北约“锁定盾牌”系列演习对我国工业信息安全应急工作的启示

朱丽娜，孙立立

（国家工业信息安全发展研究中心监测应急所，北京 100040）

0 引言

当前，随着新一代信息技术与制造业的深度融合，在助力制造业数字化、网络化、智能化转型的同时，也带来了更为突出的工业信息安全问题。工业信息安全应急演练是应急管理的关键内容，是理顺应急工作流程、畅通应急工作机制、锻炼应急人才队伍、预防安全事件发生、保障工业信息安全的重要手段，已经得到了世界各国的高度重视。如我国《网络安全法》明确要求关键信息基础设施运营者定期组织应急演练，《工业控制系统信息安全事件应急管理工作指南》要求各级工信主管部门、工业企业制定本级工控安全事件应急预案，定期组织应急演练等。然而，由于我国工业信息安全演练相关工作起步较晚，仍存在着演练形式较为单一、专业应急人员短缺等问题。北约“锁定盾牌”演习是当前全球最大规模的技术性防御演习，演习经过多年迭代已步入“完善期”和“成熟期”。因此，本文重点针对“锁定盾牌”系列演习进行深入分析，为我国开展应急演练、强化应急工作提供参考。

1 “锁定盾牌”演习概况

“锁定盾牌”系列演习是当前全球最大规模的网络攻防实战演习，其参演国家、参演人员和演习使用的关键信息基础设施的覆盖范围都堪称全球之最。该演习自2010年起每年举办一次，由北约网络合作防御卓越中心牵头，美国以及西欧北美等诸多西方发达国家共同参与，近年来演习还吸引了多家重量级技术公司和研究机构深度参与，包括西门子公司、微软、思科、Stamus Networks公司、新加坡科技设计大学iTrust研究中心、芬兰VTT技术研究中心、Clarified Security等。

“锁定盾牌”演习采取“红蓝对抗”实战演习模式，演练重点为针对关键信息基础设施的网络攻防对抗，旨在加强基础设施保护，增强参演各国的沟通协调、促进信息共享、提升应急处置能力。近年来，演习更加关注工业信息安全领域，演练场景涉及国防科技工业、能源、水利等工业领域。如2021年4月13-16日举办的“锁定盾牌2021”演习，基于爱沙尼亚国防军管理的网络防御平台“Cyber Range”开展，主要模拟虚拟国家“Berylia”（“贝里里亚”）遭受大规模网络攻击，攻击导致其军事防空、卫星任务控制、水净化、电网及其他关键信息基础设施严重中断的情形，主要考察参演国在大规模网络攻击下的技术防御能力、维持关键信息基础设施正常运转的能力、面对复杂情况的战略决策能力和协同作战能力。

2 “锁定盾牌”系列演习分析

2010年至今，“锁定盾牌”演习不断迭代完善，演习情景和理念与时俱进，参演规模不断壮大，演习方案逐步优化，已形成实战化、体系化演习。

2.1 演习目标逐步优化，规模持续扩大

（1）演习重点由防御战术转变为协同作战能力。“锁定盾牌”演习着力提高应对大规模网络攻击事件的应急处置能力，包括应急响应能力、快速恢复能力、协同处置能力等。随着演习设计理念逐步优化，演习的具体目标也不断调整，由起初主要强调防御战术，近年转变为强调战略决策和应对网络威胁时的信息共享。

如“锁定盾牌2012”重点关注维护网络、加强系统管理、预防攻击等防御性任务，而“锁定盾牌2018”强调了在处理网络威胁、作出决策和提供指导方针时信息共享的重要性，“锁定盾牌2019”突出了建立技术专家、公民和军队以及决策层之间沟通渠道的必要性，“锁定盾牌2021”更是融合网络战与信息战，要求采取强有力的战略沟通策略以减轻敌对势力信息战的影响，同时强调网络防御者和决策层需要了解各国IT系统之间的众多相互依赖关系。总体而言，演习更加注重在应急处置过程中技术力量与决策层之间信息共享、协同作战的能力。

（2）参演国数量翻番，模拟攻击次数逐年递增。从参演国数量来看，“锁定盾牌”参演国从2012年的12个国家发展到2021年的30个国家[1]，CCDCOE指出，“锁定盾牌2021”演习在国家、学术界、国际组织和行业合作伙伴之间合作的范围和深度方面是独一无二的。

