據(jù)多家媒體報道［1，2］，2020年8月中旬，美國組織了為期三天的網(wǎng)絡風暴演習（Cyber Storm Exercise）2020。網(wǎng)絡風暴演習是美國國土安全部（DHS）定期組織的系列大型網(wǎng)絡安全演習活動，至今已舉辦七屆。作為網(wǎng)絡空間安全演習、攻防對抗的標桿之一，該活動的舉辦對于提高參演方應急響應能力有著非常重要的作用，對于我國網(wǎng)絡安全從業(yè)者及安全管理部門都有著重要的借鑒學習作用。

作為企業(yè)的內(nèi)設研究機構(gòu)，中測安華必達實驗室在整理歷屆網(wǎng)絡風暴演習情況的基礎上，對歷屆的演習主旨以及演習中發(fā)現(xiàn)的問題進行分析總結(jié)后發(fā)現(xiàn)：第一，協(xié)調(diào)聯(lián)動的主旨貫穿始終，對于應急響應尤其重要;第二，信息共享在演習中極為關鍵，對應急響應效果作用明顯;第三，防御協(xié)同流程機制一直在優(yōu)化，針對新威脅、新場景和新技術的趨勢需要不斷完善。以上表明，美國政府對協(xié)同、共享非常重視，在歷屆演習中所暴露的與之相關的問題和改進措施等經(jīng)驗總結(jié)，對于國內(nèi)網(wǎng)絡安全運營工作有者重要的指導意義。中測安華也在實踐中借鑒了美國網(wǎng)絡風暴演習的經(jīng)驗，不斷豐富完善持續(xù)風險監(jiān)測體系中協(xié)同機制的內(nèi)涵和外延，從而有效提高該體系應用單位跨部門、跨機構(gòu)的協(xié)同聯(lián)動效率。

本文將詳細介紹美國歷屆網(wǎng)絡風暴演習的基本情況，以供網(wǎng)絡安全同行參考。

一、概述

網(wǎng)絡風暴演習是美國國土安全部（DHS）主辦的大規(guī)模網(wǎng)絡安全系列演習活動，從2006年2月開始至今，共舉辦了7次（兩年一次）。網(wǎng)絡風暴演習一般會包含為期為3天左右的實戰(zhàn)演習，演習結(jié)束后會進行戰(zhàn)后分析研討形成總結(jié)。網(wǎng)絡風暴演習以美國為主導，涉及全球多個合作伙伴（主要是五眼聯(lián)盟、北約等國家），旨在加強公私領域、跨國間的網(wǎng)絡應急協(xié)調(diào)和情報共享能力。網(wǎng)絡風暴系列演習重點演練參演方對網(wǎng)絡攻擊的準備，防護和應急響應能力，評估信息共享機制和通信途徑等。

二、歷屆網(wǎng)絡風暴演習介紹

1. 網(wǎng)絡風暴I［3］

首次網(wǎng)絡風暴演習于2006年2月6日至10日舉行，涉及能源，IT，運輸和通信行業(yè)，參演方包括五眼聯(lián)盟（澳大利亞，加拿大，新西蘭、英國、美國），多個州政府（密歇根州政府，蒙大拿州政府等），聯(lián)邦機構(gòu)（商務部，國防部等）等。演習目的是通過國家網(wǎng)絡響應協(xié)調(diào)小組（NCRCG），進行機構(gòu)間的協(xié)調(diào)，確定影響應急響應和應急恢復的策略問題以及在公私領域中重要的信息共享途徑和機制，不斷完善和促進根據(jù)響應流程和程序進行的公私領域之間的合作溝通。

在演習的協(xié)調(diào)聯(lián)動方面，美國計算機應急響應小組（US-CERT）和國土安全運營中心（HSOC）發(fā)布重大預警警告時，國家網(wǎng)絡響應協(xié)調(diào)小組（NCRCG）和機構(gòu)間事件管理小組（IIMG）隨之啟動，國土安全部（DHS）和國家網(wǎng)絡響應協(xié)調(diào)小組（NCRCG）通過獲得的信息分析出總體的攻擊態(tài)勢，評估出對國家重要基礎設施的影響，對國家安全和經(jīng)濟利益的威脅，美國計算機應急響應小組（US-CERT）不僅被用作響應信息的中轉(zhuǎn)中心，為國土安全部（DHS）和國家網(wǎng)絡響應協(xié)調(diào)小組（NCRCG）提供分析總體攻擊態(tài)勢的信息，而且在信息量過大且國家網(wǎng)絡響應協(xié)調(diào)小組（NCRCG）技術人員不足時，充當分析總體攻擊態(tài)勢的職責。而各行業(yè)的信息分享和分析中心（ISAC）則會與該行業(yè)的參演人員相互溝通。

