近日,欧盟发布了《网络压力测试手册》,旨在指导国家或行业机构在国家、地区或欧盟层面根据《NIS 2指令》监督关键行业的网络安全和韧性。本手册也可供其他行业法规下的监管机构和国家机构参考,例如《数字运营韧性法案》(DORA)或《关键实体韧性指令》(CER)下的监管机构。
执行摘要
2007-2009年全球金融危机爆发后,巴塞尔银行监管委员会下属的银行监管机构希望对银行的资产组合进行更严密的监管,并分析其是否足以抵御金融冲击。
压力测试最近被用于测试网络安全,为评估网络安全和复原力提供了一种新的、轻量级和有针对性的方法。例如,2022年,英格兰银行对英国零售支付服务进行了网络压力测试,2024年,欧洲中央银行(ECB)对欧盟银行进行了一次大型网络弹性压力测试。去年,欧盟委员会支持欧盟成员国对欧盟能源行业的恢复能力进行了一次欧盟协调压力测试,重点是《关键实体恢复能力(CER)指令》范围内的物理威胁。
在本手册中,将网络压力测试定义为"有针对性地评估单个组织的复原力及其承受重大网络安全事件并从事件中恢复的能力,确保在不同风险情况下提供关键服务。压力测试侧重于复原力,使用复原力指标,可用于测试准备措施和响应性恢复措施。
网络压力测试指南
1.确定测试范围和目标,让利益相关者参与;
2.设计测试、选择方法、完善情景;
3.执行网络压力测试;
4.分析结果,找出差距;
5.跟踪压力测试中发现的差距和问题。
手册还将本分步指南应用于一个实际案例,解释如何在卫生部门进行网络压力测试。同时还解释了如何在国家、地区和欧盟层面进行网络压力测试。
对于当局来说,网络压力测试是与卫生部门就战略和系统风险以及更多技术问题展开对话的好方法。压力测试所揭示的差距可以在合作和自愿的环境下公开讨论,也可以在更严格的监管环境下跟进。
考虑到当前欧盟的政策背景,欧盟更加注重准备和恢复能力,而且NIS2的转换工作已经结束,网络压力测试在未来几年可能成为国家信息安全系统当局工具包中的一个重要新工具。
导言
尽管关键基础设施对现代社会的运作至关重要,但其对日益复杂和相互关联的技术的依赖正在增加其遭受系统故障和破坏性威胁的风险。欧洲联盟已加强集体努力,以实现高水平的网络安全,并加强各关键基础设施部门的复原力。
《网络团结法》进一步支持这些努力,规定了加强欧盟检测、防备和应对网络安全威胁和事件的能力的措施。
由于网络压力测试在网络安全领域是一个相对较新的概念,所以编写了这本手册,主要针对负责监督关键部门网络安全和复原力的国家当局。本手册基于桌面研究以及与网络安全专家和其他关键部门专家的讨论,这些关键部门已经开展了不同类型的压力测试。
在网络安全领域,已经有多种不同的网络安全评估和测试方法,例如审计、渗透测试、道德黑客、红队、漏洞扫描和网络演习。当局和机构应根据具体情况和需要,找到合适的方法。不同的方法也可以混合使用。
因此,网络压力测试成为国家当局监督关键部门网络安全和复原力的监管工具包中的新工具,是对其他更知名的监管活动的补充。
在本手册中,将提供网络压力测试的定义并讨论其共同特征(第2 节),提供网络压力测试的分步指南(第3 节),解释如何在欧盟层面进行压力测试(第4 节),并分享如何进行网络压力测试的实用示例。
1.1 范围和目标受众
本手册旨在指导当局对关键部门实体(通常是关键基础设施运营商和关键服务提供商)的网络安全和复原力进行压力测试。包括一些在网络安全领域之外进行的压力测试案例研究,但不作详细讨论。
