◎上海戎磐網(wǎng)絡(luò)科技有限公司CIO◎◎Slimming◎Panda

“鎖盾”是由北約網(wǎng)絡(luò)合作防御卓越中心牽頭，北約和歐盟成員國參與的年度網(wǎng)絡(luò)攻防實戰(zhàn)演習(xí)，旨在考核參演人員應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊的能力。“鎖盾2018”演習(xí)聚焦關(guān)鍵信息基礎(chǔ)設(shè)施（CII）防護，通過關(guān)鍵信息基礎(chǔ)設(shè)施提供商和軍事單位的協(xié)作演練，強調(diào)各國技術(shù)專家、地方和軍方參演人員以及決策層之間加強溝通與合作的重要性。該演習(xí)是全球最大規(guī)模的網(wǎng)絡(luò)攻防實戰(zhàn)演習(xí)，真實性強、復(fù)雜度高、攻防對抗激烈。

“貝里利亞”(Berylia)是地處大西洋一個比較寒冷水域的島國，擁有世界一流的無人機產(chǎn)業(yè)，該國的很大一部分財政收入都來自這個產(chǎn)業(yè)。但最近，他們的無人機研究實驗室遭到了身份不明的黑客入侵。攻擊者對其大型互聯(lián)網(wǎng)提供商和軍事空軍基地發(fā)動了協(xié)同式網(wǎng)絡(luò)攻擊，致使其電網(wǎng)、4G公共安全網(wǎng)絡(luò)、無人機操作和其它關(guān)鍵設(shè)施組件均遭到嚴重破壞。事發(fā)后，政府立即部署由安全專家組成的快速反應(yīng)小隊協(xié)助處理此次網(wǎng)絡(luò)事件……這不是科幻電影中的情節(jié)，而是北約“鎖盾2018”演習(xí)的虛擬場景。

一、演習(xí)背景

雖然Berylia是一個虛構(gòu)的國家，但演習(xí)的主要參演國愛沙尼亞在這方面卻有過真真切切的慘痛遭遇，它是歷史上第一個政府和關(guān)鍵基礎(chǔ)設(shè)施經(jīng)歷大規(guī)模網(wǎng)絡(luò)攻擊的國家。2007年，愛沙尼亞當局決定將首都塔林的蘇俄時代軍事紀念銅像移走，引發(fā)占全國人口25%的俄羅斯族人的不滿。隨后，疑似俄羅斯黑客利用3周左右時間，對愛沙尼亞國會、政府部門、銀行和媒體在內(nèi)的網(wǎng)站進行拒絕式服務(wù)攻擊，一度癱瘓了愛沙尼亞的互聯(lián)網(wǎng)系統(tǒng)，甚至對整個國家安全構(gòu)成威脅。這次事件之后，歐盟和北約發(fā)起了一系列倡議，以便在下一次網(wǎng)絡(luò)攻擊事件中，加強基礎(chǔ)設(shè)施防護，改善各國和跨國組織之間的通訊交流。2008年，北約在愛沙尼亞首都塔林設(shè)立了網(wǎng)絡(luò)戰(zhàn)智庫—北約網(wǎng)絡(luò)合作防御卓越中心（CCD COE），負責網(wǎng)絡(luò)防御研究、培訓(xùn)和演習(xí)，并且輸送技術(shù)、戰(zhàn)略、行動和法律方面的專業(yè)知識。該中心自2010年起舉行“鎖 盾”年度演習(xí)。另外，它還是 “塔林手冊 2.0”和網(wǎng)絡(luò)沖突國際會議（CyCon）的組織方。

其實，“鎖盾”并不是全球唯一的大型網(wǎng)絡(luò)防御演習(xí)。美國作為網(wǎng)絡(luò)戰(zhàn)領(lǐng)域的先行者，在網(wǎng)絡(luò)戰(zhàn)理論發(fā)展和實戰(zhàn)演練方面也是走在世界前列。其軍方的“網(wǎng)絡(luò)衛(wèi)士”（C yber Guard）和“網(wǎng)絡(luò)旗幟”（C yber Flag）年度演習(xí)，國民警衛(wèi)隊的“網(wǎng)絡(luò)盾牌”（CYBERSHIELD）演習(xí)，以及國土安全部牽頭的“網(wǎng)絡(luò)序曲”（CYBERPRELUDE）演習(xí)都是屬于多軍種、跨部門和業(yè)界參與的聯(lián)合演習(xí)，近年來也開始邀請越來越多的盟友參與。在“網(wǎng)絡(luò)衛(wèi)士-2017”演習(xí)中，共有來自美國聯(lián)邦和州政府、軍方、學(xué)術(shù)界、工業(yè)界和國際盟友的700多人參演，演習(xí)場景逼真、對抗激烈。然而，就參演國家、兵力和涉及到的關(guān)鍵基礎(chǔ)設(shè)施而言，“鎖盾”確實可以稱得上全球同類型的最大規(guī)模的技術(shù)性網(wǎng)絡(luò)防御演習(xí)。

