备战第五空间，全球最大规模场景式网络攻防演习“锁定盾牌”透视

◎上海戎磐网络科技有限公司CIO◎◎Slimming◎Panda

“锁盾”是由北约网络合作防御卓越中心牵头，北约和欧盟成员国参与的年度网络攻防实战演习，旨在考核参演人员应对大规模网络攻击的能力。“锁盾2018”演习聚焦关键信息基础设施（CII）防护，通过关键信息基础设施提供商和军事单位的协作演练，强调各国技术专家、地方和军方参演人员以及决策层之间加强沟通与合作的重要性。该演习是全球最大规模的网络攻防实战演习，真实性强、复杂度高、攻防对抗激烈。

“贝里利亚”(Berylia)是地处大西洋一个比较寒冷水域的岛国，拥有世界一流的无人机产业，该国的很大一部分财政收入都来自这个产业。但最近，他们的无人机研究实验室遭到了身份不明的黑客入侵。攻击者对其大型互联网提供商和军事空军基地发动了协同式网络攻击，致使其电网、4G公共安全网络、无人机操作和其它关键设施组件均遭到严重破坏。事发后，政府立即部署由安全专家组成的快速反应小队协助处理此次网络事件……这不是科幻电影中的情节，而是北约“锁盾2018”演习的虚拟场景。

一、演习背景

虽然Berylia是一个虚构的国家，但演习的主要参演国爱沙尼亚在这方面却有过真真切切的惨痛遭遇，它是历史上第一个政府和关键基础设施经历大规模网络攻击的国家。2007年，爱沙尼亚当局决定将首都塔林的苏俄时代军事纪念铜像移走，引发占全国人口25%的俄罗斯族人的不满。随后，疑似俄罗斯黑客利用3周左右时间，对爱沙尼亚国会、政府部门、银行和媒体在内的网站进行拒绝式服务攻击，一度瘫痪了爱沙尼亚的互联网系统，甚至对整个国家安全构成威胁。这次事件之后，欧盟和北约发起了一系列倡议，以便在下一次网络攻击事件中，加强基础设施防护，改善各国和跨国组织之间的通讯交流。2008年，北约在爱沙尼亚首都塔林设立了网络战智库—北约网络合作防御卓越中心（CCD COE），负责网络防御研究、培训和演习，并且输送技术、战略、行动和法律方面的专业知识。该中心自2010年起举行“锁 盾”年度演习。另外，它还是 “塔林手册 2.0”和网络冲突国际会议（CyCon）的组织方。

其实，“锁盾”并不是全球唯一的大型网络防御演习。美国作为网络战领域的先行者，在网络战理论发展和实战演练方面也是走在世界前列。其军方的“网络卫士”（C yber Guard）和“网络旗帜”（C yber Flag）年度演习，国民警卫队的“网络盾牌”（CYBERSHIELD）演习，以及国土安全部牵头的“网络序曲”（CYBERPRELUDE）演习都是属于多军种、跨部门和业界参与的联合演习，近年来也开始邀请越来越多的盟友参与。在“网络卫士-2017”演习中，共有来自美国联邦和州政府、军方、学术界、工业界和国际盟友的700多人参演，演习场景逼真、对抗激烈。然而，就参演国家、兵力和涉及到的关键基础设施而言，“锁盾”确实可以称得上全球同类型的最大规模的技术性网络防御演习。

二、基本情况

（一）历次演习情况

“锁盾”是由北约网络合作防御卓越中心牵头，北约和欧盟成员国参与的年度网络攻防实战演习，旨在考核参演人员应对大规模网络攻击的能力。西门子、Bytelife、Clarified Security等世界重量级计算机基础设施公司为其提供技术支持。自2010年首次举办以来，参演规模不断扩大。目前，北约网络合作防御卓越中心已经拥有22个成员国，澳大利亚、挪威和日本也在近期相继宣布加入该组织。

