面向人才培養(yǎng)的網(wǎng)絡(luò)靶場體系與分類研究

【摘 要】 隨著網(wǎng)絡(luò)安全威脅技術(shù)持續(xù)發(fā)展，威脅影響日益加深，熟練掌握應(yīng)對安全威脅技能的專業(yè)技術(shù)人才成了當(dāng)前社會的剛性需求，而培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全人才離不開網(wǎng)絡(luò)靶場的支撐。本文主要從技術(shù)體系、分類和發(fā)展趨勢等方面對面向人才培養(yǎng)的網(wǎng)絡(luò)靶場進行了分析和研究。

【關(guān)鍵詞】 網(wǎng)絡(luò)靶場 人才培養(yǎng) 技術(shù)框架 發(fā)展趨勢

1 引言

由于網(wǎng)絡(luò)安全威脅越來越復(fù)雜，越來越具有針對性和持久性，給網(wǎng)絡(luò)系統(tǒng)安全帶來了愈加嚴重的威脅。抵御越來越復(fù)雜的網(wǎng)絡(luò)威脅不能單純依靠各式各樣的網(wǎng)絡(luò)安全產(chǎn)品，還必須有訓(xùn)練有素的專業(yè)技術(shù)人員，根據(jù)網(wǎng)絡(luò)安全態(tài)勢適時地采取相應(yīng)的安全防御措施。這就要求專業(yè)技術(shù)人員必須具備豐富經(jīng)驗和專業(yè)知識。網(wǎng)絡(luò)靶場是幫助網(wǎng)絡(luò)安全人員提升應(yīng)對網(wǎng)絡(luò)安全威脅所需技能和經(jīng)驗的有效手段。網(wǎng)絡(luò)靶場能夠模擬實際的網(wǎng)絡(luò)安全威脅場景，提供可讓網(wǎng)絡(luò)安全人員扮演多種不同角色的訓(xùn)練環(huán)境，為了解安全漏洞利用技術(shù)、消除安全威脅影響等，提供實際經(jīng)驗。

網(wǎng)絡(luò)靶場可以為網(wǎng)絡(luò)安全管理人員培養(yǎng)其在威脅發(fā)生前、威脅發(fā)生中和威脅發(fā)生后采取有效行動能力提供支撐。在威脅發(fā)生前，網(wǎng)絡(luò)靶場可以提供構(gòu)建有效安全架構(gòu)所需的技能，包括部署防火墻、入侵檢測、訪問權(quán)限分割等。在威脅發(fā)生中，網(wǎng)絡(luò)靶場可以提供檢測早期告警信息及深入了解網(wǎng)絡(luò)安全威脅所需技能。在威脅發(fā)生后，網(wǎng)絡(luò)靶場可以提供清理和修復(fù)威脅影響所需技能，如追蹤威脅路徑、修復(fù)安全漏洞、消除威脅影響等。

2 網(wǎng)絡(luò)靶場技術(shù)體系

2.1 網(wǎng)絡(luò)靶場概述

網(wǎng)絡(luò)靶場是一種基于虛擬化技術(shù)，對真實網(wǎng)絡(luò)空間中的網(wǎng)絡(luò)架構(gòu)、系統(tǒng)設(shè)備、業(yè)務(wù)流程的運行狀態(tài)及運行環(huán)境進行模擬和復(fù)現(xiàn)的技術(shù)或產(chǎn)品，為實現(xiàn)與網(wǎng)絡(luò)安全相關(guān)的學(xué)習(xí)、研究、檢驗、競賽、演習(xí)等活動提供支撐，從而提高人員及機構(gòu)的網(wǎng)絡(luò)安全對抗能力與水平。通過網(wǎng)絡(luò)靶場，可實時評估網(wǎng)絡(luò)安全攻防進程及態(tài)勢，為網(wǎng)絡(luò)安全訓(xùn)練提供實時反饋，增加訓(xùn)練的針對性和價值。

