北約“鎖定盾牌”系列演習對我國工業信息安全應急工作的啟示

朱麗娜，孫立立

（國家工業信息安全發展研究中心監測應急所，北京 100040）

0 引言

當前，隨著新一代信息技術與制造業的深度融合，在助力制造業數字化、網絡化、智能化轉型的同時，也帶來了更為突出的工業信息安全問題。工業信息安全應急演練是應急管理的關鍵內容，是理順應急工作流程、暢通應急工作機制、鍛煉應急人才隊伍、預防安全事件發生、保障工業信息安全的重要手段，已經得到了世界各國的高度重視。如我國《網絡安全法》明確要求關鍵信息基礎設施運營者定期組織應急演練，《工業控制系統信息安全事件應急管理工作指南》要求各級工信主管部門、工業企業制定本級工控安全事件應急預案，定期組織應急演練等。然而，由于我國工業信息安全演練相關工作起步較晚，仍存在著演練形式較為單一、專業應急人員短缺等問題。北約“鎖定盾牌”演習是當前全球最大規模的技術性防御演習，演習經過多年迭代已步入“完善期”和“成熟期”。因此，本文重點針對“鎖定盾牌”系列演習進行深入分析，為我國開展應急演練、強化應急工作提供參考。

1 “鎖定盾牌”演習概況

“鎖定盾牌”系列演習是當前全球最大規模的網絡攻防實戰演習，其參演國家、參演人員和演習使用的關鍵信息基礎設施的覆蓋范圍都堪稱全球之最。該演習自2010年起每年舉辦一次，由北約網絡合作防御卓越中心牽頭，美國以及西歐北美等諸多西方發達國家共同參與，近年來演習還吸引了多家重量級技術公司和研究機構深度參與，包括西門子公司、微軟、思科、Stamus Networks公司、新加坡科技設計大學iTrust研究中心、芬蘭VTT技術研究中心、Clarified Security等。

“鎖定盾牌”演習采取“紅藍對抗”實戰演習模式，演練重點為針對關鍵信息基礎設施的網絡攻防對抗，旨在加強基礎設施保護，增強參演各國的溝通協調、促進信息共享、提升應急處置能力。近年來，演習更加關注工業信息安全領域，演練場景涉及國防科技工業、能源、水利等工業領域。如2021年4月13-16日舉辦的“鎖定盾牌2021”演習，基于愛沙尼亞國防軍管理的網絡防御平臺“Cyber Range”開展，主要模擬虛擬國家“Berylia”（“貝里里亞”）遭受大規模網絡攻擊，攻擊導致其軍事防空、衛星任務控制、水凈化、電網及其他關鍵信息基礎設施嚴重中斷的情形，主要考察參演國在大規模網絡攻擊下的技術防御能力、維持關鍵信息基礎設施正常運轉的能力、面對復雜情況的戰略決策能力和協同作戰能力。

2 “鎖定盾牌”系列演習分析

2010年至今，“鎖定盾牌”演習不斷迭代完善，演習情景和理念與時俱進，參演規模不斷壯大，演習方案逐步優化，已形成實戰化、體系化演習。

2.1 演習目標逐步優化，規模持續擴大

（1）演習重點由防御戰術轉變為協同作戰能力。“鎖定盾牌”演習著力提高應對大規模網絡攻擊事件的應急處置能力，包括應急響應能力、快速恢復能力、協同處置能力等。隨著演習設計理念逐步優化，演習的具體目標也不斷調整，由起初主要強調防御戰術，近年轉變為強調戰略決策和應對網絡威脅時的信息共享。

如“鎖定盾牌2012”重點關注維護網絡、加強系統管理、預防攻擊等防御性任務，而“鎖定盾牌2018”強調了在處理網絡威脅、作出決策和提供指導方針時信息共享的重要性，“鎖定盾牌2019”突出了建立技術專家、公民和軍隊以及決策層之間溝通渠道的必要性，“鎖定盾牌2021”更是融合網絡戰與信息戰，要求采取強有力的戰略溝通策略以減輕敵對勢力信息戰的影響，同時強調網絡防御者和決策層需要了解各國IT系統之間的眾多相互依賴關系。總體而言，演習更加注重在應急處置過程中技術力量與決策層之間信息共享、協同作戰的能力。

