導語

賽寧網安聚焦網路安全攻防對抗核心技術，是國際領先的專業網路靶場提供商，產品遠銷全球二十多個國家。“賽寧談靶場”是賽寧網安結合市場需求，以及自身多年實踐積累推出的系列文章，圍繞網路靶場領域國際形勢、理想靶場模型、最佳實踐等進行的深入探討。

網路靶場全景化檢視

網路靶場概述

賽博空間與物理空間的界線不再清晰，針對賽博空間的網路攻擊也從造成系統故障、經濟損失轉變為造成社會癱瘓、危害生命安全與國家安全。2019年，針對美國巴爾的摩市政府的勒索軟體攻擊，讓整個政府政務系統停擺數週。針對新奧爾良市政府的網路攻擊迫使路易斯安那州宣佈州緊急狀態，是該州歷史上的第一個由網路攻擊而非自然災害引起的緊急狀態。在新型冠狀病毒全球爆發期間，針對國家公共衛生部門的網路攻擊導致公共衛生部門網路系統應對疫情的執行速度減慢甚至癱瘓。

面對網路戰爭，只靠專家團隊去處理、解決問題是遠遠不夠的。這需要一套綜合性體系化網路系統及配套設施，能夠有效驗證網路攻擊手段、研究新型安全技術、挖掘漏洞、產出標準化威脅響應流程、不同威脅等級的響應團隊、經過驗證的網路防禦架構等。經過多國長達12年的探索與建設，這個綜合性體系化的網路系統以網路靶場的形態進行呈現。各國透過網路靶場對國家計算機系統及網路自主可控能力和實踐上進行深入研究，以便在未來的網路戰中佔據有利位置。

在網路靶場的建設歷程中，以美國的國家網路靶場National Cyber Range較為出名。美國目前在軍隊、基地、高校、企業等領域已實施了大量的網路靶場建設工作。可透過公開資料查詢且投入使用的約有30餘個，如以軍方為主導的NCR、DOD Cyber Range、Raytheon Cyber Range等；面向企業的IBM Cyber Range、Cisco Cyber Range等；高校建設的Virginia Cyber Range、Florida Cyber Range、Arizona Cyber Range等。

與美國同屬國家性質的靶場建設，還包括英國的National Cyber Security Center、NATO Cyber Range、CRATE等。在倫敦、新加坡等城市，當地政府或軍隊透過與第三方商業公司合作的方式，啟動建設城市規模的網路靶場，如和Raytheon公司合建的CODE，和Lockheed Martin公司合建的網路靶場基地等。

網路靶場的建設在形態、規模、技術與架構等方面，也有了較大的發展與演進。在形態上，網路靶場從純物理靶場形態演化到虛擬化形態，且同時滿足對物理裝置、網路的接入，並開始支援移動形態的小型化網路靶場。在規模上，從只支援25人現場使用的規模逐漸演變到2000人以上接入使用的規模。在技術上，雲端計算、虛擬化、SDN等技術被引入到網路靶場中。在架構上，網路靶場開始引入中臺系統，為客戶提供更靈活、高效的場景構建能力。

根據各行業使用者的需求，已建設的網路靶場也呈現出不同的行業應用。我們深入研究了約20個已建設的網路靶場案例，根據行業屬性可以分5類。

Military, Defense and Intelligence / 部隊行業網路靶場

部隊行業網路靶場主要服務於軍隊、國防相關的機構或組織。在行業特性上，具有承擔國家網路安全的責任。如由美國國防高階計劃研究局（DARPA）牽頭建設的美國國家網路靶場（NCR），就屬於此類典型。部隊行業網路靶場需要具備以下的要求：

• 能提面向對網路戰計程車兵技能訓練；
• 提供國家關鍵基礎設施的漏洞；
• 具備大型的靶場規模（CRATE靶場由約800臺服務構成）；
• 武器系統及目標網路的重構與復現；
• 對新型裝置及技術的測試能力；
• 對攻擊技術（TTP）的研究；
• 對研發的安全技術評估；
• 提供多環境的配置能力；
• 能夠識別網路攻擊特徵及動態威脅。

