趙靜

摘要：目前網(wǎng)絡(luò)安全靶場已經(jīng)成為支撐網(wǎng)絡(luò)空間安全技術(shù)驗證、網(wǎng)絡(luò)工具試驗、攻防對抗演練和網(wǎng)絡(luò)風(fēng)險評估的重要手段。構(gòu)建可脫離實體設(shè)備與環(huán)境、計算與存儲資源靈活共享的虛擬化平臺，形成針對現(xiàn)場網(wǎng)絡(luò)空間網(wǎng)絡(luò)和設(shè)備的仿真實驗環(huán)境，提升虛擬演練培訓(xùn)服務(wù)能力。同時可利用靶場開展對抗演習(xí)、實戰(zhàn)教學(xué)、工具測評等活動，讓工作人員在實施任務(wù)前在接近真實的場景中開展演練，學(xué)習(xí)各種先前積累的技戰(zhàn)法經(jīng)驗，有效提升工作人員解決實際問題的能力。

關(guān)鍵詞：網(wǎng)絡(luò)空間安全;靶場;場景;虛擬化;數(shù)據(jù)采集與分析;SDN

中圖分類號：TP393.08

文獻標(biāo)識碼：A

文章編號：1009-3044（2020）03-0051-04

1 概述

我國網(wǎng)絡(luò)安全問題嚴(yán)重，每年的經(jīng)濟損失達數(shù)百億美元。網(wǎng)絡(luò)空間對抗形勢日趨嚴(yán)峻，網(wǎng)絡(luò)環(huán)境已由單純互聯(lián)網(wǎng)發(fā)展到了泛在網(wǎng)絡(luò)空間。網(wǎng)絡(luò)靶場是針對網(wǎng)絡(luò)攻防演練和網(wǎng)絡(luò)新技術(shù)評測的重要基礎(chǔ)設(shè)施。網(wǎng)絡(luò)靶場研究成果如能很好推廣，定可以提高企業(yè)的核心競爭力以及網(wǎng)民的安全意識與能力，從而極大地減少經(jīng)濟損失。因此網(wǎng)絡(luò)空間靶場系統(tǒng)有廣闊的應(yīng)用前景，且具有很高的社會和經(jīng)濟效益。

2 應(yīng)用場景

網(wǎng)絡(luò)空間靶場系統(tǒng)的專用測試場景能夠提供以往難以想象的真實度，把工具和設(shè)備帶到接近真實的網(wǎng)絡(luò)空間中開展測試。主要提供安全防護類應(yīng)用、綜合演練類應(yīng)用、決策評估類應(yīng)用等。

安全防護類應(yīng)用主要包括：關(guān)鍵信息基礎(chǔ)設(shè)施仿真及防護演練和核心業(yè)務(wù)系統(tǒng)安全性評測等方面。系統(tǒng)通過安全測試評估、應(yīng)急響應(yīng)演練、災(zāi)難處置演練、攻防對抗演練等手段，模擬木馬植入、數(shù)據(jù)竊取、DDoS和APT攻防過程，迅速找到管理體系、系統(tǒng)架構(gòu)、技術(shù)防御體系等方面的安全缺陷，進而使得團隊實戰(zhàn)技能和協(xié)同能力得到提升，評估選取最優(yōu)滲透戰(zhàn)法。綜合演練類應(yīng)用主要包括：基于真實場景的大規(guī)模戰(zhàn)術(shù)級對抗演練和實戰(zhàn)攻擊任務(wù)基礎(chǔ)環(huán)境快速構(gòu)建等方面。決策評估類應(yīng)用主要包括：基于真實場景的網(wǎng)絡(luò)空間裝備評測、大規(guī)模戰(zhàn)略級聯(lián)合作戰(zhàn)演練和城市級信息基礎(chǔ)設(shè)施協(xié)同安全演練等方面。

