網(wǎng)絡(luò)安全行業(yè)級模擬攻防實驗中心建設(shè)探索

楊斯可 張中寶

摘 要：網(wǎng)絡(luò)安全的本質(zhì)是攻防，攻防的核心是人才隊伍。在當前日益復(fù)雜的網(wǎng)絡(luò)安全形勢下，如何構(gòu)建一套有效的人才隊伍建設(shè)體系是當前及今后亟待解決的問題。針對煙草企業(yè)在網(wǎng)絡(luò)安全人才隊伍培養(yǎng)方面存在的不足，本文設(shè)計了一套集CTF奪旗賽的課程體系、模擬實驗平臺、多方共治機制于一體的網(wǎng)絡(luò)安全模擬實驗中心方案，為推動煙草企業(yè)網(wǎng)絡(luò)安全治理體系建設(shè)，提升網(wǎng)絡(luò)安全綜合治理能力提供一條新的路徑。

關(guān)鍵詞：網(wǎng)絡(luò)安全;煙草行業(yè);實驗中心;多方共治

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2020）10-0087-03

0引言

互聯(lián)網(wǎng)時代，煙草企業(yè)在“數(shù)字煙草”和“互聯(lián)網(wǎng)+煙草”的信息化發(fā)展戰(zhàn)略的推動下，信息化觸角已延伸到企業(yè)運營的方方面面，沒有信息化就沒有企業(yè)發(fā)展的現(xiàn)代化，而保障信息化基礎(chǔ)設(shè)施的安全穩(wěn)定成為保障企業(yè)高質(zhì)量發(fā)展至關(guān)重要的一環(huán)。同時《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》、《網(wǎng)絡(luò)安全審查辦法》等一系列國家級法律政策的先后出臺，對網(wǎng)絡(luò)安全工作提出了更高的剛性要求。網(wǎng)絡(luò)安全是沒有硝煙的戰(zhàn)場，比拼的是攻防雙方的綜合實力，其核心是人才。當前，煙草行業(yè)在網(wǎng)絡(luò)安全人才隊伍建設(shè)方面，主要方式是選派計算機相關(guān)專業(yè)人員擔任網(wǎng)絡(luò)安全管理員，定期組織線上或線下的網(wǎng)絡(luò)安全知識培訓(xùn)，這種“專業(yè)人員+定期培訓(xùn)”的人才隊伍建設(shè)模式在前期實際工作中發(fā)揮了積極作用，但在應(yīng)對目前復(fù)雜變化的網(wǎng)絡(luò)安全形勢及新的履法要求上日顯不足，迫切需要創(chuàng)新網(wǎng)絡(luò)安全人才隊伍建設(shè)模式，更好地應(yīng)對外部變化，保障內(nèi)部信息化基礎(chǔ)設(shè)施的安全，推動實現(xiàn)網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化。

大數(shù)據(jù)、云計算、虛擬現(xiàn)實、人工智能、移動互聯(lián)等IT新技術(shù)已在社會各行業(yè)中顯現(xiàn)出巨大的經(jīng)濟效應(yīng)。模擬攻防實驗中心[1]作為傳統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)教育的升級版，更側(cè)重于實踐性，更側(cè)重于多方共治的協(xié)同性。本文重點探索建設(shè)集知識性、趣味性、挑戰(zhàn)性和創(chuàng)新性于一體的網(wǎng)絡(luò)安全模擬攻防實驗中心（簡稱實驗中心）平臺，通過成體系的課程培訓(xùn)和模擬攻防技能培訓(xùn)，鍛煉具備強烈攻防意識和攻防能力的網(wǎng)絡(luò)安全隊伍，并利用實驗中心平臺申報創(chuàng)新項目，匯聚多方人才力量對共性的網(wǎng)絡(luò)安全問題展開研究、給出方案、評估實施，形成多方共治的、動態(tài)的網(wǎng)絡(luò)安全治理體系，打造行業(yè)級的網(wǎng)絡(luò)安全模擬攻防實驗中心，為行業(yè)網(wǎng)絡(luò)安全治理能力現(xiàn)代化提供可行建設(shè)方案。

