面向人才培養(yǎng)的網(wǎng)絡(luò)靶場(chǎng)體系與分類研究

【摘 要】 隨著網(wǎng)絡(luò)安全威脅技術(shù)持續(xù)發(fā)展，威脅影響日益加深，熟練掌握應(yīng)對(duì)安全威脅技能的專業(yè)技術(shù)人才成了當(dāng)前社會(huì)的剛性需求，而培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全人才離不開網(wǎng)絡(luò)靶場(chǎng)的支撐。本文主要從技術(shù)體系、分類和發(fā)展趨勢(shì)等方面對(duì)面向人才培養(yǎng)的網(wǎng)絡(luò)靶場(chǎng)進(jìn)行了分析和研究。

【關(guān)鍵詞】 網(wǎng)絡(luò)靶場(chǎng) 人才培養(yǎng) 技術(shù)框架 發(fā)展趨勢(shì)

1 引言

由于網(wǎng)絡(luò)安全威脅越來越復(fù)雜，越來越具有針對(duì)性和持久性，給網(wǎng)絡(luò)系統(tǒng)安全帶來了愈加嚴(yán)重的威脅。抵御越來越復(fù)雜的網(wǎng)絡(luò)威脅不能單純依靠各式各樣的網(wǎng)絡(luò)安全產(chǎn)品，還必須有訓(xùn)練有素的專業(yè)技術(shù)人員，根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)適時(shí)地采取相應(yīng)的安全防御措施。這就要求專業(yè)技術(shù)人員必須具備豐富經(jīng)驗(yàn)和專業(yè)知識(shí)。網(wǎng)絡(luò)靶場(chǎng)是幫助網(wǎng)絡(luò)安全人員提升應(yīng)對(duì)網(wǎng)絡(luò)安全威脅所需技能和經(jīng)驗(yàn)的有效手段。網(wǎng)絡(luò)靶場(chǎng)能夠模擬實(shí)際的網(wǎng)絡(luò)安全威脅場(chǎng)景，提供可讓網(wǎng)絡(luò)安全人員扮演多種不同角色的訓(xùn)練環(huán)境，為了解安全漏洞利用技術(shù)、消除安全威脅影響等，提供實(shí)際經(jīng)驗(yàn)。

網(wǎng)絡(luò)靶場(chǎng)可以為網(wǎng)絡(luò)安全管理人員培養(yǎng)其在威脅發(fā)生前、威脅發(fā)生中和威脅發(fā)生后采取有效行動(dòng)能力提供支撐。在威脅發(fā)生前，網(wǎng)絡(luò)靶場(chǎng)可以提供構(gòu)建有效安全架構(gòu)所需的技能，包括部署防火墻、入侵檢測(cè)、訪問權(quán)限分割等。在威脅發(fā)生中，網(wǎng)絡(luò)靶場(chǎng)可以提供檢測(cè)早期告警信息及深入了解網(wǎng)絡(luò)安全威脅所需技能。在威脅發(fā)生后，網(wǎng)絡(luò)靶場(chǎng)可以提供清理和修復(fù)威脅影響所需技能，如追蹤威脅路徑、修復(fù)安全漏洞、消除威脅影響等。

2 網(wǎng)絡(luò)靶場(chǎng)技術(shù)體系

2.1 網(wǎng)絡(luò)靶場(chǎng)概述

網(wǎng)絡(luò)靶場(chǎng)是一種基于虛擬化技術(shù)，對(duì)真實(shí)網(wǎng)絡(luò)空間中的網(wǎng)絡(luò)架構(gòu)、系統(tǒng)設(shè)備、業(yè)務(wù)流程的運(yùn)行狀態(tài)及運(yùn)行環(huán)境進(jìn)行模擬和復(fù)現(xiàn)的技術(shù)或產(chǎn)品，為實(shí)現(xiàn)與網(wǎng)絡(luò)安全相關(guān)的學(xué)習(xí)、研究、檢驗(yàn)、競(jìng)賽、演習(xí)等活動(dòng)提供支撐，從而提高人員及機(jī)構(gòu)的網(wǎng)絡(luò)安全對(duì)抗能力與水平。通過網(wǎng)絡(luò)靶場(chǎng)，可實(shí)時(shí)評(píng)估網(wǎng)絡(luò)安全攻防進(jìn)程及態(tài)勢(shì)，為網(wǎng)絡(luò)安全訓(xùn)練提供實(shí)時(shí)反饋，增加訓(xùn)練的針對(duì)性和價(jià)值。

