购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.1 网络靶场概述

本节简要梳理了网络靶场建设背景与发展历程,给出网络靶场的定义,对其内涵下外延作了详细的阐述。

2.1.1 网络靶场的起源与发展

传统意义上的“靶场”,是指军队或体育队中训练射击的场地,后来也指试验武器或弹药的区域或场所。

譬如我国的朱日和合同战术训练基地就是一个典型的现代化战术训练基地。

网络安全的核心内容是“攻防对抗”。攻防对抗就需要做人员、工具、技术和战术等诸多方面的准备,攻防双方为提升行动能力,控制活动成本,使己方利益最大化,这就催生了类似于传统靶场的环境设施需求。

这种需求可以简单到支撑常规测试的普通软硬件运行环境,也可以复杂到类似美国NCR的超级平台,如图2-1所示,甚至形成跨国靶场之间的联网,实施国际网络作战协同训练、评估和演习。或者类似贵阳国家大数据安全靶场,依托蓬勃发展的大数据产业环境,重点建设面向城市网络空间真实目标的安全防护与应急响应能力,利用数字孪生技术构建虚实结合的靶标场景,不断探索分布式靶场互联互通协同机制,形成自己的发展特色。

在科研领域,由于计算机网络技术的泛在影响,没有哪个学科能脱离ICT技术的发展驱动力,数学、物理学、化学、经济学、社会学、生物学和心理学等,概莫能外。网络作为数字世界的一种超然存在,值得人们对其原理与技术进行深入研究,也值得对各类应用了数字化技术(如社交网络、区域链、人工智能和大数据)的细分领域开展学术活动。因此,超大规模网络仿真与验证环境在近几年得到国家重视。例如,深圳鹏城实验室牵头建设的国家级网络靶场侧重于网络靶场体系结构与关键技术研究。江苏省未来网络创新研究院牵头的国家重大科技基础设施项目——未来网络试验设施(CENI)骨干节点涵盖包括南京、北京、上海和天津等40个重要城市,建设了88个主干网络节点、133个边缘网络,并通过国际交换中心实现了与互联网以及国际网络试验设施的互联互通,打造了一批开放、易用和可持续的大规模通用未来网络实验设施和环境。这些环境也可以统称为“网络靶场”。

·图2-1 NCR的核心构成

2.1.2 网络靶场的概念

网络靶场是指通过虚拟环境与真实设备相结合,模拟仿真出真实网络空间攻防作战环境,能够支撑网络空间作战能力研究和网络战武器装备验证的试验平台。 网络靶场属于网络空间安全在实战研究、技能训练以及科研验证环境方面的发展创新,既借鉴了传统军事领域演训环境的概念,又基于网络空间安全自身需求,进行了内涵与外延的拓展。

由于网络空间安全需求的多样性,驱动网络靶场发展形成了模式与功能多样化的特点。譬如根据靶标构建技术的不同,有仿真靶场、虚拟靶场与实网靶场等。根据靶场功能用途来分,有测试靶场、演训靶场和科研靶场等。

万变不离其宗,作为网络靶场有如图2-2所示的几个元素是不可或缺的。

(1)复杂环境

网络靶场应具有复杂的靶标场景与配套的运行环境。网络靶场区别于简单测试环境的一个重要维度是复杂度,多样性、完整度和规模化是衡量复杂度的主要指标。

(2)等效功能

·图2-2 网络靶场的关键组成要素

靶场作为特殊的使用环境,一般不等同于真实的业务环境,但我们期望在该环境中执行各项任务所输出的结果,具有与真实业务环境相同的效果,即等效性。很大程度上,靶场的等效性需要靶标场景的真实性或等效性来予以保障。

(3)风险管控

由于靶场业务的特殊性,其自身的网络安全和数据安全极端重要。根据靶场的功能定位和数据范围,应参考网络安全等级保护制度要求部署相应安全级别防护措施,并在条件允许情况下,适当提高相应的防护等级。同时,应从技术、管理和运营三个方面构建网络靶场的安全架构,形成纵深防御体系,构建数据安全防护能力、业务端点防护能力、高级威胁检测能力、安全态势感知能力、威胁情报分析能力和威胁对抗反制能力等主动安全保障能力。

