網絡靶場服務體系剖析

【摘 要】 網絡靶場是開展攻防實戰(zhàn)演練、安全測試、技術研究、教育培訓、應急演練的實踐環(huán)境，是支撐網絡安全戰(zhàn)略的重要基礎設施。本文使用歷史回溯、比較研究、文獻調研等研究方法，梳理了網絡靶場的發(fā)展歷程，從服務目標、服務方式、服務類型以及服務成效等方面剖析了當前網絡靶場服務體系，并結合我國網絡靶場的建設現(xiàn)狀提出了發(fā)展建議。

【關鍵詞】 網絡靶場 服務體系

1 引言

網絡靶場是開展攻防演練、培訓教育、網絡和信息系統(tǒng)穩(wěn)定性測試的重要基礎設施，主要應用虛擬化、軟件定義網絡、虛實結合等技術對網絡、設備、流量、攻擊等進行模擬仿真，搭建仿真實驗平臺。近年來，各國高度重視網絡靶場的建設，全球范圍內科技水平領先的國家均把建設網絡靶場視為支撐網絡安全戰(zhàn)略的重要基礎設施，從戰(zhàn)略高度謀劃和建設網絡靶場。例如，美國國家網絡靶場（NCR）是其國家網絡安全綜合計劃的重要組成部分，被稱為新世紀的“曼哈頓工程”。該靶場建設時間超過5年，涉及單位60余家，投資超過千萬美元，是支撐美國安全能力建設的重要資源和標志性工程。英國的聯(lián)合網絡靶場、加拿大的國家仿真實驗室、歐洲防務署的網絡攻防測試靶場、日本情報通信研究機構的星平臺系統(tǒng)（StarBed），均是國家和相關行政部門長期重點關注和持續(xù)戰(zhàn)略性投入的項目，承擔了研究網絡威脅、保護基礎設施安全、支撐網絡安全產業(yè)發(fā)展的重要任務。

本文梳理和研究了網絡靶場的發(fā)展歷程，從服務目標、服務方式、服務類型以及建設成效等方面剖析了當前典型網絡靶場的服務體系，并結合我國網絡靶場的建設現(xiàn)狀提出了發(fā)展建議。

2 網絡靶場服務體系演變與發(fā)展

近年來，網絡靶場在呈現(xiàn)形態(tài)、應用技術、建設規(guī)模與服務體系等方面不斷發(fā)展、演進，以適應不同階段的安全防護能力需求。總體看來，網絡靶場歷經不斷迭代，從傳統(tǒng)實物靶標靶場發(fā)展為虛擬化網絡靶場、大型虛實結合網絡靶場以及行業(yè)特色網絡靶場[1]。

2.1 實物靶標網絡靶場

21世紀初，網絡靶場建設處于起步期和探索期，主要以“還原真實軟硬件平臺”為主要特征。該階段網絡靶場以建立盡可能與目標系統(tǒng)相似的軟硬平臺為目標，以模擬軟硬件IT資產（例如服務器、路由器、交換機以及相關應用軟件）為主，主要發(fā)揮兩方面作用。一是開展攻防演練與測試驗證。通過實物靶標靶場測試攻擊手段能否繞過防護成功入侵目標設備、系統(tǒng)或網絡。二是開展威脅誘捕與風險分析。吸引黑客等的攻擊，研究攻擊行為，發(fā)現(xiàn)潛在威脅，進行風險研判。

實物靶標網絡靶場能夠提供真實的操作系統(tǒng)、真實的設備、真實的服務，以自行建設或第三方公司委托建設為主，采用直接本地部署、整體直接交付的服務模式。但此類靶場存在投入資金量較大、建設周期較長、迭代速度慢等不足，無法廣泛使用，尤其是面對具有破壞性的攻擊時，一旦被攻陷，恢復能力弱，因此只能在限定條件下發(fā)揮作用。

