網(wǎng)絡(luò)靶場(chǎng)服務(wù)體系剖析

【摘 要】 網(wǎng)絡(luò)靶場(chǎng)是開展攻防實(shí)戰(zhàn)演練、安全測(cè)試、技術(shù)研究、教育培訓(xùn)、應(yīng)急演練的實(shí)踐環(huán)境，是支撐網(wǎng)絡(luò)安全戰(zhàn)略的重要基礎(chǔ)設(shè)施。本文使用歷史回溯、比較研究、文獻(xiàn)調(diào)研等研究方法，梳理了網(wǎng)絡(luò)靶場(chǎng)的發(fā)展歷程，從服務(wù)目標(biāo)、服務(wù)方式、服務(wù)類型以及服務(wù)成效等方面剖析了當(dāng)前網(wǎng)絡(luò)靶場(chǎng)服務(wù)體系，并結(jié)合我國(guó)網(wǎng)絡(luò)靶場(chǎng)的建設(shè)現(xiàn)狀提出了發(fā)展建議。

【關(guān)鍵詞】 網(wǎng)絡(luò)靶場(chǎng) 服務(wù)體系

1 引言

網(wǎng)絡(luò)靶場(chǎng)是開展攻防演練、培訓(xùn)教育、網(wǎng)絡(luò)和信息系統(tǒng)穩(wěn)定性測(cè)試的重要基礎(chǔ)設(shè)施，主要應(yīng)用虛擬化、軟件定義網(wǎng)絡(luò)、虛實(shí)結(jié)合等技術(shù)對(duì)網(wǎng)絡(luò)、設(shè)備、流量、攻擊等進(jìn)行模擬仿真，搭建仿真實(shí)驗(yàn)平臺(tái)。近年來(lái)，各國(guó)高度重視網(wǎng)絡(luò)靶場(chǎng)的建設(shè)，全球范圍內(nèi)科技水平領(lǐng)先的國(guó)家均把建設(shè)網(wǎng)絡(luò)靶場(chǎng)視為支撐網(wǎng)絡(luò)安全戰(zhàn)略的重要基礎(chǔ)設(shè)施，從戰(zhàn)略高度謀劃和建設(shè)網(wǎng)絡(luò)靶場(chǎng)。例如，美國(guó)國(guó)家網(wǎng)絡(luò)靶場(chǎng)（NCR）是其國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃的重要組成部分，被稱為新世紀(jì)的“曼哈頓工程”。該靶場(chǎng)建設(shè)時(shí)間超過(guò)5年，涉及單位60余家，投資超過(guò)千萬(wàn)美元，是支撐美國(guó)安全能力建設(shè)的重要資源和標(biāo)志性工程。英國(guó)的聯(lián)合網(wǎng)絡(luò)靶場(chǎng)、加拿大的國(guó)家仿真實(shí)驗(yàn)室、歐洲防務(wù)署的網(wǎng)絡(luò)攻防測(cè)試靶場(chǎng)、日本情報(bào)通信研究機(jī)構(gòu)的星平臺(tái)系統(tǒng)（StarBed），均是國(guó)家和相關(guān)行政部門長(zhǎng)期重點(diǎn)關(guān)注和持續(xù)戰(zhàn)略性投入的項(xiàng)目，承擔(dān)了研究網(wǎng)絡(luò)威脅、保護(hù)基礎(chǔ)設(shè)施安全、支撐網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的重要任務(wù)。

本文梳理和研究了網(wǎng)絡(luò)靶場(chǎng)的發(fā)展歷程，從服務(wù)目標(biāo)、服務(wù)方式、服務(wù)類型以及建設(shè)成效等方面剖析了當(dāng)前典型網(wǎng)絡(luò)靶場(chǎng)的服務(wù)體系，并結(jié)合我國(guó)網(wǎng)絡(luò)靶場(chǎng)的建設(shè)現(xiàn)狀提出了發(fā)展建議。

2 網(wǎng)絡(luò)靶場(chǎng)服務(wù)體系演變與發(fā)展

近年來(lái)，網(wǎng)絡(luò)靶場(chǎng)在呈現(xiàn)形態(tài)、應(yīng)用技術(shù)、建設(shè)規(guī)模與服務(wù)體系等方面不斷發(fā)展、演進(jìn)，以適應(yīng)不同階段的安全防護(hù)能力需求�？傮w看來(lái)，網(wǎng)絡(luò)靶場(chǎng)歷經(jīng)不斷迭代，從傳統(tǒng)實(shí)物靶標(biāo)靶場(chǎng)發(fā)展為虛擬化網(wǎng)絡(luò)靶場(chǎng)、大型虛實(shí)結(jié)合網(wǎng)絡(luò)靶場(chǎng)以及行業(yè)特色網(wǎng)絡(luò)靶場(chǎng)[1]。

2.1 實(shí)物靶標(biāo)網(wǎng)絡(luò)靶場(chǎng)

