透視美國(guó)最大規(guī)模網(wǎng)絡(luò)戰(zhàn)演習(xí)—網(wǎng)絡(luò)風(fēng)暴

◎上海戎磐網(wǎng)絡(luò)科技有限公司首席信息官 slimming Panda

著名軍事家詹姆斯·亞當(dāng)斯在其著作《下一場(chǎng)世界戰(zhàn)爭(zhēng)》中曾預(yù)言：在未來(lái)的戰(zhàn)爭(zhēng)中，計(jì)算機(jī)本身就是武器，前線無(wú)所不在，奪取作戰(zhàn)空間控制權(quán)的不是炮彈和子彈，而是計(jì)算機(jī)網(wǎng)絡(luò)里流動(dòng)的比特和字節(jié)。網(wǎng)絡(luò)上真有可能爆發(fā)一場(chǎng)戰(zhàn)爭(zhēng)嗎？美國(guó)國(guó)土安全部的結(jié)論是：很有可能，而且現(xiàn)在美國(guó)就必須準(zhǔn)備好打贏這場(chǎng)戰(zhàn)爭(zhēng)。美國(guó)國(guó)土安全部自2006年起牽頭組織實(shí)施了六輪“網(wǎng)絡(luò)風(fēng)暴”演習(xí)，該演習(xí)堪稱美國(guó)史上最大規(guī)模網(wǎng)絡(luò)戰(zhàn)演習(xí)，正是美國(guó)未雨綢繆、厲兵秣馬備戰(zhàn)第五空間的練兵場(chǎng)。

一、演習(xí)概況

“網(wǎng)絡(luò)風(fēng)暴”系列演習(xí)是由美國(guó)國(guó)會(huì)授權(quán)、國(guó)土安全部（DHS）下設(shè)機(jī)構(gòu)國(guó)家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）牽頭實(shí)施的國(guó)家級(jí)網(wǎng)絡(luò)事件響應(yīng)演習(xí)，每?jī)赡昱e行1次，從2006年開(kāi)始實(shí)施，迄今已經(jīng)舉行過(guò)6次。除了“網(wǎng)絡(luò)風(fēng)暴IV”演習(xí)，其他五次演習(xí)都屬于頂層國(guó)家級(jí)演習(xí)。網(wǎng)絡(luò)風(fēng)暴IV因?yàn)槁?lián)邦應(yīng)急管理署決定將“國(guó)家級(jí)演習(xí)（NLE）2012”定調(diào)為網(wǎng)絡(luò)攻擊事件響應(yīng)，為避免重復(fù)，籌劃組因此放棄了頂層演習(xí)的方案，轉(zhuǎn)而采用由小型研討會(huì)、到兵棋推演、再到大型實(shí)戰(zhàn)演練等15個(gè)大小不等的演練活動(dòng)組成的方案。此次演習(xí)在時(shí)間跨度上也最長(zhǎng)，從2011年底一直延續(xù)到2014年初。

不同于國(guó)際和國(guó)內(nèi)眾多的CTF（攻防比賽）以選拔技術(shù)人才和檢驗(yàn)技術(shù)方案為主，“網(wǎng)絡(luò)風(fēng)暴”系列演習(xí)更加側(cè)重于檢驗(yàn)聯(lián)邦政府、州、地區(qū)、國(guó)際組織以及私營(yíng)組織之間的協(xié)同應(yīng)急處置能力（主要為處理兩個(gè)關(guān)系：政府和私營(yíng)伙伴之間的關(guān)系；政府和其在州、地區(qū)以及國(guó)際政府伙伴之間的關(guān)系。）國(guó)土安全部希望通過(guò)該演習(xí)查找薄弱環(huán)節(jié)，評(píng)估并強(qiáng)化網(wǎng)絡(luò)戰(zhàn)備工作，檢查事件響應(yīng)流程以及完善信息共享機(jī)制。該系列演習(xí)純屬“模擬演習(xí)”，在演習(xí)中沒(méi)有實(shí)際的系統(tǒng)受到攻擊，但網(wǎng)絡(luò)風(fēng)暴提供了一個(gè)場(chǎng)所，可以模擬發(fā)現(xiàn)和響應(yīng)影響美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的大規(guī)模協(xié)調(diào)網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)風(fēng)暴演習(xí)是一次多國(guó)、多政府部門、多安全能力機(jī)構(gòu)、多私營(yíng)企業(yè)等的協(xié)同演練。參演單位包括聯(lián)邦政府部門（如國(guó)防部、財(cái)政部、交通部、國(guó)家安全局等），各個(gè)行業(yè)的信息共享和分析中心（ISAC），州、國(guó)際政府伙伴，以及私營(yíng)合作伙伴（如關(guān)鍵基礎(chǔ)設(shè)施類企業(yè)以及高科技企業(yè)），堪稱美國(guó)史上同類型最大規(guī)模的網(wǎng)絡(luò)安全演習(xí)。