2.2 虛擬化網絡靶場

2005年后，網絡攻擊呈現(xiàn)不確定性、復雜性、多樣性特征，面對新的安全防護需求，網絡靶場逐漸從實物型靶場演化到以網絡虛擬化技術作為主導實現(xiàn)技術的網絡靶場。此類靶場借助云計算、軟件定義網絡（SDN）等現(xiàn)有技術條件，按需定義主機、網絡、設備、數(shù)據流量以及網絡拓撲，可根據用戶要求快速形成既定實訓場景，開展攻防演練、教學實訓等工作。

此類靶場大多搭載云計算、虛擬化、大數(shù)據等技術，可形成更復雜、更多樣的仿真安全測試場景，同時，具有配置靈活、高擴展性，可支持泛在訪問等特點，成為網絡靶場建設的主流選擇。但此類靶場主要存在以下3個問題。一是受大規(guī)模網絡仿真、網絡流量/服務和用戶行為模擬等理論與技術不足的制約，無法達到預期的仿真效果，影響測試驗證、技術研發(fā)等工作的開展。二是攻防演練對網絡靶場資源的獲取、釋放頻率要求極高，一般在秒級以內，同時需要網絡靶場能夠快速進行場景構建，對虛擬化技術以及硬件配置要求極高。受限于此，此類網絡靶場多用于教學試驗，較少用于開展實時性要求較高的攻防演練。三是建設規(guī)模較小、場景簡單，與實際生產系統(tǒng)差距較大。

2.3 大型虛實結合網絡靶場與行業(yè)特色網絡靶場

近年來，我國下大力氣發(fā)展大數(shù)據、人工智能、工業(yè)互聯(lián)網等技術，能源、醫(yī)療、航空、交通等領域對大規(guī)模網絡、信息化技術的依賴性更強，網絡安全問題直接威脅國家關鍵信息基礎設施等核心利益。特別是2014年后，網絡攻擊快速蔓延至工業(yè)領域，工業(yè)控制系統(tǒng)成為網絡安全關注的新焦點，工控設備、工控網絡成為靶場建設的新內容。為此，以工業(yè)領域靶場為重點的大型虛實結合網絡靶場與行業(yè)特色靶場逐漸興起。此類靶場主要有如下特點：（1）除靶場本身的攻防演練、漏洞挖掘、風險驗證、應急演練、培訓教育等功能外，靶場還集成了調度管控能力，可集成真實實物設備和安全設備，并在虛實結合組網的情況下快速自動實現(xiàn)網絡仿真環(huán)境。（2）在建設模式逐步由獨立發(fā)展、分散建設向集成化、體系化、協(xié)同化發(fā)展，其安全漏洞庫、攻擊工具庫、防護策略均逐漸在一定范圍內、一定條件下實現(xiàn)共享共建。（3）此類靶場實訓能力逐漸增強，實訓范圍涉及分析、設計、研發(fā)、集成、測試、評估、運維等方面，支持開展全面深入的培訓與測試。

3 網絡靶場的服務目標

早期建設的實物靶標網絡靶場以攻防演練、測試驗證和威脅誘捕為主要服務目標，隨著安全需求的變化，其靶場的發(fā)展定位與目標也發(fā)生了相應變化。當前，網絡靶場的服務目標主要有以下4個。

一是建成支撐網絡安全戰(zhàn)略的重要基礎設施。各國均將網絡靶場視為國家網絡安全的核心能力，具有網絡安全公共基礎設施屬性，承擔全面提升國家信息安全能力的任務。例如，美國在網絡靶場建設方面搶先布局，除了建設若干領域內的專業(yè)型靶場外，2008年率先啟動了國家級網絡靶場項目，以實現(xiàn)網絡空間作戰(zhàn)能力的重大變革，打贏網絡戰(zhàn)爭為發(fā)展目標。2010年，英國國防部啟動建設先進水平的聯(lián)合網絡靶場項目，用于體系結構評估、組件測試、研發(fā)和訓練，旨在研究網絡威脅、保護基礎設施方面發(fā)揮作用。與此同時，部分企業(yè)也紛紛通過采購或者自建的方式建設了行業(yè)特色靶場，支撐企業(yè)安全目標的實現(xiàn)[2]。

