網路靶場:劃時代的新型網路安全基礎設施

近年來,作為支撐網路安全戰略建設的重要基礎設施,網路靶場正在成為世界各國搶先佈局的數字化創新應用新高地。而在我國,新型網路靶場技術應用也開始快速落地,大規模、高仿真、數字化的網路靶場平臺,已經成為網路安全技術研究、人才培養、實戰演練、測試分析以及態勢推演等不可或缺的支撐工具。

網路靶場的定義與內涵

自2008年美國國防部高級研究計劃局(簡稱「DARPA」)正式提出建設國家網路靶場的構想開始,網路靶場技術已發展十多年。但迄今為止,很多人對網路靶場的理解仍然是管中窺豹,以偏概全。

認知一

網路靶場就是攻防對抗。基於字面理解,認為網路靶場是真實世界裡的軍事靶場在數字世界的對映,即利用數字化的方法搭建的攻防對抗模擬平臺。

認知二

網路靶場就是培訓競賽。培養網路安全人才、提升實戰技能是網路靶場常見的應用場景,很多人因為是通過參加培訓、競賽首次接觸到網路靶場,就誤認為網路靶場是用於培訓和競賽的系統。

認知三

網路靶場就是網路仿真。實際上很多靶場場景僅僅靠使用仿真環境是遠遠不夠的,而是人員角色、工具腳本、仿真環境、業務流程、知識方法等等一系列要素的編排排程、檢測評估與處理執行的結果。

作為一個具有劃時代意義的新型基礎設施,網路靶場自誕生以來它的功能和內涵一直在發展變化。如果只注重它某一方面的功能,就會產生認知偏差。實際上,從創建之初的構想到當前的應用實踐,網路靶場的價值定位是非常清晰和明確的,它是用於網路空間安全領域「培養人,研究物,統籌事」的科學裝置,是網路安全的基礎設施。

DARPA在構想美國「國家網路靶場」(NCR)的時候,對其進行了明確的定位:從科學發展的角度看,生物學因為顯微鏡的出現而實現了大的發展,天文學因為有了望遠鏡而獲得了長足進步,粒子物理因為有了粒子加速器而實現重大突破,網路空間安全也需要類似的科學裝置推動科學研究、技術分析和突破。正因網路靶場具有如此高的戰略意義,美國國家網路靶場成為近五十年來美國國會第一次直接批准預算給DARPA的項目,而上一次批准的項目還是「星球大戰」。

歐洲網路安全組織(簡稱「OSCE」)則認為:網路靶場是一種開發、交付和使用互動式仿真環境的平臺底座,可以與各行各業的數字化應用場景結合,支撐網路安全能力深入到行業的業務場景中。

網路靶場的發展與實踐

網路靶場在邁向成為服務國防、政府和企業重要系統的網路安全公共服務平臺的進化之路上取得了長足的進展,正在快速地提升平臺能力,創新應用場景。

01

網路靶場發展歷程

目前,美國國家網路靶場(NCR)、英國的聯邦網路實驗靶場、加拿大的國家仿真實驗室、歐盟的網路靶場聯盟、日本的星平臺系統(StarBed),均是國家和相關行政部門長期重點關注和持續戰略性投入的項目,承擔了研究網路威脅、保護基礎設施安全、支撐網路安全產業發展的重要任務。

全球主要國家、地區網路靶場發展歷程

全球主要國家、地區網路靶場發展歷程

美國NCR項目2008年由DARPA主導設計、建設,2012年由美國防部實驗資源管理中心(TRMC)接管,進入部署應用階段,為國防部提供網路安全測試評估能力,以及為網路任務部隊(CMF)提供培訓、認證和演練能力。2016年TRMC啟動了擴容計劃,新建三個NCR節點與原有設施組成互聯綜合體(NCRC),以滿足不斷增長的測試評估和培訓認證需求。

與TRMC管理的其他軍用網路靶場不同,NCR是一個軍民融合共建的綜合性國家資源,涵蓋了政府、國防、金融、電信、工業等領域對於網路空間基礎設施安全體系建設與科研試驗需求。現在,美國已將網路安全的全生命週期納入網路靶場。除了基本的訓演競研測業務場景,網路靶場還被用於各類降低安全風險的活動、安全架構分析、取證分析等一些創新且更具價值的方向。

