對比美國歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)，分析我國網(wǎng)絡(luò)安全工作應(yīng)吸取的經(jīng)驗

據(jù)多家媒體報道［1，2］，2020年8月中旬，美國組織了為期三天的網(wǎng)絡(luò)風(fēng)暴演習(xí)（Cyber Storm Exercise）2020。網(wǎng)絡(luò)風(fēng)暴演習(xí)是美國國土安全部（DHS）定期組織的系列大型網(wǎng)絡(luò)安全演習(xí)活動，至今已舉辦七屆。作為網(wǎng)絡(luò)空間安全演習(xí)、攻防對抗的標桿之一，該活動的舉辦對于提高參演方應(yīng)急響應(yīng)能力有著非常重要的作用，對于我國網(wǎng)絡(luò)安全從業(yè)者及安全管理部門都有著重要的借鑒學(xué)習(xí)作用。

作為企業(yè)的內(nèi)設(shè)研究機構(gòu)，中測安華必達實驗室在整理歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)情況的基礎(chǔ)上，對歷屆的演習(xí)主旨以及演習(xí)中發(fā)現(xiàn)的問題進行分析總結(jié)后發(fā)現(xiàn)：第一，協(xié)調(diào)聯(lián)動的主旨貫穿始終，對于應(yīng)急響應(yīng)尤其重要;第二，信息共享在演習(xí)中極為關(guān)鍵，對應(yīng)急響應(yīng)效果作用明顯;第三，防御協(xié)同流程機制一直在優(yōu)化，針對新威脅、新場景和新技術(shù)的趨勢需要不斷完善。以上表明，美國政府對協(xié)同、共享非常重視，在歷屆演習(xí)中所暴露的與之相關(guān)的問題和改進措施等經(jīng)驗總結(jié)，對于國內(nèi)網(wǎng)絡(luò)安全運營工作有者重要的指導(dǎo)意義。中測安華也在實踐中借鑒了美國網(wǎng)絡(luò)風(fēng)暴演習(xí)的經(jīng)驗，不斷豐富完善持續(xù)風(fēng)險監(jiān)測體系中協(xié)同機制的內(nèi)涵和外延，從而有效提高該體系應(yīng)用單位跨部門、跨機構(gòu)的協(xié)同聯(lián)動效率。

本文將詳細介紹美國歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)的基本情況，以供網(wǎng)絡(luò)安全同行參考。

一、概述

網(wǎng)絡(luò)風(fēng)暴演習(xí)是美國國土安全部（DHS）主辦的大規(guī)模網(wǎng)絡(luò)安全系列演習(xí)活動，從2006年2月開始至今，共舉辦了7次（兩年一次）。網(wǎng)絡(luò)風(fēng)暴演習(xí)一般會包含為期為3天左右的實戰(zhàn)演習(xí)，演習(xí)結(jié)束后會進行戰(zhàn)后分析研討形成總結(jié)。網(wǎng)絡(luò)風(fēng)暴演習(xí)以美國為主導(dǎo)，涉及全球多個合作伙伴（主要是五眼聯(lián)盟、北約等國家），旨在加強公私領(lǐng)域、跨國間的網(wǎng)絡(luò)應(yīng)急協(xié)調(diào)和情報共享能力。網(wǎng)絡(luò)風(fēng)暴系列演習(xí)重點演練參演方對網(wǎng)絡(luò)攻擊的準備，防護和應(yīng)急響應(yīng)能力，評估信息共享機制和通信途徑等。

二、歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)介紹

1. 網(wǎng)絡(luò)風(fēng)暴I［3］

首次網(wǎng)絡(luò)風(fēng)暴演習(xí)于2006年2月6日至10日舉行，涉及能源，IT，運輸和通信行業(yè)，參演方包括五眼聯(lián)盟（澳大利亞，加拿大，新西蘭、英國、美國），多個州政府（密歇根州政府，蒙大拿州政府等），聯(lián)邦機構(gòu)（商務(wù)部，國防部等）等。演習(xí)目的是通過國家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG），進行機構(gòu)間的協(xié)調(diào)，確定影響應(yīng)急響應(yīng)和應(yīng)急恢復(fù)的策略問題以及在公私領(lǐng)域中重要的信息共享途徑和機制，不斷完善和促進根據(jù)響應(yīng)流程和程序進行的公私領(lǐng)域之間的合作溝通。

