美国网络风暴演习系列活动对我国网络安全工作的启示

网络风暴演习是美国国土安全部（DHS）主办的大规模网络安全系列演习活动，从2006年2月开始至今，共举办了7次（两年一次）。网络风暴演习一般会包含为期为3天左右的实战演习，演习结束后会进行战后分析研讨形成总结。网络风暴演习以美国为主导，涉及全球多个合作伙伴（主要是五眼联盟、北约等国家），旨在加强公私领域、跨国间的网络应急协调和情报共享能力。网络风暴系列演习重点演练参演方对网络攻击的准备，防护和应急响应能力，评估信息共享机制和通信途径等。

历届网络风暴演习介绍

1. 网络风暴I[3]
首次网络风暴演习于2006年2月6日至10日举行，涉及能源，IT，运输和通信行业，参演方包括五眼联盟（澳大利亚，加拿大，新西兰、英国、美国），多个州政府（密歇根州政府，蒙大拿州政府等），联邦机构（商务部，国防部等）等。演习目的是通过国家网络响应协调小组（NCRCG），进行机构间的协调，确定影响应急响应和应急恢复的策略问题以及在公私领域中重要的信息共享途径和机制，不断完善和促进根据响应流程和程序进行的公私领域之间的合作沟通。

在演习的协调联动方面，美国计算机应急响应小组（US-CERT）和国土安全运营中心（HSOC）发布重大预警警告时，国家网络响应协调小组（NCRCG）和机构间事件管理小组（IIMG）随之启动，国土安全部（DHS）和国家网络响应协调小组（NCRCG）通过获得的信息分析出总体的攻击态势，评估出对国家重要基础设施的影响，对国家安全和经济利益的威胁，美国计算机应急响应小组（US-CERT）不仅被用作响应信息的中转中心，为国土安全部（DHS）和国家网络响应协调小组（NCRCG）提供分析总体攻击态势的信息，而且在信息量过大且国家网络响应协调小组（NCRCG）技术人员不足时，充当分析总体攻击态势的职责。而各行业的信息分享和分析中心（ISAC）则会与该行业的参演人员相互沟通。

演习后的总结中提到，组织机构间的威胁响应需要进一步完善操作和协同程序，同时随着网络事件的不断增加，响应协调的难度也在增加。

2.网络风暴II[4]
此次演习在2008年3月10日至14日举行，涉及IT、通信，化工，运输业，参演方包括五眼联盟（澳大利亚，加拿大，新西兰、英国、美国），多个州（加利福尼亚州，科罗拉多州等），联邦机构（国防部，能源部等）等。此次演习中，参演方可以评估自己对网络攻击的准备能力，防护能力和响应能力以及决策和协调能力，评估信息共享机制及通信途径。

在演习的协调联动方面，参演人员在模拟的场景中（包括网络中断，通信中断和控制系统出错），通过标准化操作流程（SOP）及伙伴关系协同应对网络风险。在演习过程中，国家网络响应协调小组（NCRCG）作为威胁行动小组（CAT）的战略顾问，为该小组提供相关的信息，帮助评估事件的影响并制定响应要求，而威胁行动小组（CAT）则负责指挥应急响应。各个行业的信息共享和分析中心（ISAC）和美国计算机应急响应小组（US-CERT）作为协同的重要部分，帮助参与者进行沟通。

演习后的总结中提到，应急通信的工具和相关方法需要进一步完善和加强，行业协调委员会（SCCs）、美国计算机应急响应小组（US-CERT）、国家网络响应协调小组（NCRCG）及威胁行动小组（CAT）的职责需要进一步明确。

3.网络风暴III[5]
此次演习在2010年9月27日至10月1日举行，涉及化工，能源（电力）及运输（铁路）业 。参演方包括联邦机构（中情局，商务部等），多个州（加利福尼亚州，特拉华州等），12个国际伙伴（来自澳大利亚，加拿大[6]，新西兰、英国及国际观测和预警网络（IWWN）成员国）等。此次演习是为了明确并演练处理流程、程序、合作及响应机制，评估国土安全部（DHS）所承担的角色以及国家网络事件响应计划（NCIRP），评测协调和决策机制，找出信息共享中的问题等。