本手册面向国家或部门网络安全当局,以及根据欧盟网络安全指令(NIS2)(修订版)在国家、地区或欧盟层面监督关键部门网络安全和复原力的国家网络安全机构。本手册对《数字业务复原力法》(DORA)(欧盟金融部门业务复原力法规)下的监管机构或《CER指令》下的国家机构也很有用。该手册对国家和欧盟层面的其他当局、机构和决策者也很有用。
1.2 政策背景
下文列出了与压力测试相关的几项欧盟政策措施。
NIS2. NIS2 是经修订的 NIS 指令,旨在提高关键部门信息和通信技术 (ICT) 的网络安全和复原力。NIS2 扩大了关键部门的范围,加强了对这些关键部门实体的风险管理和报告要求,旨在提高成员国的网络安全能力,加强欧盟层面的合作。国家和欧盟层面的网络压力测试可以成为监管网络和信息系统部门的当局的新工具。
欧盟风险评估。欧盟委员会、各成员国和 ENISA 一直在进行联盟风险评估,并由此产生了各种风险情景。例如,请参见 5G 工具箱、Nevers 风险评估和网络风险态势报告。
通过这些联盟风险评估,创建了战略/系统网络风险情景,可用于网络压力测试。
《网络团结法》(CSoA)旨在加强欧盟检测、防范和应对网络安全威胁和事件的能力。它引入了网络储备资金机制和欧盟对成员国 “协调准备测试 ”的资助,这些测试将侧重于关键部门和特定风险情景,其中包括国家或地区网络压力测试。
尼尼斯托报告。尼尼斯托报告 “共同更安全--加强欧洲的民事和军事准备和战备状态 ”就如何加强欧洲的民事和国防准备和战备状态提出了若干建议,并呼吁进行联盟风险评估,包括广泛的全危险、全部门风险评估。
《数字运行复原力法》(DORA)是NIS 2下的特别法,旨在加强欧盟金融部门的数字复原力。DORA 引入了确定整个金融部门共同网络脆弱性和风险的机制,例如通过分析银行报告的重大事件。
CER 即《关键实体指令》,是对 NIS2 的补充,其重点是关键基础设施在面对物理攻击和自然灾害时的总体复原力。CER 要求会员国采取国家战略并进行风险评估,作为全危害方法的一部分,同时考虑人为威胁和自然灾害风险,以防止或最大限度地减少基本服务中断的影响。根据 CER 确定的关键实体自动纳入 NIS2 的范围。NIS2 的目的是作为(更广泛的)CER 的网络安全特别法,这意味着保护信通技术系统的网络安全威胁和网络安全措施属于 NIS2 的范围。
2.网络安全和复原力压力测试
2.1 网络压力测试的定义
压力测试和网络压力测试有不同的定义,用于不同的场合和不同的目的。本手册将网络压力测试定义如下:
网络压力测试:网络压力测试是有针对性地评估单个实体的应变能力及其抵御重大网络安全事件并从事件中恢复的能力,确保在不同风险情况下提供关键服务。
在实践中,压力测试大多是 “桌面式 ”的,依赖于围绕一种或多种风险情景的技术问卷,由接受测试的实体/组织独立填写。压力测试既可以测试准备措施,也可以测试应对/恢复措施。评估是有针对性的,因为它侧重于特定的风险情景和特定的威胁,而不是网络安全的所有方面。在压力测试中发现的差距,可由国家当局在与不同利益相关方讨论期间,通过更开放、更合作的流程或更严格的监管方法进行跟进。压力测试可在国家、地区或欧盟层面进行。
网络压力测试的特点
主要特点
1.复原力重点。压力测试旨在评估组织在面对不同网络威胁时的应变能力。压力测试不是预测,而是了解故障点、改进准备、响应和恢复的工具。
2.基于情景。采用 “假设 ”的方法,以合理的、尽可能接近真实世界的风险情景为基础。
3.压力水平。压力测试有不同的压力等级,以了解组织在不同情景下的准备情况。在最高压力级别,压力测试情景包括低概率、高影响事件,也称为 “黑天鹅 ”事件。
