本文探讨在网络空间兵棋推演环境中对网络行动进行建模所面临的挑战。传统兵棋推演依托于物理空间、线性时间和可预测因果关系等预设，而这些预设并不适用于网络域。网络行动具有非线性、高度不确定性等特征，且其展开的时间尺度往往严重错配：数周的准备工作可能导致一次毫秒级即可完成的行动。在许多兵棋推演中，网络要素通过简化机制——如行动卡——加以呈现，这种做法将复杂性与不确定性抽象掉了。虽然将网络纳入多域场景时具备实操便利性，但该方法限制了真实感和分析价值。同理，组织层面的桌面演练往往聚焦于识别程序性漏洞，却无法检验决策的有效性；而战略级模拟则优先关注投资规划而非动态响应。网络靶场虽然技术细节丰富，但受限于实时执行的要求，不太适合对组织层面决策进行建模。为弥补这些缺位，混合模拟环境正在兴起。这类系统在建模组织IT基础设施、仿真技术流程的同时，将重心转向决策本身——即"做什么"而非"怎么做"。这使得针对不同攻击场景、防御策略和团队协作的结构化实验成为可能，从而在技术执行与战略洞察之间架设桥梁。

兵棋推演长期以来一直是探索不确定性条件下复杂决策的重要工具。传统兵棋推演植根于物理战争域——行动可被观测、后果具有实体性、时间线遵循线性逻辑——其运行依赖于关于空间、时间与因果关系的底层假设。当这些同样的假设被套用于网络行动时，便开始失效。与传统军事冲突不同，网络行动往往以不可见的方式展开：其效果未必能即刻被察觉，来源常常模糊不清，而时间线则是断裂错位的。对手可能耗费数周乃至数月筹备一次渗透，在毫秒间完成执行，且在达成目标后仍长期潜伏不被发现。这种异步性从根本上冲击了古典兵棋推演的结构基础——后者的冲突节奏恰恰依赖于你来我往的互动机理。

2015年乌克兰电网遭袭事件^[1]以及SolarWinds/"太阳风暴"（SunBurst）渗透事件^[2]等案例表明，网络对手是如何利用隐蔽性与时机优势实施打击的。在这两起事件中，攻击者在触发显性破坏效果之前均已秘密运作了相当长一段时间。防御团队因在早期阶段缺乏可视性，被迫转入被动反应状态，且往往是在最关键的损害已经发生后才介入。这就构成了一个方法论困境：古典兵棋推演无法模拟因果关系不明、时间非线性、对手存在与否不确定的环境。其结果是，试图纳入网络要素的演练往往诉诸过度简化——有些做法引入抽象机制（如在动能作战推演中插入一张网络"事件卡"），另一些则将网络与其他域完全割裂，单独开展彼此孤立的演练，丧失了对更广阔作战动态的整合。

实践中，大多数面向网络的训练工作落入两大类。第一类是桌面推演（TTX），侧重情景讨论与政策审查，有助于识别程序性漏洞、提升跨部门意识，但通常缺乏对抗性动态机制，也无法对实时决策进行压力测试。第二类是网络靶场（CR），用于仿真技术环境，使技术团队能够借助实装工具应对活跃威胁。虽然对技术培训颇有价值，但其资源消耗大，且不擅长承载战略或战役级决策层面的探索。

本文提出第三条路径：混合式网络兵棋推演。通过将结构化决策机制与对网络环境的抽象化但规则驱动的建模相结合，混合模拟提供了一种既能捕捉真实事件之复杂性与模糊性、又无需追求全量技术保真度的方法。其核心目标是支撑反映网络冲突真正动力学特征的训练与实验：延迟发现、碎片化可视性、协同难题以及时间高度压缩的危机响应。在后续章节中，我们将探讨何为真正的网络兵棋推演、既有方法为何力有不逮，以及混合模型如何应对网络域带来的结构性挑战。

常见网络演练格式

根据美国国家标准与技术研究院（NIST）的定义，计算机安全领域的"演练"是指"为验证一项或多项IT预案的某个方面而设计的紧急情况模拟"^[4]。然而，网络演练的实际形态往往与此结构存在显著偏离。尽管各自承担重要职能，但许多演练并不符合真正兵棋推演的定义标准。目前最常见的几类格式包括：

• 桌面推演（TTX）：以情景驱动的讨论为核心，旨在评估政策、通信协议和组织程序。虽能有效暴露备战工作的薄弱环节，但缺乏动态对抗性行为模拟，且往往默认检测与响应必然成功，回避了对技术复杂度的仿真。
• 网络靶场（CR）：此类环境对真实或合成IT基础设施进行仿真，允许技术团队使用实战工具应对活跃威胁。网络靶场是一种交互式仿真环境，复现组织的网络、系统、工具和应用程序^[5]——它提供一个安全可控的空间，供个人或团队在不波及真实系统的情况下演练网络威胁响应、检验流程并提升技术能力。网络靶场通常采用虚拟网络和虚拟机，但在无法完全虚拟化时也可纳入物理组件，是实操训练的关键载体，使参训者得以在安全环境中直面系统漏洞和网络攻击等逼真情景。然而，尽管技术还原度高，其运行模式为实时导向，倾向于聚焦战术响应而非战略决策。
• 矩阵推演与红队评估：这类形式涉及不同脚本化程度和对抗性行为的结构化角色扮演。它们可能包含网络要素，但往往高度依赖导调人员的临场判读，缺乏规则驱动型兵棋推演所要求的稳定性和可复现性。

上述各类方法单独来看各有价值，但无一完整体现兵棋推演那种结构严密、以决策为核心的特质——尤其是将其应用于网络冲突语境时。