公安大学李欣：网络攻防演练及其现实意义

世界各国网络空间安全演习反映出强调网络安全、重视网络安全的新特点和新趋势。同时，世界各国均高度重视网络靶场建设, 将其作为支撑网络空间安全技术验证、网络武器试验、攻防对抗演练和网络风险评估的重要手段。美国在网络空间占据天然优势，在芯片、关键基础设施、操作系统等领域均处在统治地位。相对于网络安全建设起步较晚的国家，无论是攻还是防，在实战环境下均处于劣势。因此，网络攻防演练的意义更大，可以通过网络攻防演练，加强国家各领域网络安全防范，促进网络空间安全人才培养，提升全民网络安全意识。

一、美国、北约网络攻防演练现状

从国家组织的网络攻防演练看，“网络风暴”“锁定盾牌”“网络欧洲”等网络攻防演练，形成了跨国家、跨领域、跨部门以及军政民多方参与的一体化模式。

1.美国“网络风暴”系列演习

自2006年开始，美国开始举行“网络风暴”系列演习，大量民间机构、ICT企业、学术界代表和军队共同参与，通过开展实战化网络攻防演练共同发现网络威胁和安全漏洞，提高国家、地区间的应急响应能力。该系列演习不仅促进了美国各级政府部门、政府与私营企业之间的合作与信息共享，推动国家军民融合走向深化，同时，也加强了国际联合作战能力。美国与军事同盟和战略伙伴积极在网络空间各环节对接，形成了美国网络空间的绝对优势。

2018年4月10日，美国举行了第六次“网络风暴”演练。与以往不同，此次演练重点评估网络响应团队的能力、美国联邦政府与合作伙伴的协作能力，并让新的关键基础设施合作伙伴加入演习，以提升美国16个关键基础设施领域的成熟度和融合性。

总之，国家级别的网络安全演练更偏重于组织的协同、情报的共享、协同作战的能力等，并通过模拟网络遭到攻击的情况，增强如何快速实施应急方案能力，重点锻炼跨政府、军队、企业之间的安全协作能力。

2.北约大规模网络防御演习“锁定盾牌”

“锁定盾牌”是北约合作网络防御中心（NATO CCDCOE）举行的年度网络攻防实战演习。该演习由北约总部牵头，爱沙尼亚国防部、爱沙尼亚网络防御联盟、芬兰国防部、北约联军部队等数十个北约伙伴单位参与，同时，思科（Cisco）、Bytelife、Clarified Networks等世界重量级计算机基础设施公司为其提供技术支持。“锁定盾牌”网络攻防实战演习自2012起，已经成功举办了多次，规模也在不断扩大。近几年的参演情况如下：2016年，参演人数550，参演国家数量26，攻击次数1700，虚拟系统1500；2017年，参演人数800，参演国家数量25，攻击次数2500，虚拟系统3000；2018年，参演人数1000，参演国家数量30 ，攻击次数2500，虚拟系统4000。

每次“锁定盾牌”演习，主办方会设定虚拟场景，预先建好一个具备较多漏洞的特定网络，所有的角色与分工都是仿真的。数十个队伍作为演习的蓝军，保护自身的网络不受到攻击，但是，各个参赛的蓝军队伍并不代表他们的组织。演习以比赛的形式进行，虽然蓝军部队之间是竞争关系，但是，鼓励队伍之间开展合作和共享信息。为展示网络防御危机的复杂性，演习还包括法律以及取证等内容。

除了直接进行对抗的蓝军，“锁定盾牌”网络防御演习还具有其他特殊角色，其作用与分工如下：蓝军是防守方，主要演习对象，需要保护未知的预先建立好的、含有漏洞的网络。裁判和演习系统将对蓝军进行自动化和手动评分，用来评估不同的战略和战术，最终形成演习排名。每个蓝军队伍都配备1-2名法律顾问，以解决法律相关的问题。红军是攻击方，主要任务是攻击蓝军所维护的系统，对其进行入侵或干扰其正常运作。红军会预先知道所维护的系统漏洞，可以在演习开始之前，扫描蓝军的网络漏洞。白军是组织方，负责整个演习的组织工作，制定演习目的、场景，与红军一起开展攻击活动、编写规则。绿军是后勤方，负责准备演习的技术设备，为演习提供相关的支持与帮助。黄军主要负责搜集、分析演习对抗多方的信息，向中央控制室传递最新的演习情况，保证演习的行动顺利进行。

