· 公众号:业务连续性+ 原文链接 ↗

阅读与思考20180828_网络安全演练专辑5(下)

网络安全演练专辑分为以下5个部分:

从C yber E urope 看网络安全演练 2. 网络安全演练分类法 3. 十谈网络安全 Cy bersecurity 4. 网络安全事件 响应、 网络 杀伤链、OODA及其它 5. 网络安全演练指南

【 导读 】 本期阅读与思考,接上期的 “网络安全演练专辑( 5)(上) 。主要介绍: 《 C yber Breach – what if your defenses fail? Designing an exercise to map a ready strategy 》 , 《突发事件应急演练指南》 ( 国务院 应急办函 [ 2009] 6 2号) 、 美国 国土安全部的 国土安全演练与评估项目 HSEEP (H omeland Security Exercise and Evaluation Program ) ( 2 013 年4月更新) 、 国际标准化组织 《I SO 22398: 2013 社会安全 – 演练指南》( ISO 22398: 2013 Societal security – Guidelines for exercises) 。 另, 从6月1 3 日开始, 公众号开始“网络安全演练专辑”连载, 这是该专辑的第9篇文章,也是最后一篇( 9 月份会根据朋友们的留言及反馈意见,整理完成“网络安全演练白皮书” ) 。

• R egina Phelps 的《Cyb er breach – What if your defenses fail? Designing an exercise to map a ready strategy 》

配图

当前在A mazon.com 上唯一一本在售的网络安全演练著作就是这本《网络安全演练》( C yber Breach: What if your defenses fail? Designing an exercise to map a ready strategy ),2 016 年3月出版,作者 R egina Phelps 是“国际知名的 危机管理和连续性规划专家”, “ 在过去的3 0 多年中,她 为4大洲的大型企业、政府和其它各类组织提供顾问服务”;“她每年设计和指导超过1 00 场演练”。 她还出版有《 应急管理演练:从响应到恢复》( Emergency Management Exercises: From Response to Recovery: Everything you need to know to design a great exercise , 2 010 年出版 ) 一书 。

作为 知名的“危机管理和连续性规划专家”,R egina 在这本书中有许多真知灼见, 比如: 我 常听到连续性专业人士说的一件事是他们为 最坏情形( worst-case scenario) 作计划”,这当然是错的,你不可能为最坏情形做规划,你只能为糟糕但仍属于“日常”的情况( routine emergency) 做规划,因为不会那么多时间、金钱和风险限额来规划最坏情形; 再比如, “ 不是一个,而是两个设计团队 ”(后面会详 述为什么需要两个团队 ) , …… 。

下面重点 介绍书中的 网络安全演练成功的8 条原则 ( eight aspects) :

• 高管层的支持 取得高管层 的认同和支持才能获得完成网络安全演练所必需的人员、资金、时间等各种资源,所以取得高管层支持是成功网络安全演练的第一步;与此同时,也需要让高管层知道网络安全演练会让我们对组织的业务和安全现状有更多、更深的了解, 有些发现的问题还无法马上给出解决办法,这可能会让领导层在演练结束时感到不舒服。演练规划人员也要 注意保护技术和信息安全部门以 避免让网络安全演练演变成互相指责或“猎巫”游戏。

• 技术和信息安全部门的主动参与 网络安全 演练需要技术和信息安全部门的主动、自愿参与。我们需要优秀的技术和信息安全人员加入规划团队,以帮助确定网络安全事件的真正成因。在与设计团队中的技术和信息安全专家沟通时,可通过提出:“我们可能会被黑吗?”,“它会如何发生?”, …… ,这样一系列的询问可能会得到钓鱼,水坑( watering holes) 或受感染的闪存盘等原因。演练设计人员不必过于深入入侵的细节,只需找到可能的方法即可。 (据此设计细节可知,Re gina 关注的网络安全演练更多是网络安全场景的业务或危机层演练,而非网络安全技术演练 )