所有業(yè)務(wù)的開展是基于靶場系統(tǒng)的基礎(chǔ)能力，也就是仿真網(wǎng)絡(luò)與信息系統(tǒng)環(huán)境的快速構(gòu)建。這里面幾個資源庫是其核心，一是虛擬靶標(biāo)庫，包含了操作系統(tǒng)和各種網(wǎng)絡(luò)服務(wù)，二是漏洞庫，包含各種信息安全漏洞的復(fù)現(xiàn)環(huán)境，三是可以根據(jù)客戶需求靈活構(gòu)建的實體靶標(biāo)庫。有了這些資源，在靶場系統(tǒng)中簡單的通過鼠標(biāo)拖拽的方式就能快速構(gòu)建仿真環(huán)境。對目標(biāo)信息在靶場中快速還原，開展演練或戰(zhàn)術(shù)推演活動，提高團隊滲透技能、協(xié)同能力，選取最優(yōu)滲透戰(zhàn)法，降低特種任務(wù)執(zhí)行風(fēng)險。

3 系統(tǒng)相關(guān)技術(shù)研究

在網(wǎng)絡(luò)空間中，要做到基于平臺虛擬化的漏洞復(fù)現(xiàn)、場景仿真和動態(tài)資源調(diào)配，需要用到計算虛擬化技術(shù)、網(wǎng)絡(luò)虛擬化技術(shù)、數(shù)據(jù)采集與分析技術(shù)和虛實結(jié)合組網(wǎng)技術(shù)等。

3.1 計算虛擬化技術(shù)

虛擬機是對計算機系統(tǒng)的仿真，可以實現(xiàn)一臺物理計算機上模擬多臺計算機的運行任務(wù)，操作系統(tǒng)和應(yīng)用共享一臺或多臺主機硬件資源，每臺虛擬機有自己的操作系統(tǒng)，硬件資源是虛擬化的。管理程序（hypervisor）負責(zé)創(chuàng)建、運行虛擬機，它連接了硬件資源和虛擬機，完成計算資源的虛擬化。容器運行在宿主操作系統(tǒng)之上，共享操作系統(tǒng)內(nèi)核和庫文件等。共享組件是只讀的，通過共享操作系統(tǒng)資源能減少復(fù)現(xiàn)操作系統(tǒng)所需計算資源，意味著一臺宿主機僅安裝好操作系統(tǒng)就可以運行多個容器任務(wù)。容器是輕量的，占用空間較少，而且能夠?qū)崿F(xiàn)秒級啟動。相比容器，虛擬機啟動時間比較長，占用磁盤空間更大。同虛擬機相比，容器僅需操作系統(tǒng)、支撐程序和庫文件就可運行應(yīng)用，這意味同樣的宿主機容器可以比虛擬機數(shù)量多幾倍。虛擬化技術(shù)與容器技術(shù)對比如圖1所示。

開源虛擬機技術(shù)KVM提供Linux下x86硬件平臺上的全功能虛擬化解決方案，是主流云計算技術(shù)的首選。開源容器技術(shù)Docker在不包含完整的操作系統(tǒng)的情況下就能運行普通應(yīng)用，更加輕量級，可移植性更好，是當(dāng)今PaaS平臺的基石。

為了兼顧虛擬機和容器兩種技術(shù)的優(yōu)點，本系統(tǒng)將采用hypervisor與容器混合的虛擬化解決方案：Hypervisor技術(shù)能夠提供接近物理主機特性的虛擬主機，實現(xiàn)對各類不同的操作系統(tǒng)、各種不同的硬件設(shè)備的仿真，非常適合操作系統(tǒng)層的仿真需求;而容器技術(shù)雖然無法仿真操作系統(tǒng)特性，但能夠極大的降低虛擬化的硬件成本，極高的提升虛擬應(yīng)用的啟動速度，非常適用應(yīng)用層的仿真需求。可以使用虛擬化抽象層將兩種不同的技術(shù)封裝為統(tǒng)一的向上接口，使用驅(qū)動的方式實現(xiàn)對各種不同底層虛擬化實現(xiàn)的支持。因此在本系統(tǒng)中，經(jīng)過充分的調(diào)研分析，擬采用KVM實現(xiàn)虛擬機技術(shù)，采用Docker實現(xiàn)容器技術(shù)。