从参演人数来看，2012年为250余人，2019年为1200多名专家，2021年更是吸引了2000余名专家参与，参演人员数目持续增长。

从虚拟系统和攻击次数方面来看，2016年的参演系统数量和攻击次数约为1500个和1700次，2017年相应增加为3000个和2500次[2]，2019年的演习任务涉及约4000个虚拟化系统和超过2500次的网络攻击，而今年的演习更是增加到约5000个虚拟化系统和4000多次攻击，攻击强度逐年增加、演习规模显著扩大。

2.2 演习情景真实性和复杂度不断提升，体系化对抗性增强

（1）通过搭建虚拟国家及关键信息基础设施，使演习真实性大大增强。演习搭建了现实生活的攻防场景。如“锁定盾牌2019”演习场景为虚拟国家Berylia在遭受敌对事件的同时，军事和民用领域所依赖的关键能源系统和通信系统还遭到了协同网络攻击，最终造成民众舆论及选举进程受到操控，并导致该国发生政治动荡。演习取材于现实生活的攻防场景，还吸引了移动电信运营商以及私营关键基础设施服务提供商的参与，协助配合搭建了与现实世界相同的电网控制系统、变电站、4G通信系统等。

“锁定盾牌2021”涉及新的网络物理系统以及集成的技术和战略要素，使参与国能够在解决大规模网络事件时练习整个指挥链。如演习首次纳入卫星任务控制系统，该系统需要提供实时态势感知以辅助军事决策。演习场景深入研究新技术、新模式、新业态背景下的网络安全问题，如深度伪造等新技术如何影响金融行业网络安全、新冠肺炎疫情下远程办公和自动化等带来的更大范围安全漏洞等。为模拟现实决策流程，还设计了战略沟通、调查取证、应对舆论和法律咨询等环节。

（2）演习角色设置愈加复杂，攻防对抗与协同作战并重。历年“锁定盾牌”演习都设计了“红蓝对抗”。其中，“蓝队”代表了快速响应军事队，主要负责维护虚拟国家网络安全；“红队”为攻击方。除了“蓝队”和“红队”，演习还设计了白、绿、黄等多支队伍，角色分工明确。其中“白队”为演习总指挥组；“绿队”为技术基础设施准备方；“黄队”负责网络空间态势感知。为了尽量模拟现实决策流程，增设了法律组，负责为蓝队提供法律咨询和指导。

此外，还引入了事件报告、取证、媒体和战略沟通等挑战。“蓝队”除了需要全力参与攻防对抗，确保关键信息基础设施免受“红队”攻击外，还要注重网络威胁信息共享，与队友协同配合做好应急处置，并及时向管理层及时准确发送事件报告。

2.3 演习攻防评价科学化，“练前”“练中”“练后”全方位“试练”

（1）通过量化指标衡量参演队伍，防守效果一目了然。“锁定盾牌”演习评分指标主要包括八项：“蓝队”所保护系统的可用性、服务器运行时间、“红队”进攻是否成功、轻量级事件报告、向管理层提交事件报告情况、面临法律媒体等挑战的反应、虚拟机重启次数、额外加分项（如信息共享、协同合作表现优异等）。各指标按照预定的目标及权重，由计分机器人及演习观察员共同评分。评分指标不仅强调攻防技术能力，还体现了事件报告及时性、战略沟通协作能力、信息共享能力、解决法律媒体等挑战能力的重要性。

（2）常态性和系统性开展演习，全方位训练参演队伍。“锁定盾牌”已成为北约组织的常态化工作重点，每年定期组织开展演习已成惯例。“锁定盾牌”演习重在训练“蓝队”的防守能力，“红队”采用白盒方法对所有“蓝队”进行网络攻击。为训练“红队”，CCDCOE自2014年开始还牵头组织了“十字剑”（Crossed Swords）演习，不仅包括渗透测试、数字取证和态势感知等技术能力培训，还涉及指挥要素、法律方面和联合网络作战的领导力培训。从而在“锁定盾牌”演习开展之前，为“红队”开发攻击环境提供技术支撑。此外，“锁定盾牌”演习结束之后，CCDCOE还会召开取证挑战研讨会，深入分析演习所用到的取证挑战场景，并总结相关经验[3]。“锁定盾牌”演习注重系统化，不仅关注攻击方“练前培训”，防守方“练中实战”，还注重“练后总结”。

