高等院校網(wǎng)絡(luò)靶場(chǎng)建設(shè)的需求分析及架構(gòu)功能設(shè)計(jì)

摘? 要：高等院校網(wǎng)絡(luò)靶場(chǎng)要求能提供豐富的模擬設(shè)備，同時(shí)模擬多個(gè)分級(jí)分域的虛實(shí)互聯(lián)的實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境，支持授權(quán)用戶在此環(huán)境中進(jìn)行多種場(chǎng)景的實(shí)驗(yàn)、測(cè)試和競(jìng)賽，并能支持較大規(guī)模的應(yīng)用安全訓(xùn)練場(chǎng)景模擬。本文在網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、節(jié)點(diǎn)模擬和環(huán)境構(gòu)建上進(jìn)行設(shè)計(jì)，并按院校的教學(xué)科研需求將靶場(chǎng)按三個(gè)維度進(jìn)行驅(qū)動(dòng)：分別是以課堂為基礎(chǔ)的模塊，自定義進(jìn)度的安全挑戰(zhàn)，以團(tuán)隊(duì)為基礎(chǔ)的動(dòng)態(tài)練習(xí)，以此滿足高等院校建設(shè)網(wǎng)絡(luò)靶場(chǎng)的教學(xué)科研等需要。

關(guān)鍵詞： 網(wǎng)絡(luò)靶場(chǎng);需求分析;架構(gòu);功能

Abstract： The cyber range of colleges and universities is required to provide a wealth of simulation equipment; simulate the virtual and real interconnected experimental network environment of multiple levels and sub domains at the same time; support authorized users to carry out experiments， tests and competitions in this environment; and support large-scale application security training scenario simulation. This paper conducts network topology design， node simulation and environment construction， and drives cyber range in three dimensions according to the teaching and scientific research requirements of colleges and universities. These requirements are related to modules used in classrooms， safety challenges of customized schedules， and dynamic practices of teams， so to satisfy teaching and scientific research requirements in the construction of cyber range in colleges and universities.

Keywords： cyber range; requirements analysis; framework; function

1? ?引言（Introduction）

隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)深入到了社會(huì)生活的方方面面，從虛擬走向了實(shí)際的物理世界。伊朗核電事件和烏克蘭電廠事件標(biāo)志著網(wǎng)絡(luò)安全已經(jīng)從信息泄露轉(zhuǎn)化成與人們的生命財(cái)產(chǎn)相關(guān)的國(guó)家基礎(chǔ)設(shè)施的安全，是一個(gè)關(guān)系著國(guó)家安全和主權(quán)、社會(huì)的穩(wěn)定的重要問(wèn)題。

在這種網(wǎng)絡(luò)空間對(duì)抗形勢(shì)日趨嚴(yán)峻的情況下，基于網(wǎng)絡(luò)仿真與效果評(píng)估關(guān)鍵技術(shù)構(gòu)建的網(wǎng)絡(luò)靶場(chǎng)意義就愈發(fā)顯得重要[1]。它能夠?qū)W(wǎng)絡(luò)技術(shù)進(jìn)行演示驗(yàn)證、對(duì)網(wǎng)絡(luò)攻防武器裝備進(jìn)行研制試驗(yàn)和作戰(zhàn)試驗(yàn)、對(duì)作戰(zhàn)效能進(jìn)行定量定性評(píng)估、對(duì)網(wǎng)絡(luò)攻防技術(shù)人員進(jìn)行訓(xùn)練演練。

美國(guó)、日本、英國(guó)和加拿大等國(guó)均高度重視網(wǎng)絡(luò)靶場(chǎng)建設(shè)，將其作為支撐網(wǎng)絡(luò)空間安全技術(shù)驗(yàn)證、網(wǎng)絡(luò)武器試驗(yàn)、攻防對(duì)抗演練和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的重要手段。我國(guó)網(wǎng)絡(luò)安全問(wèn)題嚴(yán)重，每年的經(jīng)濟(jì)損失達(dá)數(shù)百億美元，網(wǎng)絡(luò)靶場(chǎng)研究成果 如能很好地推廣，將惠及網(wǎng)絡(luò)安全相關(guān)企業(yè)及網(wǎng)民，可提高企業(yè)的核心競(jìng)爭(zhēng)力及網(wǎng)民的安全意識(shí)與能力，從而極大的減少經(jīng)濟(jì)損失。因此，無(wú)論是從保證國(guó)家安全、維護(hù)社會(huì)穩(wěn)定以及產(chǎn)業(yè)發(fā)展、減少經(jīng)濟(jì)損失等方面，網(wǎng)絡(luò)靶場(chǎng)都具有廣闊的應(yīng)用前景，具有很高的社會(huì)和經(jīng)濟(jì)效益[2]。

