型。

该演习应包括参与评估措施或技术的主要利益攸关方组织在适当决策级别的代表。

一旦已经确定好演习场景、类型、规模、地域范围和参与者,就应该开始详细规划和开发该演习。规划和开发阶段的持续时间长短取决于许多因素。运行演习需要至少一个日历年的规划周期,而小规模的、以讨论为基础的演习很可能需要几个月的规划。

在第一轮特定演习类型的规划回合中,确保规划团队有额外的时间来制定所有的细节,确保参与者的承诺,并且围绕该演习的概念达成共识。

在开发演习场景时,该规划团队应该从构建在此过程启动时选定的高级别概念开始。开发团队应该在其内部与关键利益攸关方的代表一起讨论演习场景的不同迭代。目标应该是确保该场景尽可能地真实,同时与组织者的目标和需求保持高度一致。这将降低参与者在演习过程中挑战该场景或努力消化该场景的风险。在本节末尾列出的参考资料中提供了场景示例和规划模板。

在演习过程中,场景需要根据参与者的反应和行动进行管理和调整。基于此目的,新信息的“注入”应该事先规划好,并由演习主持人随后进行使用。注入应该类似于现实生活中的事件,并且基于现实生活中的交流(例如,通过呈现不完整的、有缺陷的信息和/或使用类似媒体的方法)来呈现。大多数注入应该在进行演习之前就规划好。

该场景不仅应该被利益攸关方和参与者认为是现实的,它还应该保持足够的灵活性,以便根据参与者采取的行动和决定在演习过程中进行演变和改编。

并不是所有已经准备好的注入都必须在演习中使用。该演习的管理者应根据收到的关于参与者如何参与和处理预先规划的场景的信息来使用这些注入,正如演习监测器所传达的那样。为了促进这一过程,应该准备好一系列注入,以适应不同的场景路径。

演习的规划和开发一旦完成,该演习本身就应该得以进行。招募参与者是下一个关键阶段,获得所需参与者的一些障碍可能包括参与者缺乏可用的资源、难以认识到参与的潜在好处或担心保密问题。为了减轻这些挑战,不妨进行投资,提高人们对该演习预期效益的认识,并且确保从规划过程开始时就把参与者纳入在内。通过确保信息使用的透明度来创造激励(例如,财政支持)和产生信任也可能是很有益的做法。此外,保持一个包容的、多利益攸关方的方法可以帮助在参与的利益攸关方之间建立一种共享所有权的意识。演习组织者还可以制定媒体政策,以避免对这项演习产生误解。

网络风暴演习

网络风暴是由美国国土安全部(DHS)组织的一系列为期两年的全面演习。网络风暴系列旨在加强不同级别的网络安全防范和应对能力,使参与者能够执行政策、过程和程序,识别并应对针对多部门重要基础设施的网络攻击。

2016年的网络风暴(网络风暴五)需要18个月的规划和交付工作。行动被分为5个阶段,即:范围界定、设计和开发、准备、开展和评价阶段。在整个演习生命周期中,规划人员与一系列社区和利益攸关方打交道。这项演习一共有1200多名参与者,代表来自美国国内外的大范围的公共部门和私营部门组织。

网络风暴五的网络特定场景利用了互联网协议和服务中的现有弱点,来破坏路由方法、域名系统(DNS)和公钥基础设施。要解决这一场景造成的问题,需要政府和私营部门协调一致地做出响应。

据该组织者介绍,“网络风暴五”成功地为参与者提供了一个机会,让他们能够审视网络响应能力的演变,并找出目前在应对具有全球影响的协同网络攻击方面的差距和挑战。

构建危机管理能力建设的步骤4

Ø 基于SMART评价目标和关键性能指标(KPIs),为国家有关利益攸关方与国际合作伙伴准备定制的、部门特定的演习评价和经验教训报告。

评价综合了那些值得进一步改进的领域的观察结果。它们的目的是传播从进行这项演习中获得的经验教训,其中可能包括改善组织结构和过程、机制以及其他各种领域。评价的目的可能是查明影响所测试的连续性计划成功的主要障碍、成功实施所需的技能,以及协调、决策和通讯方面的薄弱环节和漏洞。评价可以提出改进这些和其他领域的建议。