網(wǎng)絡(luò)靶場的概念內(nèi)涵非常廣泛，在線網(wǎng)絡(luò)攻防學(xué)習(xí)環(huán)境、網(wǎng)絡(luò)安全競賽平臺、網(wǎng)絡(luò)安全技術(shù)測評研究平臺、城市級甚至國家級的網(wǎng)絡(luò)攻防演練平臺等，都可以歸屬于網(wǎng)絡(luò)靶場的范疇。在這些可以被稱為網(wǎng)絡(luò)靶場的環(huán)境與平臺中，也存在著很大的差異，如規(guī)模量級差異、模擬環(huán)境復(fù)雜度差異、應(yīng)用場景差異、環(huán)境模擬逼真度差異等。

網(wǎng)絡(luò)靶場作為支撐網(wǎng)絡(luò)空間安全的技術(shù)驗證、裝備試驗、技能訓(xùn)練、攻防演練和風(fēng)險評估的重要基礎(chǔ)設(shè)施，已成為網(wǎng)絡(luò)安全領(lǐng)域技術(shù)發(fā)展和人才培養(yǎng)的重要支撐手段[1]。

網(wǎng)絡(luò)靶場系統(tǒng)中一般會包含若干團隊，每個團隊在靶場中都具有自己的角色定位。到目前為止，網(wǎng)絡(luò)靶場已經(jīng)發(fā)展到了7種不同的團隊角色，如表1所示。各種團隊角色有不同的角色定位，有些角色還可以由智能化軟件實現(xiàn)自動化，代替真實的人來完成相應(yīng)的角色功能。

2.2 網(wǎng)絡(luò)靶場技術(shù)框架

2020年6月，美國國家標準與技術(shù)研究院（NIST）發(fā)布《網(wǎng)絡(luò)靶場指南》，圍繞網(wǎng)絡(luò)安全教育、認證和培訓(xùn)等領(lǐng)域，給出了一種網(wǎng)絡(luò)靶場的技術(shù)框架，如圖1所示。該技術(shù)框架基于靶場學(xué)習(xí)管理系統(tǒng)（RLMS），將網(wǎng)絡(luò)靶場劃分為編排層、底層基礎(chǔ)架構(gòu)層、虛擬化層和目標基礎(chǔ)設(shè)施層4個層次[2]。

（1）編排層。該層從RLMS輸入信息，負責(zé)將網(wǎng)絡(luò)靶場所有技術(shù)或服務(wù)組件整合在一起，便于底層基礎(chǔ)設(shè)施、虛擬化和目標基礎(chǔ)設(shè)施的網(wǎng)格化，支持公有云、私有云和專用硬件基礎(chǔ)設(shè)施的動態(tài)網(wǎng)絡(luò)靶場擴展。

（2）底層基礎(chǔ)架構(gòu)層。該層主要由網(wǎng)絡(luò)、服務(wù)器和存儲承載網(wǎng)絡(luò)靶場數(shù)據(jù)和信息的基礎(chǔ)設(shè)施構(gòu)成。網(wǎng)絡(luò)靶場基礎(chǔ)設(shè)施可以是通用的硬件，也可以是虛擬化設(shè)備或云，也可以是專用的定制硬件。考慮可伸縮性、成本和可擴展性等需求，網(wǎng)絡(luò)靶場的底層基礎(chǔ)架構(gòu)逐步轉(zhuǎn)向基于軟件定義網(wǎng)絡(luò)（SDN）技術(shù)的虛擬基礎(chǔ)架構(gòu)。

（3）虛擬化層。大多數(shù)網(wǎng)絡(luò)靶場都希望通過某種程度的虛擬化來縮小物理設(shè)備的覆蓋范圍。實現(xiàn)虛擬化的方法主要有2種，基于虛擬化管理程序和基于軟件定義的基礎(chǔ)結(jié)構(gòu)。

