《美国“网络风暴”系列演习相关情况概览及分析》由会员分享,可在线阅读,更多相关《美国“网络风暴”系列演习相关情况概览及分析(6页珍藏版)》请在金锄头文库上搜索。
1、【外军动态】美国“网络风暴”系列演习(CyberStorm )相关情况概览及分析2016-03-18 晓月无声 收藏,稍后阅读目录一、总体概览1. 基本情况2. 演习动机(应对针对关键基础设施的网络威胁)3. 法律支援(保障关键基础设施法律定义和执法框架)3.1 克林顿政府时期( 1992-2001 )3.2 布什政府时期( 2001-2008 )3.2 奥巴马政府时期( 2008-至今)二、网络风暴 1 演习( CYBERSTORM I )1. 基本情况2. 演习目标3. 演习场景设置4. 演习安排5. 重要发现三、网络风暴 2 演习( CYBERSTORM II )1. 基本情况2. 演习
2、目标3. 演习场景设置4. 演习计划5. 重要发现四、网络风暴 3 演习( CYBERSTORM III )1. 基本情况2. 演习目标3. 演习计划4. 演习场景设置5. 重要发现五、总体分析1. 事件触发,推动演习进程2. 立法保障,铺平法律基础3. 逐步深入,“网络北约”呼之欲出4. 重在协同,促进网络联合防御(作战)六、附件:“网络风暴 3”演习参演单位列表一、总体概览1. 基本情况 “网络风暴”系列演习从 2006 年开始实施,迄今已经举行过 3 次。演习分为攻、防两组进 行模拟网络攻防战。 攻方通过网络技术甚至物理破坏手段, 大肆攻击能源、 信息科技、 金融、 交通等关键基础设施,
3、 以及关键、 敏感民营公司网络的模拟仿真环境; 守方负责搜集攻击部 门的反映信息,及时协调,制定对策。演习的主要目标,不同与国际和国内众多的CTF (攻防比赛)以选拔技术人才为主,“网络风暴”系列演习更加侧重于考察跨国家、 政府机构、 公司部门等的针对罐基础设施遭到网络 攻击的情况下的协调应急能力 (主要为处理两个关系: 政府和私营伙伴之间的关系; 政府和 其在州、地区以及国际政府伙伴之间的关系。 )主要的考察指标为:1. 看预案的设置是否合理,持续改进预案成熟度;2. 看公 -私营伙伴之间、政府部门之间网络安全信息共享是否充分、及时;3. 看应急团队对网络攻击的最终处理效果(补救用时、产生损
4、失)。参演单位:1. 政府部门(如国防部、财政部、交通部、国家安全局等)2. 行业信息共享和分析中心(各种行业的ISAC )3. 州、国际政府伙伴(如蒙塔纳州、五眼联盟政府等)4. 私营合作伙伴(如关键基础设施类企业以及高科技企业)2. 演习动机(应对针对关键基础设施的网络威胁)美国经历过 9.11 恐怖袭击后,首次将“恐怖主义”和“网络威胁”认定为国家面临的首要 威胁,并认为“关键基础设施”将是“恐怖主义”和“网络威胁”的主要目标。所以,布什 政府在 2001年 9.11事件后马上发布了第 13231号行政令 - 信息时代的关键基础设施保护 并宣布成立“总统关键基础设施保护委员会” ,由其代
5、表政府全面负责关键基础设施安全工 作,该职能后由新成立的国土安全部(DHS )接管。该演习就是美国土安全部 (DHS)为了推动关键基础设施安全监测、应急响应能力,而举行 的一个多国家、多联邦政府部门、多安全能力机构、多私营企业等的一些协同演练。3. 法律支撑(保障关键基础设施法律定义和执法框架)为保障关键基础设施安全, 美国自克林顿政府以来, 出台了较多法律文件, 下面分阶段进行 介绍:3.1 克林顿政府时期( 1992-2001 )1.1996 年 7月,颁布第 13010 号行政令, 初步划定了关键基础设施的范围 (主要包括: 电信、 电力系统、天然气及石油的存储和运输、银行和金融、交通运