3.2 網(wǎng)絡(luò)虛擬化技術(shù)

VLAN技術(shù)由802.1Q標(biāo)準(zhǔn)所定義，它將同一網(wǎng)絡(luò)劃分為多個邏輯上的虛擬子網(wǎng)，并規(guī)定當(dāng)收到廣播報文時，僅僅在其所在VLAN中進行廣播從而防止廣播報文泛濫。隨著虛擬化技術(shù)的發(fā)展，很多場景下都需要采用單個物理設(shè)備虛擬多臺虛擬機的方式來進行組網(wǎng)，而VLAN技術(shù)最多支持4094個tag，因此已經(jīng)無法滿足需求，而且它也無法解決多租戶網(wǎng)絡(luò)地址重疊的問題以及虛擬化技術(shù)導(dǎo)致交換機中的MAC表異常龐大導(dǎo)致影響交換機的轉(zhuǎn)發(fā)性能等問題。

VXLAN（虛擬可擴展局域網(wǎng)）是一種隧道模式的網(wǎng)絡(luò)覆蓋技術(shù)，這種技術(shù)能夠使用戶擴跨越不同的網(wǎng)絡(luò)為虛擬機創(chuàng)建邏輯網(wǎng)絡(luò)，可以較好地解決VLAN的上述問題。它可以通過將第2層擴展到第3層網(wǎng)絡(luò)來構(gòu)建大型的多租戶數(shù)據(jù)中心，同時將虛擬網(wǎng)絡(luò)與物理基礎(chǔ)設(shè)施分離，并實現(xiàn)網(wǎng)絡(luò)可靠性和可擴展性，可以使用VXLAN技術(shù)創(chuàng)建多達1600萬個網(wǎng)絡(luò)。

SDN（軟件定義網(wǎng)絡(luò)）是一種軟件集中控制、網(wǎng)絡(luò)開放的三層體系架構(gòu)。SDN網(wǎng)絡(luò)架構(gòu)如圖2。SDN控制平面和轉(zhuǎn)發(fā)平面分離的思想非常適用于網(wǎng)絡(luò)靶場的構(gòu)建。一是網(wǎng)絡(luò)靶場中的各種網(wǎng)絡(luò)場景通常是非持久性的，靈活地對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進行重構(gòu)和改造是一項重要的應(yīng)用指標(biāo);二是網(wǎng)絡(luò)靶場需要接入各種網(wǎng)絡(luò)空間設(shè)備，這些設(shè)備需要實現(xiàn)動態(tài)的同虛擬節(jié)點的混合組網(wǎng)，這對網(wǎng)絡(luò)配置的靈活性也提出了極高的要求。

本系統(tǒng)擬采用上述三種技術(shù)混合的網(wǎng)絡(luò)虛擬化技術(shù)。VLAN技術(shù)，用于支持傳統(tǒng)的網(wǎng)絡(luò)組網(wǎng)方式，提高同各類物理網(wǎng)絡(luò)的兼容性;VXLAN用于實現(xiàn)虛擬化平臺內(nèi)部的網(wǎng)絡(luò)通信;SDN用來實現(xiàn)靈活的拓撲構(gòu)造以及虛實結(jié)合組網(wǎng)等功能。

3.3 靶場數(shù)據(jù)采集與分析相關(guān)技術(shù)

