北約“鎖定盾牌”系列演習(xí)對(duì)我國(guó)工業(yè)信息安全應(yīng)急工作的啟示

朱麗娜，孫立立

（國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)應(yīng)急所，北京 100040）

0 引言

當(dāng)前，隨著新一代信息技術(shù)與制造業(yè)的深度融合，在助力制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型的同時(shí)，也帶來了更為突出的工業(yè)信息安全問題。工業(yè)信息安全應(yīng)急演練是應(yīng)急管理的關(guān)鍵內(nèi)容，是理順應(yīng)急工作流程、暢通應(yīng)急工作機(jī)制、鍛煉應(yīng)急人才隊(duì)伍、預(yù)防安全事件發(fā)生、保障工業(yè)信息安全的重要手段，已經(jīng)得到了世界各國(guó)的高度重視。如我國(guó)《網(wǎng)絡(luò)安全法》明確要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者定期組織應(yīng)急演練，《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》要求各級(jí)工信主管部門、工業(yè)企業(yè)制定本級(jí)工控安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練等。然而，由于我國(guó)工業(yè)信息安全演練相關(guān)工作起步較晚，仍存在著演練形式較為單一、專業(yè)應(yīng)急人員短缺等問題。北約“鎖定盾牌”演習(xí)是當(dāng)前全球最大規(guī)模的技術(shù)性防御演習(xí)，演習(xí)經(jīng)過多年迭代已步入“完善期”和“成熟期”。因此，本文重點(diǎn)針對(duì)“鎖定盾牌”系列演習(xí)進(jìn)行深入分析，為我國(guó)開展應(yīng)急演練、強(qiáng)化應(yīng)急工作提供參考。

1 “鎖定盾牌”演習(xí)概況

“鎖定盾牌”系列演習(xí)是當(dāng)前全球最大規(guī)模的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演習(xí)，其參演國(guó)家、參演人員和演習(xí)使用的關(guān)鍵信息基礎(chǔ)設(shè)施的覆蓋范圍都堪稱全球之最。該演習(xí)自2010年起每年舉辦一次，由北約網(wǎng)絡(luò)合作防御卓越中心牽頭，美國(guó)以及西歐北美等諸多西方發(fā)達(dá)國(guó)家共同參與，近年來演習(xí)還吸引了多家重量級(jí)技術(shù)公司和研究機(jī)構(gòu)深度參與，包括西門子公司、微軟、思科、Stamus Networks公司、新加坡科技設(shè)計(jì)大學(xué)iTrust研究中心、芬蘭VTT技術(shù)研究中心、Clarified Security等。

“鎖定盾牌”演習(xí)采取“紅藍(lán)對(duì)抗”實(shí)戰(zhàn)演習(xí)模式，演練重點(diǎn)為針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防對(duì)抗，旨在加強(qiáng)基礎(chǔ)設(shè)施保護(hù)，增強(qiáng)參演各國(guó)的溝通協(xié)調(diào)、促進(jìn)信息共享、提升應(yīng)急處置能力。近年來，演習(xí)更加關(guān)注工業(yè)信息安全領(lǐng)域，演練場(chǎng)景涉及國(guó)防科技工業(yè)、能源、水利等工業(yè)領(lǐng)域。如2021年4月13-16日舉辦的“鎖定盾牌2021”演習(xí)，基于愛沙尼亞國(guó)防軍管理的網(wǎng)絡(luò)防御平臺(tái)“Cyber Range”開展，主要模擬虛擬國(guó)家“Berylia”（“貝里里亞”）遭受大規(guī)模網(wǎng)絡(luò)攻擊，攻擊導(dǎo)致其軍事防空、衛(wèi)星任務(wù)控制、水凈化、電網(wǎng)及其他關(guān)鍵信息基礎(chǔ)設(shè)施嚴(yán)重中斷的情形，主要考察參演國(guó)在大規(guī)模網(wǎng)絡(luò)攻擊下的技術(shù)防御能力、維持關(guān)鍵信息基礎(chǔ)設(shè)施正常運(yùn)轉(zhuǎn)的能力、面對(duì)復(fù)雜情況的戰(zhàn)略決策能力和協(xié)同作戰(zhàn)能力。

2 “鎖定盾牌”系列演習(xí)分析

2010年至今，“鎖定盾牌”演習(xí)不斷迭代完善，演習(xí)情景和理念與時(shí)俱進(jìn)，參演規(guī)模不斷壯大，演習(xí)方案逐步優(yōu)化，已形成實(shí)戰(zhàn)化、體系化演習(xí)。

