美国“网络风暴”系列演习相关情况概览及分析

1、【外军动态】美国“网络风暴”系列演习(CyberStorm)相关情况概览及分析 2016-03-18晓月无声收藏，稍后阅读目录一、总体概览基本情况演习动机(应对针对关键基础设施的网络威胁)法律支援(保障关键基础设施法律定义和执法框架)3.1克林顿政府时期(1992-2001)3.2布什政府时期(2001-2008)3.2奥巴马政府时期(2008-至今)二、网络风暴1演习(C YBERSTORM I)基本情况演习目标演习场景设置演习安排重要发现三、网络风暴2演习(CYBERSTORM II)基本情况演习目标演习场景设置演习计划重要发现四、网络风暴3演习(CYBERSTORM III)基本情况演习

2、目标演习计划演习场景设置重要发现五、总体分析事件触发，推动演习进程立法保障，铺平法律基础逐步深入，“网络北约”呼之欲出重在协同，促进网络联合防御(作战)六、附件：“网络风暴3”演习参演单位列表一、总体概览基本情况“网络风暴”系列演习从2006年开始实施，迄今已经举行过3次。演习分为攻、防两组进 行模拟网络攻防战。攻方通过网络技术甚至物理破坏手段，大肆攻击能源、信息科技、金融、 交通等关键基础设施，以及关键、敏感民营公司网络的模拟仿真环境；守方负责搜集攻击部 门的反映信息，及时协调，制定对策。演习的主要目标，不同与国际和国内众多的CTF (攻防比赛)以选拔技术人才为主，“网络 风暴”系列演习更加

3、侧重于考察跨国家、政府机构、公司部门等的针对罐基础设施遭到网络 攻击的情况下的协调应急能力（主要为处理两个关系：政府和私营伙伴之间的关系；政府和 其在州、地区以及国际政府伙伴之间的关系。）主要的考察指标为：看预案的设置是否合理，持续改进预案成熟度；看公-私营伙伴之间、政府部门之间网络安全信息共享是否充分、及时；看应急团队对网络攻击的最终处理效果（补救用时、产生损失）。参演单位：政府部门（如国防部、财政部、交通部、国家安全局等）行业信息共享和分析中心（各种行业的ISAC）州、国际政府伙伴（如蒙塔纳州、五眼联盟政府等）私营合作伙伴（如关键基础设施类企业以及高科技企业）演习动机（应对针对关键基础设施

4、的网络威胁）美国经历过9.11恐怖袭击后，首次将“恐怖主义”和“网络威胁”认定为国家面临的首要 威胁，并认为“关键基础设施”将是“恐怖主义”和“网络威胁”的主要目标。所以，布什 政府在2001年9.11事件后马上发布了第13231号行政令-信息时代的关键基础设施保护， 并宣布成立“总统关键基础设施保护委员会”，由其代表政府全面负责关键基础设施安全工 作，该职能后由新成立的国土安全部（DHS）接管。该演习就是美国土安全部（DHS）为了推动关键基础设施安全监测、应急响应能力，而举行 的一个多国家、多联邦政府部门、多安全能力机构、多私营企业等的一些协同演练。法律支撑（保障关键基础设施法律定义和执法框

5、架）为保障关键基础设施安全，美国自克林顿政府以来，出台了较多法律文件，下面分阶段进行 介绍：3.1克林顿政府时期（1992-2001）1.1996年7月，颁布第13010号行政令，初步划定了关键基础设施的范围（主要包括：电信、 电力系统、天然气及石油的存储和运输、银行和金融、交通运输、供水系统、紧急服务、政 府连续性等8类）；2.1998年5月，颁布63号总统令，明确相关责任部门；3.2布什政府时期（2001-2008）1.2001年10月，颁布了第13231号行政令，成立了 “总统关键基础设施保护委员会”作为 具体责任部门；2.2002年11月，颁布了国土安全法，成立了国土安全部（DHS）具