通過分析仿真過程中產(chǎn)生的各類數(shù)據(jù)，可以交給自動化評估模型引擎實現(xiàn)系統(tǒng)自動判定，也可以交給裁判主觀判定，還可以輸出給可視化展示系統(tǒng)。演練過程中需要采集的重要數(shù)據(jù)按主體可以分為網(wǎng)絡(luò)流量、主機行為等兩種，為了確保采集性能、降低用戶配置的復(fù)雜程度，網(wǎng)絡(luò)流量、主機行為等數(shù)據(jù)的采集盡量使用帶外的方式執(zhí)行，盡量少在終端（虛擬機）中安裝自定義的代理程序。

3.3.1 流量數(shù)據(jù)采集

網(wǎng)絡(luò)流量采集可以使用策略采集、網(wǎng)元采集兩種方式。策略采集由控制節(jié)點接收用戶指令后，對虛擬網(wǎng)元f一般是虛擬交換機）下發(fā)采集策略，將流量通過隧道或其他形式轉(zhuǎn)發(fā)至分析節(jié)點，完成虛擬流量采集。網(wǎng)元采集的方式是在hypervisor上運行agent代理，同時啟動專用的流量分析虛擬機。Agent接收控制節(jié)點的指令，完成網(wǎng)絡(luò)配置，將流量導(dǎo)人流量分析虛擬機，完成流量采集。與策略采集方案的不同之處在于，虛擬網(wǎng)元的配置不直接由控制器完成，并且采集的流量無須通過隧道等方式發(fā)送，而是直接進入本地虛擬機，減少網(wǎng)絡(luò)帶寬的占用。

對上述的兩種方案進行對比，使用網(wǎng)元采集更適合靶場系統(tǒng)使用。通過在每個hypervisor上運行代理程序，實現(xiàn)了一個分布式的采集架構(gòu)，將數(shù)據(jù)采集工作負荷均攤到每個計算節(jié)點中，具備更好的效率和穩(wěn)定性，且不存在瓶頸。

3.3.2 主機行為數(shù)據(jù)采集

主機行為的采集可以在終端主機上安裝應(yīng)用層Agent，或者使用virtio驅(qū)動直接由hypervisor層采集兩種形式。在主機上安裝應(yīng)用層最重要的缺陷是，當(dāng)網(wǎng)絡(luò)無法連通或者網(wǎng)絡(luò)結(jié)構(gòu)極為復(fù)雜時，難以實現(xiàn)向一個中心服務(wù)器報告采集數(shù)據(jù)的功能。所以使用virtio驅(qū)動進行主機層面的數(shù)據(jù)采集是比較理想的方案。通過Virtio技術(shù)，只需要在所有的虛擬機上安裝QEMUG uestAgent，便可以實現(xiàn)多種操作系統(tǒng)的帶外主機信息采集功能。

3.3.3 網(wǎng)絡(luò)流量數(shù)據(jù)分析

同數(shù)據(jù)采集相對應(yīng)，數(shù)據(jù)分析包含了網(wǎng)絡(luò)流量分析、主機行為分析兩個大類。在靶場系統(tǒng)中，主要涉及的技術(shù)是深度數(shù)據(jù)包檢測（Deep packet inspection，DPI）技術(shù)。DPI是一種特殊的網(wǎng)絡(luò)技術(shù)，一般網(wǎng)絡(luò)設(shè)備只會查看以太網(wǎng)頭部、IP頭部而不會分析TCP/UDP里面的內(nèi)容這種被稱為淺數(shù)據(jù)包檢測;與之對應(yīng)的DPI會檢查TCP/UDP里面的內(nèi)容，所以稱為DPI。

演練過程中需要重點分析的數(shù)據(jù)主要是各種應(yīng)用系統(tǒng)在正常運行過程中產(chǎn)生的正常業(yè)務(wù)流量和攻擊方執(zhí)行攻擊動作所產(chǎn)生的惡意流量，根據(jù)這些流量的相應(yīng)特征，判斷靶場內(nèi)的任務(wù)目標(biāo)達成情況、所使用的工具或技術(shù)以及部分工具的運行機理等。同時，這些流量經(jīng)過進一步的清洗后，提取出重要的部分，轉(zhuǎn)譯成實時攻防態(tài)勢系統(tǒng)的可視化數(shù)據(jù)流，用于驅(qū)動靶場內(nèi)的攻防可視化展示。

