對(duì)比美國(guó)歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)，分析我國(guó)網(wǎng)絡(luò)安全工作應(yīng)吸取的經(jīng)驗(yàn)

據(jù)多家媒體報(bào)道［1，2］，2020年8月中旬，美國(guó)組織了為期三天的網(wǎng)絡(luò)風(fēng)暴演習(xí)（Cyber Storm Exercise）2020。網(wǎng)絡(luò)風(fēng)暴演習(xí)是美國(guó)國(guó)土安全部（DHS）定期組織的系列大型網(wǎng)絡(luò)安全演習(xí)活動(dòng)，至今已舉辦七屆。作為網(wǎng)絡(luò)空間安全演習(xí)、攻防對(duì)抗的標(biāo)桿之一，該活動(dòng)的舉辦對(duì)于提高參演方應(yīng)急響應(yīng)能力有著非常重要的作用，對(duì)于我國(guó)網(wǎng)絡(luò)安全從業(yè)者及安全管理部門都有著重要的借鑒學(xué)習(xí)作用。

作為企業(yè)的內(nèi)設(shè)研究機(jī)構(gòu)，中測(cè)安華必達(dá)實(shí)驗(yàn)室在整理歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)情況的基礎(chǔ)上，對(duì)歷屆的演習(xí)主旨以及演習(xí)中發(fā)現(xiàn)的問題進(jìn)行分析總結(jié)后發(fā)現(xiàn)：第一，協(xié)調(diào)聯(lián)動(dòng)的主旨貫穿始終，對(duì)于應(yīng)急響應(yīng)尤其重要;第二，信息共享在演習(xí)中極為關(guān)鍵，對(duì)應(yīng)急響應(yīng)效果作用明顯;第三，防御協(xié)同流程機(jī)制一直在優(yōu)化，針對(duì)新威脅、新場(chǎng)景和新技術(shù)的趨勢(shì)需要不斷完善。以上表明，美國(guó)政府對(duì)協(xié)同、共享非常重視，在歷屆演習(xí)中所暴露的與之相關(guān)的問題和改進(jìn)措施等經(jīng)驗(yàn)總結(jié)，對(duì)于國(guó)內(nèi)網(wǎng)絡(luò)安全運(yùn)營(yíng)工作有者重要的指導(dǎo)意義。中測(cè)安華也在實(shí)踐中借鑒了美國(guó)網(wǎng)絡(luò)風(fēng)暴演習(xí)的經(jīng)驗(yàn)，不斷豐富完善持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)體系中協(xié)同機(jī)制的內(nèi)涵和外延，從而有效提高該體系應(yīng)用單位跨部門、跨機(jī)構(gòu)的協(xié)同聯(lián)動(dòng)效率。

本文將詳細(xì)介紹美國(guó)歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)的基本情況，以供網(wǎng)絡(luò)安全同行參考。

一、概述

網(wǎng)絡(luò)風(fēng)暴演習(xí)是美國(guó)國(guó)土安全部（DHS）主辦的大規(guī)模網(wǎng)絡(luò)安全系列演習(xí)活動(dòng)，從2006年2月開始至今，共舉辦了7次（兩年一次）。網(wǎng)絡(luò)風(fēng)暴演習(xí)一般會(huì)包含為期為3天左右的實(shí)戰(zhàn)演習(xí)，演習(xí)結(jié)束后會(huì)進(jìn)行戰(zhàn)后分析研討形成總結(jié)。網(wǎng)絡(luò)風(fēng)暴演習(xí)以美國(guó)為主導(dǎo)，涉及全球多個(gè)合作伙伴（主要是五眼聯(lián)盟、北約等國(guó)家），旨在加強(qiáng)公私領(lǐng)域、跨國(guó)間的網(wǎng)絡(luò)應(yīng)急協(xié)調(diào)和情報(bào)共享能力。網(wǎng)絡(luò)風(fēng)暴系列演習(xí)重點(diǎn)演練參演方對(duì)網(wǎng)絡(luò)攻擊的準(zhǔn)備，防護(hù)和應(yīng)急響應(yīng)能力，評(píng)估信息共享機(jī)制和通信途徑等。

