◎上海戎磐網(wǎng)絡科技有限公司首席信息官 slimming Panda

著名軍事家詹姆斯·亞當斯在其著作《下一場世界戰(zhàn)爭》中曾預言：在未來的戰(zhàn)爭中，計算機本身就是武器，前線無所不在，奪取作戰(zhàn)空間控制權(quán)的不是炮彈和子彈，而是計算機網(wǎng)絡里流動的比特和字節(jié)。網(wǎng)絡上真有可能爆發(fā)一場戰(zhàn)爭嗎？美國國土安全部的結(jié)論是：很有可能，而且現(xiàn)在美國就必須準備好打贏這場戰(zhàn)爭。美國國土安全部自2006年起牽頭組織實施了六輪“網(wǎng)絡風暴”演習，該演習堪稱美國史上最大規(guī)模網(wǎng)絡戰(zhàn)演習，正是美國未雨綢繆、厲兵秣馬備戰(zhàn)第五空間的練兵場。

一、演習概況

“網(wǎng)絡風暴”系列演習是由美國國會授權(quán)、國土安全部（DHS）下設機構(gòu)國家網(wǎng)絡安全與通信集成中心（NCCIC）牽頭實施的國家級網(wǎng)絡事件響應演習，每兩年舉行1次，從2006年開始實施，迄今已經(jīng)舉行過6次。除了“網(wǎng)絡風暴IV”演習，其他五次演習都屬于頂層國家級演習。網(wǎng)絡風暴IV因為聯(lián)邦應急管理署決定將“國家級演習（NLE）2012”定調(diào)為網(wǎng)絡攻擊事件響應，為避免重復，籌劃組因此放棄了頂層演習的方案，轉(zhuǎn)而采用由小型研討會、到兵棋推演、再到大型實戰(zhàn)演練等15個大小不等的演練活動組成的方案。此次演習在時間跨度上也最長，從2011年底一直延續(xù)到2014年初。

不同于國際和國內(nèi)眾多的CTF（攻防比賽）以選拔技術(shù)人才和檢驗技術(shù)方案為主，“網(wǎng)絡風暴”系列演習更加側(cè)重于檢驗聯(lián)邦政府、州、地區(qū)、國際組織以及私營組織之間的協(xié)同應急處置能力（主要為處理兩個關(guān)系：政府和私營伙伴之間的關(guān)系；政府和其在州、地區(qū)以及國際政府伙伴之間的關(guān)系。）國土安全部希望通過該演習查找薄弱環(huán)節(jié)，評估并強化網(wǎng)絡戰(zhàn)備工作，檢查事件響應流程以及完善信息共享機制。該系列演習純屬“模擬演習”，在演習中沒有實際的系統(tǒng)受到攻擊，但網(wǎng)絡風暴提供了一個場所，可以模擬發(fā)現(xiàn)和響應影響美國關(guān)鍵基礎(chǔ)設施的大規(guī)模協(xié)調(diào)網(wǎng)絡攻擊。

網(wǎng)絡風暴演習是一次多國、多政府部門、多安全能力機構(gòu)、多私營企業(yè)等的協(xié)同演練。參演單位包括聯(lián)邦政府部門（如國防部、財政部、交通部、國家安全局等），各個行業(yè)的信息共享和分析中心（ISAC），州、國際政府伙伴，以及私營合作伙伴（如關(guān)鍵基礎(chǔ)設施類企業(yè)以及高科技企業(yè)），堪稱美國史上同類型最大規(guī)模的網(wǎng)絡安全演習。

二、歷次演習情況

（一）演練規(guī)模逐步擴大

“網(wǎng)絡風暴I”演習的參與者包括32個政府部門、4家公司（微軟、思科等）；“網(wǎng)絡風暴II”演習的參與者則包括9個州、18個聯(lián)邦機構(gòu)、5個國家，以及超過40家私營公司；而到了“網(wǎng)絡風暴V”演習時，參演單位已增加至9個政府內(nèi)閣級核心部門、32個州、2個盟國、近70家私營企業(yè)和協(xié)調(diào)機構(gòu)；為了進一步擴大演習覆蓋面，網(wǎng)絡風暴VI演習還邀請了關(guān)鍵制造業(yè)和運輸業(yè)私營合作伙伴深度參與演習。