（2）參演國數量翻番，模擬攻擊次數逐年遞增。從參演國數量來看，“鎖定盾牌”參演國從2012年的12個國家發展到2021年的30個國家[1]，CCDCOE指出，“鎖定盾牌2021”演習在國家、學術界、國際組織和行業合作伙伴之間合作的范圍和深度方面是獨一無二的。

從參演人數來看，2012年為250余人，2019年為1200多名專家，2021年更是吸引了2000余名專家參與，參演人員數目持續增長。

從虛擬系統和攻擊次數方面來看，2016年的參演系統數量和攻擊次數約為1500個和1700次，2017年相應增加為3000個和2500次[2]，2019年的演習任務涉及約4000個虛擬化系統和超過2500次的網絡攻擊，而今年的演習更是增加到約5000個虛擬化系統和4000多次攻擊，攻擊強度逐年增加、演習規模顯著擴大。

2.2 演習情景真實性和復雜度不斷提升，體系化對抗性增強

（1）通過搭建虛擬國家及關鍵信息基礎設施，使演習真實性大大增強。演習搭建了現實生活的攻防場景。如“鎖定盾牌2019”演習場景為虛擬國家Berylia在遭受敵對事件的同時，軍事和民用領域所依賴的關鍵能源系統和通信系統還遭到了協同網絡攻擊，最終造成民眾輿論及選舉進程受到操控，并導致該國發生政治動蕩。演習取材于現實生活的攻防場景，還吸引了移動電信運營商以及私營關鍵基礎設施服務提供商的參與，協助配合搭建了與現實世界相同的電網控制系統、變電站、4G通信系統等。

“鎖定盾牌2021”涉及新的網絡物理系統以及集成的技術和戰略要素，使參與國能夠在解決大規模網絡事件時練習整個指揮鏈。如演習首次納入衛星任務控制系統，該系統需要提供實時態勢感知以輔助軍事決策。演習場景深入研究新技術、新模式、新業態背景下的網絡安全問題，如深度偽造等新技術如何影響金融行業網絡安全、新冠肺炎疫情下遠程辦公和自動化等帶來的更大范圍安全漏洞等。為模擬現實決策流程，還設計了戰略溝通、調查取證、應對輿論和法律咨詢等環節。

（2）演習角色設置愈加復雜，攻防對抗與協同作戰并重。歷年“鎖定盾牌”演習都設計了“紅藍對抗”。其中，“藍隊”代表了快速響應軍事隊，主要負責維護虛擬國家網絡安全；“紅隊”為攻擊方。除了“藍隊”和“紅隊”，演習還設計了白、綠、黃等多支隊伍，角色分工明確。其中“白隊”為演習總指揮組；“綠隊”為技術基礎設施準備方；“黃隊”負責網絡空間態勢感知。為了盡量模擬現實決策流程，增設了法律組，負責為藍隊提供法律咨詢和指導。

此外，還引入了事件報告、取證、媒體和戰略溝通等挑戰。“藍隊”除了需要全力參與攻防對抗，確保關鍵信息基礎設施免受“紅隊”攻擊外，還要注重網絡威脅信息共享，與隊友協同配合做好應急處置，并及時向管理層及時準確發送事件報告。

2.3 演習攻防評價科學化，“練前”“練中”“練后”全方位“試練”

（1）通過量化指標衡量參演隊伍，防守效果一目了然。“鎖定盾牌”演習評分指標主要包括八項：“藍隊”所保護系統的可用性、服務器運行時間、“紅隊”進攻是否成功、輕量級事件報告、向管理層提交事件報告情況、面臨法律媒體等挑戰的反應、虛擬機重啟次數、額外加分項（如信息共享、協同合作表現優異等）。各指標按照預定的目標及權重，由計分機器人及演習觀察員共同評分。評分指標不僅強調攻防技術能力，還體現了事件報告及時性、戰略溝通協作能力、信息共享能力、解決法律媒體等挑戰能力的重要性。

（2）常態性和系統性開展演習，全方位訓練參演隊伍。“鎖定盾牌”已成為北約組織的常態化工作重點，每年定期組織開展演習已成慣例。“鎖定盾牌”演習重在訓練“藍隊”的防守能力，“紅隊”采用白盒方法對所有“藍隊”進行網絡攻擊。為訓練“紅隊”，CCDCOE自2014年開始還牽頭組織了“十字劍”（Crossed Swords）演習，不僅包括滲透測試、數字取證和態勢感知等技術能力培訓，還涉及指揮要素、法律方面和聯合網絡作戰的領導力培訓。從而在“鎖定盾牌”演習開展之前，為“紅隊”開發攻擊環境提供技術支撐。此外，“鎖定盾牌”演習結束之后，CCDCOE還會召開取證挑戰研討會，深入分析演習所用到的取證挑戰場景，并總結相關經驗[3]。“鎖定盾牌”演習注重系統化，不僅關注攻擊方“練前培訓”，防守方“練中實戰”，還注重“練后總結”。