4.弹性指标。压力测试使用弹性指标来定性和定量地 “衡量 ”实体的弹性。网络压力测试中使用的指标包括 “检测时间 ”和 “恢复时间”。
5.单独和独立。压力测试由组织单独、独立地进行,通常通过使用详细的调查问卷来提供所需的证据。
6.系统风险视角。压力测试从行业的系统风险视角出发,也用于识别连带效应和相互依存关系。
非压力测试
非网络压力测试
渗透测试,即对攻击进行现场模拟,通常是在实际的现场基础设施上进行,测试人员试图实际突破防线;
实时测试,因为这类测试基于桌面,通常依靠技术问卷进行主要评估;
网络演习,因为这类测试是单独的,由各实体独立进行,并不像网络演习那样测试各实体之间的业务协作,在网络演习中,参与者与其他实体共享信息并开展协作。
网络压力测试的优势
与其他网络安全评估方法相比,网络压力测试有以下几个优势。
轻量级。注重业务协作的网络演习需要大量的准备和协调工作,以确保每个人都在线并准备好在同一时刻与网络演习中的其他参与者进行情景演练和互动。然而,网络压力测试是单独和独立的,这意味着各实体可以更灵活地利用自己的时间和计划来进行压力测试。网络压力测试是基于纸张的,不需要复杂的工具,例如模拟场景或攻击。
有针对性。审计的范围通常很广,涵盖各种网络安全威胁和措施。这使得审计过程对审计人员和被审计人员来说都是资源密集型的。网络压力测试则侧重于一些非常具体的风险情景,因此更有针对性,也更容易进行。
目标。审计公司的风险管理和安全措施,例如公司的风险清单,或采取或未采取的措施,可能是一项相当主观的工作。网络压力测试使用弹性指标,使整个评估过程更加客观。
协作。要在关键部门建立网络安全和复原力,国家当局和关键基础设施的所有者/运营者之间需要建立伙伴关系。在这种情况下,以审计为基础的合规监管方法可能会产生反效果,因为广泛的安全措施合规检查清单会消耗稀缺的网络安全资源。网络压力测试可以从系统风险的角度出发,就具体的风险情景与相关部门展开对话。
压力测试目标
国家网络安全当局和机构可利用网络压力测试来:
评估单个实体在面对重大事件时的准备情况,即使是在严重不利的情况下;
评估关键部门的整体准备情况,帮助了解系统性风险;
应对指向特定风险或风险情景的国家风险评估;
准备网络演习,利用类似的风险情景测试利益相关者之间的跨境和跨部门业务协作;
支持当局确定监管重点,挑出系统性问题;
就主要威胁展开对话,并与关键部门实体开展合作。
对于接受网络压力测试的实体来说,参加压力测试也有好处,因为这将有助于实体了解在面临重大网络安全事件时的准备情况和应变能力。
2.2 作为监管工具包一部分的网络压力测试
根据NIS 2,国家当局和机构需要对关键部门实体的网络安全和复原力进行监督。为此,国家当局可以采取许多不同的方法,网络压力测试可以成为其工具包的一部分。
审计之外的监督
在明确各部门的详细网络安全要求后,国家当局需要监督并确保这些要求得到满足。当局通常会对部门内的实体进行审计,或要求第三方进行审计。审计可以在事前或事后进行,即在事件发生之前或之后。审计可以是纸质的、在线的或现场的。从历史上看,网络安全领域的审计主要是出于合规性的考虑,例如ISO27001 或SOCS合规性,通常是相当广泛、昂贵和冗长的评估过程。然而,必须强调的是,当局可以通过许多其他方式与本部门合作,例如提供威胁情报、提供指导、组织研讨会以提高网络安全意识或讨论共同问题、针对共同的网络安全问题建立公私伙伴关系或组织网络演习。当局还可利用网络压力测试与网络部门进行接触,这非常适合就具体威胁或风险情景展开对话。