1實驗中心需聚焦解決的主要問題

為構(gòu)建符合煙草實際的實驗中心平臺，本文對照目標要求，堅持問題導(dǎo)向，設(shè)計有針對性的解決方案。當前網(wǎng)絡(luò)安全治理存在的問題主要有：

（1）網(wǎng)絡(luò)安全治理相對獨立沒有形成有效的合力。當前行業(yè)各主體單位在經(jīng)費投入，人才保障等方面相對獨立，未形成合力，相互溝通聯(lián)系不夠，多停留在經(jīng)驗分享層面。各方人才力量、技術(shù)資源沒有得到有效整合共享，形成共同治理，究其原因是缺乏聯(lián)系各方力量、資源的紐帶。資金投入和人才隊伍保障是網(wǎng)絡(luò)安全治理的核心要素，在一些生產(chǎn)經(jīng)營規(guī)模相對較小的單位很難提供足夠的經(jīng)費和人力的支撐，這在客觀上制約了網(wǎng)絡(luò)安全整體治理水平的提升。

（2）安全培訓(xùn)結(jié)構(gòu)不均衡和缺乏有效的人才評估機制。傳統(tǒng)的網(wǎng)絡(luò)安全教育培訓(xùn)結(jié)構(gòu)不均衡，存在重理論知識，輕實踐對抗，課程設(shè)置不成體系等問題。網(wǎng)絡(luò)安全管理人員對安全威脅認識不夠，安全意識沒有得到真正的提高，對安全預(yù)警漠視等現(xiàn)狀均埋下大量安全隱患。由于缺乏相應(yīng)實驗平臺和保障機制，網(wǎng)絡(luò)安全攻防實踐很難在真實的業(yè)務(wù)網(wǎng)絡(luò)中開展，加上部署攻防模擬環(huán)境的復(fù)雜性及建設(shè)成本等問題，要在每個單位普及這樣的實驗中心平臺建設(shè)仍存在現(xiàn)實困難。另外，對網(wǎng)絡(luò)安全人才缺乏有效的評估和激勵機制，難以在人才隊伍建設(shè)方面形成有效的管理閉環(huán)。

（3）對外部安全形勢變化和攻擊手段的認識不足。知己知彼，方能百戰(zhàn)不殆。全面掌握外部安全形勢變化，準確判斷攻擊者慣用手段，在網(wǎng)絡(luò)安全治理能力中至關(guān)重要。由于長期重安全設(shè)備部署，輕人才隊伍建設(shè)，重業(yè)務(wù)可用性，輕業(yè)務(wù)安全性的認識偏差，同時缺少與外部專業(yè)機構(gòu)合作平臺、合作機制，導(dǎo)致對外部最新安全形勢變化的了解掌握存在一定的滯后性，對黑客攻擊最新手段不了解，造成網(wǎng)絡(luò)安全攻守雙方力量的失衡，給內(nèi)部安全造成很大的安全隱患。

2網(wǎng)絡(luò)安全模擬攻防實驗中心的職能設(shè)計

堅持“學以致用”的原則，實驗中心在設(shè)計上綜合應(yīng)用了大數(shù)據(jù)、多媒體、虛擬仿真等技術(shù);在人才隊伍培養(yǎng)上創(chuàng)新訓(xùn)練模式，增強實踐性、對抗性訓(xùn)練;突出聯(lián)防聯(lián)控的協(xié)同能力，凸顯人的因素在網(wǎng)絡(luò)安全治理中的核心作用。