二是提高網絡和信息系統(tǒng)的穩(wěn)定性、安全性。網絡靶場用于研究和測試網絡上的安全威脅，評估關鍵基礎設施在網絡攻擊下的安全性和生存能力，開展新技術的安全能力測試工作。另外，部分靶場系統(tǒng)集成了蜜罐網絡，用于捕獲和發(fā)現(xiàn)網絡威脅，開展分析、研究、研判、取證等相關工作[3]。

三是解決安全開發(fā)測試驗證核心共性特征和功能性能問題。通過使用虛擬化、云計算、大數(shù)據、虛實結合等技術與手段，為安全企業(yè)、工業(yè)企業(yè)、科研機構等提供安全技術開發(fā)、測試驗證、教育培訓、實訓演練、攻防競賽等公共服務，解決各行業(yè)企業(yè)、科研機構等自建仿真測試環(huán)境成本高、周期長、利用率低、可重復使用性差等問題，促進安全共性技術及產品的開發(fā)、測試與驗證，培養(yǎng)和選拔網絡安全相關人才，推動一系列相關技術研究成果的轉化。

四是建成支撐學科可持續(xù)發(fā)展的“科學裝置”。支持關鍵技術研發(fā)、創(chuàng)新已成為新時期網絡靶場建設的重要目標。網絡靶場可支持新型設備、協(xié)議和攻防工具在真實環(huán)境下重復性驗證，測試新技術設備與安全產品在真實環(huán)境下安全性、穩(wěn)定性和有效性。另外，從國家級靶場建設到小規(guī)模專用靶場建設，均注重發(fā)揮靶場的培訓教育功能。例如，美國國家網絡靶場構建了灰網、黃網、黑網、綠網4個子網絡組成的網絡實戰(zhàn)實驗室，通過在虛擬實戰(zhàn)環(huán)境中開展攻防演練，提升網絡作戰(zhàn)人員的實踐能力；密歇根網絡靶場的主要功能是防御及教學，該靶場允許密歇根州多所大學以及陸軍國民警衛(wèi)基地接入開展訓練、演練與教學工作；澳大利亞新南威爾士大學、澳大利亞國防學院堪培拉校園專門建立了校園網絡測試靶場用于現(xiàn)代化軍官人才的培養(yǎng)和訓練[4]。

4 網絡靶場的服務方式

當前網絡靶場典型的服務提供模式主要有“網絡靶場即服務”“靶場解決方案”“靶場中臺”3種[5，6]。

4.1 網絡靶場即服務

“網絡靶場即服務”是指通過使用虛擬化、云計算、大數(shù)據、虛實結合等技術與手段，使“逼真的仿真環(huán)境”可以在無需安裝任何客戶端軟件，無需本地部署的情況下，通過Web訪問直接為企業(yè)、科研機構、個人用戶等提供安全技術開發(fā)、測試驗證、教育培訓、實訓演練、攻防競賽等服務�！熬W絡靶場即服務”主要有以下4個特點。（1）利用虛擬化資源，解決無法在真實環(huán)境中對復雜大規(guī)模異構網絡和用戶進行逼真的模擬和測試，以及風險評估等問題[7，8]。（2）以云平臺方式提供網絡靶場服務，可減少網絡靶場先期大量資金的投入，減少企業(yè)的建設投入和運維成本。（3）支持軟件定義的場景，通過軟件模擬交換機、路由器、服務器以及OSPF、IGMP等協(xié)議搭建高仿真的實訓場景，支持基于可視化拓撲拖拽的方式快速復現(xiàn)真實網絡與生產環(huán)境。（4）通過Web瀏覽器可遠程完成所有安全攻防實驗，對實際網絡運行環(huán)境或設備不會造成損害，具有較高的可逆性和損壞恢復能力。

