李 进,冷 涛
(四川警察学院 四川泸州 646000)
随着计算机应用与互联网技术的空前发展,给人们带来巨大便利的同时,也引发了新的犯罪方法和手段,网络犯罪就是典型的代表。目前计算机犯罪趋势呈现为形式越来越多样化,手段越来越隐蔽化,计算机犯罪给国家和社会稳定造成了严重威胁,严重地危害了我国的政治安全、经济安全和社会稳定。全国现有19所公安高校开设了网络安全与执法本科专业,该专业是培养具有开展网络安全与执法工作的职业核心能力,能在公安部门及相关领域从事信息网络安全保卫与执法工作的应用型高素质专门人才。当前网络安全形势和信息网络安全保卫工作都迫切需要网络警察掌握网络攻防技术,而网络靶场的构建是公安高校培养学生开展网络攻防技术学习和训练的有力支撑,同时网络靶场还可为网络安全相关课程学习提供较好的实验教学环境,发挥实验教学在人才培养方面的作用,提高学生的实践能力和专业素质,为培养网络安全与执法高级人才提供有力保证。
美国政府为了增强信息化作战能力,确立其在网络空间中的“霸主”地位,率先开始了网络靶场的设计与运营。英国、澳大利亚也开始着手网络靶场的建设,日本、伊朗、以色列等国家虽然没有建设网络靶场,但在信息战领域都迈出了实质性的步伐[1]。我国网络靶场建设目前处于起步阶段,仅有部分科研实验室和行业专用试验场等,其主要功能是研究电子信息对抗与仿真技术、为行业产品进行试验及检测等。在国家网络靶场建设方面,无论从靶场基础理论研究、关键技术和产品研发,还是网络空间安全风险评估研究,我国都还存在不小的差距。
我国高校网络靶场的建设还处在初级阶段,部分高校建设有网络攻防实验教学平台,但多是进行信息安全基础教学实验,很少有网络靶场的实验环境。另外由于网络安全实验本身具有特殊性和破坏性,因此,现有的网络攻防实验大多采用虚拟仿真技术来进行,虽然基于虚拟仿真技术的网络攻防教学和培训产品,对网络安全的实验和研究起到了良好的推动作用,但也存在以下问题:(1)由于真实网络环境的复杂性和多样性,仅依靠虚拟化技术或硬件设备,难以实现对多样化的网络拓扑结构和攻防场景的模拟;(2)不能通过网络开展远程攻防实验,实验设备利用率较低。因此,利用虚拟化和云技术,开发出可以供远程用户使用并灵活配置出多种网络拓扑结构的实验教学平台成为目前的研究热点[2]。
目前,国内有许多公司或高校都研发或搭建了信息安全实验系统,用于信息安全相关课程的教学,从传统的客户服务器模式发展到基于云平台构建虚拟实验环境,如红亚科技、绿盟科技、易霖博等公司开发了网络攻防系统(平台),主要功能是开展网络攻击、网络防护学习和训练,以及培养学生参加网络攻防大赛。目前主要网络靶场产品及分析如表1所示。
表1 主要网络靶场产品分析
公安高校承担着为各级公安机关培养网络警察专门人才的任务,建设好一个既符合公安实战需求又能满足教学需要的网络靶场至关重要。我们认为网络靶场的建设主要包括硬件环境、平台搭建、网络靶场内容构建三大部分。其中硬件环境主要涉及实验室硬件建设,如服务器和终端配置等;平台搭建主要考虑基于云计算、虚拟化等技术构建靶场平台,提供丰富的功能支撑人才培养;网络靶场的内容构建是最核心部分,应根据人才培养标准建构知识体系和能力训练,同时考虑实战以及形势发展,适时更新。
高校网络靶场实验室的建设,应考虑空间环境及现代实验教学的发展趋势,既要培养单兵作战能力,又要考虑以小组合作方式,进行网络对抗实验,培养学生的团队合作能力。因此,在实验环境的布置时要考虑利于学生相互讨论进行实验场所的布置。其次,网络靶场需要一个相对封闭的局域网环境,包括实验终端个人电脑和实验所需的网络环境靶场服务器。学生实验终端计算机一方面可以采用普通终端PC机,组合成实验室局域网,PC机的处理器、内存应选择较高配置,服务器的数量根据用户数量的需求决定,服务器要运行多个虚拟机,因此其性能配置应较高。
