網(wǎng)絡(luò)空間安全靶場設(shè)計研究

韓 挺 李 鑫 韓耀明

(北京安碼科技有限公司 北京 100876)

(hanting@safe-code.com)

網(wǎng)絡(luò)空間被譽為國家的第五空間,其安全性關(guān)系著國家的穩(wěn)定與發(fā)展.從國際上來看，當(dāng)前網(wǎng)絡(luò)空間安全形勢嚴(yán)峻.從個人信息泄露、勒索病毒爆發(fā)，到俄羅斯黑客影響美國大選、烏克蘭因為黑客攻擊大規(guī)模停電等事件，凸顯出網(wǎng)絡(luò)空間安全已經(jīng)從影響個人信息安全發(fā)展到了組織間、國家間的斗爭，從個人興趣愛好發(fā)展到了團隊以營利為目的，甚至是帶有政治色彩的較量.

習(xí)近平總書記提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”[1].而網(wǎng)絡(luò)空間安全靶場正是保障國家網(wǎng)絡(luò)空間安全、培育網(wǎng)絡(luò)空間安全人才、實驗網(wǎng)絡(luò)空間安全技術(shù)的關(guān)鍵基礎(chǔ)設(shè)施.

1 國內(nèi)外網(wǎng)絡(luò)空間安全靶場發(fā)展現(xiàn)狀

1.1 國外發(fā)展現(xiàn)狀

網(wǎng)絡(luò)靶場發(fā)展最好的是美國，不僅建成多個小型網(wǎng)絡(luò)靶場，國家靶場建設(shè)方面也取得進展[2].在此影響下，包括英國、俄羅斯、日本在內(nèi)的多個國家紛紛建立自己的網(wǎng)絡(luò)靶場，有力支撐起了國家網(wǎng)絡(luò)空間安全相關(guān)工程和科研工作.

國外網(wǎng)絡(luò)靶場的發(fā)展可大致分為3個階段:第1階段為戰(zhàn)術(shù)性靶場，針對單獨的木馬類攻擊武器建立的實物高逼真型靶標(biāo)時期；第2階段為小型戰(zhàn)役級靶場，是小型虛擬化互聯(lián)網(wǎng)靶場時期；第3階段戰(zhàn)役及戰(zhàn)略級靶場是2014年開始的支撐泛在網(wǎng)的大型虛實結(jié)合網(wǎng)絡(luò)空間靶場時期.在此階段，各國紛紛開始研究虛實結(jié)合的網(wǎng)絡(luò)空間靶場技術(shù)，包括美國國家靶場、北約NATO靶場和歐洲正在建設(shè)的網(wǎng)絡(luò)攻防靶場等.

1.2 國內(nèi)發(fā)展現(xiàn)狀

我國網(wǎng)絡(luò)靶場建設(shè)相對于國外發(fā)展較為滯后，目前研究僅限于少數(shù)研究院和實驗室.研究內(nèi)容也多專注于虛擬化攻防模擬、攻防工具實驗等[3].靶場規(guī)模目前僅限于組織內(nèi)部小范圍使用，多采用通過虛擬機方案實現(xiàn)模擬仿真.從應(yīng)用方面來看，我國目前靶場主要用于教學(xué)和培訓(xùn)，不足以支撐體系化的網(wǎng)絡(luò)空間安全研究和測評.從新技術(shù)角度來講，現(xiàn)有靶場尚不足以支撐新興技術(shù)測試和驗證，例如大數(shù)據(jù)、量子計算等.因此，我國在國家網(wǎng)絡(luò)靶場建設(shè)方面與國際上還存在著不小的差距.

