在職民警網絡安全技術遠程云實訓模式構建＊

徐國天 中國刑事警察學院

引言

2020年4月，中國互聯網絡信息中心（CNNIC）發布第45次《中國互聯網絡發展狀況統計報告》，報告顯示，截至2020年3月，我國網民規模為9.04億，互聯網普及率達64.5%。隨著網絡應用的普及，利用網絡技術實施的黑客入侵類犯罪也在不斷增多，造成的危害越來越大[1]。截至2019年12月，CNCERT共監測發現我國境內被植入后門的網站數量達到84850個，較2018年底增長了259.4%，其中政府網站數量達到717個，較2018年底增長6.4%，占比最高的網絡安全事件包括個人信息泄露、上網設備感染木馬和病毒、網絡詐騙、賬號和密碼被盜等[1]。網絡入侵案件對公民個人信息安全乃至國家安全均構成嚴重威脅，面對黑客攻擊類案件不斷增多的實際情況，廣大在職民警急需提高辦理此類案件的調查和取證分析能力，參加業務培訓是培養和提高相關業務能力的有效措施。但是在職民警通常面臨繁忙的日常工作，無法調整出大塊空閑時間到異地參加集中培訓。干警自身的業務空閑期與地市集中培訓的時間段不一致，培訓名額限制等因素，也會導致有意向參加培訓的干警無法得到培訓鍛煉，進而錯失了能力提升的良機。新冠疫情期間，全國各層級教育系統普遍采用的遠程線上教育模式啟發，如能將在職民警的線下集中培訓方式適度、適量調整為線上遠程培訓，采用彈性培訓時間安排，將有效解決目前在職民警培訓所面臨的諸多問題，顯著減低培訓費用，提升在職民警參加培訓的普及率。

為了確保遠程線上培訓與線下現場集中培訓等質同效，需要解決好以下問題：（1）構建完善的遠程實踐訓練平臺，降低民警參加實訓的操作門檻，達到與現場教學相同的實踐演練效果；（2）完善實踐培訓內容，改變現有實訓平臺側重網絡安全技術，輕視案件調查分析的實際問題，重點培養參訓學員的網絡入侵案件取證分析能力；（3）建立遠程線上培訓質量監督機制，確保遠程線上培訓效果，達到與現場教學等質同效目標。

一、基于B/S結構的“可控型”遠程云實訓平臺構建

（一）傳統基于“虛擬機”的實訓模式

網絡安全技術類培訓通常以學員實際操作為主要訓練內容，目的是提高學員的實踐動手能力。教員講解必要的知識點和實踐步驟之后，由學員自行完成相關實訓。傳統的網絡安全技術類現場實訓普遍采用VMware虛擬機來搭建虛擬實驗環境，至少需要模擬一臺黑客主機、一臺被入侵服務器，學員為虛擬機配置好IP地址，搭建相應的漏洞服務器，按照實訓步驟完成相關安全測試[2]。現場培訓方式的優勢在于，學員親自動手完成實訓內容，能真實感受到各種網絡攻擊的危害，同時在被入侵服務器內可以提取到入侵痕跡，例如從WEB服務器日志中提取出攻擊者的IP地址，確定攻擊方式和攻擊行為發生的時間等，對于提高參訓學員的取證分析能力有較大幫助。但是這種基于虛擬機的現場培訓方式也存在不足，例如要求學員自己完成IP地址配置、漏洞網站搭建等基礎工作。這些內容并非培訓重點，但對于專業背景不同的廣大在職民警來說卻容易出現問題，導致學員花費較多時間用于基礎環境配置，教員忙于解答基礎配置問題，浪費了寶貴的培訓時間，也影響了培訓質量。由于虛擬機對計算機系統的CPU處理速度、內存和硬盤容量要求較高，學員自己設備的硬件配置參差不齊，很難達到實驗要求，這些因素也造成在遠程培訓中很難采用這種基于虛擬機的培訓方式。