6、输、供水系统、紧急服务、政 府连续性等 8 类);2.1998 年 5月,颁布 63 号总统令,明确相关责任部门;3.2 布什政府时期( 2001-2008 )1.2001 年 10 月,颁布了第 13231 号行政令,成立了“总统关键基础设施保护委员会”作为 具体责任部门;2.2002年11月,颁布了国土安全法,成立了国土安全部(DHS )具体负责关键基础设施 安全工作(其子部门国家网络安全通信整合中心 CNNIC 具体负责) ;3.2003 年 2 月,颁布了关键基础设施和重要资产物理保护国家战略 ,明确了政府和私营 机构在保护关键基础设施方面的不同职责;4.2006 年 6月,颁布了国家
7、基础设施保护计划 ,为政府和私营机构提供了关键基础设施 保障的实施框架;3.2 奥巴马政府时期( 2008-至今)1.2013 年 2 月,颁布了 13636号行政令提高关键基础设施的网络安全 ,明确要求国土安 全部(DHS )采取所示推进政企合作,以及网络安全信息共享机制的建立;2.2013 年 2月, 颁布了第 21 号总统令 提高关键基础设施的安全性和恢复力 ,重新确定了16 类关键基础设施领域(包括:化学、商业设施、通信、关键制造、水利、国防工业基地、 应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核 反应堆、材料和废弃物、运输系统以及污水处理) 。二、
8、网络风暴 1 演习( CyberStorm I )1. 基本情况演习时间: 10(5 天); 组织单位:国土安全部国家网络安全局(DHS NCSD )演习目的: 提升联邦、州、 国际政府以及私营部门之间,应对网络空间重大攻击事件的应急 响应能力;参演方:5眼联盟成员、11个联邦部门、4个州政府、9个IT公司、6个电力公司、2个民 航公司以及 4个行业信息共享和分析中心( 300余人);演习内容:绝密级,目前尚未公开;攻击手段: DoS、 BOTNET 、 FISHING 、黑客入侵、域名重放、电子攻击等; 演习场所:指挥部设在华盛顿,具体演习场所共60 余处。2. 演习目标1. 提升国家应急团
9、队协作能力-跨政府事件管理中心( IIMG )-国家网络应急协调中心( NCRCG )2. 提升政府内部以及政府之间的协调响应能力-国内:联邦政府 & 州政府-国际:五眼联盟3. 提升公 -私部门之间的协同能力;4. 识别、定义可能影响应急、恢复能力的策略;5. 识别、定义关键网络安全信息共享的路径和框架;6. 提升对网络安全事件可能造成电力系统破坏的安全意识。3. 演习场景设置1. 利用网络攻击(手段包括工业控制系统、网络、软件、社会工程学),摧毁能源和交通运输基础设施组件;2. 利用网络攻击,破坏联邦政府、州政府以及五眼联盟政府网络。4. 演习安排“网络风暴” 1 演习从 2006 年 2
10、 月 6 日到 10 日,共 5 天时间,期间攻守两方会有各有具体 职责安排,如下图所示:在这5天攻防对抗中,攻守双方会在54个场景中(包括:运输、电信、能源、IT、州政府、五眼联盟),演练不同层面的协同应急响应能力,具体如下图所示:5. 重要发现1. 联邦政府内部应急响应团队协作十分重要;2制定业务连续性预案(BCP )以及常态化风险评估工作十分重要;3. 公私营机构之间的协同、信息共享十分重要;4需要建立通用的应急响应和信息获取框架;5需要进一步优化应急响应体系中的过程、工具和技术。三、网络风暴 2 演习( CyberStorm II )1基本情况演习时间:14( 5 天);组织单位:国土