• 合适的演练类型 有3种 网络安全演练类型:高级桌面演练、功能演练和综合演练,根据发起人的意图、演练目标及资源等情况,你需要选择合适的演练类型。

• 两支设计团队 1 支IT / 信息安全设计团队和1支“标准”的演练设计团队 ,IT / IS设计团队深入研究故事的细节并开发演练初始场景前和演练过程事件发展的详细时间线,在网络安全事件的时间线完成后,另一支设计团队才能开始设计他们的注入,这支“标准”的设计团队包括来自关键业务线、人力资源、公共关系、设施管理、安保和其它演练涉及到的业务线和部门,其成员根据网络事件和时间线,开发他们的注入,即从他们的观点如何看待IT造成的问题。 将两支独立的设计团队提出来,并明确他们不同的组成和任务,是R egina 的重要观点,也是我们在设计网络安全(业务而非技术 ) 演练时必须注意的。

• 初始 场景 与注入 交织 形成完整的“故事” 初始场景有时候可能有些神秘 ,也不可避免地复杂。接下来, 整个故事需要靠注入来推动, 参演人员必须认真分析得到的信息,搞清楚到底发生了什么,并给出应对计划; 根据新的变化, 模拟人员 给出新的注入并推动事件往前发展,最后形成完整的“故事”。

• “走出公司” 网络安全 可能会对公司声誉造成变坏,因此,我们必须“走出公司”,把外部相关方及相关信息纳入“故事”中。比如在事件开始时,有“坏人”将网络安全事件投到社交媒体上( 为增加真实性,可以模拟社交媒体信息,甚至有视频的事件信息及评论 ) 。为使演练更有趣并增加真实氛围,可以录制新闻(电视)台的报道视频 , 在报道中播报电视台正在去已被包围的公司途中并要求官方评论以及采访公司高管。

• 精心措辞的演练报告 考虑到 演练的 “政治 ” 问题,演练报告必须精心措辞。 在演练后 ,你已经知道 哪些 不行或者你还缺什么,以及怎么解决这些问题,报告需要用正面的方式来编写。 你需要编写不同的版本以适用不同的需求:高管层看的 执行摘要 ,主要是简短的发现和观察;详细的 演练报告 ( After-Action Report ,AAR ) ,为需要解决问题的人员准备;特定的 节选本 (提供给特定部门 ) ,主要强调发现以及它们需要如何纠正; 监管/审计版 ,这个版本的详略介于执行摘要和详细的演练报告之间。

• 精细的演练 后续行动 演练可能 揭示出许多问题,其中有相当一部分会被认为标识为“紧急 ” ,但你不可能马上搞定所有这些事。因此,你需要 采用以下方法行动:首先,把报告交到负责人面前得到确认和支持;接下来,制定一个详细的整改计划表(排定优先级),并得到负责人对优先级的认可;趁热打铁,在高管和业务负责人 关心时尽快要求相应的经费。

R egina 在书中 对以上8条原则,都用了至少1章的内容来详细阐述,还用大量篇幅详细描述演练前的准备( Leading up to the Big Day ! ) 和演练过程( Game Da y!) ,细节包括高级桌面演练、功能和综合演练时的房间布局,模拟小组房间的布局等。

附录包括1 0 页的词汇表以及 演练清单( exercise checklist) 和多种演练用报单及样例。

• 国务院应急办《突发事件应急演练指南》 (应急办函[ 2009]62 号 )

2 003 年SARS 事件后,我国开始系统地建设应急管理体系。 2 006 年1月,国务院发布了《国家突发事件总体应急预案》,2 007 年1 1 月1日《中国人民共和国突发事件应对法》 正式实施 ,并从国务院到地方各级政府成立了应急工作办公室,专门负责突发事件的应对。 这些法律法规都规定 政府机构、企事业单位和各类社会团体要在编制应急预案的基础上进行演练,通过各种演练培养安全意识并提高对突发事件的处置能力。

2 009 年9月,“为贯彻落实《突发事件应对法》和《国家突发事件总体应急预案》,加强对应急演练工作的指导,增强应对突发事件的能力”,国务院应急办组织有关方面研究编制并正式印发了《突发事件应急演练 指南》(以下简称《应急演练指南》 ) 。 全文共分6部分。 。

