2022年6月27日，蘭德公司國土安全作戰(zhàn)分析中心(HSOAC)發(fā)布報告《重大網(wǎng)絡事件計劃：決策者導論》(Planning for Significant Cyber Incidents：An Introduction for Decisionmakers)。

報告旨在為國家關鍵職能利益相關的部門制定專門的“重大網(wǎng)絡事件應急計劃”，尤其是為政府和私營部門制定可操作的應急計劃。文章詳細描述了“重大網(wǎng)絡事件應急計劃”的重要性分析、制定過程與計劃實施內容等，僅供參考。

重大網(wǎng)絡事件計劃-決策者導論

編譯：學術plus高級觀察員 冰墩墩和雪融融

本文主要內容及關鍵詞

1.重大網(wǎng)絡事件應急計劃：用于指導國家關鍵職能部門重大網(wǎng)絡事件的響應。計劃的含義與內容，特定網(wǎng)絡計劃的挑戰(zhàn)，計劃層級(戰(zhàn)略層-作戰(zhàn)層-戰(zhàn)術層)，可與其他計劃協(xié)同實施。

2.如何制定這一計劃?團隊組成；計劃制定流程(收集數(shù)據(jù)和調查威脅，制定任務說明和目標，制定行動方案，確定關鍵任務活動并起草計劃，評估計劃風險)。

3.計劃的實施：宣貫和修訂，演練和培訓?，復盤，建立知識庫，維護和更新。

4.評析：為重大網(wǎng)絡事件制定計劃是一項復雜的工作，需要多方密切合作；本指南為美國政府與私營部門“運營核心網(wǎng)絡”的重大網(wǎng)絡事件的應急處理提供了一個有效的計劃框架。

網(wǎng)絡事件發(fā)生的頻率越高，對政府、企業(yè)和個人的破壞性越大、成本越高，大多數(shù)事件可以通過定期協(xié)調和響應機制處置，但有些事件卻超出了利益相關者的范圍。

1.應急計劃

重大網(wǎng)絡事件應急計劃

1.1 計劃內容

“重大網(wǎng)絡事件應急計劃”是對包括網(wǎng)絡事件在內的突發(fā)事件做出協(xié)調、快速地和有效地反應。對重大網(wǎng)絡事件的計劃過程可促進對事件響應的思考，利益相關者可加深對各自角色和責任的理解、并達成對信息共享的共識，具體包括：

● 明確事件響應中相關的角色和職責

● 建立對信息共享的預期和需求

● 制定私營部門與政府之間的協(xié)調機制

● 識別國家關鍵職能部門相互依賴關系和級聯(lián)效應

● 在重大網(wǎng)絡事件發(fā)生前，提高防御能力與韌性

**以上計劃可應用到相關領域中，作為事件響應期間的指南使用

1.2 特定網(wǎng)絡計劃的挑戰(zhàn)

計劃對于網(wǎng)絡事件的響應尤其重要，在持續(xù)發(fā)生的網(wǎng)絡事件環(huán)境中，由于政府和私營部門的應急人員缺乏相應的經(jīng)驗和事件響應能力以及不完善的流程測試，嚴重降低了人員有效的協(xié)調能力。所以計劃對于網(wǎng)絡事件的響應尤其重要，同時也面臨以下4個挑戰(zhàn)：

網(wǎng)絡事件發(fā)展迅速：采取行動減輕事件影響的窗口有限

網(wǎng)絡事件具有高度不確定性：響應者需要根據(jù)不完全的信息做出響應決策

網(wǎng)絡事件難以檢測：與其他事件(如自然災害)不同，網(wǎng)絡事件沒有明確的開始和結束，入侵行為通常不會被立即檢測到

網(wǎng)絡事件起因無法確認：可能是無意引起的還是由人為惡意引起的

1.3 計劃層級

在戰(zhàn)略、作戰(zhàn)、戰(zhàn)術層面上制定計劃：

戰(zhàn)略層：戰(zhàn)略計劃為作戰(zhàn)計劃設定了背景和預期。提供一個總體框架，為政策、作戰(zhàn)計劃和資源決策建立基礎

作戰(zhàn)層：作戰(zhàn)計劃明確為執(zhí)行戰(zhàn)略計劃任務所需的資源。闡述了在實際和潛在事件中，各機構和組織之間的角色職責、任務、活動和資源的統(tǒng)籌協(xié)調，以及其他組織的預期(作戰(zhàn)層的應急計劃明確指出：計劃的意圖，事件響應的目標，預期的最終狀態(tài);計劃對威脅和風險的管理;適用范圍：適用該計劃的條件和情況;組織角色、職責和協(xié)調機制)

戰(zhàn)術層：戰(zhàn)術計劃闡述了如何在規(guī)定時間內使用資源完成作戰(zhàn)計劃中既定目標的詳細行動

應急計劃用于指導國家關鍵職能部門的重大網(wǎng)絡事件影響的響應，可以與其他計劃一起實施。包括應急和災難響應計劃、行動手冊和業(yè)務連續(xù)性計劃，可能與網(wǎng)絡事件有關或旨在解決網(wǎng)絡攻擊或其他事件的后果。此外，也涉及執(zhí)法部門和美國防部的相關應對計劃，因為從網(wǎng)絡事件響應計劃中獲得的信息可以納入反威脅計劃，反之亦然。