二、歷次演習(xí)情況

（一）演練規(guī)模逐步擴(kuò)大

“網(wǎng)絡(luò)風(fēng)暴I”演習(xí)的參與者包括32個(gè)政府部門、4家公司（微軟、思科等）；“網(wǎng)絡(luò)風(fēng)暴II”演習(xí)的參與者則包括9個(gè)州、18個(gè)聯(lián)邦機(jī)構(gòu)、5個(gè)國(guó)家，以及超過(guò)40家私營(yíng)公司；而到了“網(wǎng)絡(luò)風(fēng)暴V”演習(xí)時(shí)，參演單位已增加至9個(gè)政府內(nèi)閣級(jí)核心部門、32個(gè)州、2個(gè)盟國(guó)、近70家私營(yíng)企業(yè)和協(xié)調(diào)機(jī)構(gòu)；為了進(jìn)一步擴(kuò)大演習(xí)覆蓋面，網(wǎng)絡(luò)風(fēng)暴VI演習(xí)還邀請(qǐng)了關(guān)鍵制造業(yè)和運(yùn)輸業(yè)私營(yíng)合作伙伴深度參與演習(xí)。

（二）演練預(yù)案皆是事件觸發(fā)

每一次網(wǎng)絡(luò)風(fēng)暴行動(dòng)皆以此前發(fā)生過(guò)的真實(shí)事件為基礎(chǔ)進(jìn)行演練?！熬W(wǎng)絡(luò)風(fēng)暴I”演習(xí)的假想敵是一個(gè)擁有充足資金支持的松散黑客組織?！熬W(wǎng)絡(luò)風(fēng)暴II”的假想敵是一群“壞分子”在全球范圍內(nèi)展開(kāi)的一場(chǎng)聯(lián)合網(wǎng)絡(luò)攻擊，通過(guò)“肉雞”用戶去攻擊真正的目標(biāo)網(wǎng)站，即“APT攻擊”。“網(wǎng)絡(luò)風(fēng)暴III”的假想敵是一個(gè)擁有充足資金和時(shí)間的對(duì)手，其攻擊的主要目標(biāo)是互聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)和域名解析系統(tǒng)。在遭到這些攻擊后，美國(guó)可能出現(xiàn)部門功能癱瘓乃至人員傷亡的情況。“網(wǎng)絡(luò)風(fēng)暴V” 的假想敵則是75個(gè)不同的松散組織，其攻擊的主要目標(biāo)是路由器、用于域名和IP地址相互映射的域名系統(tǒng)以及提供加密和數(shù)字簽名服務(wù)的公鑰基礎(chǔ)設(shè)施。“網(wǎng)絡(luò)風(fēng)暴VI” 的假想敵雖然因官方刻意隱瞞而無(wú)從得知，但據(jù)國(guó)土安全部負(fù)責(zé)網(wǎng)絡(luò)安全和通信的助理部長(zhǎng)Jeanette Manfra透露，想定主要圍繞關(guān)鍵制造業(yè)、運(yùn)輸業(yè)以及IT和通信領(lǐng)域的網(wǎng)絡(luò)攻擊。

（三）網(wǎng)絡(luò)對(duì)抗技術(shù)的概念性研究不斷進(jìn)步

每一次“網(wǎng)絡(luò)風(fēng)暴”演練，都是對(duì)網(wǎng)絡(luò)技戰(zhàn)術(shù)的一次概念性嘗試。“網(wǎng)絡(luò)風(fēng)暴I”的演練內(nèi)容是“攻擊網(wǎng)絡(luò)”；“網(wǎng)絡(luò)風(fēng)暴II”演練了“利用網(wǎng)絡(luò)實(shí)施攻擊”；“網(wǎng)絡(luò)風(fēng)暴III”演習(xí)則前瞻性地論證了通過(guò)破壞互聯(lián)網(wǎng)身份認(rèn)證和域名解析能力，實(shí)現(xiàn)“讓網(wǎng)絡(luò)自己攻擊自己”；“網(wǎng)絡(luò)風(fēng)暴V”和“網(wǎng)絡(luò)風(fēng)暴VI”演習(xí)則緊跟網(wǎng)絡(luò)安全形勢(shì)的演變，聚焦針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的新型網(wǎng)絡(luò)攻擊樣式。

