美国关于网络安全的热门事件

据多家媒体报道，2020年8月中旬，美国组织了为期三天的网络风暴演习(2020)。网络风暴演习是由美国国土安全部(DHS)定期组织的一系列大规模网络安全演习，迄今已举行了7次。该活动作为网络空间安全演练和攻防对抗的标杆之一，对于提高参与者的应急响应能力有着非常重要的作用，对于借鉴我国网络安全从业人员和安全管理部门也有着重要的作用。

作为企业内部的研究机构，CCT安华必达实验室在梳理以往网络风暴演习的基础上，对以往演习的主题以及演习中发现的问题进行了分析总结，发现：一是协调联动的主题贯穿始终，对于应急响应尤为重要；第二，信息共享在演习中极其关键，对应急反应有明显作用；三是防御协同流程机制得到优化，需要针对新威胁、新场景、新技术趋势不断完善。以上说明美国政府非常重视合作与分享，以往演习中暴露出的相关问题和改进措施的经验总结对国内网络安全运行具有重要的指导意义。在实践中，CCT安华还借鉴了美国网络风暴演习的经验，不断丰富和完善持续风险监控系统中协同机制的内涵和外延，从而有效提高系统应用单位跨部门、跨机构的协同联动效率。

本文将详细介绍美国历次网络风暴演习的基本情况，供网络安全同行参考。

一.概述

网络风暴演习是由美国国土安全部(DHS)主办的一系列大规模网络安全演习，自2006年2月以来已举行了7次(每两年一次)。网络风暴演习一般包括持续3天左右的实战演习，演习结束后会进行战后分析讨论，形成总结。此次网络风暴演习由美国牵头，涉及全球多个合作伙伴(主要是五眼联盟、北约等国家)，旨在加强公私领域和跨国家的网络应急协调和情报共享能力。网络风暴系列演习侧重于参与者准备、保护和应对网络攻击的能力，并评估信息共享机制和通信渠道。

二.介绍以前的网络风暴演习

1.网络风暴1[3]

第一次网络风暴演习于2006年2月6日至2月10日举行，涉及能源、信息技术、交通和通信行业。参与者包括五眼联盟(澳大利亚、加拿大、新西兰、英国和美国)、几个州政府(密歇根州政府、蒙大拿州政府等)。)和联邦机构(商务部、国防部等。)。演习的目的是通过国家网络应急协调小组()进行机构间协调，确定影响应急和应急恢复的战略问题，以及公共和私营部门的重要信息共享渠道和机制，并根据应急流程和程序不断改善和促进公共和私营部门之间的合作与沟通。

在演习的协调和联动中，当美国计算机应急小组(US-CERT)和国土安全行动中心(HSOC)发布重大预警时，启动了国家网络响应协调小组()和机构间事件管理小组(IIMG)。DHS和国家网络响应协调小组()分析了总体攻击情况，并通过获得的信息评估了对重要国家基础设施的影响。作为对国家安全和经济利益的威胁，美国计算机应急响应小组(US-CERT)不仅作为响应信息的中转中心，为DHS和国家网络响应协调小组()提供分析整体攻击情况的信息，而且在信息量过大和国家网络响应协调小组()缺乏技术人员时，也作为分析整体攻击情况的职责。各美国关于网络安全的热门事件行业的信息共享和分析中心(ISAC)将进行交流

演习于2008年3月10日至14日举行，涉及信息技术、通信、化工和交通运输。参与者包括五眼联盟(澳大利亚、加拿大、新西兰、英国和美国)、几个州(加利福尼亚州、科罗拉多州等)。)，联邦机构(国防部、能源部等。)，等等。在本练习中，参与者可以评估他们准备网络攻击的能力、保护和响应的能力、决策和协调的能力以及信息共享机制和通信渠道。

在演习的协调和联动中，参与者通过标准化操作程序(SOP)和模拟场景中的伙伴关系(包括网络中断、通信中断和控制系统错误)合作应对网络风险。演习期间，国家网络反应协调小组()作为威胁行动小组(CAT)的战略顾问，为小组提供了相关信息，以帮助评估事件的影响并制定反应要求，而威胁行动小组(CAT)则负责指导应急反应。信息共享和分析中心(ISAC)和美国计算机应急小组(美国应急小组)是帮助参与者交流的重要合作部分。