将网络压力测试与其他网络安全评估方法相结合
除网络压力测试外,网络安全领域还有大量其他网络安全评估和测试方法可供当局使用,如现场审计、渗透测试、道德黑客、红队和漏洞扫描。当局和机构应根据其环境和需求找到合适的方法。海底电缆与心脏起搏器截然不同,因此电信部门需要的方法可能与卫生部门大相径庭。例如,审计之前可以先进行漏洞扫描,网络压力测试之后可以进行网络演习,等等。
强制性/严格性与自愿性/探索性网络压力测试
根据行业的网络安全成熟度和需求,当局可决定对网络压力测试采取更具强制性/严格性的方法,或更具自愿性/探索性的方法。监管机构必须明确其对接受压力测试的实体的意图:监管机构应事先说明压力测试结果的用途,是否会对差距采取后续行动等。
当局在组织压力测试时,应权衡采取更严格/强制性方法与更探索性/自愿性方法的利弊。
更加严格/强制性的网络压力测试,更加正式,通常是强制性的,并有严格详细的法律要求作为行业支持:
为事前监督提供了新方法,具有针对性;
捕捉面临相同风险情况的多个实体的成熟度;
更好地了解实体的能力和行业特性。
缺点
实体可能会将压力测试视为合规工作
实体可能为了避免制裁而不进行全面的压力测试。
更具探索性/自愿性的网络压力测试,监管机构与实体之间的合作方式,侧重于获得洞察力,旨在开始对话与合作
优点
自愿的、非监督性的方法可带来更多合作和更开放的讨论;
获得更多认同,更愿意披露能力和弱点;
更灵活地处理主管机构和部门仍然缺乏了解的新问题 - 更开放的方法允许识别和讨论不可预见的依赖性和影响。
缺点
自愿方法可能会导致各实体缺乏接触和参与;
压力测试期间收集的数据可能不够准确或不完整;
实体可能不愿意处理压力测试提出的建议。
3.网络压力测试分步指南
本节将提供网络压力测试的分步指南。并使用以下术语。
主管部门。进行网络压力测试的机构,例如网络安全机构或部门/国家网络安全机构。
实体。接受网络压力测试的实体,指将接受压力测试、应对压力测试挑战的关键基础设施运营商。实体是 NIS2 对行业内公司的术语。
利益相关者。与网络压力测试结果有关的其他组织,或具有设计压力测试的相关专业知识的组织,例如部门行业协会、部门专家或具有部门专业知识但网络安全任务有限的部门当局。好的做法是与主管部门和利益相关者一起成立一个压力测试工作组或委员会,以监督压力测试过程。
下图概述了组织网络压力测试的五个步骤。
下面将更详细地解释这些步骤,并讨论权衡问题和一些良好做法。
1.网络压力测试的范围与目标
下面将更详细地解释这些步骤,并讨论权衡问题和一些良好做法。
1a.确定范围内的部门、实体和基础设施。首先,需要确定部门、实体类型和目标ICT基础设施。明确界定范围对于确保测试的可行性至关重要。对整个部门进行压力测试可能不可行,可能需要选择一部分实体,例如,在电信部门,只对大型移动网络运营商进行压力测试。
值得注意的是,随着范围的扩大,实体将更加多样化,这就使得以后更难设计出适合所有实体的压力测试。范围扩大的好处是可以评估更多的系统性风险,但可能需要针对范围内的不同实体设计多个版本的压力测试。例如,如果范围设定为电信和电力分部门,那么也可以评估相互依赖关系(电信依赖于电网,电网依赖于网络),但在这种情况下,肯定需要两个版本的压力测试,以同时适合电信运营商和电力生产商。如果压力测试的范围仅限于电信运营商,则可以评估电信对电网的依赖性,也许会发现单点故障,但不会评估电力部门自身对电信网络的依赖性。