(4)体系对抗

体系对抗是指靶场中具备网络空间安全的多种要素、多种力量、多种手段的有机组合,以还原真实网安世界的多元化与复杂性。譬如,2017年美军举办的“网络旗帜”演习中,英国、澳大利亚、新西兰、加拿大等“五眼联盟”国家都有代表参加。2017年的电网GridEx Ⅳ演习中,除了公私电力部门、政府机构以外,水利、金融、通信等其他关键基础设施部门也首次参与了该演习。2018年的北约“锁定盾牌”演习中安排了真实的媒体和法律专家参与,西门子公司、爱立信公司和爱沙尼亚系统公司等基础设施供应商也参与了演习。

(5)评价体系

网络靶场毕竟是用于现实网络安全事件之外的一种“事前”预演或“事后”复盘环境,对其全过程进行数据记录,并参与靶场业务的各方、各环节进行评价分析,才有利于促进网络靶场活动质量与业务水平不断提升。因此,完善的评价体系是网络靶场的基本要求。

(6)运营模式

很多人从用户的角度了解靶场,或者从技术的角度研究靶场。但真正推进靶场迭代更新、持续发展的是其运营模式。历史上出现过很多网络靶场,但大多数靶场仅作为纯粹的“成本单元”而存在,经过最初的建设预算投入之后,虽然建成了一些环境,产生了一些效益,但随着时间的流逝,靶场的软硬件需要不断更新,而建设方的投资意愿会急速降低,最后大都不了了之。反之, 如果一开始就设计了良好的运营模式,靶场建设的投入能通过运营活动得到持续的回报,则靶场将保持持续的生命力,在安全事务中发挥独特的作用。

2.1.3 国内外网络靶场

在网络靶场建设方面,美国走在了世界前列,除建成多个小型网络靶场外,已开展国家级的网络靶场建设。在美国国家网络靶场的影响下,英、德、俄、日、韩等国均建设了同类项目,成为支撑网络空间安全技术演示验证、网络武器装备研制试验的重要工具。

网络靶场的发展可大致分为三个阶段。

第一阶段是21世纪初期针对单独的木马类攻击武器建立的实物高逼真型靶标时期。 在此阶段,各国以常见的靶标软硬件平台为目标,建立尽可能逼真的靶标平台,用于测试己方武器,主要包括早期的蜜罐系统、木马检测系统和“僵尸”工具圈养系统等。

第二阶段是2005年左右开始的小型虚拟化互联网靶场时期。 在此阶段,云计算、软件定义网络等虚拟技术是主流技术,模拟真实互联网攻防作战的虚拟环境是各个国家的主要目标。主要包括:2005年美军联合参谋部组织建设的“联合信息作战靶场”,2009年美国国防部高级研究计划局牵头建立的“国家网络靶场”,2010年美军国防信息系统局组织建设的“国防部网络安全靶场”,2010年英国国防部正式启用了由诺斯罗普·格鲁曼公司研制的“网络安全试验靶场”,此外,日本的StarBed靶场系统、加拿大的CASELab靶场系统、英国的SATURN靶场系统都属于这一阶段的建设成果。

第三阶段是2014年左右开始的支撑泛在网的大型虚实结合网络空间靶场时期。 在此阶段,各国纷纷开始研究虚实结合的网络空间靶场技术。主要包括:2014年美国国家靶场支持移动计算设备;2014年6月,北约在塔林建立NATO网络靶场,支持工控网的攻防测试,2015年7月;欧洲防备署批准建立网络攻防测试靶场。

以美国为代表的发达国家在网络靶场领域具有先发性与领先性,随后全球其他国家快速跟进,我国属于后发国家。

1.美国靶场建设情况

美国高度重视国家网络靶场建设,并一直处于领先地位。其“国家网络靶场”项目由国防高级研究计划局负责组建,通过构建可靠的互联网模型,用来进行网络战争推演。该项目于2009年1月启动,2011年10月完成原型开发,之后连续多次成功应用在代号为“Cyber Storm(网络风暴)”的大规模实战演练中,取得了良好的效果。美国国家网络靶场的最终目的是保护美国的网络安全,并能展开在线攻击。