歐洲防務局(EDA)自2013年啟動網路空間靶場合作共享計劃,開始建設網路防禦訓練和演習協調平臺(CD TEXP)。2017年EDA正式啟動歐洲網路靶場聯盟(CRF)項目,在CD TEXP平臺基礎上擴展研究、模擬和測試等功能,並研究引入AI應用、提高自動化部署能力、創建聯邦態勢感知和數字取證等服務。該項目重點是開發一個歐洲層面的強大平臺,實現成員國的國家網路靶場互連,推動分享知識和最佳實踐,幫助成員國提高各自的網路防禦力量。

日本國家資訊與通訊技術研究所(NICT)於2002年開始建設 StarBED,目標是提供一個可以進行多次大規模的模擬的試驗檯,支持研究機構進行基於網際網路的研究和開發。利用該試驗檯,可以促進設備、工具和技術的共享和循環利用,降低研發成本,縮短研發週期。StarBED經歷了面向有線網路、面向有線-無線混合網路、面向物聯網技術的發展階段,至今已進入第五代系統,利用仿真和實際環境相結合,對由事物、行為和ICT設備組成的環境進行評估。

從上述幾個主要經濟體的國家網路靶場發展歷程,可以看到,能夠實現全場景覆蓋的新型靶場應用平臺正在快速崛起:

  1. 技術進步不斷賦予靶場新的功能和內涵,從以仿真能力為核心到注重自動化部署、多維對象評估等綜合能力建設;

  2. 應用場景不斷豐富,從最初的培訓演練或測試驗證,到支持聯邦態勢感知、數字取證等應用創新的多場景覆蓋;

  3. 規模不斷擴大、架構更加複雜,從單節點運行向多節點分散式互聯發展,通過共建共享模式來滿足更大規模的資源需求,並實現能力共享。

02

網路靶場最佳實踐

基於平臺定位的網路靶場,可以為企業使用者網路安全建設注入了新的動能,提升企業網路安全治理的水平。

美國密歇根州是網路靶場技術應用的較早實踐者。2011年,該州發佈了「網路安全倡議」,致力於尋找一種創新的解決方案,以創建網路安全生態系統,解決網路安全領域人才需求,預防和應對網路攻擊和威脅,網路靶場建設由此正式啟動。目前,密歇根網路靶場已擴充到14個站點,成為美國最大的民用靶場,主要功能是進行防禦訓練及教學,允許密歇根州多所大學以及陸軍國民警衛基地接入開展訓練、演練與教學活動。該項目不僅有效地改善了密歇根州的網路安全防禦和商業環境,同時也建立起一個可在美國其他各州實施的靶場建設框架。

美國國土安全部對密歇根網路靶場的實踐進行了評估:密歇根州採用創新的網路安全方法,推動了網路安全從以合規為中心走向以風險管控為核心的能力建設,持續增強州政府對網路安全事件的管理能力;網路靶場體現出創新價值,提升了區域在網路安全人才、教育和安全事件反應等領域整體⽹絡安全能力。

我國在網路靶場建設方面起步較晚,但在相關政策驅動下,技術發展和應用實踐方面都在快速跟進,目前全國已有多省已經建有或正在建設網路靶場平臺設施。而鵬城靶場是我國網路靶場理念、技術和實踐的領導者之一。

鵬城靶場屬於鵬城國家實驗室,歷經十年研究發展,已步入第四代——聯邦靶場的發展建設模式。2020年,第三代系統成功實現國內首個單體超百萬節點的大規模網路靶場,全面覆蓋網路安全科研、安全性評測、攻防對抗訓練、新技術驗證等網路安全保障需求;2022年,第四代系統實現國內首個聯邦靶場,集成一批關鍵資訊技術基礎設施分靶場,為各地智慧城市建設保駕護航。

目前,鵬城靶場已發展成為全球規模最大的民用級靶場之一,不斷突破關鍵科學問題,在虛擬網路構建、聯邦互聯、多工隔離以及攻擊檢測等多項關鍵能力指標全球領先。在思想理念上,牽引國內市場對網路靶場的認知和定位逐漸迴歸其基礎性網安服務平臺的本質,引領靶場建設轉向以全棧能力為核心,關注業務場景化。

網路靶場的技術架構和核心能力

網路靶場之所以能夠在眾多新型網路安全技術應用實踐中異彩綻放,離不開持續不斷的技術創新和發展。

01

網路靶場的技術架構

網路靶場從技術架構和構建模式上可分為兩大類:

自頂向下:目前市場上絕大多數公司是從培訓、比賽等應用視角出發,自頂向下構建網路靶場。這類產品體量小、功能簡潔、易部署,但它沒有一個穩定可靠的底層平臺,應對大規模複雜場景的能力弱,缺少面向未來業務的成長性。