2.1 創(chuàng)新網(wǎng)絡(luò)安全人才隊伍建設(shè)新模式

行業(yè)內(nèi)地市級公司的網(wǎng)絡(luò)安全防護力量相對薄弱，安全管理人員能力水平參差不齊，有些安全問題很難獨自解決。實驗中心基于CTF奪旗賽的能力要求構(gòu)建網(wǎng)絡(luò)安全人才培訓(xùn)和評估機制，注重具有創(chuàng)新精神和實踐能力的人才培養(yǎng)與選拔，組建“尖刀班”“突擊隊”，匯聚各單位優(yōu)秀人才力量，以項目方式研究解決共性難題。

傳統(tǒng)的網(wǎng)絡(luò)安全人才培養(yǎng)方式主要包括定期的線上/線下培訓(xùn)，理論知識集中講授等。這種模式不僅內(nèi)容連續(xù)性不強，而且缺少實踐環(huán)節(jié)，極大限制了網(wǎng)絡(luò)安全人員的攻防實踐能力和創(chuàng)新意識的激發(fā)，造成重設(shè)備輕人才的局面。

虛擬仿真技術(shù)的出現(xiàn)為人才培養(yǎng)提供了新的視角和新的解決方案，可有效彌補傳統(tǒng)模式的短板，激發(fā)學員的學習興趣，提高攻防實踐能力，實現(xiàn)理論與實踐教學的完美結(jié)合;同時攻防演習是在虛擬環(huán)境中開展，既不會影響業(yè)務(wù)系統(tǒng)正常運行，更不會出現(xiàn)病毒隱患。模擬攻防平臺具有開放性強，資源共享程度高，人才能力評估可量化等優(yōu)勢。綜合來看，模擬攻防實驗中心可集知識性、趣味性、實踐性和創(chuàng)新性為一體，滿足基礎(chǔ)型、應(yīng)用型、綜合型和創(chuàng)新型人才培養(yǎng)的要求，可作為人才隊伍培養(yǎng)的新模式。傳統(tǒng)模式與新模式的對比如表1。

2.2 實驗中心可提升網(wǎng)絡(luò)安全多方共治的能力水平

綜合應(yīng)用多媒體、虛擬現(xiàn)實、云、網(wǎng)絡(luò)、人機交互等技術(shù)手段，實驗中心平臺，可提供教學培訓(xùn)、模擬攻防靶場[2]和基于項目的多方共治。其中，教學培訓(xùn)系統(tǒng)提供科學、系統(tǒng)的全套視頻課程，重點是知識的講授，滿足學員知識獲取，學習計時的需要;在實踐層面，主要包含兩個環(huán)節(jié)：一是基于CTF奪旗賽在線解題獲取積分，題目類型豐富多樣，包括雜項、密碼、WEB、逆向、PWN等，在解題中強化知識的掌握，不限時間、不限地點，可充分利用碎片化時間;二是基于虛擬仿真技術(shù)搭建網(wǎng)絡(luò)安全模擬攻防“靶場”，所有學員可組建團隊對“靶場”展開攻擊獲得積分，同時加固“靶場”防守避免被攻擊而失分，在平臺中可開展常態(tài)化的月度線上培訓(xùn)、季度實戰(zhàn)PK、半年技能排名等舉措。通過實驗中心平臺選拔匯聚人才，以項目為載體，實現(xiàn)網(wǎng)絡(luò)安全多方共治，難點協(xié)同共解，提高網(wǎng)絡(luò)安全整體治理水平。

3實驗中心的建設(shè)

網(wǎng)絡(luò)安全模擬攻防實驗中心建設(shè)主要包含三部分：一是機構(gòu)設(shè)置，為保障職能實現(xiàn)，實驗中心首先需要一個高效的組織機構(gòu);二是制度機制建立，在組織機構(gòu)基礎(chǔ)上，需要有一套運行的制度機制，支撐實驗中心有序運行;三是實驗中心平臺，基于虛擬仿真技術(shù)的模擬攻防實驗系統(tǒng)平臺，通過不同的應(yīng)用場景實踐提高學員安全攻防能力，增強人的因素在網(wǎng)絡(luò)安全綜合防護中的價值作用[3-4]。如圖1所示。