压力测试设计最重要的一个方面是决定测试多少个实体和哪些实体。广度和深度之间需要权衡。如果有更多的实体参与,那么压力测试就会对该行业产生更广泛的影响,但多样性也会使具体情况更难深入。结果的收集可能会更侧重于统计数据,而更难找出具体的差距和问题。让更多的实体参与进来的好处是,压力测试可能会显示出单点故障,否则就无法发现。例如,在对大量公司进行压力测试时,可能会发现有太多公司依赖同一个供应商。如果实体数量较少,这种依赖关系可能会被隐藏起来。
1b.确定测试目标和高级风险情景。其次,需要确定和制定压力测试的目标,并选择风险情景。网络压力测试可涵盖预防性网络安全措施以及事件响应和恢复措施。根据需要,压力测试的重点可能更多地放在预防和准备上,也可能更多地放在响应和恢复上。例如,压力测试的目的可以是评估大型医院在面对勒索软件集团有针对性的网络攻击时的准备情况和应变能力,以及继续提供医疗服务的能力。
网络压力测试的重点可以是勒索软件的准备情况、大规模间谍攻击、对网络基础设施的物理破坏、冗余和故障转移等。一般来说,在为压力测试选择风险情景时,最好能应对多种网络威胁和威胁类型。但是,如果将风险情景设置得过于复杂,例如加入太多不同的威胁,压力测试就可能变得过于宽泛。网络压力测试有可能失去重点,变成通用的信息安全管理系统审计问卷。
1c.让相关利益攸关方参与进来。第三,一旦确定了部门、目标ICT基础设施、目标和风险情景,就必须让其他利益相关者参与进来,可以支持压力测试,例如提供有价值的领域知识,或者可以从压力测试中受益。
利益相关者可以是非网络当局、部门机构、特定部门的专家或工作组、国家计算机安全事件响应(CSIRT)小组、执法部门、民事应急机构等。这既取决于部门的选择,也取决于风险情景的选择。例如,在对能源部门,特别是支撑电力生产的信息和通信技术基础设施进行压力测试时,相关利益方可以是电网运营商(输电系统运营商、配电系统运营商)。例如,如果高风险情景涉及有组织犯罪团伙的网络攻击,那么让执法机构参与进来,提供有关以往网络犯罪案件的信息可能会有所帮助。
让利益相关者参与网络压力测试的其他工作也是一个好主意,尤其是测试的设计、情景的完善、正确指标的定义以及总结阶段的后续工作。利益相关者小组还可以充当指导委员会或监督委员会。
2.网络压力测试设计
主管部门设计压力测试,选择方法,完善情景,制定与压力测试目标相关的复原力指标。
2a.测试方法。选择压力测试方法是确保与之前确定的目标和范围保持一致的关键。如前所述,尽管有不同的方法,但压力测试大多是 “桌面型 ”的,依赖于围绕一个或多个风险情景的技术问卷,由接受测试的机构独立填写。在下文中提供了压力测试问卷的简化示例。压力测试也可以通过现场访问或有计划、有步骤的访谈来完成。
压力测试问卷:欧盟卫生部门范例
压力等级1
如果带有恶意软件的网络钓鱼电子邮件以后台工作人员为目标怎么办?
您有哪些预防措施?(从意识培训、端点检测、电子邮件网络钓鱼过滤器等中选择)
如果这些预防措施失效或被规避,恶意软件被下载和安装,该怎么办?
评定患者数据和健康记录的风险(非常低-非常高)。
压力等级2
如果攻击者试图感染其他PC,该怎么办?
您采取了哪些措施来防止横向移动?
如果这些措施失效或被规避怎么办?
为患者护理和安全风险评分(1-10)。
检测速度有多快,何时开始响应?
恢复和复原的速度如何?
压力等级3
如果攻击者试图横向移动到医疗/操作技术(OT) 设备怎么办?
您有哪些预防措施(可从气隙、零信任、防火墙等中选择)?