二、我国网络安全攻防演习相关情况

我国近几年组织的网络安全攻防演习，主要包括广东网警“护网2018”网络攻防演习和贵阳大数据与网络安全攻防演练等。

2018年8月，广东省公安厅举办“护网2018”网络攻防演习。与国外网络攻防演习有所不同，广东省公安厅主办的“护网2018”网络攻防演习的目的是深入排查重点单位网络安全隐患，全方位检验各单位网络安全防御能力。“护网2018”网络攻防演习最大的特点在于其攻击和防守都在真实的环境下进行，演习统一使用竞演平台提供的通道，在经过严格审计、全程留痕的情况下开展攻击行为，不得危害网络的正常运行，不开展高风险攻击行为。

自2016年起，贵州省贵阳市每年集中全国优秀网络安全人员，对贵阳地区基于网络与大数据应用的目标展开攻击与防护应急演练活动。贵阳网络安全攻防演练主要的目标限定在贵阳市辖区内的网站、在线信息系统、工控系统及其他专用系统。演练主要特点及亮点体现在：第一，演练全面，主办方将工控系统纳入演练范畴。第二，环境真实，攻击方与防守方在真实的网络环境下，在不威胁正常运行的情况下，进行对抗。第三，规模大，攻击方针对数百个重点目标以及近万个网站进行攻击与渗透。第四，目的明确，演练的主要目的在于安全检验，排查风险，而且，在进行攻防演练后，防守方会经受复检，排除演练中发现的问题。

总之，国内网络安全攻防演练，在不影响正常运营的前提下，直接在真实网络环境开展对抗，这样的方式更加真实，贴近实战。同时，攻防所有的行为都会被记录下来，以便于查漏补缺，完善网络安全短板。

三、网络攻防演练的现实意义

举行网络攻防演练具有积极意义，攻防队伍实施“背靠背”的演练，通过攻防对抗，考验防守方的安全防护能力以及对安全事件的监测发现能力和应急处置能力。通过对抗、复盘和研讨，总结经验教训，对提升网络安全保障整体能力和水平具有以下突出价值。

1.检验和提高应网络安全应急响应能力

通过网络攻防演习检验各部门遭遇网络攻击时发现和协同处置安全风险的能力，对完善网络安全应急响应机制与提高技术防护能力具有重要意义。《网络安全法》和《国家网络安全事件应急预案》要求，按照“统一指挥、分级负责、密切协同、快速反应”的原则开展网络安全应急联动、协同处置工作。国内外开展的网络攻防演练均涉及政府机构、企事业等多家单位，通过安全演练强化政企、军民之间的联动防御能力。通过攻防演练发现安全漏洞与风险，找到网络安全防护的短板，检验网络安全风险通报机制、网络威胁情报共享机制以及应急响应方案的合理性，并在演练后总结优化。

2.培养和提升网络安全人才实战能力

2011年，美国土安全部和人力资源办公室共同提出《网络安全人才队伍框架（草案）》。历经7年讨论修改，2017年8月，美国标准与技术研究所（NIST）正式公布为《NICE网络安全人才框架》，明确网络安全专业领域的定义、任务及人员应具备的“知识、技能、能力”，对专业化人才队伍建设具有积极的指导作用。我国发布的《关于加强网络安全学科建设和人才培养的意见》明确要求创新网络安全人才培养机制，突出安全技能的综合培养。实战能力和技术水平是网络安全人才的核心能力，面向真实系统开展网络攻防演练，与在规模、复杂度、网络状态都是仿真靶场的情况无法比拟，能更好锻炼实战能力，选拔人才。

3.有效强化网络安全风险意识

没有意识到风险是最大的风险。当前，网络安全意识教育，存在国家和网络安全厂商“一头热”的情况，企事业单位和个人安全意识落后，且存在“狼来了”的情况，认为自身网络系统没有重要信息，被攻击的可能性不大，技术人员安全意识不强，忽视基本的网络防护。每次攻防演练都有高危漏洞被发现和重要目标系统被攻破，体验和感受网络被攻破的后果是效果最好的网络安全意识教育，有助于各领域管理和技术人员发现网络安全威胁，了解网络攻击带来的巨大危害，更能增强对网络风险认知的直观性和紧迫性。

四、结语

网络安全的本质在对抗，对抗的本质在攻防两端能力较量。国家规模的演练已经成为检验网络强国建设的重器，同时，也是维护网络空间安全的绸缪之举。举办高质量的网络攻防演可以发现目前网络存在的隐患并及时弥补，加强部门之间协同响应，同时也可为培养高水平网络攻防人才提供技术支撑，为国家的网络安全决策提供依据。网络攻防演练具有独特的实战价值，始终是网络安全体系的一个环节，应客观认识其价值，不能过分夸大其作用，以偏概全，导致新的网络安全风险。

（本文刊登于《中国信息安全》杂志2019年第1期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。