3.3.4 主機行為數(shù)據(jù)分析

攻防演練過程中，主機上發(fā)生的事件往往是判定任務(wù)執(zhí)行成功或成敗的關(guān)鍵，這也是靶場系統(tǒng)自動化判定機制最重要的數(shù)據(jù)支撐和來源。需要針對目標(biāo)系統(tǒng)中的各個主機在整個演練過程中所采集到的主機行為進行深入的分析，才能夠由系統(tǒng)自動判定任務(wù)的執(zhí)行效果，并給出詳細的任務(wù)執(zhí)行報告。

主機行為的數(shù)據(jù)分析相對網(wǎng)絡(luò)數(shù)據(jù)包的分析來說相對簡單，它是同演練科目強相關(guān)的。以“獲取目標(biāo)操作系統(tǒng)或應(yīng)用軟件特定訪問權(quán)限”這一任務(wù)目標(biāo)為例，我們可以通過主機行為監(jiān)測到的數(shù)據(jù)，判定以下行為符合任務(wù)預(yù)期，只要有一項完成便判定任務(wù)執(zhí)行成功：完成一次SSH連接、成功登錄到RDP遠程桌面、獲取數(shù)據(jù)庫系統(tǒng)遠程訪問權(quán)限、獲取WWW服務(wù)的后臺管理權(quán)限等。所以，主機行為的分析要結(jié)合特定的上下文進行定制，并沒有標(biāo)準(zhǔn)化的分析技術(shù)可遵循。

3.4 虛實結(jié)合組網(wǎng)技術(shù)

靶場系統(tǒng)對虛實結(jié)合組網(wǎng)的應(yīng)用要求不僅僅只是實現(xiàn)連通這樣簡單，而是需要將虛擬設(shè)備和物理設(shè)備抽象成同樣的主體去使用，使用這些設(shè)備靈活的構(gòu)成各種各樣的拓撲結(jié)構(gòu)。在分析了現(xiàn)在的各種技術(shù)的優(yōu)劣之后，選用虛擬交換機和SDN技術(shù)混合組網(wǎng)的基礎(chǔ)架構(gòu)方案。這種方案不僅僅能夠較好地解決各種虛擬設(shè)備和物理設(shè)備的接入問題，而且利用SDN技術(shù)的先天優(yōu)勢可以解決網(wǎng)絡(luò)結(jié)構(gòu)動態(tài)配置和調(diào)整的問題。此外這種方案部署更加方便、對物理網(wǎng)絡(luò)要求更低，也非常有利于后續(xù)的擴展和配置。虛實結(jié)合方案如圖3所示。

4 架構(gòu)設(shè)計

4.1 網(wǎng)絡(luò)部署方式

系統(tǒng)分為彈性計算區(qū)、系統(tǒng)管控區(qū)、物理設(shè)備接入?yún)^(qū)和演練接入?yún)^(qū)等幾個主要的網(wǎng)絡(luò)區(qū)域。根據(jù)演練的場地、形式、規(guī)模等要素，演練接人區(qū)可以設(shè)置一個或多個，該區(qū)域通過防火墻同彈性計算區(qū)相連接;彈性計算區(qū)是系統(tǒng)的核心區(qū)，它包含了計算節(jié)點集群和靶場應(yīng)用服務(wù)器，計算節(jié)點集群可以根據(jù)演練活動的規(guī)模動態(tài)的增加或減少計算節(jié)點，靶場應(yīng)用服務(wù)器提供演練活動所依賴的各個應(yīng)用系統(tǒng);系統(tǒng)管控區(qū)主要包含可視化系統(tǒng)以及裁判、運維人員席位。系統(tǒng)網(wǎng)絡(luò)部署方式如圖4所示。