如果...
评定患者护理和安全风险(非常低非常高)。
评定重症监护操作(扩展监护病房、重症监护病房等)的风险
2b.情景细化。在这一步骤中,需要完善高层次的风险情景,选择范围内的具体基础设施、业务流程、信息技术(IT)架构和信息与通信技术(ICT)系统。重要的是要将压力测试的重点放在最相关的基础设施和主要风险上,确保评估的针对性和有效性。
情景开发中的升级是在压力不断增加的情况下真实评估复原力的关键。可以通过缩放单个情景的影响或对每种变化将多个情景叠加在一起(通过在获得第一个响应后注入更多信息,或在数据收集模板中使用 “如果 ”问题)来实现严重程度的逐步升级。
所需的详细程度取决于测试范围内实体的数量和种类,以及测试采用的是严格监督方法还是探索性监督方法。如果测试侧重于特定的故障点,则需要足够的细节。在探索性更强的方法中,风险情景可能更通用,要求实体就更广泛的潜在影响和缓解策略提供反馈。
一个好的压力测试情景应该有几个子情景,应对不同的影响和不同类型的威胁,以便对不同方面进行压力测试。就(所有危害)NIS2指令而言,特别是在对关键基础设施实体的复原力进行压力测试时,针对网络威胁和网络物理威胁的组合进行压力测试是一个好主意。但是,如果测试范围包括太多的威胁,而且情景非常复杂,有许多子情景,那么压力测试本身就会变得冗长耗时。
2c.弹性指标。根据压力目标,应选择正确的复原力指标,以衡量准备程度、复原力和情景的影响。例如,在比利时压力测试案例研究中,使用三个主要领域的复原力指标对各实体进行了评估:准备、事件响应和恢复。
弹性指标可以是定性的,也可以是定量的,应在范围内确定,并与压力测试的目标相联系。例如,复原力指标可以是发现事故的时间、恢复时间或预防措施的复杂程度。
2d.压力测试的规划和时间表。确定网络压力测试方法后,可制定更详细的规划和时间表,决定接受压力测试实体的最后期限,规划压力测试结果的收集和分析,以及后续阶段。好的做法是事先向接受压力测试的实体说明何时需要完成压力测试、后续工作是什么以及它们将如何参与。
3.执行网络压力测试
当局与实体合作执行网络压力测试,就测试目标、总体时间表和规划、如何分 析结果和跟进差距提供指导和解释。
3a.与实体接触。在这一步骤中,当局与实体接触,以执行网络压力测试,提供总体目标和时间表,以及指导和解释。有几个方面需要注意。
解释压力测试的目标和主要风险情景。
解释哪些专家应代表实体进行测试。
提供问题和疑虑的联络点,并要求实体方面提供单一的联络点。
明确保密性和用途至关重要:测试结果通常比较敏感,应谨慎处理。重要的是要说明如何处理回复、谁可以访问等。在实体和当局之间建立信任非常重要,这不仅是为了即将到来的网络压力测试本身,也是为了未来的互动。
提供详细的规划和时间表非常重要,包括响应截止日期,以及(如果预见到)联合研讨会,以讨论发现的差距和结论。
在各实体内部确定集中的单一联络点,并建立专门的沟通渠道。
3b.在压力测试期间为实体提供支持和指导。为顺利进行压力测试并提高响应的质量和一致性,提供支持和指导十分重要。当局应考虑与实体举办启动研讨会,解释压力测试并处理反馈意见。编制简短的 “常见问题 ”是一个很好的策略,可确保问题和疑问得到解决,并向所有接受压力测试的实体提供答案。应考虑在压力测试执行期间提供帮助台或支持联系人(直接电子邮件或电话号码)。
4.差距分析
数据分析用于确定单个实体和/或整个部门的差距、薄弱环节和需要改进的地方。根据预先确定的弹性指标,对压力测试结果进行定性和定量评估。