2? ?需求分析（Requirements analysis）

網(wǎng)絡(luò)靶場(chǎng)是針對(duì)網(wǎng)絡(luò)攻防演練和網(wǎng)絡(luò)新技術(shù)評(píng)測(cè)的重要基礎(chǔ)設(shè)施用來(lái)提高網(wǎng)絡(luò)和信息系統(tǒng)的穩(wěn)定性、安全性和性能，培養(yǎng)實(shí)戰(zhàn)型的網(wǎng)絡(luò)安全人才隊(duì)伍。網(wǎng)絡(luò)靶場(chǎng)的主要作用[3]包括：（1）網(wǎng)絡(luò)攻防武器評(píng)測(cè)驗(yàn)證：新型網(wǎng)絡(luò)攻防武器研制出來(lái)之后，需要對(duì)其進(jìn)行測(cè)試驗(yàn)證，是否能有效攻破敵方防護(hù)系統(tǒng)，以及是否能有效保護(hù)我方目標(biāo)系統(tǒng);（2）科學(xué)試驗(yàn)和新技術(shù)驗(yàn)證：網(wǎng)絡(luò)空間科研 人員研制出新的網(wǎng)絡(luò)協(xié)議，新型網(wǎng)絡(luò)設(shè)備，以及不同網(wǎng)絡(luò)新技術(shù)，在網(wǎng)絡(luò)空間上功能和性能如何，也需要進(jìn)行驗(yàn)證;（3）支持人員培訓(xùn)與演練：隨著新型網(wǎng)絡(luò)攻防武器的研發(fā)，具體網(wǎng)絡(luò)安全人員能否有效掌握，網(wǎng)絡(luò)靶場(chǎng)可以對(duì)其進(jìn)行有效的評(píng)估。

總結(jié)以上需求的共性，網(wǎng)絡(luò)靶場(chǎng)最基本的需求是模擬用戶需要的網(wǎng)絡(luò)環(huán)境并支撐網(wǎng)絡(luò)環(huán)境的運(yùn)行，支撐用戶在模擬的網(wǎng)絡(luò)環(huán)境中完成用戶的任務(wù)，在任務(wù)完成后保存任務(wù)數(shù)據(jù)，釋放模擬的網(wǎng)絡(luò)環(huán)境占用的資源并支持資源的重用。 因此，從模擬對(duì)象和試驗(yàn)任務(wù)兩個(gè)方面分析網(wǎng)絡(luò)靶場(chǎng)需求。

具體到校園環(huán)境，總結(jié)需求如表1所示。

3? ?特點(diǎn)分析（Characteristics analysis）

高等院校網(wǎng)絡(luò)靶場(chǎng)要求能提供豐富的模擬設(shè)備，同時(shí)支撐模擬多個(gè)分級(jí)分域的虛實(shí)互聯(lián)的隔離實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境，并支持授權(quán)用戶在此環(huán)境中進(jìn)行多種場(chǎng)景的實(shí)驗(yàn)或者測(cè)試。網(wǎng)絡(luò)靶場(chǎng)支持大規(guī)模的網(wǎng)絡(luò)應(yīng)用（訓(xùn)練）場(chǎng)景模擬。通過(guò)在網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、節(jié)點(diǎn)模擬和環(huán)境構(gòu)建上的一系列設(shè)計(jì)，支持用戶構(gòu)建大規(guī)模的網(wǎng)絡(luò)環(huán)境，以滿足網(wǎng)絡(luò)靶場(chǎng)模擬實(shí)際應(yīng)用的需要。

在模擬試驗(yàn)網(wǎng)絡(luò)環(huán)境方面，網(wǎng)絡(luò)靶場(chǎng)應(yīng)在實(shí)物、虛擬機(jī)和容器三個(gè)層級(jí)提供各種類(lèi)型的網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備[4]，以滿足用戶對(duì)設(shè)備模擬的不同逼真度的需要，同時(shí)也提供流量和用戶行為模擬的支持。靶場(chǎng)也提供合作伙伴的模擬設(shè)備類(lèi)型，便于實(shí)現(xiàn)模擬的精細(xì)化。