在演習(xí)的協(xié)調(diào)聯(lián)動方面，美國計算機應(yīng)急響應(yīng)小組（US-CERT）和國土安全運營中心（HSOC）發(fā)布重大預(yù)警警告時，國家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）和機構(gòu)間事件管理小組（IIMG）隨之啟動，國土安全部（DHS）和國家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）通過獲得的信息分析出總體的攻擊態(tài)勢，評估出對國家重要基礎(chǔ)設(shè)施的影響，對國家安全和經(jīng)濟利益的威脅，美國計算機應(yīng)急響應(yīng)小組（US-CERT）不僅被用作響應(yīng)信息的中轉(zhuǎn)中心，為國土安全部（DHS）和國家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）提供分析總體攻擊態(tài)勢的信息，而且在信息量過大且國家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）技術(shù)人員不足時，充當(dāng)分析總體攻擊態(tài)勢的職責(zé)。而各行業(yè)的信息分享和分析中心（ISAC）則會與該行業(yè)的參演人員相互溝通。

演習(xí)后的總結(jié)中提到，組織機構(gòu)間的威脅響應(yīng)需要進一步完善操作和協(xié)同程序，同時隨著網(wǎng)絡(luò)事件的不斷增加，響應(yīng)協(xié)調(diào)的難度也在增加。

2. 網(wǎng)絡(luò)風(fēng)暴II［4］

此次演習(xí)在2008年3月10日至14日舉行，涉及IT、通信，化工，運輸業(yè)，參演方包括五眼聯(lián)盟（澳大利亞，加拿大，新西蘭、英國、美國），多個州（加利福尼亞州，科羅拉多州等），聯(lián)邦機構(gòu)（國防部，能源部等）等。此次演習(xí)中，參演方可以評估自己對網(wǎng)絡(luò)攻擊的準備能力，防護能力和響應(yīng)能力以及決策和協(xié)調(diào)能力，評估信息共享機制及通信途徑。

在演習(xí)的協(xié)調(diào)聯(lián)動方面，參演人員在模擬的場景中（包括網(wǎng)絡(luò)中斷，通信中斷和控制系統(tǒng)出錯），通過標準化操作流程（SOP）及伙伴關(guān)系協(xié)同應(yīng)對網(wǎng)絡(luò)風(fēng)險。在演習(xí)過程中，國家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）作為威脅行動小組（CAT）的戰(zhàn)略顧問，為該小組提供相關(guān)的信息，幫助評估事件的影響并制定響應(yīng)要求，而威脅行動小組（CAT）則負責(zé)指揮應(yīng)急響應(yīng)。各個行業(yè)的信息共享和分析中心（ISAC）和美國計算機應(yīng)急響應(yīng)小組（US-CERT）作為協(xié)同的重要部分，幫助參與者進行溝通。

演習(xí)后的總結(jié)中提到，應(yīng)急通信的工具和相關(guān)方法需要進一步完善和加強，行業(yè)協(xié)調(diào)委員會（SCCs）、美國計算機應(yīng)急響應(yīng)小組（US-CERT）、國家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）及威脅行動小組（CAT）的職責(zé)需要進一步明確。