網(wǎng)絡(luò)靶場(chǎng)的概念內(nèi)涵非常廣泛，在線網(wǎng)絡(luò)攻防學(xué)習(xí)環(huán)境、網(wǎng)絡(luò)安全競(jìng)賽平臺(tái)、網(wǎng)絡(luò)安全技術(shù)測(cè)評(píng)研究平臺(tái)、城市級(jí)甚至國(guó)家級(jí)的網(wǎng)絡(luò)攻防演練平臺(tái)等，都可以歸屬于網(wǎng)絡(luò)靶場(chǎng)的范疇。在這些可以被稱為網(wǎng)絡(luò)靶場(chǎng)的環(huán)境與平臺(tái)中，也存在著很大的差異，如規(guī)模量級(jí)差異、模擬環(huán)境復(fù)雜度差異、應(yīng)用場(chǎng)景差異、環(huán)境模擬逼真度差異等。

網(wǎng)絡(luò)靶場(chǎng)作為支撐網(wǎng)絡(luò)空間安全的技術(shù)驗(yàn)證、裝備試驗(yàn)、技能訓(xùn)練、攻防演練和風(fēng)險(xiǎn)評(píng)估的重要基礎(chǔ)設(shè)施，已成為網(wǎng)絡(luò)安全領(lǐng)域技術(shù)發(fā)展和人才培養(yǎng)的重要支撐手段[1]。

網(wǎng)絡(luò)靶場(chǎng)系統(tǒng)中一般會(huì)包含若干團(tuán)隊(duì)，每個(gè)團(tuán)隊(duì)在靶場(chǎng)中都具有自己的角色定位。到目前為止，網(wǎng)絡(luò)靶場(chǎng)已經(jīng)發(fā)展到了7種不同的團(tuán)隊(duì)角色，如表1所示。各種團(tuán)隊(duì)角色有不同的角色定位，有些角色還可以由智能化軟件實(shí)現(xiàn)自動(dòng)化，代替真實(shí)的人來完成相應(yīng)的角色功能。

2.2 網(wǎng)絡(luò)靶場(chǎng)技術(shù)框架

2020年6月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布《網(wǎng)絡(luò)靶場(chǎng)指南》，圍繞網(wǎng)絡(luò)安全教育、認(rèn)證和培訓(xùn)等領(lǐng)域，給出了一種網(wǎng)絡(luò)靶場(chǎng)的技術(shù)框架，如圖1所示。該技術(shù)框架基于靶場(chǎng)學(xué)習(xí)管理系統(tǒng)（RLMS），將網(wǎng)絡(luò)靶場(chǎng)劃分為編排層、底層基礎(chǔ)架構(gòu)層、虛擬化層和目標(biāo)基礎(chǔ)設(shè)施層4個(gè)層次[2]。

（1）編排層。該層從RLMS輸入信息，負(fù)責(zé)將網(wǎng)絡(luò)靶場(chǎng)所有技術(shù)或服務(wù)組件整合在一起，便于底層基礎(chǔ)設(shè)施、虛擬化和目標(biāo)基礎(chǔ)設(shè)施的網(wǎng)格化，支持公有云、私有云和專用硬件基礎(chǔ)設(shè)施的動(dòng)態(tài)網(wǎng)絡(luò)靶場(chǎng)擴(kuò)展。

