2022年6月27日，蘭德公司國土安全作戰分析中心(HSOAC)發布報告《重大網絡事件計劃：決策者導論》(Planning for Significant Cyber Incidents：An Introduction for Decisionmakers)。

報告旨在為國家關鍵職能利益相關的部門制定專門的“重大網絡事件應急計劃”，尤其是為政府和私營部門制定可操作的應急計劃。文章詳細描述了“重大網絡事件應急計劃”的重要性分析、制定過程與計劃實施內容等，僅供參考。

重大網絡事件計劃-決策者導論

編譯：學術plus高級觀察員 冰墩墩和雪融融

本文主要內容及關鍵詞

1.重大網絡事件應急計劃：用于指導國家關鍵職能部門重大網絡事件的響應。計劃的含義與內容，特定網絡計劃的挑戰，計劃層級(戰略層-作戰層-戰術層)，可與其他計劃協同實施。

2.如何制定這一計劃?團隊組成；計劃制定流程(收集數據和調查威脅，制定任務說明和目標，制定行動方案，確定關鍵任務活動并起草計劃，評估計劃風險)。

3.計劃的實施：宣貫和修訂，演練和培訓?，復盤，建立知識庫，維護和更新。

4.評析：為重大網絡事件制定計劃是一項復雜的工作，需要多方密切合作；本指南為美國政府與私營部門“運營核心網絡”的重大網絡事件的應急處理提供了一個有效的計劃框架。

網絡事件發生的頻率越高，對政府、企業和個人的破壞性越大、成本越高，大多數事件可以通過定期協調和響應機制處置，但有些事件卻超出了利益相關者的范圍。

1.應急計劃

重大網絡事件應急計劃

1.1 計劃內容

“重大網絡事件應急計劃”是對包括網絡事件在內的突發事件做出協調、快速地和有效地反應。對重大網絡事件的計劃過程可促進對事件響應的思考，利益相關者可加深對各自角色和責任的理解、并達成對信息共享的共識，具體包括：

● 明確事件響應中相關的角色和職責

● 建立對信息共享的預期和需求

● 制定私營部門與政府之間的協調機制

● 識別國家關鍵職能部門相互依賴關系和級聯效應

● 在重大網絡事件發生前，提高防御能力與韌性

**以上計劃可應用到相關領域中，作為事件響應期間的指南使用

1.2 特定網絡計劃的挑戰

計劃對于網絡事件的響應尤其重要，在持續發生的網絡事件環境中，由于政府和私營部門的應急人員缺乏相應的經驗和事件響應能力以及不完善的流程測試，嚴重降低了人員有效的協調能力。所以計劃對于網絡事件的響應尤其重要，同時也面臨以下4個挑戰：

網絡事件發展迅速：采取行動減輕事件影響的窗口有限

網絡事件具有高度不確定性：響應者需要根據不完全的信息做出響應決策

網絡事件難以檢測：與其他事件(如自然災害)不同，網絡事件沒有明確的開始和結束，入侵行為通常不會被立即檢測到

網絡事件起因無法確認：可能是無意引起的還是由人為惡意引起的

1.3 計劃層級

在戰略、作戰、戰術層面上制定計劃：

戰略層：戰略計劃為作戰計劃設定了背景和預期。提供一個總體框架，為政策、作戰計劃和資源決策建立基礎

作戰層：作戰計劃明確為執行戰略計劃任務所需的資源。闡述了在實際和潛在事件中，各機構和組織之間的角色職責、任務、活動和資源的統籌協調，以及其他組織的預期(作戰層的應急計劃明確指出：計劃的意圖，事件響應的目標，預期的最終狀態;計劃對威脅和風險的管理;適用范圍：適用該計劃的條件和情況;組織角色、職責和協調機制)

戰術層：戰術計劃闡述了如何在規定時間內使用資源完成作戰計劃中既定目標的詳細行動

應急計劃用于指導國家關鍵職能部門的重大網絡事件影響的響應，可以與其他計劃一起實施。包括應急和災難響應計劃、行動手冊和業務連續性計劃，可能與網絡事件有關或旨在解決網絡攻擊或其他事件的后果。此外，也涉及執法部門和美國防部的相關應對計劃，因為從網絡事件響應計劃中獲得的信息可以納入反威脅計劃，反之亦然。

2.計劃制定流程

組建核心計劃團隊包括：①主要負責國家關鍵職能部門事件響應的關鍵組織的代表;②具有作戰方面經驗和專業知識的專家;③硬件和軟件供應商;④網絡安全公司;⑤互聯網服務提供商;⑥負責檢測、評估和監控的有經驗員工;⑦負責事件期間跨部門的聯絡人;⑧了解法律法規的公關人員。