在演习的协调联动方面，参演人员按照国家网络事件响应计划（NCIRP）来应对影响重要基础设施的网络安全威胁以及网络攻击活动。在演习中，参与者通过协调机构来应对风险，其中协调机构包括：国家网络安全与通信集成中心（NCCIC）和网络统一协调小组（UCG），在化工、电力、IT和运输行业，公司还可借助信息共享和分析中心（ISAC）、贸易协会、行业代理以及直接对接来进行跨行业分享信息。例如在运输领域，私有企业通过信息分享和分析中心（ISAC）来与国家网络安全与通信集成中心（NCCIC）进行协同响应。

演习后的总结中提到，参演方发现国家网络事件响应计划（NCIRP）中涉及的处理过程、程序、角色和职责还需进一步完善。

4.网络风暴IV[7]
此次演习从2011年11月延续到2014年1月，参演方包括国际观测和预警网络（IWWN）成员国（澳大利亚，加拿大，法国等），多个州（缅因州，俄勒冈州等）及其他企业和部门。此次演习是为了提高国家网络事件响应计划（NCIRP）中的处理流程、程序、合作机制和信息分享机制，评估国土安全部（DHS）及其相关部门在全球网络事件中的作用，演练协调机制，评估信息共享的能力以及决策程序。本次演习的具体形式较之前有所变化，由小型研讨会、纸上推演、实战演练等15个演练活动组成。

演习后的总结中提到，参演方发现信息共享和沟通中依旧存在问题，并且一些参演方不了解有哪些资源可用，以及如何获取到资源。

5.网络风暴V[8]
此次演习在2016年3月7日至11日举行，包括3天的实战演习，主要涉及IT、通信、医疗保障和公共健康、商业设施（零售子领域）领域。参演方包括联邦机构（国土安全部（DHS），国防部等），多个州（阿拉巴马州，科罗拉多州等），12个国际合作伙伴（新西兰国家网络安全中心，日本国家信息安全中心等），约70家私营企业（亚马逊，沃尔玛等）和协调机构（统一协调小组（UCG）等）。此次演习是为了演练协调机制、决策的程序、评估信息共享能力以及对态势的认知能力，评估国土安全部（DHS）及其他政府部门在网络事件中的角色和职能等。

参演人员根据内部的策略和程序、外部的报告要求和协调机制（例如，向信息共享和分析组织（ISAO）或信息共享和分析中心（ISAC）发送报告）进行响应。当演习规模达到国家级别（National Level），国家网络安全与通信集成中心（NCCIC）所指挥的统一协调小组（UCG）便会启动。而统一协调小组（UCG）作为一种实时的应急响应机制，帮助公私部门进行沟通协调，增加对应急事件的认识。

演习后的总结中提到，参演方发现在信息共享方面，还是面临着一些问题，例如共享的途径或信息的及时性，以及国土安全部（DHS）和国家网络安全与通信集成中心（NCCIC）应该进一步完善他们处理流程、程序和综合能力。

6.网络风暴VI[9]
此次演习在2018年4月举行，历时7天，其中包含3天的实战演习，主要涉及IT、交通、通信以及重要的制造业。参演方包括联邦机构、州、国际合作伙伴、执法部门、情报机构和国防部。

此次演习是为了演练协调机制，评估国家网络事件响应计划（NCIRP）的效果及信息共享机制，评估国土安全部（DHS）的角色和职能，帮助参演方提高处理流程、程序、协作能力及信息共享机制。

截至目前，尚没有本次演习活动相关的官方总结资料。

7.网络风暴2020[10]
此次演习在2020年8月举行，包括3天的实战演习，主要涉及化工、通信、金融服务、医疗保健和公共卫生、IT、运输业及关键的制造业等。包括联邦机构，州政府和地方政府以及一些重要基础设施领域的合作伙伴等200余家的超过2万名人员参与其中，达到历届演习活动之最[11]。

此次演习是为了测试国家网络安全计划和策略并评估其实际效果，旨在加强信息共享和协作机制，加强公私领域的合作关系，完善有关通信网络应急响应的通信策略。

截至目前，尚没有本次演习活动的相关官方总结资料。