3 启示与建议

当前，工业信息安全风险威胁不断加大，提高工业信息安全应急协调联动、应急响应和快速恢复能力刻不容缓。应急演练作为提高应急保障能力的重要抓手之一，亟需高度重视。在应急管理工作方面，我国已发布《工业控制系统信息安全事件应急管理工作指南》等文件，但我国应急演练工作起步较晚，多为政府部门牵头，工业行业和工业企业自发组织的演练较少，演练形式单一，缺少针对重点工业行业、工业企业的实战性应急演练，专业演练人员不足，应急协调联动和应急保障能力薄弱等问题较为突出。为加快提升我国工业信息安全应急保障能力，建议着重做好以下几方面工作。

3.1 健全应急预案体系，形成密切协同、反应迅速的应急处置机制

加快推进各行业、地区工业信息安全事件应急预案的制定工作，细化适用于不同场景的专项预案、现场方案等，逐步形成应急预案体系。明确各部门、地区和工业企业在信息监测、预警响应、事件处置和重大活动保障等工作中的职责和任务，细化各类事件的应急处置流程，提高组织协调和应急处置能力。通过开展演练，不断检验并完善预案，促进应急能力提升。

3.2 加快应急手段建设，推动形成应急指挥系统、漏洞库和信息通报平台等硬能力

建设工业信息安全应急指挥通信系统及信息通报平台，推动风险信息报送与通报工作常态化，支撑工业信息安全事件应急响应、应急指挥和应急处置工作。建设现场应急处置工具箱，提升工业信息安全事件现场处置能力。加快完善国家工业信息安全漏洞库，弥补工业信息安全领域专有漏洞库的缺失，为我国工业信息安全防护能力提升奠定坚实的基础。

3.3 规范演练组织和评估，形成政府、行业和企业共同参与的演练格局

加快制定工业信息安全应急演练标准，规范应急演练形式、演练流程，细化演练场景、演练目标和演练评价指标，确保演练取得实际效果。同时，提高演练级别，组织开展跨行业、跨部门的应急演练，推动地方工业和信息化主管部门、工业企业、平台企业等机构和各地方、各企业工业信息安全应急技术队伍的积极参与，并通过演练检验协同处置、密切配合的能力，形成应急响应合力。

3.4 加强实战演练研究，针对重点行业、工业企业开展专门演练

针对急需加强应急能力的重点行业、工业企业，开展实战型、综合应急演练研究。从锻炼培养实际应急响应和系统恢复能力出发，着重在工业信息安全威胁信息分析、病毒定位、协同处置、快速恢复等方面，设计具有可操作性、检验效果明显的演练科目，持续细化演练方案，创新演练模式，切实帮助行业、企业理清应急处置流程，提高应急处置的实效。

3.5 提升人员安全意识，做好应急预案、应急培训等日常性工作

工作人员的安全意识直接决定着工业信息安全应急工作的成功与否。各地方、工业企业、平台企业等都应通过培训会议、专题讲座、新闻宣传等多种形式，针对工业信息安全管理人员、技术人员、普通员工和社会公众等不同人群，设计好关于网络安全法等法律法规、应急预案和工业信息安全应急知识和应急演练的宣贯培训方案，重视应急日常性工作，不断提高人员安全意识。

4 结语

工业信息安全事关工业生产运行、国家经济安全和人民生命财产安全，提升应急保障能力对于筑牢工业信息安全防线意义重大。为积极借鉴国外在开展应急演练、提升保障能力方面的先进经验，本文重点针对北约“锁定盾牌”系列演习进行深入研究，剖析演习发展现状、总结演习发展特点，并结合我国工业信息安全应急工作实际，围绕健全应急预案体系、加快应急手段建设、规范演练组织和评估、加强实战演练研究、提升人员安全意识等方面提出了相关建议，为进一步加强我国工业信息安全应急工作提供了思路与参考。