二、基本情況

（一）歷次演習(xí)情況

“鎖盾”是由北約網(wǎng)絡(luò)合作防御卓越中心牽頭，北約和歐盟成員國參與的年度網(wǎng)絡(luò)攻防實戰(zhàn)演習(xí)，旨在考核參演人員應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊的能力。西門子、Bytelife、Clarified Security等世界重量級計算機基礎(chǔ)設(shè)施公司為其提供技術(shù)支持。自2010年首次舉辦以來，參演規(guī)模不斷擴大。目前，北約網(wǎng)絡(luò)合作防御卓越中心已經(jīng)擁有22個成員國，澳大利亞、挪威和日本也在近期相繼宣布加入該組織。

“鎖盾”演習(xí)是一種場景注入式演習(xí)。在前5次演習(xí)中，場景要么是武裝沖突引發(fā)的網(wǎng)絡(luò)攻擊，要么就是低于武裝沖突的門檻。隨著網(wǎng)絡(luò)空間斗爭形態(tài)的發(fā)展，從2015年開始，演習(xí)場景轉(zhuǎn)變?yōu)槭录墝?dǎo)致大規(guī)模武裝沖突。其他重要變化還包括，引入新的攻擊樣式（針對ICS/SCADA系統(tǒng)的攻擊）以及主動防御概念，更能夠反映現(xiàn)代網(wǎng)絡(luò)攻防斗爭形式的升級。

演習(xí)設(shè)置了紅、藍、白、綠、黃和法律等多支隊伍。其中美國和其他部分國家扮演“藍隊”角色，不僅負責維護虛擬國家網(wǎng)絡(luò)安全，還需回應(yīng)媒體和法律問題?！凹t隊”負責網(wǎng)絡(luò)滲透和攻擊；“白隊”是演習(xí)指揮控制小組；“黃隊”負責網(wǎng)絡(luò)空間態(tài)勢感知；“綠隊”則負責準備實驗室內(nèi)的技術(shù)基礎(chǔ)設(shè)施；此外，演習(xí)還單獨設(shè)立了一個法律小組，負責提供法律指導(dǎo)、咨詢和分析。實際上，“鎖盾”演習(xí)參演隊伍最初并不包含法律小組，但為了盡可能逼真地模擬現(xiàn)實的指揮控制和決策程序，演習(xí)指揮組開始將法律、政治和公關(guān)等因素引入演習(xí)中，除了對虛擬基礎(chǔ)設(shè)施進行技術(shù)防御外，還要求藍隊解決事件處理和報告、取證，法律和戰(zhàn)略溝通等方面的挑戰(zhàn)，盡可能真實地模擬現(xiàn)實斗爭的復(fù)雜性，為各國應(yīng)對這些威脅提供解決方案。

表1：“鎖盾”演習(xí)歷年演習(xí)規(guī)模

（二）“鎖盾”演習(xí)姊妹篇：“十字劍”

同樣由CCDCOE牽頭組織的另一個重要網(wǎng)絡(luò)戰(zhàn)演習(xí)是“十字劍”（Crossed Swords）演習(xí)。它是“鎖 盾”演習(xí)的姊妹篇，旨在為“鎖盾”演習(xí)培訓(xùn)“紅隊”（Red Team，充當攻擊者角色的專家）。演習(xí)中，紅隊攻擊者會被分成三組，分別負責攻擊客戶端設(shè)備、面向Web的應(yīng)用程序和網(wǎng)絡(luò)，他們將重點測試并操練攻擊模擬目標網(wǎng)絡(luò)所需用到的正確工具和技術(shù)，并利用在“十字劍”演習(xí)中學(xué)到的經(jīng)驗為接下來的“鎖盾”演習(xí)開發(fā)攻擊環(huán)境。

此外，演習(xí)組織方還會在“鎖盾”實戰(zhàn)演習(xí)之后就取證挑戰(zhàn)召開研討會，對鎖盾演習(xí)所用到的取證挑戰(zhàn)場景進行更深入的分析，訓(xùn)練科目包括惡意流量分析、Ntfs文件系統(tǒng)分析、用戶行為分析、惡意軟件識別等。