3. 網(wǎng)絡(luò)風(fēng)暴III［5］

此次演習(xí)在2010年9月27日至10月1日舉行，涉及化工，能源（電力）及運輸（鐵路）業(yè) 。參演方包括聯(lián)邦機構(gòu)（中情局，商務(wù)部等），多個州（加利福尼亞州，特拉華州等），12個國際伙伴（來自澳大利亞，加拿大［6］，新西蘭、英國及國際觀測和預(yù)警網(wǎng)絡(luò)（IWWN）成員國）等。此次演習(xí)是為了明確并演練處理流程、程序、合作及響應(yīng)機制，評估國土安全部（DHS）所承擔(dān)的角色以及國家網(wǎng)絡(luò)事件響應(yīng)計劃（NCIRP），評測協(xié)調(diào)和決策機制，找出信息共享中的問題等。

在演習(xí)的協(xié)調(diào)聯(lián)動方面，參演人員按照國家網(wǎng)絡(luò)事件響應(yīng)計劃（NCIRP）來應(yīng)對影響重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全威脅以及網(wǎng)絡(luò)攻擊活動。在演習(xí)中，參與者通過協(xié)調(diào)機構(gòu)來應(yīng)對風(fēng)險，其中協(xié)調(diào)機構(gòu)包括：國家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）和網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)小組（UCG），在化工、電力、IT和運輸行業(yè)，公司還可借助信息共享和分析中心（ISAC）、貿(mào)易協(xié)會、行業(yè)代理以及直接對接來進行跨行業(yè)分享信息。例如在運輸領(lǐng)域，私有企業(yè)通過信息分享和分析中心（ISAC）來與國家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）進行協(xié)同響應(yīng)。

演習(xí)后的總結(jié)中提到，參演方發(fā)現(xiàn)國家網(wǎng)絡(luò)事件響應(yīng)計劃（NCIRP）中涉及的處理過程、程序、角色和職責(zé)還需進一步完善。

4. 網(wǎng)絡(luò)風(fēng)暴IV［7］

此次演習(xí)從2011年11月延續(xù)到2014年1月，參演方包括國際觀測和預(yù)警網(wǎng)絡(luò)（IWWN）成員國（澳大利亞，加拿大，法國等），多個州（緬因州，俄勒岡州等）及其他企業(yè)和部門。此次演習(xí)是為了提高國家網(wǎng)絡(luò)事件響應(yīng)計劃（NCIRP）中的處理流程、程序、合作機制和信息分享機制，評估國土安全部（DHS）及其相關(guān)部門在全球網(wǎng)絡(luò)事件中的作用，演練協(xié)調(diào)機制，評估信息共享的能力以及決策程序。本次演習(xí)的具體形式較之前有所變化，由小型研討會、紙上推演、實戰(zhàn)演練等15個演練活動組成。

演習(xí)后的總結(jié)中提到，參演方發(fā)現(xiàn)信息共享和溝通中依舊存在問題，并且一些參演方不了解有哪些資源可用，以及如何獲取到資源。

5. 網(wǎng)絡(luò)風(fēng)暴V［8］

此次演習(xí)在2016年3月7日至11日舉行，包括3天的實戰(zhàn)演習(xí)，主要涉及IT、通信、醫(yī)療保障和公共健康、商業(yè)設(shè)施（零售子領(lǐng)域）領(lǐng)域。參演方包括聯(lián)邦機構(gòu)（國土安全部（DHS），國防部等），多個州（阿拉巴馬州，科羅拉多州等），12個國際合作伙伴（新西蘭國家網(wǎng)絡(luò)安全中心，日本國家信息安全中心等），約70家私營企業(yè)（亞馬遜，沃爾瑪?shù)龋┖蛥f(xié)調(diào)機構(gòu)（統(tǒng)一協(xié)調(diào)小組（UCG）等）。此次演習(xí)是為了演練協(xié)調(diào)機制、決策的程序、評估信息共享能力以及對態(tài)勢的認知能力，評估國土安全部（DHS）及其他政府部門在網(wǎng)絡(luò)事件中的角色和職能等。

