网络压力测验手册

  网络压力测验是评价安排在严重网络安全事情中保持要害服务才能的新办法。其概念源于2007-2009年金融危机的压力测验实践，现被应用于网络安全范畴，如2022年英国央行零售付出测验和2024年欧洲央行（ECB）对欧盟银行的测验。手册首要面向国家网络安全监管安排、要害职业主管部门（如动力、医疗）及方针制定者，特别协作欧盟NIS2指令（扩展要害职业规模并强化危险办理要求）、网络联合法案（赞助成员国协同测验）等方针结构。

  界说为针对特定危险场景，评价单个安排抵挡严重网络安全事情并康复要害服务才能的针对性评价。中心特征包含：

  聚集弹性：衡量安排在进犯下的继续服务才能，运用检测时刻、康复时刻等目标。

  场景驱动：根据实际要挟规划假定性场景（如勒索软件进犯医院IT体系），分压力层级逐渐晋级（最高为黑天鹅事情）。

  挑选职业（如医疗）、实体类型（如大型医院）、要害根底设备（如电子健康记载体系）。

  权衡主张：实体数量添加可提醒体系性危险（如一起供货商依靠），但会下降评价深度。

  场景细化：根据职业要挟陈述（如ENISA医疗要挟图谱）规划子场景，逐级压力晋级（如从IT感染蔓延至医疗设备）。

  弹性目标：分防备、呼应、康复三范畴设定目标（如多要素认证覆盖率、要害补丁均匀修正时刻）。

  输出主张：个别层面（如某医院筛选留传体系）、职业层面（如政府赞助反勒索计划）或跨境层面（提交NIS协作组）。

  国家层面：一国单职业（如测验5家电信商应急通讯）或多职业（如10家动力+10家电信商评价跨部门依靠）。

  欧盟层面：如ECB 2024年金融测验（109家银行康复才能评价）或欧盟动力压力测验（聚集物理要挟）。

  医疗职业：测验发现医院IT与医疗设备（OT）安全阻隔缺乏，促进国家拨款晋级体系。

  比利时动力：交融网络/物理要挟的三级场景（从根底损坏到地缘抵触），提醒无人机要挟需新应对计划。

  灵敏挑选严厉性：强制性测验利于一致评价但易被视作合规担负；自愿性测验促进敞开对话但参加度难保证。

  混合办法：压力测验可与缝隙扫描、网络演习等办法结合（如测验后跟进跨部门演习）。

  方针联接：测验成果可支撑NIS2指令合规监管、网络联合法案赞助决议计划或要害实体指令（CER）下的国家战略。