（二）基于內網環境的B/S架構實訓模式

目前部分公安院校建有專門的網絡安全類實驗室[3]，大多引入國內主流網絡安全公司研制的實訓平臺等。這類實訓平臺通常采用B/S或C/S架構，在單位內部局域網環境部署多臺服務器，學員使用的全部虛擬機資源均存儲在服務器內部，通常情況下，一臺服務器能滿足10名學員的訓練需求。訓練時學員通過客戶端接入服務器，觀看實驗講義和操作視頻演示，之后遠程啟動虛擬機，按步驟完成實踐內容。采用網絡安全實訓平臺的優點是學員無需自己進行基礎環境配置，基礎配置均由云平臺在后臺自動完成，降低了實訓操作的門檻，學員可以將全部精力集中在實訓內容本身上。但是這種方式存在的不足也同樣明顯：（1）實驗設備價格昂貴，對培訓機構來說是一個不小的負擔；（2）實驗內容更新緩慢，設備一旦采購完成，實訓內容幾乎不再更新，而網絡安全技術發展變化極為快速，新技術不斷出現，陳舊過時的技術不斷被淘汰。例如幾年前針對Windows系統的某個安全漏洞，隨著系統補丁的升級，幾乎已經不再存在，如果實訓仍圍繞此類漏洞進行，則對實踐毫無意義。如果希望在遠程線上實訓中采用培訓機構內部搭建的實訓平臺，就需要培訓機構在單位出口路由器上配置VPN服務，在一些安全級別較高的單位，很難對外開放VPN服務，且由于需要對通信數據進行加密、解密處理，因此VPN服務速度通常較慢，也無法滿足在線培訓的實際需要。

（三）基于互聯網環境的B/S架構云平臺實訓模式

為了保證遠程實訓效果，必須能夠在參訓學員自己的網絡環境內搭建起一套實訓環境，這套實訓環境需要最大限度地降低對參訓學員的硬件設備要求和操作門檻，同時最大程度地接近現場培訓效果。結合疫情期間的實踐情況，筆者認為可以采用基于B/S架構的云實驗平臺開展線上遠程培訓，圖1所示為這類云平臺的基本架構和使用流程。這類平臺部屬在專業的網絡安全公司內部，提供海量服務和帶寬資源，可以滿足不同規模的培訓需求。培訓機構接到培訓任務后，確定培訓時間、參訓人數、培訓主題等基本信息，從云平臺實驗庫內篩選相應的實踐培訓內容，按進度分配實驗章節，生成課程。之后與云平臺聯系確定課表，平臺管理員按照參訓人數和實訓數量分配虛擬資源，即保證在授課時間段內，學員優先使用虛擬資源。教師在培訓前，將課程二維碼通過微信或其它方式發送給參訓學員，學員通過掃描二維碼方式注冊。注冊成功后，學員可以使用任何一種瀏覽器登錄云平臺，遠程一鍵式啟動虛擬機環境，在實驗視頻和講義的幫助下，完成相關實踐內容。學員申請某個實踐項目后，平臺分配資源，生成一個虛擬網絡環境。在虛擬網絡環境內至少包括一臺客戶機、一臺目標服務器和一臺工具下載服務器。教員在課前可以將需要的工具軟件上傳到云平臺，實驗啟動后，全部工具軟件都存儲在下載服務器內，學員可以操作客戶機下載工具軟件，按照實驗講義對目標服務器進行測試。實驗完成后，由學員選擇釋放虛擬資源，全部資源返還給云實驗平臺，教員可以在后臺查看學員提交的實驗報告，了解實驗完成情況。