2 網(wǎng)絡(luò)空間安全靶場總體設(shè)計

網(wǎng)絡(luò)空間安全靶場實現(xiàn)的主要功能為網(wǎng)絡(luò)空間安全攻防對抗、安全測評、科研創(chuàng)新和人才培訓(xùn).為了支撐上述功能，網(wǎng)絡(luò)空間安全靶場將建設(shè)“一池五域”，其中“一池”為虛擬化資源池，為靶場提供整體的資源管理、調(diào)度等；“五域”分別為攻擊域、防守域、仿真域、動態(tài)安全防護域、實訓(xùn)域.攻擊域支撐靶場攻擊功能，并提供攻擊工具等；防守域是支撐靶場安全防護功能，提供安全防護工具；仿真域支撐靶場的場景仿真，提供靶場靶標(biāo)；實訓(xùn)域支撐靶場的人才培訓(xùn)和實驗教學(xué)；動態(tài)安全防護域通過引入動態(tài)安全概念將真實攻擊流量引入靶場.下面將按照“一池五域”的順序?qū)Π袌鲋懈鞑糠值墓δ苓M行詳細(xì)說明.靶場總體設(shè)計思路如圖1所示:

圖1 靶場設(shè)計總圖

2.1 虛擬資源池

采用虛擬化技術(shù)對硬件等資源進行管理，形成虛擬化資源池，該資源池能夠?qū)崿F(xiàn)資源的按需動態(tài)快速供給[4].通過實現(xiàn)虛擬化資源池可以實現(xiàn)統(tǒng)一門戶管理Power及X86資源；借助虛擬化架構(gòu)管控統(tǒng)一規(guī)范，推進靶場IT管理能力；通過虛擬化平臺統(tǒng)一管理Power及X86資源池,減輕運維工作，降低維護成本.

2.2 攻擊域

攻擊域主要支撐靶場的攻擊功能.靶場攻擊域?qū)⒁罁?jù)靶場要求提供攻擊行為管理、攻擊工具管控、攻擊結(jié)果判定以及攻擊成果展示等功能[5].其中攻擊行為管理實現(xiàn)了對靶場攻擊行為的整體管理，避免出現(xiàn)非法攻擊行為；攻擊工具管控實現(xiàn)了靶場中攻擊的管理、調(diào)用、維護等功能；攻擊結(jié)果判定則是對攻擊的成果進行分析并給出整個攻防過程的成果判定；攻擊成果展示功能實現(xiàn)了對攻擊結(jié)果的展示，為用戶進一步了解攻擊過程提供了基礎(chǔ).

2.3 防守域

防守域主要是提供了整個靶場的防守功能，提供安全防護機制和安全防護工具管理[6].防守域可以提供可編排方式和自定義方式；其中可編排方式即按照一定的數(shù)據(jù)流量過程編排防護工具的部署，自定義方式則是按照對攻擊狀況的判斷，配備相應(yīng)的安全防護工具.

2.4 仿真域

仿真域主要實現(xiàn)了靶場中的靶標(biāo)建設(shè)、存儲和管理.仿真域目前包括虛擬化的主機仿真、網(wǎng)絡(luò)仿真以及應(yīng)用仿真[7].仿真域中可以采用上述仿真方式搭建逼真的面向工控、大數(shù)據(jù)、互聯(lián)網(wǎng)等方向的靶標(biāo)，并結(jié)合現(xiàn)有的安全漏洞和安全威脅，構(gòu)建專門的仿真靶標(biāo)以便于用戶使用.

2.5 動態(tài)安全防護域

以往國內(nèi)靶場缺乏真實對抗的能力，為此本文設(shè)計的靶場引入了動態(tài)安全防護功能.動態(tài)安全防護功能采用軟件定義網(wǎng)絡(luò)的方式，實現(xiàn)了攻擊流量誘導(dǎo)，將真實環(huán)境中發(fā)現(xiàn)的攻擊引入到靶場中，從而可以在靶場中對當(dāng)前發(fā)生的真實攻擊進行分析，提出相對應(yīng)的安全防護手段[8-9].

