沙盘推演具体包括哪些内容

组织沙盘推演的4个阶段

沙盘推演是在实战攻防演练的基础上，在攻击路线、攻击手段等的有效性被证实的情况下，评估真实网络攻击可能对政企机构及公共安全产生的影响，包括经济损失、声誉损失和社会影响等；同时，对攻防过程中应急响应的有效性进行全过程评估。

传统的实战攻防演练更多关注的是技术和管理层面的安全风险与攻击有效性，所以沙盘推演并不是其必选阶段。但是，作为安全损失评估的重要过程，沙盘推演为演练机构进行科学合理的安全规划、安全建设和安全投入提供了关键性的参考依据。因此，沙盘推演的概念和方法一经提出就备受关注，并在越来越多的实战攻防演练中被吸收和采纳。
沙盘推演的整体策划和组织过程分为多个阶段，主要包括以下四个阶段。

组织策划阶段

组织策划阶段的主要目的是通过建立推演组织、明确推演目标、搭建推演平台、确定推演流程和制定推演规则等工作并形成策划方案，为沙盘推演打下基础。

建立推演组织

为保证沙盘推演工作的顺利完成，需要组建沙盘推演工作小组，其组织架构如图13-1所示。

图13-1　沙盘推演工作小组组织架构图

1）指挥组：主要由推演组织单位组成，负责推演工作的指挥协调、过程策划、人员选定以及规则制定等工作。

2）攻击组：主要由攻防演练中攻击队人员组成，负责攻击方案制定、讲解等工作。

3）防守组：主要由参演企业网络安全人员、业务系统负责人以及目标企业相关财务、法务和公关人员组成。财务、法务和公关人员的作用为评估网络攻击对企业业务产生的影响，包括但不限于以下几方面：

财务人员负责评估模拟攻击可能造成的经济损失； - 法务人员负责评估模拟攻击可能造成的政策监管风险； - 公关人员负责评估模拟攻击可能造成的声誉影响。

4）专家组：主要由组织单位邀请行业专家和技术专家组成，负责对推演过程中攻防双方方案的可行性进行点评并打分。

明确攻击目标

依据沙盘推演需要达到的目标及影响范围，选定推演拟攻击的目标系统。一般应优先选择关键业务系统、覆盖多区域的业务专网作为模拟攻击目标进行推演。

搭建推演平台

为了体现推演过程中攻防双方的结果，方便专家组根据评分规则进行点评，需搭建沙盘推演平台。推演平台可为攻防双方在推演过程中展示攻防手段，帮助专家组依据评分规则进行评分。

