发布时间 : 星期二 文章美国“网络风暴”系列演习(CyberStorm)相关情况概览及分析更新完毕开始阅读
【外军动态】美国“网络风暴”系列演习(CyberStorm)相关情况概览及分析 2016-03-18 晓月无声 收藏,稍后阅读 目录
一、总体概览 1.基本情况
2.演习动机(应对针对关键基础设施的网络威胁) 3.法律支援(保障关键基础设施法律定义和执法框架) 3.1克林顿政府时期(1992-2001) 3.2布什政府时期(2001-2008) 3.2奥巴马政府时期(2008-至今)
二、网络风暴1演习(CYBERSTORM I) 1.基本情况 2.演习目标 3.演习场景设置 4.演习安排 5.重要发现
三、网络风暴2演习(CYBERSTORM II) 1.基本情况 2.演习目标 3.演习场景设置 4.演习计划 5.重要发现
四、网络风暴3演习(CYBERSTORM III) 1.基本情况 2.演习目标 3.演习计划 4.演习场景设置 5.重要发现 五、总体分析
1.事件触发,推动演习进程 2.立法保障,铺平法律基础 3.逐步深入,“网络北约”呼之欲出
4.重在协同,促进网络联合防御(作战) 六、附件:“网络风暴3”演习参演单位列表 一、总体概览 1.基本情况
“网络风暴”系列演习从2006年开始实施,迄今已经举行过3次。演习分为攻、防两组进行模拟网络攻防战。攻方通过网络技术甚至物理破坏手段,大肆攻击能源、信息科技、金融、交通等关键基础设施,以及关键、敏感民营公司网络的模拟仿真环境;守方负责搜集攻击部门的反映信息,及时协调,制定对策。
演习的主要目标,不同与国际和国内众多的CTF(攻防比赛)以选拔技术人才为主,“网络风暴”系列演习更加侧重于考察跨国家、政府机构、公司部门等的针对罐基础设施遭到网络
攻击的情况下的协调应急能力(主要为处理两个关系:政府和私营伙伴之间的关系;政府和其在州、地区以及国际政府伙伴之间的关系。) 主要的考察指标为:",",",",",",",",
1.看预案的设置是否合理,持续改进预案成熟度;
2.看公--私营伙伴之间、政府部门之间网络安全信息共享是否充分、及时; 3.看应急团队对网络攻击的最终处理效果(补救用时、产生损失)。 参演单位:
1.政府部门(如国防部、财政部、交通部、国家安全局等) 2.行业信息共享和分析中心(各种行业的ISAC)
3.州、国际政府伙伴(如蒙塔纳州、五眼联盟政府等) 4.私营合作伙伴(如关键基础设施类企业以及高科技企业) 2.演习动机(应对针对关键基础设施的网络威胁)
美国经历过9.11恐怖袭击后,首次将“恐怖主义”和“网络威胁”认定为国家面临的首要威胁,并认为“关键基础设施”将是“恐怖主义”和“网络威胁”的主要目标。所以,布什政府在2001年9.11事件后马上发布了第13231号行政令--《信息时代的关键基础设施保护》,
并宣布成立“总统关键基础设施保护委员会”,由其代表政府全面负责关键基础设施安全工作,该职能后由新成立的国土安全部(DHS)接管。
该演习就是美国土安全部(DHS)为了推动关键基础设施安全监测、应急响应能力,而举行的一个多国家、多联邦政府部门、多安全能力机构、多私营企业等的一些协同演练。 3.法律支撑(保障关键基础设施法律定义和执法框架)
为保障关键基础设施安全,美国自克林顿政府以来,出台了较多法律文件,下面分阶段进行介绍:
3.1克林顿政府时期(1992--2001) 1.1996年7月,颁布第13010号行政令,初步划定了关键基础设施的范围(主要包括:电信、电力系统、天然气及石油的存储和运输、银行和金融、交通运输、供水系统、紧急服务、政府连续性等8类);
2.1998年5月,颁布63号总统令,明确相关责任部门; 3.2布什政府时期(2001--2008)
1.2001年10月,颁布了第13231号行政令,成立了“总统关键基础设施保护委员会”作为具体责任部门;
2.2002年11月,颁布了《国土安全法》,成立了国土安全部(DHS)具体负责关键基础设施安全工作(其子部门国家网络安全通信整合中心 CNNIC具体负责); 3.2003年2月,颁布了《关键基础设施和重要资产物理保护国家战略》,明确了政府和私营机构在保护关键基础设施方面的不同职责;
4.2006年6月,颁布了《国家基础设施保护计划》,为政府和私营机构提供了关键基础设施保障的实施框架;
3.2奥巴马政府时期(2008--至今)
1.2013年2月,颁布了13636号行政令《提高关键基础设施的网络安全》,明确要求国土安全部(DHS)采取所示推进政企合作,以及网络安全信息共享机制的建立; 2.2013年2月,颁布了第21号总统令《提高关键基础设施的安全性和恢复力》,重新确定了16类关键基础设施领域(包括:化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、运输系统以及污水处理)。 二、网络风暴1演习( CyberStorm I)