（2）底層基礎(chǔ)架構(gòu)層。該層主要由網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)承載網(wǎng)絡(luò)靶場(chǎng)數(shù)據(jù)和信息的基礎(chǔ)設(shè)施構(gòu)成。網(wǎng)絡(luò)靶場(chǎng)基礎(chǔ)設(shè)施可以是通用的硬件，也可以是虛擬化設(shè)備或云，也可以是專用的定制硬件�？紤]可伸縮性、成本和可擴(kuò)展性等需求，網(wǎng)絡(luò)靶場(chǎng)的底層基礎(chǔ)架構(gòu)逐步轉(zhuǎn)向基于軟件定義網(wǎng)絡(luò)（SDN）技術(shù)的虛擬基礎(chǔ)架構(gòu)。

（3）虛擬化層。大多數(shù)網(wǎng)絡(luò)靶場(chǎng)都希望通過某種程度的虛擬化來縮小物理設(shè)備的覆蓋范圍。實(shí)現(xiàn)虛擬化的方法主要有2種，基于虛擬化管理程序和基于軟件定義的基礎(chǔ)結(jié)構(gòu)。

（4）目標(biāo)基礎(chǔ)設(shè)施層。該層是模擬生成的目標(biāo)網(wǎng)絡(luò)場(chǎng)景的基礎(chǔ)設(shè)施。較完善的網(wǎng)絡(luò)靶場(chǎng)包含商用服務(wù)器、存儲(chǔ)、端點(diǎn)、應(yīng)用程序和防火墻的配置文件等要素。根據(jù)需要，目標(biāo)基礎(chǔ)結(jié)構(gòu)可以由RLMS利用生成腳本來指示編排層創(chuàng)建。生成腳本一般包括特定于目標(biāo)機(jī)的配置信息，如IP地址信息、路由信息、應(yīng)用軟件等。

3 網(wǎng)絡(luò)靶場(chǎng)分類

網(wǎng)絡(luò)靶場(chǎng)的分類方法有多種，既可以按照實(shí)現(xiàn)技術(shù)分類，也可以按照目的用途分類。

3.1 按照實(shí)現(xiàn)技術(shù)分類

按照實(shí)現(xiàn)技術(shù)，網(wǎng)絡(luò)靶場(chǎng)可以分為4類：模擬類、仿真類、疊加類、混合類。

3.1.1 模擬類

模擬類網(wǎng)絡(luò)靶場(chǎng)是指基于真實(shí)網(wǎng)絡(luò)組件重建的一個(gè)虛擬網(wǎng)絡(luò)環(huán)境，模擬運(yùn)行在虛擬實(shí)例中，不需要任何物理網(wǎng)絡(luò)設(shè)備。模擬類網(wǎng)絡(luò)靶場(chǎng)首先對(duì)真實(shí)網(wǎng)絡(luò)環(huán)境及用戶行為進(jìn)行建模，然后通過驅(qū)動(dòng)模型進(jìn)行信息互動(dòng)，進(jìn)而分析各模型單元的狀態(tài)變化。模擬類網(wǎng)絡(luò)靶場(chǎng)易于部署，安裝和維護(hù)成本較低，但模擬實(shí)驗(yàn)結(jié)果準(zhǔn)確性難以保證。模擬類靶場(chǎng)的典型案例是美國(guó)空軍的SIMTEX網(wǎng)絡(luò)安全模擬器。

3.1.2 仿真類

仿真類網(wǎng)絡(luò)靶場(chǎng)將已構(gòu)建的網(wǎng)絡(luò)/服務(wù)器/存儲(chǔ)基礎(chǔ)設(shè)施等映射到物理基礎(chǔ)設(shè)施上，作為網(wǎng)絡(luò)靶場(chǎng)的物理基礎(chǔ)設(shè)施。仿真類網(wǎng)絡(luò)靶場(chǎng)使用獨(dú)立的物理測(cè)試臺(tái)，配置出需要測(cè)試的環(huán)境，運(yùn)行真實(shí)的軟件。仿真類靶場(chǎng)要求能對(duì)硬件進(jìn)行重新配置，可根據(jù)測(cè)試需要，采用不同的拓?fù)浣Y(jié)構(gòu)。仿真類網(wǎng)絡(luò)靶場(chǎng)使用真實(shí)的計(jì)算機(jī)、操作系統(tǒng)、應(yīng)用軟件和資源，能較全面地復(fù)現(xiàn)真實(shí)環(huán)境。仿真類靶場(chǎng)的典型案例是美國(guó)國(guó)防高級(jí)研究計(jì)劃局（DARPA）的國(guó)家網(wǎng)絡(luò)靶場(chǎng)（NCR）。