Law Enforcement / 公安行業網路靶場

公安行業網路靶場與網路犯罪的行業特性密切相關，需要圍繞提升安全意識教育、網路犯罪調查、電子證據取證等開展相關業務。公安行業網路靶場需要具備以下的要求：

• 業務工具的可行性、有效性測試；
• 對網路犯罪的響應與調查；
• 電子證據的調查與取證；
• 網路安全技能的訓練；
• 網路安全與網路犯罪的通識性教育。

Enterprise and Infrastructure / 關鍵基礎設施網路靶場

企業行業網路靶場更偏向於防禦，即透過部署網路靶場來增強系統的防護能力。與國內情況不同，國外的關鍵基礎設施多是由私企運營，屬於企業型別，如東京電力、埃克森美孚等。根據業務領域的不同，企業可以劃分為多種型別，如電力、交通軌道、通訊等。在面對網路威脅的訴求上，不同型別的企業是一致的。經過分析抽象可以歸納為以下要求：

• 靶場能夠滿足企業快速增長的應用、威脅及網路流量；
• 能夠高逼真度的映象操作環境及高複雜度模擬；
• 能夠分散式地部署並管理網路靶場；
• 提供應急響應演練及協助；
• 分析常見網路攻擊；
• 監控惡意應用及網路活動；
• 業務連續性保障及協助。

Education / 教育行業網路靶場

教育行業網路靶場最早於2015年提出，在美國已有多所大學完成了建設，如Virginia Cyber Range、Arizona Cyber Range等。教育行業網路靶場的核心是教學、訓練與研究。圍繞這三大核心，可以抽象歸納為以下要求：

• 網路攻擊、網路防禦、網路檢測的培訓；
• 網路安全培訓的認證；
• 面向部隊的高階防禦外訓；
• 基於課程材料的教學授課；
• 提供科學研究及測試環境。

Service Providers / 網路靶場即服務

中小型組織有使用網路靶場的需求，較高的建設成本使其望而卻步。雲端計算計算，尤其是公有云技術的大規模商業化，帶來了一項新型的網路靶場應用，網路靶場即服務（CyRaaS，Cyber Range as a Service）。網路靶場即服務，不提供面向不同行業訴求的定製化內容，而是提供標準化服務內容，來解決中小組織的通用性需求。網路靶場即服務，需要具備以下的要求：

• 提供模組化的網路安全訓練及模擬；
• 提供高階網路安全訓練服務；
• 提供網路安全測試服務。

理想網路靶場全景圖

透過對不同行業的網路靶場案例分析及賽博空間領域多年經驗，賽寧網安提出了理想化網路靶場全景化檢視。理想化網路靶場支援不同型別的網路及裝置接入，包括作業系統、物聯網、ICS、安全裝置、無線網路、衛星網路等。依託提供業務封裝能力的靶場中臺系統，能快速構建面向業務的靶場應用，覆蓋教學、訓練、實網演練、網路戰爭、認證、研究等方面。在靶場應用中，引入網路安全業務國際標準，如網路殺傷鏈、ATT&CK、F2T2EA等，指導靶場體系化應用。

接下來，在業務實踐、關鍵技術等方面對理想化網路靶場進行詳細闡述。

理想網路靶場主流應用

理想化網路靶場應用需要覆蓋到上述5個領域的內容，也需要考慮到新興行業的需求，如物聯網、移動安全、雲端計算、人工智慧等。結合行業特徵與網路靶場的任務使命，全景化網路靶場需要包括但不僅限於以下的典型應用。

Cyber Wargame / 網路戰爭

網路戰爭是美軍網路部隊在應對網路威脅、開展網路打擊的典型業務場景，也是網路攻擊與對抗的典型靶場應用，即在一個或多個超逼真模擬環境中，進行賽博聯合演習。網路戰爭與常見的類CTF比賽（CTF Like Competition）不同，具備以下的特性：

• 角色接入（Team Access）：支援最少4方角色的接入，覆蓋紅方、藍方、白方、綠方；
• 場景模擬（Domain Emulation）：支援純虛擬化、物理裝置、虛擬物理混合的場景模擬；
• 任務系統（Storyline）：對每個角色提供至少一套任務系統，能夠按照目的進行分解；
• 導調控制（Life Cycle Management）：實現對場景的全生命週期管理，包括建立、編輯、部署、生成、執行等。