二、歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)介紹

1. 網(wǎng)絡(luò)風(fēng)暴I［3］

首次網(wǎng)絡(luò)風(fēng)暴演習(xí)于2006年2月6日至10日舉行，涉及能源，IT，運(yùn)輸和通信行業(yè)，參演方包括五眼聯(lián)盟（澳大利亞，加拿大，新西蘭、英國(guó)、美國(guó)），多個(gè)州政府（密歇根州政府，蒙大拿州政府等），聯(lián)邦機(jī)構(gòu)（商務(wù)部，國(guó)防部等）等。演習(xí)目的是通過國(guó)家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG），進(jìn)行機(jī)構(gòu)間的協(xié)調(diào)，確定影響應(yīng)急響應(yīng)和應(yīng)急恢復(fù)的策略問題以及在公私領(lǐng)域中重要的信息共享途徑和機(jī)制，不斷完善和促進(jìn)根據(jù)響應(yīng)流程和程序進(jìn)行的公私領(lǐng)域之間的合作溝通。

在演習(xí)的協(xié)調(diào)聯(lián)動(dòng)方面，美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）和國(guó)土安全運(yùn)營(yíng)中心（HSOC）發(fā)布重大預(yù)警警告時(shí)，國(guó)家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）和機(jī)構(gòu)間事件管理小組（IIMG）隨之啟動(dòng)，國(guó)土安全部（DHS）和國(guó)家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）通過獲得的信息分析出總體的攻擊態(tài)勢(shì)，評(píng)估出對(duì)國(guó)家重要基礎(chǔ)設(shè)施的影響，對(duì)國(guó)家安全和經(jīng)濟(jì)利益的威脅，美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）不僅被用作響應(yīng)信息的中轉(zhuǎn)中心，為國(guó)土安全部（DHS）和國(guó)家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）提供分析總體攻擊態(tài)勢(shì)的信息，而且在信息量過大且國(guó)家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）技術(shù)人員不足時(shí)，充當(dāng)分析總體攻擊態(tài)勢(shì)的職責(zé)。而各行業(yè)的信息分享和分析中心（ISAC）則會(huì)與該行業(yè)的參演人員相互溝通。

演習(xí)后的總結(jié)中提到，組織機(jī)構(gòu)間的威脅響應(yīng)需要進(jìn)一步完善操作和協(xié)同程序，同時(shí)隨著網(wǎng)絡(luò)事件的不斷增加，響應(yīng)協(xié)調(diào)的難度也在增加。

2. 網(wǎng)絡(luò)風(fēng)暴II［4］

此次演習(xí)在2008年3月10日至14日舉行，涉及IT、通信，化工，運(yùn)輸業(yè)，參演方包括五眼聯(lián)盟（澳大利亞，加拿大，新西蘭、英國(guó)、美國(guó)），多個(gè)州（加利福尼亞州，科羅拉多州等），聯(lián)邦機(jī)構(gòu)（國(guó)防部，能源部等）等。此次演習(xí)中，參演方可以評(píng)估自己對(duì)網(wǎng)絡(luò)攻擊的準(zhǔn)備能力，防護(hù)能力和響應(yīng)能力以及決策和協(xié)調(diào)能力，評(píng)估信息共享機(jī)制及通信途徑。

在演習(xí)的協(xié)調(diào)聯(lián)動(dòng)方面，參演人員在模擬的場(chǎng)景中（包括網(wǎng)絡(luò)中斷，通信中斷和控制系統(tǒng)出錯(cuò)），通過標(biāo)準(zhǔn)化操作流程（SOP）及伙伴關(guān)系協(xié)同應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)。在演習(xí)過程中，國(guó)家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）作為威脅行動(dòng)小組（CAT）的戰(zhàn)略顧問，為該小組提供相關(guān)的信息，幫助評(píng)估事件的影響并制定響應(yīng)要求，而威脅行動(dòng)小組（CAT）則負(fù)責(zé)指揮應(yīng)急響應(yīng)。各個(gè)行業(yè)的信息共享和分析中心（ISAC）和美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）作為協(xié)同的重要部分，幫助參與者進(jìn)行溝通。

演習(xí)后的總結(jié)中提到，應(yīng)急通信的工具和相關(guān)方法需要進(jìn)一步完善和加強(qiáng)，行業(yè)協(xié)調(diào)委員會(huì)（SCCs）、美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）、國(guó)家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（NCRCG）及威脅行動(dòng)小組（CAT）的職責(zé)需要進(jìn)一步明確。