（二）演練預案皆是事件觸發(fā)

每一次網(wǎng)絡風暴行動皆以此前發(fā)生過的真實事件為基礎(chǔ)進行演練?！熬W(wǎng)絡風暴I”演習的假想敵是一個擁有充足資金支持的松散黑客組織?！熬W(wǎng)絡風暴II”的假想敵是一群“壞分子”在全球范圍內(nèi)展開的一場聯(lián)合網(wǎng)絡攻擊，通過“肉雞”用戶去攻擊真正的目標網(wǎng)站，即“APT攻擊”?！熬W(wǎng)絡風暴III”的假想敵是一個擁有充足資金和時間的對手，其攻擊的主要目標是互聯(lián)網(wǎng)身份認證系統(tǒng)和域名解析系統(tǒng)。在遭到這些攻擊后，美國可能出現(xiàn)部門功能癱瘓乃至人員傷亡的情況?！熬W(wǎng)絡風暴V” 的假想敵則是75個不同的松散組織，其攻擊的主要目標是路由器、用于域名和IP地址相互映射的域名系統(tǒng)以及提供加密和數(shù)字簽名服務的公鑰基礎(chǔ)設施?！熬W(wǎng)絡風暴VI” 的假想敵雖然因官方刻意隱瞞而無從得知，但據(jù)國土安全部負責網(wǎng)絡安全和通信的助理部長Jeanette Manfra透露，想定主要圍繞關(guān)鍵制造業(yè)、運輸業(yè)以及IT和通信領(lǐng)域的網(wǎng)絡攻擊。

（三）網(wǎng)絡對抗技術(shù)的概念性研究不斷進步

每一次“網(wǎng)絡風暴”演練，都是對網(wǎng)絡技戰(zhàn)術(shù)的一次概念性嘗試。“網(wǎng)絡風暴I”的演練內(nèi)容是“攻擊網(wǎng)絡”；“網(wǎng)絡風暴II”演練了“利用網(wǎng)絡實施攻擊”；“網(wǎng)絡風暴III”演習則前瞻性地論證了通過破壞互聯(lián)網(wǎng)身份認證和域名解析能力，實現(xiàn)“讓網(wǎng)絡自己攻擊自己”；“網(wǎng)絡風暴V”和“網(wǎng)絡風暴VI”演習則緊跟網(wǎng)絡安全形勢的演變，聚焦針對關(guān)鍵基礎(chǔ)設施的新型網(wǎng)絡攻擊樣式。

（四）演練重點緊貼形勢發(fā)展

網(wǎng)絡風暴I是網(wǎng)絡響應團體第一次共同研究國家對網(wǎng)絡事件的響應方案；網(wǎng)絡風暴II重點演練個人應急能力和領(lǐng)導決策；網(wǎng)絡風暴III側(cè)重于根據(jù)國家級框架實施的應急響應，并提供了國土安全部負責協(xié)調(diào)公私部門協(xié)同響應的中樞機構(gòu)國家網(wǎng)絡安全與通信集成中心（NCCIC）的第一次運行測試；網(wǎng)絡風暴IV側(cè)重于幫助社區(qū)和各州提升事態(tài)升級情況下的網(wǎng)絡響應能力。網(wǎng)絡風暴V和VI重點演練針對關(guān)鍵基礎(chǔ)設施的網(wǎng)絡攻擊，并匯集了包括零售和醫(yī)療保健業(yè)以及關(guān)鍵制造業(yè)和運輸業(yè)等在內(nèi)的新行業(yè)。特別是，近兩次演習尤其注重從多領(lǐng)域響應嚴重的網(wǎng)絡事件，以此為團隊建立起響應的“肌肉記憶”，以便所有人知道遇到此類事件時該怎么做。