三、“鎖盾2018”實戰(zhàn)情況

（一）基本情況

“鎖盾2018”演習(xí)時間為4月23日至4月27日。本年度演習(xí)由CCDCOE與愛沙尼亞國防軍、芬蘭國防軍、瑞典國防大學(xué)、英國聯(lián)合軍隊、美國歐洲總部、CERT.LV韓國國家安全研究所和塔林理工大學(xué)聯(lián)合舉辦，此外還涉及西門子, 愛立信, Bittium, Goodmill,Threod Systems, Cyber Test Systems,Clarified Security, Iptron, Bytelife, BHC實驗室, openvpn.net, GuardTime等眾多行業(yè)合作伙伴。

在為期五天的演習(xí)中，來自近30個國家的1000多名安全專家對重要服務(wù)和關(guān)鍵基礎(chǔ)設(shè)施的防御能力進行了實戰(zhàn)化綜合演練。在此次演習(xí)中，北約通信與信息局（NCI）派出的的參賽隊伍奪得了今年的總冠軍，法國和捷克則分別摘得亞軍和季軍。

（二）演習(xí)目標

“鎖盾2018”演習(xí)聚焦關(guān)鍵信息基礎(chǔ)設(shè)施（CII）防護，通過關(guān)鍵信息基礎(chǔ)設(shè)施提供商和軍事單位的協(xié)作演練，強調(diào)各國技術(shù)專家、地方和軍方參演人員、以及決策層之間加強溝通與合作的重要性。此次演習(xí)的另一個獨特之處在于，它將戰(zhàn)略與技術(shù)相結(jié)合，讓各國軍地網(wǎng)絡(luò)安全專家能夠完整地演練在發(fā)生嚴重網(wǎng)絡(luò)事件情況下一整套指揮鏈的運行情況。

（三）演習(xí)設(shè)置

一支“紅隊”（攻擊者）試圖黑進22支“藍隊”（由IT專家組成）防御的系統(tǒng)，這些堅守防御的 IT 專家扮演的快速響應(yīng)小組，協(xié)助該虛構(gòu)國處理大規(guī)模網(wǎng)絡(luò)事件?！八{隊“主要由國家的軍事和文職網(wǎng)絡(luò)安全專家組成。該演習(xí)的組織者聚集在愛沙尼亞首都塔林參加演習(xí)，而 “藍隊”則可在自己的國家在線參與。

（四）演習(xí)特點

規(guī)模最大。該演習(xí)是全球最大規(guī)模的網(wǎng)絡(luò)攻防實戰(zhàn)演習(xí)，今年的參演人員更是包含來自30個國家的1000多名安全專家，演練任務(wù)涉及近4,000個虛擬系統(tǒng)和2,500多次攻擊，規(guī)模較往年相比進一步擴大。值得一提的是，澳大利亞也于近期宣布加入CCDCOE，并派出一支觀察團參加演習(xí)。

真實性強。演習(xí)使用了取材于現(xiàn)實生活的攻防場景，操作系統(tǒng)和現(xiàn)實世界中都是一樣的。同時，移動電信提供商和私營關(guān)鍵基礎(chǔ)設(shè)施服務(wù)提供商的幫助和參與也讓演習(xí)的真實性更高。這些公司的網(wǎng)絡(luò)和軍事網(wǎng)絡(luò)運營者熟悉的環(huán)境截然不同，但在現(xiàn)實生活中它們之間又存在著緊密聯(lián)系，因此，演習(xí)可以讓軍事網(wǎng)絡(luò)安全專家了解重要服務(wù)器提供商的網(wǎng)絡(luò)運作方式。

復(fù)雜度高。與往年相比，今年的復(fù)雜程度達到了一個新高，即充分考慮到了各國真實面臨的網(wǎng)絡(luò)威脅，為參演人員提供了實操機會演練如何保護大型電網(wǎng)控制SCADA系統(tǒng)和變電站，執(zhí)法和應(yīng)急通信所用的4G公共安全網(wǎng)絡(luò)，可編程邏輯控制器（PLC）控制的凈水廠，以及軍事偵察無人機及其地面站。

攻防對抗激烈。演習(xí)設(shè)置了紅藍兩隊。紅軍預(yù)先知道藍軍系統(tǒng)的漏洞，并且在演習(xí)開始前可以掃描藍軍網(wǎng)絡(luò)的漏洞。藍隊除了負責保護基礎(chǔ)設(shè)施和服務(wù)外，還必須解決對外溝通、取證、法律和媒體等相關(guān)挑戰(zhàn)，充分考慮到了大規(guī)模網(wǎng)絡(luò)攻擊可能帶來的級聯(lián)效應(yīng)。