3.1.3 疊加類

疊加類網(wǎng)絡(luò)靶場(chǎng)是運(yùn)行在真實(shí)網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)設(shè)備之上的網(wǎng)絡(luò)靶場(chǎng)，即利用現(xiàn)有的生產(chǎn)環(huán)境資源而建立的網(wǎng)絡(luò)靶場(chǎng)。這類靶場(chǎng)在實(shí)際的生產(chǎn)現(xiàn)場(chǎng)軟件上進(jìn)行測(cè)試，使用實(shí)際的生產(chǎn)資源，在規(guī)模、成本和逼真度等方面有一定優(yōu)勢(shì)，缺點(diǎn)是靶場(chǎng)試驗(yàn)控制性較差，可能對(duì)實(shí)際網(wǎng)絡(luò)造成不利影響。疊加類靶場(chǎng)的典型案例是美國(guó)國(guó)家科學(xué)基金會(huì)資助的網(wǎng)絡(luò)創(chuàng)新全球環(huán)境（GENI）。

3.1.4 混合類

混合類網(wǎng)絡(luò)靶場(chǎng)是由上述模擬、仿真、疊加三種靶場(chǎng)特性組成的網(wǎng)絡(luò)靶場(chǎng)。混合類靶場(chǎng)的典型案例是美國(guó)弗吉尼亞網(wǎng)絡(luò)靶場(chǎng)。

3.2 按照目的用途分類

按照目的用途，網(wǎng)絡(luò)靶場(chǎng)可以分為3類：服務(wù)于國(guó)家與國(guó)防安全類、服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)類、服務(wù)于企業(yè)和商業(yè)組織安全類。

3.2.1 服務(wù)于國(guó)家與國(guó)防安全類

政府機(jī)構(gòu)和軍事部門需要專業(yè)網(wǎng)絡(luò)安全力量，具備應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)威脅及網(wǎng)絡(luò)恐怖主義的能力。因此，一些國(guó)家的軍事和國(guó)防部門建設(shè)和部署了大量網(wǎng)絡(luò)靶場(chǎng)，如美國(guó)的國(guó)家網(wǎng)絡(luò)靶場(chǎng)（NCR）、國(guó)防信息系統(tǒng)局網(wǎng)絡(luò)安全靶場(chǎng)（CSR）、國(guó)防部信息安全靶場(chǎng)（IAR）、聯(lián)合網(wǎng)絡(luò)空間作戰(zhàn)靶場(chǎng)（JCOR）、海軍網(wǎng)絡(luò)空間作戰(zhàn)靶場(chǎng)（NCOR）、聯(lián)合信息作戰(zhàn)靶場(chǎng)（JIOR）、戰(zhàn)略司令部網(wǎng)絡(luò)空間作戰(zhàn)靶場(chǎng)（SCOR）、持續(xù)網(wǎng)絡(luò)訓(xùn)練環(huán)境（PCTE）等。目前世界上大部分國(guó)家和國(guó)際組織的軍事和國(guó)防部門都開展了服務(wù)于國(guó)家與國(guó)防安全的網(wǎng)絡(luò)靶場(chǎng)建設(shè)，如英國(guó)聯(lián)邦網(wǎng)絡(luò)靶場(chǎng)（FCR）、北約網(wǎng)絡(luò)空間靶場(chǎng)（NCR）、歐洲聯(lián)合網(wǎng)絡(luò)空間靶場(chǎng)等。