演習后的總結(jié)中提到，組織機構(gòu)間的威脅響應需要進一步完善操作和協(xié)同程序，同時隨著網(wǎng)絡事件的不斷增加，響應協(xié)調(diào)的難度也在增加。

2. 網(wǎng)絡風暴II［4］

此次演習在2008年3月10日至14日舉行，涉及IT、通信，化工，運輸業(yè)，參演方包括五眼聯(lián)盟（澳大利亞，加拿大，新西蘭、英國、美國），多個州（加利福尼亞州，科羅拉多州等），聯(lián)邦機構(gòu)（國防部，能源部等）等。此次演習中，參演方可以評估自己對網(wǎng)絡攻擊的準備能力，防護能力和響應能力以及決策和協(xié)調(diào)能力，評估信息共享機制及通信途徑。

在演習的協(xié)調(diào)聯(lián)動方面，參演人員在模擬的場景中（包括網(wǎng)絡中斷，通信中斷和控制系統(tǒng)出錯），通過標準化操作流程（SOP）及伙伴關系協(xié)同應對網(wǎng)絡風險。在演習過程中，國家網(wǎng)絡響應協(xié)調(diào)小組（NCRCG）作為威脅行動小組（CAT）的戰(zhàn)略顧問，為該小組提供相關的信息，幫助評估事件的影響并制定響應要求，而威脅行動小組（CAT）則負責指揮應急響應。各個行業(yè)的信息共享和分析中心（ISAC）和美國計算機應急響應小組（US-CERT）作為協(xié)同的重要部分，幫助參與者進行溝通。

演習后的總結(jié)中提到，應急通信的工具和相關方法需要進一步完善和加強，行業(yè)協(xié)調(diào)委員會（SCCs）、美國計算機應急響應小組（US-CERT）、國家網(wǎng)絡響應協(xié)調(diào)小組（NCRCG）及威脅行動小組（CAT）的職責需要進一步明確。

3. 網(wǎng)絡風暴III［5］

此次演習在2010年9月27日至10月1日舉行，涉及化工，能源（電力）及運輸（鐵路）業(yè) 。參演方包括聯(lián)邦機構(gòu)（中情局，商務部等），多個州（加利福尼亞州，特拉華州等），12個國際伙伴（來自澳大利亞，加拿大［6］，新西蘭、英國及國際觀測和預警網(wǎng)絡（IWWN）成員國）等。此次演習是為了明確并演練處理流程、程序、合作及響應機制，評估國土安全部（DHS）所承擔的角色以及國家網(wǎng)絡事件響應計劃（NCIRP），評測協(xié)調(diào)和決策機制，找出信息共享中的問題等。

在演習的協(xié)調(diào)聯(lián)動方面，參演人員按照國家網(wǎng)絡事件響應計劃（NCIRP）來應對影響重要基礎設施的網(wǎng)絡安全威脅以及網(wǎng)絡攻擊活動。在演習中，參與者通過協(xié)調(diào)機構(gòu)來應對風險，其中協(xié)調(diào)機構(gòu)包括：國家網(wǎng)絡安全與通信集成中心（NCCIC）和網(wǎng)絡統(tǒng)一協(xié)調(diào)小組（UCG），在化工、電力、IT和運輸行業(yè)，公司還可借助信息共享和分析中心（ISAC）、貿(mào)易協(xié)會、行業(yè)代理以及直接對接來進行跨行業(yè)分享信息。例如在運輸領域，私有企業(yè)通過信息分享和分析中心（ISAC）來與國家網(wǎng)絡安全與通信集成中心（NCCIC）進行協(xié)同響應。