演习结束后的总结中提到，应急通信的工具和相关方法需要进一步完善和加强，行业协调委员会(SCCs)、美国计算机应急响应小组(US-CERT)、国家网络响应协调小组()和威胁行动小组(CAT)的职责需要进一步明确。

3.网络风暴三[5]

演习于2010年9月27日至10月1日举行，涉及化工、能源(电力)、交通(铁路)。参与者包括联邦机构(CIA、商务部等。)，几个州(加州，特拉华等。)，以及12个国际合作伙伴(来自澳洲、加拿大、纽西兰、英国和IWWN成员国)。本练习的目的是澄清和实践处理流程、程序、合作和响应机制，评估国土安全部(DHS)和国家网络事件响应计划()的作用，评估协调和决策机制，并找出信息共享中的问题。

就演习的协调和联系而言，根据国家网络事件应对计划，参与者应对了影响重要基础设施的网络安全威胁和网络攻击。在演习中，参与者通过协调机构应对风险，其中包括协调

调机构包括：国家网络安全与通信集成中心(NCCIC)和网络统一协调小组(UCG)，在化工、电力、IT和运输行业，公司还可借助信息共享和分析中心(ISAC)、贸易协会、行业代理以及直接对接来进行跨行业分享信息。例如在运输领域，私有企业通过信息分享和分析中心(ISAC)来与国家网络安全与通信集成中心(NCCIC)进行协同响应。

演习后的总结中提到，参演方发现国家网络事件响应计划(NCIRP)中涉及的处理过程、程序、角色和职责还需进一步完善。

4.网络风暴IV[7]

此次演习从2011年11月延续到2014年1月，参演方包括国际观测和预警网络(IWWN)成员国(澳大利亚，加拿大，法国等)，多个州(缅因州，俄勒冈州等)及其他企业和部门。此次演习是为了提高国家网络事件响应计划(NCIRP)中的处理流程、程序、合作机制和信息分享机制，评估国土安全部(DHS)及其相关部门在全球网络事件中的作用，演练协调机制，评估信息共享的能力以及决策程序。本次演习的具体形式较之前有所变化，由小型研讨会、纸上推演、实战演练等15个演练活动组成。

演习后的总结中提到，参演方发现信息共享和沟通中依旧存在问题，并且一些参演方不了解有哪些资源可用，以及如何获取到资源。

5.网络风暴V[8]

此次演习在2016年3月7日至11日举行，包括3天的实战演习，主要涉及IT、通信、医疗保障和公共健康、商业设施(零售子领域)领域。参演方包括联邦机构(国土安全部(DHS)，国防部等)，多个州(阿拉巴马州，科罗拉多州等)，12个国际合作伙伴(新西兰国家网络安全中心，日本国家信息安全中心等)，约70家私营企业(亚马逊，沃尔玛等)和协调机构(统一协调小组(UCG)等)。此次演习是为了演练协调机制、决策的程序、评估信息共享能力以及对态势的认知能力，评估国土安全部(DHS)及其他政府部门在网络事件中的角色和职能等。

参演人员根据内部的策略和程序、外部的报告要求和协调机制(例如，向信息共享和分析组织(ISAO)或信息共享和分析中心(ISAC)发送报告)进行响应。当演习规模达到国家级别(NationalLevel)，国家网络安全与通信集成中心(NCCIC)所指挥的统一协调小组(UCG)便会启动。而统一协调小组(UCG)作为一种实时的应急响应机制，帮助公私部门进行沟通协调，增加对应急事件的认识。

演习后的总结中提到，参演方发现在信息共享方面，还是面临着一些问题，例如共享的途径或信息的及时性，以及国土安全部(DHS)和国家网络安全与通信集成中心(NCCIC)应该进一步完善他们处理流程、程序和综合能力。

6.网络风暴VI[9]

此次演习在2018年4月举行，历时7天，其中包含3天的实战演习，主要涉及IT、交通、通信以及重要的制造业。参演方包括联邦机构、州、国际合作伙伴、执法部门、情报机构和国防部。

此次演习是为了演练协调机制，评估国家网络事件响应计划(NCIRP)的效果及信息共享机制，评估国土安全部(DHS)的角色和职能，帮助参演方提高处理流程、程序、协作能力及信息共享机制。

截至目前，尚没有本次演习活动相关的官方总结资料。

7.网络风暴2020[10]