自底向上:採用相反的邏輯,以平臺層為核心,在平臺層構建強大的資源管理、網路仿真、資源配置、任務導調、採集分析等能力,在此之上按需搭建應用層內容。這種模式在應對大規模複雜場景(如多工併發、多級多維度協同)時更加從容,面向未來業務的開放性、包容性更強。

自底向上搭建的網路靶場技術框架

自底向上搭建的網路靶場技術框架

兩種構建模式的形成與網路靶場的發展歷程、市場認知的變化過程相關。目前行業普遍認為,以一個強大的平臺為核心、自底向上搭建的網路靶場更接近其基礎性網安服務平臺的本質。從某種意義上說,網路靶場平臺就是網路安全領域的「Android系統」,基於強大的平臺才能生長出豐富的應用場景,實現業務價值的突破。

02

網路靶場的核心能力

構建以平臺層為核心的網路靶場時應重點考慮如下問題:

  • 能否實現大規模、多級、多維度的協同演練和應用需求?

  • 如何靈活、快速實現大規模、高逼真的目標網路仿真模型構建?

  • 如何實現複雜場景下的多工併發,支持多資源融合、多工安全隔離?

  • 對於不同的靶場業務需求,能否快速便捷實現多維度的複雜任務編排和導調?

  • 如何實現靶場業務活動過程的全資料實時採集,全面準確地覆盤過程和量化評估?

  • 一個強大的靶場平臺必須具備全棧能力,才能從容應對日益複雜的需求。

網路靶場平臺的全棧能力

網路靶場平臺的全棧能力

全棧網路靶場的五大核心能力包括:

  1. 一棧全面仿真:支持大規模複雜網路靈活構建,按需實現四態對象(虛擬化節點、容器節點、離散事件仿真節點和實物節點)的網路互通,及異構環境下分散式靶標互聯。

  2. 一鍵全程導調:通過細粒度的任務編排與導調能力,實現面向人員、環境、任務的靈活編排和導調,使培訓、演練、測試過程可定義、可擴展、自動化。

  3. 一網全量採集:多模式資料採集,實時無損地獲取靶場試驗、測試和攻防演練的資料,以便進行精準的攻防事件檢測、行為分析、威脅鑑定、態勢分析等。

  4. 一屏全域評估:面向人、攻擊武器、受保護系統、安全防護設備等多維對象進行安全效能的量化評估,並對評估結果進行視覺化展示。

  5. 一體全局協同:集成融合各類資源,虛實結合,分散式互聯共享,支持系統資源快捷的橫向擴展和一體化運行狀態監控。

網路靶場的應用發展

數字技術不斷創新,資料資源日益豐富,未來攻防工具更加智慧化,業務功能更加自動化,資料融合、資源協同,將為網路靶場平臺不斷注入活力,激發出更多的應用場景創新。面向未來,筆者認為,基於網路靶場平臺,既能夠推動車聯網、密碼應用進入發展快車道,也能夠在破解資料要素流動與隱私保護的衝突中一展身手。

應用一、車聯網測試

在智慧交通「車-路-雲」一體化的實現過程中,安全事件頻發,網路安全問題尤為突出,嚴重製約了智慧網聯車的健康發展,建設安全合規的車聯網迫在眉睫。

車聯網測試靶場通過虛擬環境與真實設備相結合,構建出覆蓋「人、車、路、雲」全要素的高逼真度仿真環境,通過試驗過程導調控制和業務環境安全隔離能力,滿足對智慧網聯車進行實車眾測、智慧駕駛威脅場景驗證等需求,為車企、測試機構進行安全攻防演練、新技術測試驗證提供全方位的支撐,幫助車企及時發現安全漏洞,並通過深度資料分析,實現完整的網路安全測評閉環,全面提升智慧網聯車行業整體網路安全防護與研發能力。

應用二、密碼應用及評估

隨著《密碼法》對密碼管理、科研、生產、服務、檢測、裝備、使用和銷燬全鏈條提出明確要求,如何簡化密碼技術實現複雜性,推動密碼方案正確的應用成為密碼產業鏈的關鍵。密碼應用及評估網路靶場發揮場景復現、虛實結合、流程導控等優勢,與各類密碼專業化工具資源相結合,面向密碼產業鏈「產、學、研、用」 上下游單位提供自動化的密碼產品標準符合性檢測,實戰化的密碼教學培訓、攻防實訓、應用開發與科研實驗,線上式的密碼應用檢測評估等服務,提升密碼應用及評估的規範性,助力中國密碼應用產業高質量發展。

