王 鵬，馮 偉

（1.無(wú)錫職業(yè)技術(shù)學(xué)院物聯(lián)網(wǎng)技術(shù)學(xué)院，江蘇 無(wú)錫 214121；2.江南大學(xué)信息與控制國(guó)家級(jí)實(shí)驗(yàn)教學(xué)示范中心，江蘇 無(wú)錫 214122）

隨著我國(guó)經(jīng)濟(jì)和科技的發(fā)展，網(wǎng)絡(luò)安全人才缺口越來(lái)越大。在網(wǎng)絡(luò)安全人才需求持續(xù)升溫的背景下，網(wǎng)絡(luò)安全人才供給雖每年在穩(wěn)步遞增，但仍供小于求[1]。日漸增加的招聘崗位數(shù)，愈發(fā)精確的網(wǎng)絡(luò)安全崗位人才需求，亟須高校輸送更多更高質(zhì)量的人才。

網(wǎng)絡(luò)安全靶場(chǎng)是進(jìn)行網(wǎng)絡(luò)安全技術(shù)研究、網(wǎng)絡(luò)安全人才培養(yǎng)的重要平臺(tái)[2]。傳統(tǒng)網(wǎng)絡(luò)安全靶場(chǎng)使用開(kāi)源的云計(jì)算系統(tǒng)作為基礎(chǔ)平臺(tái)，多為基于虛擬化環(huán)境的模擬類靶場(chǎng)，靶場(chǎng)的針對(duì)性較強(qiáng)，但可擴(kuò)展性較差，課后總結(jié)分析和回溯推演功能較弱，只能稱作單一功能的靶場(chǎng)，無(wú)法實(shí)現(xiàn)更加精細(xì)粒度的網(wǎng)絡(luò)仿真，難以實(shí)現(xiàn)虛實(shí)設(shè)備互聯(lián)，難以擴(kuò)展仿真建模技術(shù)[3-4]。數(shù)字化網(wǎng)絡(luò)安全靶場(chǎng)則彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)安全靶場(chǎng)的缺點(diǎn)，它既是網(wǎng)絡(luò)安全技術(shù)平臺(tái)，又包含了在線網(wǎng)絡(luò)攻防學(xué)習(xí)環(huán)境、網(wǎng)絡(luò)安全賽事平臺(tái)、網(wǎng)絡(luò)安全技術(shù)測(cè)評(píng)研究平臺(tái)[5]。通過(guò)虛擬環(huán)境與真實(shí)設(shè)備相結(jié)合，模擬仿真出真實(shí)網(wǎng)絡(luò)空間攻防作戰(zhàn)環(huán)境。

建成完整統(tǒng)一、技術(shù)先進(jìn)、項(xiàng)目齊全、應(yīng)用深入、高效穩(wěn)定、安全可靠的數(shù)字化網(wǎng)絡(luò)安全靶場(chǎng)，不但可以滿足高校計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、物聯(lián)網(wǎng)應(yīng)用技術(shù)、云計(jì)算技術(shù)與應(yīng)用等相關(guān)專業(yè)的教學(xué)科研、技能實(shí)訓(xùn)、攻防演練等方面的應(yīng)用需求，同時(shí)還可以向包括網(wǎng)信、大數(shù)據(jù)、工信和電力、石油、化工等領(lǐng)域相關(guān)企事業(yè)單位提供安全人員訓(xùn)練、運(yùn)維防護(hù)、應(yīng)急響應(yīng)、系統(tǒng)測(cè)試等安全技術(shù)服務(wù)，具有重要的意義。

1 建設(shè)思路

真實(shí)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)攻防最能夠檢驗(yàn)網(wǎng)絡(luò)的安全防御能力，可以發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的安全風(fēng)險(xiǎn)[6-7]。在超逼真的網(wǎng)絡(luò)環(huán)境中，通過(guò)大規(guī)模攻擊訓(xùn)練、情景式防護(hù)訓(xùn)練、高強(qiáng)度紅藍(lán)對(duì)抗、全方位系統(tǒng)測(cè)試、多維度裝備測(cè)試等多種典型業(yè)務(wù)應(yīng)用，可以迅速?gòu)?qiáng)化個(gè)人實(shí)操水平、大幅提升團(tuán)隊(duì)整體能力、錘煉鍛造實(shí)戰(zhàn)策略運(yùn)用、深入挖掘系統(tǒng)潛在風(fēng)險(xiǎn)、全面評(píng)估裝備作戰(zhàn)表現(xiàn)[8-9]。本文研究構(gòu)建的思路：構(gòu)建一套接近實(shí)網(wǎng)環(huán)境下的數(shù)字化網(wǎng)絡(luò)安全靶場(chǎng)，首先系統(tǒng)平臺(tái)自主可控、安全可靠，可以提供各類設(shè)備接入及具有計(jì)算、存儲(chǔ)能力和資源；其次，系統(tǒng)采用模塊化設(shè)計(jì)，可以快速切換至不同的應(yīng)用場(chǎng)景，可以支撐教學(xué)、科研、演練、培訓(xùn)等多種需求；最后，可以通過(guò)攻防實(shí)戰(zhàn)演練及時(shí)有效地檢驗(yàn)網(wǎng)絡(luò)的防護(hù)效果。