3. 網(wǎng)絡(luò)風(fēng)暴III［5］

此次演習(xí)在2010年9月27日至10月1日舉行，涉及化工，能源（電力）及運(yùn)輸（鐵路）業(yè) 。參演方包括聯(lián)邦機(jī)構(gòu)（中情局，商務(wù)部等），多個(gè)州（加利福尼亞州，特拉華州等），12個(gè)國(guó)際伙伴（來自澳大利亞，加拿大［6］，新西蘭、英國(guó)及國(guó)際觀測(cè)和預(yù)警網(wǎng)絡(luò)（IWWN）成員國(guó)）等。此次演習(xí)是為了明確并演練處理流程、程序、合作及響應(yīng)機(jī)制，評(píng)估國(guó)土安全部（DHS）所承擔(dān)的角色以及國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（NCIRP），評(píng)測(cè)協(xié)調(diào)和決策機(jī)制，找出信息共享中的問題等。

在演習(xí)的協(xié)調(diào)聯(lián)動(dòng)方面，參演人員按照國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（NCIRP）來應(yīng)對(duì)影響重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全威脅以及網(wǎng)絡(luò)攻擊活動(dòng)。在演習(xí)中，參與者通過協(xié)調(diào)機(jī)構(gòu)來應(yīng)對(duì)風(fēng)險(xiǎn)，其中協(xié)調(diào)機(jī)構(gòu)包括：國(guó)家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）和網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)小組（UCG），在化工、電力、IT和運(yùn)輸行業(yè)，公司還可借助信息共享和分析中心（ISAC）、貿(mào)易協(xié)會(huì)、行業(yè)代理以及直接對(duì)接來進(jìn)行跨行業(yè)分享信息。例如在運(yùn)輸領(lǐng)域，私有企業(yè)通過信息分享和分析中心（ISAC）來與國(guó)家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）進(jìn)行協(xié)同響應(yīng)。

演習(xí)后的總結(jié)中提到，參演方發(fā)現(xiàn)國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（NCIRP）中涉及的處理過程、程序、角色和職責(zé)還需進(jìn)一步完善。

4. 網(wǎng)絡(luò)風(fēng)暴IV［7］

此次演習(xí)從2011年11月延續(xù)到2014年1月，參演方包括國(guó)際觀測(cè)和預(yù)警網(wǎng)絡(luò)（IWWN）成員國(guó)（澳大利亞，加拿大，法國(guó)等），多個(gè)州（緬因州，俄勒岡州等）及其他企業(yè)和部門。此次演習(xí)是為了提高國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（NCIRP）中的處理流程、程序、合作機(jī)制和信息分享機(jī)制，評(píng)估國(guó)土安全部（DHS）及其相關(guān)部門在全球網(wǎng)絡(luò)事件中的作用，演練協(xié)調(diào)機(jī)制，評(píng)估信息共享的能力以及決策程序。本次演習(xí)的具體形式較之前有所變化，由小型研討會(huì)、紙上推演、實(shí)戰(zhàn)演練等15個(gè)演練活動(dòng)組成。

演習(xí)后的總結(jié)中提到，參演方發(fā)現(xiàn)信息共享和溝通中依舊存在問題，并且一些參演方不了解有哪些資源可用，以及如何獲取到資源。

5. 網(wǎng)絡(luò)風(fēng)暴V［8］

此次演習(xí)在2016年3月7日至11日舉行，包括3天的實(shí)戰(zhàn)演習(xí)，主要涉及IT、通信、醫(yī)療保障和公共健康、商業(yè)設(shè)施（零售子領(lǐng)域）領(lǐng)域。參演方包括聯(lián)邦機(jī)構(gòu)（國(guó)土安全部（DHS），國(guó)防部等），多個(gè)州（阿拉巴馬州，科羅拉多州等），12個(gè)國(guó)際合作伙伴（新西蘭國(guó)家網(wǎng)絡(luò)安全中心，日本國(guó)家信息安全中心等），約70家私營(yíng)企業(yè)（亞馬遜，沃爾瑪?shù)龋┖蛥f(xié)調(diào)機(jī)構(gòu)（統(tǒng)一協(xié)調(diào)小組（UCG）等）。此次演習(xí)是為了演練協(xié)調(diào)機(jī)制、決策的程序、評(píng)估信息共享能力以及對(duì)態(tài)勢(shì)的認(rèn)知能力，評(píng)估國(guó)土安全部（DHS）及其他政府部門在網(wǎng)絡(luò)事件中的角色和職能等。