（四）演練重點(diǎn)緊貼形勢(shì)發(fā)展

網(wǎng)絡(luò)風(fēng)暴I是網(wǎng)絡(luò)響應(yīng)團(tuán)體第一次共同研究國(guó)家對(duì)網(wǎng)絡(luò)事件的響應(yīng)方案；網(wǎng)絡(luò)風(fēng)暴II重點(diǎn)演練個(gè)人應(yīng)急能力和領(lǐng)導(dǎo)決策；網(wǎng)絡(luò)風(fēng)暴III側(cè)重于根據(jù)國(guó)家級(jí)框架實(shí)施的應(yīng)急響應(yīng)，并提供了國(guó)土安全部負(fù)責(zé)協(xié)調(diào)公私部門協(xié)同響應(yīng)的中樞機(jī)構(gòu)國(guó)家網(wǎng)絡(luò)安全與通信集成中心（NCCIC）的第一次運(yùn)行測(cè)試；網(wǎng)絡(luò)風(fēng)暴IV側(cè)重于幫助社區(qū)和各州提升事態(tài)升級(jí)情況下的網(wǎng)絡(luò)響應(yīng)能力。網(wǎng)絡(luò)風(fēng)暴V和VI重點(diǎn)演練針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊，并匯集了包括零售和醫(yī)療保健業(yè)以及關(guān)鍵制造業(yè)和運(yùn)輸業(yè)等在內(nèi)的新行業(yè)。特別是，近兩次演習(xí)尤其注重從多領(lǐng)域響應(yīng)嚴(yán)重的網(wǎng)絡(luò)事件，以此為團(tuán)隊(duì)建立起響應(yīng)的“肌肉記憶”，以便所有人知道遇到此類事件時(shí)該怎么做。

三、2018網(wǎng)絡(luò)風(fēng)暴VI情況

（一）基本情況

2018年4月10日，美國(guó)國(guó)土安全部（DHS）召集1000余人組成的參演力量，舉行了聲勢(shì)浩大的新一輪網(wǎng)絡(luò)風(fēng)暴演習(xí)（網(wǎng)絡(luò)風(fēng)暴VI）。參演單位除了傳統(tǒng)的聯(lián)邦和州政府核心安全部門、國(guó)際合作伙伴以及私營(yíng)合作伙伴，此次演習(xí)還特別邀請(qǐng)了關(guān)鍵制造業(yè)和運(yùn)輸業(yè)私營(yíng)企業(yè)的參與，并且重點(diǎn)演練了關(guān)鍵制造業(yè)和運(yùn)輸業(yè)關(guān)鍵基礎(chǔ)設(shè)施遭受攻擊后的應(yīng)急處置方案。演習(xí)持續(xù)時(shí)間只有短短的3天，目的是讓參演人員走出舒適區(qū)，并且在場(chǎng)景設(shè)置上也是強(qiáng)調(diào)任何一家機(jī)構(gòu)都無(wú)法憑借一己之力來(lái)應(yīng)對(duì)，必須通過(guò)多部門、軍政地之間的協(xié)同。

Jeanette Manfra表示，關(guān)鍵基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)威脅形勢(shì)日益嚴(yán)峻，是美國(guó)必須面對(duì)的最嚴(yán)峻的國(guó)家安全挑戰(zhàn)之一。Manfra還指出，DHS 會(huì)持續(xù)關(guān)注關(guān)鍵制造行業(yè)和工業(yè)控制系統(tǒng)。此外，負(fù)責(zé)監(jiān)督投票系統(tǒng)的美國(guó)數(shù)州（科羅拉多州、特拉華州、愛(ài)荷華州、蒙大拿州、德克薩斯州、弗吉尼亞州和華盛頓州）2018年也參與了這場(chǎng)演習(xí)。

