網絡安全行業級模擬攻防實驗中心建設探索

楊斯可 張中寶

摘 要：網絡安全的本質是攻防，攻防的核心是人才隊伍。在當前日益復雜的網絡安全形勢下，如何構建一套有效的人才隊伍建設體系是當前及今后亟待解決的問題。針對煙草企業在網絡安全人才隊伍培養方面存在的不足，本文設計了一套集CTF奪旗賽的課程體系、模擬實驗平臺、多方共治機制于一體的網絡安全模擬實驗中心方案，為推動煙草企業網絡安全治理體系建設，提升網絡安全綜合治理能力提供一條新的路徑。

關鍵詞：網絡安全;煙草行業;實驗中心;多方共治

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2020）10-0087-03

0引言

互聯網時代，煙草企業在“數字煙草”和“互聯網+煙草”的信息化發展戰略的推動下，信息化觸角已延伸到企業運營的方方面面，沒有信息化就沒有企業發展的現代化，而保障信息化基礎設施的安全穩定成為保障企業高質量發展至關重要的一環。同時《網絡安全法》、《網絡信息內容生態治理規定》、《網絡安全審查辦法》等一系列國家級法律政策的先后出臺，對網絡安全工作提出了更高的剛性要求。網絡安全是沒有硝煙的戰場，比拼的是攻防雙方的綜合實力，其核心是人才。當前，煙草行業在網絡安全人才隊伍建設方面，主要方式是選派計算機相關專業人員擔任網絡安全管理員，定期組織線上或線下的網絡安全知識培訓，這種“專業人員+定期培訓”的人才隊伍建設模式在前期實際工作中發揮了積極作用，但在應對目前復雜變化的網絡安全形勢及新的履法要求上日顯不足，迫切需要創新網絡安全人才隊伍建設模式，更好地應對外部變化，保障內部信息化基礎設施的安全，推動實現網絡安全治理體系和治理能力現代化。

大數據、云計算、虛擬現實、人工智能、移動互聯等IT新技術已在社會各行業中顯現出巨大的經濟效應。模擬攻防實驗中心[1]作為傳統網絡安全培訓教育的升級版，更側重于實踐性，更側重于多方共治的協同性。本文重點探索建設集知識性、趣味性、挑戰性和創新性于一體的網絡安全模擬攻防實驗中心（簡稱實驗中心）平臺，通過成體系的課程培訓和模擬攻防技能培訓，鍛煉具備強烈攻防意識和攻防能力的網絡安全隊伍，并利用實驗中心平臺申報創新項目，匯聚多方人才力量對共性的網絡安全問題展開研究、給出方案、評估實施，形成多方共治的、動態的網絡安全治理體系，打造行業級的網絡安全模擬攻防實驗中心，為行業網絡安全治理能力現代化提供可行建設方案。

1實驗中心需聚焦解決的主要問題

為構建符合煙草實際的實驗中心平臺，本文對照目標要求，堅持問題導向，設計有針對性的解決方案。當前網絡安全治理存在的問題主要有：

（1）網絡安全治理相對獨立沒有形成有效的合力。當前行業各主體單位在經費投入，人才保障等方面相對獨立，未形成合力，相互溝通聯系不夠，多停留在經驗分享層面。各方人才力量、技術資源沒有得到有效整合共享，形成共同治理，究其原因是缺乏聯系各方力量、資源的紐帶。資金投入和人才隊伍保障是網絡安全治理的核心要素，在一些生產經營規模相對較小的單位很難提供足夠的經費和人力的支撐，這在客觀上制約了網絡安全整體治理水平的提升。

（2）安全培訓結構不均衡和缺乏有效的人才評估機制。傳統的網絡安全教育培訓結構不均衡，存在重理論知識，輕實踐對抗，課程設置不成體系等問題。網絡安全管理人員對安全威脅認識不夠，安全意識沒有得到真正的提高，對安全預警漠視等現狀均埋下大量安全隱患。由于缺乏相應實驗平臺和保障機制，網絡安全攻防實踐很難在真實的業務網絡中開展，加上部署攻防模擬環境的復雜性及建設成本等問題，要在每個單位普及這樣的實驗中心平臺建設仍存在現實困難。另外，對網絡安全人才缺乏有效的評估和激勵機制，難以在人才隊伍建設方面形成有效的管理閉環。

（3）對外部安全形勢變化和攻擊手段的認識不足。知己知彼，方能百戰不殆。全面掌握外部安全形勢變化，準確判斷攻擊者慣用手段，在網絡安全治理能力中至關重要。由于長期重安全設備部署，輕人才隊伍建設，重業務可用性，輕業務安全性的認識偏差，同時缺少與外部專業機構合作平臺、合作機制，導致對外部最新安全形勢變化的了解掌握存在一定的滯后性，對黑客攻擊最新手段不了解，造成網絡安全攻守雙方力量的失衡，給內部安全造成很大的安全隱患。