1.基本情况
演习时间:2006.02.06—10(5天);
组织单位:国土安全部国家网络安全局(DHS NCSD)
演习目的:提升联邦、州、国际政府以及私营部门之间,应对网络空间重大攻击事件的应急响应能力;
参演方:5眼联盟成员、11个联邦部门、4个州政府、9个IT公司、6个电力公司、2个民航公司以及 4个行业信息共享和分析中心(300余人); 演习内容:绝密级,目前尚未公开;
攻击手段:DoS、BOTNET、FISHING、黑客入侵、域名重放、电子攻击等; 演习场所:指挥部设在华盛顿,具体演习场所共 60余处。 2.演习目标
1.提升国家应急团队协作能力 --跨政府事件管理中心(IIMG)
--国家网络应急协调中心(NCRCG)
2.提升政府内部以及政府之间的协调响应能力 --国内:联邦政府&州政府 --国际:五眼联盟
3.提升公-私部门之间的协同能力;
4.识别、定义可能影响应急、恢复能力的策略;
5.识别、定义关键网络安全信息共享的路径和框架;
6.提升对网络安全事件可能造成电力系统破坏的安全意识。 3.演习场景设置
1.利用网络攻击(手段包括工业控制系统、网络、软件、社会工程学),摧毁能源和交通运输基础设施组件;
2.利用网络攻击,破坏联邦政府、州政府以及五眼联盟政府网络。 4.演习安排
“网络风暴”1演习从2006年2月6日到10日,共5天时间,期间攻守两方会有各有具体职责安排,如下图所示:
在这5天攻防对抗中,攻守双方会在54个场景中(包括:运输、电信、能源、IT、州政府、五眼联盟),演练不同层面的协同应急响应能力,具体如下图所示:
5.重要发现
1.联邦政府内部应急响应团队协作十分重要;
2.制定业务连续性预案(BCP)以及常态化风险评估工作十分重要; 3.公——私营机构之间的协同、信息共享十分重要; 4.需要建立通用的应急响应和信息获取框架;
5.需要进一步优化应急响应体系中的过程、工具和技术。 三、网络风暴2演习( CyberStorm II) 1.基本情况
演习时间:2008.03.10—14(5天);
组织单位:国土安全部国家网络安全局(DHS NCSD)
演习目的:提升联邦、州、国际政府以及私营部门之间,应对网络空间重大攻击事件的应急响应能力;
参演方:5眼联盟成员、14个联邦部门、7个州政府、2个国家实验室、6个电力公司、2个民航公司、3个铁路公司以及 9个行业信息共享和分析中心; 演习内容:绝密级,目前尚未公开;
攻击手段:较网络风暴 1演习,加入物理攻击手段;
演习场所:指挥部设在华盛顿(国土安全部特情局DHS USSS)。 2.演习目标
在目标设置上,本演习相较网络风暴 1演习,区别在于: 1.更加注重国际政府之间的应急响应协调能力演练;
2.更加注重态势感知、响应、恢复等关键信息的分享机制的建立; 3.更加注重尝试敏感、涉密信息分享的安全机制设立。 3演习场景设置
本次演习主要围绕三个想定的场景设置: 1.互联网中断; 2.通信中断;
3.工业控制系统问题。 4演习计划
本演习共经过了18个月的计划编制,具体如下表所示:
5重要发现
在网络风暴 1演习制定预案、跨部门协同、信息共享等重要发现的基础上,又提出了: 1.不同部门之间必须深入理解对方的较色、责任和需求,从而促进预案成熟度的提升; 2.物理和网络具有互依赖性(破坏物理特性会影响网路功能,破坏网络功能会造成物理损伤);
3.明确单位的角色和责任的边界(行业协调委员会、信息共享和分析中心、US-CERT、ICS-CERT、国家网络响应协调中心等单位职责模糊不清,会严重降低应急响应的效率); 4.良好的策略和程序,是跨部门协同和信息共享的关键;
5.大规模网络攻击事件的公共事务处理,需要联邦政府、技术专家、行业机构的合作,从而有效的教育、通知和指导公众。
四、网络风暴3演习( CyberStorm III) 1.基本情况
演习时间:2010.09.27—2010.10.01(5天);
组织单位:国土安全部国家网络安全局(DHS NCSD)
演习目的:提升联邦、州、国际政府以及私营部门之间,应对网络空间重大攻击事件的应急响应能力;
参演方:12个国际政府机构、12个联邦部门、13个州政府、60家私营企业(2000余人); 演习内容:绝密级,目前尚未公开;
攻击手段:较网络风暴 1演习,加入物理攻击手段; 演习场所:指挥部设在华盛顿。 2.演习目标
本次演习是国家网络安全通信整合中心(NCCIC,美国土安全部下属机构)成立后的第一次演练,是对其协调组织能力(US-CERT、ICS-CERT均为其子部门)以及相关计划(如国