2.計劃制定流程

組建核心計劃團隊包括：①主要負責國家關鍵職能部門事件響應的關鍵組織的代表;②具有作戰(zhàn)方面經(jīng)驗和專業(yè)知識的專家;③硬件和軟件供應商;④網(wǎng)絡安全公司;⑤互聯(lián)網(wǎng)服務提供商;⑥負責檢測、評估和監(jiān)控的有經(jīng)驗員工;⑦負責事件期間跨部門的聯(lián)絡人;⑧了解法律法規(guī)的公關人員。

一旦核心計劃團隊和其他利益干系人就位，并且選擇了協(xié)作方法，團隊就可以自己開始計劃過程。此過程分為五個步驟，如圖1所示。

圖1：計劃過程

2.1收集數(shù)據(jù)和調查威脅

● 根據(jù)收集的數(shù)據(jù)找到問題原因

● 再識別國家關鍵職能部門自身和將來面臨的風險和威脅，并進行優(yōu)先排序

● 最后制定應急計劃，包括基于場景和基于職能的計劃

● 數(shù)據(jù)收集和風險識別是一個迭代的過程，貫穿整個計劃過程

2.2 制定任務說明和目標

● 制定一份初步任務說明，以幫助計劃人員實現(xiàn)預期的事件響應目標、

● 計劃過程開始時，目標可以以草稿形式描述，并隨著計劃的進展不斷完善

● 計劃過程結束時，吸取經(jīng)驗教訓優(yōu)化任務說明

● 并為實際突發(fā)事件時為執(zhí)行計劃的人員明確方向

2.3 制定行動方案

● 制定替代行動方案，并評估方案的有效性，最大限度地降低風險和最大限度地提高成功概率

● 每個方案必須指定時間表、關鍵決策點和任務職責

● 明確的預期目標，包括可行性、完整性和可接受性

2.4 確定關鍵任務活動，起草計劃

應急計劃有四個主要組成部分情況、概述、執(zhí)行、附錄：

情況：描述制定計劃的原因，并提供有關計劃范圍和關鍵假設的信息

概述：描述參與計劃執(zhí)行人員的使命、目標、角色和任務

執(zhí)行：詳細描述利益相關者將如何應對重大網(wǎng)絡事件，包括將如何識別和評估事件(第1階段)、協(xié)調和補救事件(第2階段)、緩解和過渡到事后操作(第3階段)，并解釋操作協(xié)調和信息共享

附錄：提供獨立且對執(zhí)行計劃有用的附加信息

2.5 評估計劃風險

兩個主要風險點：評估重大網(wǎng)絡應急計劃的風險，需要在風險評估過程中進行識別、評估和補救，作為制定應急計劃成功的一部分。兩個主要風險點：一是，可能阻礙國家關鍵職能部門執(zhí)行應急計劃解決重大網(wǎng)絡事件的風險;二是，如果執(zhí)行應急計劃，可能會損害其他國家關鍵職能部門提供基本服務的能力的風險。

風險評估步驟：

風險識別：收集數(shù)據(jù)識別風險形成風險列表

風險分析：涉及對不同風險的可能性和結果的研究，從而判斷出哪些風險是重要的，以及補救措施的重點

風險降低：包括加強關鍵設施故障的保護;加強風險評估和信息共享，改進對新出現(xiàn)威脅的識別，以減少響應延遲;預先部署庫存和資源，并進行定期培訓和演練，確保人員和資源準備就緒

圖2：風險評估步驟

3.實施計劃

3.1 計劃宣貫和修訂

● 計劃編制完成后，分發(fā)給相關的個人和組織，并進行宣貫

● 計劃編制人員與各方進行后續(xù)談論，并提供反饋意見

● 在國家關鍵職能利益相關者中指定一名協(xié)調員，負責后續(xù)計劃文件的維護，涉及收集反饋意見的修訂

3.2 計劃演練和培訓

● 通過演練測試驗證計劃在響應能力方面的差距和限制

● 建議在盡可能接近真實情況的環(huán)境中進行演練測試

● 制定培訓計劃，以幫助參與應急響應人員具備相應的知識和技能

3.3 經(jīng)驗記錄和復盤

● 通過實際的網(wǎng)絡事件響應和演練中總結經(jīng)驗，及時調整計劃

● 每個組織應制定嚴格的事后審查程序，包括記錄、審查、評估和計劃改進

3.4 建立知識庫

● 關注網(wǎng)絡安全和韌性方面的最新文獻和最佳實踐，幫助計劃持續(xù)改進

● 調研審查網(wǎng)絡安全出版物、報告、趨勢和威脅分析

● 參加部門和國家關鍵職能利益團體之間的信息分享活動、座談會和非正式討論

● 參加跨部門危機管理和應急計劃演練

3.5 計劃維護和更新

● 應急計劃，需定期修訂

● 制定監(jiān)管過程，定期審查計劃，確保其準確性和完整性

● 各組織確保計劃中所需的人員和資源，滿足計劃要求

4.評析

為重大網(wǎng)絡事件制定應對計劃是一項復雜的工作，需要多個利益相關方密切合作。本報告總結了由美國國土安全作戰(zhàn)分析中心(HSOAC)和美國網(wǎng)絡安全和基礎設施安全局(CISA)的專家制定的《重大網(wǎng)絡事件的計劃:網(wǎng)絡事件應急計劃指南》的關鍵要素，并列出了利益相關者在制定國家關鍵職能應急計劃時要考慮的流程、問題和注意事項，提供了一個有效的計劃框架和模板。旨在指導私營部門和聯(lián)邦政府如何應對“運營核心網(wǎng)絡”的重大網(wǎng)絡事件對國家關鍵職能的影響。

(全文完)

參考鏈接：https://www.rand.org/pubs/research_reports/RRA1265-1.html

來源：學術plus