4.2 靶場解決方案

提供網絡靶場解決方案指通過第三方網絡安全機構結合廠家自身在網絡靶場領域的技術、經驗、資源的積累，提供網絡靶場產品。目前，主要有個性化定制網絡靶場產品和標準化網絡靶場產品兩種交付模式。個性化定制網絡產品在第三方廠家的研發(fā)基礎上進行應用級的自主開發(fā)，這種模式對網絡靶場供應商技術水平要求較高，要求供應商既有成熟的解決方案，又需要有較高的研發(fā)能力，可以調整底層架構、產品形態(tài)以適配用戶要求和業(yè)務需求。另一種為交付標準化的產品，是直接交付運行穩(wěn)定、功能完備的產品，此類靶場大多包含共性需求功能，如Raytheon公司的網絡運營、發(fā)展和評估中心（Cyber Operations，Development and Evaluation Center，CODE）、Cyberbit公司的超逼真網絡模擬平臺CloudRange以及IBM公司的X-Force網絡戰(zhàn)術行動中心（IBM X-Force Command Cyber TacticalOperations Center）等[6]。

4.3 靶場中臺

靶場中臺即靶場組件資源池服務。靶場中臺可提供場景組件、網絡仿真組件、流量發(fā)生組件、數(shù)據處理組件，以及能力評估組件、態(tài)勢展示組件，以及業(yè)務管理、用戶管理等組件，用戶在此基礎上進行二次開發(fā)、API調用、模塊級的自主開發(fā)，形成最終的網絡靶場。靶場中臺具有以下優(yōu)勢： （1）具有對不同業(yè)務、架構和網絡環(huán)境的兼容能力，具備良好的擴展性與兼容性，能適配不同的系統(tǒng)、不同的設備。（2）支持在靶場中臺組件、業(yè)務模塊的基礎上進行二次開發(fā)，支持多種類型網絡、攻擊場景的靈活組建，提供攻防演練、驗證測試等。（3）借助API接口，可組合按需選擇的攻防演練、漏洞挖掘、風險驗證、應急演練、培訓教育等模塊。（4）靶場中臺具有綜合調度能力，可集成虛擬設備、真實設備進行快速組網，并開展測試驗證。

5 網絡靶場的服務類型

5.1 科研測試型靶場

科研型靶場主要針對網絡安全研究人員提供測試驗證環(huán)境，支持在靶場上開展網絡安全研究、技術開發(fā)、網絡武器研究、效能測試、系統(tǒng)脆弱性檢驗等一系列研究工作，推動創(chuàng)新技術快速轉化應用到生產領域，起到技術“中試基地”作用。因科研型網絡靶場建設周期長、資金投入高，故科研靶場多為國家和各級政府主導建設并推廣應用，科研測試靶場主要有2類典型服務[5]。（1）漏洞挖掘�；�于靶場的自動業(yè)務場景構建能力、實物仿真能力、虛實結合能力，構建針對軟硬件的漏洞挖掘業(yè)務系統(tǒng)，實現(xiàn)針對交換機、服務器等IT設備或可編程邏輯控制器（PLC）、分散控制系統(tǒng)（DCS）、數(shù)據采集與監(jiān)視控制系統(tǒng)（SCADA）、遠程終端單元（RTU）等專業(yè)軟硬件設備的漏洞挖掘。（2）風險驗證。以漏洞資源庫、風險庫為技術支撐，對目標系統(tǒng)/設備進行測試和診斷，識別系統(tǒng)設備信息，測試系統(tǒng)脆弱度，分析已知漏洞，挖掘未知漏洞，生成告警和系統(tǒng)分析報告。

5.2 教學培訓型靶場

教學靶場內置了大量的課件、題庫、實驗環(huán)境以及相關評測輔助等功能，通常集成了普通網絡拓撲場景以及能源、鋼鐵、有色、化工、裝備制造等關系國計民生的典型行業(yè)的應用場景，提供了集成基礎教學演練、綜合能力實訓、技能評估和后臺資源統(tǒng)一管理分配等功能的實訓平臺，可支撐從教學、實踐、使用、監(jiān)控、評估等維度開展培訓工作[9]。

