高職院校數字化網絡安全靶場的構建

王 鵬，馮 偉

（1.無錫職業技術學院物聯網技術學院，江蘇 無錫 214121；2.江南大學信息與控制國家級實驗教學示范中心，江蘇 無錫 214122）

隨著我國經濟和科技的發展，網絡安全人才缺口越來越大。在網絡安全人才需求持續升溫的背景下，網絡安全人才供給雖每年在穩步遞增，但仍供小于求[1]。日漸增加的招聘崗位數，愈發精確的網絡安全崗位人才需求，亟須高校輸送更多更高質量的人才。

網絡安全靶場是進行網絡安全技術研究、網絡安全人才培養的重要平臺[2]。傳統網絡安全靶場使用開源的云計算系統作為基礎平臺，多為基于虛擬化環境的模擬類靶場，靶場的針對性較強，但可擴展性較差，課后總結分析和回溯推演功能較弱，只能稱作單一功能的靶場，無法實現更加精細粒度的網絡仿真，難以實現虛實設備互聯，難以擴展仿真建模技術[3-4]。數字化網絡安全靶場則彌補了傳統網絡安全靶場的缺點，它既是網絡安全技術平臺，又包含了在線網絡攻防學習環境、網絡安全賽事平臺、網絡安全技術測評研究平臺[5]。通過虛擬環境與真實設備相結合，模擬仿真出真實網絡空間攻防作戰環境。

建成完整統一、技術先進、項目齊全、應用深入、高效穩定、安全可靠的數字化網絡安全靶場，不但可以滿足高校計算機網絡技術、物聯網應用技術、云計算技術與應用等相關專業的教學科研、技能實訓、攻防演練等方面的應用需求，同時還可以向包括網信、大數據、工信和電力、石油、化工等領域相關企事業單位提供安全人員訓練、運維防護、應急響應、系統測試等安全技術服務，具有重要的意義。

1 建設思路

真實網絡環境下的網絡攻防最能夠檢驗網絡的安全防御能力，可以發現網絡環境中存在的安全風險[6-7]。在超逼真的網絡環境中，通過大規模攻擊訓練、情景式防護訓練、高強度紅藍對抗、全方位系統測試、多維度裝備測試等多種典型業務應用，可以迅速強化個人實操水平、大幅提升團隊整體能力、錘煉鍛造實戰策略運用、深入挖掘系統潛在風險、全面評估裝備作戰表現[8-9]。本文研究構建的思路：構建一套接近實網環境下的數字化網絡安全靶場，首先系統平臺自主可控、安全可靠，可以提供各類設備接入及具有計算、存儲能力和資源；其次，系統采用模塊化設計，可以快速切換至不同的應用場景，可以支撐教學、科研、演練、培訓等多種需求；最后，可以通過攻防實戰演練及時有效地檢驗網絡的防護效果。

2 網絡安全靶場架構

數字化網絡安全靶場學習平臺采用分層設計，自下向上共分四層，依次是基礎設施層、核心支撐層、綜合應用層、用戶接入層。平臺分層如圖1所示。

圖1 靶場分層架構圖

第一層為基礎設施層，其底層使用私有云平臺，提供計算、存儲、網絡資源和各類設備接入能力，真實設備通過匯聚專用設備和靶場虛實結合專用設備，可以接入云平臺，實現虛實結合的仿真網絡環境。