3 啟示與建議

當前，工業信息安全風險威脅不斷加大，提高工業信息安全應急協調聯動、應急響應和快速恢復能力刻不容緩。應急演練作為提高應急保障能力的重要抓手之一，亟需高度重視。在應急管理工作方面，我國已發布《工業控制系統信息安全事件應急管理工作指南》等文件，但我國應急演練工作起步較晚，多為政府部門牽頭，工業行業和工業企業自發組織的演練較少，演練形式單一，缺少針對重點工業行業、工業企業的實戰性應急演練，專業演練人員不足，應急協調聯動和應急保障能力薄弱等問題較為突出。為加快提升我國工業信息安全應急保障能力，建議著重做好以下幾方面工作。

3.1 健全應急預案體系，形成密切協同、反應迅速的應急處置機制

加快推進各行業、地區工業信息安全事件應急預案的制定工作，細化適用于不同場景的專項預案、現場方案等，逐步形成應急預案體系。明確各部門、地區和工業企業在信息監測、預警響應、事件處置和重大活動保障等工作中的職責和任務，細化各類事件的應急處置流程，提高組織協調和應急處置能力。通過開展演練，不斷檢驗并完善預案，促進應急能力提升。

3.2 加快應急手段建設，推動形成應急指揮系統、漏洞庫和信息通報平臺等硬能力

建設工業信息安全應急指揮通信系統及信息通報平臺，推動風險信息報送與通報工作常態化，支撐工業信息安全事件應急響應、應急指揮和應急處置工作。建設現場應急處置工具箱，提升工業信息安全事件現場處置能力。加快完善國家工業信息安全漏洞庫，彌補工業信息安全領域專有漏洞庫的缺失，為我國工業信息安全防護能力提升奠定堅實的基礎。

3.3 規范演練組織和評估，形成政府、行業和企業共同參與的演練格局

加快制定工業信息安全應急演練標準，規范應急演練形式、演練流程，細化演練場景、演練目標和演練評價指標，確保演練取得實際效果。同時，提高演練級別，組織開展跨行業、跨部門的應急演練，推動地方工業和信息化主管部門、工業企業、平臺企業等機構和各地方、各企業工業信息安全應急技術隊伍的積極參與，并通過演練檢驗協同處置、密切配合的能力，形成應急響應合力。

3.4 加強實戰演練研究，針對重點行業、工業企業開展專門演練

針對急需加強應急能力的重點行業、工業企業，開展實戰型、綜合應急演練研究。從鍛煉培養實際應急響應和系統恢復能力出發，著重在工業信息安全威脅信息分析、病毒定位、協同處置、快速恢復等方面，設計具有可操作性、檢驗效果明顯的演練科目，持續細化演練方案，創新演練模式，切實幫助行業、企業理清應急處置流程，提高應急處置的實效。

3.5 提升人員安全意識，做好應急預案、應急培訓等日常性工作

工作人員的安全意識直接決定著工業信息安全應急工作的成功與否。各地方、工業企業、平臺企業等都應通過培訓會議、專題講座、新聞宣傳等多種形式，針對工業信息安全管理人員、技術人員、普通員工和社會公眾等不同人群，設計好關于網絡安全法等法律法規、應急預案和工業信息安全應急知識和應急演練的宣貫培訓方案，重視應急日常性工作，不斷提高人員安全意識。

4 結語

工業信息安全事關工業生產運行、國家經濟安全和人民生命財產安全，提升應急保障能力對于筑牢工業信息安全防線意義重大。為積極借鑒國外在開展應急演練、提升保障能力方面的先進經驗，本文重點針對北約“鎖定盾牌”系列演習進行深入研究，剖析演習發展現狀、總結演習發展特點，并結合我國工業信息安全應急工作實際，圍繞健全應急預案體系、加快應急手段建設、規范演練組織和評估、加強實戰演練研究、提升人員安全意識等方面提出了相關建議，為進一步加強我國工業信息安全應急工作提供了思路與參考。