此次演习在2020年8月举行，包括3天的实战演习，主要涉及化工、通信、金融服务、医疗保健和公共卫生、IT、运输业及关键的制造业等。包括联邦机构，州政府和地方政府以及一些重要基础设施领域的合作伙伴等200余家的超过2万名人员参与其中，达到历届演习活动之最[11]。

此次演习是为了测试国家网络安全计划和策略并评估其实际效果，旨在加强信息共享和协作机制，加强公私领域的合作关系，完善有关通信网络应急响应的通信策略。

截至目前，尚没有本次演习活动的相关官方总结资料。

三、历届网络风暴演习总结与分析

综合上述关于历届演习活动的资料，必达实验室对7次网络风暴演习情况进行了分析总结：

1.协调联动在应急响应中发挥着重要作用

无论是在前期网络风暴演习目标的制定还是演习后的研讨会中，协调联动一直被关注和讨论，同时协调联动方面在历次演习中也往往是最容易暴露问题的地方。在应急事件处置过程中，(来自不同国家或者组织的)不同单位之间的进行有效的协调联动是非常重要的。只有相互紧密合作，才能充分发挥各方的职能。

2.信息共享极为关键，对应急响应效果作用明显

信息共享出现问题会严重制约应急响应效果。从历次的网络风暴演习中，我们可以发现信息共享在应急响应中既是重点也是难点。其中在信息共享过程中所涉及的时效性，信息的敏感度，对通信工具的熟悉度，信息的质量等都会影响彼此的联通协作，最终影响应急响应的效果。

3.流程机制的完善与迭代是协同防御改进的重点

历次演习活动所涉及的新威胁、新场景和新技术不断变化，在演习总结中，流程机制的改善一直都被提及。显而易见，伴随着每次演习活动的目标、关注领域和参演方的不同，具体应急响应的机制流程也面临实际工作挑战，这就给主要的网络安全部门如，国土安全部(DHS)和国家网络安全与通信集成中心(NCCIC)，带来了新的协同防御工作要求，同时网络威胁的不断发展，攻击手段的不断更新，也要求相关部门不断的去适应和优化国家网络事件响应计划(NCIRP)。

四、带给我们的思考

根据对美国历次网络风暴演习的分析可以发现，美国政府在应对严重网络安全威胁过程中十分注重机构间网络安全防御的协同联动，侧面也反映出美国政府在协同联动中在信息共享、组织协调等方面的问题。鉴于此，我们在应对未来严峻的网络威胁时，需要重视各级组织机构间的协调，各种设备系统之间的联动以及各类安全数据的协同，也要通过不断应急演练来完善相应的流程和机制。

▲持续风险监测体系

必达实验室通过对美国等发达国家网络安全政策和行动的跟踪研究过程中也深刻认识到协同联动在网络安全防御中的重要作用，并根据长期的网络安全实践建立了以持续风险监测理念为指导的安全运营框架，将人员、设备和数据三者的协同机制作为持续风险监测的核心之一引入到网络安全运营工作中，构建系统化网络安全防御能力。

中英文缩写对照表

标准化操作流程(StandardOperatingProcedure-SOP)

国际观测和预警网络(InternationalWatchandWarningNetwork-IWWN)

国家网络安全与通信集成中心(NationalCybersecurityandCommunicationsIntegrationCenter-NCCIC)

国家网络响应协调小组(NationalCyberResponseCoordinationGroup-NCRCG)

国家网络事件响应计划(NationalCyberIncidentResponsePlan-NCIRP)

国土安全运营中心(HomelandSecurityOperationsCenter-HSOC)

国土安全部(DepartmentofHomelandSecurity-DHS)

行业协调委员会(SectorCoordinatingCouncils-SCCs)

机构间事件管理小组(InteragencyIncidentManagementGroup-IIMG)

美国计算机应急响应小组(UnitedStatesComputerEmergencyReadinessTeam-US-CERT)

威胁行动小组(CrisisActionTeam-CAT)

信息分享和分析中心(InformationSharingandAnalysisCenter-ISAC)

信息共享和分析组织(InformationSharingandAnalysisOrganizations-ISAO)

【责任编辑：赵宁宁TEL：（010）68476606】

美国是几党制国家 美国实行什么制度

由于美国各机构的责任不同，不同类型的网络空间安全事件有不同的应对措施，但总的来说，美国的网络空间安全事件涉及四大领域：国土安全、情报、国防和司法。因此，本文将从这四个方面进行简要说明。