三、2018網(wǎng)絡風暴VI情況

（一）基本情況

2018年4月10日，美國國土安全部（DHS）召集1000余人組成的參演力量，舉行了聲勢浩大的新一輪網(wǎng)絡風暴演習（網(wǎng)絡風暴VI）。參演單位除了傳統(tǒng)的聯(lián)邦和州政府核心安全部門、國際合作伙伴以及私營合作伙伴，此次演習還特別邀請了關(guān)鍵制造業(yè)和運輸業(yè)私營企業(yè)的參與，并且重點演練了關(guān)鍵制造業(yè)和運輸業(yè)關(guān)鍵基礎(chǔ)設施遭受攻擊后的應急處置方案。演習持續(xù)時間只有短短的3天，目的是讓參演人員走出舒適區(qū)，并且在場景設置上也是強調(diào)任何一家機構(gòu)都無法憑借一己之力來應對，必須通過多部門、軍政地之間的協(xié)同。

Jeanette Manfra表示，關(guān)鍵基礎(chǔ)設施面臨網(wǎng)絡威脅形勢日益嚴峻，是美國必須面對的最嚴峻的國家安全挑戰(zhàn)之一。Manfra還指出，DHS 會持續(xù)關(guān)注關(guān)鍵制造行業(yè)和工業(yè)控制系統(tǒng)。此外，負責監(jiān)督投票系統(tǒng)的美國數(shù)州（科羅拉多州、特拉華州、愛荷華州、蒙大拿州、德克薩斯州、弗吉尼亞州和華盛頓州）2018年也參與了這場演習。

（二）演習目標

“網(wǎng)絡風暴VI“演習的主要目標是通過演練相關(guān)政策、流程和程序，加強美國在應對影響范圍波及多個行業(yè)的關(guān)鍵基礎(chǔ)設施網(wǎng)絡攻擊方面的網(wǎng)絡安全戰(zhàn)備和應急處置能力。具體目標包括：一是實踐協(xié)調(diào)機制，評估美國國家網(wǎng)絡事件響應計劃（NCIRP）指導事件響應的效果；二是評估信息共享門檻、途徑、及時性、信息有效性以及網(wǎng)絡事件響應各方共享信息的障礙；三是鑒于美國國土安全部（DHS）與受影響實體協(xié)同響應網(wǎng)絡事件，演習旨在繼續(xù)評估 DHS 的角色、職責與能力；四是為演習參與各方提供論壇，旨在實施、評估并完善相關(guān)框架、流程、程序以及組織機構(gòu)內(nèi)部或相關(guān)組織之間的信息共享機制。

（三）演習特點

一是重點關(guān)注交通運輸和關(guān)鍵制造業(yè)。網(wǎng)絡風暴VI的演練重點就是針對交通運輸和關(guān)鍵制造業(yè)的關(guān)鍵基礎(chǔ)設施和工控系統(tǒng)網(wǎng)絡攻擊事件的應急響應能力。而就在前不久，美國國土安全部和聯(lián)邦調(diào)查局曾發(fā)出警告，稱俄羅斯政府黑客正在通過一項多階段入侵行動，對美國的“關(guān)鍵制造業(yè)”進行網(wǎng)絡攻擊。此外，航空業(yè)巨頭波音公司的一家生產(chǎn)工廠在3月底遭到了WannaCry勒索軟件的網(wǎng)絡攻擊，更是說明“關(guān)鍵制造業(yè)”已成網(wǎng)絡重災區(qū)。所以，“網(wǎng)絡風暴VI”演習在加強美國聯(lián)邦政府與合作伙伴之間的公私合作方面，特別強調(diào)讓關(guān)鍵制造業(yè)和交通業(yè)等新的關(guān)鍵基礎(chǔ)設施合作伙伴加入演習，提升美國16個關(guān)鍵基礎(chǔ)設施領(lǐng)域的成熟度和融合性。

