世界最大网络防御演习“锁盾”10年演变分析

作为世界上规模最大、最复杂的实弹网络防御演习，“锁盾”网络防御演习是北约组织的年度网络演习。

2023年度“锁盾”网络防御演习由北约网络合作防御卓越中心（CCDCOE）于4月份举办。今年共有来自38个国家的3000多名人员参与，演习规模空前扩大，其中包括冰岛、爱尔兰、日本、韩国和乌克兰等非北约国家。

作为北约国家测试网络弹性和应对实时攻击响应能力的重要演习，“锁盾”网络防御演习不仅测试参演团队防御实时攻击的能力，还测试网络攻击事件中的战术战略决策能力。

自2010年首次举办以来，“锁盾”网络防御演习已开展了10余年，在活动规模、对抗形式以及参与的组织方面都出现了不少变化。

一、“锁盾”演习背景

随着网络攻击成为国家和地区之间“切磋”的一种常态，“网络战”平时和战时的边界逐渐模糊。为抢占全球网络战高地，构建跨域、跨地区、跨部门的网络攻防体系，网络演习成为国家和地区增强自身网络防御能力的重要手段之一。“锁盾”演习作为北约规模最大的年度网络攻防演习，高度还原信息系统或关键基础设施遭受网络攻击的场景，为提升参演人员的网络防御能力提供实训机会;同时也为了制定危机事件协同响应机制，加强北约成员国的集体防御能力。

“锁盾”演习是一场“红蓝对抗”的训练演习。24支“蓝队”由北约合作网络防御卓越中心成员国及其伙伴国家组成；“蓝队”代表国家网络快速反应小组，由北约合作网络防御卓越中心成员国及其伙伴国家组成，被部署来协助遭受大规模网络攻击的虚构国家，保护模拟国家的信息系统和关键基础设施免受“红队”的大规模网络攻击。

除了网络防御之外，蓝队还必须报告攻击事件、实施战略决策，并应对取证、法律和媒体相关的挑战。

“没有任何其他网络防御演习能够像“锁定盾牌”那样提供如此专业和详细的体验。随着网络战日益融入传统军事冲突，即使在战时，强大的数字能力对提供基本的数字服务也日益重要。演习强调了强大数字能力的重要性以及为关键基础设施潜在网络攻击做好准备的必要性。

“锁盾”演习主办机构——北约网络合作防御卓越中心（CCDCOE）是一个跨国和跨学科的网络防御中心。于2008年成立，总部设在爱沙尼亚首都塔林，其使命是向成员国提供网络防御研究、培训和演习领域的专业知识，已成为北约打击恶意网络攻击活动的重要组成部分。

二、“锁盾”历年演习情况

“锁盾”演习自2010年以来，除2020年受全球新冠疫情影响未举办，一般都在每年的第二季度举办。

（一）“锁盾2012”演习

2012年3月26-28日，CCDCOE举行“锁盾2012”演习，来自瑞士、西班牙、芬兰、意大利等国的250多名成员参与演习。本次演习是一项技术性的红蓝对抗演习，旨在培训参演人员网络防御技能、探索网络空间态势感知技术、总结红蓝对抗经验。演习设置了绿队、蓝队、红队和白队等，绿队负责搭建存在漏洞的虚拟网络系统；蓝队负责实施网络防御，保护系统免受红队网络攻击，并向白队报告检测到的网络攻击事件和其他相关信息。演习场景想定为一家小型电信公司的网络系统遭到攻击，上述四支队伍围绕该场景开展模拟演练。

（二）“锁盾2013”演习

2013年4月12日，CCDCOE举行“锁盾2013”演习，来自15个国家的18个组织参加，参演人员达250人。演习场景设定为红队事先知道蓝队的系统配置细节，然后破坏蓝队保护的系统或损害其性能。本次演习的主要目的是测试参演人员的网络防御能力，提升各方在发生网络攻击事件时的合作、交流和决策能力。

（三）“锁盾2014”演习

2014年5月20-24日，CCDCOE、爱沙尼亚国防军、爱沙尼亚信息系统管理局、爱沙尼亚网络防御联盟、芬兰国防军和其他合作伙伴共同组织开展“锁盾2014”演习，参演人员达300人。演习场景设定为一个虚拟国家的工业系统遭到网络攻击，检验参演人员防御黑客攻击的能力。此外，演习还添加司法科目，使演习场景更加真实。本次演习采取竞技比赛的形式，既鼓励参演队伍相互竞争，又支持其尽可能地进行信息共享和合作。