4.2 靶場云

靶場系統(tǒng)主要由網(wǎng)絡(luò)環(huán)境構(gòu)建與仿真、數(shù)據(jù)采集、數(shù)據(jù)評估、態(tài)勢顯示、數(shù)據(jù)存儲、運維管理六個基礎(chǔ)部件和背景流量發(fā)生器、自動攻擊引擎、工具庫和知識庫四個增強部件組成。系統(tǒng)私有云構(gòu)建方式如圖5所示。

IaaS（基礎(chǔ)設(shè)施層）提供網(wǎng)絡(luò)環(huán)境仿真與構(gòu)建、數(shù)據(jù)采集等功能;DaaS（數(shù)據(jù)層）提供數(shù)據(jù)存儲與知識庫;PaaS（平臺層），包含流量發(fā)生器、自動攻擊引擎以及多類型探針代理;SaaS（軟件應(yīng)用層），則包含運維管理、數(shù)據(jù)中繼、探針管理、場景管理、任務(wù)管理、態(tài)勢可視化等多累用戶層應(yīng)用。而靶場云主要提供私有云抽象、物理設(shè)備抽象、異型數(shù)據(jù)采集融合、態(tài)勢引擎、橫向擴展等功能接口，因此靶場云架構(gòu)設(shè)計時要考慮虛擬機并發(fā)問題、實體設(shè)備接入問題、動態(tài)擴展能力、仿真度高低問題。

4.3 功能架構(gòu)

靶場功能由計算虛擬化模塊、網(wǎng)絡(luò)虛擬化模塊、靶場監(jiān)控模塊和靶場應(yīng)用模塊等四個主要模塊構(gòu)成。功能架構(gòu)圖如圖6所示。

計算虛擬化模塊用來支持使用KVM虛擬機、Docker容器等技術(shù)提供隔離的計算資源，使用一個統(tǒng)一的虛擬化抽象層同上層應(yīng)用溝通，即應(yīng)用在調(diào)取計算資源時，并不需要關(guān)心是使用KVM還是Docker實現(xiàn)的底層虛擬化技術(shù)，這不僅對開發(fā)人員很友好，而且能夠非常方便的擴充新的虛擬化技術(shù)。

網(wǎng)絡(luò)虛擬化模塊用于在靶場中生成符合訓(xùn)練意圖和要求的仿真網(wǎng)絡(luò)，使用虛擬網(wǎng)絡(luò)交換機連接各種虛擬節(jié)點并組成虛擬網(wǎng)絡(luò);使用設(shè)備接入交換機，將仿真網(wǎng)絡(luò)同物理存在的網(wǎng)絡(luò)相連接，方便接入各種實體設(shè)備。

靶場監(jiān)控模塊實時監(jiān)控靶場中存在的各種虛擬資源的運行參數(shù)、各虛擬計算資源的內(nèi)部運行狀態(tài)以及網(wǎng)絡(luò)流量，并能夠為流量分析模塊提供這些數(shù)據(jù)以進行進一步的分析。同時，監(jiān)控模塊獲取的數(shù)據(jù)也能夠同可視化系統(tǒng)進行對接，將靶場內(nèi)的網(wǎng)絡(luò)流量和相關(guān)活動轉(zhuǎn)譯為可視化數(shù)據(jù)流展示到大屏幕上。

靶場應(yīng)用模塊構(gòu)建在上述三個系統(tǒng)模塊之上，包含用戶接入、任務(wù)管理、場景管理以及效能評估等功能，為最終用戶提供各種應(yīng)用層功能和人機交互界面。支持多種場景和各類效能評估模板的管理，能夠滿足各類不同目的的訓(xùn)練活動的需求。

5 系統(tǒng)實現(xiàn)

