第1章　认识红蓝紫

1.1　实战攻防演练

1.1.1　为什么要进行实战攻防演练

军事上的实兵演练是除了实战之外最能检验军队战斗力的一种考核方式，可有效提高防御作战能力，以应对外部势力发起的攻击和袭扰，更好地维护国家主权和安全。同样，在网络安全上，真实环境下的网络攻防演练也是网络安全中最能检验安全团队防御能力、发现当前网络环境中存在的安全风险的方式之一。

1. 政策要求驱动

2017年6月1日，随着我国第一部网络安全法《中华人民共和国网络安全法》（下简称《网络安全法》）的正式实施，我国网络安全管理迈入法治新阶段，网络空间法治体系建设加速开展。《网络安全法》就网络安全应急演练工作明确指出，关键信息基础设施的运营者应当“制定网络安全事件应急预案，并定期进行演练”，国家网信部门应当统筹协调有关部门“定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力”，“负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练”，要求关键信息基础设施的运营者、国家网信部门等定期组织开展应急演练工作。

2018年全国网络安全和信息化工作会议于4月20日至21日在北京召开，会议强调，“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。要落实关键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。”

“关口前移”是对落实网络安全防护的方法提出的重要要求，而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求，即要求用更为积极主动、行之有效的方式来应对网络安全问题。在做好“关口前移”的基础上，进一步加强网络安全防护运行工作，除了采用定期检查和突发事件应急响应等偏被动的常规机制外，还需提升安全防护工作的主动性，根据《网络安全法》的规定定期开展安全应急演练工作。网络实战攻防演练便是在新的网络安全形势下，通过攻防双方之间的对抗演练，实现“防患于未然”。

2020年7月，公安部印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（下简称《意见》），《意见》明确了网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”要求，而实战攻防演练是推动和检验“三化六防”水平的重要手段。《意见》提出：“关键信息基础设施运营者和第三级以上网络运营者应定期开展应急演练，有效处置网络安全事件，并针对应急演练中发现的突出问题和漏洞隐患，及时整改加固，完善保护措施。行业主管部门、网络运营者应配合公安机关每年组织开展的网络安全监督检查、比武演习等工作，不断提升安全保护能力和对抗能力。”该文件明确了组织开展实战化演练的责任主体和演练目的，即通过实战化比武演练不断提升安全保护能力和对抗能力。

近年随着国家对网络安全工作的越发重视，尤其是《关键信息基础设施安全保护条例》等关键信息基础设施保护有关政策法规和标准的陆续出台，实战演练已成为国家各个重要行业用于检验网络安全保护水平的重要手段。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。相信随着国家在网络安全方面政策文件的不断完善，“实战练兵”将成为提高抵御网络攻击能力、检验网络安全措施有效性的重要举措。

2. 安全威胁驱动

关键信息基础设施，指的是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统。这些系统一旦发生网络安全事故，可能会对重要行业正常运行产生较大影响，对国家政治、经济、科技、社会、文化、国防、环境及人民生命财产造成严重损失。

当前，我国关键信息基础设施面临的网络安全形势严峻复杂，网站平台大规模数据泄露事件频发，生产业务系统安全隐患突出，甚至有的系统长期被控，面对高级持续性的网络攻击，防护能力十分欠缺。近几年，针对我国的网络窃密、监听等攻击事件频发，网络空间的网络安全攻防对抗日趋激烈。目前，我国面临的网络安全威胁主要有以下几点。

1）针对我国重要信息系统的高强度、有组织的攻击威胁形势严峻。2020年，据不完全统计，奇安信威胁情报中心共收录了高级威胁类公开报告642篇，涉及151个命名的攻击组织或攻击行动，其中，提及率最高的5个（高级持续性威胁）组织分别是Lazarus（10.3%）、Kimsuky（7.8%）、海莲花（5.4%）、Darkhotel（4.8%）和蔓灵花（3.2%）。监测显示，高级威胁攻击活动覆盖了全球绝大部分国家/地区，其中，提及率最高的5个受害国家分别为中国（7.4%）、韩国（6.6%）、美国（4.9%）、巴基斯坦（3.2%）和印度（3.2%）。中国首次超过美国、韩国、中东等国家/地区，成为全球APT攻击的首要地区性目标。医疗卫生行业首次超过政府、金融、国防、能源、电信等领域，成为全球APT活动关注的首要目标。2020年，新冠肺炎疫情信息成为APT活动常用诱饵，供应链和远程办公成为切入点，定向勒索威胁成为APT活动新趋势。海莲花依旧是东南亚地区最为活跃的APT组织。

