高等院校網絡靶場建設的需求分析及架構功能設計

摘? 要：高等院校網絡靶場要求能提供豐富的模擬設備，同時模擬多個分級分域的虛實互聯的實驗網絡環境，支持授權用戶在此環境中進行多種場景的實驗、測試和競賽，并能支持較大規模的應用安全訓練場景模擬。本文在網絡拓撲設計、節點模擬和環境構建上進行設計，并按院校的教學科研需求將靶場按三個維度進行驅動：分別是以課堂為基礎的模塊，自定義進度的安全挑戰，以團隊為基礎的動態練習，以此滿足高等院校建設網絡靶場的教學科研等需要。

關鍵詞： 網絡靶場;需求分析;架構;功能

Abstract： The cyber range of colleges and universities is required to provide a wealth of simulation equipment; simulate the virtual and real interconnected experimental network environment of multiple levels and sub domains at the same time; support authorized users to carry out experiments， tests and competitions in this environment; and support large-scale application security training scenario simulation. This paper conducts network topology design， node simulation and environment construction， and drives cyber range in three dimensions according to the teaching and scientific research requirements of colleges and universities. These requirements are related to modules used in classrooms， safety challenges of customized schedules， and dynamic practices of teams， so to satisfy teaching and scientific research requirements in the construction of cyber range in colleges and universities.

Keywords： cyber range; requirements analysis; framework; function

1? ?引言（Introduction）

隨著物聯網技術的發展，網絡深入到了社會生活的方方面面，從虛擬走向了實際的物理世界。伊朗核電事件和烏克蘭電廠事件標志著網絡安全已經從信息泄露轉化成與人們的生命財產相關的國家基礎設施的安全，是一個關系著國家安全和主權、社會的穩定的重要問題。

在這種網絡空間對抗形勢日趨嚴峻的情況下，基于網絡仿真與效果評估關鍵技術構建的網絡靶場意義就愈發顯得重要[1]。它能夠對網絡技術進行演示驗證、對網絡攻防武器裝備進行研制試驗和作戰試驗、對作戰效能進行定量定性評估、對網絡攻防技術人員進行訓練演練。

美國、日本、英國和加拿大等國均高度重視網絡靶場建設，將其作為支撐網絡空間安全技術驗證、網絡武器試驗、攻防對抗演練和網絡風險評估的重要手段。我國網絡安全問題嚴重，每年的經濟損失達數百億美元，網絡靶場研究成果 如能很好地推廣，將惠及網絡安全相關企業及網民，可提高企業的核心競爭力及網民的安全意識與能力，從而極大的減少經濟損失。因此，無論是從保證國家安全、維護社會穩定以及產業發展、減少經濟損失等方面，網絡靶場都具有廣闊的應用前景，具有很高的社會和經濟效益[2]。

2? ?需求分析（Requirements analysis）

網絡靶場是針對網絡攻防演練和網絡新技術評測的重要基礎設施用來提高網絡和信息系統的穩定性、安全性和性能，培養實戰型的網絡安全人才隊伍。網絡靶場的主要作用[3]包括：（1）網絡攻防武器評測驗證：新型網絡攻防武器研制出來之后，需要對其進行測試驗證，是否能有效攻破敵方防護系統，以及是否能有效保護我方目標系統;（2）科學試驗和新技術驗證：網絡空間科研 人員研制出新的網絡協議，新型網絡設備，以及不同網絡新技術，在網絡空間上功能和性能如何，也需要進行驗證;（3）支持人員培訓與演練：隨著新型網絡攻防武器的研發，具體網絡安全人員能否有效掌握，網絡靶場可以對其進行有效的評估。

總結以上需求的共性，網絡靶場最基本的需求是模擬用戶需要的網絡環境并支撐網絡環境的運行，支撐用戶在模擬的網絡環境中完成用戶的任務，在任務完成后保存任務數據，釋放模擬的網絡環境占用的資源并支持資源的重用。 因此，從模擬對象和試驗任務兩個方面分析網絡靶場需求。

具體到校園環境，總結需求如表1所示。

3? ?特點分析（Characteristics analysis）

高等院校網絡靶場要求能提供豐富的模擬設備，同時支撐模擬多個分級分域的虛實互聯的隔離實驗網絡環境，并支持授權用戶在此環境中進行多種場景的實驗或者測試。網絡靶場支持大規模的網絡應用（訓練）場景模擬。通過在網絡拓撲設計、節點模擬和環境構建上的一系列設計，支持用戶構建大規模的網絡環境，以滿足網絡靶場模擬實際應用的需要。