21世紀(jì)初，網(wǎng)絡(luò)靶場(chǎng)建設(shè)處于起步期和探索期，主要以“還原真實(shí)軟硬件平臺(tái)”為主要特征。該階段網(wǎng)絡(luò)靶場(chǎng)以建立盡可能與目標(biāo)系統(tǒng)相似的軟硬平臺(tái)為目標(biāo)，以模擬軟硬件IT資產(chǎn)（例如服務(wù)器、路由器、交換機(jī)以及相關(guān)應(yīng)用軟件）為主，主要發(fā)揮兩方面作用。一是開展攻防演練與測(cè)試驗(yàn)證。通過(guò)實(shí)物靶標(biāo)靶場(chǎng)測(cè)試攻擊手段能否繞過(guò)防護(hù)成功入侵目標(biāo)設(shè)備、系統(tǒng)或網(wǎng)絡(luò)。二是開展威脅誘捕與風(fēng)險(xiǎn)分析。吸引黑客等的攻擊，研究攻擊行為，發(fā)現(xiàn)潛在威脅，進(jìn)行風(fēng)險(xiǎn)研判。

實(shí)物靶標(biāo)網(wǎng)絡(luò)靶場(chǎng)能夠提供真實(shí)的操作系統(tǒng)、真實(shí)的設(shè)備、真實(shí)的服務(wù)，以自行建設(shè)或第三方公司委托建設(shè)為主，采用直接本地部署、整體直接交付的服務(wù)模式。但此類靶場(chǎng)存在投入資金量較大、建設(shè)周期較長(zhǎng)、迭代速度慢等不足，無(wú)法廣泛使用，尤其是面對(duì)具有破壞性的攻擊時(shí)，一旦被攻陷，恢復(fù)能力弱，因此只能在限定條件下發(fā)揮作用。

2.2 虛擬化網(wǎng)絡(luò)靶場(chǎng)

2005年后，網(wǎng)絡(luò)攻擊呈現(xiàn)不確定性、復(fù)雜性、多樣性特征，面對(duì)新的安全防護(hù)需求，網(wǎng)絡(luò)靶場(chǎng)逐漸從實(shí)物型靶場(chǎng)演化到以網(wǎng)絡(luò)虛擬化技術(shù)作為主導(dǎo)實(shí)現(xiàn)技術(shù)的網(wǎng)絡(luò)靶場(chǎng)。此類靶場(chǎng)借助云計(jì)算、軟件定義網(wǎng)絡(luò)（SDN）等現(xiàn)有技術(shù)條件，按需定義主機(jī)、網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)流量以及網(wǎng)絡(luò)拓?fù)�，可根�?jù)用戶要求快速形成既定實(shí)訓(xùn)場(chǎng)景，開展攻防演練、教學(xué)實(shí)訓(xùn)等工作。

此類靶場(chǎng)大多搭載云計(jì)算、虛擬化、大數(shù)據(jù)等技術(shù)，可形成更復(fù)雜、更多樣的仿真安全測(cè)試場(chǎng)景，同時(shí)，具有配置靈活、高擴(kuò)展性，可支持泛在訪問(wèn)等特點(diǎn)，成為網(wǎng)絡(luò)靶場(chǎng)建設(shè)的主流選擇。但此類靶場(chǎng)主要存在以下3個(gè)問(wèn)題。一是受大規(guī)模網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)流量/服務(wù)和用戶行為模擬等理論與技術(shù)不足的制約，無(wú)法達(dá)到預(yù)期的仿真效果，影響測(cè)試驗(yàn)證、技術(shù)研發(fā)等工作的開展。二是攻防演練對(duì)網(wǎng)絡(luò)靶場(chǎng)資源的獲取、釋放頻率要求極高，一般在秒級(jí)以內(nèi)，同時(shí)需要網(wǎng)絡(luò)靶場(chǎng)能夠快速進(jìn)行場(chǎng)景構(gòu)建，對(duì)虛擬化技術(shù)以及硬件配置要求極高。受限于此，此類網(wǎng)絡(luò)靶場(chǎng)多用于教學(xué)試驗(yàn)，較少用于開展實(shí)時(shí)性要求較高的攻防演練。三是建設(shè)規(guī)模較小、場(chǎng)景簡(jiǎn)單，與實(shí)際生產(chǎn)系統(tǒng)差距較大。

2.3 大型虛實(shí)結(jié)合網(wǎng)絡(luò)靶場(chǎng)與行業(yè)特色網(wǎng)絡(luò)靶場(chǎng)