網路戰爭角色要求

Exercise / 實網演練

以IBM X-Force為代表的網路靶場是依託安全裝置，在真實的網路上開展業務演練。實網演練是基於對實際業務流程的可控性復現，更強調在具備了必要的技能之後，如何在實網系統上，根據實際業務情況進行正確判斷，並採取正確的技術手段達成目標。實網演練包括以下幾個方面：

• 深度測試（In-depth Penetration）：針對特定目標的網路殺傷全鏈動作，能夠根據ATT&CK進行分解與最佳化；
• 應急響應（Incident Response）：對突發安全事件的響應、緩解、處置、解決，能夠根據P2DR（基於時間的動態安全迴圈）模型、PDRR（自動故障修復能力）模型、IATF（縱深防禦）模型進行處置與演練；
• 取證調查（Forensics & Investigation）：針對網路入侵與網路犯罪，提供電子證據取證最佳實踐，覆蓋現場證據、線上證據、資料分析、取證報告全流程業務。

深度測試（ATT&CK）流程

Training / 訓練

訓練是針對單項能力的強化。以實踐與強度結合的方式，可以快速提升能力短板，達到演練標準。訓練主要包括以下幾個方面：

• 技能（Technique）：熟練掌握單項技能的應用環境、使用方法和異常處理；
• 武器（Equipment）：掌握常用裝備的使用環境、使用物件、引數配置、效能邊界等；
• 戰法（TTPs，Tactics, Techniques, and Procedures）：掌握業務或任務的戰術戰法，能夠根據選定的戰法高效完成戰術動作；
• 協作（Cooperation）：能夠根據C5ISR指揮控制系統的要求，完成多人任務執行。

TTP訓練指導

Education / 教學

提供基於課程材料與實驗環境的網路安全教學，覆蓋常見網路安全通識、網路攻擊、網路防禦、網路檢測等內容。教學主要包括以下幾個方面：

• 授課（Lecturing）：理論教學，按照知識分類完成體系化教學；
• 實踐（Experiment）：動手實操，在制定實驗環境中完成實驗；
• 外訓（Provide Training）：對外提供合作單位或組織的外訓委培，包括長期培養、短期速成等。

Certification / 認證            

以Raytheon Cyber Range為代表的網路靶場，可對完成相關考核的學員進行認證。根據靶場的教學資料與認證成績，對透過考核的學員給予認證。認證主要包括以下幾個方面：

• 課程認證（Lecture Certification）：完成某門課程並透過考核，給予課程勳章；
• 角色認證（Career Certification）：完成某個角色的相關課程認證，並透過角色認證考核，基於角色認證證書。

角色認證

Research / 研究

研究包括兩個方面，研究開發（R&D，Research & Development）和測試評估T&E（Test & Evaluation）。這要求能夠提供一個可自主編輯配置的可控實驗床環境。研究主要包括以下幾個方面：

• 裝備研發（Equipment R&D）：對新型裝備的研發；
• 技術研發（Technique R&D）：對新型技術的研發；
• 裝備評估（Equipment T&E）：對裝備的應用環境、邊界效能進行測試與評估；
• 系統評估（System T&E）：對系統的脆弱性、魯棒性進行測試與評估；
• 最最佳化評估（Optimization T&E）：透過橫向測試與對比，評估出對裝備、系統的最最佳化方案。

面向裝備的NetSecOpen測試

根據實際業務的需求量及重要程度，可以將6個主要靶場應用按照極高（Very High）、高（High）、中（Medium）、低（Low）、極低（Very Low）這5個等級進行排序。

序號	靶場應用	等級
1	網路戰爭	極高
2	實網演練	極高
3	訓練	極高
4	教學	高
5	認證	中
6	研究	高

理想化網路靶場應用優先順序

理想網路靶場關鍵技術

理想化網路靶場需要具備面向未來的能力，選擇合適的架構與技術能為產品演進提供有力支援。透過調研分析，我們認為以下8項技術是能夠幫助網路靶場構建面向未來的能力。

Cloud Based Deployment / 雲端計算部署形態

面向不同規模的使用者及遠端接入的需求，網路靶場應具備私有云部署、公有云部署、混合雲部署三種部署形態。私有云部署提供整合化網路靶場交付；公有云部署提供CyRaaS服務；混合雲部署為突發計算資源與接入提供彈性擴充套件。