第1部分 总则 主要给出了 应急演练的 定义、目的、原则和分类,并强调了演练规划。 定义 应急演练是指各级人民政府及其部门、企事业单位、社会团体等(以下统称 演练组织单位 ) 组织 相关单位及人员,依据有关应急预案,模拟应对突发事件的活动 。 目的 包括检验预案、完善准备、锻炼队伍、磨合机制和科普宣教。 原则 结合实际、合理定位;着眼实战,讲求实效;精心组织、确保安全;统筹规划、厉行节约。 分类 按组织形式,可以分为桌面演练和实战演练;按内容,可以分为单项演练和综合演练;按目的与作用,可分为检验性演练、示范性演练和形究性演练;不同类型的演练相互组合,可以形成单项桌面演练、综合桌面演练、单项实战演练、综合实战演练、示范性单项演练、示范性综合演练等。 演练规划 演练组织单位要制订年度应急演练规划,按照“先单项后综合、先桌面后实战、循序渐进、时空有序”等原则,合理规划应急演练的频次、规模、形式、时间、地点等。

第2部分 介绍了 应急演练组织机构 。首先,演练应在相关预案确定的应急领导机构或指挥机构领导下组织开展;其次,演练组织单位要成立由相关单位领导组成的演练领导小组,通常下设策划部、保障部和评估组;最后,对于不同类型和规模的演练活动,其组织机构和职能可以适当调整。根据需要,可成立现场指挥部。下面逐一介绍主要的演练组织机构: 演练领导小组 负责应急演练活动全过程的组织领导,审批决定演练的重大事项。演练领导小组组成一般由演练组织单位或其主要上级单位的负责人担任;副组长一般由演练组织单位或主要协办单位负责人担任。在演练实施阶段,演练领导小组组长、副组长通常分别担任演练总指挥、副总指挥。 策划部负责应急演练策划、演练方案设计、演练实施 的组织协调、演练评估总结等工作。策划部设总策划、副总策划,下设文 案组、协调组、控制组、宣传组等。总策划是演练准备、演练实施、演练总结等阶段各项工作的主要组织者,副总策划协助总策划开展工作,文案组在总策划的直接领导下,负责制定演练计划、设计演练文案、编写演练总结报告以及演练文档归档与备案等;协调组负责与演练涉及的相关单位以及本单位有关部门之间的沟通协调;控制组在演练实施过程中,在总策划的直接指挥下,负责向演练人员传送各类控制消息,引导应急演练进程按计划进行, 其成员 常称为演练控制人员;宣传组负责编制演练宣传方案,整理演练信息、组织新闻媒体和开展新闻发布等。 保障部负责调集演练所需物资装备,购置和制作演练模型 、道具、场景,准备演练场地,维持演练现场秩序,保障运输车辆,保障人员生活和安全保卫等, 其成员也 常称为后勤保障人员。 评估组负责设计演练评估方案和编写演练评估报告,对演练准备、组织、实施及其安全事项等进行全过程、全位评估,及时向演练领导 小组、策划部和保障部提出意见、建议,其成员常称为演练评估人员。评估组可由上级部门组织,也可由演练组织单位自行组织。 参演队伍及人员包括应急预案规定的有关应急管理部门(单位 ) 工作人员、各类专兼职应急救援队伍以及志愿者队伍等。参演人员承担具体演练任务,针对模拟事件场景作出应急响应行动。有时也可使用模拟人员替代未现场参加演练的单位人员,或模拟事故的发生过程,如释放烟雾、模拟泄漏等。

第3部分是应急演练准备,包括制定演练计划,设计演练方案,演练动员和评估,应急演练保障等活动。 制定演练计划演练计划由文案组编制,经策划部审查后报演练领导小组批准,主要内容包括:确定演练目的,分析演练需求,确定演练范围,安排演练准备与实施的日程计划,以及编制演练经费预算等; 设计演练方案演练方案由文案组编写,通过评审后由演练领导小组批准,主要内容包括:确定演练目标,设计演练情景(包括演练场景概述和演练场景清单 ) 与实施步骤,设计评估标准与方法,编写演练方案文件(可包括演练人员手册 ,演练控制指南,演练评估指南,演练宣传方案和演练脚本 ) ,演练方案评审等; 演练动员与培训在演练开始前要进行演练动员和培训,确保所有演练参与人员掌握演练规则、演练情景和各自在演练中的任务; 应急演练保障主要包括人员保障,经费保障,场地保障,物资和器材保障,通信保障和安全保障等。

