CISA发布更新版《国家网络事件响应计划》草案

美国网络安全和基础设施安全局（CISA）于2024年12月16日发布了《国家网络事件响应计划（NCIRP）》草案，以征求公众意见。这是自2016年发布以来首次对该计划进行更新。

该草案由CISA、联合网络防御协作中心（JCDC）和国家网络总监办公室（ONCD）共同制定，基于2016年的第41号总统政策指令（PPD-41），为联邦政府、私营部门、国际合作伙伴以及州、地方、部落和领地（SLTT）政府提供了一个共同应对网络事件的框架。CISA指出，这份草案“考虑了网络威胁形势的演变以及从历史事件中吸取的教训”。

CISA网络安全执行助理主任Jeff Greene在周一的简报会上表示，150多名来自66个组织的网络专家参与了草案的编写，其中许多人与JCDC合作。作为计划工作的一部分，CISA还举办了三次公众听证会。

Jeff Greene强调，通过与政府和行业伙伴的广泛合作，他们希望建立一个灵活、可操作、更新的框架，以提供与对手步伐相匹配的连贯协调和可预测的应对方法。

这份42页的新版NCIRP详细列出了国家网络事件响应的组织结构，并划定了四条响应线（LOE）：资产响应、威胁响应、情报支持和受影响实体响应。这些响应线旨在提前规划外国对手可能对美国关键基础设施（如银行、铁路、电网和水处理厂）发起的可能性不大但具有潜在破坏性的网络攻击。CISA将领导资产响应的协调工作，国家情报总监办公室（ODNI）负责管理情报支持，联邦执法机构（包括司法部和联邦调查局）则负责处理威胁响应。受影响实体的响应将取决于受影响的机构或实体。

NCIRP草案还具体分配了各个联邦机构和办公室的协调责任，将关键活动和决策分解为事件检测和响应阶段的一部分，并详细说明建议的事件后措施。

Jeff Greene表示，该文件并非旨在为网络事件响应提供“逐一说明”，因为“每起事件都会有所不同”。但他也指出，草案确实寻求为非联邦利益相关方在协调工作中拥有发言权创造一条明确界定的道路，并“精简内容并使其与运营生命周期保持一致，纳入影响机构角色和职责的相关法律和政策变化”，同时为未来的更新建立“可预测的生命周期”。

Jeff Greene补充说，CISA和其他利益相关者回顾了以前的事件并研究了政府的应对方式，这帮助他们根据这些教训制定计划。他希望每当发生网络安全事件时，响应人员都能回顾这份文件，看看其中哪些内容是有帮助的，哪些内容没有得到充分阐述。

去年的美国《国家网络战略》要求对该计划进行更新，但CISA因拒绝针对重大网络攻击制定具体的经济连续性（COTE）计划，于2023年9月遭到两党的强烈反对。

COTE计划被写入了《2021财年国防授权法案》，其中概述了一旦发生对美国经济造成重大损害的网络攻击，联邦政府将采取的措施。

美国国会于2021年下令白宫制定该计划，并最终于8月收到了CISA的一份长达29页的报告作为回应，报告认为，考虑到已经制定了多项计划来帮助美国应对和恢复对美国经济造成严重破坏的网络攻击，因此新的COTE计划是没有必要的。

声明：本文来自开源情报技术研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。