5 分钟了解攻防演练中的红蓝紫

在网络安全上，真实环境下的网络攻防演练也是网络安全中最能检验安全团队防御能力、发现当前网络环境中存在的安全风险的方式之一。

我国实战攻防演练的发展分为两个阶段：第一阶段是试验阶段，以学习先进实战经验为主，参演单位少，演练范围小；第二阶段是推广阶段，实战演练发展飞速，参演单位数量暴增，演练走向成熟化、常态化、多样化、体系化。

在网络实战攻防演练中的防守和攻击两方分别称为红队和蓝队。通常在攻防演练中，除了红蓝双方外，还需要有站在中立角度进行演练组织、评判等的第三方，即紫队。

一、关于蓝队

蓝队是指网络实战攻防演练中的攻击一方，以发现系统薄弱环节、提升系统安全性为目标，一般会针对目标单位的从业人员以及目标系统所在网络内的软件、硬件设备执行多角度、全方位、对抗性的混合式模拟攻击，通过技术手段实现系统提权、控制业务、获取数据等渗透目标，从而发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。

在演练中，蓝队通常会以 3 人为一个战斗小组，1 人为组长。蓝队攻击一般只限定攻击范围和攻击时段，对具体的攻击方法则没有太多限制。但所有技术的使用、目标的达成都必须严格遵守国家相关的法律法规。

随着攻防演练的成熟化，蓝队的工作已经变得非常体系化、职业化和工具化。从实战对抗的手法来看，现蓝队也呈现出社工化、强对抗和迂回攻击的特点。

二、关于红队

红队是指网络实战攻防演练中的防守一方。红队一般是以参演单位现有的网络安全防护体系为基础，在实战攻防演练期间组建的防守队伍。红队的主要工作包括演练前安全检查、整改与加固，演练期间网络安全监测、预警、分析、验证、处置，演练后期复盘和总结现有防护工作中的不足之处，为后续常态化的网络安全防护措施提供优化依据等。

红队并不是由实战演练中目标系统运营单位一家独力组建的，而是由目标系统运营单位、安全运营团队、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方共同组成的，各司其职。

• 目标系统运营单位：负责红队整体的指挥、组织和协调。

• 安全运营团队：负责整体防护和攻击监控工作。·

• 攻防专家：负责对安全监控中发现的可疑攻击进行分析和研判，指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作。

• 安全厂商：负责对自身产品的可用性、可靠性和防护监控策略进行调整。

• 软件开发商：负责对自身系统进行安全加固、监控，配合攻防专家对发现的安全问题进行整改。

• 网络运维队伍：负责配合攻防专家进行网络架构安全维护、网络出口整体优化、网络监控以及溯源等工作。

• 云提供商（如有）：负责对自身云系统进行安全加固，对云上系统的安全性进行监控，同时协助攻防专家对发现的问题进行整改。

对于红队来说，了解蓝队的情况非常重要，正所谓“知彼才能知己”。从攻击角度出发，了解攻击队的思路与打法，了解攻击队的思维，并结合本单位实际网络环境、运营管理情况，制定相应的技术防御和响应机制，才能在防守过程中争取到更大的主动权。

三、关于紫队

紫队是指网络实战攻防演练中的组织方。紫队在实战攻防演练中，以组织方角色开展演练的整体组织、协调工作，负责演练组织、过程监控、技术指导、应急保障、风险控制、演练总结、技术措施与优化策略建议等各类工作。

紫队组织蓝队对实际环境实施攻击，组织红队实施防守，目的是通过演练检验参演单位的安全威胁应对能力、攻击事件检测发现能力、事件分析研判能力、事件响应处置能力以及应急响应机制与流程的有效性，提升参演单位的安全实战能力。此外，针对某些不宜在实网中直接攻防的系统，或某些不宜实际执行的危险操作，紫队可以组织攻防双方进行沙盘推演，以便进一步深入评估网络安全风险及可能面临的损失与破坏。