這種基于云平臺的實訓方式全部實驗任務均發生在云服務器內，學員端僅完成瀏覽功能，因此對學員使用的計算機硬件要求很低，只要能用瀏覽器訪問互聯網即可，甚至使用智能手機也可進行實踐操作，同時通信流量很小，對帶寬要求也很低，全部參訓學員所處網絡環境都可滿足實訓需求。采用基于B/S結構云實驗平臺的優勢非常明顯，對學員使用的計算機硬件配置和所處環境的網絡配置要求很低，學員不會因硬件設備不達標而無法參加培訓。同時云平臺可以輕松應對規模較大培訓需求，筆者從2020年3月起，利用云平臺組織200人規模的遠程網絡培訓，在3個月授課期間，學員未因實驗環境問題影響實踐效果。由于不需要學員進行基礎網絡配置，參訓學員可以將全部精力集中在網絡安全知識點上，節省了基礎配置時間，提高了培訓效率，而且整個實踐環節均由學員自己操作客戶虛擬機完成，網絡安全實踐能力得到了鍛煉，可以達到與線下教學相同的培訓效果。另外，這種基于B/S結構的云實驗平臺不需要培訓機構花費大量資金購買實驗設備，僅需提供少量經費即可使用，降低了培訓機構的財政負擔，同時這類平臺由專業網絡安全公司負責運維，實驗內容更新非常快速，最新的網絡安全技術能及時更新到平臺系統中。

目前，這類基于B/S架構的云實驗平臺主要的不足之處在于學員不能自由控制虛擬網絡環境內生成的目標服務器，這導致網絡安全測試之后，學員無法登陸目標服務器搜集攻擊線索和相關電子數據。對在職民警培訓來說，更重要的是網絡入侵案件電子數據取證分析能力的培養，這就需要學員能夠自由控制目標服務器，提取入侵線索，例如搜集目標服務器端WEB日志，數據庫增刪改痕跡，提取內存易失數據，獲取分析網絡數據包等。因此，需要與云平臺運維公司協商，開通目標服務器的遠程訪問控制功能，使得學員在網絡安全測試之后，能夠自由登錄目標服務器，提取分析攻擊痕跡。出于對云平臺知識產權保護目的，整個實驗環境內不提供下載功能，即只能在平臺內進行實踐，觀察實踐結果，不能將實踐數據導出。

二、突出取證能力培養的實踐培訓內容改造

（一）網絡入侵痕跡獲取

目前現有網絡安全類實訓平臺主要培訓目標是培養學員的網絡安全技術能力，而輕視甚至沒有涉及到網絡入侵行為的調查和分析環節。筆者于2004年起開始從事網絡安全類專業教育和辦案，結合自身教學和工作經歷，發現很多情況下，黑客攻擊類案件的網絡入侵痕跡線索可以從日志、內存、流量和數據庫等多個方面獲取。例如從惡意程序的源代碼中可以提取出黑客服務器的控制域名、IP地址、郵箱賬戶等信息，對于采用DGA算法的惡意程序，可以獲取惡意域名的生成算法；從Android智能終端惡意程序源文件中可以獲得黑客手機號碼，短信控制命令信息；通過分析服務器日志可以確定攻擊類型和攻擊發生的時間，以及代理跳板地址信息；對網絡掛馬受害者主機端通信流量進行分析可以還原木馬的傳播流程，獲取每個中間結點的IP地址和域名信息，確定漏洞頁面和惡意代碼的具體位置。可以說，網絡取證在涉黑客攻擊類案件辦理過程中發揮了越來越重要的作用。

（二）實踐培訓內容改造實例

表1顯示的是對現有網絡安全實訓平臺內容進行的改造，突出取證分析能力的培養。對實踐教學內容的改造并不復雜，前提是平臺采用的是“可控型”目標服務器，即學員能夠完全控制目標服務器，進而才能登錄服務器，查看、分析網絡入侵痕跡。

?

