攻防演练中沙盘推演的 4 个阶段

沙盘推演是在实战攻防演练的基础上，在攻击路线、攻击手段等的有效性被证实的情况下，评估真实网络攻击可能对政企机构及公共安全产生的影响，包括经济损失、声誉损失和社会影响等；同时，对攻防过程中应急响应的有效性进行全过程评估。

传统的实战攻防演练更多关注的是技术和管理层面的安全风险与攻击有效性，所以沙盘推演并不是其必选阶段。但是，作为安全损失评估的重要过程，沙盘推演为演练机构进行科学合理的安全规划、安全建设和安全投入提供了关键性的参考依据。因此，沙盘推演的概念和方法一经提出就备受关注，并在越来越多的实战攻防演练中被吸收和采纳。

沙盘推演的整体策划和组织过程分为多个阶段，主要包括以下四个阶段。

一、组织策划阶段

组织策划阶段的主要目的是通过建立推演组织、明确推演目标、搭建推演平台、确定推演流程和制定推演规则等工作并形成策划方案，为沙盘推演打下基础。

• 建立推演组织

为保证沙盘推演工作的顺利完成，需要组建沙盘推演工作小组，包括指挥组、攻击组、防守组、专家组。

• 明确攻击目标

依据沙盘推演需要达到的目标及影响范围，选定推演拟攻击的目标系统。一般应优先选择关键业务系统、覆盖多区域的业务专网作为模拟攻击目标进行推演。

• 搭建推演平台

为了体现推演过程中攻防双方的结果，方便专家组根据评分规则进行点评，需搭建沙盘推演平台。推演平台可为攻防双方在推演过程中展示攻防手段，帮助专家组依据评分规则进行评分。

• 确定推演流程

推演阶段是沙盘推演过程中最重要的阶段。推演流程根据不同的业务场景分为多场推演，每场推演依据不同的攻击方案设定为一轮或多轮。

• 制定推演规则

沙盘推演的第一要素是规则，如攻方如何证明攻击路线和攻击手段的可行性，守方如何证明其应对措施的可行性及可能的响应周期。攻防双方需共同对评估结果的科学性提供保障。制定规则的目标也是保证这种结果的科学性，指挥组应依据实际环境制定相应的评分规则。

推演周期一般建议为 1～2 天，单场推演建议不超过 3 小时。建议攻击组在推演开始前 1 小时内向防守组公布攻击方案，因为做好攻击方案保密工作是最大限度模拟实际攻击过程、检验防守组反应能力的有效方法。攻防双方推演时间需控制在指定范围内。

二、推演准备阶段

• 攻击方案筛选

推演准备阶段需要攻击组提前提交攻击方案，专家组进行评审并指导攻击组对方案进行调整与优化，选取优秀方案纳入推演环节。

• 推演平台搭建

依据现场实际场景搭建推演平台，导入攻击组方案形成攻击路线图，并在推演开始前导入防守组方案，主要用于在防守组质辩过程中展示防守方案，开通对应专家组账号。

• 推演展台搭建

依据推演模式选择可容纳攻击组、防守组、专家组、指挥组等人员的场地，根据现场环境的实际情况搭建展示大屏、攻防展台、灯光等。

• 推演人员准备

这里包括攻击组人员、防守组人员、现场保障人员、现场摄制人员、主持人准备。

三、沙盘推演阶段

沙盘推演由指挥组依据推演策划内容，协调攻击组与防守组实施。沙盘推演阶段主要涉及推演过程、评估影响、专家评分等工作。

• 推演过程

沙盘推演主要由攻防双方根据对应方案展开阐述和对峙。推演过程中指挥组应确保双方在质辩过程中按规则执行，双方关注点不跑偏。

• 评估影响

由评估人员，即防守方财务、会务和公关人员在攻防双方质辩结束后对推演影响进行评估，并输出攻防双方本次推演的可行性评估方案及评估损失文档。

• 专家评分

攻防双方对峙结束后，专家组依据评分规则对攻防双方方案可行性进行点评和评分。攻击组评分规则主要考量技术水平、攻击危害性、可行性等方面，防守组评分规则主要考量监测、发现、应急处置、协调配合等方面。

• 推演保障

需对现场平台、展台、网络链路进行例行检查，做好资源保障；确定紧急联系人列表，紧急联系人主要负责推演现场平台或展台突发故障应急事宜，执行预案，遇到突发事件报告指挥组。

四、总结评估阶段

总结评估阶段的工作目的是对沙盘推演整体过程进行复盘、总结和汇报。推演结束后，攻击组和防守组需向指挥组提供本次推演的相关材料，指挥组对这些材料进行评审，并确定后续工作如何开展。