2.1 演習(xí)目標(biāo)逐步優(yōu)化，規(guī)模持續(xù)擴(kuò)大

（1）演習(xí)重點(diǎn)由防御戰(zhàn)術(shù)轉(zhuǎn)變?yōu)閰f(xié)同作戰(zhàn)能力?！版i定盾牌”演習(xí)著力提高應(yīng)對(duì)大規(guī)模網(wǎng)絡(luò)攻擊事件的應(yīng)急處置能力，包括應(yīng)急響應(yīng)能力、快速恢復(fù)能力、協(xié)同處置能力等。隨著演習(xí)設(shè)計(jì)理念逐步優(yōu)化，演習(xí)的具體目標(biāo)也不斷調(diào)整，由起初主要強(qiáng)調(diào)防御戰(zhàn)術(shù)，近年轉(zhuǎn)變?yōu)閺?qiáng)調(diào)戰(zhàn)略決策和應(yīng)對(duì)網(wǎng)絡(luò)威脅時(shí)的信息共享。

如“鎖定盾牌2012”重點(diǎn)關(guān)注維護(hù)網(wǎng)絡(luò)、加強(qiáng)系統(tǒng)管理、預(yù)防攻擊等防御性任務(wù)，而“鎖定盾牌2018”強(qiáng)調(diào)了在處理網(wǎng)絡(luò)威脅、作出決策和提供指導(dǎo)方針時(shí)信息共享的重要性，“鎖定盾牌2019”突出了建立技術(shù)專家、公民和軍隊(duì)以及決策層之間溝通渠道的必要性，“鎖定盾牌2021”更是融合網(wǎng)絡(luò)戰(zhàn)與信息戰(zhàn)，要求采取強(qiáng)有力的戰(zhàn)略溝通策略以減輕敵對(duì)勢(shì)力信息戰(zhàn)的影響，同時(shí)強(qiáng)調(diào)網(wǎng)絡(luò)防御者和決策層需要了解各國(guó)IT系統(tǒng)之間的眾多相互依賴關(guān)系?？傮w而言，演習(xí)更加注重在應(yīng)急處置過程中技術(shù)力量與決策層之間信息共享、協(xié)同作戰(zhàn)的能力。

（2）參演國(guó)數(shù)量翻番，模擬攻擊次數(shù)逐年遞增。從參演國(guó)數(shù)量來看，“鎖定盾牌”參演國(guó)從2012年的12個(gè)國(guó)家發(fā)展到2021年的30個(gè)國(guó)家[1]，CCDCOE指出，“鎖定盾牌2021”演習(xí)在國(guó)家、學(xué)術(shù)界、國(guó)際組織和行業(yè)合作伙伴之間合作的范圍和深度方面是獨(dú)一無二的。

從參演人數(shù)來看，2012年為250余人，2019年為1200多名專家，2021年更是吸引了2000余名專家參與，參演人員數(shù)目持續(xù)增長(zhǎng)。

從虛擬系統(tǒng)和攻擊次數(shù)方面來看，2016年的參演系統(tǒng)數(shù)量和攻擊次數(shù)約為1500個(gè)和1700次，2017年相應(yīng)增加為3000個(gè)和2500次[2]，2019年的演習(xí)任務(wù)涉及約4000個(gè)虛擬化系統(tǒng)和超過2500次的網(wǎng)絡(luò)攻擊，而今年的演習(xí)更是增加到約5000個(gè)虛擬化系統(tǒng)和4000多次攻擊，攻擊強(qiáng)度逐年增加、演習(xí)規(guī)模顯著擴(kuò)大。

2.2 演習(xí)情景真實(shí)性和復(fù)雜度不斷提升，體系化對(duì)抗性增強(qiáng)

（1）通過搭建虛擬國(guó)家及關(guān)鍵信息基礎(chǔ)設(shè)施，使演習(xí)真實(shí)性大大增強(qiáng)。演習(xí)搭建了現(xiàn)實(shí)生活的攻防場(chǎng)景。如“鎖定盾牌2019”演習(xí)場(chǎng)景為虛擬國(guó)家Berylia在遭受敵對(duì)事件的同時(shí)，軍事和民用領(lǐng)域所依賴的關(guān)鍵能源系統(tǒng)和通信系統(tǒng)還遭到了協(xié)同網(wǎng)絡(luò)攻擊，最終造成民眾輿論及選舉進(jìn)程受到操控，并導(dǎo)致該國(guó)發(fā)生政治動(dòng)蕩。演習(xí)取材于現(xiàn)實(shí)生活的攻防場(chǎng)景，還吸引了移動(dòng)電信運(yùn)營(yíng)商以及私營(yíng)關(guān)鍵基礎(chǔ)設(shè)施服務(wù)提供商的參與，協(xié)助配合搭建了與現(xiàn)實(shí)世界相同的電網(wǎng)控制系統(tǒng)、變電站、4G通信系統(tǒng)等。