2.6 實訓(xùn)域

實訓(xùn)域是基于云虛擬化技術(shù)與網(wǎng)絡(luò)安全滲透測試領(lǐng)域的技術(shù)，實現(xiàn)的教學(xué)實戰(zhàn)平臺.實訓(xùn)域通過云計算管理平臺為網(wǎng)絡(luò)安全攻防實戰(zhàn)虛擬各種實訓(xùn)環(huán)境，平臺以攻擊與防護理論為指導(dǎo)，以全面逼真的網(wǎng)絡(luò)攻防環(huán)境為支撐，以豐富全面的攻防腳本知識庫為保障，全面提升學(xué)員的網(wǎng)絡(luò)安全攻防實戰(zhàn)技能[10].

3 結(jié) 語

國家網(wǎng)絡(luò)空間靶場是安全攻防對抗演練場，安全測評、科研技術(shù)創(chuàng)新和網(wǎng)安人才培訓(xùn)的搖籃.本文在分析了國內(nèi)外網(wǎng)絡(luò)空間安全靶場建設(shè)情況的背景下，提出一種由““一池五域””構(gòu)成的新型靶場模型.新提出的靶場模型不僅能夠滿足傳統(tǒng)的網(wǎng)絡(luò)空間安全攻防對抗、安全測評、科研技術(shù)創(chuàng)新和網(wǎng)安人才培訓(xùn)四大功能，還能夠?qū)崿F(xiàn)動態(tài)安全防御等新興功能.本文所提網(wǎng)絡(luò)空間靶場模型對國家進一步建設(shè)網(wǎng)絡(luò)空間安全靶場具有指導(dǎo)意義.

參考文獻

[1]人民網(wǎng). 習(xí)近平的網(wǎng)絡(luò)觀: 沒有網(wǎng)絡(luò)安全就沒有國家安全[EB/OL]. 中國共產(chǎn)黨新聞網(wǎng), (2014-11-20) [2018-04-15]. http://cpc.people.com.cn/xuexi/n/2014/1120/c385475-26061137.html

[2]程靜, 雷璟, 袁雪芬. 國家網(wǎng)絡(luò)靶場的建設(shè)與發(fā)展[J]. 中國電子科學(xué)研究院學(xué)報, 2014, 9(5): 446-452

[3]李秋香, 郝文江, 李翠翠, 等. 國外網(wǎng)絡(luò)靶場技術(shù)現(xiàn)狀及啟示[J]. 信息網(wǎng)絡(luò)安全, 2014, 14(9): 63-68

[4]趙象元. 用于網(wǎng)絡(luò)靶場的攻擊行為實時跟蹤分析方法: 中國, CN105915536A[P]. 2016-05-25

[5]韓衛(wèi)國, 徐明迪. 面向賽博空間的網(wǎng)絡(luò)靶場建設(shè)思路[J]. 計算機與數(shù)字工程, 2015, 47(8): 1465-1470

[6]陳灝, 辛陽. 基于虛擬化技術(shù)的網(wǎng)絡(luò)靶場的研究與實現(xiàn)[EB/OL]. (2016-11-14) [2018-04-15]. http://www.paper.edu.cn/releasepaper/content/201611-172

[7]李進, 冷濤. 公安高校網(wǎng)絡(luò)靶場的構(gòu)建[J]. 四川警察學(xué)院學(xué)報, 2017, 29(5): 83-86

[8]張宇, 秘建寧, 李志鵬. 一種對網(wǎng)絡(luò)靶場進行評價的方法: 中國, CN106203627A[P]. 2016-07-08

[9]郝文江, 陳亞飛. 網(wǎng)絡(luò)靶場: 不影響基礎(chǔ)設(shè)施正常運轉(zhuǎn)的安全審查技術(shù)[J]. 信息安全與通信保密, 2014, 1(8): 55-56

[10]邢瑋. Ixia的網(wǎng)絡(luò)靶場——Cyber Range[J]. 電信網(wǎng)技術(shù), 2014, 25(9): 75-78