本文以Android惡意程序實踐為例，介紹實踐教學內容改造方法。圖2左側顯示的是Android惡意程序實踐原有教學內容，可見全部實踐內容都是從網絡安全知識點角度安排，學員通過這部分實踐在Android模擬器上種植一個木馬程序，在黑客主機端遙控木馬竊取手機內部信息，遠程監控語音、視頻通信，甚至完全控制目標手機，學員可以直觀感受到這類木馬攻擊的危害，對智能終端上的惡意程序攻擊有一個更為清楚的認識。圖2右側是對這項實踐教學內容進行的改造，融入了網絡取證知識點。主要包括：如何從一部送檢手機內確定哪個應用程序是惡意程序；對于未加殼的惡意程序，可以采用靜態逆向分析法進行取證，即將惡意程序反編譯為Java或Smali源代碼，再從源文件中提取出黑客主機域名、地址和控制命令信息，形成靜態檢驗結論。當惡意程序采用加殼、加密處理時，靜態分析方法失效，此時可以采用動態分析方法，對惡意程序產生的通信數據包、收發的短信數據、執行的函數調用關系進行分析，形成動態檢驗意見，再綜合靜態和動態檢驗的分析意見，得到最終的檢驗結論。對實踐教學的改造主要包括修改實踐講義，上傳取證分析工具，改造工作不用新增虛擬機設備，采用原有虛擬網絡環境即可，因此不需要協調平臺運維機構，任課教員自己即可完成。

三、建立“釘釘群直播+云實踐平臺演練+微信群反饋”的彈性遠程培訓模式

（一）遠程實訓模式總體架構

線下課堂教學的優點在于師生可以面對面交流[4]，教員便于及時發現并解答學員的疑問，學員也可以及時反饋問題。與線下教學相比，遠程線上培訓方式缺乏師生互動，教員也很難及時了解學員的學習狀態和存在的問題，這是制約線上遠程培訓開展的主要問題。

（二）遠程實訓的具體實施

針對線上培訓存在的師生溝通不及時，互動性較差問題和在職民警業務繁忙的具體現狀，筆者提出一種基于“釘釘群直播+云實踐平臺演練+微信群反饋”的彈性遠程培訓模式，模型架構如圖3所示。教員在授課之前建立微信群，包括全部參訓學員和授課教員，在每次授課之前將下次直播課時間、實踐教學內容安排、計劃講授的知識點提綱和一些必要的學習資料通過微信群公告方式發布，授課教員通過查看群公告完成情況可以了解到通知傳達率，對個別未閱讀群公告的學員單獨微信提醒，確保授課信息及時發布給每位學員。課前10分鐘通過釘釘視頻直播方式呼叫學員加入視頻課堂，教員可以隨時了解到學員加入和退出視頻直播情況，大部分學員在授課時段參加視頻直播教學，少數學員因工作原因無法收看視頻直播，可以選擇在課后觀看視頻回放，教員在質量監控階段可以查看到學員觀看視頻回放的數據統計。在直播教學中，學生如有疑問可以隨時通過文字、語音方式提出，教員可以及時進行反饋講解。課后學員也可以通過微信群反饋問題，教員解答相關疑問。實踐教學部分不設置具體的課表，學員只需在規定時間段，例如一周時間內完成相關實踐任務即可，這樣便于學員自主選擇空閑時間進行實踐演練。

為保證遠程線上教學效果，及時了解學員的學習情況和學習狀態，質量監控在遠程培訓中發揮重要作用。通過遠程云實驗平臺對學員實踐任務完成情況進行檢驗，包括查看學員提交的實踐報告，檢查預設問題的回答情況，統計學生在線學習時間，視頻和講義資料的學習數據，綜合上述信息給出學員的實踐成績。對線上直播授課，可以通過統計學員參加直播教學的次數、時長和課后提問情況，對學員的線上直播授課情況進行評價。對不能按時完成實踐內容和不能按時學習直播教學內容的部分學員，統計相關數據，微信通知相關學員提高參訓積極性，起到督促作用。

四、總結

針對在職民警參加網絡安全技術類培訓存在的諸多問題，提出一種基于云平臺的遠程線上培訓模式，這種培訓模式采用遠程云平臺開展實踐培訓，操作門檻低，實際效果好，可以達到與線下實踐教學相同的效果。本文提出的“釘釘群直播+云實踐平臺演練+微信群反饋”的彈性遠程培訓模式可以確保師生的有效互動，通過質量監控環節，保證遠程線上培訓與線下課堂培訓等質同效。筆者于2020年3月開始，對200余名學員通過遠程線上培訓方式開展網絡安全技術培訓，經過初步檢驗，發現這種方法在實踐中應用效果良好，可以作為線下課堂教學的有益補充。