1.国土安全领域突发事件应对协调机制

国土安全部(DHS)主要负责美国国土安全领域网络空间安全事件的应对和协调。内阁部门、独立机构和政府组织主要负责协调美国涉密网络的安全事件，回应其他各级政府对网络空间安全事件的请求、协调和协助，并在数据收集、分析和共享方面向私营部门提供实时协助，以帮助它们在处理网络空间安全事件时及时采取行动和分配资源。

国土安全部DHS协调中心包括国家网络空间安全与通信一体化中心()和国家行动中心(NOC)，负责协调美国计算机应急中心(US-CERT)、国家通信中心(NCC)和工业控制系统网络空间应急小组(ICS-CERT)；国家奥委会负责协调NICC和国家响应协调中心(NRCC)。

2.情报领域突发事件应对的协调机制

国家情报局长办公室(ODNI)主要负责美国情报领域网络空间安全事件的应对和协调。内阁、独立机构和政府机构主要负责协调美国涉密情报网的态势感知系统和安全事件评估，同时协调其他各级政府共享一定数量涉密情报的危机管理，清理关键基础设施和重要资源，在最低保密能力范围内提供部门影响评估方案和应对措施。

ODNI的协调中心主要包括三个部门：情报界-事件响应中心(IC-IRC)、威胁行动中心(NTOC)和国家网络空间调查联合任务组()。

3.国防领域突发事件应对协调机制

美国国防部和国民警卫队(NGB)负责应对和协调美国国防领域的网络空间安全事件。内阁各部、独立机构和政府组织主要负责确保通信和安全部队在秘密防御网络空间事件中的协调。

其协调中心包括、和DC3。

4.司法领域事件应对协调机制

司法部负责国家司法领域网络空间事件的应对和协调。美国联邦调查局(FBI)和美国特勤局(USSS)主要负责维护和共享司法活动的态势感知和协调能力，调查和起诉美国的网络空间犯罪。

其中，司法部总检察长负责领导刑事调查。同时，美国其他各级政府应对和协调司法部、联邦调查局或网络空间安全事件，联邦调查局还与私营部门(如非营利组织)一起调查和起诉网络空间犯罪事件。

5.网络安全事件响应的整体协调机制

根据《国家网络空间安全事件响应计划》()的描述，其主要适用范围是DHS主导的非战争状态下国家网络空间安全事件应急响应。它主要由国家网络空间安全和通信一体化中心(NCCIC)、国家网络空间风险预警级别(NCRAL)和网络空间统一协调小组(CyberUCG)组成。

NCRAL将风险分为四个级别，即“防范”(第4级)、高风险(第3级)、严重(第2级)和极其严重(第1级)。当风险评估等级达到1、2级时，视为重大网络空间安全事件；当风险等级达到3级或4级时，视为正常事件。

NCCIC作为协调中心，不仅收集和汇总其合作机构通过专门渠道发送的网络空间安全事件的信息源，还拥有自己的信息源。通过汇总这些信息，并将其自身的一般情况图(COP)发送给NCRAL系统进行评估，NCRAL系统在风险评估信息源的参与和态势感知的特殊指导下给出评估结果：正常事件或重大网络空间安全事件。在正常事件的情况下，赛博会可以给出应对措施，并将这些应对措施反馈给与NCCIC有合作关系的机构和组织；发生重大网络安全事件时，DHS主管网络和通信的副部长负责直接与NCCIC协调组建网络协调机制，与联络小组共同应对重大网络安全事件，并通过专门渠道向与NCCIC有合作关系的机构或组织反馈应对措施。

根据《国家网络空间安全事件响应计划》 (NCIRP)，当赛博会针对赛博会事件给出相应的应对措施时，赛博会成员负责协调NCCIC合作机构应对安全事件。

DHS负责网络空间和通信的副部长、NCCIC主任和赛博中心成员(或赛博中心成员)对事件响应提出了一些建议和实施意见，并说明了事件响应的预期效果。同时，对事件响应过程中遇到的问题进行总结和分析。

赛博中心成员负责收集事件响应过程中的问题，检测、跟踪和评估实时情况，最终实施赛博中心给出的实施措施。

标签： #美国关于网络安全的热门事件