（四）“锁盾2015”演习

2015年4月，CCDCOE在爱沙尼亚举行“锁盾2015”演习，来自北约16个国家的约400名网络安全专家参演。此次演习的目标之一是使参演人员可以熟练使用IPv6协议。演习运用虚拟现实技术模拟网络攻防场景，新增对ICS/SCADA系统的攻防演练。除了技术挑战，此次演习还考虑社交和法律约束层面的问题，更加逼真地展示现代网络危机事件的高度复杂性。

（五）“锁盾2016”演习

2016年4月18-22日，CCDCOE在爱沙尼亚举行“锁盾2016”演习，爱沙尼亚国防军、芬兰国防军、瑞典国防学院、英国陆军、美国欧洲司令部及众多合作伙伴共同协办，思科、Bytelife、Clarified Networks等民间IT公司为演习提供技术支持。演习旨在测试参演人员的网络防御水平，并提升北约成员国之间的合作能力。演习将参演人员分为蓝队、红队、白队、绿队、黄队和法律队。其中，白队负责制定演习目标、方案和规则；绿队负责搭建演习基础设施；黄队负责收集、分析演习过程中的相关信息；法律队则向蓝队提供法律咨询服务；蓝队负责保护存在漏洞的网络，包括应对网络攻击事件、报告攻击情况等；红队负责发起网络攻击。

（六）“锁盾2017”演习

2017年4月24-28日，CCDCOE在爱沙尼亚举行“锁盾2017”演习，此次演习由爱沙尼亚国防军、芬兰国防军、瑞典国防大学、英国联合军队、美国欧洲司令部、空中作战部队和塔林理工大学联合举办。演习设置了一个虚拟的国家空军基地，模拟其军事指控系统、关键基础设施等遭遇网络攻击的场景。演习内容涵盖应对突发事件、解决取证挑战、响应与沟通、事件处理等多个方面。

（七）“锁盾2018”演习

2018年4月23-27日，CCDCOE在爱沙尼亚举行“锁盾2018”演习，来自30个国家的1000多名网络专家参与。此次演习通过模拟针对虚构国家“贝利利亚”的IT系统和关键基础设施的高强度网络攻击，提高参演国家保护关键基础设施网络安全的能力。演习设定由红队对“贝利利亚”的大型民用互联网服务商和空军基地的系统发动网络攻击，造成电网、4G网络，无人机和其他关键基础设施网络严重中断，“蓝队”负责防御。此次演习强调增进网络技术专家和决策者之间的沟通。

（八）“锁盾2019”演习

2019年4月8-12日， CDCOE在爱沙尼亚塔林举行“锁盾2019”演习，共计30个国家的1000多名网络专家参与。演习旨在测试参演各方抵御针对国家选举的网络攻击的能力，提高专业网络防御人员保障信息系统和关键基础设施安全的能力。演习模拟了正值大选的虚拟国家“贝利利亚”遭到大规模网络入侵，导致电网、4G网络等关键基础设施网络严重中断，大选被干预，民众舆论及选举进程受到操控，影响了选举结果的公正性，并导致该国发生政治动荡。

（九）“锁盾2021”演习

2021年4月13-16日，CCDCOE举行“锁盾2021”网络防御实战演习。受疫情影响，本次演习在线上进行，来自30多个国家的近2000名网络安全专家参演。本次演习搭建了5000个虚拟系统，模拟了4000多次攻击，场景设定参演国家都有责任对虚构的北约成员国工业设施和关键基础设施进行保护，并在系统受到网络攻击时提供协同防御。此次演习的主要目的是考验北约各国的网络防御者在严峻的网络攻击压力下对本国的IT系统和关键基础设施的保护能力。

（十）“锁盾2022”演习

2022年4月19-21日，CCDCOE开展“锁盾2022”演习，来自美国、英国、法国、德国、加拿大、瑞典、瑞士、芬兰、奥地利、韩国、乌克兰等32个国家的共2000多名网络作战人员参与演习，参演人员被分为若干支红队与24支蓝队，每支队伍约50名专家。本次演习进一步加强了与学术界、国际组织和行业伙伴的合作，为政府部门、军方单位、私营企业等机构开展网络安全领域合作提供了机会，有助于各国网络作战人员针对常见攻击事件进行交流。演习将作战场景设定为虚拟国家“贝利利亚”的主要军事设施系统和民用IT系统同时遭受网络攻击，严重影响了政府办公系统、军事通信网络、水厂系统和电网系统的运行。

（十一）“锁盾2023”演习

2023年4月18-21日，CCDCOE在爱沙尼亚举行“锁盾2023”演习，来自德国、西班牙、日本、立陶宛等38个国家的3000多名参与者参加了此次演习。本次演习场景涉及对某虚构国家进行的一系列复杂且互相关联的网络攻击，其影响范围从军事、政府到能源、电信、航运和金融服务等关键基础设施，测试参演人员的网络防御能力，以及在危机情况下进行战术或战略决策的能力。演习由400多名组织者制定计划，涉及到5500多个虚拟系统。

