網絡空間安全攻防實驗教學與實訓平臺的構建

朱 辰， 孫 斌， 金心宇， 魏 兵

（浙江大學a.工程師學院；b.信息與電子工程學院，杭州310027）

0 引 言

隨著信息技術的進一步發展和國家信息化程度的日益提高，網絡空間安全已經成為國家安全保障體系的重要組成部分。網絡空間安全學科肩負著為國家培養網絡空間安全人才和提供技術保障的重要任務［1］。因此，網絡空間安全專業人才的培養顯得十分重要［2-3］。然而，網絡空間安全學科是新興的交叉的綜合性學科，學科建設涉及面廣，涉及知識點多。因此，網絡空間安全學科建設是一項復雜而艱巨的任務，對學生的理論和實踐操作要求比較高［4-7］。為了響應國家對工程專業碩士研究生的教學培養改革，加強學生的網絡安全實踐操作能力［8-9］，充分發揮學校在網絡空間安全學科的學科建設與人才培養方面的優勢，因此，需要建立符合專業碩士研究培養實際情況和需求的網絡空間攻防實驗教學與實訓平臺。

1 建設目標與內容

高校網絡安全實驗室主要有公共基礎實驗室和研究生實驗室，公共基礎實驗室是面向公共基礎課的學生，研究生實驗室是為研究具體項目而設立［10-12］。建立網絡安全實驗與實訓平臺主要是面向專業碩士研究生和工程技術培訓的人員，包括傳統的網絡攻防實驗室和電力系統（變電站、配電網與電網調度）、天然氣傳輸、軌道交通3個重點行業典型真實場景，從而使關鍵信息基礎設施的傳統信息安全和工業控制系統安全有機結合形成一套虛實結合網絡空間攻防實驗與實訓平臺，為工程碩士研究生網絡安全實踐教學、網絡安全標準技術研究、網絡安全技術培訓實操、網絡攻防對抗、舉辦全國性奪旗比賽提供基礎條件支撐。

網絡空間安全的研究內容是網絡空間各種形式的安全威脅和防護問題，即在對抗環境下，研究網絡和系統本身的安全威脅和防護機制以及網絡空間基礎設施的安全問題，以及信息的產生、存儲、傳輸、處理各個環節中所面臨的安全威脅和防御措施［13］。

（1）內容安全。針對網絡中數據流量大、敏感內容隱蔽等挑戰，重點研究互聯網新聞網頁、視頻分享、圖像語音分享等網絡媒體內容進行識別，實現網絡輿情監控；對互聯網上普遍存在的時序數據所包含的隱私數據進行保護；研究互聯網上大數據環境下個人隱私保護方法。

（2）互聯網安全。針對網絡空間中自動化、智能化、和協同化的網絡攻擊挑戰，重點研究主動安全防御的評價理論與方法。

（3）信息系統安全。針對信息系統中存在的系統漏洞，主要研究可信體系結構，如新型體系結構、系統加固等；操作系統等系統軟件安全及安全評測和驗證平臺，如運行時環境安全、集成開發環境安全等。

（4）工業控制系統安全。針對網絡空間中重要基礎設施的工業控制系統所面臨的安全，主要研究工業控制系統脆弱性分析與檢測、安全防護、攻擊分析及驗證等技術［14-15］；工業控制系統平臺等級保護研究、安全技術轉化以及聯動安全管理等應用提供技術支撐；為典型工業控制系統行業領域的工業控制系統安全防護及解決方案研究提供技術支持［16］。

2 實驗教學與實訓平臺總體架構

實訓平臺主要針對多種典型系統，研究其安全問題和漏洞，針對主流協議解析和安全技術測試驗證，以保障網絡安全為目標，開展安全參考模型建立、脆弱性識別、數據采集及加載、安全性檢測、安全防護加固、安全信息報送等技術研究，建立一套適合專業研究生實踐教學和網絡安全工程技術培訓的網絡安全實訓平臺。實訓平臺一共分為4個部分：態勢感知應急處置實驗室，攻防對抗實驗室，攻擊技術研究實驗室和主動防御實驗室。

2.1 態勢感知應急處置實驗室

態勢感知應急處置實驗室主要包含態勢感知展示區（見圖1）、電力系統縮微裝置及控制區（見圖2）、天然氣縮微裝置及控制區（見圖3）、軌道交通縮微裝置及控制區（見圖4）4個部分，將電力系統、天然氣和軌道交通3個典型工控場景接入到態勢感知平臺，為仿真測試環境中系統網絡的攻防演練、仿真測試、態勢感知和信息報送等提供完整的真實工業系統數據支持，并開放多種接口滿足相關系統的擴展和技術應用，可以將工業控制系統的資產風險態勢感知、外部威脅態勢感知、安全運營態勢感知在態勢感知區的大屏上顯示出來，可以提供網絡安全預警提示，為制定相應的安全防御策略提供技術支持。