參演人員根據(jù)內(nèi)部的策略和程序、外部的報告要求和協(xié)調(diào)機制（例如，向信息共享和分析組織（ISAO）或信息共享和分析中心（ISAC）發(fā)送報告）進行響應(yīng)。當(dāng)演習(xí)規(guī)模達到國家級別（National Level），國家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）所指揮的統(tǒng)一協(xié)調(diào)小組（UCG）便會啟動。而統(tǒng)一協(xié)調(diào)小組（UCG）作為一種實時的應(yīng)急響應(yīng)機制，幫助公私部門進行溝通協(xié)調(diào)，增加對應(yīng)急事件的認識。

演習(xí)后的總結(jié)中提到，參演方發(fā)現(xiàn)在信息共享方面，還是面臨著一些問題，例如共享的途徑或信息的及時性，以及國土安全部（DHS）和國家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）應(yīng)該進一步完善他們處理流程、程序和綜合能力。

6. 網(wǎng)絡(luò)風(fēng)暴VI［9］

此次演習(xí)在2018年4月舉行，歷時7天，其中包含3天的實戰(zhàn)演習(xí)，主要涉及IT、交通、通信以及重要的制造業(yè)。參演方包括聯(lián)邦機構(gòu)、州、國際合作伙伴、執(zhí)法部門、情報機構(gòu)和國防部。

此次演習(xí)是為了演練協(xié)調(diào)機制，評估國家網(wǎng)絡(luò)事件響應(yīng)計劃（NCIRP）的效果及信息共享機制，評估國土安全部（DHS）的角色和職能，幫助參演方提高處理流程、程序、協(xié)作能力及信息共享機制。

截至目前，尚沒有本次演習(xí)活動相關(guān)的官方總結(jié)資料。

7. 網(wǎng)絡(luò)風(fēng)暴2020［10］

此次演習(xí)在2020年8月舉行，包括3天的實戰(zhàn)演習(xí)，主要涉及化工、通信、金融服務(wù)、醫(yī)療保健和公共衛(wèi)生、IT、運輸業(yè)及關(guān)鍵的制造業(yè)等。包括聯(lián)邦機構(gòu)，州政府和地方政府以及一些重要基礎(chǔ)設(shè)施領(lǐng)域的合作伙伴等200余家的超過2萬名人員參與其中，達到歷屆演習(xí)活動之最［11］。

此次演習(xí)是為了測試國家網(wǎng)絡(luò)安全計劃和策略并評估其實際效果，旨在加強信息共享和協(xié)作機制，加強公私領(lǐng)域的合作關(guān)系，完善有關(guān)通信網(wǎng)絡(luò)應(yīng)急響應(yīng)的通信策略。

截至目前，尚沒有本次演習(xí)活動的相關(guān)官方總結(jié)資料。

三、歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)總結(jié)與分析

綜合上述關(guān)于歷屆演習(xí)活動的資料，必達實驗室對7次網(wǎng)絡(luò)風(fēng)暴演習(xí)情況進行了分析總結(jié)：

1. 協(xié)調(diào)聯(lián)動在應(yīng)急響應(yīng)中發(fā)揮著重要作用

無論是在前期網(wǎng)絡(luò)風(fēng)暴演習(xí)目標的制定還是演習(xí)后的研討會中，協(xié)調(diào)聯(lián)動一直被關(guān)注和討論，同時協(xié)調(diào)聯(lián)動方面在歷次演習(xí)中也往往是最容易暴露問題的地方。在應(yīng)急事件處置過程中，（來自不同國家或者組織的）不同單位之間的進行有效的協(xié)調(diào)聯(lián)動是非常重要的。只有相互緊密合作，才能充分發(fā)揮各方的職能。

2. 信息共享極為關(guān)鍵，對應(yīng)急響應(yīng)效果作用明顯

信息共享出現(xiàn)問題會嚴重制約應(yīng)急響應(yīng)效果。從歷次的網(wǎng)絡(luò)風(fēng)暴演習(xí)中，我們可以發(fā)現(xiàn)信息共享在應(yīng)急響應(yīng)中既是重點也是難點。其中在信息共享過程中所涉及的時效性，信息的敏感度，對通信工具的熟悉度，信息的質(zhì)量等都會影響彼此的聯(lián)通協(xié)作，最終影響應(yīng)急響應(yīng)的效果。