近年來(lái)，我國(guó)下大力氣發(fā)展大數(shù)據(jù)、人工智能、工業(yè)互聯(lián)網(wǎng)等技術(shù)，能源、醫(yī)療、航空、交通等領(lǐng)域?qū)Υ笠?guī)模網(wǎng)絡(luò)、信息化技術(shù)的依賴性更強(qiáng)，網(wǎng)絡(luò)安全問(wèn)題直接威脅國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施等核心利益。特別是2014年后，網(wǎng)絡(luò)攻擊快速蔓延至工業(yè)領(lǐng)域，工業(yè)控制系統(tǒng)成為網(wǎng)絡(luò)安全關(guān)注的新焦點(diǎn)，工控設(shè)備、工控網(wǎng)絡(luò)成為靶場(chǎng)建設(shè)的新內(nèi)容。為此，以工業(yè)領(lǐng)域靶場(chǎng)為重點(diǎn)的大型虛實(shí)結(jié)合網(wǎng)絡(luò)靶場(chǎng)與行業(yè)特色靶場(chǎng)逐漸興起。此類靶場(chǎng)主要有如下特點(diǎn)：（1）除靶場(chǎng)本身的攻防演練、漏洞挖掘、風(fēng)險(xiǎn)驗(yàn)證、應(yīng)急演練、培訓(xùn)教育等功能外，靶場(chǎng)還集成了調(diào)度管控能力，可集成真實(shí)實(shí)物設(shè)備和安全設(shè)備，并在虛實(shí)結(jié)合組網(wǎng)的情況下快速自動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)仿真環(huán)境。（2）在建設(shè)模式逐步由獨(dú)立發(fā)展、分散建設(shè)向集成化、體系化、協(xié)同化發(fā)展，其安全漏洞庫(kù)、攻擊工具庫(kù)、防護(hù)策略均逐漸在一定范圍內(nèi)、一定條件下實(shí)現(xiàn)共享共建。（3）此類靶場(chǎng)實(shí)訓(xùn)能力逐漸增強(qiáng)，實(shí)訓(xùn)范圍涉及分析、設(shè)計(jì)、研發(fā)、集成、測(cè)試、評(píng)估、運(yùn)維等方面，支持開展全面深入的培訓(xùn)與測(cè)試。

3 網(wǎng)絡(luò)靶場(chǎng)的服務(wù)目標(biāo)

早期建設(shè)的實(shí)物靶標(biāo)網(wǎng)絡(luò)靶場(chǎng)以攻防演練、測(cè)試驗(yàn)證和威脅誘捕為主要服務(wù)目標(biāo)，隨著安全需求的變化，其靶場(chǎng)的發(fā)展定位與目標(biāo)也發(fā)生了相應(yīng)變化。當(dāng)前，網(wǎng)絡(luò)靶場(chǎng)的服務(wù)目標(biāo)主要有以下4個(gè)。

一是建成支撐網(wǎng)絡(luò)安全戰(zhàn)略的重要基礎(chǔ)設(shè)施。各國(guó)均將網(wǎng)絡(luò)靶場(chǎng)視為國(guó)家網(wǎng)絡(luò)安全的核心能力，具有網(wǎng)絡(luò)安全公共基礎(chǔ)設(shè)施屬性，承擔(dān)全面提升國(guó)家信息安全能力的任務(wù)。例如，美國(guó)在網(wǎng)絡(luò)靶場(chǎng)建設(shè)方面搶先布局，除了建設(shè)若干領(lǐng)域內(nèi)的專業(yè)型靶場(chǎng)外，2008年率先啟動(dòng)了國(guó)家級(jí)網(wǎng)絡(luò)靶場(chǎng)項(xiàng)目，以實(shí)現(xiàn)網(wǎng)絡(luò)空間作戰(zhàn)能力的重大變革，打贏網(wǎng)絡(luò)戰(zhàn)爭(zhēng)為發(fā)展目標(biāo)。2010年，英國(guó)國(guó)防部啟動(dòng)建設(shè)先進(jìn)水平的聯(lián)合網(wǎng)絡(luò)靶場(chǎng)項(xiàng)目，用于體系結(jié)構(gòu)評(píng)估、組件測(cè)試、研發(fā)和訓(xùn)練，旨在研究網(wǎng)絡(luò)威脅、保護(hù)基礎(chǔ)設(shè)施方面發(fā)揮作用。與此同時(shí)，部分企業(yè)也紛紛通過(guò)采購(gòu)或者自建的方式建設(shè)了行業(yè)特色靶場(chǎng)，支撐企業(yè)安全目標(biāo)的實(shí)現(xiàn)[2]。

二是提高網(wǎng)絡(luò)和信息系統(tǒng)的穩(wěn)定性、安全性。網(wǎng)絡(luò)靶場(chǎng)用于研究和測(cè)試網(wǎng)絡(luò)上的安全威脅，評(píng)估關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)攻擊下的安全性和生存能力，開展新技術(shù)的安全能力測(cè)試工作。另外，部分靶場(chǎng)系統(tǒng)集成了蜜罐網(wǎng)絡(luò)，用于捕獲和發(fā)現(xiàn)網(wǎng)絡(luò)威脅，開展分析、研究、研判、取證等相關(guān)工作[3]。

三是解決安全開發(fā)測(cè)試驗(yàn)證核心共性特征和功能性能問(wèn)題。通過(guò)使用虛擬化、云計(jì)算、大數(shù)據(jù)、虛實(shí)結(jié)合等技術(shù)與手段，為安全企業(yè)、工業(yè)企業(yè)、科研機(jī)構(gòu)等提供安全技術(shù)開發(fā)、測(cè)試驗(yàn)證、教育培訓(xùn)、實(shí)訓(xùn)演練、攻防競(jìng)賽等公共服務(wù)，解決各行業(yè)企業(yè)、科研機(jī)構(gòu)等自建仿真測(cè)試環(huán)境成本高、周期長(zhǎng)、利用率低、可重復(fù)使用性差等問(wèn)題，促進(jìn)安全共性技術(shù)及產(chǎn)品的開發(fā)、測(cè)試與驗(yàn)證，培養(yǎng)和選拔網(wǎng)絡(luò)安全相關(guān)人才，推動(dòng)一系列相關(guān)技術(shù)研究成果的轉(zhuǎn)化。