目前，教學靶場應用最廣泛、使用需求最大。教學靶場主要具備以下4個特征。一是注重課程體系建設。教學類靶場課程一般涵蓋基礎理論課程、基礎實訓課程以及實戰(zhàn)課程等各層次教學課程。二是注重實訓平臺建設�？芍С謽嫿ㄕ鎸嵉慕换�實驗環(huán)境，面向服務器、交換機等通用網絡設備或者可編程邏輯控制器（PLC）、數(shù)據采集與監(jiān)視控制系統(tǒng)（SCADA）等工業(yè)設備開展漏洞利用、滲透測試、資產識別與掃描等實訓。三是注重攻防演練能力建設。靶場攻防演練系統(tǒng)提供預置的超逼真的網絡安全場景，每個場景都會預先注入一系列漏洞和脆弱性，以便學生利用場景進行攻防對抗演練和試驗。四是注重培訓管理的提升。近兩年，教學培訓靶場發(fā)展速度快，引入了大數(shù)據、人工智能等先進技術與理念，加強測試評價工作，強化教學靶場的培訓效果。例如，以色列Cyberbit公司開發(fā)的網絡靶場增加虛擬教練功能，利用大數(shù)據、人工智能評估受訓者表現(xiàn)；部分靶場搭載了網絡安全游戲，通過游戲化的方式增加學習和訓練網絡安全技能的趣味性，強化培訓的效果。

5.3 取證靶場

取證靶場主要模擬真實業(yè)務系統(tǒng)，部署在企業(yè)互聯(lián)網出入口，當識別出攻擊行為后將攻擊者轉到取證靶場，進行分析研判與取證。一般在旁路部署大量完全逼真的設備作為“影子系統(tǒng)”來吸引攻擊者�！坝白酉到y(tǒng)”中會部署威脅感知傳感器，采取主動蹲點的方式收集、記錄攻擊行為，并對攻擊行為開展智能分析，確定攻擊者的行為等級，同時會按照攻擊者會話、會話的開始時間、會話內交互次數(shù)、會話內攻擊行為的原始數(shù)據，詳細對攻擊行為進行記錄，以便開展針對攻擊行為的取證工作。

5.4 演練型靶場

演練型靶場可提供全流程演練環(huán)境，在虛擬環(huán)境中對真實的攻擊、事件進行模擬。演練型靶場主要分為攻防演練型靶場與應急演練型靶場。

攻防演練靶場提供預置的網絡安全場景，每個場景預先注入一系列漏洞和脆弱性，用于開展攻防對抗演練和試驗。攻防演練靶場具有多平臺、綜合性、多樣性、可復現(xiàn)、可重構的能力，支持多種演練模式：（1）入侵演練。對特定場景進行模擬入侵攻擊，在有限的時間內從各種進入點執(zhí)行攻擊。（2）防御演練。負責保衛(wèi)網絡及其關鍵資產，注重于訓練防御人員，識別和對抗攻擊場景，培養(yǎng)實戰(zhàn)經驗。（3）對抗演練。采用實戰(zhàn)演練模式，在一個高度仿真的演練場景中分配一隊攻擊隊和一隊防御隊，兩方根據各自的任務在場景中進行攻防對抗型操作。

應急演練靶場是應急人員能力培養(yǎng)的訓練平臺，通過應急演練靶場，圍繞推演控制、推演評估、多角色協(xié)同推演等核心功能，為用戶建立線上實操演練環(huán)境，該平臺將結合具體的規(guī)范化流程進行實際操作，提升演練人員針對信息安全的認知和技能水平，達到理論實踐結合一體化的目的。

6 總結與啟示

網絡靶場歷經實物靶標網絡靶場、虛擬化網絡靶場、大型虛實結合網絡靶場與行業(yè)特色網絡靶場3個主要發(fā)展階段，在呈現(xiàn)形態(tài)、應用技術、建設規(guī)模等方面不斷發(fā)展，形成了完善的服務體系與豐富的服務能力，主要呈現(xiàn)以下特點。