2網絡安全模擬攻防實驗中心的職能設計

堅持“學以致用”的原則，實驗中心在設計上綜合應用了大數據、多媒體、虛擬仿真等技術;在人才隊伍培養上創新訓練模式，增強實踐性、對抗性訓練;突出聯防聯控的協同能力，凸顯人的因素在網絡安全治理中的核心作用。

2.1 創新網絡安全人才隊伍建設新模式

行業內地市級公司的網絡安全防護力量相對薄弱，安全管理人員能力水平參差不齊，有些安全問題很難獨自解決。實驗中心基于CTF奪旗賽的能力要求構建網絡安全人才培訓和評估機制，注重具有創新精神和實踐能力的人才培養與選拔，組建“尖刀班”“突擊隊”，匯聚各單位優秀人才力量，以項目方式研究解決共性難題。

傳統的網絡安全人才培養方式主要包括定期的線上/線下培訓，理論知識集中講授等。這種模式不僅內容連續性不強，而且缺少實踐環節，極大限制了網絡安全人員的攻防實踐能力和創新意識的激發，造成重設備輕人才的局面。

虛擬仿真技術的出現為人才培養提供了新的視角和新的解決方案，可有效彌補傳統模式的短板，激發學員的學習興趣，提高攻防實踐能力，實現理論與實踐教學的完美結合;同時攻防演習是在虛擬環境中開展，既不會影響業務系統正常運行，更不會出現病毒隱患。模擬攻防平臺具有開放性強，資源共享程度高，人才能力評估可量化等優勢。綜合來看，模擬攻防實驗中心可集知識性、趣味性、實踐性和創新性為一體，滿足基礎型、應用型、綜合型和創新型人才培養的要求，可作為人才隊伍培養的新模式。傳統模式與新模式的對比如表1。

2.2 實驗中心可提升網絡安全多方共治的能力水平

綜合應用多媒體、虛擬現實、云、網絡、人機交互等技術手段，實驗中心平臺，可提供教學培訓、模擬攻防靶場[2]和基于項目的多方共治。其中，教學培訓系統提供科學、系統的全套視頻課程，重點是知識的講授，滿足學員知識獲取，學習計時的需要;在實踐層面，主要包含兩個環節：一是基于CTF奪旗賽在線解題獲取積分，題目類型豐富多樣，包括雜項、密碼、WEB、逆向、PWN等，在解題中強化知識的掌握，不限時間、不限地點，可充分利用碎片化時間;二是基于虛擬仿真技術搭建網絡安全模擬攻防“靶場”，所有學員可組建團隊對“靶場”展開攻擊獲得積分，同時加固“靶場”防守避免被攻擊而失分，在平臺中可開展常態化的月度線上培訓、季度實戰PK、半年技能排名等舉措。通過實驗中心平臺選拔匯聚人才，以項目為載體，實現網絡安全多方共治，難點協同共解，提高網絡安全整體治理水平。

3實驗中心的建設

網絡安全模擬攻防實驗中心建設主要包含三部分：一是機構設置，為保障職能實現，實驗中心首先需要一個高效的組織機構;二是制度機制建立，在組織機構基礎上，需要有一套運行的制度機制，支撐實驗中心有序運行;三是實驗中心平臺，基于虛擬仿真技術的模擬攻防實驗系統平臺，通過不同的應用場景實踐提高學員安全攻防能力，增強人的因素在網絡安全綜合防護中的價值作用[3-4]。如圖1所示。

3.1安全決策機構

實驗中心需要一個高效、專業的組織機構，實行集體領導，由信息化主管部門負責，是實驗中心決策、監督的領導機構。其主要職責是落實煙草行業網絡安全方針、政策和法律法規，研究網絡安全重大事項，重點工程的決策推進工作。堅持網絡安全為大家，網絡安全靠大家的原則，在專家委員會人員組成方面，主要包括網信主管部門人員、行業內專家人員、行業外專家顧問等，也為跨主體單位的聯合運行機制提供基礎。

3.2聯合運行機制

網絡安全行業是一盤棋，任何一個環節，一個區域出現風險點，都會影響整體網絡的安全運行。為支撐實驗中心有序運行，達到廣泛的、有效的選拔培養網信人才，組建“尖刀班”“突擊隊”，實現聯合共治。通過實驗中心平臺可打通不同企業主體、跨單位人才聯合，解決構建網絡安全的多方共治機制，其主要運行流程是：由各單位主體，結合工作實際提出網絡安全服務需求;由網信主管部門把問題“掛牌”，在平臺上公開，由行業各單位網信人才共同研究解決;再由科技企業給出具體實施方案;最后由網信主管部門審批實施。整個共治運行機制，形成“先自下而上，后自上而下”的網絡安全綜合治理的管理閉環。如圖2所示。