四是建成支撐學(xué)科可持續(xù)發(fā)展的“科學(xué)裝置”。支持關(guān)鍵技術(shù)研發(fā)、創(chuàng)新已成為新時(shí)期網(wǎng)絡(luò)靶場(chǎng)建設(shè)的重要目標(biāo)。網(wǎng)絡(luò)靶場(chǎng)可支持新型設(shè)備、協(xié)議和攻防工具在真實(shí)環(huán)境下重復(fù)性驗(yàn)證，測(cè)試新技術(shù)設(shè)備與安全產(chǎn)品在真實(shí)環(huán)境下安全性、穩(wěn)定性和有效性。另外，從國(guó)家級(jí)靶場(chǎng)建設(shè)到小規(guī)模專用靶場(chǎng)建設(shè)，均注重發(fā)揮靶場(chǎng)的培訓(xùn)教育功能。例如，美國(guó)國(guó)家網(wǎng)絡(luò)靶場(chǎng)構(gòu)建了灰網(wǎng)、黃網(wǎng)、黑網(wǎng)、綠網(wǎng)4個(gè)子網(wǎng)絡(luò)組成的網(wǎng)絡(luò)實(shí)戰(zhàn)實(shí)驗(yàn)室，通過(guò)在虛擬實(shí)戰(zhàn)環(huán)境中開展攻防演練，提升網(wǎng)絡(luò)作戰(zhàn)人員的實(shí)踐能力；密歇根網(wǎng)絡(luò)靶場(chǎng)的主要功能是防御及教學(xué)，該靶場(chǎng)允許密歇根州多所大學(xué)以及陸軍國(guó)民警衛(wèi)基地接入開展訓(xùn)練、演練與教學(xué)工作；澳大利亞新南威爾士大學(xué)、澳大利亞國(guó)防學(xué)院堪培拉校園專門建立了校園網(wǎng)絡(luò)測(cè)試靶場(chǎng)用于現(xiàn)代化軍官人才的培養(yǎng)和訓(xùn)練[4]。

4 網(wǎng)絡(luò)靶場(chǎng)的服務(wù)方式

當(dāng)前網(wǎng)絡(luò)靶場(chǎng)典型的服務(wù)提供模式主要有“網(wǎng)絡(luò)靶場(chǎng)即服務(wù)”“靶場(chǎng)解決方案”“靶場(chǎng)中臺(tái)”3種[5，6]。

4.1 網(wǎng)絡(luò)靶場(chǎng)即服務(wù)

“網(wǎng)絡(luò)靶場(chǎng)即服務(wù)”是指通過(guò)使用虛擬化、云計(jì)算、大數(shù)據(jù)、虛實(shí)結(jié)合等技術(shù)與手段，使“逼真的仿真環(huán)境”可以在無(wú)需安裝任何客戶端軟件，無(wú)需本地部署的情況下，通過(guò)Web訪問(wèn)直接為企業(yè)、科研機(jī)構(gòu)、個(gè)人用戶等提供安全技術(shù)開發(fā)、測(cè)試驗(yàn)證、教育培訓(xùn)、實(shí)訓(xùn)演練、攻防競(jìng)賽等服務(wù)�！熬W(wǎng)絡(luò)靶場(chǎng)即服務(wù)”主要有以下4個(gè)特點(diǎn)。（1）利用虛擬化資源，解決無(wú)法在真實(shí)環(huán)境中對(duì)復(fù)雜大規(guī)模異構(gòu)網(wǎng)絡(luò)和用戶進(jìn)行逼真的模擬和測(cè)試，以及風(fēng)險(xiǎn)評(píng)估等問(wèn)題[7，8]。（2）以云平臺(tái)方式提供網(wǎng)絡(luò)靶場(chǎng)服務(wù)，可減少網(wǎng)絡(luò)靶場(chǎng)先期大量資金的投入，減少企業(yè)的建設(shè)投入和運(yùn)維成本。（3）支持軟件定義的場(chǎng)景，通過(guò)軟件模擬交換機(jī)、路由器、服務(wù)器以及OSPF、IGMP等協(xié)議搭建高仿真的實(shí)訓(xùn)場(chǎng)景，支持基于可視化拓?fù)渫献У姆绞娇焖購(gòu)?fù)現(xiàn)真實(shí)網(wǎng)絡(luò)與生產(chǎn)環(huán)境。（4）通過(guò)Web瀏覽器可遠(yuǎn)程完成所有安全攻防實(shí)驗(yàn)，對(duì)實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境或設(shè)備不會(huì)造成損害，具有較高的可逆性和損壞恢復(fù)能力。