演習后的總結(jié)中提到，參演方發(fā)現(xiàn)國家網(wǎng)絡事件響應計劃（NCIRP）中涉及的處理過程、程序、角色和職責還需進一步完善。

4. 網(wǎng)絡風暴IV［7］

此次演習從2011年11月延續(xù)到2014年1月，參演方包括國際觀測和預警網(wǎng)絡（IWWN）成員國（澳大利亞，加拿大，法國等），多個州（緬因州，俄勒岡州等）及其他企業(yè)和部門。此次演習是為了提高國家網(wǎng)絡事件響應計劃（NCIRP）中的處理流程、程序、合作機制和信息分享機制，評估國土安全部（DHS）及其相關部門在全球網(wǎng)絡事件中的作用，演練協(xié)調(diào)機制，評估信息共享的能力以及決策程序。本次演習的具體形式較之前有所變化，由小型研討會、紙上推演、實戰(zhàn)演練等15個演練活動組成。

演習后的總結(jié)中提到，參演方發(fā)現(xiàn)信息共享和溝通中依舊存在問題，并且一些參演方不了解有哪些資源可用，以及如何獲取到資源。

5. 網(wǎng)絡風暴V［8］

此次演習在2016年3月7日至11日舉行，包括3天的實戰(zhàn)演習，主要涉及IT、通信、醫(yī)療保障和公共健康、商業(yè)設施（零售子領域）領域。參演方包括聯(lián)邦機構(gòu)（國土安全部（DHS），國防部等），多個州（阿拉巴馬州，科羅拉多州等），12個國際合作伙伴（新西蘭國家網(wǎng)絡安全中心，日本國家信息安全中心等），約70家私營企業(yè)（亞馬遜，沃爾瑪?shù)龋┖蛥f(xié)調(diào)機構(gòu)（統(tǒng)一協(xié)調(diào)小組（UCG）等）。此次演習是為了演練協(xié)調(diào)機制、決策的程序、評估信息共享能力以及對態(tài)勢的認知能力，評估國土安全部（DHS）及其他政府部門在網(wǎng)絡事件中的角色和職能等。

參演人員根據(jù)內(nèi)部的策略和程序、外部的報告要求和協(xié)調(diào)機制（例如，向信息共享和分析組織（ISAO）或信息共享和分析中心（ISAC）發(fā)送報告）進行響應。當演習規(guī)模達到國家級別（National Level），國家網(wǎng)絡安全與通信集成中心（NCCIC）所指揮的統(tǒng)一協(xié)調(diào)小組（UCG）便會啟動。而統(tǒng)一協(xié)調(diào)小組（UCG）作為一種實時的應急響應機制，幫助公私部門進行溝通協(xié)調(diào)，增加對應急事件的認識。

演習后的總結(jié)中提到，參演方發(fā)現(xiàn)在信息共享方面，還是面臨著一些問題，例如共享的途徑或信息的及時性，以及國土安全部（DHS）和國家網(wǎng)絡安全與通信集成中心（NCCIC）應該進一步完善他們處理流程、程序和綜合能力。

6. 網(wǎng)絡風暴VI［9］

此次演習在2018年4月舉行，歷時7天，其中包含3天的實戰(zhàn)演習，主要涉及IT、交通、通信以及重要的制造業(yè)。參演方包括聯(lián)邦機構(gòu)、州、國際合作伙伴、執(zhí)法部門、情報機構(gòu)和國防部。

此次演習是為了演練協(xié)調(diào)機制，評估國家網(wǎng)絡事件響應計劃（NCIRP）的效果及信息共享機制，評估國土安全部（DHS）的角色和職能，幫助參演方提高處理流程、程序、協(xié)作能力及信息共享機制。

截至目前，尚沒有本次演習活動相關的官方總結(jié)資料。

7. 網(wǎng)絡風暴2020［10］

此次演習在2020年8月舉行，包括3天的實戰(zhàn)演習，主要涉及化工、通信、金融服務、醫(yī)療保健和公共衛(wèi)生、IT、運輸業(yè)及關鍵的制造業(yè)等。包括聯(lián)邦機構(gòu)，州政府和地方政府以及一些重要基礎設施領域的合作伙伴等200余家的超過2萬名人員參與其中，達到歷屆演習活動之最［11］。

此次演習是為了測試國家網(wǎng)絡安全計劃和策略并評估其實際效果，旨在加強信息共享和協(xié)作機制，加強公私領域的合作關系，完善有關通信網(wǎng)絡應急響應的通信策略。