參演人員根據(jù)內(nèi)部的策略和程序、外部的報(bào)告要求和協(xié)調(diào)機(jī)制（例如，向信息共享和分析組織（ISAO）或信息共享和分析中心（ISAC）發(fā)送報(bào)告）進(jìn)行響應(yīng)。當(dāng)演習(xí)規(guī)模達(dá)到國(guó)家級(jí)別（National Level），國(guó)家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）所指揮的統(tǒng)一協(xié)調(diào)小組（UCG）便會(huì)啟動(dòng)。而統(tǒng)一協(xié)調(diào)小組（UCG）作為一種實(shí)時(shí)的應(yīng)急響應(yīng)機(jī)制，幫助公私部門進(jìn)行溝通協(xié)調(diào)，增加對(duì)應(yīng)急事件的認(rèn)識(shí)。

演習(xí)后的總結(jié)中提到，參演方發(fā)現(xiàn)在信息共享方面，還是面臨著一些問題，例如共享的途徑或信息的及時(shí)性，以及國(guó)土安全部（DHS）和國(guó)家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）應(yīng)該進(jìn)一步完善他們處理流程、程序和綜合能力。

6. 網(wǎng)絡(luò)風(fēng)暴VI［9］

此次演習(xí)在2018年4月舉行，歷時(shí)7天，其中包含3天的實(shí)戰(zhàn)演習(xí)，主要涉及IT、交通、通信以及重要的制造業(yè)。參演方包括聯(lián)邦機(jī)構(gòu)、州、國(guó)際合作伙伴、執(zhí)法部門、情報(bào)機(jī)構(gòu)和國(guó)防部。

此次演習(xí)是為了演練協(xié)調(diào)機(jī)制，評(píng)估國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（NCIRP）的效果及信息共享機(jī)制，評(píng)估國(guó)土安全部（DHS）的角色和職能，幫助參演方提高處理流程、程序、協(xié)作能力及信息共享機(jī)制。

截至目前，尚沒有本次演習(xí)活動(dòng)相關(guān)的官方總結(jié)資料。

7. 網(wǎng)絡(luò)風(fēng)暴2020［10］

此次演習(xí)在2020年8月舉行，包括3天的實(shí)戰(zhàn)演習(xí)，主要涉及化工、通信、金融服務(wù)、醫(yī)療保健和公共衛(wèi)生、IT、運(yùn)輸業(yè)及關(guān)鍵的制造業(yè)等。包括聯(lián)邦機(jī)構(gòu)，州政府和地方政府以及一些重要基礎(chǔ)設(shè)施領(lǐng)域的合作伙伴等200余家的超過2萬名人員參與其中，達(dá)到歷屆演習(xí)活動(dòng)之最［11］。

此次演習(xí)是為了測(cè)試國(guó)家網(wǎng)絡(luò)安全計(jì)劃和策略并評(píng)估其實(shí)際效果，旨在加強(qiáng)信息共享和協(xié)作機(jī)制，加強(qiáng)公私領(lǐng)域的合作關(guān)系，完善有關(guān)通信網(wǎng)絡(luò)應(yīng)急響應(yīng)的通信策略。

截至目前，尚沒有本次演習(xí)活動(dòng)的相關(guān)官方總結(jié)資料。

三、歷屆網(wǎng)絡(luò)風(fēng)暴演習(xí)總結(jié)與分析

綜合上述關(guān)于歷屆演習(xí)活動(dòng)的資料，必達(dá)實(shí)驗(yàn)室對(duì)7次網(wǎng)絡(luò)風(fēng)暴演習(xí)情況進(jìn)行了分析總結(jié)：

1. 協(xié)調(diào)聯(lián)動(dòng)在應(yīng)急響應(yīng)中發(fā)揮著重要作用

無論是在前期網(wǎng)絡(luò)風(fēng)暴演習(xí)目標(biāo)的制定還是演習(xí)后的研討會(huì)中，協(xié)調(diào)聯(lián)動(dòng)一直被關(guān)注和討論，同時(shí)協(xié)調(diào)聯(lián)動(dòng)方面在歷次演習(xí)中也往往是最容易暴露問題的地方。在應(yīng)急事件處置過程中，（來自不同國(guó)家或者組織的）不同單位之間的進(jìn)行有效的協(xié)調(diào)聯(lián)動(dòng)是非常重要的。只有相互緊密合作，才能充分發(fā)揮各方的職能。

2. 信息共享極為關(guān)鍵，對(duì)應(yīng)急響應(yīng)效果作用明顯

信息共享出現(xiàn)問題會(huì)嚴(yán)重制約應(yīng)急響應(yīng)效果。從歷次的網(wǎng)絡(luò)風(fēng)暴演習(xí)中，我們可以發(fā)現(xiàn)信息共享在應(yīng)急響應(yīng)中既是重點(diǎn)也是難點(diǎn)。其中在信息共享過程中所涉及的時(shí)效性，信息的敏感度，對(duì)通信工具的熟悉度，信息的質(zhì)量等都會(huì)影響彼此的聯(lián)通協(xié)作，最終影響應(yīng)急響應(yīng)的效果。

