發展網路安全能力(四):構建危機管理能力的4個步驟
蘭德公司於2018年8月釋出報告《發展網路安全能力-基於概念驗證的實施指南》(Developing Cybersecurity Capacity- A proof-of concept implementation guide),旨在促進國家級網路安全能力建設計劃以及整體政策和投資戰略的制定,以應對網路領域的挑戰。現由學術plus編譯全文,僅供學習參考。
本文《發展網路安全能力(四)構建危機管理能力的4個步驟》針對國家網路安全能力成熟度模型中第一維度“網路安全政策與戰略”中“危機管理能力”因素進行深入分析。本節討論並強調了國家建立、審查和更新國家危機管理應用程式、功能協議和標準的能力。並指導如何對不同危機管理技術執行過程中涉及的利益攸關方的表現進行評估。
發展網路安全能力
Developing Cybersecurity Capacity
(四)
構建 危機管理能力的4個步 驟
編譯:學術plus
原載:https://www.rand.org
這一因素著重強調發展國家建立、審查和更新國家危機管理應用程式、功能協議和標準的能力。做法如下:
•考慮在危機管理計劃階段引入預警和水平掃描機制。
•制定有針對性的行動計劃和操作程式,以便於改進危機管理活動。
•建立機構協調機制,並且不斷髮展標準化的資訊收集、跨部門溝通和公共事務處理的能力。
•考慮危機管理單元的實現,該單元具有敏捷的、有效的危機響應所需要的自主權。
這些良好做法為危機管理奠定了基礎,然而,為了持續構建國家的抗風險能力和危機管理能力,經歷高級別的、多利益攸關方參與的演習,並對不同危機管理技術執行過程中涉及的利益攸關方的表現進行評估,這一點非常有必要。國家級、部門和跨部門的演習可幫助當局和其他相關的利益攸關方去:
•評估危機管理應用程式的功能和恢復能力、功能協議和標準;
•識別相互依賴和/或弱點;
•演習合作,分享最佳實踐,並在組織和利益攸關方群體之間建立信任;
•測量改進(多個演習過程中)。
方框 1.4 :構建危機管理能力的步驟 (D1.4)
Ø 任命一個任務負責機構負責:(一)協調在危機管理方面的工作;(二)與有關的公共部門及私營部門的利益攸關方等保持聯絡。
Ø 對需要評估的危機管理措施和技術進行需求評估。
Ø 開發和執行一個現實的高級別的演習場景,來測試資訊流動和決策,並在其執行期間不斷將新的資訊注入這一場景中。
Ø 基於SMART評價目標和關鍵效能指標(KPIs),為國家有關利益攸關方與國際合作夥伴準備定製的、部門特定的演習評價和經驗教訓報告。
構建危機管理能力建設的步驟1
Ø 任命一個任務負責機構負責: (一)協調在危機管理方面的工作; (二)與有關的公共部門及私營部門的利益攸關方保持聯絡。 |
應指定一個任務負責機構,監督並負責與建立危機管理能力有關的活動。任務負責機構將通過監督高層次演習的生命週期,來負責促進危機管理能力的發展。這就需要確定待測試的措施和機制,建立演習的規劃團隊,領導演習的規劃和交付(可能有外部專家支援),提供協調和執行演習的資源,確保演習得到評價,並確保經驗教訓和特別報告與相關的利益攸關方共享。通常,識別演習需求的組織也是負責開發和執行演習的組織,但是外部專家的支援在從演習中提取最大價值時非常有用。關於指定任務負責機構的詳細資訊,以及規劃和執行演習的模板和示例材料,將在接下來的頁面中進行討論,都列示在本節末尾列出的參考資料中。
對於應該監督這類活動的領導組織型別,並沒有明確的指導原則。在可用的公開文獻中提出的範例表明,一個權威機構通常會任命一個組織,在一個特別指導委員會的幫助下,在整個生命週期全程領導和協調這一演習。 |