4.2 靶場(chǎng)解決方案

提供網(wǎng)絡(luò)靶場(chǎng)解決方案指通過(guò)第三方網(wǎng)絡(luò)安全機(jī)構(gòu)結(jié)合廠家自身在網(wǎng)絡(luò)靶場(chǎng)領(lǐng)域的技術(shù)、經(jīng)驗(yàn)、資源的積累，提供網(wǎng)絡(luò)靶場(chǎng)產(chǎn)品。目前，主要有個(gè)性化定制網(wǎng)絡(luò)靶場(chǎng)產(chǎn)品和標(biāo)準(zhǔn)化網(wǎng)絡(luò)靶場(chǎng)產(chǎn)品兩種交付模式。個(gè)性化定制網(wǎng)絡(luò)產(chǎn)品在第三方廠家的研發(fā)基礎(chǔ)上進(jìn)行應(yīng)用級(jí)的自主開發(fā)，這種模式對(duì)網(wǎng)絡(luò)靶場(chǎng)供應(yīng)商技術(shù)水平要求較高，要求供應(yīng)商既有成熟的解決方案，又需要有較高的研發(fā)能力，可以調(diào)整底層架構(gòu)、產(chǎn)品形態(tài)以適配用戶要求和業(yè)務(wù)需求。另一種為交付標(biāo)準(zhǔn)化的產(chǎn)品，是直接交付運(yùn)行穩(wěn)定、功能完備的產(chǎn)品，此類靶場(chǎng)大多包含共性需求功能，如Raytheon公司的網(wǎng)絡(luò)運(yùn)營(yíng)、發(fā)展和評(píng)估中心（Cyber Operations，Development and Evaluation Center，CODE）、Cyberbit公司的超逼真網(wǎng)絡(luò)模擬平臺(tái)CloudRange以及IBM公司的X-Force網(wǎng)絡(luò)戰(zhàn)術(shù)行動(dòng)中心（IBM X-Force Command Cyber TacticalOperations Center）等[6]。

4.3 靶場(chǎng)中臺(tái)

靶場(chǎng)中臺(tái)即靶場(chǎng)組件資源池服務(wù)。靶場(chǎng)中臺(tái)可提供場(chǎng)景組件、網(wǎng)絡(luò)仿真組件、流量發(fā)生組件、數(shù)據(jù)處理組件，以及能力評(píng)估組件、態(tài)勢(shì)展示組件，以及業(yè)務(wù)管理、用戶管理等組件，用戶在此基礎(chǔ)上進(jìn)行二次開發(fā)、API調(diào)用、模塊級(jí)的自主開發(fā)，形成最終的網(wǎng)絡(luò)靶場(chǎng)。靶場(chǎng)中臺(tái)具有以下優(yōu)勢(shì)： （1）具有對(duì)不同業(yè)務(wù)、架構(gòu)和網(wǎng)絡(luò)環(huán)境的兼容能力，具備良好的擴(kuò)展性與兼容性，能適配不同的系統(tǒng)、不同的設(shè)備。（2）支持在靶場(chǎng)中臺(tái)組件、業(yè)務(wù)模塊的基礎(chǔ)上進(jìn)行二次開發(fā)，支持多種類型網(wǎng)絡(luò)、攻擊場(chǎng)景的靈活組建，提供攻防演練、驗(yàn)證測(cè)試等。（3）借助API接口，可組合按需選擇的攻防演練、漏洞挖掘、風(fēng)險(xiǎn)驗(yàn)證、應(yīng)急演練、培訓(xùn)教育等模塊。（4）靶場(chǎng)中臺(tái)具有綜合調(diào)度能力，可集成虛擬設(shè)備、真實(shí)設(shè)備進(jìn)行快速組網(wǎng)，并開展測(cè)試驗(yàn)證。

5 網(wǎng)絡(luò)靶場(chǎng)的服務(wù)類型

5.1 科研測(cè)試型靶場(chǎng)

科研型靶場(chǎng)主要針對(duì)網(wǎng)絡(luò)安全研究人員提供測(cè)試驗(yàn)證環(huán)境，支持在靶場(chǎng)上開展網(wǎng)絡(luò)安全研究、技術(shù)開發(fā)、網(wǎng)絡(luò)武器研究、效能測(cè)試、系統(tǒng)脆弱性檢驗(yàn)等一系列研究工作，推動(dòng)創(chuàng)新技術(shù)快速轉(zhuǎn)化應(yīng)用到生產(chǎn)領(lǐng)域，起到技術(shù)“中試基地”作用。因科研型網(wǎng)絡(luò)靶場(chǎng)建設(shè)周期長(zhǎng)、資金投入高，故科研靶場(chǎng)多為國(guó)家和各級(jí)政府主導(dǎo)建設(shè)并推廣應(yīng)用，科研測(cè)試靶場(chǎng)主要有2類典型服務(wù)[5]。（1）漏洞挖掘�；�于靶場(chǎng)的自動(dòng)業(yè)務(wù)場(chǎng)景構(gòu)建能力、實(shí)物仿真能力、虛實(shí)結(jié)合能力，構(gòu)建針對(duì)軟硬件的漏洞挖掘業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)針對(duì)交換機(jī)、服務(wù)器等IT設(shè)備或可編程邏輯控制器（PLC）、分散控制系統(tǒng)（DCS）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、遠(yuǎn)程終端單元（RTU）等專業(yè)軟硬件設(shè)備的漏洞挖掘。（2）風(fēng)險(xiǎn)驗(yàn)證。以漏洞資源庫(kù)、風(fēng)險(xiǎn)庫(kù)為技術(shù)支撐，對(duì)目標(biāo)系統(tǒng)/設(shè)備進(jìn)行測(cè)試和診斷，識(shí)別系統(tǒng)設(shè)備信息，測(cè)試系統(tǒng)脆弱度，分析已知漏洞，挖掘未知漏洞，生成告警和系統(tǒng)分析報(bào)告。