三、“锁盾”演习发展趋势

（一）演习流程机制不断完善健全，更加贴近实战

“锁盾”演习是网络安全演习中流程设置最完善、场景设定最细致的演习之一。一般网络安全演习均采用“红蓝”对抗的模拟方式，因此会设置红队和蓝队两支队伍，而“锁盾”演习除设置红蓝队之外，还设置了白队、黄队、绿队等其他队伍，覆盖场景设定、组织策划、战况评估、信息共享等演习过程。此外，“锁盾”演习还设置了法律顾问，甚至在“锁盾2017”演习中增加了虚假信息干扰，充分考虑了实际网络攻击中可能面临的场景，逼真地还原战时情景。

（二）规模不断扩充，影响力进一步扩大

从参演力量来看，参演人员由最初的200多人增加至3000多人，参演人员最初只包括网络专家，之后不断添加法律人员、决策制定者等不同职能的人员；参演国家由十几个扩种至30个，日本、韩国等非北约成员国也加入演习；参演机构不仅包括军方力量，还逐步纳入大型民企。从演习场景来看，逐步覆盖关键基础设施、社交媒体、政治局势、经济发展、民众安全等全方位、多领域，“锁盾2012”仅模拟一家小型电信公司遭受网络攻击的场景，之后不断纳入电网、能源等关键基础设施，“锁盾2022”演习还纳入金融系统，设置联动的演习场景，演习涉及范围不断提升，全面综合考虑了网络攻击的潜在后果。从演习复杂程度上看，复杂度不断上升，模拟的攻击次数和配置的虚拟系统都不断增加，演习平台使用当下最主流的操作系统，如“锁盾2016”演习使用了Win8、Win10、Linux系统和iOS系统，确保演习装备紧跟发展变化。

（三）场景设置紧密结合国际局势，现实意义重大

从历次“锁盾”演习不难看出，北约的网络空间防御重点一直在动态变化，紧密结合当年的国际网络安全局势。“锁盾2014”演习重点检验参演人员抵御黑客活动的能力，回应了2014年前后俄罗斯黑客组织APT28对乌克兰、美国、德国、法国等国进行攻击；“锁盾2017”演习场景设置了虚假新闻干扰，回应了APT29与干预2016年美国大选，并通过散布虚假信息掩饰其行为。“锁盾2021”演习模拟了4000多次针对国家关键基础设施的网络攻击，对潜在的网络威胁进行了彻底摸底，是对2020年美国“太阳风”网络攻击事件的回应。2022年“乌克兰危机”爆发以来，北约再次改变演习重点，设置联动场景，防御与慑止并举，深刻强化联盟能力。

四、“锁盾”演习的思考

北约通过“锁盾”演习锤炼出的防御攻击的实战能力，以及应对攻击网络攻击的战术战略决策能力，对于其应对日趋紧张的网空态势具有实用价值，其他国家可以借鉴“锁盾”的组织与演变，持续提升网络实战演习的价值与回报。

一是网络安全演习具有“查弱补漏”能力，有力于全面提升网络防御能力和快速响应能力。北约“锁盾”演习明确定位为网络空间防御演习，在充分考虑国家网络安全局势和成员国可能面临的安全形势的前提下，设置近实战化的网络攻击事件场景，培训平战时技能，提高技术人员专业水平，提升决策者的应急决策能力，加强北约成员国协同应对重大威胁的能力。通过开展网络空间演习，一方面能够评估网络空间危机应急响应能力，针对存在的薄弱环节，研发新的网络攻防技术和能力；另一方面，通过联合演习，加强网络空间的国际合作和公私合作，可以验证网络空间威胁信息的共享和交流机制，增强网络空间协同防御能力。

二是网络安全演习是提升面向未来作战能力的重要举措。未来的网络攻击事件不仅仅会瘫痪或降级重要系统的功能，而且会产生一系列的联动效应，造成经济社会混乱甚至是政治动荡。未来的网络军事行动也不仅仅只是网络空间的事情，还将与传统作战域的军事行动结合地越来越紧密。网络安全演习通过模拟网络攻击事件，将有效提升网络空间防御能力，为面向未来的军事对抗奠定基础。

三是先进的做法和有效的经验值得借鉴学习。网络安全演习的一个重要目的是从中学习知识并积累经验，复盘演习过程，总结暴露出的各种问题。“锁盾”等高水平网络安全演习中，组织方会花费大量时间、精力对演习过程和结果进行复盘与总结，以便为下一次演习提供参考。“锁盾”演习的这套做法值得其他国家和地区在组织相关演习时参考和借鉴。

关于作者

刘永艳，虎符智库特约作者，安全研究员。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。