紧急通知:wallet onion 病毒爆发,紧急救援电话:18651607829(24小时)

中国数据恢复协会 权威数据恢复与存储安全研发中心 [ 咨询免费 检测免费 ] 24小时电话: 13813824669 技术部:025-83608636(白天) 查询电话:025-86883952(白天) RAID专家:13813824669

站内搜索

南京西数数据恢复中心

  • 276570401
  • 025-83608636
  • 138-138-24669
当前位置:首页 > 西数新闻 > 行业新闻 行业新闻
【公益译文】美《国家网络事件响应计划》指导三类协同 威胁响应、资产响应、情报支持与相关活动

 被编入《国土安全法案》的《2014年国家网络安全保护法案》(NCPA),针对关键基础设施所面临的网络安全风险,要求国土安全部与相关实体和个人配合,制定、维护、实施并定期更新网络事件响应计划。41号总统政策指令(PPD)《美国网络事件协调》及其附件提出了联邦政府响应网络事件的原则,为协调响应重大网络事件提供了架构,要求国土安全部制定《国家网络事件响应计划》(即NCIRP或“计划”),应对关键基础设施所面临的网络安全风险。NCIRP属于国家备灾系统,它为“举国行动”方法建立了网络事件缓解、响应与恢复的战略框架和原则。这种“举国行动”方法[4]涵盖并极度依赖公私合作,旨在解决关键基础设施所面临的主要网络安全风险。

响应计划目的与组织 – NCIRP提供统筹指导,在影响关键基础设施的重大网络事件发生时,通过采用“举国行动”方法进行响应并与利益相关者协同活动。NCIRP为国家、部门及特定组织的网络行动计划制定了通用原则和战略框架。

目标读者 – NCIRP的目标读者是美国境内组织。不过,美国的国际合作伙伴也可以通过阅读本文加深对美国网络事件协调的理解。这种“举国行动”概念关注的是“行动”,各种利益相关者—私营与非营利部门(包括关键基础设施的私营与公共业主和经营者)、SLTT(州、地方、部落、领地)政府以及联邦政府—可参与事件响应活动并进行充分合作。仅靠政府资源无法满足重大网络事件影响方的所有需求。重大网络事件发生时,上述各方须团结起来,积极地投身到响应活动中。

《国家网络事件响应计划》规定司法部牵头进行威胁响应

联网技术无处不在,影响着我们生活的方方面面。这些技术驱动了创新,带来了自由,促进了经济繁荣。但是,它们同时为恶意与有害的网络活动提供了新的机遇。国家对这些联网技术的依赖暗含风险,进而促生了41号总统政策指令(PPD-41):《美国网络事件协调》。该文件制定一系列原则,指示联邦政府对于网络事件(包括针对政府的事件和针对私营部门实体的事件)应如何响应。

 

PPD-41号总统令认识到网络事件与日俱增,而这种趋势短时间内无法扭转。最严重的网络事件会对美国的国家安全、外交关系、经济或美国人民的公众信任、公民自由、公共健康与安全等造成明显危害。对付这些事件,需要精心规划与协调,实施响应活动,尽可能降低对国家、基础设施和生活方式的威胁与影响。

《国家网络事件响应计划》(下称“NCIRP”或“计划”)依据PPD-41号总统令制定,贯彻国家备灾系统的理念,明确规定了国家在响应威胁到关键基础设施的重大网络事件及进行恢复时所涉及到的角色与职责、能力以及协调机构。NCIRP不是战术或行动计划,而是一个重要的战略框架,帮助利益相关者了解联邦部门/机构以及其他国家级合作伙伴如何为响应行动提供支持。NCIRP在制定过程中获得了政府与私营部门合作伙伴的紧密配合。它阐述了联邦政府在重大网络事件发生后应如何协调各种活动以控制影响,即PPD-41号总统令中定义的协同行动:威胁响应、资产响应、情报支持以及受影响实体对于事件影响(这种影响涉及到其运营、客户和员工)的控制。网络统一协调小组内部针对每类行动需要进行的活动以及涉及到的主导联邦机构规定如下:

  • 司法部在重大网络事件发生后牵头进行威胁响应,由联邦调查局和国家网络调查联合特遣队(NCIJTF)具体实施。威胁响应活动包括在受影响实体的现场进行相应执法和国家安全调查;收集证据与情报;提供溯源信息;关联相关事件;识别受影响的其他实体;识别威胁追踪和终止机会;制定并实施行动方针缓解直接威胁;推动信息共享以及与资产响应的行动协调。
  • 国土安全部在重大网络事件发生后牵头进行资产响应,由国家网络安全和通信集成中心(NCCIC)具体实施。资产响应活动包括为受影响实体提供技术支援,以保护其资产、缓解漏洞、降低事件影响;识别可能受到影响的其他实体,评估面临相同或相似漏洞的风险;评估部门或地区所面临的潜在风险(包括潜在的级联效应),制定风险缓解行动方针;推动信息共享以及与威胁响应的行动协调;就如何合理、及时、有效地利用联邦资源和能力以加速恢复提供指导。
  • 威胁和资产响应人将分担某些职责和活动,包括与受影响实体沟通,了解网络事件的性质;就可用联邦资源和能力向受影响实体提供指导;通过恰当的渠道及时扩散响应中获取的情报与信息;推动信息共享以及与其他联邦政府实体的行动协调。
  • 国家情报总监办公室(ODNI)在重大网络事件发生后牵头进行情报支持,由网络威胁情报整合中心(CTIIC)具体实施。情报支持与相关活动包括向联邦资产与威胁机构提供支持,推动情境威胁感知建设与相关情报共享;综合分析威胁趋势与事件;识别知识沟;降低或缓解攻击方的威胁能力。
  • 受影响的联邦机构应采取各种手段控制网络事件的影响,包括维护业务或运营连续性;控制负面经济影响;保护隐私;管理责任风险;遵循法规要求(包括信息披露与通知);同员工或其他受影响个人沟通;处理外部事务(如媒体采访与国会调查)。受影响联邦机构对此类行动负主要责任。
  • 当网络事件影响到私营实体时,联邦政府一般不会插手此类行动,但是会实时跟进受影响实体的响应活动,条件是须符合上述原则并且得到受影响实体的配合。部门对应机构一般会协调政府部门工作,了解网络事件对于私营部门关键基础设施的潜在业务或运营影响。

协同行动

网络安全是大家的共同责任,本文中的响应活动通过三类协同行动实现:威胁响应、资产响应、情报支持与相关活动。还有一类是受影响实体的响应。这些行动为协调各种响应活动和在网络事件发生前、中、后进行协调一致的行动提供了基础。联邦与非联邦实体在响应网络事件时应实时了解这些行动,据此行动。

表2:影响民用网络的重大网络事件发生期间起主导作用的联邦机构

行动

主导联邦机构

威胁响应

由司法部主导,联邦调查局和国家网络调查联合特遣队(NCIJTF)实施

资产响应

由国土安全部主导,国家网络安全和通信集成中心(NCCIC)实施

情报支持

由国家情报总监办公室(ODNI)主导,网络威胁情报整合中心(CTIIC)实施

受影响实体响应

受重大网络事件影响的具体联邦机构主要负责相关响应活动。

重大网络事件若影响到某私营实体,联邦政府一般不会参与响应,但是与该实体行业相关的一个或多个特定机构会协调联邦政府活动,了解该事件对私营部门关键基础设施的潜在业务或运营影响。

 

威胁与资产响应人共同承担的责任和活动包括但不限于:

  • 与受影响实体沟通,了解网络事件性质;
  • 为受影响实体提供指导,使其了解可用的联邦资源与能力;
  • 通过合适渠道,及时扩散响应过程中获取的情报与信息;
  • 推动与其他实体的信息共享和行动协调。

国际协调在四类协同工作中均起着关键作用。互联网与通信基础设施具有跨国特性,再加上美国私营部门的业务遍布全球,与其他国家来往频繁,联邦政府可能会与国际合作伙伴协调行动,全面响应网络事件,进行威胁响应、资产响应和情报支持。

国务院代表美国在全球范围内就各种国际政令进行外交活动,包括网络问题。根据《2011年国际网络空间战略》,外交在解决网络威胁、响应国内外网络事件中是至关重要的必要环节,国务院利用位于世界各国的使馆外交官为网络事件响应提供全天候国际外交支持。国务院就网络事件协调外交资源,而多个联邦部门和机构则应积极维护、利用多边与双边合作关系。与此类似,许多ICT企业和服务提供商跨国经营,控制着关键的国际因素与关系,包括与全球政策和执行群体的互动。联邦政府/机构会适时进行国际协作或与私营部门协作,为网络事件响应中所涉及的国际因素提供支持。

 

《国家网络事件响应计划》

上一篇:网信办印发《国家网络安全事件应急预案》中网办发文〔2017〕4号
下一篇:返回列表
Copyright(C)2014 南京西数科技有限公司 wdsos.com 备案号:苏ICP备06012485号
地址:江苏省南京市玄武区珠江路435号华海大厦6楼606A室 技术部:025-83608636(8:30-18:30)
进度查询:025-83608636 24小时恢复热线:13813824669 联系人:陈兵兵
整站策划由 中数安盟 提供