网络空间主动防御体系军民融合发展研究

朱炫蓉 颜春

【摘要】加快推动网络安全和信息化军民融合深度发展，利用程序行为算法等多层次多级别的防病毒体系，构建一支网络空间攻防分队，使其成为新形势下预备役部队又一支新生力量，为保证军队信息化网络的安全性、稳定性、保密性做出贡献。

【关键词】军民融合;信息安全;主动防御;网络靶场;攻防对抗

一、引言

随着信息技术的发展和普及，网络空间已成为各个国家在领土、领海、领空、太空之外的“第五空间”，被视为国家主权新的疆域，网络空间的争夺和较量已经规模性地展开，伊朗震网事件、美国棱镜门事件更是把这种争斗透明化。党的十八大报告首次明确提出了“健全信息安全保障体系”的目标，这必将对我军信息化推进和信息安全发展产生重大而深远的影响。

随着网络技术的快速发展，构建一个局部安全、全局安全、智能安全的整体安全体系，以有效抵御日趋严重的混合型安全威胁成为军队保障信息化战的一个重点。加快推动网络安全和信息化军民融合深度发展，利用程序行为算法等多层次多级别的防病毒体系，构建一支网络空间攻防分队，使其成为新形势下预备役部队又一支新生力量，为保证军队信息化网络的安全性、稳定性、保密性做出贡献。

（一）国内外网络靶场发展概况

鉴于网络靶场对于网络空间建设的重要作用，世界各国都将其作为网络武器装备研制试验、支撑网络空间安全技术演示验证、攻防对抗训练演练和网络风险评估的重要场所。目前，美国依然走在世界的前列，不僅建成了多个小型网络靶场，而且开展了国家级网络靶场建设。英国等其他国家也正在建设自己的国家网络靶场。

我国网络靶场的建设还处于起步阶段，仅有一些小型靶场建成，其主要功能是研究电子信息对抗和仿真技术，为某些创新产品进行试验及检测。因此，我国现有的网络试验和测试环境规模较小，且大多针对某一专业领域，尚不适用于体系化的网络空间安全科研试验与测试评估。在国家级网络靶场建设方面，无论是网络靶场基础理论研究、关键技术及产品研发，还是网络空间安全风险评估的研究，我国与世界其他先行国家都还存在不小的差距。

（二）建设网络靶场的必要性分析

国家网络靶场作为国家网络空间安全战略的迫切需要，是提升我国网络空间安全能力的重要战略举措，也是建设强大信息系统国度的安全保障。目前美国等世界强国均已启动国家网络靶场项目，而我国国家网络靶场项目还未启动，这就导致我国目前缺少成体系的针对国家关键信息基础设施的安全性试验验证环境，我国网络空间安全风险评估能力严重落后于世界先进水平。面对网络空间安全的新发展、新要求，我国必须重视关系到全局和长远发展的网络空间安全领域，通过科学规划、顶层设计，推进机制创新、协同创新和开放创新，尽快启动国家网络靶场建设，提升我国网络空间信息安全核心能力，实现国家网络空间安全能力的整体跃升。

（三）我国预备役部队实现网络空间在主动防御战略体系建设中的必要性

随着美国对“网络战”的宣布和积极部署，世界其他各国也纷纷跟进，截至2010年底，俄罗斯、日本、以色列、法国、德国、新加坡、印度和韩国等国家军队都相继成立了自己的网络作战部队，网络战硝烟的味道已经在全球弥漫。与此同时，我国军队建设正在推动转型，国防信息安全防护提出了更高的要求，要加快信息安全技术的发展，提升网络空间的作战能力，仅仅依靠相关政策、法规和保密技术是不够的，我们还必须大力开发实用且操作性能强的系统软件、应用软件，这是提高军队信息安全保密能力的有效途径。我们要将用于军队和国防建设需要的计算机与国际互联网实行物理隔绝，提高军用计算机抵抗各类已知和未知攻击的能力。因此，我们有必要打造一支以主动防御技术保护核心信息系统安全，实现网络空间的主动防御战略体系化军队，全方位地保证预备役部队信息化网络的安全性、稳定性和保密性。