（4）目標基礎(chǔ)設(shè)施層。該層是模擬生成的目標網(wǎng)絡(luò)場景的基礎(chǔ)設(shè)施。較完善的網(wǎng)絡(luò)靶場包含商用服務(wù)器、存儲、端點、應(yīng)用程序和防火墻的配置文件等要素。根據(jù)需要，目標基礎(chǔ)結(jié)構(gòu)可以由RLMS利用生成腳本來指示編排層創(chuàng)建。生成腳本一般包括特定于目標機的配置信息，如IP地址信息、路由信息、應(yīng)用軟件等。

3 網(wǎng)絡(luò)靶場分類

網(wǎng)絡(luò)靶場的分類方法有多種，既可以按照實現(xiàn)技術(shù)分類，也可以按照目的用途分類。

3.1 按照實現(xiàn)技術(shù)分類

按照實現(xiàn)技術(shù)，網(wǎng)絡(luò)靶場可以分為4類：模擬類、仿真類、疊加類、混合類。

3.1.1 模擬類

模擬類網(wǎng)絡(luò)靶場是指基于真實網(wǎng)絡(luò)組件重建的一個虛擬網(wǎng)絡(luò)環(huán)境，模擬運行在虛擬實例中，不需要任何物理網(wǎng)絡(luò)設(shè)備。模擬類網(wǎng)絡(luò)靶場首先對真實網(wǎng)絡(luò)環(huán)境及用戶行為進行建模，然后通過驅(qū)動模型進行信息互動，進而分析各模型單元的狀態(tài)變化。模擬類網(wǎng)絡(luò)靶場易于部署，安裝和維護成本較低，但模擬實驗結(jié)果準確性難以保證。模擬類靶場的典型案例是美國空軍的SIMTEX網(wǎng)絡(luò)安全模擬器。

3.1.2 仿真類

仿真類網(wǎng)絡(luò)靶場將已構(gòu)建的網(wǎng)絡(luò)/服務(wù)器/存儲基礎(chǔ)設(shè)施等映射到物理基礎(chǔ)設(shè)施上，作為網(wǎng)絡(luò)靶場的物理基礎(chǔ)設(shè)施。仿真類網(wǎng)絡(luò)靶場使用獨立的物理測試臺，配置出需要測試的環(huán)境，運行真實的軟件。仿真類靶場要求能對硬件進行重新配置，可根據(jù)測試需要，采用不同的拓撲結(jié)構(gòu)。仿真類網(wǎng)絡(luò)靶場使用真實的計算機、操作系統(tǒng)、應(yīng)用軟件和資源，能較全面地復(fù)現(xiàn)真實環(huán)境。仿真類靶場的典型案例是美國國防高級研究計劃局（DARPA）的國家網(wǎng)絡(luò)靶場（NCR）。

3.1.3 疊加類

疊加類網(wǎng)絡(luò)靶場是運行在真實網(wǎng)絡(luò)、服務(wù)器和存儲設(shè)備之上的網(wǎng)絡(luò)靶場，即利用現(xiàn)有的生產(chǎn)環(huán)境資源而建立的網(wǎng)絡(luò)靶場。這類靶場在實際的生產(chǎn)現(xiàn)場軟件上進行測試，使用實際的生產(chǎn)資源，在規(guī)模、成本和逼真度等方面有一定優(yōu)勢，缺點是靶場試驗控制性較差，可能對實際網(wǎng)絡(luò)造成不利影響。疊加類靶場的典型案例是美國國家科學(xué)基金會資助的網(wǎng)絡(luò)創(chuàng)新全球環(huán)境（GENI）。

3.1.4 混合類

混合類網(wǎng)絡(luò)靶場是由上述模擬、仿真、疊加三種靶場特性組成的網(wǎng)絡(luò)靶場�；旌项惏袌龅牡湫桶咐�是美國弗吉尼亞網(wǎng)絡(luò)靶場。

3.2 按照目的用途分類

按照目的用途，網(wǎng)絡(luò)靶場可以分為3類：服務(wù)于國家與國防安全類、服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)類、服務(wù)于企業(yè)和商業(yè)組織安全類。