3. 流程機(jī)制的完善與迭代是協(xié)同防御改進(jìn)的重點(diǎn)

歷次演習(xí)活動(dòng)所涉及的新威脅、新場(chǎng)景和新技術(shù)不斷變化，在演習(xí)總結(jié)中，流程機(jī)制的改善一直都被提及。顯而易見，伴隨著每次演習(xí)活動(dòng)的目標(biāo)、關(guān)注領(lǐng)域和參演方的不同，具體應(yīng)急響應(yīng)的機(jī)制流程也面臨實(shí)際工作挑戰(zhàn)，這就給主要的網(wǎng)絡(luò)安全部門如，國(guó)土安全部（DHS）和國(guó)家網(wǎng)絡(luò)安全與通信集成中心（NCCIC），帶來了新的協(xié)同防御工作要求，同時(shí)網(wǎng)絡(luò)威脅的不斷發(fā)展，攻擊手段的不斷更新，也要求相關(guān)部門不斷的去適應(yīng)和優(yōu)化國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（NCIRP）。

四、帶給我們的思考

根據(jù)對(duì)美國(guó)歷次“網(wǎng)絡(luò)風(fēng)暴”演習(xí)的分析可以發(fā)現(xiàn)，美國(guó)政府在應(yīng)對(duì)嚴(yán)重網(wǎng)絡(luò)安全威脅過程中十分注重機(jī)構(gòu)間網(wǎng)絡(luò)安全防御的協(xié)同聯(lián)動(dòng)，側(cè)面也反映出美國(guó)政府在協(xié)同聯(lián)動(dòng)中在信息共享、組織協(xié)調(diào)等方面的問題。鑒于此，我們?cè)趹?yīng)對(duì)未來嚴(yán)峻的網(wǎng)絡(luò)威脅時(shí)，需要重視各級(jí)組織機(jī)構(gòu)間的協(xié)調(diào)，各種設(shè)備系統(tǒng)之間的聯(lián)動(dòng)以及各類安全數(shù)據(jù)的協(xié)同，也要通過不斷應(yīng)急演練來完善相應(yīng)的流程和機(jī)制。

▲持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)體系

必達(dá)實(shí)驗(yàn)室通過對(duì)美國(guó)等發(fā)達(dá)國(guó)家網(wǎng)絡(luò)安全政策和行動(dòng)的跟蹤研究過程中也深刻認(rèn)識(shí)到協(xié)同聯(lián)動(dòng)在網(wǎng)絡(luò)安全防御中的重要作用，并根據(jù)長(zhǎng)期的網(wǎng)絡(luò)安全實(shí)踐建立了以“持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)”理念為指導(dǎo)的安全運(yùn)營(yíng)框架，將人員、設(shè)備和數(shù)據(jù)三者的協(xié)同機(jī)制作為持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)的核心之一引入到網(wǎng)絡(luò)安全運(yùn)營(yíng)工作中，構(gòu)建系統(tǒng)化網(wǎng)絡(luò)安全防御能力。

中英文縮寫對(duì)照表

標(biāo)準(zhǔn)化操作流程（Standard Operating Procedure-SOP）

國(guó)際觀測(cè)和預(yù)警網(wǎng)絡(luò)（International Watch and Warning Network-IWWN）

國(guó)家網(wǎng)絡(luò)安全與通信集成中心（National Cybersecurity and Communications Integration Center-NCCIC）

國(guó)家網(wǎng)絡(luò)響應(yīng)協(xié)調(diào)小組（National Cyber Response Coordination Group -NCRCG）

國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（National Cyber Incident Response Plan-NCIRP）

國(guó)土安全運(yùn)營(yíng)中心（Homeland Security Operations Center-HSOC）

國(guó)土安全部（Department of Homeland Security-DHS）

行業(yè)協(xié)調(diào)委員會(huì)（Sector Coordinating Councils-SCCs）

機(jī)構(gòu)間事件管理小組（Interagency Incident Management Group-IIMG）

美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（United States Computer Emergency Readiness Team-US-CERT）

威脅行動(dòng)小組（Crisis Action Team-CAT）

信息分享和分析中心（Information Sharing and Analysis Center-ISAC）

信息共享和分析組織（Information Sharing and Analysis Organizations-ISAO）
責(zé)編AJX