第1章　認識紅藍紫

1.1　實戰攻防演練

1.1.1　為什么要進行實戰攻防演練

軍事上的實兵演練是除了實戰之外最能檢驗軍隊戰斗力的一種考核方式，可有效提高防御作戰能力，以應對外部勢力發起的攻擊和襲擾，更好地維護國家主權和安全。同樣，在網絡安全上，真實環境下的網絡攻防演練也是網絡安全中最能檢驗安全團隊防御能力、發現當前網絡環境中存在的安全風險的方式之一。

1. 政策要求驅動

2017年6月1日，隨著我國第一部網絡安全法《中華人民共和國網絡安全法》（下簡稱《網絡安全法》）的正式實施，我國網絡安全管理邁入法治新階段，網絡空間法治體系建設加速開展。《網絡安全法》就網絡安全應急演練工作明確指出，關鍵信息基礎設施的運營者應當“制定網絡安全事件應急預案，并定期進行演練”，國家網信部門應當統籌協調有關部門“定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練，提高應對網絡安全事件的水平和協同配合能力”，“負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案，并定期組織演練”，要求關鍵信息基礎設施的運營者、國家網信部門等定期組織開展應急演練工作。

2018年全國網絡安全和信息化工作會議于4月20日至21日在北京召開，會議強調，“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。要樹立正確的網絡安全觀，加強信息基礎設施網絡安全防護，加強網絡安全信息統籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，積極發展網絡安全產業，做到關口前移，防患于未然。要落實關鍵信息基礎設施防護責任，行業、企業作為關鍵信息基礎設施運營者承擔主體防護責任，主管部門履行好監管責任。”

“關口前移”是對落實網絡安全防護的方法提出的重要要求，而“防患于未然”則形成了鮮明的以防護效果為導向的指引要求，即要求用更為積極主動、行之有效的方式來應對網絡安全問題。在做好“關口前移”的基礎上，進一步加強網絡安全防護運行工作，除了采用定期檢查和突發事件應急響應等偏被動的常規機制外，還需提升安全防護工作的主動性，根據《網絡安全法》的規定定期開展安全應急演練工作。網絡實戰攻防演練便是在新的網絡安全形勢下，通過攻防雙方之間的對抗演練，實現“防患于未然”。

2020年7月，公安部印發《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》（下簡稱《意見》），《意見》明確了網絡安全保護“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“三化六防”要求，而實戰攻防演練是推動和檢驗“三化六防”水平的重要手段。《意見》提出：“關鍵信息基礎設施運營者和第三級以上網絡運營者應定期開展應急演練，有效處置網絡安全事件，并針對應急演練中發現的突出問題和漏洞隱患，及時整改加固，完善保護措施。行業主管部門、網絡運營者應配合公安機關每年組織開展的網絡安全監督檢查、比武演習等工作，不斷提升安全保護能力和對抗能力。”該文件明確了組織開展實戰化演練的責任主體和演練目的，即通過實戰化比武演練不斷提升安全保護能力和對抗能力。

近年隨著國家對網絡安全工作的越發重視，尤其是《關鍵信息基礎設施安全保護條例》等關鍵信息基礎設施保護有關政策法規和標準的陸續出臺，實戰演練已成為國家各個重要行業用于檢驗網絡安全保護水平的重要手段。網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。相信隨著國家在網絡安全方面政策文件的不斷完善，“實戰練兵”將成為提高抵御網絡攻擊能力、檢驗網絡安全措施有效性的重要舉措。

2. 安全威脅驅動

關鍵信息基礎設施，指的是面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公共事業等重要行業運行的信息系統或工業控制系統。這些系統一旦發生網絡安全事故，可能會對重要行業正常運行產生較大影響，對國家政治、經濟、科技、社會、文化、國防、環境及人民生命財產造成嚴重損失。

當前，我國關鍵信息基礎設施面臨的網絡安全形勢嚴峻復雜，網站平臺大規模數據泄露事件頻發，生產業務系統安全隱患突出，甚至有的系統長期被控，面對高級持續性的網絡攻擊，防護能力十分欠缺。近幾年，針對我國的網絡竊密、監聽等攻擊事件頻發，網絡空間的網絡安全攻防對抗日趨激烈。目前，我國面臨的網絡安全威脅主要有以下幾點。