2 網(wǎng)絡(luò)安全靶場(chǎng)架構(gòu)

數(shù)字化網(wǎng)絡(luò)安全靶場(chǎng)學(xué)習(xí)平臺(tái)采用分層設(shè)計(jì)，自下向上共分四層，依次是基礎(chǔ)設(shè)施層、核心支撐層、綜合應(yīng)用層、用戶接入層。平臺(tái)分層如圖1所示。

圖1 靶場(chǎng)分層架構(gòu)圖

第一層為基礎(chǔ)設(shè)施層，其底層使用私有云平臺(tái)，提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源和各類設(shè)備接入能力，真實(shí)設(shè)備通過(guò)匯聚專用設(shè)備和靶場(chǎng)虛實(shí)結(jié)合專用設(shè)備，可以接入云平臺(tái)，實(shí)現(xiàn)虛實(shí)結(jié)合的仿真網(wǎng)絡(luò)環(huán)境。

第二層為核心支撐層，它對(duì)系統(tǒng)軟件模塊化解耦，對(duì)網(wǎng)絡(luò)靶場(chǎng)功能引擎和資源中心進(jìn)行深度封裝，可實(shí)現(xiàn)定制化的場(chǎng)景。

第三層為綜合應(yīng)用層，它提供各種不同需求的靶場(chǎng)應(yīng)用，包括教學(xué)培訓(xùn)、比武競(jìng)賽、單兵訓(xùn)練、團(tuán)隊(duì)訓(xùn)練、紅藍(lán)對(duì)抗等主要功能。

第四層為用戶接入層，此層支持不同的用戶對(duì)象，覆蓋教學(xué)、科研、演練等多場(chǎng)景攻防人才培養(yǎng)需求。

3 網(wǎng)絡(luò)安全靶場(chǎng)功能

數(shù)字化網(wǎng)絡(luò)安全靶場(chǎng)應(yīng)具備四個(gè)主要功能：教育培訓(xùn)功能、單兵訓(xùn)練功能、團(tuán)隊(duì)訓(xùn)練功能、紅藍(lán)對(duì)抗功能。

3.1 教育培訓(xùn)功能

數(shù)字化網(wǎng)絡(luò)安全靶場(chǎng)內(nèi)置了“信息安全技術(shù)”“Web安全技術(shù)”“數(shù)據(jù)庫(kù)原理與安全”“逆向工程”“數(shù)字取證技術(shù)”“無(wú)線網(wǎng)絡(luò)安全”等多門課程資源，課程資源包含PPT課件、操作視頻、實(shí)驗(yàn)仿真環(huán)境。教師以教員身份登錄平臺(tái)可進(jìn)行教學(xué)管理，包括課程管理、學(xué)習(xí)統(tǒng)計(jì)、布置與批改作業(yè)。學(xué)生以學(xué)員身份登錄平臺(tái)，可以查看課件、啟動(dòng)實(shí)驗(yàn)仿真環(huán)境、根據(jù)操作視頻或者實(shí)驗(yàn)指導(dǎo)書完成實(shí)驗(yàn)與課后作業(yè)，并提交給老師批改。數(shù)字化網(wǎng)絡(luò)安全靶場(chǎng)的教育培訓(xùn)功能可服務(wù)于高職院校網(wǎng)絡(luò)安全教學(xué)、師資培訓(xùn)、網(wǎng)絡(luò)安全企業(yè)培訓(xùn)、社會(huì)培訓(xùn)等任務(wù)。教學(xué)仿真界面如圖2所示。

圖2 教學(xué)仿真實(shí)驗(yàn)環(huán)境

3.2 單兵訓(xùn)練功能

單兵訓(xùn)練為用戶提供網(wǎng)絡(luò)安全作戰(zhàn)的個(gè)人技能訓(xùn)練功能。用戶可以自由地進(jìn)行單人作戰(zhàn)訓(xùn)練，訓(xùn)練方向分為攻擊訓(xùn)練、防御訓(xùn)練、漏洞驗(yàn)證等多個(gè)類型。學(xué)員可根據(jù)訓(xùn)練需要選擇適合自己的訓(xùn)練難度，按照平臺(tái)提供的訓(xùn)練任務(wù)矩陣完成該場(chǎng)景的訓(xùn)練任務(wù)，在學(xué)員執(zhí)行單兵訓(xùn)練任務(wù)時(shí)，可隨時(shí)查看平臺(tái)提供的訓(xùn)練手冊(cè)，該手冊(cè)可輔助學(xué)員完成任務(wù)。訓(xùn)練場(chǎng)景可根據(jù)學(xué)員的需要隨時(shí)啟動(dòng)和關(guān)閉。單兵訓(xùn)練資源如圖3所示。