重在協(xié)同。不像傳統(tǒng)攻防演練比賽（如Defcon及各種 CTF大賽）更加注重技術(shù)和個人能力，“鎖盾”演習(xí)更加偏重于組織協(xié)同、情報共享、技術(shù)與戰(zhàn)略的融合、以及公共事務(wù)處理等工作，這更加符合軍事演習(xí)的一貫風格。

四、幾點啟示

（一）網(wǎng)絡(luò)物理戰(zhàn)的特征更加明顯

隨著現(xiàn)代科學(xué)技術(shù)的發(fā)展，真實物理世界與虛擬網(wǎng)絡(luò)世界的界限已被打破，兩者聯(lián)系緊密、相互影響。無論是關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)，還是軍政保密內(nèi)網(wǎng)，甚至是武器操控系統(tǒng)，都不能再把物理隔離作為固若金湯、一勞永逸的辦法。網(wǎng)絡(luò)攻擊將對于軍事物聯(lián)網(wǎng)的安全構(gòu)成新的威脅。第一款工業(yè)病毒“震網(wǎng)”曝光以來，開始有專家學(xué)者提出“網(wǎng)絡(luò)物理戰(zhàn)”的概念。根據(jù)“鎖盾”系列網(wǎng)絡(luò)安全演習(xí)想定，未來網(wǎng)絡(luò)攻擊重點將從單個計算機信息系統(tǒng)、大規(guī)模網(wǎng)絡(luò)化信息系統(tǒng)轉(zhuǎn)向國家關(guān)鍵基礎(chǔ)設(shè)施和與互聯(lián)網(wǎng)物理隔離的武器裝備系統(tǒng)，網(wǎng)絡(luò)物理戰(zhàn)的特征更加明顯。用隔離換安全的想法已經(jīng)過時，必須直面網(wǎng)絡(luò)安全威脅的現(xiàn)實，盡早投入到網(wǎng)絡(luò)對抗能力建設(shè)中。

（二）網(wǎng)絡(luò)/動能作戰(zhàn)融合趨勢明顯

2016年，北約在華沙峰會上正式將網(wǎng)絡(luò)空間認定為第五大軍事作戰(zhàn)域。這就意味著網(wǎng)絡(luò)防御已被納入北約集體防御這一核心任務(wù)范疇，任一成員國如果遭到網(wǎng)絡(luò)攻擊，則攻擊方將與發(fā)起動能攻擊一樣得到來自北約成員國的統(tǒng)一回應(yīng)。同時，這也意味著，北約將在嚴重的網(wǎng)絡(luò)攻擊中使用傳統(tǒng)武器予以回應(yīng)?！版i盾”演習(xí)演練的不僅僅是技術(shù)上的攻防對抗，更是一整套指揮鏈的有效運行。為其預(yù)熱的“十字劍2018”更是首次演練在不同的地理位置同時進行多項動能和網(wǎng)絡(luò)作戰(zhàn)。安全專家認為，當既定目標無法通過網(wǎng)絡(luò)空間連接時，就有必要下令軍方利用最先進的技術(shù)和戰(zhàn)術(shù)能力實施動能打擊。這和美軍的“多域戰(zhàn)”構(gòu)想如出一轍。未來，網(wǎng)絡(luò)和動能武器作戰(zhàn)融合趨勢和相互映射效應(yīng)將愈發(fā)明顯。網(wǎng)絡(luò)空間理論和能力發(fā)展必須納入整個國防體系進行統(tǒng)籌規(guī)劃。

（三）軟能力博弈日趨激烈

未來網(wǎng)絡(luò)空間領(lǐng)域的作戰(zhàn)，已經(jīng)從傳統(tǒng)技術(shù)領(lǐng)域還擴展到了法律和利用新媒體開展的網(wǎng)絡(luò)輿情斗爭領(lǐng)域，這些軟能力博弈所產(chǎn)生的影響也不容小視。一方面，面對相關(guān)國際法的缺失和不完善，以美國為首的西方國家都在從自身利益和需求出發(fā)，積極參與國際立法，為己方行為提供法律支撐，索取網(wǎng)絡(luò)戰(zhàn)場主動權(quán)。另一方面，網(wǎng)絡(luò)已經(jīng)成為焦點事件的傳播源，輿論交鋒的主戰(zhàn)場，以及“顏色革命”的試驗場，借助發(fā)達的互聯(lián)網(wǎng)傳遞攻心或虛假信息，就可能引發(fā)“蝴蝶效應(yīng)”，直接達成某種政治目的。美國新近出版的《戰(zhàn)爭2.0》一書中，明確強調(diào)信息網(wǎng)絡(luò)戰(zhàn)爭最終打的是輿論和民心，中東、北非政局動蕩就是這種斗爭形態(tài)的完整體現(xiàn)。