在試驗(yàn)支撐上，網(wǎng)絡(luò)靶場(chǎng)按實(shí)驗(yàn)準(zhǔn)備、實(shí)驗(yàn)運(yùn)行和實(shí)驗(yàn)收尾三個(gè)階段，采用訓(xùn)練配置工具，提供實(shí)驗(yàn)資源準(zhǔn)備、實(shí)驗(yàn)環(huán)境設(shè)計(jì)、實(shí)驗(yàn)環(huán)境部署、實(shí)驗(yàn)任務(wù)設(shè)計(jì)、實(shí)驗(yàn)數(shù)據(jù)采集配置、實(shí)驗(yàn)數(shù)據(jù)分析規(guī)則配置、人員管理、人員權(quán)限管理、環(huán)境訪問(wèn)支撐、實(shí)驗(yàn)態(tài)勢(shì)展示、實(shí)驗(yàn)環(huán)境管控、實(shí)驗(yàn)過(guò)程管控、銷(xiāo)毀實(shí)驗(yàn)環(huán)境的支撐等。同時(shí)提供子網(wǎng)模板、環(huán)境模板和實(shí)驗(yàn)?zāi)０澹С謱?shí)驗(yàn)人員復(fù)用網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)和實(shí)驗(yàn)的設(shè)計(jì)。使用子網(wǎng)模板和環(huán)境模板，便于實(shí)驗(yàn)人員將典型的網(wǎng)絡(luò)結(jié)構(gòu)存儲(chǔ)起來(lái)，從而降低了重構(gòu)實(shí)驗(yàn)的人工成本。

網(wǎng)絡(luò)靶場(chǎng)中的流量發(fā)生器可提供在實(shí)驗(yàn)環(huán)境產(chǎn)生良性數(shù)據(jù)流量，并實(shí)現(xiàn)網(wǎng)絡(luò)中的設(shè)備運(yùn)行狀態(tài)和流量的采集，節(jié)點(diǎn)采集內(nèi)容包括節(jié)點(diǎn)的CPU、內(nèi)存、硬盤(pán)利用率，文件變化情況、注冊(cè)表變化情況、端口開(kāi)放情況、流量、網(wǎng)絡(luò)連接情況和進(jìn)程變化等。

網(wǎng)絡(luò)靶場(chǎng)提供基于場(chǎng)景的評(píng)估模型，支持正確性評(píng)估和量化評(píng)估，并提供可自定義的分析規(guī)則定義，允許用戶根據(jù)需要編寫(xiě)分析規(guī)則，利用采集數(shù)據(jù)進(jìn)行分析評(píng)估[5]。網(wǎng)絡(luò)靶場(chǎng)基于網(wǎng)絡(luò)拓?fù)浜筒杉瘮?shù)據(jù)的分析結(jié)果展示實(shí)驗(yàn)態(tài)勢(shì)。網(wǎng)絡(luò)靶場(chǎng)提供豐富的基礎(chǔ)資源庫(kù)，包括鏡像資源、靶機(jī)資源、攻防軟件和典型攻防場(chǎng)景等，為實(shí)驗(yàn)人員使用網(wǎng)絡(luò)靶場(chǎng)提供資源和使用的范例。

4? 架構(gòu)設(shè)計(jì)與功能分析（Architecture design and function analysis）

4.1? ?介紹

院校環(huán)境的網(wǎng)絡(luò)靶場(chǎng)以需求確定、任務(wù)設(shè)定、資源配置、運(yùn)行部署、實(shí)驗(yàn)運(yùn)行、數(shù)據(jù)采集和結(jié)果評(píng)估作為網(wǎng)絡(luò)安全實(shí)驗(yàn)的業(yè)務(wù)流程展開(kāi)，以支撐網(wǎng)絡(luò)安全實(shí)驗(yàn)的整個(gè)生命周期。利用網(wǎng)絡(luò)靶場(chǎng)，可以快速構(gòu)建大規(guī)模的網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境，并展開(kāi)相關(guān)的網(wǎng)絡(luò)安全實(shí)驗(yàn)，在研究完成后可以釋放資源并再利用資源，同時(shí)系統(tǒng)提供的環(huán)境模板和實(shí)驗(yàn)?zāi)０骞δ芸梢灾苯又貥?gòu)實(shí)驗(yàn)，從而為分階段的周期性實(shí)驗(yàn)提供了便利。