3. 流程機制的完善與迭代是協(xié)同防御改進的重點

歷次演習(xí)活動所涉及的新威脅、新場景和新技術(shù)不斷變化，在演習(xí)總結(jié)中，流程機制的改善一直都被提及。顯而易見，伴隨著每次演習(xí)活動的目標、關(guān)注領(lǐng)域和參演方的不同，具體應(yīng)急響應(yīng)的機制流程也面臨實際工作挑戰(zhàn)，這就給主要的網(wǎng)絡(luò)安全部門如，國土安全部（DHS）和國家網(wǎng)絡(luò)安全與通信集成中心（NCCIC），帶來了新的協(xié)同防御工作要求，同時網(wǎng)絡(luò)威脅的不斷發(fā)展，攻擊手段的不斷更新，也要求相關(guān)部門不斷的去適應(yīng)和優(yōu)化國家網(wǎng)絡(luò)事件響應(yīng)計劃（NCIRP）。

四、帶給我們的思考

根據(jù)對美國歷次“網(wǎng)絡(luò)風(fēng)暴”演習(xí)的分析可以發(fā)現(xiàn)，美國政府在應(yīng)對嚴重網(wǎng)絡(luò)安全威脅過程中十分注重機構(gòu)間網(wǎng)絡(luò)安全防御的協(xié)同聯(lián)動，側(cè)面也反映出美國政府在協(xié)同聯(lián)動中在信息共享、組織協(xié)調(diào)等方面的問題。鑒于此，我們在應(yīng)對未來嚴峻的網(wǎng)絡(luò)威脅時，需要重視各級組織機構(gòu)間的協(xié)調(diào)，各種設(shè)備系統(tǒng)之間的聯(lián)動以及各類安全數(shù)據(jù)的協(xié)同，也要通過不斷應(yīng)急演練來完善相應(yīng)的流程和機制。

▲持續(xù)風(fēng)險監(jiān)測體系

必達實驗室通過對美國等發(fā)達國家網(wǎng)絡(luò)安全政策和行動的跟蹤研究過程中也深刻認識到協(xié)同聯(lián)動在網(wǎng)絡(luò)安全防御中的重要作用，并根據(jù)長期的網(wǎng)絡(luò)安全實踐建立了以“持續(xù)風(fēng)險監(jiān)測”理念為指導(dǎo)的安全運營框架，將人員、設(shè)備和數(shù)據(jù)三者的協(xié)同機制作為持續(xù)風(fēng)險監(jiān)測的核心之一引入到網(wǎng)絡(luò)安全運營工作中，構(gòu)建系統(tǒng)化網(wǎng)絡(luò)安全防御能力。

中英文縮寫對照表

標準化操作流程（Standard Operating Procedure-SOP）

國際觀測和預(yù)警網(wǎng)絡(luò)（International Watch and Warning Network-IWWN）

國家網(wǎng)絡(luò)安全與通信集成中心（National Cybersecurity and Communications Integration Center-NCCIC）

國家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（National Cyber Response Coordination Group -NCRCG）

國家網(wǎng)絡(luò)事件響應(yīng)計劃（National Cyber Incident Response Plan-NCIRP）

國土安全運營中心（Homeland Security Operations Center-HSOC）

國土安全部（Department of Homeland Security-DHS）

行業(yè)協(xié)調(diào)委員會（Sector Coordinating Councils-SCCs）

機構(gòu)間事件管理小組（Interagency Incident Management Group-IIMG）

美國計算機應(yīng)急響應(yīng)小組（United States Computer Emergency Readiness Team-US-CERT）

威脅行動小組（Crisis Action Team-CAT）

信息分享和分析中心（Information Sharing and Analysis Center-ISAC）

信息共享和分析組織（Information Sharing and Analysis Organizations-ISAO）
責(zé)編AJX