(一)背景
新的美国的《The National Cyber Incident Response Plan (NCIRP)》是16年12月发布的,先来看看美国在事件响应方面各政府机构和中心的分工和职责。
(二)什么是美国《国家计算机事件响应计划》(NCIRP)?
NCIRP描述了联邦政府、私营部门和SLTT政府有关网络事件的各种角色和责任,以及我们将如何组织活动以管理重大网络事件影响。
2016年7月,前总统奥巴马签署了总统政策指令41(PPD-41)《美国网络事故协调策略》,填补了联邦政府重大网络事件做准备、响应和恢复的政策缺口。
PPD-41中规定的任务之一是编制NCIRP来处理网络安全风险,协作行动,以减轻、响应和恢复网络事件。 NCIRP保留了2010年临时版本的重点概念和原则,同时将从演习、真实事件、最佳做法中中吸取的经验教训。
(三)执行总结
网络技术触及全球各个角落和人类生活的各个方面。推动创新、自由,促进经济繁荣。也为恶意和不必要的网络活动提供了新的机会。这些风险导致了总统政策指令41(PPD-41)《美国网络事故协调策略的出台》,其中规定了联邦政府对任何网络事件的响应的原则,无论是涉及政府还是政府私营部门实体。
PPD-41意识到到网络事件发生的频率正在增加,而且这种趋势在很短时间内也不会被扭转。这些事件中最重要的事件,那些可能对美国的国家安全利益、外交关系或经济或公众信心,公民自由或公众健康和安全造成可怕的损害。
国家网络事件响应计划(NCIRP或计划)是依据PPD-41编制的,
NCIRP不是战术或操作计划,而是主要战略框架,作为利益相关者了解联邦部门和机构、其他国家级合作伙伴应如何提供资源,响应网络事件。在与政府和私营部门合作伙伴协同下,NCIRP阐述了由PPD-41定义的应做的一些工作,通过这些工作,联邦政府将组织其行为以管理重大网络事件。这些工作包括威胁响应、资产响应、情报支持和受影响的实体。网络统一协调组(Cyber
Unified Coordination Group)的相关机构职责如下:
-
司法部(The Department of Justice)是发生重大信息安全事件的威胁响应的主责机构,通过下属的FBI和国家网络调查联合工作组(National Cyber Investigative Joint Task Force)履行职责。
-
国土安全部(DHS)下属的NCCIC则负责发生重大信息安全事件的资产响应。资产响应活动包括向受影响实体提供技术援助,以保护其资产,减轻脆弱性,减少网络事件的影响。识别可能处于风险中的其他实体,并评估其相同或类似漏洞的风险;评估该行业或区域的潜在风险,包括潜在的级联效应,以及制定减轻这些风险的行动方案;促进与威胁响应的信息共享和业务协调;并就如何以及时有效的方式最佳地利用联邦资源和能力提供指导,以加快恢复力度。
-
威胁和资产响应者(Threat
and asset
responders)将分担一些责任和活动,其中可能包括与受影响的实体沟通,以了解网络事件的性质;向受影响的实体提供有关联邦资源和能力的指导;及时通过适当渠道传播在回应过程中学到的情报和资料;并促进与其他联邦政府实体的信息共享和业务协调。 -
国家情报总监办公室(The
Office of the Director of National Intelligence)是通过下属的网络威胁情报综合中心(Cyber
Threat Intelligence Integration Center.)进行的重大网络事件中情报支持的牵头协调。 -
受影响的联邦机构应进行各种努力以管理网络事件的影响,包括维持业务或运营连续性;解决不利的财务影响;保护隐私;管理责任风险;符合法律法规要求(包括披露和通知);与员工或其他受影响人员进行沟通;处理对外事务(如媒体和国会查询)。受影响的联邦机构将对这一努力负主要责任。
NCIRP建立在这些之上,以说明国家对加强网络技术和基础设施的安全性和弹性的承诺。该计划概述了利益相关者可以利用的结构和内容,以便为其制定机构、部门和组织特定的运营响应计划提供信息。
(四)事件响应中各个联邦网络安全中心的角色
联邦政府已经建立了在各部门和机构建立了相关的网络安全中心,加强信息共享,维护网络事件的态势感知,并作为公共和私营部门利益相关方实体之间的渠道。为了支持联邦政府的网络事件管理协调协同,“网络统一协调小组(Cyber
Unified Coordination
Group)(PPD-41规定,在事件过程中,网络统一协调小组将充当“协调联邦机构间应对重大网络事件以及联合私营部门(视情况而定)的主要方法。”)可以利用这些网络安全中心建立的强化协调程序,高于稳态的能力和/或业务或支持人员。
-
国家网络安全和通信整合中心(NCCIC)作为国土安全部的一个业务部门,NCCIC是协调联邦政府对网络事件的资产响应的主要平台。 NCCIC根据2014年“国家网络安全保护法”第3节授权。
-
国家网络调查联合工作组(NCIJTF)是由联邦调查局(FBI)管辖的多机构中心,是协调联邦政府威胁响应。 NCIJTF根据国家安全总统指令-54 /国土安全总统指令-23授权。
-
网络威胁情报综合中心(CTIIC)是国家情报总监办公室下属单位,CTIIC是联邦政府情报整合、分析和支持活动的主要平台。 CTIIC还提供与外部网络威胁或涉及美国国家利益的网络事件相关的情报的综合全方位分析。
-
美国网络司令部(USCYBERCOM)联合行动中心(JOC):这是军方的机构,USCYBERCOM JOC负责美军国防部信息网(DoDIN)的运营和防御。在DoDIN受事件影响期间, USCYBERCOM负责管理DoDIN的威胁和资产响应,并根据需要从其他中心获得支持。
-
国家安全局网络安全威胁运营中心(NCTOC)是36,5*7*24,负责描述和评估美国以外的网络安全威胁。 NCTOC通过对外国情报的分析,向对方通报目前和潜在的恶意网络活动,重点是对手计算机网络攻击,能力和利用。根据需要,NCTOC还向美国政府部门和机构提供技术援助。
-
国防部网络犯罪中心(DC3)DC3通过数字取证、重点威胁分析和培训,支持执法,反间谍、信息保障、网络防御和关键基础设施保护。 DC3为联邦机构任务合作伙伴提供分析和技术能力。
-
Intelligence Community – Security Coordination Center(IC-SCC):IC-SCC任务是监督和监督IC信息环境与IC伙伴的综合防御,并由国家情报总监办公室首席信息官授权。