美国靶场发展历程如下。

(1)烟囱项目期

从20世纪60年代起,美国各军种斥巨资兴建大型的综合性试验靶场,且靶场数量与规模激增,形成很多内容雷同、功能单一的“烟囱式”靶场项目。20世纪70年代,美国国防部又对原有试验靶场设施进行全面审查,从中遴选出26个试验场作为国防部重点试验靶场。2002年裁减为19个重点靶场与试验设施基地,2007年为提高试验能力,又重新调整试验资源配置、明确专业分工,将重点靶场与试验设施基地增加至24个,作为重点投资建设对象。重点靶场和试验设施基地项目的实施极大地推动了美军试验靶场的建设速度和质量,为信息化联合靶场建设奠定了基础。

(2)联合建设期

美国靶场的发展有两个非常明显的方向,即靶场基础设施和试验技术的改进、试验设施和试验资源互联互通与互操作程度的提高。1992年,美国国防部明确提出靶场试验的互联、互操作。1994年,美国国防部明确建立旨在使各靶场、试验设施、仿真资源之间互操作、可重用、可组合的“逻辑靶场”,使“烟囱式”分布的靶场集成为一个靶场联合体,即“联合试验与训练靶场”。1995年,美国国防部试验与评估投资中心项目办公室正式发起三军联合的“试验与训练使能体系结构”技术研发项目,目的是为“逻辑靶场”建设提供技术支撑。1997年,美国国防部制定了“联合试验和训练靶场路线图”,为促进“逻辑靶场”的实现制定了靶场系统建设的宏观决策和战略规划。1998年,美国国防部的“建模与仿真高层体系结构”“联合先进分布式仿真联合试验与评估”项目取得成功,确认了不同地域的靶场、设施、试验室及仿真资源的“无缝”集成和进行联合试验训练的可行性。联合试验训练靶场建设是靶场信息化建设的必然产物,它顺应了靶场发展的客观规律,反映了美军装备试验模式的深刻转型。

(3)国家统筹期

随着信息技术与网络技术的发展,利用网络攻击网络已经成为一种新的作战样式,对国防安全构成极大威胁。为了加强网络战攻防试验,应对美军对网络战的需求,2008年1月,时任美国总统小布什签署“国家网络安全综合计划(Comprehensive National Cyber Security Initiative,CNCI)”。国家网络靶场(National Cyber Range,NCR)是该项目的重要组成部分,由美国国防部先进研究项目局(Defense Advanced Research Projects Agency,DARPA)负责管理,靶场建成后为美国国防部、陆海空三军和其他政府机构服务,如图2-3所示。

·图2-3 美国国家靶场的官方介绍资料

NCR项目是美国国会向DARPA直接下达的70年来的唯一项目。NCR具备的能力主要包括:重现大规模军用网络和政府网络的能力;重现商用无线网络、战术无线网络及控制系统的能力;支持不同等级环境下的计算机网络防御、侦查和攻击测试的能力;支持成千上万的虚拟和实际测试节点,并能提供自动测试的能力;根据测试单位的需要和资源的可行性,测试个人计算机安全和大规模网络安全的能力;真实复制相关用户行为及弱点的能力;高度仿真国家级攻防对抗的能力;加速或减缓相关测试时间的能力;通过集成、复制或模拟技术,测试主机系统安全、网络安全工具和套件的能力。封闭或隔离测试数据的能力;开发与部署创新性网络测试的能力等。

NCR项目的参与方主要为BAE系统公司、通用动力公司和约翰霍普金斯大学应用科学实验室等企业和机构,此外也涉及了大量网络安全企业、学术机构和商业实体。NCR项目以真实的网络作战环境为模拟对象,以各种网络、电子战手段为技术对抗对象,通过模拟真实环境的演练实现网络战实力的提升,为美军网络战攻防试验能力带来革命性的飞跃。

2.其他国家情况

日本提出了“StarBED(星平台)”系统规划,由日本情报通信研究机构于2002年主导研制,主要提供大规模的网络试验环境,用于评估真实场景下的新技术。项目初期构建了512个主机与服务器节点,经过2006—2011年的SarBED2、2011-2014年的StarBED3(StarBED Cubic)迭代升级,截至2014年,在用的实验组总节点数达到1398个,数据存储量为60TB,建设形成大型仿真试验台,为新一代ICT系统的处理和研发生命周期支持设定目标,并规划与JGN-X形成协作。2016—2020年为StarBED4(StarBED Force)阶段,重点在评估环境中引入物联网设施,包括移动终端、传感器等相互连接的实物设备,以及温度、磁场和人类行为等重要因素。2021年4月开始建设的StarBED5(StarBED Fifth)目标是建立一个CyReal环境,实现模拟环境、仿真环境和真实环境下部件的无缝连接,并可修改每个部件的抽象级别,达到理论评价与实际运行的一致性。

