英国国防部发布的《Cyber Primer》是从国防和军事角度学习网络空间的利用。该手册全面介绍了网络的基本概念、网络威胁的种类、网络攻击的特点、网络空间的军事利用以及网络作战的组织和指挥。它结合大量案例剖析了各种网络攻击事件，使复杂的网络知识容易理解。

对网络安全从业者特别有价值的是，该手册详细解释了社会工程、恶意软件、供应链攻击等各类网络威胁的技术手段，以及威胁行为者的类型，如APT、爱国黑客等。这有助于从业者针对性地提高网络防御能力。

此外，该手册还介绍了军事网络行动的角色，如影响、防御、支持等，这为从业者了解网络力量如何运用提供了宝贵经验。最后，该手册阐述了网络作战的指挥与控制，以及资源整合问题，这对于理解网络部队的运作非常重要。

《Cyber Primer》手册长达74页，以下为部分内容。

第3章 – 网络功能

第3章着眼于四个军事网络行动角色 – 影响、防御、支持和通知 – 这些角色通过网络攻击和防御网络行动、网络安全和网络威胁情报来传递网络能力。它还检查了信息管理，最后查看了网络及其他密切相关的军事功能之间的关系。

网络行动

3.1. 网络行动涉及规划和同步网络空间中的活动，以实现机动自由并达成军事目标。

3.2. 网络行动可以大致分为四种独特的角色:影响、防御、支持和通知。这些角色很少是离散的。它们是相互依赖和互动的，相互提供支持，相互制约。

3.3. 国防并不是提供所有网络行动，它为英国的国家网络能力提供自己的一份子。必须记住，对于英国来说，“网络”是整个社会的事业。因此，军事网络活动必须与关键伙伴(包括以下伙伴)融为一体:

– 内阁办公室，包括政府网络协调中心，用于广泛或关键国家基础设施相关的网络事件响应；

– 国家网络安全中心(NCSC)，这是政府通信总部(GCHQ)的一个部门； 

– 国家网络部队，这是一个由国防部和英国情报部门共同拥有和共同配备人员的联合组织，包括GCHQ；

– 其他政府部门，特别是外交部和内政部；

– 产业；

– 学术界；以及

– 国际伙伴和盟友。

3.4. 从国防角度来看，已经建立了网络安全运营能力来进行防御性网络行动。这个联邦能力由军事、文职和行业工作人员组成，包括后备军人，详见第4章。投资网络安全运营能力体现了国防在网络防御和抗弹性方面的重要性。

影响

3.5. 影响角色使网络和电磁能力能够塑造(击败、欺骗、降级和拒绝)对手的能力，这使国防能够影响受众的行为和事件的进程。对影响活动做出特定贡献的任务是:进攻性网络行动、网络信息行动、反网络和电磁攻击。进攻性网络行动被定义为:在网络空间中或通过网络空间进行的旨在实现军事目标的力量投射活动。它们可能会超越虚拟维度(例如网站和社交媒体订阅源)，转向物理维度中的效果(例如，导致计算机硬件损坏)，最重要的是，它们可以直接影响个人和群体的认知维度，即思想、信念、利益和感知。

3.6. 进攻性网络活动可用于造成永久或临时效果，从而减少对手对其网络、信息或其他能力在特定时期的信心。进攻性网络行动可单独使用，或与其他能力结合使用以产生效果。此类行动可支持威慑，传达意图或威胁。与影响活动的联系非常紧密，在行动/战术层面，需要协调进攻性网络行动和信息行动。

3.7. 进攻性网络活动通常分为七个阶段，称为网络攻击链。这些阶段不是离散事件，而是相互作用和重叠，并且持续时间可能不同。它们同样适用于国家或犯罪分子的行动。它们也依赖于攻击者的意图和进攻性网络和情报能力的可用性。一个代表性的网络攻击链如图3.1所示。

1 – 理解。对手对目标的网络环境进行信息和情报收集以及识别特定目标。

2 – 载荷开发。开发利用目标系统已识别漏洞的利用软件，以产生预期效果。 

3 – 传递。使用电子邮件附件、网站和可移动媒体等载体向目标系统传输有效载荷。

4 – 利用。在目标系统上交付有效载荷后，利用会触发有效载荷 – 利用漏洞。

5 – 安装。在目标系统上安装远程访问功能或后门，允许对手在目标系统内维持存在/持久性。

6 – 指挥与控制。对手建立通信渠道，以方便传输命令。

7 – 产生预期效果。在通过前六个阶段后，对手可以采取行动产生预期效果。

防御

3.8. 防御性网络行动被定义为:主动和被动措施，旨在预防、取消或降低对手行动的效力，以在网络空间中保持我们的行动自由。

3.9. 网络安全与防御性网络行动有关。无论是管理我们的人员，还是能力获取，保护敏感信息，以及规划和实施军事行动，网络安全对所有国防活动都是基础要求。网络安全上的任何疏忽都可能影响我们的弹性或成功，并破坏我们伙伴的信任。在网络环境中，行动安全程序至关重要，因为网络空间中的行动可能会持续很长时间，任何妥协都可能破坏多年的努力。在网络环境中，每个人都必须运用判断，对自己的行为负责，了解法规并及时响应可能的事件。国防已经制定了一项全面计划“网络自信”，旨在提高每个人对风险的理解及在网络空间中负责任地行事的能力。