3.1安全決策機構(gòu)

實驗中心需要一個高效、專業(yè)的組織機構(gòu)，實行集體領(lǐng)導(dǎo)，由信息化主管部門負責，是實驗中心決策、監(jiān)督的領(lǐng)導(dǎo)機構(gòu)。其主要職責是落實煙草行業(yè)網(wǎng)絡(luò)安全方針、政策和法律法規(guī)，研究網(wǎng)絡(luò)安全重大事項，重點工程的決策推進工作。堅持網(wǎng)絡(luò)安全為大家，網(wǎng)絡(luò)安全靠大家的原則，在專家委員會人員組成方面，主要包括網(wǎng)信主管部門人員、行業(yè)內(nèi)專家人員、行業(yè)外專家顧問等，也為跨主體單位的聯(lián)合運行機制提供基礎(chǔ)。

3.2聯(lián)合運行機制

網(wǎng)絡(luò)安全行業(yè)是一盤棋，任何一個環(huán)節(jié)，一個區(qū)域出現(xiàn)風險點，都會影響整體網(wǎng)絡(luò)的安全運行。為支撐實驗中心有序運行，達到廣泛的、有效的選拔培養(yǎng)網(wǎng)信人才，組建“尖刀班”“突擊隊”，實現(xiàn)聯(lián)合共治。通過實驗中心平臺可打通不同企業(yè)主體、跨單位人才聯(lián)合，解決構(gòu)建網(wǎng)絡(luò)安全的多方共治機制，其主要運行流程是：由各單位主體，結(jié)合工作實際提出網(wǎng)絡(luò)安全服務(wù)需求;由網(wǎng)信主管部門把問題“掛牌”，在平臺上公開，由行業(yè)各單位網(wǎng)信人才共同研究解決;再由科技企業(yè)給出具體實施方案;最后由網(wǎng)信主管部門審批實施。整個共治運行機制，形成“先自下而上，后自上而下”的網(wǎng)絡(luò)安全綜合治理的管理閉環(huán)。如圖2所示。

為保障主體流程的高效運行，還需探索建立評估機制和激勵機制，為聯(lián)合運行機制提供源動力。在激勵機制方面，可為網(wǎng)絡(luò)安全優(yōu)秀人才提供培訓(xùn)進修的機會，打通職業(yè)技能晉升通道，給予物質(zhì)和精神獎勵等。在評估機制方面，可基于學習積分、奪旗積分、競賽積分，參與解決網(wǎng)絡(luò)安全難題等多方面綜合評估，科學客觀選拔出優(yōu)秀網(wǎng)信人才。

例如，在實際工作中，針對業(yè)務(wù)系統(tǒng)上線前缺乏安全檢測有效抓手的問題，通過實驗中心平臺可組織網(wǎng)絡(luò)安全技術(shù)人才對擬上線的業(yè)務(wù)系統(tǒng)開展模擬攻擊，檢驗系統(tǒng)是否具備上線運行的安全條件，因而基于虛擬仿真技術(shù)的模擬攻防實驗中心平臺在推動網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化方面具有很強的現(xiàn)實意義。

3.3攻防模擬平臺

基于仿真技術(shù)的模擬攻防平臺主要有基于CTF奪旗賽的在線課程學習、解題訓(xùn)練及模擬攻防對戰(zhàn)。

（1）CTF課程體系平臺。課程體系建設(shè)是基于CTF奪旗賽設(shè)計，重點是增強趣味性，寓教于樂，所有課程成體系具備連續(xù)性，同時在奪旗過程中靈活應(yīng)用網(wǎng)絡(luò)安全知識，強化對知識的理解，增強學員的創(chuàng)新能力。課程學習利用在線多媒體分享的形式，學員注冊登錄后即可選擇視頻學習，并在CTF奪旗賽網(wǎng)站進行奪旗練習。例如，攻防世界、CTFhub等。在線課程主要包含有WEB安全類、Misc類、密碼類、逆向類、PWN類及AWD類等，所有學員可隨時隨地學習，不局限于時間、地點，也不局限于人員范圍，趣味性更強，知識成體系，并在學習和解題中獲得積分可作為網(wǎng)絡(luò)安全人才選拔評估的重要參考，增加學員學習的積極性。