系統(tǒng)擬采用B/S結(jié)構(gòu)，能夠避免c/s架構(gòu)頻繁升級客戶端程序、運行平臺受限等問題，利用最新的HTML5、WebGL等技術(shù)，能夠給用戶帶來良好的使用體驗。由于研究的系統(tǒng)為大型專用系統(tǒng)數(shù)據(jù)庫應(yīng)用，對穩(wěn)定性、可靠性要求較高，故考慮選用MariaDB作為平臺數(shù)據(jù)庫。所有接口擬采用RESTful架構(gòu)。該結(jié)構(gòu)清晰、符合標(biāo)準(zhǔn)、易于理解、擴展方便。RESTful從資源的角度來觀察整個網(wǎng)絡(luò)，分布在各處的資源由URI確定，而客戶端的應(yīng)用通過URI來獲取資源的表征。采用RESTful接口后，前后臺都可以很方便獲取資源，修改資源，刪除資源等等。借此設(shè)計的靶場仿真原型圖如圖7所示。

6 結(jié)論

系統(tǒng)通過私有云構(gòu)建、虛實結(jié)合、可視化拓撲編輯、場景自由剪切拼接、規(guī)模彈性擴展來實現(xiàn)大規(guī)模網(wǎng)絡(luò)快速構(gòu)建;采用“異型數(shù)據(jù)采集與融合”開放性架構(gòu)，按需部署采集探針，可對靶場環(huán)境內(nèi)外及系統(tǒng)硬件進行全維數(shù)據(jù)采集和數(shù)據(jù)融合，提供數(shù)據(jù)訪問接口，進而實現(xiàn)全維數(shù)據(jù)采集評估;通過里程碑快照實現(xiàn)、不同場景里程碑任意切換、極速重現(xiàn)來實現(xiàn)全時域場景重現(xiàn)和回放;基于拓撲結(jié)構(gòu)態(tài)勢、事件級攻防行為態(tài)勢、效果態(tài)勢、城市級靶場態(tài)勢、多維情報數(shù)據(jù)展示來實現(xiàn)多維態(tài)勢展示;使用ATT&CK等行為知識庫，結(jié)合AI技術(shù)，構(gòu)建行為仿真智能引擎，還原最為真實的對手行為模式和攻擊技術(shù)。通過在靶場系統(tǒng)中模擬真實業(yè)務(wù)系統(tǒng)，將以往風(fēng)險極大的針對生產(chǎn)系統(tǒng)的測試工作放到靶場中進行，再將靶場中發(fā)現(xiàn)的問題在生產(chǎn)環(huán)境中修復(fù)，從而實現(xiàn)業(yè)務(wù)系統(tǒng)的整體安全性提升。

參考文獻：

[1]方濱興，賈焰，李愛平，等，網(wǎng)絡(luò)空間靶場技術(shù)研究[J].信息安全學(xué)報，2016，1（3）：1-9.

[2]安彩虹.網(wǎng)絡(luò)靶場中動態(tài)可配置虛擬網(wǎng)絡(luò)技術(shù)研究與實現(xiàn)[D].長沙：國防科學(xué)技術(shù)大學(xué)，2015.

[3]吳怡晨，王軼駿，薛質(zhì).面向網(wǎng)絡(luò)空間的攻防靶場設(shè)計[J].通信技術(shù)，2017，50（10）：2349-2356.

[4]劉智國，于增明，王建，等.面向未來的網(wǎng)絡(luò)靶場體系架構(gòu)研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2018，37（6）：41-46.

[5]韓挺，李鑫，韓耀明.網(wǎng)絡(luò)空間安全靶場設(shè)計研究[J].信息安全研究，2018，4（5）：430-432.

[6]李煒，余慧英，吳華穎，網(wǎng)絡(luò)空間博弈中的場景研究[J].信息安全研究，2018，4（5）：415-419.

[7]耿如月，面向用戶數(shù)據(jù)安全的軟件定義云存儲研究[D].北京：北京郵電大學(xué)，2017.

[8]沈雪石，網(wǎng)絡(luò)空間攻防技術(shù)發(fā)展動向分析[J].國防科技，2017，38（4）：42-46.