英国于2010年全面启动国家级网络实验靶场(FCR)建设。该试验场由美国诺斯罗普·格鲁曼公司搭建,系统和硬件设施设计复杂,与互联网物理隔绝,可以实现模拟大型复杂网络与互联网用户行为,并在安全可控的试验环境下进行基础设施生存能力和可行性方面的网络试验及评估。该试验场可以与诺斯罗普·格鲁曼公司在美国马里兰州建立的美军“网络空间解决方案中心”,以及全球其他网络实验室互联,以增强网络模拟能力,进行全球范围内的网络攻防试验。与此同时,在路由器、交换机、服务器、防火墙、监测设备和无线系统等方面都尽可能重现真实互联网应用场景,网络战人员可以方便地在这个环境中反复演练入侵和防御手段,并将相关数据生成报表,用于学习总结和展现。

澳大利亚的网络测试靶场项目于2012年10月启动,由美国诺斯罗普·格鲁曼公司为澳大利亚新南威尔士大学、澳大利亚国防学院堪培拉校区建设,主要用于澳大利亚军事网络技术的发展、测试和评估。

加拿大国家仿真实验室也建立了相应的项目开展类似的工作,由维多利亚大学计划开发,在完全可重复的实验条件下对真实世界大规模网络系统行为进行虚拟仿真,从而支持对互联网新技术(武器)的鉴定和评估。

3.重要的商业网络靶场

Breaking point是英国IXIA公司的网络靶场系统,它支持流量生成和仿真,以创建一个互联网规模的网络靶场环境。Breaking point中对互联网环境仿真包括目标仿真、漏洞仿真、逃避仿真和流量仿真,并且还包括互联网IPV4和IPV6基础架构、企业和IT服务、人口和国家用户群,用于数据泄露保护(DLP)的相关数据、移动用户群等仿真。

IBM的商业化网络靶场主要经历了两个阶段:部署在IBM总部的网络靶场(X-Force Command Cyber Range)和移动式网络靶场(X-Force Command C-TOC)。2016年11月,IBM安全部门投资2亿美元,在美国马萨诸塞州剑桥市建立新的IBM全球安全总部,并在该总部设置IBM的网络靶场,该靶场部署在一个封闭的网络中,模拟了一个虚构的公司,该公司由1PB的信息、3000多名员工/用户、一个可能遭受攻击的内部网络和模拟互联网组成,通过构建真实场景来进行实时恶意软件和安全事件应急的培训教育。该靶场的成功之处是为参训人员提供了具有沉浸式真实体验的演训感受。

基于X-Force Command Cyber Range靶场的良好体验,同时为了满足不同地域客户使用的需求,IBM花了一年半的时间建立了一个定制的移动网络靶场或网络战术运营中心(C-TOC)。2018年10月15日,在美国纽约布鲁克林区举行的IBM安全峰会上,IBM演示了业界首个基于牵引式联接车内部的移动安全运营中心的功能,如图2-4所示。IBM X-Force Command C-TOC获得了2018年的爱迪生奖,以表彰其在技术创新、新产品和服务开发方面的卓越表现。

·图2-4 IBM X-Force Command C-TOC

4.国内靶场建设情况

我国网络靶场建设和应用与数字化进程息息相关,目前正处于快速发展阶段。种类丰富的靶场设施不仅广泛存在于科研院所与高等院校,随着各行业企业对网络安全投入的增加,头部企业已开始重视网络靶场在具体业务场景中的使用,以解决各自面临的网络安全挑战。当然,不同行业单位建设的靶场,从功能形态、应用场景和使用模式上存在着极大的差别。如校园靶场侧重于为信息安全、网络安全专业师生提供专业教学的支撑,或者是科研机构与实验室的科研创新平台;当靶场作为行业专用试验场时,其主要功能是研究电子信息对抗与仿真技术、为行业产品进行试验及检测等。总体来看,我国现有的网络试验环境或测试床总体规模还比较小,网络靶场的需求正在快速上升,提供专业化程度较高的靶场平台产品、靶场运营服务的厂商与机构也在不断增加。贵阳靶场、鹏城靶场等全国多个城市靶场,以及涉及能源、金融、交通和工控等关键信息基础设施行业的网络靶场已在发挥重要的安全支撑作用。