服務(wù)于國(guó)家與國(guó)防安全類的網(wǎng)絡(luò)靶場(chǎng)一般具有規(guī)模龐大、技術(shù)復(fù)雜、功能全面、任務(wù)多樣、綜合管控等特點(diǎn)，全方位支撐網(wǎng)絡(luò)空間安全技術(shù)驗(yàn)證、網(wǎng)絡(luò)武器裝備試驗(yàn)、攻防對(duì)抗演練、網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全人才培養(yǎng)等任務(wù)，主要服務(wù)于國(guó)家級(jí)網(wǎng)絡(luò)空間力量的發(fā)展。

3.2.2 服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)類

網(wǎng)絡(luò)空間安全人才除了要掌握大量理論知識(shí)，更需要具備扎實(shí)的實(shí)踐動(dòng)手能力。由于許多網(wǎng)絡(luò)安全方面的實(shí)踐活動(dòng)可能造成嚴(yán)重的破壞性后果，難以在真實(shí)網(wǎng)絡(luò)環(huán)境中實(shí)施，網(wǎng)絡(luò)靶場(chǎng)可為網(wǎng)絡(luò)安全實(shí)踐能力培養(yǎng)提供安全隔離的模擬仿真環(huán)境。服務(wù)于網(wǎng)絡(luò)空間安全人才培養(yǎng)的網(wǎng)絡(luò)靶場(chǎng)既有面向培訓(xùn)和競(jìng)賽的商業(yè)化靶場(chǎng)，也有面向個(gè)體和組織的開放訓(xùn)練環(huán)境。

面向培訓(xùn)和競(jìng)賽的商業(yè)化靶場(chǎng)一般能夠提供較為完善的訓(xùn)練、競(jìng)賽環(huán)境，支撐較大規(guī)模的網(wǎng)絡(luò)安全培訓(xùn)與競(jìng)賽活動(dòng)。

面向個(gè)體和組織的開放訓(xùn)練環(huán)境主要提供針對(duì)各種網(wǎng)絡(luò)安全漏洞場(chǎng)景的目標(biāo)環(huán)境，供個(gè)體或組織訓(xùn)練網(wǎng)絡(luò)安全實(shí)踐技能，靶場(chǎng)結(jié)構(gòu)通常較為簡(jiǎn)單。典型的開放訓(xùn)練環(huán)境有Vulnhub、Vulhub和Hackthebox。Vulnhub是一個(gè)提供漏洞環(huán)境的靶場(chǎng)平臺(tái)，大部分環(huán)境是做好的虛擬機(jī)鏡像文件，鏡像預(yù)先設(shè)計(jì)了多種漏洞，需要使用VMware或者VirtualBox運(yùn)行。Vulhub是一個(gè)基于Docker技術(shù)的漏洞環(huán)境集合，可以非常方便地啟動(dòng)一個(gè)全新的漏洞環(huán)境，讓漏洞復(fù)現(xiàn)變得更加簡(jiǎn)單。Hackthebox是一個(gè)在線式的通關(guān)型網(wǎng)絡(luò)滲透技術(shù)訓(xùn)練平臺(tái)，集成了大量的網(wǎng)絡(luò)安全訓(xùn)練環(huán)境，可供全球范圍的個(gè)人、企業(yè)、機(jī)構(gòu)等開展網(wǎng)絡(luò)滲透技術(shù)的訓(xùn)練，不斷提高網(wǎng)絡(luò)滲透技能。

3.2.3 服務(wù)于企業(yè)和商業(yè)組織安全類

目前在企業(yè)等商業(yè)組織中，網(wǎng)絡(luò)靶場(chǎng)主要用于構(gòu)建網(wǎng)絡(luò)安全培訓(xùn)和模擬中心，提供網(wǎng)絡(luò)安全的模擬和演練解決方案，以提升企業(yè)人員技能及安全防護(hù)措施的有效性。典型的服務(wù)于企業(yè)和商業(yè)組織安全的網(wǎng)絡(luò)靶場(chǎng)有Cyberbit Range、IBM X-Force Command Center、Cisco Cyber Range等[3]。

