美国联邦调查局（FBI）近日首次公开了其在阿拉巴马州哈茨维尔（Huntsville）运营的网络侦查训练设施“Kinetic Cyber Range（KCR）”的内部情况。这一设施位于FBI哈茨维尔园区内，将一整座“迷你城市”搬进室内，用于进行接近实战的网络犯罪与数字取证训练。

KCR于2025年2月正式启用，截至目前，已有包括FBI人员及其他机构相关从业者在内的超过1400人接受过训练。

在室内搭建一座“可侦查的城市”

KCR是一处约22,000平方英尺（约2000平方米）的室内训练环境，由FBI运营技术部（Operational Technology Division）负责管理，坐落在阿拉巴马州Redstone Arsenal内的FBI哈茨维尔基地。

在这片空间中，FBI搭建了一个缩微版的现实城市：

• 住宅与家庭环境
• 酒店客房
• 电力公司设施
• 医院网络与设备
• 加油站

公开的视频中还展示了：

• 法院
• 数据中心
• 游戏厅（街机厅）
• 商务中心等场景

这些场景不仅是“布景”，还配备了与现实环境高度接近的系统、网络与各类终端设备，使学员能够在模拟的真实现场中开展网络攻击应对与数字证据取证，而不是停留在教室里的纸面演练。

FBI将哈茨维尔基地定位为其在培训、数据分析以及网络情报（cyber intelligence）等领域的重点发展枢纽，KCR正是这一布局中的核心设施之一。

@YouTube

从教室讲解走向“现场决策”演练

FBI介绍，以往的培训多在教室中进行，重点是对手机、存储介质、服务器等设备的操作与分析流程讲解。KCR的目标，是把这些理论与流程“搬到现场”，让学员在接近真实的环境中做出判断与操作。

在KCR中，学员可能需要：

• 拆卸车辆的电子控制单元（ECU），提取并分析其中的数据；
• 在普通家庭环境中识别需要扣押的各类IoT设备；
• 进入企业网络，决定现场应当采集哪些数据、哪些数据暂不采集，并说明理由。

训练内容不仅涵盖对网络攻击的技术分析，还包括：

• 如何规范处理数字证据；
• 如何向受害组织及相关方解释取证与调查的必要性和范围；
• 如何界定调查边界，避免过度或不足取证。

换言之，KCR强调的是“技术+程序+沟通”的综合能力，而不仅是单纯的技术操作。

模拟医院遭遇勒索软件与大型数据中心事件

在设施内部，FBI设计了多种高压场景：

• 医院网络遭遇勒索软件攻击，影响医疗系统运转；
• 拥有超过200台服务器的数据中心发生安全事件，需要快速定位、隔离与取证；
• 关键基础设施（如电力公司、加油站）的系统被入侵，可能影响公共安全与社会运转。

训练中还融入了大量角色扮演（Role Play）环节。例如：

• 工作人员扮演企业高管或法务负责人；
• 学员需要对其进行访谈，了解事件背景与系统结构；
• 在此基础上解释：将收集哪些数据、为何必须收集、可能对业务造成何种影响。

FBI强调，在网络侦查中，技术分析能力固然重要，但与企业、公共机构等各方进行沟通协调、取得配合，同样是成功办案的关键。

多机构共训：从FBI到NASA与地方执法部门

KCR并非只对FBI内部开放。官方视频显示，NASA、美国陆军以及地方执法机构等也参与了在此进行的联合训练。

随着网络攻击日益跨越企业、公共机构与关键基础设施，多部门在同一套“虚拟城市”中进行联合演练，有助于：

• 统一处置流程与沟通方式；
• 提前磨合跨机构协作机制；
• 在真实事件发生前发现协作中的薄弱环节。

持续更新的威胁场景：从IoT到无人机与车载取证

FBI表示，将根据新出现的威胁与技术持续更新KCR中的训练场景，重点包括：

• 各类联网设备与IoT系统
• 无人机（Drone）相关取证与防御
• 车辆取证（Vehicle Forensics）
• 新型网络犯罪手法与攻击链条

当前的网络犯罪早已不再局限于PC和服务器内部，而是越来越多地与现实世界的设备和基础设施相连：

• 家庭中的智能家居与监控设备
• 车载系统与联网汽车
• 医疗机构的诊疗与管理系统
• 电力、燃油等关键基础设施

这些场景往往难以在传统教室中完整重现。KCR通过搭建“可进入、可操作的迷你城市”，让学员在高度拟真的环境中练习：

• 如何在复杂现场快速识别关键系统与证据；
• 如何在不破坏业务连续性的前提下开展取证；
• 如何在技术、法律与沟通之间取得平衡。

通过这种方式，FBI希望其人员及合作机构能够更好地应对现实世界中不断演化的网络威胁与数字犯罪。