确定推演流程

推演阶段是沙盘推演过程中最重要的阶段。推演流程根据不同的业务场景分为多场推演，每场推演依据不同的攻击方案设定为一轮或多轮。图13-2为常见的沙盘推演流程。

图13-2　沙盘推演流程图

1）攻击组讲解攻击方案。由攻击组结合实战演练结果提供攻击方案可行性论证，同时说明攻击过程预计投入的时间、人力和物力以及相关投入的科学性。

2）防守组向攻击组提问。由防守组对攻击组提出的攻击方案及攻击思路进行提问和质辩，以确认攻击方案的可行性。

3）防守组汇报防守方案：防守组针对攻击组提出的攻击方案，提出可行的防守方案并与攻击组质辩相关方案的可行性。

4）攻击组补充发言。攻击组根据防守组已经确认的可行性方案，提出自己将要采取的实际攻击及进一步行动，如数据篡改、窃取、删除以及攻击范围、攻击效果等。

5）防守组补充发言。防守组提出自己的应急响应方案，并估算投入成本，包括投入的时间、人力、物力等。

6）双方对峙交互双方在对峙过程中进行交互，论证双方投入的时间、人力、物力的可行性，避免出现理论上可行而实施成本过高的假设。

7）专家组点评并评分双方发言结束后，由专家组人员对攻防双方的表现进行评价并根据打分规则评分。

8）宣布第一轮评分结果及主要结论，并宣布第一轮推演结束。

按照以上流程，依据攻击组其他攻击方案开展后面几轮推演工作，并在多轮推演结束后开展以下工作。

1）攻击组针对上述两轮推演对防守组提出安全建议。 2）防守组自评。防守组对两轮防守策略、方案、表现进行自评。

3）专家组点评。综合两轮推演，专家组对攻击组和防守组依据评分规则使用评分平台对双方进行评分，并给出指导意见。

4）宣布推演结束。指挥组宣布推演结束。 5）提交报告。攻防双方提交方案报告。

制定推演规则

沙盘推演的第一要素是规则，如攻方如何证明攻击路线和攻击手段的可行性，守方如何证明其应对措施的可行性及可能的响应周期。攻防双方需共同对评估结果的科学性提供保障。制定规则的目标也是保证这种结果的科学性，指挥组应依据实际环境制定相应的评分规则。

推演周期一般建议为1～2天，单场推演建议不超过3小时。建议攻击组在推演开始前1小时内向防守组公布攻击方案，因为做好攻击方案保密工作是最大限度模拟实际攻击过程、检验防守组反应能力的有效方法。攻防双方推演时间需控制在指定范围内。

推演准备阶段

推演准备阶段的主要目的是基于策划方案，依据推演实际环境搭建演示环境，初步形成推演演示环境，主要工作内容为攻击方案筛选、推演平台搭建、推演展台搭建、推演人员准备等。

攻击方案筛选

推演准备阶段需要攻击组提前提交攻击方案，专家组进行评审并指导攻击组对方案进行调整与优化，选取优秀方案纳入推演环节。

推演平台搭建

依据现场实际场景搭建推演平台，导入攻击组方案形成攻击路线图，并在推演开始前导入防守组方案，主要用于在防守组质辩过程中展示防守方案，开通对应专家组账号。

推演展台搭建

依据推演模式选择可容纳攻击组、防守组、专家组、指挥组等人员的场地，根据现场环境的实际情况搭建展示大屏、攻防展台、灯光等。

推演人员准备

1）攻击组人员准备。攻击组人员可为攻防演练阶段蓝队人员或第三方蓝队人员。攻击组人员需具备蓝队攻击经验，了解防守组网络架构及安全脆弱点并能够制定专项攻击方案。建议组建2队，每队2～3 人。如涉及第三方蓝队人员，须签订保密协议，并宣贯推演规则。

2）防守组人员准备。防守组人员由目标系统网络安全人员、业务系统负责人以及财务、会务和公关人员组成。建议至少组建2组，每组 2～3人。

3）现场保障人员准备。应由指挥组组建现场保障团队，主要负责推演现场环境、展示、平台等的运行保障工作。

4）现场摄制人员准备。如需现场拍摄推演过程，指挥组需组建现场拍摄团队。

5）主持人准备。主持人主要负责推演全过程中的现场节奏把控，由指挥组指定人员担任。

沙盘推演阶段

沙盘推演由指挥组依据推演策划内容，协调攻击组与防守组实施。沙盘推演阶段主要涉及推演过程、评估影响、专家评分等工作。

1）推演过程。沙盘推演主要由攻防双方根据对应方案展开阐述和对峙。推演过程中指挥组应确保双方在质辩过程中按规则执行，双方关注点不跑偏。

2）评估影响。由评估人员，即防守方财务、会务和公关人员在攻防双方质辩结束后对推演影响进行评估，并输出攻防双方本次推演的可行性评估方案及评估损失文档。

3）专家评分。攻防双方对峙结束后，专家组依据评分规则对攻防双方方案可行性进行点评和评分。攻击组评分规则主要考量技术水平、攻击危害性、可行性等方面，防守组评分规则主要考量监测、发现、应急处置、协调配合等方面。

4）推演保障。需对现场平台、展台、网络链路进行例行检查，做好资源保障；确定紧急联系人列表，紧急联系人主要负责推演现场平台或展台突发故障应急事宜，执行预案，遇到突发事件报告指挥组。

总结评估阶段

总结评估阶段的工作目的是对沙盘推演整体过程进行复盘、总结和汇报。推演结束后，攻击组和防守组需向指挥组提供本次推演的相关材料，指挥组对这些材料进行评审，并确定后续工作如何开展。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南