二、在“军民融合”的政策倡导下，实现寓军于民，以民养军，完成预备役部队的网络攻防主动防御体系建设

军民结合是党中央的一贯战略思想。能军能民，走军民结合发展道路，是党的三代领导集体和新一届中央领导集体对国防科技工业的明确要求。预备役部队是我国国防力量的重要组成部分，与实编闭环式特点不同，预备役部队兵源范围广，编制灵活，开放性强，还可以与地方应急力量建设有机结合，深度融合，实现力量建设共建共管，资源共享共用。部队以“网络中心，信息主导，精兵作战，体系支撑，联合制胜”为战斗力衡量标准。

“国家兴亡，匹夫有责。”中科慧创实业有限公司拥有多年的网络空间主动防御技术及网络攻防技术的研发经验，希望将其专业技术融入部队，培养一批精良的网络攻防精英，提升部队网络空间攻防实力，为提高国防战斗力做出贡献。秉承“军民融合”政策以民参军的方式将其专有技术与预备役部队信息化建设结合起来，符合国策之举。

三、网络靶场概述及构成

专业级的网络靶场应对标美国最先进的网络靶场技术，是面向任务的专业级靶场，能支持最先进的、专业级的网络空间对抗的深度学习、训练、演练、比赛、演习、测试任务，同时靶场提供最新网络空间安防资讯和威胁情报分析，支持对重大安全事件的复盘。平台底层采用自主知识产权的虚拟云技术，能支持各种任务资源的快速生成和部署。架构采用“核心节点靶场+子节点靶场”的分布式模式。核心节点靶场集中并管理最丰富的资源，支持跨域、跨单位更多资源的任务;子节点靶场提供本地化的测试训练等资源。

网络靶场采用虚拟化技术架设私有云平台，可快速搭建不同平台的操作环境，仿真多种应用系统的基础环境，建立并完善各类网络攻防模板。网络靶场综合运用多种技术手段，实现对不同规模的网络对抗演练建模，对各类网络攻击的有效感知，对网络应急响应的辅助决策，对攻防演练情况的自动评估，还可以进行网络攻防知识的学习，以及灵活地组织个人或团队进行网络攻防训练。

（一）网络靶场概述

网络靶场按功能定义为两大类应用模式，即可支持网络对抗战的“对抗型”靶场以及满足人员学习训练的“训练型”靶场。“对抗型”靶场可按照部队的需求组织实施网络实战演练，并提供相应的操作环境，建立有导演方、红方、蓝方的三类默认分组，满足多人同时在线使用。“训练型”靶场建设有网络安防设备操作使用培训、网络攻防技术培训、网络对抗模拟等功能，既可集中组织队员进行统一训练，也可在指定的规则下自行进行学习。

网络靶场使用实际设备、虚拟设备及软件结合的模式，为用户架设攻击环境、防御环境、应用环境、攻击武器库、防御武器库，设计了“靶场建设虚拟化目标管理系统”，实现对整个靶场基础环境的统一管理，做到合理利用资源，减少管理复杂度，保证建成的网络靶场能够自如应用各类虚拟化环境。同时，应用“攻击行为跟踪和态势呈现技术”，实现对网络靶场数据的采集、分析，实时展示攻防环境和效果。网络靶场可进行快速扩展和应用环境恢复，以满足网络攻防演习、网络安全防护产品评测以及网络安防培训等不同应用的需求。

（二）网络靶场构成

网络靶场由三个子系统构成。1.学习系统。学习网络知识和网络安全知识、网络战知识，学习部队配发的常见安防设备和网络武器的操作使用，具备应用靶场的基础技能。设定有初级（基本安全知识）、中级（常见安全威胁和安全防护手段）、高级（高级攻击和防御）三类学习模式;建立有培训考核体系。2.网络靶场训练系统。学习掌握网络攻防的基本技能，可进行人机对抗和分组对抗，分为初级（基本案例练习）、中级（人-机对抗）、高级（人与人对抗）三类训练模式。3.网络靶场演练系统。可自主设立课目，对靶场资源进行配置，仿真模拟用户真实的网络应用环境，构建演练场景，组织一定规模的本地或异地网络攻防对抗演练。