（二）演習(xí)目標(biāo)

“網(wǎng)絡(luò)風(fēng)暴VI“演習(xí)的主要目標(biāo)是通過(guò)演練相關(guān)政策、流程和程序，加強(qiáng)美國(guó)在應(yīng)對(duì)影響范圍波及多個(gè)行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊方面的網(wǎng)絡(luò)安全戰(zhàn)備和應(yīng)急處置能力。具體目標(biāo)包括：一是實(shí)踐協(xié)調(diào)機(jī)制，評(píng)估美國(guó)國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（NCIRP）指導(dǎo)事件響應(yīng)的效果；二是評(píng)估信息共享門檻、途徑、及時(shí)性、信息有效性以及網(wǎng)絡(luò)事件響應(yīng)各方共享信息的障礙；三是鑒于美國(guó)國(guó)土安全部（DHS）與受影響實(shí)體協(xié)同響應(yīng)網(wǎng)絡(luò)事件，演習(xí)旨在繼續(xù)評(píng)估 DHS 的角色、職責(zé)與能力；四是為演習(xí)參與各方提供論壇，旨在實(shí)施、評(píng)估并完善相關(guān)框架、流程、程序以及組織機(jī)構(gòu)內(nèi)部或相關(guān)組織之間的信息共享機(jī)制。

（三）演習(xí)特點(diǎn)

一是重點(diǎn)關(guān)注交通運(yùn)輸和關(guān)鍵制造業(yè)。網(wǎng)絡(luò)風(fēng)暴VI的演練重點(diǎn)就是針對(duì)交通運(yùn)輸和關(guān)鍵制造業(yè)的關(guān)鍵基礎(chǔ)設(shè)施和工控系統(tǒng)網(wǎng)絡(luò)攻擊事件的應(yīng)急響應(yīng)能力。而就在前不久，美國(guó)國(guó)土安全部和聯(lián)邦調(diào)查局曾發(fā)出警告，稱俄羅斯政府黑客正在通過(guò)一項(xiàng)多階段入侵行動(dòng)，對(duì)美國(guó)的“關(guān)鍵制造業(yè)”進(jìn)行網(wǎng)絡(luò)攻擊。此外，航空業(yè)巨頭波音公司的一家生產(chǎn)工廠在3月底遭到了WannaCry勒索軟件的網(wǎng)絡(luò)攻擊，更是說(shuō)明“關(guān)鍵制造業(yè)”已成網(wǎng)絡(luò)重災(zāi)區(qū)。所以，“網(wǎng)絡(luò)風(fēng)暴VI”演習(xí)在加強(qiáng)美國(guó)聯(lián)邦政府與合作伙伴之間的公私合作方面，特別強(qiáng)調(diào)讓關(guān)鍵制造業(yè)和交通業(yè)等新的關(guān)鍵基礎(chǔ)設(shè)施合作伙伴加入演習(xí)，提升美國(guó)16個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的成熟度和融合性。

二是融入社交媒體平臺(tái)與漏洞“非常規(guī)”披露?！熬W(wǎng)絡(luò)風(fēng)暴 VI” 演習(xí)特別關(guān)注“非常規(guī)”漏洞披露，為此還融入了模擬的新聞網(wǎng)站和社交媒體平臺(tái)，以郵件、電話或模擬在社交媒體平臺(tái)上發(fā)布文章的形式，為參演人員“注入”包含軟件漏洞報(bào)告在內(nèi)的信息。參演人員在收到這些信息后需要決定如何采取應(yīng)急響應(yīng)。Manfra表示，近年來(lái)，部分漏洞研究人員直接在社交媒體上披露漏洞，而不是通過(guò)漏洞披露程序，這給政府分析人員帶來(lái)了新挑戰(zhàn)。

