鐵路網絡空間靶場方案研究

楊學勇，齊 勝，朱 賀，戰 鑫

（1.中國鐵路南昌局集團有限公司，南昌 330002；2.中鐵信（北京）網絡技術研究院有限公司，北京 100044；3.中鐵信弘信（北京）信息工程咨詢有限責任公司，北京 100038）

隨著“震網”病毒侵襲伊朗核電站，“黑暗力量”病毒引發烏克蘭大停電，以及勒索攻擊致使美國輸油管道癱瘓[1]等網絡安全事件的爆發，網絡空間安全越來越引起人們的重視，“沒有網絡安全，就沒有國家安全”[2]成為人們的共識。而網絡安全并非單純的防護工具、安全平臺之間的對抗，其本質是網絡安全人才之間的技術、思想、能力的競爭，如何培養高素質的網絡安全和信息化人才隊伍成為亟須解決的問題。為解決這一問題，網絡攻防演練成為各企事業單位，乃至國家層面培養網絡安全人才的創新型培養模式。隨著各企事業單位網絡安全攻防演練工作的不斷演進，以攻防實戰的形式檢驗重點企事業單位的網絡安全能力逐漸常態化，各行各業在各自內部也廣泛開展多種形式的網絡安全競賽，以提升本行業本單位的網絡安全能力。為了給網絡安全人員提供一個用于攻防演練的平臺，網絡靶場[3]應運而生。

鐵路作為關鍵信息基礎設施[4]運營單位之一，要承擔網絡安全主體防護責任，不僅需要可靠的網絡安全技術體系[5]，還需要大量的網絡安全人才，因此建設鐵路網絡空間靶場也勢在必行。本文立足《信息安全技術 網絡安全等級保護基本要求》和《關鍵信息基礎設施安全保護條例》對網絡安全人員技能、意識、應急處置等方面的規定，利用虛擬化技術對鐵路信息系統進行深度仿真，設計穩定實用、靈活部署、多角色參與的鐵路網絡空間靶場系統，為鐵路網絡安全從業人員及相關人員的教育、培訓、考核、演練提供一個方便快捷的學習平臺。

1 總體架構及網絡架構

1.1 總體結構

鐵路網絡空間靶場平臺總體架構如圖1所示。依托鐵路自身網絡安全保障體系和鐵路相關網絡安全標準體系，以數據資源為核心，通過整合實體資源和虛擬資源，搭建底層基礎環境，并開放虛實資源調度接口以供數據控制層調用[6]。在數據控制層，將鏡像、場景、工具、課件等數據資源分門別類，并進行統一管理、調度、運行和監控。業務功能層通過數據資源調度接口接收數據控制層的數據，以支撐安全實訓系統、比武競賽系統、靶場演練系統及其統一的綜合管理系統。

圖1 鐵路網絡空間靶場平臺總體架構

1.2 網絡架構

鐵路網絡空間靶場平臺網絡架構，如圖2所示。

圖2 鐵路網絡空間靶場平臺網絡架構

基礎設施區主要部署虛擬化資源池、資源調配系統及場景構建系統，以提供基礎的數據資源及其調配和搭建[7]，形成基礎環境；平臺服務區部署系統服務器；綜合管理區部署平臺管理系統、共享管理系統和外部接入設備，對整體平臺進行統一納管。

在用戶接入區，主要部署用戶側直接操作的設備。綜合管理區對應綜合管理席位，依據權限管理原則，細分為系統管理員、任務管理員和審計管理員；平臺服務區對應安全實訓席位、比武競賽席位、靶場演練席位，其中，安全實訓席位主要分教師學員，比武競賽席位主要分參賽隊員、導調裁判、觀摩，靶場演練席位主要為演練人員；基礎設施區對應云管席位和場景搭建席位，云管席位對應云管理員，場景搭建席位對應場景管理員。

2 功能設計

2.1 功能架構

鐵路網絡空間靶場平臺功能架構如圖3所示，主要承擔以下任務。

圖3 鐵路網絡空間靶場平臺功能架構

（1）為鐵路網絡安全相關人員提供一個教育培訓和技能考核的網絡平臺，增強鐵路從業人員的網絡安全意識，提升鐵路信息化和網絡安全從業人員的網絡安全技能水平。

（2）組織鐵路網絡安全相關人員進行不同種類的技能大賽，既可以選拔不同專業的網絡安全人才，也可以激發從業人員的學習興趣和熱情，進一步加強網絡安全意識的宣傳。

（3）為鐵路網絡及網絡安全方面的新技術和新架構提供一個可供科研的實驗環境，以便于對其進行測試和驗證和驗證[8]，從而進一步優化現有的網絡技術架構，增加應急演練儲備。

2.2 主要功能

鐵路網絡空間靶場平臺的3個系統分別立足自身核心功能，實現網絡安全人才培養的全流程無縫銜接。通過安全實訓系統，以講授課程和實驗課程為基礎，以考題測試作為鞏固手段，實現網絡安全從業人員從入門到進階，形成網絡安全基本素養。再通過比武競賽系統，以賽代練，使鐵路網絡安全從業人員得以在實戰中不斷提升自身水平，形成比學趕幫超的學習氛圍，同時實現鐵路網絡優秀人才的選拔，逐漸培養出鐵路網絡安全專家。對于鐵路網絡安全專家來說，可以通過靶場演練系統，進行鐵路自身網絡安全技術的探索和自研網絡安全設備的測試，并對自己開發出的新戰術，新技法進行驗證，進一步提升鐵路網絡安全人員的整體水平。