四、预备役主动防御网络靶场实施方案

（一）提供网络对抗训练、演习的平台，提供攻防技能和战术训练

支持单兵或团体训练，可自主训练或参加教学培训，训练方式有课件培训教学、文档资料学习、攻防技术实际操作，训练层次分为初、中、高三个级别。

（二）重大安全事件沙盘推演、汇报

在网络靶场中可实现以导演方、攻击方和防御方三种角色联合模拟对抗演习。通过制订不同的演习方案，可以检验参演方网络安全掌握程度，应对潜在网络攻击的准备水平，应对实时网络攻击的程序、步骤、方法，提高参演方的防御能力。

（三）模拟真实业务系统进行安全测试

制作课件案例，再现攻击流程。可对全球、国内发生的最新攻击事件通过综合分析，模拟仿真事件发生环境，通过技术设置再现攻击流程，并通过制作课件、沙盘推演等方式对安全案例进行讲解。

五、预备役部队主动防御网络靶场建设创新性

（一）基于程序行为分析算法等主动技術，研发出了抗未知攻击主动防御系统

传统的病毒检测扫描类技术产品，如卡巴斯基、赛门铁克，主要是基于病毒二进制特征比对技术，能处理绝大多数已知病毒，但对未知、变种、新的恶意代码缺乏有效的监控和辨识能力。

基于规则描述的特征组合检查为主，协议异常检测、统计异常检测为辅的入侵检测技术，如IPS、UTM等产品能应对大部分已知攻击，但缺乏对未知、新的、加密恶意代码的有效辨识和防御。

在防御技术原理上，本课题采用的技术完全不同于传统防御产品的技术原理，它不依赖恶意代码样本，弥补了上述两种防御系统在辨识技术上的不足，能自动准确感知、辨识和处理已知和未知恶意程序（黑客、木马、病毒等）的攻击。

（二）构建事前、事中、事后抗未知攻击体系

如果以攻击系统的恶意代码同防御系统恶意代码特征库样本出现时间的先后顺序来判定防御体系的防御能力和作用，传统基于特征码比对技术的防御系统属于事后防御。基于本课题系统采用的程序行为分析算法等主动技术，解决了传统防御系统不能有效实时对抗未知木马、病毒等恶意代码对系统的攻击的问题，同时有机构建事前、事中、事后防御体系。

1.事前：安全预警，对重要目标的未知和已知攻击行为能提前预警;支持全网段未知攻击预警，预警目标可以覆盖各种业务目标服务器。

2.事中：行为对抗技术，实时对抗未知攻击和已知攻击，攻击行为动态智能感知、辨识、处理技术。

3.事后：基于安全事件的审计、取证、跟踪分析技术，确定核心系统的攻击地点、攻击类型、攻击目标、攻击后果的评估。

（三）关键岗位、关键人员的防御能力培训，通过训练形成战斗力

对网络主动和被动防御战略进行对抗训练、演习，为网络攻击、防御等作战样式和网络战战法的运用提供对抗模拟、效果演示和攻防训练环境，还能提供可验证的网络对抗评估环境，为安全保障人员的态势感知、评估和决策提供客观的科学依据。

六、坚持军民融合，实现军民联动，提升部队网络攻防作战能力

利用以上系统实现部队网络进入体系、力量纳入体系、作战融入体系的能力，真正在联合作战、体系作战中发挥作用，既有利于预备役部队的体系化完善，又有利于提高我公司的网络攻防对抗技术水平;既有利于预备役部队网络战斗力的提升，又有利于我公司了解部队野战条件下网络安全的真实需求;既是大趋势下的强军之道，又是实现富民的兴国之举。最终整合优化国家军地双方资源，实现国家相关领域协调进步、共同发展，调节军政军民利益趋同，成为未来军地网络安全的拳头。

【参考文献】

[1]林伟.分布式主动防御系统研究[D].成都：电子科技大学，2009.

[2]刘志祥.网络环境下计算机病毒的检测与防御技术研究[D].武汉：华中科技大学，2009.

[3]金山网络.2010-2011中国互联网安全研究报告[EB/OL].（2011-02-16）[2019-05-24].https：//max.book118.com/html/2017/1218/144739669.shtm.

[4]冯登国，赵险峰.信息安全技术概论[M].北京：电子工业出版社，2009：115-117.

[5]方滨兴，贾焰，李爱平，等.网络空间靶场技术研究[J].信息安全学报，2016，1（03）：1-9.