第4部分是应急演练实施,包括演练启动,演练执行,演练结束和终止。 演练启动演练正式启动前一般要举行简短仪式,由演练总指挥宣布演练开始并启动演练活动; 演练执行包括演练指挥和行动,演练过程控制,演练解说,演练记录,演练宣传报道等; 演练结束与终止

第5部分是应急演练评估与总结,包 括演练评估,演练总结,成果运用,文件归档与备案,以及考核与奖惩等。 第6部分 是名词解释和适用范围,指出《应急演练指南》适用于各级、各类应急管理领导机构组织开展突发事件应急演练时参考,并可结合实际情况制定具体的应急演练操作细则。

《应急演练指南》自2 009 年正式发布到今天已有9年,目前 仍是我国最权威、最全面的一部应急演练指南, 在本文前面提到的《网络安全演练指南》和《网络安全演练通用指南》及其它多份演练指南中都能看到它的影响。 《A Q / T 9007-2011 生产安全事故应急演练指南》比《应急演练指南》晚发布近2年,也只是在应急演练内容上结合生产安全领域有所丰富,其它更多是《应急演练指南》的简化;《AQ /T 9009-2015 生产安全事故应急演练评估规范》于2 015 年发布,在生产安全事故应急演练的评估方面提供了完善和补充。

经过9年多的发展, 国内在应急演练领域的研究和实践基于《应急演练指南》已有了不少新的发展,期待新的修订及相关配套工具包、标准规范的出台。

• 美国国土安全部国土安全演练与评估项目HSEEP

1995 年和2 001 年两次 本土恐怖袭击后和2 002 年美国国土安全部成立后,美国各级班府和各类社区的国土安全人员陆续开展各种应急准备,以预防、抵御、应对和恢复各种针对公共安全的威胁。在各种应急准备中,演练发挥了至关重要的作用。《国土安全演练与评价计划》( Homeland Security Exercise Evaluation Program ,简称HSEEP ) 最初发表于2 00 2年,当前使用的版本是2 013 年4月发布。

H SEEP 认为,通过使整个社区的利益相关方测式和验证预案和能力,并确定能力差距和需要改进的领域,演练在国家准备( national preparedness) 中发挥着至关重要的作用。精心设计的演练提供了一个低风险的环境,来测试组织能力,使员工熟悉角色和责任,并促进跨组织的有意义的交互和沟通。演练使整个社区团结起来,加强全社区对各种危险的预防( prevent) 、保护( protect) 、减轻( mitigate) 、响应( response) 和恢复( recovery) 工作。总的来说,演练是有成本效益的有用工作,有助于国家实践和完善我们的集体能力,以实现国家准备目标( National Preparedness Goal) 的核心能力。

HSEEP 学说( doctrine) 采用以下基本原则架构了演练的通用方法,把以下 这些原则 应 用到演练 规划( program) 管理和单一演练执行对能力的有效检查至关重要: • 由民选和任命的官员指导 ( Guided by Elected and Appointed Officials ) 民选 和任命官员为 演练 和评价 规划( exercise and evaluation program) 和单个演练的特别意图 提供总体指导和 方向,与他们 的早期和频繁接触是任何演 练项目成功的关键。 • 基于能力, 目标 驱动 ( C apability-based, O bjective D riven) 国家准备 目标 ( NPG) 明确 了 在预防( prevent) 、保护( protect) 、减轻( mitigate) 、响应( response) 和恢复( recovery) 任务方面的一系列核心能力和相关能力目标。通过H SEEP ,组织可以用演练来检查当前和所需的核心能力水平 并确定差距。演练侧重于评估基于能力的目标的(实际 ) 绩效。 • 渐进式规划方法 ( Progressive Planning Approach) 渐进式方法包括使用各种 演练 ,这些 演练 与一组共同的 演练规划 优先 级 和目标相一致,并且随着时间 推进 , 其 复杂程度不断增加。渐进式 演练 规划并不意味着 演练 类型的线性发展。 • 全 社区整合 ( Whole Community Integration ) HSEEP鼓励 演练规划人员 , 只要合适 ,在整个 演练规划 的管理 、设计和开发、实施、评估和改进 计划 中让整个社区参与进来。 • 风险 推动( Informed by Risk ) 识别和评估风险及相关影响有助于组织确定优先级、目标,以及通过演练评价的核心能力。 • 公共 方法 ( Common Methodology) HSEEP 包括适用于所有任务 ( 预防、保护、 减轻 、响应和恢复 ) 领域的公共 演 练方法,这个方法使 不同规模、地理位置和能力的组织能够对 演练规划 管理、设计和开发、 实施、评估和改进计划有共同的理解;并促进演练相关的互操作 和协作。