（2）模擬攻防場景平臺。網(wǎng)絡(luò)安全模擬攻防實踐平臺，主要是選取網(wǎng)絡(luò)安全工作中常用的、重要的應(yīng)用場景，利用虛擬仿真技術(shù)構(gòu)造模擬攻防環(huán)境，為學員提供演練技能的“靶場”。借助模擬仿真技術(shù)，學員可在模擬攻防場景平臺中重復(fù)實踐，認識網(wǎng)絡(luò)安全攻防規(guī)律，掌握攻防手段。除了特定的模擬應(yīng)用場景外，行業(yè)學員甚至可組成紅藍隊伍，在模擬平臺中開展攻防演習，收集信息、挖掘漏洞、展開攻擊，同時部署安全軟件，加固城防，監(jiān)控外部流量攻擊等實踐，不斷錘煉網(wǎng)絡(luò)安全隊伍在網(wǎng)絡(luò)安全攻防中的對抗意識與對抗能力。

圖3所示，我們列舉了6個模擬場景，包括漏洞探測場景、SQL注入場景、安全加固場景、防火墻場景、文件監(jiān)控場景、WAF防護場景等。實際模擬平臺不僅限于以上幾種場景，采用虛擬仿真技術(shù)，可根據(jù)需求隨時啟用虛擬機部署新的模擬環(huán)境，可擴展性好。另外，對于我們所有學員來說，在學習網(wǎng)絡(luò)攻防技術(shù)前提是必須合法合規(guī)，須簽訂相關(guān)安全協(xié)議，所有工具和技能僅用作學習和工作所需，不得利用技術(shù)對外攻擊他人的系統(tǒng)等。

4 結(jié)語

網(wǎng)絡(luò)安全模擬攻防實驗中心的建設(shè)，彌補了傳統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)方面偏理論輕實踐的不足，增強了趣味性、實踐性、創(chuàng)新性，通過CTF奪旗賽的形式不斷強化學員對網(wǎng)絡(luò)安全知識的理解和運用;基于虛擬仿真技術(shù)構(gòu)建的攻防模擬實驗平臺，增強學員網(wǎng)絡(luò)安全攻防實踐能力，對網(wǎng)絡(luò)安全實際工作具有很強的積極意義。同時實驗中心平臺統(tǒng)籌協(xié)調(diào)資源，推動實現(xiàn)多方網(wǎng)絡(luò)安全共治。下一步，筆者將根據(jù)實際不斷優(yōu)化課程體系，豐富模擬攻防的應(yīng)用場景，完善多方共治的運行機制，進一步發(fā)揮實驗中心平臺在網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化發(fā)展中的價值作用。

參考文獻

[1] 徐進.2013年國家級虛擬仿真實驗教學中心建設(shè)工作小結(jié)及2014年申報建議[J].實驗室研究與探索，2014，33（8）：1-5.

[2] 羅曉東，尹立孟，王青峽，等.基于虛擬仿真技術(shù)的實驗教學平臺設(shè)計[J].實驗室研究與探索，2016，35（4）：104-107.

[3] 李林，陳宇峰，李仲君，等.大規(guī)模在線虛擬實驗教學平臺的建設(shè)與實踐[J].實驗技術(shù)與管理，2018（7）：15-19.

[4] 彭正明，黃建忠.網(wǎng)絡(luò)安全虛擬仿真實驗教學中心建設(shè)[J].計算機教育，2015（23）：18-21.