為保障主體流程的高效運行，還需探索建立評估機制和激勵機制，為聯合運行機制提供源動力。在激勵機制方面，可為網絡安全優秀人才提供培訓進修的機會，打通職業技能晉升通道，給予物質和精神獎勵等。在評估機制方面，可基于學習積分、奪旗積分、競賽積分，參與解決網絡安全難題等多方面綜合評估，科學客觀選拔出優秀網信人才。

例如，在實際工作中，針對業務系統上線前缺乏安全檢測有效抓手的問題，通過實驗中心平臺可組織網絡安全技術人才對擬上線的業務系統開展模擬攻擊，檢驗系統是否具備上線運行的安全條件，因而基于虛擬仿真技術的模擬攻防實驗中心平臺在推動網絡安全治理體系和治理能力現代化方面具有很強的現實意義。

3.3攻防模擬平臺

基于仿真技術的模擬攻防平臺主要有基于CTF奪旗賽的在線課程學習、解題訓練及模擬攻防對戰。

（1）CTF課程體系平臺。課程體系建設是基于CTF奪旗賽設計，重點是增強趣味性，寓教于樂，所有課程成體系具備連續性，同時在奪旗過程中靈活應用網絡安全知識，強化對知識的理解，增強學員的創新能力。課程學習利用在線多媒體分享的形式，學員注冊登錄后即可選擇視頻學習，并在CTF奪旗賽網站進行奪旗練習。例如，攻防世界、CTFhub等。在線課程主要包含有WEB安全類、Misc類、密碼類、逆向類、PWN類及AWD類等，所有學員可隨時隨地學習，不局限于時間、地點，也不局限于人員范圍，趣味性更強，知識成體系，并在學習和解題中獲得積分可作為網絡安全人才選拔評估的重要參考，增加學員學習的積極性。

（2）模擬攻防場景平臺。網絡安全模擬攻防實踐平臺，主要是選取網絡安全工作中常用的、重要的應用場景，利用虛擬仿真技術構造模擬攻防環境，為學員提供演練技能的“靶場”。借助模擬仿真技術，學員可在模擬攻防場景平臺中重復實踐，認識網絡安全攻防規律，掌握攻防手段。除了特定的模擬應用場景外，行業學員甚至可組成紅藍隊伍，在模擬平臺中開展攻防演習，收集信息、挖掘漏洞、展開攻擊，同時部署安全軟件，加固城防，監控外部流量攻擊等實踐，不斷錘煉網絡安全隊伍在網絡安全攻防中的對抗意識與對抗能力。

圖3所示，我們列舉了6個模擬場景，包括漏洞探測場景、SQL注入場景、安全加固場景、防火墻場景、文件監控場景、WAF防護場景等。實際模擬平臺不僅限于以上幾種場景，采用虛擬仿真技術，可根據需求隨時啟用虛擬機部署新的模擬環境，可擴展性好。另外，對于我們所有學員來說，在學習網絡攻防技術前提是必須合法合規，須簽訂相關安全協議，所有工具和技能僅用作學習和工作所需，不得利用技術對外攻擊他人的系統等。

4 結語

網絡安全模擬攻防實驗中心的建設，彌補了傳統網絡安全培訓方面偏理論輕實踐的不足，增強了趣味性、實踐性、創新性，通過CTF奪旗賽的形式不斷強化學員對網絡安全知識的理解和運用;基于虛擬仿真技術構建的攻防模擬實驗平臺，增強學員網絡安全攻防實踐能力，對網絡安全實際工作具有很強的積極意義。同時實驗中心平臺統籌協調資源，推動實現多方網絡安全共治。下一步，筆者將根據實際不斷優化課程體系，豐富模擬攻防的應用場景，完善多方共治的運行機制，進一步發揮實驗中心平臺在網絡安全治理體系和治理能力現代化發展中的價值作用。

參考文獻

[1] 徐進.2013年國家級虛擬仿真實驗教學中心建設工作小結及2014年申報建議[J].實驗室研究與探索，2014，33（8）：1-5.

[2] 羅曉東，尹立孟，王青峽，等.基于虛擬仿真技術的實驗教學平臺設計[J].實驗室研究與探索，2016，35（4）：104-107.

[3] 李林，陳宇峰，李仲君，等.大規模在線虛擬實驗教學平臺的建設與實踐[J].實驗技術與管理，2018（7）：15-19.

[4] 彭正明，黃建忠.網絡安全虛擬仿真實驗教學中心建設[J].計算機教育，2015（23）：18-21.