4a.评估压力测试结果。通过分析总体压力测试结果,可以很好地了解相关实体的总体基线。最好利用数据分析工具,根据预定指标进行评估。在这一步骤中,保密和匿名非常重要。单个实体的测试结果可能非常敏感,不应向其他实体或普通受众披露。匿名的汇总结果可能有兴趣与更广泛的受众分享,但建议谨慎行事,以避免威胁行为者利用这些信息进行未来的网络攻击。
4b.找出差距,包括跨部门或跨境性质的差距。可从不同层面找出差距和问题:
单个实体的差距;
多个实体的共同问题或差距;
对部门中某个具体实体的依赖;
跨部门或跨境依赖;
供应链依赖;
共享基础设施或共享服务提供商。
确定差距和依赖关系固然重要,但强调各实体或整个部门在哪些领域已经相当成熟和准备充分也是有益的。这种方法有助于建立当局与实体之间的信任与合作。
重要的是,应首先在实体和主管部门之间的封闭环境中讨论初步调查结果。在某些情况下,扩大此类讨论或向利益相关者和主题专家提交结论草案有助于验证调查结果,并支持进一步接受即将发布的建议。网络安全问题的解决往往需要时间和预算。建立相互理解、信任和开放的态度会使后续工作更加容易。
5.结论
在最后一步,主管部门报告测试结果。如有必要,会针对个别实体或整个部门提出建议。主管部门监督这些建议的实施,并总结经验教训。
5a.建议。网络压力测试的主要目标是了解存在哪些差距和问题,并提出有针对性的解决建议。这些建议应侧重于即时补救和长期改进。制定处理建议的时间表和计划对于确保网络压力测试带来实际改进至关重要。可在不同层面提出建议。
针对个别实体的个别建议。如前所述,应谨慎处理个别差距和调查结果,并与有关实体进行更详细的讨论。
针对整个部门的建议。应在更广泛的论坛上讨论整个部门的问题,包括利益相关者和参与压力测试的实体。解决这些问题可能需要集体行动、政府资助或公私合作伙伴关系。
跨部门和跨国界建议。网络压力测试甚至可能产生与跨部门或跨境问题有关的建议,应与其他部门的主管当局或其他国家的国家主管当局进行讨论并采取后续行动,例如在新独立国家合作小组中。
当局应跟进所提出的建议,并定期检查,以确保在网络压力测试后这些建议得到处理。当局不应采取严格的强制执行方法,而应侧重于鼓励实体定期提交进度报告,详细说明其补救行动的状况。建立网络复原力是一个持续改进的过程,即使在高度成熟的部门也是如此。
5b.经验教训。压力测试完成后,记录整个压力测试过程的经验教训非常重要。在最后一个步骤中,要分析压力测试本身的组织和实施、测试的有效性和效率以及测试方法的适当性。从接受压力测试的实体以及其他利益相关者那里收集反馈可能是个好主意。在这一阶段,可以讨论压力测试的重复问题,例如,下一次压力测试是否应基于类似的压力测试情景,或者是否应针对不同的风险进行压力测试。
4.国家、地区和联盟网络压力测试
在本手册和分步指南中,将重点放在国家网络压力测试上,由一个国家机构进行,对一个国家内关键部门的实体进行压力测试。当然,网络压力测试也可以在区域层面进行,涉及多个机构,甚至在联盟层面进行,涉及所有国家机构。在本节中,将简要讨论网络压力测试的这些可能的不同变体。
国家网络压力测试
最简单的网络压力测试方法可能是在国家层面进行。对特定部门负有网络安全任务的国家机构可以与该部门的主要实体合作,并与这些实体一起进行网络压力测试。
正如已经提到的,在选择测试实体时需要权衡利弊。对一大批实体进行压力测试意味着可以接触到更多实体,但压力测试问卷可能必须更加通用,主要是定量问题,压力测试结果可能主要是统计数据。对于较小的群体,压力测试可以更有针对性,后续工作也可以更深入。
示例