2.1.4 网络靶场的发展方向与新兴技术应用

近年来,因为国内外网络安全形势的严峻性使各国在“实战型”“智能化”网络靶场方面的进展非常迅速,在一定程度上代表着网络靶场的发展方向。

网络靶场,尤其是高级别的实网靶场与综合靶场,首先需要解决靶标场景的真实性问题。如果将实网靶标应用于网络攻防实战演练或实训实测中,则存在安全管控的巨大挑战;如果使用虚拟仿真等技术解决该问题,则会出现其他一系列相关问题。

首先,针对“实战化、体系化、常态化”要求,实网靶场需要规避传统网络靶场平台存在的六大现实问题。

·仿真靶标滞后性与现实目标渐变性的矛盾。

·仿真靶场局限性与现实网络复杂性的矛盾。

·仿真环境通用性与关键设施差异性的矛盾。

·靶场架构固化性与现实威胁多样性的矛盾。

·靶场能力单纯性与体系对抗综合性的矛盾。

·靶场建设艰巨性与现实需求急迫性的矛盾。

其次,为达成面向实战的网络靶场建设目标,还需要重点解决以下八大技术挑战。

1)推动网络靶场技术、演习训练模式从仿真模拟时代迈入实网对抗时代,突破传统产品形态,创新一种面向网络空间真实目标、实施真实对抗、推动全社会网络安全水平提升的社会化网络安全能力的复杂环境与综合体系。

2)靶场架构需在确保系统自身安全可靠与攻防过程严格可控的前提下,最大限度地发挥攻击方的主动性与攻击能力。

3)网络实战攻防演练产生大规模平台用户活动与海量攻击流量,需解决实时分析、实时建模与实时管控难题。

4)国家级网络实战攻防演练,需体现国家级网络攻防对抗能力,需解决如何利用安全大脑能力实现APT级别技战法支撑的难题。

5)常态化攻防演练积累了海量攻防数据,需解决挖掘利用的难题,以不断提升对抗水平,并发展出具有自动化、智能化特色的攻防技术。

6)攻防演练检测出防护体系和安全产品的技术缺陷与能力短板,需要解决如何完善安全产品技术标准、推动安全行业发展的难题。

7)解决国家级网络实战攻防演练所需的“挂图作战”指挥调度问题。

8)探索超大规模社会协同与社会动员在网络安全领域的应用模式。

上述八大挑战是成功研制实战型网络靶场的关键。靶场建设单位需以“理论指导技术、技术创新平台、平台支撑实战”为路线,聚焦靶场架构与关键技术,进行研究创新。

网络靶场通过应用新兴技术以及反向应用于新兴技术而获得持久的生命力。

首先,云计算、软件定义网络、大数据、人工智能和量子技术为现代网络靶场注入了源源不断的发展动力。 如前所述,网络靶场在发展过程中遇到大量基础理论、实现技术与应用模式问题的挑战。需要用面向未来与实事求是的思维应对这些挑战,尤为重要的是需要大胆引进新技术,通过突破技术的边界来解决新问题。网络靶场的海量计算资源、存储资源与网络资源可以用云计算技术来管理,其“快速构建、弹性配置”的需求可以用软件定义网络(SDN)来满足,其“智能分析、自动攻防”的能力需要大数据与人工智能技术支撑,其“分布联网、安全通信”的要求可以引进量子通信实现安全保障,从而实现网络靶场向“智能化”发展阶段迈进。

其次,新技术、新应用迫切得到网络靶场的实战验证, 可以把这类靶场攻防能力在新兴领域的应用称为“新兴网络靶场”,定位于依托当前及未来网络新技术,如下一代移动通信、物联网、车联网、无人机、智能家电、卫星网络和量子技术等,构建具有一定前瞻性试验性质的虚实一体网络靶场,为预研未来网络安全新态势和网络对抗新技术等提供环境和设备支持。 7x1Dmo4WbcCLG6COEkHoF8Zhy9bjKsKhej6eHCBDZ4F6x3s01KKxFj79R+y+X1pQ

点击中间区域
呼出菜单
上一章
目录
下一章
×