1）針對我國重要信息系統的高強度、有組織的攻擊威脅形勢嚴峻。2020年，據不完全統計，奇安信威脅情報中心共收錄了高級威脅類公開報告642篇，涉及151個命名的攻擊組織或攻擊行動，其中，提及率最高的5個（高級持續性威脅）組織分別是Lazarus（10.3%）、Kimsuky（7.8%）、海蓮花（5.4%）、Darkhotel（4.8%）和蔓靈花（3.2%）。監測顯示，高級威脅攻擊活動覆蓋了全球絕大部分國家/地區，其中，提及率最高的5個受害國家分別為中國（7.4%）、韓國（6.6%）、美國（4.9%）、巴基斯坦（3.2%）和印度（3.2%）。中國首次超過美國、韓國、中東等國家/地區，成為全球APT攻擊的首要地區性目標。醫療衛生行業首次超過政府、金融、國防、能源、電信等領域，成為全球APT活動關注的首要目標。2020年，新冠肺炎疫情信息成為APT活動常用誘餌，供應鏈和遠程辦公成為切入點，定向勒索威脅成為APT活動新趨勢。海蓮花依舊是東南亞地區最為活躍的APT組織。

2）工業互聯網面臨的網絡安全威脅加劇。2020年，根據我國國家信息安全漏洞共享平臺（CNVD）統計，通用軟硬件漏洞為19 964個，其中，Web應用漏洞占總比為27.7%，操作系統漏洞占總比為10.3%，網絡設備漏洞占總比為6.8%，數據庫漏洞占總比為1.4%，電信行業漏洞占總比為4.4%，移動互聯網占總比為7.3%，工控漏洞占總比為3.2%，物聯網終端設備占總比為2.1%，其他類型占比為36.8%。工控漏洞雖然在2020年全年漏洞中占總比相對較小，但其重要性不可忽視，涉及西門子、施耐德、研華科技等在中國廣泛應用的工控系統產品。

2021年5月7日，美國燃油管道公司Colonial Pipeline管網遭受攻擊，攻擊者竊取這家公司的重要數據文件，燃油管道運輸管理系統也遭遇“劫持”，一度致使美國東部沿海各州的關鍵供油管道被迫關閉。

3. 國外實戰演練開展情況

2017年11月中旬北美舉辦了第二輪“GridEx-IV”網絡戰演練，來自美國、加拿大、墨西哥的450家組織和機構的6300人共同參與了北美電網故障場景的演練。該演練由美國政府與各電力企業合作開展，于2011年首次舉辦之后，每兩年舉辦一次。主要參與對象有電力企業、地區（地方、州、省）和聯邦政府執法機構、第一響應和情報機構、關鍵基礎設施跨部門合作伙伴（公共事業單位等）、能源供應鏈企業等，規模較大。該演練的目的是：證明各參與方應如何應對物理安全威脅事件并恢復演練中的模擬協調網絡，從而讓各參與方加強危機意識，并彼此交流經驗教訓；協調各方資源、努力籌備與提出應對舉措，解決國家層面的災難或針對關鍵基礎設施的安全威脅。

2018年4月23日至27日，來自30個國家/地區的1000多名“戰士”在一個虛擬國家Berylia進行了為期5天的“戰斗”，最終北約隊折桂，法國隊和捷克隊分獲亞軍和季軍。這場沒有硝煙的虛擬網絡戰，每年都要開戰一次，這便是全球最具影響力、規模最大、最復雜的國際性實戰網絡防御演練——鎖盾（Locked Shields）。鎖盾演練的主辦方為北約，具體操辦機構為北約網絡防御中心（CCDCOE，成立于2008年），自2010年始，每年舉辦一次。該演練的目的是為各國/地區網絡防御專家提供保護國家/地區信息技術IT系統和重要基礎設施的演練機會，同時評估大規模網絡攻擊對民用和軍事領域的IT系統所造成的影響。

2020年8月13日，為期三天的美國“網絡風暴2020”（Cyber Storm 2020）演練落幕，在美國網絡安全和基礎設施安全局（CISA）的組織下，近2000名來自政府機構和私營企業的人員參加了演練。本次演練汲取了往屆的經驗，跟進了當今網絡安全的格局變化，并以此為基礎，對網絡響應方面取得的成績進行評估和改進。本次演練促進并加強了公私伙伴關系，對新的關鍵基礎設施合作伙伴進行整合，不僅強調了信息共享和分析機構的關鍵作用，還強調了實體有必要充分了解自己對第三方服務的依賴。

2021年11月15日至20日，美國網絡司令部舉行了“網絡旗幟21-1”演練。此次演練是美國網絡司令部規模最大的跨國網絡演練，以網絡空間集體防御為重點，加強了來自23個國家/地區的200多名網絡作戰人員的防御技能。演練利用“國家網絡靶場”測試了參與人員檢測敵人、驅逐敵人和確定解決方案的能力，以加強其模擬網絡的技能。此次演練是美國對SolarWinds滲透攻擊的回應舉措之一，旨在加強網絡空間集體防御，確認開放、可靠和安全的互聯網的重要性。