1 个部门内的5个实体。某国家电信局决定对大型移动网络运营商进行压力测试,重点是大规模危机和大规模网络中断时应急通信的恢复能力。压力测试是强制性的,测试结果只进行个别分析和跟踪。
1个部门内的50个实体。国家卫生当局决定对卫生部门的众多实体(包括医院、诊所和实验室)进行压力测试。压力测试是强制性的,但也是一般性的,主要重点是收集有关该部门整体成熟度的统计数据。
来自 2个部门的 20个实体。能源和电信部门的国家当局合作,对 10 家大型电信运营商和10家大型能源供应商进行压力测试,以了解总体准备情况以及具体的部门间依赖关系。压力测试的主要目的是加强两个部门之间的合作,讨论跨部门问题。
鼓励国家网络安全当局与其他部门的当局在国家层面进行接触,这些当局可能在进行其他类型的压力测试方面有经验,例如在金融领域,或在物理/自然威胁和复原力领域。这些其他部门可能有有用的知识可以分享。例如,在金融部门,已经进行了压力测试,以评估在不同程度的金融/经济风险情景下的偿付能力。
区域网络压力测试
虽然这使规划和协调变得复杂,但与区域内其他国家合作可能很有价值,特别是在经济密切相关、基础设施共享的情况下。
示例
2个国家的2个当局,每个国家5个实体。两个国家的电网紧密相连,两个邻国的主管部门决定在区域压力测试中对几个关键实体进行压力测试。重点是在当局和实体层面加强跨境合作。启动研讨会在一个国家举行,总结研讨会在另一个国家举行。
必须指出的是,最近通过的《网络团结法》鼓励成员国开展协调一致的准备状态测试活动,欧盟委员会已为这些活动预留了专项资金(数字欧洲方案),这些资金将在欧洲网络安全能力中心发起的筹资呼吁中提供。准备情况测试可包括不同的评估方法,也可包括国家或区域网络压力测试。
欧盟网络压力测试
如导言和附件中的案例研究所述,欧洲中央银行最近对欧盟金融部门进行了联盟网络压力测试。同样,欧盟委员会最近与成员国一起对能源部门进行了联盟压力测试,重点是物理威胁和自然灾害。
采用欧盟方法进行压力测试是非常有益和有效的。它可以帮助国家当局在国家层面进行压力测试,而不必让它们承担组织整个过程、编制问卷、收集数据、分析结果等细节的负担。联盟压力测试可以在欧盟范围内就主要威胁展开对话。
示例
20-30 个机构,每个国家 2-5 个实体。多个国家当局同意在欧盟层面进行网络压力测试,以评估欧盟各地液化天然气终端的勒索软件准备情况。每个参与机构在网络压力测试范围内选择2-5个最大的实体。压力测试的主要重点是了解欧盟范围内的问题。在压力评估期间,各实体和管理机构共享良好做法。压力测试本身和测试结果引发了全欧盟范围内关于共同问题的对话,提高了对某些威胁的认识,并使当局和决策者了解了监督重点和政策优先事项。
结论
在本手册中,介绍并解释了网络压力测试的概念,提供了压力测试的分步指南,并参考了各种案例研究和良好实践。
虽然压力测试在网络安全领域是一个相对较新的概念,但在其他领域的应用也越来越广泛。网络压力测试可以成为负责监督关键部门网络安全和复原力的国家新系统当局监管工具包中的一个新工具。成熟部门(如金融部门)开展金融/经济和网络压力测试的经验表明,网络压力测试非常适合对复杂的互联系统进行监管,有助于评估系统性风险,并有助于共同建立复原力。
网络压力测试正在成为评估关键部门复原力的一种新的轻量级和有针对性的机制,有助于了解网络安全差距在哪里。在ENISA,期待在国家和欧盟层面支持国家当局和机构开展国家或欧盟级别的网络压力测试。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。