Cyberbit Range主要為客戶提供網(wǎng)絡(luò)靶場(chǎng)的網(wǎng)絡(luò)安全模擬與培訓(xùn)解決方案；IBM X-Force Command Center主要為業(yè)務(wù)事件處理程序和操作連續(xù)性提供事件響應(yīng)解決方案；Cisco Cyber Range主要通過虛擬對(duì)戰(zhàn)環(huán)境，提高網(wǎng)絡(luò)安全管理人員應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)威脅的經(jīng)驗(yàn)和方法。

4 網(wǎng)絡(luò)靶場(chǎng)發(fā)展趨勢(shì)

面向人才培養(yǎng)的網(wǎng)絡(luò)靶場(chǎng)越來越注重用戶的學(xué)習(xí)體驗(yàn)，網(wǎng)絡(luò)安全培訓(xùn)游戲化和人工智能（AI）輔助管理成為其當(dāng)前重要的發(fā)展方向。

游戲一般具有較強(qiáng)的交互性、趣味性和沉浸式特點(diǎn)，能夠顯著吸引用戶的注意力。將網(wǎng)絡(luò)安全技能培訓(xùn)和游戲相結(jié)合，是利用網(wǎng)絡(luò)靶場(chǎng)開展網(wǎng)絡(luò)安全技能培訓(xùn)的一個(gè)重要發(fā)展趨勢(shì)。通過游戲化與沉浸式仿真模擬環(huán)境相結(jié)合，能夠提供身臨其境的交互體驗(yàn)，引導(dǎo)學(xué)員深度參與其中，在游戲中培養(yǎng)技能。

將人工智能技術(shù)應(yīng)用于網(wǎng)絡(luò)靶場(chǎng)，一方面可以實(shí)現(xiàn)網(wǎng)絡(luò)靶場(chǎng)白隊(duì)部分導(dǎo)調(diào)功能的自動(dòng)化、智能化；另一方面基于人工智能的AI聊天機(jī)器人，可以部分承擔(dān)靶場(chǎng)指導(dǎo)教員的職責(zé)，在模擬訓(xùn)練過程中指導(dǎo)用戶處理各種事件與問題。

目前，Cyberbit Range網(wǎng)絡(luò)靶場(chǎng)已經(jīng)開始引入虛擬教練員和游戲化機(jī)制。虛擬教練能夠根據(jù)學(xué)員任務(wù)完成情況，自動(dòng)進(jìn)行數(shù)據(jù)采集分析和評(píng)估評(píng)價(jià)。通過引入游戲化機(jī)制，擴(kuò)展網(wǎng)絡(luò)安全訓(xùn)練的游戲場(chǎng)景，提高學(xué)習(xí)網(wǎng)絡(luò)安全技能的趣味性。

5 結(jié)語

在網(wǎng)絡(luò)空間安全人才培養(yǎng)中，網(wǎng)絡(luò)靶場(chǎng)是網(wǎng)絡(luò)安全實(shí)踐能力訓(xùn)練的重要支撐，具有不可替代的作用。面向人才培養(yǎng)的網(wǎng)絡(luò)靶場(chǎng)在形態(tài)與規(guī)模方面呈現(xiàn)出多樣化的特點(diǎn)，大如NCR，小至單臺(tái)靶機(jī)，都可以服務(wù)于實(shí)踐能力訓(xùn)練。隨著人們對(duì)學(xué)習(xí)網(wǎng)絡(luò)安全技能方式方法心理預(yù)期的不斷提高，游戲化和智能化已成為面向人才培養(yǎng)的網(wǎng)絡(luò)靶場(chǎng)發(fā)展趨勢(shì)。 

（原載于《保密科學(xué)技術(shù)》雜志2021年6月刊）