“鎖定盾牌2021”涉及新的網(wǎng)絡(luò)物理系統(tǒng)以及集成的技術(shù)和戰(zhàn)略要素，使參與國(guó)能夠在解決大規(guī)模網(wǎng)絡(luò)事件時(shí)練習(xí)整個(gè)指揮鏈。如演習(xí)首次納入衛(wèi)星任務(wù)控制系統(tǒng)，該系統(tǒng)需要提供實(shí)時(shí)態(tài)勢(shì)感知以輔助軍事決策。演習(xí)場(chǎng)景深入研究新技術(shù)、新模式、新業(yè)態(tài)背景下的網(wǎng)絡(luò)安全問題，如深度偽造等新技術(shù)如何影響金融行業(yè)網(wǎng)絡(luò)安全、新冠肺炎疫情下遠(yuǎn)程辦公和自動(dòng)化等帶來的更大范圍安全漏洞等。為模擬現(xiàn)實(shí)決策流程，還設(shè)計(jì)了戰(zhàn)略溝通、調(diào)查取證、應(yīng)對(duì)輿論和法律咨詢等環(huán)節(jié)。

（2）演習(xí)角色設(shè)置愈加復(fù)雜，攻防對(duì)抗與協(xié)同作戰(zhàn)并重。歷年“鎖定盾牌”演習(xí)都設(shè)計(jì)了“紅藍(lán)對(duì)抗”。其中，“藍(lán)隊(duì)”代表了快速響應(yīng)軍事隊(duì)，主要負(fù)責(zé)維護(hù)虛擬國(guó)家網(wǎng)絡(luò)安全；“紅隊(duì)”為攻擊方。除了“藍(lán)隊(duì)”和“紅隊(duì)”，演習(xí)還設(shè)計(jì)了白、綠、黃等多支隊(duì)伍，角色分工明確。其中“白隊(duì)”為演習(xí)總指揮組；“綠隊(duì)”為技術(shù)基礎(chǔ)設(shè)施準(zhǔn)備方；“黃隊(duì)”負(fù)責(zé)網(wǎng)絡(luò)空間態(tài)勢(shì)感知。為了盡量模擬現(xiàn)實(shí)決策流程，增設(shè)了法律組，負(fù)責(zé)為藍(lán)隊(duì)提供法律咨詢和指導(dǎo)。

此外，還引入了事件報(bào)告、取證、媒體和戰(zhàn)略溝通等挑戰(zhàn)?！八{(lán)隊(duì)”除了需要全力參與攻防對(duì)抗，確保關(guān)鍵信息基礎(chǔ)設(shè)施免受“紅隊(duì)”攻擊外，還要注重網(wǎng)絡(luò)威脅信息共享，與隊(duì)友協(xié)同配合做好應(yīng)急處置，并及時(shí)向管理層及時(shí)準(zhǔn)確發(fā)送事件報(bào)告。

2.3 演習(xí)攻防評(píng)價(jià)科學(xué)化，“練前”“練中”“練后”全方位“試練”

（1）通過量化指標(biāo)衡量參演隊(duì)伍，防守效果一目了然。“鎖定盾牌”演習(xí)評(píng)分指標(biāo)主要包括八項(xiàng)：“藍(lán)隊(duì)”所保護(hù)系統(tǒng)的可用性、服務(wù)器運(yùn)行時(shí)間、“紅隊(duì)”進(jìn)攻是否成功、輕量級(jí)事件報(bào)告、向管理層提交事件報(bào)告情況、面臨法律媒體等挑戰(zhàn)的反應(yīng)、虛擬機(jī)重啟次數(shù)、額外加分項(xiàng)（如信息共享、協(xié)同合作表現(xiàn)優(yōu)異等）。各指標(biāo)按照預(yù)定的目標(biāo)及權(quán)重，由計(jì)分機(jī)器人及演習(xí)觀察員共同評(píng)分。評(píng)分指標(biāo)不僅強(qiáng)調(diào)攻防技術(shù)能力，還體現(xiàn)了事件報(bào)告及時(shí)性、戰(zhàn)略溝通協(xié)作能力、信息共享能力、解決法律媒體等挑戰(zhàn)能力的重要性。