應用三、基於靶場的資料使用權交易平臺

自2014 年「大資料」第一次寫入政府工作報告起,大資料相關的政策檔案密集出臺,為資料作為生產要素在市場中進行配置提供了政策土壤。資料必須要開放流通才能釋放價值,而開放流通的前提是解決資料隱私保護問題。

網路靶場為解決資料隱私保護提供了新思路。網路靶場能夠全面的集成人工智慧、深度學習等相關能力,通過網路靶場的網路環境構建,靈活快速的構建可信的資料開發運行環境和測試環境,並用任務導調實現資料的智慧編目、環境的自動編排、程序的集成編目和結果的協同編審,在整個業務活動中,全量採集和檢測資料資源開發利用的行為資料,評估展示資料資源的利用情況和安全風險。最終平衡資料要素流動與個人資訊保護的衝突問題,基於「資料不動程序動,分享價值不分享資料,資料可用不可見,保留所有權釋放使用權」的原則,實現「資料使用權交易」的資料要素價值變現。

結語

網路靶場是一個具有劃時代意義的新型網路安全基礎設施,是構築數字世界安全底座不可或缺的科學裝置。

從各國網路靶場的發展歷程,可以看出共性的發展趨勢:網路靶場功能和內涵不斷延展,從以仿真能力為核心向注重綜合能力建設轉變;應用場景持續創新,從最初的培訓演練、測試驗證向多場景覆蓋發展;規模不斷擴大、架構更加複雜,從單節點運行向多節點分散式互聯發展。

從靶場的技術架構和核心能力看,以一個強大的靶場平臺為核心、自底向上搭建的網路靶場具有更強的開放性和成長性,強大的平臺是實現應用場景突破的基礎。在構建靶場平臺時,應注重環境仿真配置、自動編排導調、實時資料採集、多維評估展示、分散式互聯與綜合資源管理等全棧能力建設。

展望未來,智慧化、自動化、視覺化技術加持,網路靶場的核心能力將更加強大,不斷激發應用場景創新。

參考文獻:

  1. https://cloud.tencent.com/developer/article/1547711

  2. https://zhuanlan.zhihu.com/p/487836865

  3. https://www.secrss.com/articles/43937

  4. https://eda.europa.eu/news-and-events/news/2018/09/13/cyber-ranges-federation-project-reaches-new-milestone

  5. https://eda.europa.eu/docs/default-source/eda-factsheets/2021-07-05-factsheet-cyber-ranges.pdf

  6. https://starbed.nict.go.jp/en/aboutus/index.html

  7. https://cyberscoop.com/industry-cybersecurity-autonomous-vehicles-waymo-google-home/

  8. https://cset.georgetown.edu/publication/downrange-a-survey-of-chinas-cyber-ranges/

作者簡介

鄭志彬,鵬城國家實驗室鵬城靶場副總師,北京郵電大學客座教授,擔任中國網路空間安全協會副理事長,中國通訊標準化協會網路與資料安全委員會副主席等。長期從事網路安全、智慧城市、雲端運算、大資料等領域的研究,曾任科技部863「十二五」「中國雲」專項組專家,擁有發明專利150多項,獲得國家技術發明二等獎2項。

相關文章

可信存力,Web3.0的下一個戰場

可信存力,Web3.0的下一個戰場

產業數字化作為數字經濟發展的主引擎,在全球經濟發展的大環境中飛快發展。作為「新基建」重要技術之一的區塊鏈,俘獲了大量關注。 回顧區塊鏈近年的...

涅槃:時序資料庫的終局與重生

涅槃:時序資料庫的終局與重生

【CSDN 編者按】當關系型資料庫能夠很好地支持時序資料時,專用時序資料庫的意義何在?是否會像NoSQL一樣,失去作為一個資料庫類別的意義?...

「聽我說,創業公司選擇 Rust 需謹慎」

「聽我說,創業公司選擇 Rust 需謹慎」

摘要:近年來,Rust 絕對是一門成長速度飛快的程式語言,許多國內外大廠都開始關注這門年輕的語言,但本文作者表示,對於創業公司而言,Rust...

研究老式計算技術的樂趣

研究老式計算技術的樂趣

【CSDN 編者按】對於哪些早已過時,淘汰掉的機器,為什麼還有人樂此不疲地去研究呢?為什麼有些技術被自己的「主人」放棄很久之後,仍然有人願意...