装备网络安全靶场架构设计研究*

沈斌，柳中华，杨豪璞，武超

（1.中国人民解放军92493部队，辽宁 葫芦岛 125001；2.中国电子科技集团公司 第三十研究所，北京 100042）

0 引言

基于武器装备试验靶场已有技术和条件，结合武器系统在靶场开展性能试验，同步规划和开展装备网络安全试验评估工作，全面提升武器装备在战场环境下的生存能力。本文参考美国网络空间靶场建设思路，结合试验评估功能需求，分析网络安全靶场关键技术，采用系统化层次化设计思想，开展靶场架构设计，指导后续项目建设和试验工作开展。

1 国内外研究现状

1.1 美国网络空间靶场

美国网络空间靶场［1-6］是美国为打赢未来网络空间战争，巩固网络空间战略地位，按照不同的职能定位而开展的一系列重大建设项目。在网络靶场建设方面，美国走在了其他国家的前面。例如，为支撑美军演习、测试以及网络空间攻击、防御和信息战、电子战能力，美军联合参谋部建设了联合网络空间作战靶场（joint cyber operation range，JIOR），可以提供一种灵活、无缝、持久、集成的测试和威胁环境；2008年开始，先后有70余家美国企业、科研院所及机构牵头参与，历时6～7年建设完成了国家网络空间靶场（mational cyber range，NCR），NCR采用了隔离的多安全级别架构，能够快速构建具有复杂作战背景样式的网络环境，支持开展多类别、高并发和精准的网络对抗活动。基于“灵活自动化网络试验靶场”（flexible automatic cyber test range，FACTR）概念，将试验任务进行抽象，构建通用建模框架，形成可复用的体系结构；采用网络安全测试语言（cyber security test language，CSTL）进行试验描述，利用基础设施快速构建试验网络；采用“网络科学方法”（cyber science method，CSM），将测试与评估方法与计算机和网络系统描述相统一，支持理论研究、试验鉴定、合规性、软件恶意行为分析等需求。

近年来，美国国防部持续推进“向左移”战略，在美国防部网络安全试验鉴定指南描述的基于采办的项目全管理过程中，NCR在网络安全测试与鉴定（test and evaluation，T&E）中均需要提供服务，包括网络安全架构评估、网络安全验证和确认、联合蓝军进行任务测试、在真实威胁环境中与红方进行任务测试、评估网络攻防效能等。

根据NCR 10年总结，2014年至今，NCR共执行约400余次安全测试与培训任务。2016年，为了满足对网络安全测试培训和认证不断增长的需求，美国测试资源管理中心（test resource management cen‑ter，TRMC）开展了一项NCR扩容计划NCRC（na‑tional cyber range comprehensive，国家网络空间靶场综合实施）。拟在美国不同区域新建3个NCR的实例镜像站点，达到每年500次的网络安全T&E和培训能力。

1.2 国内网络靶场建设基本情况

总体来说，我国网络靶场［7-8］还属于刚刚起步阶段，尚未构成体系化结构设计和规模化生产，主要开展网络安全试验评估的理论研究、标准研究和试验样机研制。近年来，随着大量IT技术和成熟软硬件技术在靶场的推广应用，部分单位基于云平台和虚拟化技术，在大规模网络行为场景仿真、网络试验培训与对抗、试验数据采集与安全防护能力评估等关键技术领域都开展了探索性预先研究，取得了一定的突破和技术积累。

1.3 必要性分析

由于我国整体工业基础薄弱，在研究和采纳国外先进理论的同时，国内电信、军队、石油、电力等多个领域还大量存在进口产品，在不同程度上还存在着不可预知的安全隐患。随着军队武器装备信息化程度越来越高，组织开展武器装备网络安全试验评估，考核武器装备系统对于网络攻击的安全防护能力，是靶场面临的一项紧迫而又艰巨的挑战。

2 框架设计

2.1 框架目标设计

装备网络安全靶场总体目标是：构建典型武器装备目标网络模拟系统，在安全可控条件下，建立与被试目标网络系统交联的安全防护试验环境，真实接入被试目标网络，模拟恶意入侵目标装备网络攻击手段，开展威胁评估和抗网络攻击试验考核，评估装备网络系统信息安全等级；同步开展装备网络安全试验评估理论方法研究、安全防护体系研究和网络攻防能力训练。