配图

HSEEP演练循环

HSEEP演练循环包括演练规划管理、设计和开发、实施、评价、改进规划。

演练规划管理 ( program management) 有效的演练规划验证预案,测试运营能力,保持有效领导,并检查我们使用社区的方式,是国家准备工作的重要组成部分 ,它包含 一个整合资源、组织和人员以确定和实现规划优先级的协作方法。 通过对演练规划进行管理,利益相关方可以持续地监督特定的培训和演练活动。一个有效的演练规划通过确保演练是构建、保持和交付核心能力的协调和综合方法的一部分,以最大化效率、资源、时间和投资。

配图

HSEEP演练阶梯

用途/目的 演练行动类型 持续时间 实时演练 范围 基于讨论的演练 让参演者熟悉目前的计划、政策、协议和程序;制订新计划、新政策、新协议和新程序 假想;参演者的行动是假想的 很少超过8小时 否 不确定

  1. 研习班 seminar 获得新(或当前的)计划、资源、战略、概念或主意的概貌 不适用 2∽5小时 否 多个机构或单个机构
  2. 专题研讨会 workshop 取得特定的目标或成果(即,演练目标、标准操作程序、政策和计划) 不适用 3∽8小时 否 多个机构或单一功能
  3. 桌面演习 tabletopexercise 帮助高级官员理解、评估计划、政策、程序和概念 想像 4∽8小时 否 多个机构/多项功能
  4. 游戏/竞技性演练 games 考察决策程序、检验决策结果 想像 2∽5小时 否(但有一些模拟提供实时或近实时的演练) 多个机构/多项功能 基于行动的演练 检验、确认计划、政策、协议和程序,明确角色和职责,发现资源差距 假想:参演者行动模仿响应、应急响应、动员及人员和资源承诺 可以几小时、几天或几周,取决于演练的目的、类型和范围 是 不确定
  5. 专项演练 drill 检验一个机构的单项行动或功能 实际 2∽4小时 是 单个机构/单项功能
  6. 功能演练 functionalexercise 检验并评价突发事件指挥部、总指挥部、情报中心或其他指挥/行动中心的能力、职能、计划和参谋能力 指挥部全体人员是真实的;其他人员,设备或假想敌是模拟的 4∽8小时、几天或几周 是 多个功能群或多项功能
  7. 综合演练 fullscaleexercise 实施并分析前述演练中确定的计划、政策、程序和合作协议 真实的 一整天或几天,甚至几周 是 多个机构/多项功能 H SEEP 演练及特点

演练设计和开发( design and development) 在设计和开发独立的演练时,由演练策划小组成员来安排策划会议,识别和确定演练目标,设计场景,编制文案,策划演练实施和评价,并协调后勤保障工作。在这些过程的关键节点,策划小组应与当选或任命的官员接触,以确保 是根据他们的意图、 指导 和演练规划的优先级来形成演练的关键概念和策划考虑, 并确保他们随时准备对演练提供支持。

配图

演练策划小组

配图

HSEEP演练策划 过程( 5 次会议 )

配图

演练目标

配图

演练设计文件

配图

演练控制结构

演练实施( exercise conduct) 在演练设计和开发活动完成后,就可以开始 演练实施 了。演练实施涉及的活动有演练准备、演练过程以及演练总结等。当选和任命官员的参与将确保这些工作符合他们的意图和指导。

演练评估 ( evaluation) 组织通过演练评 估 来评估完成任务、功能和目标所需的能力。演练评 估 从演练设计团队建立目标和开始演练设计时开始,贯穿演练周期的所有阶段。有效的演练评 估 包括演练评估策划,观察和收集演练实施中的数据,分析数据,并报告演练成果。演练评 估 是演练的基石,维持着演练和改进计划的功能联系。

配图

演练评估 小组结构

演练改进策划( improvement planning) 演练为组织提供了在受控的低风险环境中 评估能力和评估实现能力目标进展的机会。有效的纠正措施规划制定出动态文档化的改进计划,并作为更大的改进准备工作的一部分被持续监视和实施。