5.2 教學(xué)培訓(xùn)型靶場(chǎng)

教學(xué)靶場(chǎng)內(nèi)置了大量的課件、題庫(kù)、實(shí)驗(yàn)環(huán)境以及相關(guān)評(píng)測(cè)輔助等功能，通常集成了普通網(wǎng)絡(luò)拓?fù)鋱?chǎng)景以及能源、鋼鐵、有色、化工、裝備制造等關(guān)系國(guó)計(jì)民生的典型行業(yè)的應(yīng)用場(chǎng)景，提供了集成基礎(chǔ)教學(xué)演練、綜合能力實(shí)訓(xùn)、技能評(píng)估和后臺(tái)資源統(tǒng)一管理分配等功能的實(shí)訓(xùn)平臺(tái)，可支撐從教學(xué)、實(shí)踐、使用、監(jiān)控、評(píng)估等維度開展培訓(xùn)工作[9]。

目前，教學(xué)靶場(chǎng)應(yīng)用最廣泛、使用需求最大。教學(xué)靶場(chǎng)主要具備以下4個(gè)特征。一是注重課程體系建設(shè)。教學(xué)類靶場(chǎng)課程一般涵蓋基礎(chǔ)理論課程、基礎(chǔ)實(shí)訓(xùn)課程以及實(shí)戰(zhàn)課程等各層次教學(xué)課程。二是注重實(shí)訓(xùn)平臺(tái)建設(shè)�？芍С謽�(gòu)建真實(shí)的交互實(shí)驗(yàn)環(huán)境，面向服務(wù)器、交換機(jī)等通用網(wǎng)絡(luò)設(shè)備或者可編程邏輯控制器（PLC）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）等工業(yè)設(shè)備開展漏洞利用、滲透測(cè)試、資產(chǎn)識(shí)別與掃描等實(shí)訓(xùn)。三是注重攻防演練能力建設(shè)。靶場(chǎng)攻防演練系統(tǒng)提供預(yù)置的超逼真的網(wǎng)絡(luò)安全場(chǎng)景，每個(gè)場(chǎng)景都會(huì)預(yù)先注入一系列漏洞和脆弱性，以便學(xué)生利用場(chǎng)景進(jìn)行攻防對(duì)抗演練和試驗(yàn)。四是注重培訓(xùn)管理的提升。近兩年，教學(xué)培訓(xùn)靶場(chǎng)發(fā)展速度快，引入了大數(shù)據(jù)、人工智能等先進(jìn)技術(shù)與理念，加強(qiáng)測(cè)試評(píng)價(jià)工作，強(qiáng)化教學(xué)靶場(chǎng)的培訓(xùn)效果。例如，以色列Cyberbit公司開發(fā)的網(wǎng)絡(luò)靶場(chǎng)增加虛擬教練功能，利用大數(shù)據(jù)、人工智能評(píng)估受訓(xùn)者表現(xiàn)；部分靶場(chǎng)搭載了網(wǎng)絡(luò)安全游戲，通過(guò)游戲化的方式增加學(xué)習(xí)和訓(xùn)練網(wǎng)絡(luò)安全技能的趣味性，強(qiáng)化培訓(xùn)的效果。

5.3 取證靶場(chǎng)

取證靶場(chǎng)主要模擬真實(shí)業(yè)務(wù)系統(tǒng)，部署在企業(yè)互聯(lián)網(wǎng)出入口，當(dāng)識(shí)別出攻擊行為后將攻擊者轉(zhuǎn)到取證靶場(chǎng)，進(jìn)行分析研判與取證。一般在旁路部署大量完全逼真的設(shè)備作為“影子系統(tǒng)”來(lái)吸引攻擊者�！坝白酉到y(tǒng)”中會(huì)部署威脅感知傳感器，采取主動(dòng)蹲點(diǎn)的方式收集、記錄攻擊行為，并對(duì)攻擊行為開展智能分析，確定攻擊者的行為等級(jí)，同時(shí)會(huì)按照攻擊者會(huì)話、會(huì)話的開始時(shí)間、會(huì)話內(nèi)交互次數(shù)、會(huì)話內(nèi)攻擊行為的原始數(shù)據(jù)，詳細(xì)對(duì)攻擊行為進(jìn)行記錄，以便開展針對(duì)攻擊行為的取證工作。

5.4 演練型靶場(chǎng)