6、体负责关键基础设施 安全工作（其子部门国家网络安全通信整合中心CNNIC具体负责）；3.2003年2月，颁布了关键基础设施和重要资产物理保护国家战略，明确了政府和私营 机构在保护关键基础设施方面的不同职责；4.2006年6月，颁布了国家基础设施保护计划，为政府和私营机构提供了关键基础设施 保障的实施框架；3.2奥巴马政府时期（2008-至今）1.2013年2月，颁布了 13636号行政令提高关键基础设施的网络安全，明确要求国土安 全部（DHS）采取所示推进政企合作，以及网络安全信息共享机制的建立；2.2013年2月，颁布了第21号总统令提高关键基础设施的安全性和恢复力，重新确定了 16类关键基

7、础设施领域（包括：化学、商业设施、通信、关键制造、水利、国防工业基地、 应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核 反应堆、材料和废弃物、运输系统以及污水处理）。二、网络风暴1演习（CyberStorm I）基本情况演习时间：2006.02.0610 （5 天）；组织单位：国土安全部国家网络安全局（DHS NCSD）演习目的：提升联邦、州、国际政府以及私营部门之间，应对网络空间重大攻击事件的应急 响应能力；参演方：5眼联盟成员、11个联邦部门、4个州政府、9个IT公司、6个电力公司、2个民航公司以及4个行业信息共享和分析中心（300余人）；演习内容：绝密级

8、，目前尚未公开；攻击手段：DoS、BOTNET、FISHING、黑客入侵、域名重放、电子攻击等；演习场所：指挥部设在华盛顿，具体演习场所共60余处。演习目标提升国家应急团队协作能力-跨政府事件管理中心（【IMG）-国家网络应急协调中心（NCRCG）提升政府内部以及政府之间的协调响应能力-国内：联邦政府&州政府-国际：五眼联盟提升公-私部门之间的协同能力；识别、定义可能影响应急、恢复能力的策略；识别、定义关键网络安全信息共享的路径和框架；提升对网络安全事件可能造成电力系统破坏的安全意识。演习场景设置利用网络攻击（手段包括工业控制系统、网络、软件、社会工程学），摧毁能源和交通运 输基础设施组件；利

9、用网络攻击，破坏联邦政府、州政府以及五眼联盟政府网络。演习安排“网络风暴”1演习从2006年2月6日到10日，共5天时间，期间攻守两方会有各有具体 职责安排，如下图所示：在这5天攻防对抗中，攻守双方会在54个场景中（包括：运输、电信、能源、IT、州政府、 五眼联盟），演练不同层面的协同应急响应能力，具体如下图所示：重要发现联邦政府内部应急响应团队协作十分重要；制定业务连续性预案（BCP）以及常态化风险评估工作十分重要;公一一私营机构之间的协同、信息共享十分重要；需要建立通用的应急响应和信息获取框架；需要进一步优化应急响应体系中的过程、工具和技术。三、网络风暴2演习（CyberStorm II）

10、基本情况演习时间：2008.03.1014（5 天）；组织单位：国土安全部国家网络安全局（DHS NCSD）演习目的：提升联邦、州、国际政府以及私营部门之间，应对网络空间重大攻击事件的应急 响应能力；参演方：5眼联盟成员、14个联邦部门、7个州政府、2个国家实验室、6个电力公司、2个民航公司、3个铁路公司以及9个行业信息共享和分析中心；演习内容：绝密级，目前尚未公开；攻击手段：较网络风暴1演习，加入物理攻击手段；演习场所：指挥部设在华盛顿（国土安全部特情局DHS USSS）。演习目标在目标设置上，本演习相较网络风暴1演习，区别在于：更加注重国际政府之间的应急响应协调能力演练；更加注重态势感知、

11、响应、恢复等关键信息的分享机制的建立；更加注重尝试敏感、涉密信息分享的安全机制设立。3演习场景设置本次演习主要围绕三个想定的场景设置：互联网中断；通信中断；工业控制系统问题。4演习计划本演习共经过了 18个月的计划编制，具体如下表所示：5重要发现在网络风暴1演习制定预案、跨部门协同、信息共享等重要发现的基础上，又提出了：不同部门之间必须深入理解对方的较色、责任和需求，从而促进预案成熟度的提升；物理和网络具有互依赖性（破坏物理特性会影响网路功能，破坏网络功能会造成物理损 伤）；明确单位的角色和责任的边界（行业协调委员会、信息共享和分析中心、US-CERT、ICS-CERT、国家网络响应协调中心等