圖1 態勢感知展示區

圖2 電力縮微裝置

圖3 天然氣縮微裝置

圖4 軌道交通縮微裝置

2.2 攻防對抗實驗室

攻防對抗實驗室為了提升系統網絡安全的攻防技能，學生可以使用常見的攻擊方式對測試系統進行模擬攻擊，測試出應用系統自身的抗攻擊能力和安全配置的實效性，進而能夠提出安全策略實施修訂和相關系統加固方案，確保應用系統的安全性，加強學生對網絡安全知識的理解和網絡安全的重要性。為了確保攻防實驗不影響正常的校園網絡，在網絡空間安全攻防實驗教學與實訓平臺內獨立設置一個用于攻防教學實驗和攻防演練的安全攻防區（如圖5中紅色區域所示），安全攻防區通過一臺防火墻與平臺核心互聯，通過安全策略、路由配置等操作與平臺網絡隔離，僅通過地址映射對平臺提供演練地址，攻擊發起節點通過交換機與安全攻防區防火墻USG6680相連，安全攻防區防御區部署華為DDOS服務器、華為防火墻USG6650、華為入侵保護系統NIP6500，NIP6500下聯防端交換機，防御節點服務器與下聯交換機相連，同時攻防區防火墻USG6680與沙箱服務器、日志服務器LogCenter、DDOS ATIC服務器相連接，對攻擊中出現的流量及日志進行分析防御，整個攻防區區域網絡形成了一個攻擊由攻擊端服務器發起，惡意流量經過防火墻、DDOS、NIP，沙箱等安全設備的防御，同時根據分析產生的流量日志判斷能否對防御端服務器上的應用造成影響的攻防實驗平臺。

圖5 網絡攻防實驗室網絡拓撲圖

2.3 攻擊技術研究實驗室

增強網絡安全防御能力和威懾能力，網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。建立攻擊技術研究實驗室，主要是建立一間單獨的物理實驗房間，以便加強學生的實戰技術水平，培養學生成為攻防兼備的復合型人才。學生可以在攻擊技術研究實驗室進行網絡掃描、滲透測試、故障注入、數據竊取和報文回放等攻擊技術研究。

2.4 主動防御研究實驗室

主動防御技術研究實驗室包括威脅檢測研究區、脆弱性分析研究區和安全防護技術研究及檢驗區3個部分。威脅識別技術和安全防護技術是“攻”和“防”的關系，攻是研究如何突破系統的安全防線，使攻擊者具備干預系統正常運行的能力，防是研究如何抵御系統外部的各種攻擊，將威脅擋在系統之外。而脆弱性分析則是著眼于系統內部，以識別系統的資產和風險、確認系統的安全薄弱環節為主要的內容，達到“知己”的目的。

3 實驗內容及特點

網絡空間安全攻防實驗教學與實訓平臺經過近2年的建設，可以開展如下實驗內容：

（1）認識網絡和網絡安全。介紹實驗平臺的環境，了解網絡安全相關概念，掌握實驗方法和實驗流程。

（2）防火墻原理及配置。介紹防火墻基礎知識，掌握防火墻安全策略相關基礎配置，掌握入侵防御配置文件的配置方法，掌握URL（統一資源定位符）過濾的基本配置方法。

（3）Web應用安全。實際操作SQL注入/暴力破解/文件上傳/跨站腳本等Web安全漏洞實驗，認識Web應用安全的危害。

（4）Windows系統安全。Windows系統安全基礎，Windows系統入侵防范，Windows系統入侵檢測，Windows系統恢復。

（5）Linux系統安全。操作系統信息安全基礎知識，操作系統安全權限加固，操作系統安全通信協議加固，操作系統安全文件及日志加固。

（6）入侵分析與審計。性能下降、網速變慢、文件被篡改等系統相關常見異常現象分析和審計。

（7）工業控制系統攻防實驗。仿真主站、野外搭線、篡改報文、攻擊現場設備等攻擊場景演示實驗，工業控制系統不同子系統隔離、管理區和生產區隔離、調度中心與控制系統認證等防御場景演示實驗。

綜合前面的實驗可分組進行網絡空間安全攻防對抗實驗，在傳統的網絡安全實驗教學中，特別注重工業控制系統網絡安全的實驗教學，引入工業控制系統的3個典型實例，設計相關實驗案例，提高學生對真實工業控制系統的認識和動手解決實際問題的能力。

4 結 語

隨著信息技術的發展，信息網絡安全人才的不足已嚴重制約網絡空間安全的發展，目前網絡安全專業人才培養難，傳統的理論教學模式已經不能滿足專業人才的培養需求。經過精心組織、設計、論證和建設的網絡空間安全攻防實驗教學與實訓平臺，引入3種典型真實場景的工業模擬控制系統，在理論教學的基礎上，加強學生的實踐操作訓練，通過多種形式的網絡攻防對抗練習和比賽，提高學生的網絡安全對抗能力，探索網絡空間人才培養方面的新模式，能夠更好地服務網絡空間安全專業人才的培養。