演練型靶場(chǎng)可提供全流程演練環(huán)境，在虛擬環(huán)境中對(duì)真實(shí)的攻擊、事件進(jìn)行模擬。演練型靶場(chǎng)主要分為攻防演練型靶場(chǎng)與應(yīng)急演練型靶場(chǎng)。

攻防演練靶場(chǎng)提供預(yù)置的網(wǎng)絡(luò)安全場(chǎng)景，每個(gè)場(chǎng)景預(yù)先注入一系列漏洞和脆弱性，用于開展攻防對(duì)抗演練和試驗(yàn)。攻防演練靶場(chǎng)具有多平臺(tái)、綜合性、多樣性、可復(fù)現(xiàn)、可重構(gòu)的能力，支持多種演練模式：（1）入侵演練。對(duì)特定場(chǎng)景進(jìn)行模擬入侵攻擊，在有限的時(shí)間內(nèi)從各種進(jìn)入點(diǎn)執(zhí)行攻擊。（2）防御演練。負(fù)責(zé)保衛(wèi)網(wǎng)絡(luò)及其關(guān)鍵資產(chǎn)，注重于訓(xùn)練防御人員，識(shí)別和對(duì)抗攻擊場(chǎng)景，培養(yǎng)實(shí)戰(zhàn)經(jīng)驗(yàn)。（3）對(duì)抗演練。采用實(shí)戰(zhàn)演練模式，在一個(gè)高度仿真的演練場(chǎng)景中分配一隊(duì)攻擊隊(duì)和一隊(duì)防御隊(duì)，兩方根據(jù)各自的任務(wù)在場(chǎng)景中進(jìn)行攻防對(duì)抗型操作。

應(yīng)急演練靶場(chǎng)是應(yīng)急人員能力培養(yǎng)的訓(xùn)練平臺(tái)，通過(guò)應(yīng)急演練靶場(chǎng)，圍繞推演控制、推演評(píng)估、多角色協(xié)同推演等核心功能，為用戶建立線上實(shí)操演練環(huán)境，該平臺(tái)將結(jié)合具體的規(guī)范化流程進(jìn)行實(shí)際操作，提升演練人員針對(duì)信息安全的認(rèn)知和技能水平，達(dá)到理論實(shí)踐結(jié)合一體化的目的。

6 總結(jié)與啟示

網(wǎng)絡(luò)靶場(chǎng)歷經(jīng)實(shí)物靶標(biāo)網(wǎng)絡(luò)靶場(chǎng)、虛擬化網(wǎng)絡(luò)靶場(chǎng)、大型虛實(shí)結(jié)合網(wǎng)絡(luò)靶場(chǎng)與行業(yè)特色網(wǎng)絡(luò)靶場(chǎng)3個(gè)主要發(fā)展階段，在呈現(xiàn)形態(tài)、應(yīng)用技術(shù)、建設(shè)規(guī)模等方面不斷發(fā)展，形成了完善的服務(wù)體系與豐富的服務(wù)能力，主要呈現(xiàn)以下特點(diǎn)。

一是多以培訓(xùn)教育、攻防演練和測(cè)試驗(yàn)證為主。早期建設(shè)網(wǎng)絡(luò)靶場(chǎng)多以攻防演練、測(cè)試驗(yàn)證和威脅誘捕為主要服務(wù)目標(biāo)，隨著安全需求的變化，網(wǎng)絡(luò)靶場(chǎng)的發(fā)展定位也發(fā)生了相應(yīng)的變化，承擔(dān)了支撐網(wǎng)絡(luò)安全戰(zhàn)略落地，提升網(wǎng)絡(luò)和信息系統(tǒng)的穩(wěn)定性、安全性與推進(jìn)學(xué)科可持續(xù)發(fā)展的任務(wù)與使命。但受限于高仿真技術(shù)不足、建設(shè)成本過(guò)高、建設(shè)內(nèi)容復(fù)雜且極具個(gè)性化等因素，目前建設(shè)的網(wǎng)絡(luò)靶場(chǎng)多以培訓(xùn)教育、攻防演練、測(cè)試驗(yàn)證為主，在復(fù)現(xiàn)真實(shí)環(huán)境、測(cè)試驗(yàn)證新技術(shù)、發(fā)現(xiàn)未知風(fēng)險(xiǎn)等方面還處于探索階段。

二是更加注重可用性和用戶體驗(yàn)。網(wǎng)絡(luò)靶場(chǎng)本身的部署、使用的便利性決定了其整體可用性和用戶體驗(yàn)。當(dāng)前，網(wǎng)絡(luò)靶場(chǎng)多以本地部署為主，但隨著近兩年虛擬化、云計(jì)算、虛實(shí)結(jié)合等技術(shù)的發(fā)展和逐漸成熟，使“逼真的仿真環(huán)境”通過(guò)網(wǎng)絡(luò)靶場(chǎng)即服務(wù)模式對(duì)外提供服務(wù)，大大提高了網(wǎng)絡(luò)靶場(chǎng)的可用性和用戶體驗(yàn)。同時(shí)，借助大數(shù)據(jù)、人工智能等先進(jìn)技術(shù)打造的虛擬教練、用戶效果分析功能，加強(qiáng)了全流程測(cè)試評(píng)價(jià)工作，強(qiáng)化教學(xué)靶場(chǎng)的培訓(xùn)效果。