网络靶场平台一般基于Openstack云平台构建,通过采用专用云资源服务器及云调度设备进行设计,利用服务器虚拟化的方法来对终端进行支撑,服务器针对用户请求进行负载均衡,学生计算机可以采用虚拟桌面云终端的设计方式,通过部署在实验台的瘦客户端进行实验操作,所有应用、数据统一存放在后台服务器,虚拟桌面云终端不存放任何数据,可被管理工具统一管理。
网络靶场平台的功能规划主要分为教师管理及学生实战两个环境,教师管理主要应包括云环境管理、用户管理、靶场管理、成绩管理、平台管理、攻防展示等。其中靶场管理优先考虑靶场环境是否可以灵活更新和靶场灵活修改,攻防展示系统具有实时监测攻击状态,展示攻击画面和排名等功能。实验学生端可分为三个层次,分别为攻防实训、靶场实战、信息(红蓝)对抗。攻防实训主要是培训基础知识,应支撑课程体系的学习,提供丰富的课程学习资源,并具有测验、记录学习路径和操作方便等功能。靶场实战旨在提升单兵作战能力,根据知识体系构建资源,提供CTF(capture the flag)、单机靶场进行训练等。信息(红蓝)对抗旨在提升团队协作能力,以AWD(Attack with Defence)形式培养实战对抗能力。
网络靶场内容构建应考虑人才培养目标,针对公安高校网络安全与执法专业的特点,按照公安部对新形势下网络警察职业素质的要求,构建网络靶场的内容体系,重点应包括WEB安全、逆向工程、漏洞挖掘、内网渗透、社会工程学、勒索病毒、物联网攻击、恶意软件、DDOS攻击等,同时还要考虑网络警察实战,将脱密案件直接引入课程教学,或者将涉网犯罪案件所用相关技术进行抽象,构建仿真案例靶场。同时,网络靶场的构建应能尽可能模拟出所有网络攻击,还可以配备具备收集黑客攻击情报功能,用以更新防卫和训练模式,打造情报、训练及拆解于一身,不仅满足学生培养需求,还能开展在职民警培训。
面对日趋严重的网络犯罪形势,公安高校网络靶场的内容建设还需要重点考虑网络追踪溯源技术。首先构建靶场要满足对攻击主机进行追踪溯源,具体可培养基于日志存储查询、路由器输入调试追踪、修改网络传输数据、单独发送溯源信息、数据流匹配、多手段融合追踪溯源技术;其次可开展追踪溯源攻击控制主机;再次追踪溯源攻击者及其组织,了解文档分析技术、邮件分析技术、键盘使用分析技术、攻击代码分析技术等;最后,研究新的追踪溯源课题,如匿名网络的追踪溯源问题等。
总之,公安高校应构建一个基于云平台的网络靶场,可开展各种信息安全、网络攻防、网络溯源和取证等实训实战项目,在基于虚拟化的仿真环境下,使学生学习并掌握网络攻防技术知识,进行网络攻防实战训练,从而全面锻炼学生的信息对抗和网络反制能力。
四川警察学院于2016年构建了一个基于云平台的网络靶场,该平台具有信息安全、网络攻防、网络溯源等实训及实战功能,使得学生在网络攻击、网络防护、网络溯源等方面能力显著提升,参加全国、省级各级各类信息安全比赛中举得了优异的成绩,进一步提高了网络安全与执法专业人才培养质量,得到了公安机关实战单位好评。今后,我们应根据网络安全态势和网络警察实战需求,不断完善网络靶场功能和内容,特别是增加公安实战案例靶场,贴近真实网络环境和公安实战,加强公安高校与企业合作,以及公安高校之间交流与研讨,为公安机关培养高水平的网络警察专门人才。
[1]李秋香,郝文江,李翠翠,徐丽萍.国外网络靶场技术现状及启示[J].信息网络安全,2014,(9):63-68.
[2]底晓强,张宇昕,赵建平.基于云计算和虚拟化的计算机网络攻防实验教学平台建设探索[J].实验技术与管理,2015,(4):147-151.
[3]祝世雄等.网络攻击追踪溯源[M].北京:国防工业出版社,2015:12.
[4]程 静,雷 璟,袁雪芬.国家网络靶场的建设与发展[J].中国电子科学研究院学报,2014,(5):446-451.
[5]方滨兴,贾 焰,李爱平,张伟哲.网络空间靶场技术研究[J].信息安全学报,2016,(3):1-9.