（2）常態(tài)性和系統(tǒng)性開展演習(xí)，全方位訓(xùn)練參演隊(duì)伍?！版i定盾牌”已成為北約組織的常態(tài)化工作重點(diǎn)，每年定期組織開展演習(xí)已成慣例?！版i定盾牌”演習(xí)重在訓(xùn)練“藍(lán)隊(duì)”的防守能力，“紅隊(duì)”采用白盒方法對(duì)所有“藍(lán)隊(duì)”進(jìn)行網(wǎng)絡(luò)攻擊。為訓(xùn)練“紅隊(duì)”，CCDCOE自2014年開始還牽頭組織了“十字劍”（Crossed Swords）演習(xí)，不僅包括滲透測(cè)試、數(shù)字取證和態(tài)勢(shì)感知等技術(shù)能力培訓(xùn)，還涉及指揮要素、法律方面和聯(lián)合網(wǎng)絡(luò)作戰(zhàn)的領(lǐng)導(dǎo)力培訓(xùn)。從而在“鎖定盾牌”演習(xí)開展之前，為“紅隊(duì)”開發(fā)攻擊環(huán)境提供技術(shù)支撐。此外，“鎖定盾牌”演習(xí)結(jié)束之后，CCDCOE還會(huì)召開取證挑戰(zhàn)研討會(huì)，深入分析演習(xí)所用到的取證挑戰(zhàn)場(chǎng)景，并總結(jié)相關(guān)經(jīng)驗(yàn)[3]。“鎖定盾牌”演習(xí)注重系統(tǒng)化，不僅關(guān)注攻擊方“練前培訓(xùn)”，防守方“練中實(shí)戰(zhàn)”，還注重“練后總結(jié)”。

3 啟示與建議

當(dāng)前，工業(yè)信息安全風(fēng)險(xiǎn)威脅不斷加大，提高工業(yè)信息安全應(yīng)急協(xié)調(diào)聯(lián)動(dòng)、應(yīng)急響應(yīng)和快速恢復(fù)能力刻不容緩。應(yīng)急演練作為提高應(yīng)急保障能力的重要抓手之一，亟需高度重視。在應(yīng)急管理工作方面，我國(guó)已發(fā)布《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》等文件，但我國(guó)應(yīng)急演練工作起步較晚，多為政府部門牽頭，工業(yè)行業(yè)和工業(yè)企業(yè)自發(fā)組織的演練較少，演練形式單一，缺少針對(duì)重點(diǎn)工業(yè)行業(yè)、工業(yè)企業(yè)的實(shí)戰(zhàn)性應(yīng)急演練，專業(yè)演練人員不足，應(yīng)急協(xié)調(diào)聯(lián)動(dòng)和應(yīng)急保障能力薄弱等問題較為突出。為加快提升我國(guó)工業(yè)信息安全應(yīng)急保障能力，建議著重做好以下幾方面工作。

3.1 健全應(yīng)急預(yù)案體系，形成密切協(xié)同、反應(yīng)迅速的應(yīng)急處置機(jī)制

加快推進(jìn)各行業(yè)、地區(qū)工業(yè)信息安全事件應(yīng)急預(yù)案的制定工作，細(xì)化適用于不同場(chǎng)景的專項(xiàng)預(yù)案、現(xiàn)場(chǎng)方案等，逐步形成應(yīng)急預(yù)案體系。明確各部門、地區(qū)和工業(yè)企業(yè)在信息監(jiān)測(cè)、預(yù)警響應(yīng)、事件處置和重大活動(dòng)保障等工作中的職責(zé)和任務(wù)，細(xì)化各類事件的應(yīng)急處置流程，提高組織協(xié)調(diào)和應(yīng)急處置能力。通過開展演練，不斷檢驗(yàn)并完善預(yù)案，促進(jìn)應(yīng)急能力提升。

3.2 加快應(yīng)急手段建設(shè)，推動(dòng)形成應(yīng)急指揮系統(tǒng)、漏洞庫(kù)和信息通報(bào)平臺(tái)等硬能力