2.2.1 安全實訓

安全實訓系統可進行課程培訓、專項培訓、競賽培訓等，具備多維度的考核和評估能力，能夠通過實驗課程、視頻教學、實操課件、理論題目等提高相關人員的綜合業務能力，準確記錄各學員的學習日志，分析學習成績和進度，監管每個學員的學習過程，并可綜合學習歷程、考核成績、實踐成果等，形成實訓效能圖譜，進而直觀掌控實訓效果。

2.2.2 比武競賽

比武競賽系統能夠對競賽、賽題、試卷、隊伍及人員等進行管理，并能夠通過奪旗賽、攻防對抗賽、紅藍對抗賽等多種演練模式幫助各鐵路局集團公司考核選拔網絡安全實用人才。

2.2.3 靶場演練

靶場演練系統通過虛擬環境與真實設備相結合的技術，并融合主機虛擬化、網絡虛擬化、數據采集、3D展示引擎等技術，構建網絡空間環境，幫助各鐵路局集團公司進行網絡安全研究、人才培養、實戰演練、安全測試、效能分析、態勢推演等。

2.3 任務流程設計

鐵路網絡空間靶場平臺任務流程如圖4所示。

圖4 鐵路網絡空間靶場平臺任務流程

綜合管理席位是各項任務的起始點和終結點，根據三員管理的原則分系統管理員，安全管理員和審計管理員，其中，系統管理員在實際運行過程中將承擔主要的系統運行與維護工作，以及主營任務的制訂與反饋工作；安全管理員通過對系統用戶進行身份驗證，根據其身份進行相應權限的分配，任務演練席位的用戶獲得權限后方可執行相應權限的任務操作；審計管理員通過對系統管理日志、安全管理日志進行審計，從而保障平臺安全穩定運行。

系統管理員在綜合管理員席位根據不同的任務需求，進行相應的任務制訂并派發給相應的任務演練席位人員。系統管理員獲取演練人員執行過程中的反饋，生成相應任務的評估結果，形成完整的閉環流程設計。

安全實訓系統管理員接收并制訂計劃培訓任務，根據任務要求為教師和學員的提供賬號申請，并分別進行相應身份的任務下發，任務演練席位的教師和學員即可根據任務要求進行培訓、考試、實驗等活動，其執行結果將自動反饋至系統管理員。系統管理員根據活動的執行情況，對該任務的培訓效能進行評估。

比武競賽系統管理員接收并制訂組織競賽任務，根據競賽任務的形式、人員、難易度進行組織，可以設立紅隊，藍隊及導調/裁判組，比賽制訂后下發給所有參與者，參與者即可根據自身角色完成比賽，紅隊發現、偵察、攻擊，藍隊檢測、分析、防御，導調/裁判組根據賽程進展情況對比賽結果進行調節和裁定，也可單方面進行相應的模擬以供藍隊或紅隊進行檢驗評估。系統管理員通過接收賽程反饋，得到整體攻防能力的評估結果。

靶場演練系統管理員接收并制訂靶場演練任務，根據靶場演練的目標，結合鐵路業務場景，搭建實驗環境，將科研人員和測試人員指定后進入系統，科研人員在靶場環境中進行新技術、新架構的驗證，測試人員在旁側進行校驗環境內部各個參數指標，最終達到演練測試目標。系統管理員根據反饋生成評估報告。

3 關鍵技術

3.1 軟件定義網絡

鐵路網絡場景類型復雜、異構多樣、集群龐大，為了將鐵路局集團公司內部某些網絡場景進行快速搭建，利用虛擬化技術，進行高精度仿真，節約搭建所需時間、人力和物力，以滿足在原有架構基礎上不斷改進的需求。通過基于軟件定義網絡[9]的動態組網技術將鐵路集團公司多集群大規模網絡關鍵部分提取組合，將交換機、防火墻、服務器等設備關鍵性功能進行仿真和虛擬化映射[10]，從而實現鐵路復雜網絡環境的復現。

3.2 基于角色的訪問控制

鐵路網絡空間靶場在運行過程中，通過高并發實現多用戶進入系統操作，為了做好安全方面的工作，防止非法訪問，則需要運用基于角色的訪問控制技術，以實現靶場數據的保密性和完整性。在系統管理層面通過標記各個角色的權限，進行角色和權限的一對一映射[11]。角色在創建過程中權限已經做好限定，任何越權操作都將會被阻止，同時，在日志審計中進一步監控訪問控制策略的執行情況，最終保障鐵路網絡空間靶場平臺安全運行。

3.3 自動化多維度測試

根據鐵路員工個性化的需求，在結合鐵路評估方法的基礎上，構建科學的評估模型，將神經網絡[12]、決策樹等人工智能算法引入靶場平臺的測試評估過程，從而實現計算資源、存儲資源自動調用，并關聯漏洞庫、知識庫等及時生成新的學習建議，同時結合武器庫內的工具，自動生成各類攻擊流量，實現對獨立設備級、系統集群級、體系架構級等不同規模級別的鐵路網絡空間安全測試驗證。

4 結束語

鐵路網絡空間靶場方案從鐵路網絡安全人才培養需求發出，以安全實訓系統、比武競賽系統、靶場演練系統為支柱，結合復雜異構網絡復現、虛實設備混合組網、自動化多維度測試技術，形成一套針對鐵路信息系統的網絡空間靶場建設方案。該方案以資源調度為核心，結合鐵路既有網絡架構，通過靈活的部署方式，搭建多層次一體化的靶場平臺。該方案的實施，將能夠有效提升鐵路網絡安全人才的培養能力，進而提升鐵路網絡整體防護水平。