2.2 框架能力设计

按照装备网络安全靶场建设总体目标，装备网络安全靶场需要在以下5种能力［9-11］下开展框架设计，如图1所示。

图1 装备网络安全靶场能力框架Fig.1 Equipment network security range capacity framework

（1）逼真的靶标模拟能力

装备网络安全靶场需要具备对测试靶标的模拟能力。由于网络安全测试需要对模拟靶标进行重复性试验，并对发现的问题能够真实映射到真实靶标上，因此装备网络安全靶场需要能够尽可能逼真地模拟真实靶标的运行情况，且模拟靶标需要具有快速还原系统状态的能力，方便开展多次试验。

（2）对靶标的探测和攻击能力

由于装备网络的特殊性，其运行环境如操作系统、数据库、传输协议等不同于普通互联网网络，普通的探测攻击手段可能无法完成对装备网络的探测攻击工作，因此需要针对装备网络研制开发专有的探测攻击手段。

（3）靶场资源的统一管理能力

由于在进行靶场装备安全测试时涉及的资源种类较多，因此需要具备对靶场丰富资源的统一调度管理［12］能力，通过对资源的动态自动化调度，能够根据任务要求快速构建靶场试验环境。

（4）网络安全评估能力

网络安全评估能力是装备网络安全靶场能力建设的核心，需要具备2个阶段的能力：一是装备网络安全能力试验评估；二是抗攻击试验考核评估。

装备网络安全能力试验评估主要对网络基本安全架构设计及安全性开展指标性评估。可以参照国际对主机系统和网络系统进行安全评估的标准，如《信息技术安全性评估通用准则》（the common criteria for information technology security evaluation，简称CC标准）［13］和国家等级保护实施方法开展。构建安全可控可恢复的试验评估环境，初期可以针对实装特性，构建模拟系统开展仿真试验或者部分实装参与的内外场联合试验，实施研究性测试评估。当试验技术和相关实施标准规范成型并通过各方认可，按照试验大纲开展网络安全能力试验评估。实施过程可参照既定的安全评定目标或轮廓，按照双方认可的实施规则，从主机、网络、应用、数据库和物理5个方面对设备或系统的安全性进行试验评估，并严格按照操作流程开展，形成试验结果报告，根据评判标准判断安全性是否合格。

抗攻击试验考核评估是在安全能力试验评估之后阶段开展，主要考核在类似战场环境下装备的抗网络攻击能力，一些在安全能力试验评估中不采用的渗透测试、特种木马、APT（advanced persistent threat）攻击技术等手段在该过程中将会选择性实施。由于该环境可能突破环境安全能力控制，实施该阶段考核评估可能对装备网络本身造成不可恢复性损伤，因此必须在管理层认可的情况下开展，并从技术上做好环境安全隔离、恢复和受控操作等需求设计，在实施上做好应急处置预案等措施。

（5）网络攻防训练能力

装备网络靶场除了开展装备试验的职能外，还兼具训练的职能。因此，装备网络安全靶场需要具备开展网络攻防［14-15］训练的能力，能够将不同的攻击和防御手段按照红蓝双方的不同需求按需部署，在导演方的统一调控下可视化展示红蓝双方网络攻防对抗效果，考核红蓝双方网络对抗能力。

3 关键技术研究

参考美军赛博靶场设计和系统功能需求，在开展靶场试验过程中需要涉及到网络复现、多种需求的测试评估、资源动态管理等一系列技术进行支撑，主要包括以下关键技术：

3.1 目标网络探测与入侵攻击技术

通过主动和被动方式探测网络拓扑、系统漏洞和网络数据等网络情报。通过指纹扫描、隐蔽扫描等多种扫描技术，收集目标网络基础信息，跟踪网络数据链路，得到目标网络环境的拓扑信息。通过网络漏洞扫描等工具探测应用的脆弱性，扫描软件探测目标系统的存活状态、开放的端口和服务等信息。入侵攻击技术主要包含远程溢出攻击、脚本溢出攻击等。

3.2 目标网络系统模拟技术

开展目标网络搭建技术研究，在最大程度模拟真实网络系统的基础上，建立异构多网互联的总体架构，使目标系统规模最小，并具有自治性、扩充性、重组性、抗毁性和开放性，可满足目标网络传输的各类信息时序、信息类型等真实网络系统相同的要求，并可根据需求对目标网络进行柔性重组。主要技术难点有：目标网络设计总体技术，网络柔性重组技术。可采用如下解决途径：保持真实系统拓扑结构，录取和分析真实系统信息流程、时序，在不影响真实系统功能、性能，保持真实系统信息时序的前提下减少数据流量，建立目标网络系统，使目标系统规模最小。通过网络柔性重组技术，使目标网络具备自治性、扩充性、重组性、抗毁性和开放性。