11、安全部国家网络安全局( DHS NCSD ) 演习目的: 提升联邦、州、 国际政府以及私营部门之间,应对网络空间重大攻击事件的应急 响应能力;参演方: 5 眼联盟成员、 14 个联邦部门、 7 个州政府、 2 个国家实验室、 6 个电力公司、 2 个民航公司、 3 个铁路公司以及 9 个行业信息共享和分析中心; 演习内容:绝密级,目前尚未公开;攻击手段:较网络风暴 1 演习,加入物理攻击手段; 演习场所:指挥部设在华盛顿(国土安全部特情局DHS USSS)。2. 演习目标 在目标设置上,本演习相较网络风暴 1 演习,区别在于:1. 更加注重国际政府之间的应急响应协调能力演练;2. 更加注重态势
12、感知、响应、恢复等关键信息的分享机制的建立;3. 更加注重尝试敏感、涉密信息分享的安全机制设立。3 演习场景设置本次演习主要围绕三个想定的场景设置:1. 互联网中断;2. 通信中断;3. 工业控制系统问题。4 演习计划 本演习共经过了 18 个月的计划编制,具体如下表所示:5 重要发现在网络风暴 1 演习制定预案、跨部门协同、信息共享等重要发现的基础上,又提出了:1. 不同部门之间必须深入理解对方的较色、责任和需求,从而促进预案成熟度的提升;2. 物理和网络具有互依赖性(破坏物理特性会影响网路功能,破坏网络功能会造成物理损 伤);3. 明确单位的角色和责任的边界(行业协调委员会、信息共享和分析
13、中心、US-CERT 、ICS-CERT 、国家网络响应协调中心等单位职责模糊不清,会严重降低应急响应的效率);4. 良好的策略和程序,是跨部门协同和信息共享的关键;5. 大规模网络攻击事件的公共事务处理,需要联邦政府、技术专家、行业机构的合作,从而 有效的教育、通知和指导公众。四、网络风暴 3 演习( CyberStorm III )1. 基本情况演习时间: (5 天); 组织单位:国土安全部国家网络安全局(DHS NCSD )演习目的: 提升联邦、州、 国际政府以及私营部门之间,应对网络空间重大攻击事件的应急 响应能力;参演方: 12个国际政府机构、 12 个联邦部门、 13个州政府、 6
14、0家私营企业( 2000余人); 演习内容:绝密级,目前尚未公开;攻击手段:较网络风暴 1 演习,加入物理攻击手段; 演习场所:指挥部设在华盛顿。2. 演习目标 本次演习是国家网络安全通信整合中心( NCCIC ,美国土安全部下属机构)成立后的第一 次演练,是对其协调组织能力( US-CERT 、ICS-CERT 均为其子部门)以及相关计划(如国家网络事件应急响应计划 NCIRP 等)可行性的一次检验,主要目标包括:1. 演练“国家网络事件应急响应计划” (NCIRP );2. 演练针对网络事件,美国土安全部( DHS )的整体职责、较色;3. 演练跨机构间的信息共享事务;4. 演练跨机构间的
15、行政、技术协调事务。3. 演习计划4. 演习场景设置1. 互联网场景:互联网关键更新服务被攻陷(如微软周二补丁更新,各种数据源等);2. 关键基础设施场景:能源管理系统(EMS )被攻陷(可以通过设置逻辑炸弹的形式) ;3. 关键基础设施场景:化学和运输类行业订单系统被攻陷,影响生产和货物运输;4. 联邦政府场景:阻碍联邦政府正常网络功能(如通过DDoS ),并发布虚假信息;5. 国际合作场景:模拟澳大利亚和加拿大遭受黑客攻击;6. 国防部场景:模拟感染病毒笔记本接入国防部内部网络,从而攻陷国防部访问节点;7. 公共事务场景:随着攻击的深入,展开公众报道;8. 州政府场景:模拟黑客试图中断政府服务,并尝试获取敏感信息(如身份信息等)。5 重要发现1. 国家网络事件应急响应计划( NCIRP )提供了事件响应框架,不过成熟度仍需要提升;2. 私营部门之间的响应合作已经比较默契,公私营机构之间的合作仍然需要提升;3. 需要在所有利益相关方之间共享一个态势感知图谱,从而支持决策,这被称为通用操作图 (COP);