四、幾點(diǎn)啟示

一是健全國(guó)家網(wǎng)絡(luò)安全領(lǐng)域事件響應(yīng)協(xié)調(diào)機(jī)制，加強(qiáng)軍政融合、借力民間優(yōu)勢(shì)。有效的響應(yīng)協(xié)調(diào)機(jī)制是“網(wǎng)絡(luò)風(fēng)暴“演習(xí)順利實(shí)施，也是開(kāi)展網(wǎng)絡(luò)空間實(shí)戰(zhàn)化攻防對(duì)抗的根本保證。根據(jù)美國(guó)《國(guó)家網(wǎng)絡(luò)空間安全事件響應(yīng)計(jì)劃》（NCIRP）描述，DHS下設(shè)的國(guó)家網(wǎng)絡(luò)安全與通信集成中心負(fù)責(zé)作為聯(lián)邦政府響應(yīng)與演習(xí)協(xié)調(diào)過(guò)程中的聯(lián)系點(diǎn)，同時(shí)亦是聯(lián)邦政府、情報(bào)行業(yè)以及執(zhí)行部門的網(wǎng)絡(luò)與通信集成樞紐所在，還被指定為聯(lián)邦政府同私營(yíng)部門間進(jìn)行信息共享、跨部門協(xié)調(diào)以及事故響應(yīng)的對(duì)接載體。網(wǎng)絡(luò)風(fēng)暴演習(xí)的宗旨之一就是查找DHS對(duì)內(nèi)和對(duì)外溝通協(xié)調(diào)的薄弱環(huán)節(jié)和不足，完善網(wǎng)絡(luò)事件響應(yīng)協(xié)調(diào)機(jī)制。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全已從“信息安全”時(shí)代進(jìn)入了“大安全”時(shí)代，應(yīng)對(duì)網(wǎng)絡(luò)空間威脅，必須通過(guò)多部門、多領(lǐng)域參與的軍政民一體融合模式，尤其是要建立高效暢通的跨部門高層協(xié)調(diào)機(jī)制，統(tǒng)籌應(yīng)急響應(yīng)框架、程序和流程制定，信息共享，應(yīng)急處置演練和技術(shù)規(guī)范與融合等工作。

二是通過(guò)立法確立情報(bào)共享激勵(lì)機(jī)制，打造網(wǎng)絡(luò)安全態(tài)勢(shì)一張圖。美國(guó)通過(guò)網(wǎng)絡(luò)風(fēng)暴等一系列演習(xí)的檢驗(yàn)，已經(jīng)建立了相對(duì)完備的網(wǎng)絡(luò)安全信息共享機(jī)制，為政府機(jī)構(gòu)和私營(yíng)企業(yè)共同應(yīng)對(duì)網(wǎng)絡(luò)安全威脅、保障網(wǎng)絡(luò)空間安全提供了有力支持。我國(guó)雖然已經(jīng)開(kāi)始關(guān)注這方面的問(wèn)題，大力推進(jìn)信息系統(tǒng)和平臺(tái)研發(fā)，但缺乏相關(guān)立法來(lái)規(guī)范信息共享的主體、范圍和程序，尚未建立國(guó)家層面的網(wǎng)絡(luò)威脅信息共享和分析中心，缺乏引導(dǎo)網(wǎng)絡(luò)安全企業(yè)、工業(yè)互聯(lián)網(wǎng)企業(yè)等積極參與網(wǎng)絡(luò)安全信息共享的激勵(lì)機(jī)制。

三是大力度推進(jìn)關(guān)鍵制造企業(yè)、工業(yè)企業(yè)和網(wǎng)絡(luò)安全企業(yè)深度合作，協(xié)同保障工業(yè)互聯(lián)網(wǎng)安全。就美國(guó)而言，工業(yè)控制企業(yè)通常會(huì)與網(wǎng)絡(luò)安全企業(yè)合作，共同研發(fā)網(wǎng)絡(luò)安全方案。但這種合作模式目前在國(guó)內(nèi)基本上還沒(méi)有開(kāi)始，一些工業(yè)集成企業(yè)要么是對(duì)安全問(wèn)題認(rèn)識(shí)不足，要么是希望自己做安全，與網(wǎng)絡(luò)安全企業(yè)合作存在行業(yè)壁壘。然而，在“大安全”時(shí)代，“+”出來(lái)的問(wèn)題還需要“+”起來(lái)解決。面對(duì)潛在的跨行業(yè)協(xié)同網(wǎng)絡(luò)攻擊，建議制定加快促進(jìn)工業(yè)企業(yè)與網(wǎng)絡(luò)安全企業(yè)合作的鼓勵(lì)政策，以能源、航空航天等關(guān)鍵產(chǎn)業(yè)為試驗(yàn)田，集中攻關(guān)高精尖安全產(chǎn)品和解決方案，共同打造高效、安全的工業(yè)互聯(lián)網(wǎng)。