3.2.1 服務(wù)于國家與國防安全類

政府機構(gòu)和軍事部門需要專業(yè)網(wǎng)絡(luò)安全力量，具備應(yīng)對復(fù)雜網(wǎng)絡(luò)威脅及網(wǎng)絡(luò)恐怖主義的能力。因此，一些國家的軍事和國防部門建設(shè)和部署了大量網(wǎng)絡(luò)靶場，如美國的國家網(wǎng)絡(luò)靶場（NCR）、國防信息系統(tǒng)局網(wǎng)絡(luò)安全靶場（CSR）、國防部信息安全靶場（IAR）、聯(lián)合網(wǎng)絡(luò)空間作戰(zhàn)靶場（JCOR）、海軍網(wǎng)絡(luò)空間作戰(zhàn)靶場（NCOR）、聯(lián)合信息作戰(zhàn)靶場（JIOR）、戰(zhàn)略司令部網(wǎng)絡(luò)空間作戰(zhàn)靶場（SCOR）、持續(xù)網(wǎng)絡(luò)訓(xùn)練環(huán)境（PCTE）等。目前世界上大部分國家和國際組織的軍事和國防部門都開展了服務(wù)于國家與國防安全的網(wǎng)絡(luò)靶場建設(shè)，如英國聯(lián)邦網(wǎng)絡(luò)靶場（FCR）、北約網(wǎng)絡(luò)空間靶場（NCR）、歐洲聯(lián)合網(wǎng)絡(luò)空間靶場等。

服務(wù)于國家與國防安全類的網(wǎng)絡(luò)靶場一般具有規(guī)模龐大、技術(shù)復(fù)雜、功能全面、任務(wù)多樣、綜合管控等特點，全方位支撐網(wǎng)絡(luò)空間安全技術(shù)驗證、網(wǎng)絡(luò)武器裝備試驗、攻防對抗演練、網(wǎng)絡(luò)風(fēng)險評估、網(wǎng)絡(luò)安全人才培養(yǎng)等任務(wù)，主要服務(wù)于國家級網(wǎng)絡(luò)空間力量的發(fā)展。

3.2.2 服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)類

網(wǎng)絡(luò)空間安全人才除了要掌握大量理論知識，更需要具備扎實的實踐動手能力。由于許多網(wǎng)絡(luò)安全方面的實踐活動可能造成嚴重的破壞性后果，難以在真實網(wǎng)絡(luò)環(huán)境中實施，網(wǎng)絡(luò)靶場可為網(wǎng)絡(luò)安全實踐能力培養(yǎng)提供安全隔離的模擬仿真環(huán)境。服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)的網(wǎng)絡(luò)靶場既有面向培訓(xùn)和競賽的商業(yè)化靶場，也有面向個體和組織的開放訓(xùn)練環(huán)境。

面向培訓(xùn)和競賽的商業(yè)化靶場一般能夠提供較為完善的訓(xùn)練、競賽環(huán)境，支撐較大規(guī)模的網(wǎng)絡(luò)安全培訓(xùn)與競賽活動。

面向個體和組織的開放訓(xùn)練環(huán)境主要提供針對各種網(wǎng)絡(luò)安全漏洞場景的目標環(huán)境，供個體或組織訓(xùn)練網(wǎng)絡(luò)安全實踐技能，靶場結(jié)構(gòu)通常較為簡單。典型的開放訓(xùn)練環(huán)境有Vulnhub、Vulhub和Hackthebox。Vulnhub是一個提供漏洞環(huán)境的靶場平臺，大部分環(huán)境是做好的虛擬機鏡像文件，鏡像預(yù)先設(shè)計了多種漏洞，需要使用VMware或者VirtualBox運行。Vulhub是一個基于Docker技術(shù)的漏洞環(huán)境集合，可以非常方便地啟動一個全新的漏洞環(huán)境，讓漏洞復(fù)現(xiàn)變得更加簡單。Hackthebox是一個在線式的通關(guān)型網(wǎng)絡(luò)滲透技術(shù)訓(xùn)練平臺，集成了大量的網(wǎng)絡(luò)安全訓(xùn)練環(huán)境，可供全球范圍的個人、企業(yè)、機構(gòu)等開展網(wǎng)絡(luò)滲透技術(shù)的訓(xùn)練，不斷提高網(wǎng)絡(luò)滲透技能。