在模擬試驗網絡環境方面，網絡靶場應在實物、虛擬機和容器三個層級提供各種類型的網絡設備和主機設備[4]，以滿足用戶對設備模擬的不同逼真度的需要，同時也提供流量和用戶行為模擬的支持。靶場也提供合作伙伴的模擬設備類型，便于實現模擬的精細化。

在試驗支撐上，網絡靶場按實驗準備、實驗運行和實驗收尾三個階段，采用訓練配置工具，提供實驗資源準備、實驗環境設計、實驗環境部署、實驗任務設計、實驗數據采集配置、實驗數據分析規則配置、人員管理、人員權限管理、環境訪問支撐、實驗態勢展示、實驗環境管控、實驗過程管控、銷毀實驗環境的支撐等。同時提供子網模板、環境模板和實驗模板，支持實驗人員復用網絡拓撲的設計和實驗的設計。使用子網模板和環境模板，便于實驗人員將典型的網絡結構存儲起來，從而降低了重構實驗的人工成本。

網絡靶場中的流量發生器可提供在實驗環境產生良性數據流量，并實現網絡中的設備運行狀態和流量的采集，節點采集內容包括節點的CPU、內存、硬盤利用率，文件變化情況、注冊表變化情況、端口開放情況、流量、網絡連接情況和進程變化等。

網絡靶場提供基于場景的評估模型，支持正確性評估和量化評估，并提供可自定義的分析規則定義，允許用戶根據需要編寫分析規則，利用采集數據進行分析評估[5]。網絡靶場基于網絡拓撲和采集數據的分析結果展示實驗態勢。網絡靶場提供豐富的基礎資源庫，包括鏡像資源、靶機資源、攻防軟件和典型攻防場景等，為實驗人員使用網絡靶場提供資源和使用的范例。

4? 架構設計與功能分析（Architecture design and function analysis）

4.1? ?介紹

院校環境的網絡靶場以需求確定、任務設定、資源配置、運行部署、實驗運行、數據采集和結果評估作為網絡安全實驗的業務流程展開，以支撐網絡安全實驗的整個生命周期。利用網絡靶場，可以快速構建大規模的網絡安全實驗環境，并展開相關的網絡安全實驗，在研究完成后可以釋放資源并再利用資源，同時系統提供的環境模板和實驗模板功能可以直接重構實驗，從而為分階段的周期性實驗提供了便利。

4.2? ?技術架構

網絡靶場的技術架構如圖1所示。

此架構提供了一種側重于操作的方法，通過角色和任務來測試個人和網絡防護團隊的技能和能力。在這個框架中，每個用戶都可以分配到一個學習計劃，這個計劃為衡量個體的熟練程度和整體進步提供獨特的評分方法。

利用上面圖中所示的框架，可以推動學生的網絡防御能力形成。整個靶場可以按三個維度進行驅動：分別是以課堂為基礎的模塊，自定義進度的安全挑戰，以團隊為基礎的動態練習。

（1）基于課堂基礎知識的實驗模塊覆蓋四個層次，如表2所示。

（2）自定義的安全挑戰涉及的五個主題類別，如表3所示。

（3）基于團隊的動態訓練內容，內容描述如表4所示。

5? ?結論（Conclusion）

高等院校自行開發網絡靶場的優劣勢分析：自行搭建基于校園環境的靶場的主要優點是可以完全自行定制，讓它更符合學生，院系及課程的要求，建設團隊自己從底層開始搭建自己的定制化靶場，最終建成的網絡靶場應更符合最初的計劃和設想，并且更加適合院校使用。但更多的實踐告訴我們：網絡靶場的復雜性，要完成任務的數量將變成沉重的負擔，同時隱性費用的也將持續不斷上升。高等院校自建靶場對建設團隊在專業能力，實戰經驗方面都有著很高的要求。

參考文獻（References）

[1] 方濱興，賈焰，李愛平，等.網絡空間靶場技術研究[J].信息安全學報，2016，1（3）：1-9.

[2] 李建華.多元化多層次網絡空間安全人才培養創新與實踐[J].信息安全研究，2018，4（12）：15-24.

[3]韓衛國，徐明迪.面向賽博空間的網絡靶場建設思路[J].計算機與數學工程，2015（8）： 103-108.

[4]程靜，雷璟，袁雪芬.國家網絡靶場的建設與發展[J].中國電子科學研究院學報，2014（5）：446-452.

[5] 李秋香，郝文江，李翠翠.國外網絡靶場技術現狀及啟示[J].信息網絡安全，2014（9）：63-68.

作者簡介：

張月紅（1975-），女，碩士，副教授.研究領域：滲透測試，漏洞挖掘，WEB安全.