Middle Platform / 靶場場景中臺

快速精準地構建、管理複雜需求的應用場景，靶場場景中臺為各種應用型別場景的生命週期管理提供支撐。場景中臺需能夠支援多層複雜場景的構建、安全裝置/系統的整合呼叫、任務系統管理、接入角色管理等與場景應用相關的功能。

Hybrid Access / 虛實結合

對實網演練、研究場景的應用，使得靶場應當能夠支援物理裝置、物理網路的接入與場景融合。物理接入的方式應包括有線接入、無線接入。

Hyper Realistic Emulation / 超逼真模擬

保真度是網路靶場的核心指標，超逼真模擬要求在網路結構、網路節點、網路協議、網路流量等方面實現與現實世界的數字孿生。

Data Collection & Analysis / 資料採集與分析

業務的演練控制、測試的最佳化方案，都需要翔實的資料支撐。網路靶場應支援對靶場系統的資料和場景內的資料進行採集，透過清洗分析後在統一皮膚上進行顯示。

AI Automation / 自動化技術

自動化技術可以幫助網路靶場減少不必要的人員接入、重複性工作。透過AI可以實現TTP決策最佳化、自適應響應等人機協作演練模式，對靶場的使用來說十分重要。自動化技術包括節點應用/服務的自動化安全、紅方自動化攻擊、藍方資產自動化巡檢等。

Load Balance / 負載均衡

在大規模場景模擬時（100臺伺服器及以上），靶場需要保證系統的穩定執行，這就要求對節點模擬、應用服務、流量峰值等需要消耗計算資源的例項進行合理分配。

Visual Display / 態勢展示

賽博演練的過程視覺化能夠幫助指揮人員根據綜合性資料對戰場態勢進行準確判斷，併合理下發作戰指令。系統的活動資料及流量，經過分析後，以3D態勢展示的方式進行視覺化展示，包括城市模型、拓撲模型等型別。

根據實際業務的需求量及重要程度，可以將8個主要技術按照極高（Very High）、高（High）、中（Medium）、低（Low）、極低（Very Low）這5個等級進行排序。

序號	序號	序號
1	雲端計算部署形態	高
2	靶場場景中臺	極高
3	虛實結合	極高
4	超逼真模擬	極高
5	資料採集與分析	極高
6	自動化技術	極高
7	態勢展示	高
8	負載均衡	高

 理想化網路靶場技術優先順序

理想網路靶場的最佳實踐

理想化網路靶場是具有指導性意義的，在靶場應用、關鍵技術等方面進行了較為系統的梳理。在實際的網路靶場建設中，可以根據理想化網路靶場結合自身建設需求，進行適當的裁剪作為指導。

網路安全的核心是人，如何體系化地發揮人的作用，是網路靶場需要回答的問題。經過上述的調查與分析，賽寧網安總結出靶場的業務脈絡為人員訓練->業務演練->戰略戰法演練。人員訓練解決個人的能力水平的問題，如訓練、教學、認證等；業務演練解決流程化業務問題，如實網演練、研究等；戰略戰法演練則是專業性應用。

然而在網路靶場建設中，有著更多的細節應用與技術引數，需要根據建設者的設計、規模、落地情況進行調整。理想化靶場如何指導實際建設，如何進行最佳實踐，請參看下篇《賽寧談靶場：賽寧網路靶場—理想化網路靶場的最佳實踐》。

縮略語：

[1] Cyber Kill Chain：Lockheed Martin公司提出的網路空間殺傷鏈，該模型用來描述攻擊環節的六個階段，即Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control(C2), Actions on objectives。

[2] ATT&CK：MITER公司提出的專案，記錄常見的網路技戰法（TTP）。ATT&CK 是 Adversarial Tactics, Techniques, and Common Knowledge的縮寫。

[3] F2T2EA：F2T2EA是軍事攻擊模型，即Find, Fix, Track, Target, Engage and Assess (F2T2EA)。

[4] IATF： IATF是美國國家安全域性（NSA）制定的，用來描述資訊保障的指導性框架，即Information Assurance Technical Framework。其核心是縱深防禦戰略，即Defense in depth。

[5] P2DR：ISS公司提出的動態網路安全體系模型，即Policy. Protection, Detection, Response。

[6] PDRR：ISS公司提出的入侵檢測模型，其常用模型為PADIMEE，即Policy, Assessment, Design, Implementation, Management, Emergency, Response, Education。