建設(shè)工業(yè)信息安全應(yīng)急指揮通信系統(tǒng)及信息通報(bào)平臺(tái)，推動(dòng)風(fēng)險(xiǎn)信息報(bào)送與通報(bào)工作常態(tài)化，支撐工業(yè)信息安全事件應(yīng)急響應(yīng)、應(yīng)急指揮和應(yīng)急處置工作。建設(shè)現(xiàn)場(chǎng)應(yīng)急處置工具箱，提升工業(yè)信息安全事件現(xiàn)場(chǎng)處置能力。加快完善國(guó)家工業(yè)信息安全漏洞庫(kù)，彌補(bǔ)工業(yè)信息安全領(lǐng)域?qū)Ｓ新┒磶?kù)的缺失，為我國(guó)工業(yè)信息安全防護(hù)能力提升奠定堅(jiān)實(shí)的基礎(chǔ)。

3.3 規(guī)范演練組織和評(píng)估，形成政府、行業(yè)和企業(yè)共同參與的演練格局

加快制定工業(yè)信息安全應(yīng)急演練標(biāo)準(zhǔn)，規(guī)范應(yīng)急演練形式、演練流程，細(xì)化演練場(chǎng)景、演練目標(biāo)和演練評(píng)價(jià)指標(biāo)，確保演練取得實(shí)際效果。同時(shí)，提高演練級(jí)別，組織開展跨行業(yè)、跨部門的應(yīng)急演練，推動(dòng)地方工業(yè)和信息化主管部門、工業(yè)企業(yè)、平臺(tái)企業(yè)等機(jī)構(gòu)和各地方、各企業(yè)工業(yè)信息安全應(yīng)急技術(shù)隊(duì)伍的積極參與，并通過演練檢驗(yàn)協(xié)同處置、密切配合的能力，形成應(yīng)急響應(yīng)合力。

3.4 加強(qiáng)實(shí)戰(zhàn)演練研究，針對(duì)重點(diǎn)行業(yè)、工業(yè)企業(yè)開展專門演練

針對(duì)急需加強(qiáng)應(yīng)急能力的重點(diǎn)行業(yè)、工業(yè)企業(yè)，開展實(shí)戰(zhàn)型、綜合應(yīng)急演練研究。從鍛煉培養(yǎng)實(shí)際應(yīng)急響應(yīng)和系統(tǒng)恢復(fù)能力出發(fā)，著重在工業(yè)信息安全威脅信息分析、病毒定位、協(xié)同處置、快速恢復(fù)等方面，設(shè)計(jì)具有可操作性、檢驗(yàn)效果明顯的演練科目，持續(xù)細(xì)化演練方案，創(chuàng)新演練模式，切實(shí)幫助行業(yè)、企業(yè)理清應(yīng)急處置流程，提高應(yīng)急處置的實(shí)效。

3.5 提升人員安全意識(shí)，做好應(yīng)急預(yù)案、應(yīng)急培訓(xùn)等日常性工作

工作人員的安全意識(shí)直接決定著工業(yè)信息安全應(yīng)急工作的成功與否。各地方、工業(yè)企業(yè)、平臺(tái)企業(yè)等都應(yīng)通過培訓(xùn)會(huì)議、專題講座、新聞宣傳等多種形式，針對(duì)工業(yè)信息安全管理人員、技術(shù)人員、普通員工和社會(huì)公眾等不同人群，設(shè)計(jì)好關(guān)于網(wǎng)絡(luò)安全法等法律法規(guī)、應(yīng)急預(yù)案和工業(yè)信息安全應(yīng)急知識(shí)和應(yīng)急演練的宣貫培訓(xùn)方案，重視應(yīng)急日常性工作，不斷提高人員安全意識(shí)。

4 結(jié)語

工業(yè)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全，提升應(yīng)急保障能力對(duì)于筑牢工業(yè)信息安全防線意義重大。為積極借鑒國(guó)外在開展應(yīng)急演練、提升保障能力方面的先進(jìn)經(jīng)驗(yàn)，本文重點(diǎn)針對(duì)北約“鎖定盾牌”系列演習(xí)進(jìn)行深入研究，剖析演習(xí)發(fā)展現(xiàn)狀、總結(jié)演習(xí)發(fā)展特點(diǎn)，并結(jié)合我國(guó)工業(yè)信息安全應(yīng)急工作實(shí)際，圍繞健全應(yīng)急預(yù)案體系、加快應(yīng)急手段建設(shè)、規(guī)范演練組織和評(píng)估、加強(qiáng)實(shí)戰(zhàn)演練研究、提升人員安全意識(shí)等方面提出了相關(guān)建議，為進(jìn)一步加強(qiáng)我國(guó)工業(yè)信息安全應(yīng)急工作提供了思路與參考。