3.2.3 服務(wù)于企業(yè)和商業(yè)組織安全類

目前在企業(yè)等商業(yè)組織中，網(wǎng)絡(luò)靶場主要用于構(gòu)建網(wǎng)絡(luò)安全培訓(xùn)和模擬中心，提供網(wǎng)絡(luò)安全的模擬和演練解決方案，以提升企業(yè)人員技能及安全防護措施的有效性。典型的服務(wù)于企業(yè)和商業(yè)組織安全的網(wǎng)絡(luò)靶場有Cyberbit Range、IBM X-Force Command Center、Cisco Cyber Range等[3]。

Cyberbit Range主要為客戶提供網(wǎng)絡(luò)靶場的網(wǎng)絡(luò)安全模擬與培訓(xùn)解決方案；IBM X-Force Command Center主要為業(yè)務(wù)事件處理程序和操作連續(xù)性提供事件響應(yīng)解決方案；Cisco Cyber Range主要通過虛擬對戰(zhàn)環(huán)境，提高網(wǎng)絡(luò)安全管理人員應(yīng)對復(fù)雜網(wǎng)絡(luò)威脅的經(jīng)驗和方法。

4 網(wǎng)絡(luò)靶場發(fā)展趨勢

面向人才培養(yǎng)的網(wǎng)絡(luò)靶場越來越注重用戶的學(xué)習(xí)體驗，網(wǎng)絡(luò)安全培訓(xùn)游戲化和人工智能（AI）輔助管理成為其當(dāng)前重要的發(fā)展方向。

游戲一般具有較強的交互性、趣味性和沉浸式特點，能夠顯著吸引用戶的注意力。將網(wǎng)絡(luò)安全技能培訓(xùn)和游戲相結(jié)合，是利用網(wǎng)絡(luò)靶場開展網(wǎng)絡(luò)安全技能培訓(xùn)的一個重要發(fā)展趨勢。通過游戲化與沉浸式仿真模擬環(huán)境相結(jié)合，能夠提供身臨其境的交互體驗，引導(dǎo)學(xué)員深度參與其中，在游戲中培養(yǎng)技能。

將人工智能技術(shù)應(yīng)用于網(wǎng)絡(luò)靶場，一方面可以實現(xiàn)網(wǎng)絡(luò)靶場白隊部分導(dǎo)調(diào)功能的自動化、智能化；另一方面基于人工智能的AI聊天機器人，可以部分承擔(dān)靶場指導(dǎo)教員的職責(zé)，在模擬訓(xùn)練過程中指導(dǎo)用戶處理各種事件與問題。

目前，Cyberbit Range網(wǎng)絡(luò)靶場已經(jīng)開始引入虛擬教練員和游戲化機制。虛擬教練能夠根據(jù)學(xué)員任務(wù)完成情況，自動進行數(shù)據(jù)采集分析和評估評價。通過引入游戲化機制，擴展網(wǎng)絡(luò)安全訓(xùn)練的游戲場景，提高學(xué)習(xí)網(wǎng)絡(luò)安全技能的趣味性。

5 結(jié)語

在網(wǎng)絡(luò)空間安全人才培養(yǎng)中，網(wǎng)絡(luò)靶場是網(wǎng)絡(luò)安全實踐能力訓(xùn)練的重要支撐，具有不可替代的作用。面向人才培養(yǎng)的網(wǎng)絡(luò)靶場在形態(tài)與規(guī)模方面呈現(xiàn)出多樣化的特點，大如NCR，小至單臺靶機，都可以服務(wù)于實踐能力訓(xùn)練。隨著人們對學(xué)習(xí)網(wǎng)絡(luò)安全技能方式方法心理預(yù)期的不斷提高，游戲化和智能化已成為面向人才培養(yǎng)的網(wǎng)絡(luò)靶場發(fā)展趨勢。 

（原載于《保密科學(xué)技術(shù)》雜志2021年6月刊）