代码改变世界

美国网络空间安全体系(6):美国国家网络空间安全事件响应协调机制

2020-05-04 21:45  微言晓意  阅读(859)  评论(0编辑  收藏  举报

由于美国各个机构的职责不同,不同类型的网络空间安全事件响应也有所不同,但总体上来说美国网络空间事件安全涉及到国土安全、情报、国防、司法四个大的领域,因此,本文将从这四个方面美国网络空间安全事件响应做一个简单的说明。

1、国土安全领域事件响应协调机制

国土安全部(DHS)主要负责美国的国土安全领域的网路空间安全事件的响应与协调,主要是内阁各部门和独立机构及政府组织负责协调美国涉密网络的安全事件,同时对其他各级政府请求、协调和援助网络空间安全事件进行响应,以及对私营部门的数据收集、分析和共享进行实时协助,帮助他们在处理网络空间安全事件时能够及时采取行动和进行资源配置。

国土安全部DHS的协调中心包括国家网络空间安全和通信集成中心(NCCIC)和国家行动中心(NOC),其中NCCIC负责协调US-CERT、NCC和工业控制系统网络空间应急响应小组(ICS-CERT);NOC负责协调NICC和国家响应协调中心(NRCC)。

2、情报领域事件响应协调机制

国家情报总监办公室(ODNI)主要负责美国的情报领域的网络空间安全事件的响应和协调,主要是内阁和独立机构及政府组织负责协调美国涉密情报网络的态势感知系统和安全事件评估,同时对其他各级政府共享一定量的涉密情报、清除关键基础设施和重要资源的危机管理,以及在最低保密能力范围内提供部门影响评估方案和响应进行协调。

ODNI的协调中心主要包括情报界-事件响应中心(IC-IRC)、威胁行动中心(NTOC)和国家网络空间调查联合任务组(NCIJTF)三个部门。

3、国防领域事件响应协调机制

美国国防部和国家警卫队(NGB)负责美国国防领域的网络空间安全事件响应与协调,主要是内阁各部和独立机构及政府组织负责在涉密国防网络空间事件发生时,保证通信和警卫力量的协调一致。

其协调中心包括USCYBERCOM、NSA/CSS NTOC和DC3三个部门。

4、司法领域事件响应协调机制

司法部(DoJ)负责国家司法领域的网络空间事件响应与协调,主要是FBI和美国特勤处(USSS)负责维护和共享关于司法活动的态势感知协调能力,负责调查和起诉美国国家范围内网络空间犯罪事件。

其中DoJ的总检察长(AG)负责领导刑事调查,同时对于美国其他各级政府与DoJ、FBI或NCIJTF就网络空间安全事件进行响应协调,FBI也与私营部门(如非营利组织InfraGand)一起就网络空间犯罪事件进行调查和起诉。

5、网络安全事件响应总体协调机制

根据《国家网络空间安全事件响应计划》(NCIRP)描述,其主要应用范围是在非战争状态下由DHS主导的对国家级网络空间安全事件的应急响应。NCIRP主要由国家网络空间安全和通信集成中心(NCCIC)、国家网络空间风险预警等级(NCRAL)和网络空间统一协调小组(Cyber UCG)三部分组成。

NCRAL将风险设定为四个级别,分别为警戒(Guarded,4级)、高风险(Elevated,3级)、重大(Substantial,2级)和特别严重(Severe,1级)。当风险评估等级达到1级或2级时,被认为是重大网络空间安全事件;当风险等级达到3级或4级时,被认为是常态事件。

NCCIC作为一个协调中心,除了收集汇总与其有合作关系的机构通过特殊渠道送来的网络空间安全事件信息源外,还具有自己的信息源,通过将这些信息汇总和自身的通用态势图(COP)送给NCRAL系统进行评估,NCRAL系统在风险评估信息源和态势感知专项指导的参与下给出评估结果:常态事件或重大网络空间安全事件。在常态事件的情况下,CyberUCG就可以给出响应措施,并把这些响应措施反馈给与NCCIC有合作关系的机构和组织;而在重大网络空间安全事件的情况下,DHS负责网络和通信的副部长负责直接与NCCIC协调召集组成CyberUCG IMT,与联络员小组一起对重大网络空间安全事件进行响应,并把响应措施通过特殊渠道反馈给与NCCIC有合作关系的机构或组织。

根据《国家网络空间安全事件响应计划》(NCIRP),当CyberUCG针对网络空间事件给出相应的响应措施时,CyberUCG成员负责协调NCCIC的各个合作机构进行安全事件的响应。

DHS中负责网络空间和通信的副部长、NCCIC主任和CyberUCG的成员(或CyberUCG IMT成员)一起对事件响应给出一些咨询和实施意见,以及对事件响应的预期效果给出说明。同时,对在事件响应过程中遇到的问题进行总结、分析。
CyberUCG成员负责事件响应过程中问题的收集、实时情况的检测、跟踪和评估,并最终执行CyberUCG给出的实施措施。