3.3 基于云的对抗训练环境资源映射技术

在云环境中，资源映射技术主要解决在任务约束下将逻辑资源需求映射到虚拟资源的问题，包括强约束与弱约束2种约束条件类型。在资源映射算法中，对于强约束条件要求必须在完全满足时才可以完成映射，如拓扑结构、网络路由、磁盘容量等；而弱约束条件则用于指导资源优化分配。合理、优化的资源映射方案不仅可以保障满足对抗训练任务需求的环境生成，而且可以有效应对负载分配、资源利用率等资源优化问题。

3.4 网络安全试验评估标准建设

在网络安全评估发展过程中，国内外制定了一系列的标准，这些标准对网络安全评估技术的发展起到了重要的指导和推动作用，如美国国防部1985年发布的关于信息技术安全评估的首个正式标准《可信计算机系统评估准则》（trusted computer sys‑tem evaluation criteria，TCSEC），1999年北美和欧洲联合发布的国际互认的安全准则《信息技术安全性评估通用准则》（CC，ISO/IEC15408-1999）等。近年来，军队在信息系统安全等级保护方面开展了积极的工作，形成并发布了相关的等级保护标准，但是针对武器装备等特殊领域网络安全试验评估标准尚属空白。标准规范体系是保证评估系统高效运行和协同的重要保障，安全试验流程、资产和试验过程管控的标准化、规范化将贯穿整个网络安全试验评估周期中。

3.5 开放式网络攻防对抗训练体系架构生成

随着网络攻防对抗技术的不断发展，新型网络侦察、网络攻击与网络防御手段层出不穷，需要建立开放式网络攻防对抗训练体系架构，以实现新型攻击与防御手段的快速接入，保证系统不断升级维护、保持先进性的需要。在分析未来信息化条件下网络对抗指挥特点的基础上，明确对抗指挥的要求，建立指挥效能指标体系，结合实例验证评估模型的合理有效性，对对抗双方指挥与操作者的综合素质、战技能力、操作能力予以全方位评估，以科学评价指挥员组织网络攻击及防御的水平。

4 装备网络安全靶场架构设计

装备网络安全靶场架构如图2所示。

图2 装备网络安全靶场架构图Fig.2 Equipment network security range architecture diagram

（1）硬件层

硬件层为上层应用提供计算、存储、网络、安防等硬件基础设施。硬件平台分为专用硬件平台和通用硬件平台，其中专用硬件平台主要包括试验评估系统服务器、对抗训练服务器、目标网络服务器、接入控制设备、席位机以及受训终端；通用硬件平台包括数据库服务器、磁盘阵列、网络通信设备、显示大屏、显控设备以及音频设备等。

（2）数据层

数据层由基础数据库和业务数据库组成。其中，基础数据库包括漏洞知识库、工具库；业务数据库包括评估规则库、训练任务库、试验任务库、攻防训练案例库、训练态势数据库等。

（3）支撑服务层

支撑服务层为上层应用系统提供基础支撑，包括数据可视化服务、进程监控服务、数据处理服务等。

（4）应用系统层

应用系统层包括试验评估系统、对抗训练系统、目标模拟系统、综合管理系统4部分。其中，试验评估系统负责威胁环境的生成、威胁接入控制、试验资源管理以及对目标网络的安全评估；目标模拟系统主要提供对武器系统指控网络、舰载作战系统网络等多类目标网络的快速逼真构建能力；对抗训练系统可以为装备网络安全靶场攻防试验评估系统提供网络攻防训练、试验场所，根据实际网络攻防场景，灵活部署网络对抗环境；综合管理系统主要通过云计算虚拟化技术实现对各类软硬件资源的映射，实现底层资源的可视化状态监控，为试验、训练提供资源保障。

（5）标准规范

标准规范主要包括需要遵循的标准和制订的标准，主要包括系统接口规范、目标模拟网络安全风险测评标准等标准规范。该标准规范用于指导装备网络安全靶场的研制，保证系统内部各装备之间能够按照约定的规范实现高效一致的信息交互，形成目标模拟网络安全测评的评测准则和依据。

5 结束语

当前，装备网络安全试验评估在靶场是一个全新的领域，如何更好地开展相关技术研究和项目建设，需要清晰地对照目标按照能力框架进行设计。既考虑到设计的超前性、通用性和开放性，又要结合靶场装备试验鉴定特殊职能，在架构设计上考虑合理性、可扩展性、试验应用模式的灵活性和系统建设指标方面提出概括性要求，从网络、计算、存储等基础设施资源入手，建立以虚拟化和动态组网技术为主的基础层，以数据库和接口服务为主的软件支撑层和运行管理为主的功能层，设计技术架构。