“锁盾”演习是一种场景注入式演习。在前5次演习中，场景要么是武装冲突引发的网络攻击，要么就是低于武装冲突的门槛。随着网络空间斗争形态的发展，从2015年开始，演习场景转变为事件升级导致大规模武装冲突。其他重要变化还包括，引入新的攻击样式（针对ICS/SCADA系统的攻击）以及主动防御概念，更能够反映现代网络攻防斗争形式的升级。

演习设置了红、蓝、白、绿、黄和法律等多支队伍。其中美国和其他部分国家扮演“蓝队”角色，不仅负责维护虚拟国家网络安全，还需回应媒体和法律问题。“红队”负责网络渗透和攻击；“白队”是演习指挥控制小组；“黄队”负责网络空间态势感知；“绿队”则负责准备实验室内的技术基础设施；此外，演习还单独设立了一个法律小组，负责提供法律指导、咨询和分析。实际上，“锁盾”演习参演队伍最初并不包含法律小组，但为了尽可能逼真地模拟现实的指挥控制和决策程序，演习指挥组开始将法律、政治和公关等因素引入演习中，除了对虚拟基础设施进行技术防御外，还要求蓝队解决事件处理和报告、取证，法律和战略沟通等方面的挑战，尽可能真实地模拟现实斗争的复杂性，为各国应对这些威胁提供解决方案。

表1：“锁盾”演习历年演习规模

（二）“锁盾”演习姊妹篇：“十字剑”

同样由CCDCOE牵头组织的另一个重要网络战演习是“十字剑”（Crossed Swords）演习。它是“锁 盾”演习的姊妹篇，旨在为“锁盾”演习培训“红队”（Red Team，充当攻击者角色的专家）。演习中，红队攻击者会被分成三组，分别负责攻击客户端设备、面向Web的应用程序和网络，他们将重点测试并操练攻击模拟目标网络所需用到的正确工具和技术，并利用在“十字剑”演习中学到的经验为接下来的“锁盾”演习开发攻击环境。

此外，演习组织方还会在“锁盾”实战演习之后就取证挑战召开研讨会，对锁盾演习所用到的取证挑战场景进行更深入的分析，训练科目包括恶意流量分析、Ntfs文件系统分析、用户行为分析、恶意软件识别等。

三、“锁盾2018”实战情况

（一）基本情况

“锁盾2018”演习时间为4月23日至4月27日。本年度演习由CCDCOE与爱沙尼亚国防军、芬兰国防军、瑞典国防大学、英国联合军队、美国欧洲总部、CERT.LV韩国国家安全研究所和塔林理工大学联合举办，此外还涉及西门子, 爱立信, Bittium, Goodmill,Threod Systems, Cyber Test Systems,Clarified Security, Iptron, Bytelife, BHC实验室, openvpn.net, GuardTime等众多行业合作伙伴。

在为期五天的演习中，来自近30个国家的1000多名安全专家对重要服务和关键基础设施的防御能力进行了实战化综合演练。在此次演习中，北约通信与信息局（NCI）派出的的参赛队伍夺得了今年的总冠军，法国和捷克则分别摘得亚军和季军。

（二）演习目标

“锁盾2018”演习聚焦关键信息基础设施（CII）防护，通过关键信息基础设施提供商和军事单位的协作演练，强调各国技术专家、地方和军方参演人员、以及决策层之间加强沟通与合作的重要性。此次演习的另一个独特之处在于，它将战略与技术相结合，让各国军地网络安全专家能够完整地演练在发生严重网络事件情况下一整套指挥链的运行情况。

（三）演习设置

一支“红队”（攻击者）试图黑进22支“蓝队”（由IT专家组成）防御的系统，这些坚守防御的 IT 专家扮演的快速响应小组，协助该虚构国处理大规模网络事件。“蓝队“主要由国家的军事和文职网络安全专家组成。该演习的组织者聚集在爱沙尼亚首都塔林参加演习，而 “蓝队”则可在自己的国家在线参与。

（四）演习特点

规模最大。该演习是全球最大规模的网络攻防实战演习，今年的参演人员更是包含来自30个国家的1000多名安全专家，演练任务涉及近4,000个虚拟系统和2,500多次攻击，规模较往年相比进一步扩大。值得一提的是，澳大利亚也于近期宣布加入CCDCOE，并派出一支观察团参加演习。