截至目前，尚沒有本次演習活動的相關官方總結(jié)資料。

三、歷屆網(wǎng)絡風暴演習總結(jié)與分析

綜合上述關于歷屆演習活動的資料，必達實驗室對7次網(wǎng)絡風暴演習情況進行了分析總結(jié)：

1. 協(xié)調(diào)聯(lián)動在應急響應中發(fā)揮著重要作用

無論是在前期網(wǎng)絡風暴演習目標的制定還是演習后的研討會中，協(xié)調(diào)聯(lián)動一直被關注和討論，同時協(xié)調(diào)聯(lián)動方面在歷次演習中也往往是最容易暴露問題的地方。在應急事件處置過程中，（來自不同國家或者組織的）不同單位之間的進行有效的協(xié)調(diào)聯(lián)動是非常重要的。只有相互緊密合作，才能充分發(fā)揮各方的職能。

2. 信息共享極為關鍵，對應急響應效果作用明顯

信息共享出現(xiàn)問題會嚴重制約應急響應效果。從歷次的網(wǎng)絡風暴演習中，我們可以發(fā)現(xiàn)信息共享在應急響應中既是重點也是難點。其中在信息共享過程中所涉及的時效性，信息的敏感度，對通信工具的熟悉度，信息的質(zhì)量等都會影響彼此的聯(lián)通協(xié)作，最終影響應急響應的效果。

3. 流程機制的完善與迭代是協(xié)同防御改進的重點

歷次演習活動所涉及的新威脅、新場景和新技術不斷變化，在演習總結(jié)中，流程機制的改善一直都被提及。顯而易見，伴隨著每次演習活動的目標、關注領域和參演方的不同，具體應急響應的機制流程也面臨實際工作挑戰(zhàn)，這就給主要的網(wǎng)絡安全部門如，國土安全部（DHS）和國家網(wǎng)絡安全與通信集成中心（NCCIC），帶來了新的協(xié)同防御工作要求，同時網(wǎng)絡威脅的不斷發(fā)展，攻擊手段的不斷更新，也要求相關部門不斷的去適應和優(yōu)化國家網(wǎng)絡事件響應計劃（NCIRP）。

四、帶給我們的思考

根據(jù)對美國歷次“網(wǎng)絡風暴”演習的分析可以發(fā)現(xiàn)，美國政府在應對嚴重網(wǎng)絡安全威脅過程中十分注重機構(gòu)間網(wǎng)絡安全防御的協(xié)同聯(lián)動，側(cè)面也反映出美國政府在協(xié)同聯(lián)動中在信息共享、組織協(xié)調(diào)等方面的問題。鑒于此，我們在應對未來嚴峻的網(wǎng)絡威脅時，需要重視各級組織機構(gòu)間的協(xié)調(diào)，各種設備系統(tǒng)之間的聯(lián)動以及各類安全數(shù)據(jù)的協(xié)同，也要通過不斷應急演練來完善相應的流程和機制。

▲持續(xù)風險監(jiān)測體系

必達實驗室通過對美國等發(fā)達國家網(wǎng)絡安全政策和行動的跟蹤研究過程中也深刻認識到協(xié)同聯(lián)動在網(wǎng)絡安全防御中的重要作用，并根據(jù)長期的網(wǎng)絡安全實踐建立了以“持續(xù)風險監(jiān)測”理念為指導的安全運營框架，將人員、設備和數(shù)據(jù)三者的協(xié)同機制作為持續(xù)風險監(jiān)測的核心之一引入到網(wǎng)絡安全運營工作中，構(gòu)建系統(tǒng)化網(wǎng)絡安全防御能力。

中英文縮寫對照表

標準化操作流程（Standard Operating Procedure-SOP）

國際觀測和預警網(wǎng)絡（International Watch and Warning Network-IWWN）

國家網(wǎng)絡安全與通信集成中心（National Cybersecurity and Communications Integration Center-NCCIC）

國家網(wǎng)絡響應協(xié)調(diào)小組（National Cyber Response Coordination Group -NCRCG）

國家網(wǎng)絡事件響應計劃（National Cyber Incident Response Plan-NCIRP）

國土安全運營中心（Homeland Security Operations Center-HSOC）

國土安全部（Department of Homeland Security-DHS）

行業(yè)協(xié)調(diào)委員會（Sector Coordinating Councils-SCCs）

機構(gòu)間事件管理小組（Interagency Incident Management Group-IIMG）

美國計算機應急響應小組（United States Computer Emergency Readiness Team-US-CERT）

威脅行動小組（Crisis Action Team-CAT）

信息分享和分析中心（Information Sharing and Analysis Center-ISAC）

信息共享和分析組織（Information Sharing and Analysis Organizations-ISAO）
責編AJX