FEMA还提供了参考文件工具包可供使用,简而言之, HSEEP (2013 年版 ) 是一个不可多得的演练策划设计、评估和改进的参考指南。夏保成、张小兵和王慧彦主编的《突发事件应急演习与演习设计》( 2011 年5月出版 ) 结合了美国应急管理学院( EMI) 的演习设计教材和世界卫生组织( WHO) 的应急演练开发( emergency exercise development) ,赵勇、高玉峰主编的《美国国土安全演习与评价计划》( 2012 年1 0 月出版 ) 都是相当不错的中文H SEEP 资源 (但由于出版时间较早,未更新至HSEEP的最新版本 ;另外,WHO也在2 017 年发布了《模拟演练手册》( WHO Simulation Exercise Manual) 及 相关工具包也是比较好的参考资料 ) 。

• 《ISO 22398 : 2013 社会安全 – 演练指南》

国际标准化组织(ISO ) 在2 013 年9月正式发布《ISO 22398 :2 013 社会安全 – 演练指南》( Societal security – Guidelines for exercise) ,该标准 是一个指南标准, 遵循PDCA 模型 , 描述了演练规划和 演练 项目 的 策划、实施和改进的一般方法,可适用于 所有组织 ( 无论其类型 、 规模或性质,无论是私 营 还是公共组织 ) 。 该标准刚刚通过 5 年一次的标准评审工作。

该标准主要涉及3方面的内容:演练规划的策划、实施和改进,演练项目的策划、实施和改进,以及持续改进。标准第 4 条详细描述演练规划的策划、实施和改进,在演练规划策划方面,涉及到确立演练规划的需求、确立演练规划的支持基础,确立演练规划的目的和目标,任命演练规划经理并明确其角色和职责;在演练规划实施方面,涉及到执行演练规划、监视演练绩效和演练规划。标准第 5 条详细描述演练项目的策划、实施和改进,在演练项目策划方面,涉及到确立演练项目基础,制定目的和绩效目标,团队管理,风险管理,环境、性别和多元化、后勤保障等考虑,以及演练沟通,资源,设计和开发,演练类型( type) ,演练方法( methods) ,准备场景等。

配图

演练规划、演练项目和持续改进的关系

该指南标准强调 做 好 需 求 和差距分析 以 确保 打好基础,然后 ,组织可以定义 演练 的范围 ,并基于演练效益和健全的框架,确保得到管理层的支持。 需要为每个演练建立符合S. M.A.R.T 原则的绩效目标。演练的绩效应包括4个部分:参演人员,绩效、 条件和标准。

该标准根据 演练 的目标、 规模 和 大小 来讨论不同类型的练习。 具体的 演 练 类型包括:(1) 预警 演 练 ,(2) 启动演练 ,(3) 人员演练 ,(4)决策演习,(5)管理演习,(6)合作演习,(7)危机管理演习,(8)战略演习,和(9)演习 运动 。

配图

演练类型及其描述

该标准 讨论 了两种 演练方法: 基于讨 论的练习 和 基于操作的练习。研讨会、工作坊、桌面演练( TTX ) 、游戏,是基于讨论的 演练 方法 (桌面演练 ) 的例子,而 操 练、功能 演练( FE ) 、 全面演练( FSE )是基于 作 动 的 演练(实战演练 ) 的例子。

配图

桌面演练方法

该标准给出了一个非常简单和有效的方法,将 演练 情景分为三个层次: 主 事件 ( main events) , 初始 事件 ( incident) 和注 入( injects) 。

配图

演练目标,场景,事件和注入的关系

总而言之, ISO 22398 和其它所有ISO国际标准一样,取材广泛,框架完整,内容严谨,并给咨询服务机构留下足够的发挥空间,这是一个值得关注和参考的演练指南。

• 其它(CTF和靶场 )

关于CTF、靶场等演练相关的内容留给接下来的修订版中再完善吧。

又及,感谢您关注本公众号,网络安全演练专辑5部分已连载完成,中间有相当多的缺憾和不完整,期待您的留言和反馈,我争取在本月基于反馈推出修订版,敬请期 待。

配图

原文发表于公众号”业务连续性+” | 原文链接