评价过程应包括以下几个阶段:

1. 设定评价目标

只要目标是明确的、可行的和可实现的,那么演习就可以成为加强战略危机合作和管理目标的主要方法。在规划阶段的刚一开始,任务负责机构和涉及到的利益攸关方就应该确定这项演习的SMART目标。评价期间要调查的目标可包括:

(一)所测试的连续性计划成功的主要障碍;

(二)成功实施所需的技能;

(三)所测试的通讯链中的相互依赖和薄弱环节。

评价过程和需要收集的支持数据应该提前设计好。这可能包括监控报告模板和完成它们的指导方针,准备利益攸关方的调查问卷,以及确定该演习团队在演习的中间阶段可能需要的简要汇报时刻。

2. 行动后回顾

进行评价的最佳时间是在演习结束后,因为这可以让组织者在体验新鲜的同时,从不同参与者和角色扮演者那里获得数据,还能确保该评价结果在演习结束前得到传达。

评价工作应以编写许多报告、向一系列利益攸关方介绍已完成的行动、吸取的经验教训和建议而告终。鉴于危机管理实践演习中所测试的问题的敏感性,可能会设计出针对不同受众群体的多份报告。例如,作为复杂演习的一部分,参与其中的个人利益攸关方可能会收到一份独特的、机密性的报告,为个人的组织提供详细的观察结果和建议。通常,应编写一份内部协商一致的报告,以便在所有相关的利益攸关方之间进行分发,并提出与演习期间所测试的部门或机制有关的普遍调查结果和建议。应考虑通过采用一个合作的、包容的评价进程,使参与者参与拟订结论和建议。这可能使利益攸关方能够更多地拥有评价过程的所有权,从而增加对建议做出高水平反应的可能性。

最后,根据演习的规模和动机,可能会向公众发表一份报告,介绍已进行的活动,但不讨论演习的任何弱点、建议或发现。

3. 衡量成功

在评价的总结阶段,演习团队应着重评估该项演习是否大致实现了它所设定的目标,以及该演习团队是否以有效的方式完成了任务。生成与评价演习的管理和运行有关的单独模板和文件可能会有帮助,以确保吸取的经验教训已被收集并采取行动,而不是分散在与正在测试的措施有关的文件中。

最后,评价活动应被看作是一个更广泛的、连续的演习周期内的一个环节。评价提供了学习和发展的机会,在今后演习的规划和执行阶段应考虑到从该评价所产生的结果和建议,以期将所吸取的经验教训和确定的良好做法纳入其中。

图1.9概述了如何将评价过程纳入更广泛的演习周期中。

资料来源:兰德欧洲对欧洲网络与信息安全局(ENISA)的详细阐述(2009)

图1.9:演习和评价周期Identifying measures确定措施;Planning the exercise规划该演习;Conducting the exercise进行该演习;Evaluating the exercise评价该演习;• Setting evaluation objectives设置评价目标;• After-action review行动后回顾;• Measuring success衡量成功;Lessons Learned经验教训。

其他参考资料:

欧洲网络与信息安全局(ENISA),2009年。国家演习的良好实践指南:增强公共通信网络的恢复能力。希腊,赫拉克里翁(Heraklion):欧洲网络与信息安全局(ENISA)。

欧洲网络与信息安全局(ENISA),2016年。网络危机合作与管理报告:欧盟层面危机管理的普遍做法和网络危机的适用性。希腊,赫拉克里翁(Heraklion):欧洲网络与信息安全局(ENISA)。

联邦民事保护和灾害援助办公室(BBK),2011年。战略危机管理演习指南。波恩:联邦民事保护和灾害援助办公室(BBK)。

基克(Kick),詹森(Jason),2014年。网络演习剧本。德国威斯巴登市(Wiesbaden):斜方公司。

(未完待续)

声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。