構建危機管理能力建設的步驟2
Ø 對需要評估的危機管理措施和技術進行需求評估。 |
在演習生命週期的一開始,任務負責機構需要確定待測試的危機管理措施和技術。一般來說,在部門和跨部門的演習中,應注重採用合作、協調和交流的機制。
在演習過程中可以評估許多不同的措施和技術,例如:參與者的共同情境意識;業務連續性計劃的要素;遵守業務連續性計劃;響應速度;決策過程;內部和外部協作以解決難題;以及資源、物流和支援能力的協調。 |
根據為評估而選定的措施和技術,應該選擇相關的利益攸關方來擔當關鍵角色。這些利益攸關方將在隨後的步驟中全程參與這一能力領域的活動。
在決策過程中,要確定待測試的措施和技術,還應該考慮到整個演習生命週期中可用的資源,以及相關參與者的可用性和承諾。組織、執行和評價多利益攸關方參與的演習所需要付出的努力不應被低估。 |
構建危機管理能力建設的步驟3
Ø 開發和執行一個現實的高級別的演習場景,來測試資訊流動和決策,並在其執行期間不斷將新的資訊注入這一場景中。 |
已經確定了待評估的措施和技術之後,該任務負責機構應該集中精力開發一個看似合理的高級別的場景,以便在演習設定中將其用於測試這些措施和技術。生成一個現實的、具有挑戰性的、計劃良好的場景,不論是對確保利益攸關方的參與,還是對確保演習的成功都是至關重要的。
在選定一個場景並開始詳細的演習規劃活動之前,應該考慮開發一系列高級別的場景。所選擇的場景應該最適合於前面步驟中確定的目標和需求。 |
一旦為開發選定了一個高級別的場景,就應該確定其型別、規模、地理範圍和參與者。可以開發幾種型別的演習。每種型別都有不同的格式、優點、挑戰性和成本。這些型別的演習大致可以分為兩類:
• 基於討論的演習 :這些演習允許參與者檢查和討論場景,測試決策程式,以及開發或改進響應過程。這些演習可以採取討論會、研討會、桌面演習或遊戲的形式來進行。
• 基於行動的演習 :這些演習要求在危機管理程式之外採取行動,以便於允許測試這些程式,並讓相關工作人員做好遵循這些程式的準備。
表1.4 基於行動的演習和基於討論的演習的優缺點
演習的規模將在很大程度上取決於將要開展的演習的型別,以及規劃者可以得到的人力、技術和財務資源方面的支援。
仔細考慮不同規模演習的優點和缺點。考慮所選擇的演習規模是否與總體目標一致,以及是否適合組織者可能面臨的人力、技術、財務和時間限制方面的問題。 |
應確定好演習的地域範圍。圍繞這方面的考慮可能會影響即將實施的演習的規模。即使可用的資源有限,也可以進行地域範圍廣泛的演習,例如,通過減少與其機制或參與者數量相關的複雜性。
地域範圍更廣泛的演習可能被證明更難得以實施。然而,這通常會讓該演習的好處擴散到更多的組織/個人身上。 |
演習的地域範圍可能由其高級別場景的內容來決定。考慮某些事件可能會對除最初考慮到的區域和國家以外的區域和國家的資產產生連鎖效應,或者某些事件可能會因性質而在地理上分散。 |
最後,在進入演習開發階段之前,應該確定好參與者。哪一個組織要參與演習,這在很大程度上取決於該演習旨在評估的措施和技術,以及將要實施的演習型別。
該演習應包括參與評估措施或技術的主要利益攸關方組織在適當決策級別的代表。 |
一旦已經確定好演習場景、型別、規模、地域範圍和參與者,就應該開始詳細規劃和開發該演習。規劃和開發階段的持續時間長短取決於許多因素。 執行演習需要至少一個日曆年的規劃週期,而小規模的、以討論為基礎的演習很可能需要幾個月的規劃。
在第一輪特定演習型別的規劃回合中,確保規劃團隊有額外的時間來制定所有的細節,確保參與者的承諾,並且圍繞該演習的概念達成共識。 |