二是融入社交媒體平臺與漏洞“非常規(guī)”披露?！熬W(wǎng)絡風暴 VI” 演習特別關(guān)注“非常規(guī)”漏洞披露，為此還融入了模擬的新聞網(wǎng)站和社交媒體平臺，以郵件、電話或模擬在社交媒體平臺上發(fā)布文章的形式，為參演人員“注入”包含軟件漏洞報告在內(nèi)的信息。參演人員在收到這些信息后需要決定如何采取應急響應。Manfra表示，近年來，部分漏洞研究人員直接在社交媒體上披露漏洞，而不是通過漏洞披露程序，這給政府分析人員帶來了新挑戰(zhàn)。

四、幾點啟示

一是健全國家網(wǎng)絡安全領(lǐng)域事件響應協(xié)調(diào)機制，加強軍政融合、借力民間優(yōu)勢。有效的響應協(xié)調(diào)機制是“網(wǎng)絡風暴“演習順利實施，也是開展網(wǎng)絡空間實戰(zhàn)化攻防對抗的根本保證。根據(jù)美國《國家網(wǎng)絡空間安全事件響應計劃》（NCIRP）描述，DHS下設的國家網(wǎng)絡安全與通信集成中心負責作為聯(lián)邦政府響應與演習協(xié)調(diào)過程中的聯(lián)系點，同時亦是聯(lián)邦政府、情報行業(yè)以及執(zhí)行部門的網(wǎng)絡與通信集成樞紐所在，還被指定為聯(lián)邦政府同私營部門間進行信息共享、跨部門協(xié)調(diào)以及事故響應的對接載體。網(wǎng)絡風暴演習的宗旨之一就是查找DHS對內(nèi)和對外溝通協(xié)調(diào)的薄弱環(huán)節(jié)和不足，完善網(wǎng)絡事件響應協(xié)調(diào)機制。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡安全已從“信息安全”時代進入了“大安全”時代，應對網(wǎng)絡空間威脅，必須通過多部門、多領(lǐng)域參與的軍政民一體融合模式，尤其是要建立高效暢通的跨部門高層協(xié)調(diào)機制，統(tǒng)籌應急響應框架、程序和流程制定，信息共享，應急處置演練和技術(shù)規(guī)范與融合等工作。

二是通過立法確立情報共享激勵機制，打造網(wǎng)絡安全態(tài)勢一張圖。美國通過網(wǎng)絡風暴等一系列演習的檢驗，已經(jīng)建立了相對完備的網(wǎng)絡安全信息共享機制，為政府機構(gòu)和私營企業(yè)共同應對網(wǎng)絡安全威脅、保障網(wǎng)絡空間安全提供了有力支持。我國雖然已經(jīng)開始關(guān)注這方面的問題，大力推進信息系統(tǒng)和平臺研發(fā)，但缺乏相關(guān)立法來規(guī)范信息共享的主體、范圍和程序，尚未建立國家層面的網(wǎng)絡威脅信息共享和分析中心，缺乏引導網(wǎng)絡安全企業(yè)、工業(yè)互聯(lián)網(wǎng)企業(yè)等積極參與網(wǎng)絡安全信息共享的激勵機制。

三是大力度推進關(guān)鍵制造企業(yè)、工業(yè)企業(yè)和網(wǎng)絡安全企業(yè)深度合作，協(xié)同保障工業(yè)互聯(lián)網(wǎng)安全。就美國而言，工業(yè)控制企業(yè)通常會與網(wǎng)絡安全企業(yè)合作，共同研發(fā)網(wǎng)絡安全方案。但這種合作模式目前在國內(nèi)基本上還沒有開始，一些工業(yè)集成企業(yè)要么是對安全問題認識不足，要么是希望自己做安全，與網(wǎng)絡安全企業(yè)合作存在行業(yè)壁壘。然而，在“大安全”時代，“+”出來的問題還需要“+”起來解決。面對潛在的跨行業(yè)協(xié)同網(wǎng)絡攻擊，建議制定加快促進工業(yè)企業(yè)與網(wǎng)絡安全企業(yè)合作的鼓勵政策，以能源、航空航天等關(guān)鍵產(chǎn)業(yè)為試驗田，集中攻關(guān)高精尖安全產(chǎn)品和解決方案，共同打造高效、安全的工業(yè)互聯(lián)網(wǎng)。