一是多以培訓教育、攻防演練和測試驗證為主。早期建設網絡靶場多以攻防演練、測試驗證和威脅誘捕為主要服務目標，隨著安全需求的變化，網絡靶場的發(fā)展定位也發(fā)生了相應的變化，承擔了支撐網絡安全戰(zhàn)略落地，提升網絡和信息系統(tǒng)的穩(wěn)定性、安全性與推進學科可持續(xù)發(fā)展的任務與使命。但受限于高仿真技術不足、建設成本過高、建設內容復雜且極具個性化等因素，目前建設的網絡靶場多以培訓教育、攻防演練、測試驗證為主，在復現(xiàn)真實環(huán)境、測試驗證新技術、發(fā)現(xiàn)未知風險等方面還處于探索階段。

二是更加注重可用性和用戶體驗。網絡靶場本身的部署、使用的便利性決定了其整體可用性和用戶體驗。當前，網絡靶場多以本地部署為主，但隨著近兩年虛擬化、云計算、虛實結合等技術的發(fā)展和逐漸成熟，使“逼真的仿真環(huán)境”通過網絡靶場即服務模式對外提供服務，大大提高了網絡靶場的可用性和用戶體驗。同時，借助大數(shù)據、人工智能等先進技術打造的虛擬教練、用戶效果分析功能，加強了全流程測試評價工作，強化教學靶場的培訓效果。

三是逐漸強化公共基礎設施屬性，加強一體化服務能力建設。近兩年，網絡靶場在建設模式逐步由獨立發(fā)展、分散建設向集成化、體系化、協(xié)同化方向發(fā)展。一方面，部分靶場開始探索共建共享模式，由不同部門聯(lián)合國內優(yōu)勢企業(yè)、科研院所，采用統(tǒng)一技術規(guī)范與標準，堅持共享共建的思路，推進網絡靶場建設。另一方面，強化網絡靶場的公共基礎設施屬性，在安全漏洞庫、攻擊工具庫、防護策略等通用組件資源上均逐漸在一定范圍內、一定條件下實現(xiàn)共享。

我國在網絡靶場建設方面起步較晚，處于快速跟進階段，金融、通信、軍工等重點行業(yè)均在規(guī)劃建設行業(yè)性靶場測試床，但規(guī)模較小、場景簡單，與實際生產系統(tǒng)還存在一定的差距。當前，我國推動工業(yè)化與信息化在更廣范圍、更深程度、更高水平上實現(xiàn)融合發(fā)展的要求必然對網絡安全能力形成巨大需求，需要建設與目標高度一致的網絡靶場，承載新技術轉化驗證、安全測試評估、安全能力摸底、攻防演練、教育培訓等功能。一是建設一批具有公共服務能力的網絡靶場。當前基于靶場所開展的攻防演練工作都相對獨立，其安全漏洞庫、防護策略均是在其本地構建，存在嚴重的重復建設和資源浪費情況，應通過政策引導、專項資金等方式統(tǒng)籌建設一批具有公共服務能力的靶場，同時扶持專業(yè)機構建設檢查評估、安全監(jiān)測、攻防測試等公共服務技術手段，提供風險預警、安全診斷評估、安全咨詢、數(shù)據保護、系統(tǒng)加固等安全服務。二是研發(fā)一批先進的、關鍵性的網絡靶場核心技術。保持與新技術融合是維護靶場競爭力和充分發(fā)揮靶場作用的關鍵，強化網絡靶場的理論研究，加強大規(guī)模網絡仿真、攻防行為模擬、實驗數(shù)據采集分析、評價評估方面的技術開發(fā)，強化網絡靶場的核心能力。三是形成一套“以測帶建”的靶場服務機制，全面提升網絡靶場服務價值。通過安全開發(fā)測試不斷突破新的技術邊界，實現(xiàn)在短時間內快速提升網絡靶場的資源管理、應用服務、安全開發(fā)測試等能力。同時，建立并持續(xù)完善運營機制，積極利用網絡靶場開展攻防演練、技術評估、漏洞挖掘工作，提升網絡靶場的應用價值。

（原載于《保密科學技術》雜志2021年6月刊）