真实性强。演习使用了取材于现实生活的攻防场景，操作系统和现实世界中都是一样的。同时，移动电信提供商和私营关键基础设施服务提供商的帮助和参与也让演习的真实性更高。这些公司的网络和军事网络运营者熟悉的环境截然不同，但在现实生活中它们之间又存在着紧密联系，因此，演习可以让军事网络安全专家了解重要服务器提供商的网络运作方式。

复杂度高。与往年相比，今年的复杂程度达到了一个新高，即充分考虑到了各国真实面临的网络威胁，为参演人员提供了实操机会演练如何保护大型电网控制SCADA系统和变电站，执法和应急通信所用的4G公共安全网络，可编程逻辑控制器（PLC）控制的净水厂，以及军事侦察无人机及其地面站。

攻防对抗激烈。演习设置了红蓝两队。红军预先知道蓝军系统的漏洞，并且在演习开始前可以扫描蓝军网络的漏洞。蓝队除了负责保护基础设施和服务外，还必须解决对外沟通、取证、法律和媒体等相关挑战，充分考虑到了大规模网络攻击可能带来的级联效应。

重在协同。不像传统攻防演练比赛（如Defcon及各种 CTF大赛）更加注重技术和个人能力，“锁盾”演习更加偏重于组织协同、情报共享、技术与战略的融合、以及公共事务处理等工作，这更加符合军事演习的一贯风格。

四、几点启示

（一）网络物理战的特征更加明显

随着现代科学技术的发展，真实物理世界与虚拟网络世界的界限已被打破，两者联系紧密、相互影响。无论是关键基础设施的控制系统，还是军政保密内网，甚至是武器操控系统，都不能再把物理隔离作为固若金汤、一劳永逸的办法。网络攻击将对于军事物联网的安全构成新的威胁。第一款工业病毒“震网”曝光以来，开始有专家学者提出“网络物理战”的概念。根据“锁盾”系列网络安全演习想定，未来网络攻击重点将从单个计算机信息系统、大规模网络化信息系统转向国家关键基础设施和与互联网物理隔离的武器装备系统，网络物理战的特征更加明显。用隔离换安全的想法已经过时，必须直面网络安全威胁的现实，尽早投入到网络对抗能力建设中。

（二）网络/动能作战融合趋势明显

2016年，北约在华沙峰会上正式将网络空间认定为第五大军事作战域。这就意味着网络防御已被纳入北约集体防御这一核心任务范畴，任一成员国如果遭到网络攻击，则攻击方将与发起动能攻击一样得到来自北约成员国的统一回应。同时，这也意味着，北约将在严重的网络攻击中使用传统武器予以回应。“锁盾”演习演练的不仅仅是技术上的攻防对抗，更是一整套指挥链的有效运行。为其预热的“十字剑2018”更是首次演练在不同的地理位置同时进行多项动能和网络作战。安全专家认为，当既定目标无法通过网络空间连接时，就有必要下令军方利用最先进的技术和战术能力实施动能打击。这和美军的“多域战”构想如出一辙。未来，网络和动能武器作战融合趋势和相互映射效应将愈发明显。网络空间理论和能力发展必须纳入整个国防体系进行统筹规划。

（三）软能力博弈日趋激烈

未来网络空间领域的作战，已经从传统技术领域还扩展到了法律和利用新媒体开展的网络舆情斗争领域，这些软能力博弈所产生的影响也不容小视。一方面，面对相关国际法的缺失和不完善，以美国为首的西方国家都在从自身利益和需求出发，积极参与国际立法，为己方行为提供法律支撑，索取网络战场主动权。另一方面，网络已经成为焦点事件的传播源，舆论交锋的主战场，以及“颜色革命”的试验场，借助发达的互联网传递攻心或虚假信息，就可能引发“蝴蝶效应”，直接达成某种政治目的。美国新近出版的《战争2.0》一书中，明确强调信息网络战争最终打的是舆论和民心，中东、北非政局动荡就是这种斗争形态的完整体现。