一旦核心計劃團隊和其他利益干系人就位，并且選擇了協作方法，團隊就可以自己開始計劃過程。此過程分為五個步驟，如圖1所示。

圖1：計劃過程

2.1收集數據和調查威脅

● 根據收集的數據找到問題原因

● 再識別國家關鍵職能部門自身和將來面臨的風險和威脅，并進行優先排序

● 最后制定應急計劃，包括基于場景和基于職能的計劃

● 數據收集和風險識別是一個迭代的過程，貫穿整個計劃過程

2.2 制定任務說明和目標

● 制定一份初步任務說明，以幫助計劃人員實現預期的事件響應目標、

● 計劃過程開始時，目標可以以草稿形式描述，并隨著計劃的進展不斷完善

● 計劃過程結束時，吸取經驗教訓優化任務說明

● 并為實際突發事件時為執行計劃的人員明確方向

2.3 制定行動方案

● 制定替代行動方案，并評估方案的有效性，最大限度地降低風險和最大限度地提高成功概率

● 每個方案必須指定時間表、關鍵決策點和任務職責

● 明確的預期目標，包括可行性、完整性和可接受性

2.4 確定關鍵任務活動，起草計劃

應急計劃有四個主要組成部分情況、概述、執行、附錄：

情況：描述制定計劃的原因，并提供有關計劃范圍和關鍵假設的信息

概述：描述參與計劃執行人員的使命、目標、角色和任務

執行：詳細描述利益相關者將如何應對重大網絡事件，包括將如何識別和評估事件(第1階段)、協調和補救事件(第2階段)、緩解和過渡到事后操作(第3階段)，并解釋操作協調和信息共享

附錄：提供獨立且對執行計劃有用的附加信息

2.5 評估計劃風險

兩個主要風險點：評估重大網絡應急計劃的風險，需要在風險評估過程中進行識別、評估和補救，作為制定應急計劃成功的一部分。兩個主要風險點：一是，可能阻礙國家關鍵職能部門執行應急計劃解決重大網絡事件的風險;二是，如果執行應急計劃，可能會損害其他國家關鍵職能部門提供基本服務的能力的風險。

風險評估步驟：

風險識別：收集數據識別風險形成風險列表

風險分析：涉及對不同風險的可能性和結果的研究，從而判斷出哪些風險是重要的，以及補救措施的重點

風險降低：包括加強關鍵設施故障的保護;加強風險評估和信息共享，改進對新出現威脅的識別，以減少響應延遲;預先部署庫存和資源，并進行定期培訓和演練，確保人員和資源準備就緒

圖2：風險評估步驟

3.實施計劃

3.1 計劃宣貫和修訂

● 計劃編制完成后，分發給相關的個人和組織，并進行宣貫

● 計劃編制人員與各方進行后續談論，并提供反饋意見

● 在國家關鍵職能利益相關者中指定一名協調員，負責后續計劃文件的維護，涉及收集反饋意見的修訂

3.2 計劃演練和培訓

● 通過演練測試驗證計劃在響應能力方面的差距和限制

● 建議在盡可能接近真實情況的環境中進行演練測試

● 制定培訓計劃，以幫助參與應急響應人員具備相應的知識和技能

3.3 經驗記錄和復盤

● 通過實際的網絡事件響應和演練中總結經驗，及時調整計劃

● 每個組織應制定嚴格的事后審查程序，包括記錄、審查、評估和計劃改進

3.4 建立知識庫

● 關注網絡安全和韌性方面的最新文獻和最佳實踐，幫助計劃持續改進

● 調研審查網絡安全出版物、報告、趨勢和威脅分析

● 參加部門和國家關鍵職能利益團體之間的信息分享活動、座談會和非正式討論

● 參加跨部門危機管理和應急計劃演練

3.5 計劃維護和更新

● 應急計劃，需定期修訂

● 制定監管過程，定期審查計劃，確保其準確性和完整性

● 各組織確保計劃中所需的人員和資源，滿足計劃要求

4.評析

為重大網絡事件制定應對計劃是一項復雜的工作，需要多個利益相關方密切合作。本報告總結了由美國國土安全作戰分析中心(HSOAC)和美國網絡安全和基礎設施安全局(CISA)的專家制定的《重大網絡事件的計劃:網絡事件應急計劃指南》的關鍵要素，并列出了利益相關者在制定國家關鍵職能應急計劃時要考慮的流程、問題和注意事項，提供了一個有效的計劃框架和模板。旨在指導私營部門和聯邦政府如何應對“運營核心網絡”的重大網絡事件對國家關鍵職能的影響。

(全文完)

參考鏈接：https://www.rand.org/pubs/research_reports/RRA1265-1.html

來源：學術plus