3.10. 美国国家标准技术研究所网络安全框架。美国国家标准技术研究所(NIST)是一家为国际网络安全思想做出重大贡献的美国政府组织。具体而言，它在2018年制定了一个框架，以帮助组织进行网络防御，该框架已经被广泛采用，并以NIST网络安全框架为人所知。该框架由五个核心功能组成，如图3.2所示。该框架及其倡导的合理原则构成了网络安全运营能力及国家网络安全中心工作的很大一部分，尽管术语可能有所不同。

– 识别 – 获取对数字资产、系统和标识的可见性和控制。

– 保护 – 实施网络安全措施和网络弹性措施。 

– 检测 – 监控、分析和追踪有害活动。

– 响应 – 在事件发生时管理事件和事件。

– 恢复 – 重新建立对网络空间的信任访问。

支持

3.13. 在网络行动中，第三种角色 – 支持 – 是一项至关重要的功能；它利用、管理和操作国防控制的通信和信息系统基础设施，并支持我们的盟友。网络空间是一个人为环境，必须有意识地创建、维护和保障，以使所有其他网络活动成为可能。支持是一个基础性角色。

3.14. 国防数字主要负责国防中的支持角色，并运营许多信息服务以及在固定国防网络和部署力量之间提供保障信息路径。这些信息路径可以使用电磁频谱在全球范围内实现通信(例如，高频无线电和卫星通信)，或者使用通过国际水域的固定全球通信链路。支持活动的其他领域包括电磁频谱管理、数字服务集成和管理、网络运营和信息保证。

通知

3.15. 通知在网络行动中的第四个角色为参与网络和电磁领域提供了行动自由所需的基础。这是通过开发适当的知识和对该领域的理解来实现的。 

3.16. 对特定任务或任务相关的所有元素(包括网络空间)进行情报准备非常重要，以获得详细的整体理解，并为指挥官提供态势感知；它在支持和通知角色中都有用武之地。网络情报准备工作非常复杂，需要相当长的时间才能达到所需的细节水平。为了对网络环境形成整体理解，有必要将网络情报准备工作与更广泛的J2情报职能联系起来。

3.17. 态势感知被定义为:进行明智决策所需的战场知识要素。准确、详细和及时的情报对军事行动至关重要。情报(包括指标和警告)侧重于通过识别趋势和扫描新兴威胁、危害或机遇以及了解任何行动的后果来发展可靠的态势感知和理解。网络空间包含大量可以被利用和评估的情报和态势感知的数据。 

3.18. 在共同作战图片中获得认可的网络作战图片可以为指挥官提供增强的态势感知、改善的理解、决策支持和决策支持。然而，生成认可的网络作战图片具有挑战性，原因可能是:

– 网络空间中的事件可以以非常高的速度发生；

– 网络空间中发生的活动数量巨大，特别是非军事活动； 

– 证明或判断归因的困难；

– 识别和分类常规故障而不是网络攻击的困难；

– 欺骗在网络空间中普遍存在且易于实现；以及

– 物理和虚拟网络层中的位置可能不对应。

信息管理

3.20. 获取、共享、处理和保护数据和信息的工作对网络运作中的四个角色提供关键支持。无论是为管理国防事务而创建和共享的全部信息，还是为执行军事行动而创建和共享的信息，都具有价值。及时向其他人员、多个组织或集体位置获取和共享信息，同时保持数据完整性。涵盖人事或其他敏感事项的数据必须根据英国政府安全分类系统进行保护。 

3.21. 信息的照顾和保护还受到多项法律要求的约束，例如《通用数据保护条例》和《2018年数据保护法》。遵守这些法律对所有国防人员是强制性的，而且信息专员对国防部进行监管 – 符合规定是不容商量的。如怀疑数据泄露，例如，将敏感电子邮件发送给错误的人或通过公共互联网发送，必须立即报告。

3.22. 信息保证为人员和指挥官提供信心，即他们的计算机网络和通信和数字系统将保护他们处理的信息，以满足适用于正在处理的信息的信息管理要求。它还确保系统按需要运行，并由合法用户控制。

3.23. 有效的信息共享方法和网络活动的互操作性需要共享信息和情报。必须在“需要保护”与“需要共享”之间取得平衡，以实现任务成功。对有效的网络行动来说，行动安全至关重要，决不能被妥协。

网络和电磁行动环境

3.24. 网络和电磁行动包括一系列相互关联的学科。下面简要概述每个学科。

a. 网络行动。网络行动涉及规划和协调网络空间中的活动，以实现机动自由并实现军事目标。 

b. 信息行动。信息行动与网络能力密切相关，主题有很大程度的重叠。虽然网络行动发生在网络空间中，但信息行动可以利用任何操作环境来实现其目标。

c. 电磁行动。电磁行动被定义为所有塑造或利用电磁环境的行动，或将其用于进攻或防御，包括利用电磁环境支持所有其他操作环境中的行动。注意:电磁行动包括(但不限于)电磁战、信号情报、情报、监视、目标获取和侦察、导航战争、战场频谱管理。

d. 信号情报。信号情报被定义为:从电磁信号或发射中获得的情报。注意:信号情报的主要子类别是通信情报和电磁情报。网络和信号情报在一定程度上依赖类似的基础设施、组织、通道、人员培训和技能。 

e. 通信和信息系统。通信和信息系统对实现网络行动中的支持角色至关重要。

3.25. 在网络和电磁领域，各种行动学科之间的关系非常密切，主题有很大程度的重叠和相互依赖。

参考资料：

Google搜索”Cyber Primer“