在開發演習場景時,該規劃團隊應該從構建在此過程啟動時選定的高級別概念開始。開發團隊應該在其內部與關鍵利益攸關方的代表一起討論演習場景的不同迭代。目標應該是確保該場景儘可能地真實,同時與組織者的目標和需求保持高度一致。這將降低參與者在演習過程中挑戰該場景或努力消化該場景的風險。在本節末尾列出的參考資料中提供了場景示例和規劃模板。
在演習過程中,場景需要根據參與者的反應和行動進行管理和調整。基於此目的,新資訊的“注入”應該事先規劃好,並由演習主持人隨後進行使用。注入應該類似於現實生活中的事件,並且基於現實生活中的交流(例如,通過呈現不完整的、有缺陷的資訊和/或使用類似媒體的方法)來呈現。大多數注入應該在進行演習之前就規劃好。
該場景不僅應該被利益攸關方和參與者認為是現實的,它還應該保持足夠的靈活性,以便根據參與者採取的行動和決定在演習過程中進行演變和改編。 |
並不是所有已經準備好的注入都必須在演習中使用。該演習的管理者應根據收到的關於參與者如何參與和處理預先規劃的場景的資訊來使用這些注入,正如演習監測器所傳達的那樣。為了促進這一過程,應該準備好一系列注入,以適應不同的場景路徑。 |
演習的規劃和開發一旦完成,該演習本身就應該得以進行。招募參與者是下一個關鍵階段,獲得所需參與者的一些障礙可能包括參與者缺乏可用的資源、難以認識到參與的潛在好處或擔心保密問題。為了減輕這些挑戰,不妨進行投資,提高人們對該演習預期效益的認識,並且確保從規劃過程開始時就把參與者納入在內。通過確保資訊使用的透明度來創造激勵(例如,財政支援)和產生信任也可能是很有益的做法。此外,保持一個包容的、多利益攸關方的方法可以幫助在參與的利益攸關方之間建立一種共享所有權的意識。演習組織者還可以制定媒體政策,以避免對這項演習產生誤解。
網路風暴演習網路風暴是由美國國土安全部(DHS)組織的一系列為期兩年的全面演習。網路風暴系列旨在加強不同級別的網路安全防範和應對能力,使參與者能夠執行政策、過程和程式,識別並應對針對多部門重要基礎設施的網路攻擊。 2016年的網路風暴(網路風暴五)需要18個月的規劃和交付工作。行動被分為5個階段,即:範圍界定、設計和開發、準備、開展和評價階段。在整個演習生命週期中,規劃人員與一系列社群和利益攸關方打交道。這項演習一共有1200多名參與者,代表來自美國國內外的大範圍的公共部門和私營部門組織。 網路風暴五的網路特定場景利用了網際網路協議和服務中的現有弱點,來破壞路由方法、域名系統(DNS)和公鑰基礎設施。要解決這一場景造成的問題,需要政府和私營部門協調一致地做出響應。 據該組織者介紹,“網路風暴五”成功地為參與者提供了一個機會,讓他們能夠審視網路響應能力的演變,並找出目前在應對具有全球影響的協同網路攻擊方面的差距和挑戰。 |
構建危機管理能力建設的步驟4
Ø 基於SMART評價目標和關鍵效能指標(KPIs),為國家有關利益攸關方與國際合作夥伴準備定製的、部門特定的演習評價和經驗教訓報告。 |
評價綜合了那些值得進一步改進的領域的觀察結果。它們的目的是傳播從進行這項演習中獲得的經驗教訓,其中可能包括改善組織結構和過程、機制以及其他各種領域。評價的目的可能是查明影響所測試的連續性計劃成功的主要障礙、成功實施所需的技能,以及協調、決策和通訊方面的薄弱環節和漏洞。評價可以提出改進這些和其他領域的建議。
評價過程應包括以下幾個階段:
1. 設定評價目標
只要目標是明確的、可行的和可實現的,那麼演習就可以成為加強戰略危機合作和管理目標的主要方法。在規劃階段的剛一開始,任務負責機構和涉及到的利益攸關方就應該確定這項演習的SMART目標。評價期間要調查的目標可包括:
(一)所測試的連續性計劃成功的主要障礙;
(二)成功實施所需的技能;
(三)所測試的通訊鏈中的相互依賴和薄弱環節。
評價過程和需要收集的支援資料應該提前設計好。這可能包括監控報告模板和完成它們的指導方針,準備利益攸關方的調查問卷,以及確定該演習團隊在演習的中間階段可能需要的簡要彙報時刻。
2. 行動後回顧
進行評價的最佳時間是在演習結束後,因為這可以讓組織者在體驗新鮮的同時,從不同參與者和角色扮演者那裡獲得資料,還能確保該評價結果在演習結束前得到傳達。
評價工作應以編寫許多報告、向一系列利益攸關方介紹已完成的行動、吸取的經驗教訓和建議而告終。鑑於危機管理實踐演習中所測試的問題的敏感性,可能會設計出針對不同受眾群體的多份報告。例如,作為複雜演習的一部分,參與其中的個人利益攸關方可能會收到一份獨特的、機密性的報告,為個人的組織提供詳細的觀察結果和建議。通常,應編寫一份內部協商一致的報告,以便在所有相關的利益攸關方之間進行分發,並提出與演習期間所測試的部門或機制有關的普遍調查結果和建議。應考慮通過採用一個合作的、包容的評價程序,使參與者參與擬訂結論和建議。這可能使利益攸關方能夠更多地擁有評價過程的所有權,從而增加對建議做出高水平反應的可能性。
最後,根據演習的規模和動機,可能會向公眾發表一份報告,介紹已進行的活動,但不討論演習的任何弱點、建議或發現。
3. 衡量成功
在評價的總結階段,演習團隊應著重評估該項演習是否大致實現了它所設定的目標,以及該演習團隊是否以有效的方式完成了任務。生成與評價演習的管理和執行有關的單獨模板和檔案可能會有幫助,以確保吸取的經驗教訓已被收集並採取行動,而不是分散在與正在測試的措施有關的檔案中。
最後,評價活動應被看作是一個更廣泛的、連續的演習週期內的一個環節。評價提供了學習和發展的機會,在今後演習的規劃和執行階段應考慮到從該評價所產生的結果和建議,以期將所吸取的經驗教訓和確定的良好做法納入其中。
圖1.9概述瞭如何將評價過程納入更廣泛的演習週期中。
資料來源:蘭德歐洲對歐洲網路與資訊保安局(ENISA)的詳細闡述(2009)
圖1.9:演習和評價週期Identifying measures確定措施;Planning the exercise規劃該演習;Conducting the exercise進行該演習;Evaluating the exercise評價該演習;• Setting evaluation objectives設定評價目標;• After-action review行動後回顧;• Measuring success衡量成功;Lessons Learned經驗教訓。
其他參考資料:
歐洲網路與資訊保安局(ENISA),2009年。國家演習的良好實踐指南:增強公共通訊網路的恢復能力。希臘,赫拉克里翁(Heraklion):歐洲網路與資訊保安局(ENISA)。 歐洲網路與資訊保安局(ENISA),2016年。網路危機合作與管理報告:歐盟層面危機管理的普遍做法和網路危機的適用性。希臘,赫拉克里翁(Heraklion):歐洲網路與資訊保安局(ENISA)。 聯邦民事保護和災害援助辦公室(BBK),2011年。戰略危機管理演習指南。波恩:聯邦民事保護和災害援助辦公室(BBK)。 基克(Kick),詹森(Jason),2014年。網路演習劇本。德國威斯巴登市(Wiesbaden):斜方公司。 |
(未完待續)
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。