三是逐漸強(qiáng)化公共基礎(chǔ)設(shè)施屬性，加強(qiáng)一體化服務(wù)能力建設(shè)。近兩年，網(wǎng)絡(luò)靶場(chǎng)在建設(shè)模式逐步由獨(dú)立發(fā)展、分散建設(shè)向集成化、體系化、協(xié)同化方向發(fā)展。一方面，部分靶場(chǎng)開始探索共建共享模式，由不同部門聯(lián)合國(guó)內(nèi)優(yōu)勢(shì)企業(yè)、科研院所，采用統(tǒng)一技術(shù)規(guī)范與標(biāo)準(zhǔn)，堅(jiān)持共享共建的思路，推進(jìn)網(wǎng)絡(luò)靶場(chǎng)建設(shè)。另一方面，強(qiáng)化網(wǎng)絡(luò)靶場(chǎng)的公共基礎(chǔ)設(shè)施屬性，在安全漏洞庫(kù)、攻擊工具庫(kù)、防護(hù)策略等通用組件資源上均逐漸在一定范圍內(nèi)、一定條件下實(shí)現(xiàn)共享。

我國(guó)在網(wǎng)絡(luò)靶場(chǎng)建設(shè)方面起步較晚，處于快速跟進(jìn)階段，金融、通信、軍工等重點(diǎn)行業(yè)均在規(guī)劃建設(shè)行業(yè)性靶場(chǎng)測(cè)試床，但規(guī)模較小、場(chǎng)景簡(jiǎn)單，與實(shí)際生產(chǎn)系統(tǒng)還存在一定的差距。當(dāng)前，我國(guó)推動(dòng)工業(yè)化與信息化在更廣范圍、更深程度、更高水平上實(shí)現(xiàn)融合發(fā)展的要求必然對(duì)網(wǎng)絡(luò)安全能力形成巨大需求，需要建設(shè)與目標(biāo)高度一致的網(wǎng)絡(luò)靶場(chǎng)，承載新技術(shù)轉(zhuǎn)化驗(yàn)證、安全測(cè)試評(píng)估、安全能力摸底、攻防演練、教育培訓(xùn)等功能。一是建設(shè)一批具有公共服務(wù)能力的網(wǎng)絡(luò)靶場(chǎng)。當(dāng)前基于靶場(chǎng)所開展的攻防演練工作都相對(duì)獨(dú)立，其安全漏洞庫(kù)、防護(hù)策略均是在其本地構(gòu)建，存在嚴(yán)重的重復(fù)建設(shè)和資源浪費(fèi)情況，應(yīng)通過(guò)政策引導(dǎo)、專項(xiàng)資金等方式統(tǒng)籌建設(shè)一批具有公共服務(wù)能力的靶場(chǎng)，同時(shí)扶持專業(yè)機(jī)構(gòu)建設(shè)檢查評(píng)估、安全監(jiān)測(cè)、攻防測(cè)試等公共服務(wù)技術(shù)手段，提供風(fēng)險(xiǎn)預(yù)警、安全診斷評(píng)估、安全咨詢、數(shù)據(jù)保護(hù)、系統(tǒng)加固等安全服務(wù)。二是研發(fā)一批先進(jìn)的、關(guān)鍵性的網(wǎng)絡(luò)靶場(chǎng)核心技術(shù)。保持與新技術(shù)融合是維護(hù)靶場(chǎng)競(jìng)爭(zhēng)力和充分發(fā)揮靶場(chǎng)作用的關(guān)鍵，強(qiáng)化網(wǎng)絡(luò)靶場(chǎng)的理論研究，加強(qiáng)大規(guī)模網(wǎng)絡(luò)仿真、攻防行為模擬、實(shí)驗(yàn)數(shù)據(jù)采集分析、評(píng)價(jià)評(píng)估方面的技術(shù)開發(fā)，強(qiáng)化網(wǎng)絡(luò)靶場(chǎng)的核心能力。三是形成一套“以測(cè)帶建”的靶場(chǎng)服務(wù)機(jī)制，全面提升網(wǎng)絡(luò)靶場(chǎng)服務(wù)價(jià)值。通過(guò)安全開發(fā)測(cè)試不斷突破新的技術(shù)邊界，實(shí)現(xiàn)在短時(shí)間內(nèi)快速提升網(wǎng)絡(luò)靶場(chǎng)的資源管理、應(yīng)用服務(wù)、安全開發(fā)測(cè)試等能力。同時(shí)，建立并持續(xù)完善運(yùn)營(yíng)機(jī)制，積極利用網(wǎng)絡(luò)靶場(chǎng)開展攻防演練、技術(shù)評(píng)估、漏洞挖掘工作，提升網(wǎng)絡(luò)靶場(chǎng)的應(yīng)用價(jià)值。

（原載于《保密科學(xué)技術(shù)》雜志2021年6月刊）