4.2? ?技術(shù)架構(gòu)

網(wǎng)絡(luò)靶場(chǎng)的技術(shù)架構(gòu)如圖1所示。

此架構(gòu)提供了一種側(cè)重于操作的方法，通過(guò)角色和任務(wù)來(lái)測(cè)試個(gè)人和網(wǎng)絡(luò)防護(hù)團(tuán)隊(duì)的技能和能力。在這個(gè)框架中，每個(gè)用戶都可以分配到一個(gè)學(xué)習(xí)計(jì)劃，這個(gè)計(jì)劃為衡量個(gè)體的熟練程度和整體進(jìn)步提供獨(dú)特的評(píng)分方法。

利用上面圖中所示的框架，可以推動(dòng)學(xué)生的網(wǎng)絡(luò)防御能力形成。整個(gè)靶場(chǎng)可以按三個(gè)維度進(jìn)行驅(qū)動(dòng)：分別是以課堂為基礎(chǔ)的模塊，自定義進(jìn)度的安全挑戰(zhàn)，以團(tuán)隊(duì)為基礎(chǔ)的動(dòng)態(tài)練習(xí)。

（1）基于課堂基礎(chǔ)知識(shí)的實(shí)驗(yàn)?zāi)K覆蓋四個(gè)層次，如表2所示。

（2）自定義的安全挑戰(zhàn)涉及的五個(gè)主題類(lèi)別，如表3所示。

（3）基于團(tuán)隊(duì)的動(dòng)態(tài)訓(xùn)練內(nèi)容，內(nèi)容描述如表4所示。

5? ?結(jié)論（Conclusion）

高等院校自行開(kāi)發(fā)網(wǎng)絡(luò)靶場(chǎng)的優(yōu)劣勢(shì)分析：自行搭建基于校園環(huán)境的靶場(chǎng)的主要優(yōu)點(diǎn)是可以完全自行定制，讓它更符合學(xué)生，院系及課程的要求，建設(shè)團(tuán)隊(duì)自己從底層開(kāi)始搭建自己的定制化靶場(chǎng)，最終建成的網(wǎng)絡(luò)靶場(chǎng)應(yīng)更符合最初的計(jì)劃和設(shè)想，并且更加適合院校使用。但更多的實(shí)踐告訴我們：網(wǎng)絡(luò)靶場(chǎng)的復(fù)雜性，要完成任務(wù)的數(shù)量將變成沉重的負(fù)擔(dān)，同時(shí)隱性費(fèi)用的也將持續(xù)不斷上升。高等院校自建靶場(chǎng)對(duì)建設(shè)團(tuán)隊(duì)在專(zhuān)業(yè)能力，實(shí)戰(zhàn)經(jīng)驗(yàn)方面都有著很高的要求。

參考文獻(xiàn)（References）

[1] 方濱興，賈焰，李?lèi)?ài)平，等.網(wǎng)絡(luò)空間靶場(chǎng)技術(shù)研究[J].信息安全學(xué)報(bào)，2016，1（3）：1-9.

[2] 李建華.多元化多層次網(wǎng)絡(luò)空間安全人才培養(yǎng)創(chuàng)新與實(shí)踐[J].信息安全研究，2018，4（12）：15-24.

[3]韓衛(wèi)國(guó)，徐明迪.面向賽博空間的網(wǎng)絡(luò)靶場(chǎng)建設(shè)思路[J].計(jì)算機(jī)與數(shù)學(xué)工程，2015（8）： 103-108.

[4]程靜，雷璟，袁雪芬.國(guó)家網(wǎng)絡(luò)靶場(chǎng)的建設(shè)與發(fā)展[J].中國(guó)電子科學(xué)研究院學(xué)報(bào)，2014（5）：446-452.

[5] 李秋香，郝文江，李翠翠.國(guó)外網(wǎng)絡(luò)靶場(chǎng)技術(shù)現(xiàn)狀及啟示[J].信息網(wǎng)絡(luò)安全，2014（9）：63-68.

作者簡(jiǎn)介：

張?jiān)录t（1975-），女，碩士，副教授.研究領(lǐng)域：滲透測(cè)試，漏洞挖掘，WEB安全.