第二層為核心支撐層，它對系統軟件模塊化解耦，對網絡靶場功能引擎和資源中心進行深度封裝，可實現定制化的場景。

第三層為綜合應用層，它提供各種不同需求的靶場應用，包括教學培訓、比武競賽、單兵訓練、團隊訓練、紅藍對抗等主要功能。

第四層為用戶接入層，此層支持不同的用戶對象，覆蓋教學、科研、演練等多場景攻防人才培養需求。

3 網絡安全靶場功能

數字化網絡安全靶場應具備四個主要功能：教育培訓功能、單兵訓練功能、團隊訓練功能、紅藍對抗功能。

3.1 教育培訓功能

數字化網絡安全靶場內置了“信息安全技術”“Web安全技術”“數據庫原理與安全”“逆向工程”“數字取證技術”“無線網絡安全”等多門課程資源，課程資源包含PPT課件、操作視頻、實驗仿真環境。教師以教員身份登錄平臺可進行教學管理，包括課程管理、學習統計、布置與批改作業。學生以學員身份登錄平臺，可以查看課件、啟動實驗仿真環境、根據操作視頻或者實驗指導書完成實驗與課后作業，并提交給老師批改。數字化網絡安全靶場的教育培訓功能可服務于高職院校網絡安全教學、師資培訓、網絡安全企業培訓、社會培訓等任務。教學仿真界面如圖2所示。

圖2 教學仿真實驗環境

3.2 單兵訓練功能

單兵訓練為用戶提供網絡安全作戰的個人技能訓練功能。用戶可以自由地進行單人作戰訓練，訓練方向分為攻擊訓練、防御訓練、漏洞驗證等多個類型。學員可根據訓練需要選擇適合自己的訓練難度，按照平臺提供的訓練任務矩陣完成該場景的訓練任務，在學員執行單兵訓練任務時，可隨時查看平臺提供的訓練手冊，該手冊可輔助學員完成任務。訓練場景可根據學員的需要隨時啟動和關閉。單兵訓練資源如圖3所示。

圖3 單兵訓練資源圖

3.3 團隊訓練功能

團隊訓練為用戶提供信息安全團隊協作訓練功能。團隊訓練有教員和學員兩種系統角色設定。教員主要負責訓練的創建、過程導調、訓練效果評估、訓練結果回顧等內容。教員根據訓練大綱或考核目標，從預置的任務庫快速導入相應的訓練任務方案，下發給受訓學員，學員按照教員給定的訓練項目進行團隊綜合訓練，在訓練過程中可以查看訓練手冊并根據任務引導，在預先配套的網絡場景中，自行進行實踐操作，并上報結果。靶場實時給用戶計分，評定成績得分。

3.4 紅藍對抗功能

靶場可支持為用戶開展紅藍對抗演練。用戶可根據對抗訓練任務目標，依托靶標庫和靶場預置的場景，選擇已有或編輯生成與對抗訓練任務匹配的場景。紅藍對抗有管理員、導演、裁判、紅方和藍方共5種角色。①管理員：演訓靶場的創建者，負責靶場的創建、維護和管理工作。②導演：控制演訓活動流程，對演訓活動進行導調，包括任務調度、事件管理、進度控制等。③裁判：對演訓活動進行裁定評判，包括設置數據采集、評判任務完成情況以及監控演訓過程。④藍方：演訓活動中的攻擊方，受訓用戶，主要操作是完成導演下發的攻擊任務，對紅方網絡進行攻擊。⑤紅方：演訓活動中的防御方，受訓用戶，主要操作是完成導演下發的防御任務，防御藍方對己方網絡的攻擊。靶場支持數據態勢展示功能，將數據采集系統所采集的各類監控數據，以及靶場活動中用戶操作產生的關鍵數據經統計分析后，形成可視化數據展示。圖4為紅藍對抗態勢圖。

圖4 紅藍對抗態勢圖

4 結束語

與傳統網絡安全靶場相比，數字化靶場具有大規模攻擊訓練、情景式防護訓練、高強度紅藍對抗、全方位系統測試、多維度裝備測試等功能。利用人工智能、仿真技術，可以進一步實現現實社會與虛擬世界的深度融合和擴展。通過數字化靶場提供的課程資源，能很好地完成教學任務和培訓任務，通過多種形式的網絡攻防對抗練習和比賽，提高學生的網絡安全知識和技能，能夠更好地實現對網絡安全專業人才的培養。■