2）工业互联网面临的网络安全威胁加剧。2020年，根据我国国家信息安全漏洞共享平台（CNVD）统计，通用软硬件漏洞为19 964个，其中，Web应用漏洞占总比为27.7%，操作系统漏洞占总比为10.3%，网络设备漏洞占总比为6.8%，数据库漏洞占总比为1.4%，电信行业漏洞占总比为4.4%，移动互联网占总比为7.3%，工控漏洞占总比为3.2%，物联网终端设备占总比为2.1%，其他类型占比为36.8%。工控漏洞虽然在2020年全年漏洞中占总比相对较小，但其重要性不可忽视，涉及西门子、施耐德、研华科技等在中国广泛应用的工控系统产品。

2021年5月7日，美国燃油管道公司Colonial Pipeline管网遭受攻击，攻击者窃取这家公司的重要数据文件，燃油管道运输管理系统也遭遇“劫持”，一度致使美国东部沿海各州的关键供油管道被迫关闭。

3. 国外实战演练开展情况

2017年11月中旬北美举办了第二轮“GridEx-IV”网络战演练，来自美国、加拿大、墨西哥的450家组织和机构的6300人共同参与了北美电网故障场景的演练。该演练由美国政府与各电力企业合作开展，于2011年首次举办之后，每两年举办一次。主要参与对象有电力企业、地区（地方、州、省）和联邦政府执法机构、第一响应和情报机构、关键基础设施跨部门合作伙伴（公共事业单位等）、能源供应链企业等，规模较大。该演练的目的是：证明各参与方应如何应对物理安全威胁事件并恢复演练中的模拟协调网络，从而让各参与方加强危机意识，并彼此交流经验教训；协调各方资源、努力筹备与提出应对举措，解决国家层面的灾难或针对关键基础设施的安全威胁。

2018年4月23日至27日，来自30个国家/地区的1000多名“战士”在一个虚拟国家Berylia进行了为期5天的“战斗”，最终北约队折桂，法国队和捷克队分获亚军和季军。这场没有硝烟的虚拟网络战，每年都要开战一次，这便是全球最具影响力、规模最大、最复杂的国际性实战网络防御演练——锁盾（Locked Shields）。锁盾演练的主办方为北约，具体操办机构为北约网络防御中心（CCDCOE，成立于2008年），自2010年始，每年举办一次。该演练的目的是为各国/地区网络防御专家提供保护国家/地区信息技术IT系统和重要基础设施的演练机会，同时评估大规模网络攻击对民用和军事领域的IT系统所造成的影响。

2020年8月13日，为期三天的美国“网络风暴2020”（Cyber Storm 2020）演练落幕，在美国网络安全和基础设施安全局（CISA）的组织下，近2000名来自政府机构和私营企业的人员参加了演练。本次演练汲取了往届的经验，跟进了当今网络安全的格局变化，并以此为基础，对网络响应方面取得的成绩进行评估和改进。本次演练促进并加强了公私伙伴关系，对新的关键基础设施合作伙伴进行整合，不仅强调了信息共享和分析机构的关键作用，还强调了实体有必要充分了解自己对第三方服务的依赖。

2021年11月15日至20日，美国网络司令部举行了“网络旗帜21-1”演练。此次演练是美国网络司令部规模最大的跨国网络演练，以网络空间集体防御为重点，加强了来自23个国家/地区的200多名网络作战人员的防御技能。演练利用“国家网络靶场”测试了参与人员检测敌人、驱逐敌人和确定解决方案的能力，以加强其模拟网络的技能。此次演练是美国对SolarWinds渗透攻击的回应举措之一，旨在加强网络空间集体防御，确认开放、可靠和安全的互联网的重要性。