圖3 單兵訓(xùn)練資源圖

3.3 團(tuán)隊(duì)訓(xùn)練功能

團(tuán)隊(duì)訓(xùn)練為用戶提供信息安全團(tuán)隊(duì)協(xié)作訓(xùn)練功能。團(tuán)隊(duì)訓(xùn)練有教員和學(xué)員兩種系統(tǒng)角色設(shè)定。教員主要負(fù)責(zé)訓(xùn)練的創(chuàng)建、過(guò)程導(dǎo)調(diào)、訓(xùn)練效果評(píng)估、訓(xùn)練結(jié)果回顧等內(nèi)容。教員根據(jù)訓(xùn)練大綱或考核目標(biāo)，從預(yù)置的任務(wù)庫(kù)快速導(dǎo)入相應(yīng)的訓(xùn)練任務(wù)方案，下發(fā)給受訓(xùn)學(xué)員，學(xué)員按照教員給定的訓(xùn)練項(xiàng)目進(jìn)行團(tuán)隊(duì)綜合訓(xùn)練，在訓(xùn)練過(guò)程中可以查看訓(xùn)練手冊(cè)并根據(jù)任務(wù)引導(dǎo)，在預(yù)先配套的網(wǎng)絡(luò)場(chǎng)景中，自行進(jìn)行實(shí)踐操作，并上報(bào)結(jié)果。靶場(chǎng)實(shí)時(shí)給用戶計(jì)分，評(píng)定成績(jī)得分。

3.4 紅藍(lán)對(duì)抗功能

靶場(chǎng)可支持為用戶開(kāi)展紅藍(lán)對(duì)抗演練。用戶可根據(jù)對(duì)抗訓(xùn)練任務(wù)目標(biāo)，依托靶標(biāo)庫(kù)和靶場(chǎng)預(yù)置的場(chǎng)景，選擇已有或編輯生成與對(duì)抗訓(xùn)練任務(wù)匹配的場(chǎng)景。紅藍(lán)對(duì)抗有管理員、導(dǎo)演、裁判、紅方和藍(lán)方共5種角色。①管理員：演訓(xùn)靶場(chǎng)的創(chuàng)建者，負(fù)責(zé)靶場(chǎng)的創(chuàng)建、維護(hù)和管理工作。②導(dǎo)演：控制演訓(xùn)活動(dòng)流程，對(duì)演訓(xùn)活動(dòng)進(jìn)行導(dǎo)調(diào)，包括任務(wù)調(diào)度、事件管理、進(jìn)度控制等。③裁判：對(duì)演訓(xùn)活動(dòng)進(jìn)行裁定評(píng)判，包括設(shè)置數(shù)據(jù)采集、評(píng)判任務(wù)完成情況以及監(jiān)控演訓(xùn)過(guò)程。④藍(lán)方：演訓(xùn)活動(dòng)中的攻擊方，受訓(xùn)用戶，主要操作是完成導(dǎo)演下發(fā)的攻擊任務(wù)，對(duì)紅方網(wǎng)絡(luò)進(jìn)行攻擊。⑤紅方：演訓(xùn)活動(dòng)中的防御方，受訓(xùn)用戶，主要操作是完成導(dǎo)演下發(fā)的防御任務(wù)，防御藍(lán)方對(duì)己方網(wǎng)絡(luò)的攻擊。靶場(chǎng)支持?jǐn)?shù)據(jù)態(tài)勢(shì)展示功能，將數(shù)據(jù)采集系統(tǒng)所采集的各類監(jiān)控?cái)?shù)據(jù)，以及靶場(chǎng)活動(dòng)中用戶操作產(chǎn)生的關(guān)鍵數(shù)據(jù)經(jīng)統(tǒng)計(jì)分析后，形成可視化數(shù)據(jù)展示。圖4為紅藍(lán)對(duì)抗態(tài)勢(shì)圖。

圖4 紅藍(lán)對(duì)抗態(tài)勢(shì)圖

4 結(jié)束語(yǔ)

與傳統(tǒng)網(wǎng)絡(luò)安全靶場(chǎng)相比，數(shù)字化靶場(chǎng)具有大規(guī)模攻擊訓(xùn)練、情景式防護(hù)訓(xùn)練、高強(qiáng)度紅藍(lán)對(duì)抗、全方位系統(tǒng)測(cè)試、多維度裝備測(cè)試等功能。利用人工智能、仿真技術(shù)，可以進(jìn)一步實(shí)現(xiàn)現(xiàn)實(shí)社會(huì)與虛擬世界的深度融合和擴(kuò)展。通過(guò)數(shù)字化靶場(chǎng)提供的課程資源，能很好地完成教學(xué)任務(wù)和培訓(xùn)任務(wù)，通過(guò)多種形式的網(wǎng)絡(luò)攻防對(duì)抗練習(xí)和比賽，提高學(xué)生的網(wǎng)絡(luò)安全知識(shí)和技能，能夠更好地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。■