新书推荐——美军网络作战推演手册

2018-03-15 13:52:15

来源:

 
随着网络威胁的影响范围不断扩大、破坏程度不断加剧,美国政府机构和私营组织逐渐开始形成一种共识:应对网络安全挑战早已超越技术部门的职能,需要运用全部组织力量处置这种可能危及机构核心利益的紧迫威胁。不同于一般的渗透测试活动,网络安全推演关注组织机构的决策程序和内部协同,是组织机构发现和改进网络应急处置程序短板的有效途径,能够在整个企业信息系统体系内提高网络弹性能力。以信息技术企业为代表的美国私营部门较早开始网络推演实践活动,例如Intel公司早在2008年就发布了介绍和总结其网络安全桌面推演活动的白皮书。作为一种高效的军事问题研究方法,推演活动逐渐从美军训练室走向政府和企业的“网络靶场”。
尤其在近年来,越来越多的美国政府、军事和私营机构开始组织和参与网络空间作战推演活动。得益于巨大需求的推动,大量网络安全企业甚至咨询公司开始发展和提供网络安全推演业务和产品,内容涵盖从策划、设计、实施到评估等网络安全推演活动的全过程。根据麦卡锡公司的调查,从2012年到2014年,美国私营企业参与网络推演活动的数量上涨了5倍,从受调查组织总数的3%大幅提升至15%。在这个过程中,美军长期以来积累形成的作战推演能力得到民事机构的充分借鉴。事实上,民事机构网络安全推演活动所采用的技术或程序都受到美军相关活动的影响,或者直接借鉴美军联合作战计划程序中制定行动步骤(Courseof Action,又译为“作战方案”)的方法。
与此同时,美军也致力于在网络安全领域推动推演活动的发展,不断通过项目外包或者联合推演的形式与民事机构,特别是私营企业合作。公开消息表明,仅与美军关系密切的布兹·艾伦·汉密尔顿(Booz AllenHamilton)公司,从2010年到2015年就已经举行了超过50场网络安全推演或训练活动,其中大部分都有美国政府和军事部门参与。
尽管发展迅速,但是目前所谓的“网络安全推演”并没有明确的定义和固定的形式,比如策略性桌面推演、强调网络技术攻防的“夺旗”竞赛、年度网络空间作战演习等都可以看作网络安全推演的具体实施方式。虽然形式差异很大,但不难发现所谓网络推演活动都拥有一些共性的特征:在安全可控环境中,由第三方机构根据推演目的和条件确定和模拟现实世界的网络攻击威胁事件,参演人员充当特定角色,划分为不同小组,对模拟情况做出适当处置。推演活动的实施根据条件复杂度和参演规模的不同,可以持续3-4个小时,也可以组织1-5天。
目前美军官方并没有出台专门的网络安全推演活动指导文件,部分私营机构和智库组织通过项目合作和外包,以研究报告的形式总结军事和民事组织网络推演活动的目标、要求、程序、经验等内容,为有意实施网络推演活动的机构提供参考。知远-网络空间战略分析与评估中心在整理研究美国MITRE公司、Intel公司、美国陆军研究实验室(Army Research Lab, ARL)、海军战争学院(Naval War College)等机构相关报告的基础上,结合自身组织和参与网络安全推演的实践经验编撰此手册。
本手册第1章主要介绍美军网络安全推演活动发展的基本情况,并对网络推演实施与陆军作战方案制定流程进行对比研究,本手册使用的相关术语也在此章中进行定义。第2章基于美国MITRE公司与陆军联合发布的报告,介绍网络推演活动的一般组织流程。第3章通过案例研究的方式介绍了美国陆军研究实验室的“泰瑞”网络-物理推演模型。这场在2016年末组织的战术层面推演并不是一次传统意义上的“成功”活动,组织者由于经验不足和规则设计缺陷,导致原定24小时连续实施的推演活动只进行了约6个小时就草草宣布结束,但案例研究对陆军实验室确定推演目的、招募推演人员、设计推演规则和想定、推演场地安排、组织实施过程以及总结讨论的全过程进行了真实和详细的记录,具有一定的借鉴意义。第4章的案例研究对象是美国海军战争学院组织的海军-私营部门关键基础设施推演。此次推演在战略层面讨论美国关键基础设施面临的网络威胁问题,主要关注美国国防部应该在什么条件下干预民事机构遭遇的网络危机。大量私营企业组织和相关政府机构都参与了此次推演,是美军高级别网络安全推演的典型案例。附录1则收录了知远网络中心在2017年组织网络安全推演时的想定及参考资料。
本手册提供从制定网络推演构想到完成推演报告的一般性程序指导,并对美军战术和战略层面的推演活动进行案例分析,可以为网络推演活动计划人员提供参考。由于美军网络推演问题是一种正在快速发展中的崭新课题,编者在时间仓促、自身水平有限的情况下,对美军一些概念、思维的理解不一定准确,本手册也可能存在诸多错漏之处。
相关阅读