12、单位职责模糊不清，会严重降低应急响应的效率）；良好的策略和程序，是跨部门协同和信息共享的关键；大规模网络攻击事件的公共事务处理，需要联邦政府、技术专家、行业机构的合作，从而 有效的教育、通知和指导公众。四、网络风暴3演习（CyberStorm III）基本情况演习时间：2010.09.272010.10.01（5 天）；组织单位：国土安全部国家网络安全局（DHS NCSD）演习目的：提升联邦、州、国际政府以及私营部门之间，应对网络空间重大攻击事件的应急 响应能力；参演方：12个国际政府机构、12个联邦部门、13个州政府、60家私营企业（2000余人）； 演习内容：绝密级，目前尚未公开；攻击手段

13、：较网络风暴1演习，加入物理攻击手段；演习场所：指挥部设在华盛顿。演习目标本次演习是国家网络安全通信整合中心（NCCIC，美国土安全部下属机构）成立后的第一 次演练，是对其协调组织能力（US-CERT、ICS-CERT均为其子部门）以及相关计划（如国 家网络事件应急响应计划NCIRP等）可行性的一次检验，主要目标包括:演练“国家网络事件应急响应计划”（NCIRP）；演练针对网络事件，美国土安全部（DHS）的整体职责、较色；演练跨机构间的信息共享事务；演练跨机构间的行政、技术协调事务。演习计划演习场景设置互联网场景：互联网关键更新服务被攻陷（如微软周二补丁更新，各种数据源等）；关键基础设施场景：

14、能源管理系统（EMS）被攻陷（可以通过设置逻辑炸弹的形式）；关键基础设施场景：化学和运输类行业订单系统被攻陷，影响生产和货物运输；联邦政府场景：阻碍联邦政府正常网络功能（如通过DDoS），并发布虚假信息；国际合作场景：模拟澳大利亚和加拿大遭受黑客攻击；国防部场景：模拟感染病毒笔记本接入国防部内部网络，从而攻陷国防部访问节点；公共事务场景：随着攻击的深入，展开公众报道；州政府场景：模拟黑客试图中断政府服务，并尝试获取敏感信息（如身份信息等）。5重要发现国家网络事件应急响应计划（NCIRP）提供了事件响应框架，不过成熟度仍需要提升；私营部门之间的响应合作已经比较默契，公私营机构之间的合作仍然需要提

15、升；需要在所有利益相关方之间共享一个态势感知图谱，从而支持决策，这被称为通用操作图 （COP）；需要在所有利益相关方之间维护一个国家网络风险警告级别（NCRAL），从而保障对不同 程度安全事件的合理影响；政府、私营部门以及公众，都应该依靠国家发布的及时、准确、可操作的网络安全预警， 实现对他们自有网络威胁的管理。关键基础设施场景：化学和运五、总体分析从2006年的“网络风暴” 1演习以来，美国相继开展了 3次“网络风暴”系列演习，在保 证“提升应对网络空间重大攻击事件的应急响应能力”的总体目标保证不变的基础上，包含 了一系列由当时国际关系、自身认识、外部需求等造成的特点，具体如下：事件触发，推

16、动演习进程2001年美国爆发9.11事件，美国很好的抓住这个事件大做文章，推动了一系列的国内、国 际事务发展，其中就包括推进有“国际联合反恐演习”味道的“网络风暴系列演习”。这也 为其后续逐步发展“网络北约”提供了一个基本的平台。立法保障，铺平法律基础开展“网络风暴系列演习”的一段时期，美国先后通过了多部立法（如爱国者法案外 国情报共享法案、关键基础设施和重要资产物理保护国家战略等），从而为“网络风暴 系列演习”提供了基本的法律依据，并进一步推进了国家间的情报共享机制的建立。逐步深入，“网络北约”呼之欲出国际参演单位从“网络风暴”1演习的五眼同盟，发展到2010年9月“网络风暴”3演习的12个伙伴国家（包括：英国、加拿大、澳大利亚、法国、德国、匈牙利、日本、意大利、 荷兰、新西兰、瑞典和瑞士）。美国一直在推进网络空间领域的情报共享工作，其利用在技术领域的先