背景

網路空間已成為第五大主權領域空間。隨著網路空間的對抗日益實戰化、體系化、智慧化，針對各國關鍵基礎設施的攻擊更是層出不窮。網路靶場作為網路空間安全研究、學習、測試、驗證、演練等必不可少的重要基礎設施，日益受到各國政府和企業的重視。網路靶場作為網路安全市場的一個新興投資方向，其重要地位也在日益加強。在賽迪顧問釋出的“2019網路安全最具價值增長潛力十大方向”中，對當前網路靶場的發展潛力和效能給予了較高的評價。

圖片來源：賽迪顧問“2019網路安全最具價值增長潛力十大方向”

網路靶場的定義

針對於網路靶場的定義，國內暫沒有形成統一的共識。其中比較具有代表性的是Techopedia（IT領域線上詞典），它認為網路靶場是針對網路攻防演練和網路新技術評測的重要基礎設施，用來提高網路和資訊系統的穩定性、安全性和效能。在百科中，網路靶場被釋義為透過虛擬環境與真實裝置相結合，模擬模擬出真實賽博空間攻防的環境，能夠支撐網路對抗能力研究和對抗工具驗證的試驗平臺。雖然這兩種定義的角度不同，但總體來看，對網路靶場的理解差距不大。

結合以上兩種說法以及綠盟科技的實踐，我們認為，網路靶場是透過虛擬化，虛實結合，安全編排，行為及流量模擬，效果評估等技術綜合構建而成的一個真實“冗餘環境”。類似於我們印象中的“訓練基地”。這個環境可以用於完成人才培養、競賽演練、應急演練、實戰演練、裝置測試、技術研究和效能評估等任務，響應國家網路強國戰略，批次培養網路安全人才隊伍，同時加快網路安全基礎建設，提高現有網路環境的穩定性、安全性和效能。

網路靶場的關鍵能力與應用方向

網路靶場核心價值，是提供近乎真實的練兵場。這裡可以從關鍵能力和應用方向兩個角度來討論。

3.1 網路靶場的關鍵能力

網路靶場的能力包括網路和業務環境模擬、使用者和攻防行為模擬、資料採集和效果評估等。

網路和業務環境模擬是網路靶場平臺的基礎能力。網路和業務模擬主要透過虛擬化技術來實現，而模擬環境的規模及種類是衡量網路靶場能力的重要技術指標之一。因為現階段虛擬化技術還不能夠實現對工控、物聯網等環境足夠理想的模擬，所以需要透過虛實結合技術將真實環境和模擬環境進行連線。

使用者和攻防行為模擬是網路靶場有效性的關鍵。如何將使用者真實操作行為和受到攻擊情況進行完整復現是模擬的難點。行為模擬除了使用手動方式產生外，還可藉助流量發生器及自動化攻擊工具等來完成。只有最大程度實現了使用者和攻防行為的模擬，才能在網路靶場發現真實環境中可能出現的問題。

資料採集和效果評估是目標。只是完成對環境或者行為的模擬還是不夠的，還需能夠對模擬的網路環境、攻防行為進行資料採集，並根據這些行為所造成的影響進行評估，才能真正就現化真實網路環境中會發生的情況，找到應對策略，提高真實環境的穩定性、安全性和效能。

3.2 網路靶場的應用方向

現階段，網路靶場的應用方向主要有人才培養、攻防演練和科研測試三類。

人才培養：快速培養大批網路安全攻防人才；滿足本單位網路安全人才需求。

攻防演練：提升員工的攻防對抗能力；提高企業的安全防護水平；提升企業的區域影響力。

科研測試：提升企業的安全研究能力；降低裝置的測試成本；提升企業的攻防技術水平。

綠盟網路靶場簡析

綠盟科技自研的網路空間安全模擬平臺（NSFOCUS Cyberspace Security Simulation Platform，即網路靶場）透過虛擬化、虛實結合、安全編排、行為及流量模擬、效果評估、智慧安全知識圖譜等技術構建各類應用場景，並對場景中生成的使用者行為和攻防行為進行評估分析，以滿足使用者進行人才培養、競賽演練、應急演練、實戰演練、裝置測試、技術研究及效能評估的需求。

綠盟網路空間安全模擬平臺框架

該平臺按照邏輯架構可分為四個層面，分別為大規模網路模擬、資料採集及效果評估、使用者及業務模擬和網路空間測試場，每個層包括若干模組。

4.1 大規模網路模擬

大規模網路模擬層主要作用是為上層能力或場景提供資源和實驗環境支撐，其中虛擬資源主要包括基礎虛擬資源池和外接實體資源。虛擬資源除包括虛擬機器資源、網路裝置和安全裝置資源池外，也支援與工控、測試等實體裝置進行連線。虛擬化資源及網路管理對底層資源的細粒度操作進行封裝，向上提供對宿主機、虛擬機器、虛擬網路的管理，支援透過安全能力編排配置虛擬安全裝置，並提供嚮導模式便捷構建靶場實驗環境。

4.2 資料採集及效果評估

資料採集及效果評估層面主要作用為採集實驗資料和對實驗效果進行評估。大資料平臺透過群集管理多個計算節點，使用訊息佇列實時採集多種來源的實驗資料並使用流式計算框架進行資料處理，支援分散式檔案儲存、索引資料庫、圖資料庫或關聯式資料庫等多種型別的儲存方式進行資料儲存。態勢感知模組利用大資料基礎子系統採集的實驗資料進行態勢要素收集，透過態勢理解進行資料融合，透過態勢推理預測輸出態勢推理結果。效果評估模組根據大資料基礎子系統採集的資料和態勢感知的推理結果，進行效果動評估、Flag校驗評估、考試評估，也支援手動評估介入，並整合了反作弊系統進行作弊行為和異常行為的檢測。

4.3 使用者及業務模擬

使用者及業務模擬層面主要對使用者許可權管理和業務場景模擬。使用者管理模組負責對靶場使用者的許可權進行限定，包含角色、使用者組、域等多類內容。業務模擬模組分為業務模擬和使用者行為模擬兩部分。業務模擬主要包括知識庫、課程庫、賽題資源、靶標資源等，並支援使用者快速構建靶場業務場景。使用者行為模擬透過情報庫、知識圖譜、流量模擬等技術或工具對使用者的業務和行為進行模擬。

4.4 網路空間測試場

網路空間測試場層面主要是具體的靶場應用場景。目前包括實訓演練靶場，競賽演練子靶場、應急演練靶場、APT場景還原、測試驗證靶場、實戰演練靶場、科研合作靶場、工控模擬靶場等，並可根據客戶的實際情況進行定製。各個靶場由平臺態勢展示、業務效能監控、場景課件構建、效果評分、日誌審計等通用功能支撐。

其中，實訓演練靶場主要用於教學培訓，提供實訓課程以供使用者上機操作。競賽演練靶場主要提供競賽及演練環境，提供理論、CTF、CFS和AWD等競賽模式。應急演練靶場主要針對提供運營商、金融、能源等行業典型模擬場景，可在此場景上開展應急演練、戰術推演等任務。

特別，APT場景還原較為特殊。該應用由綠盟科技伏影實驗室提供知識支援，包括Wannacry勒索病毒傳播場景、APT32海蓮花攻擊演練場景、烏克蘭停電攻擊演練場景，在真實的入侵場境中訓練攻防雙方的能力。

此外，實戰演練靶場為使用者開展真實環境上的攻防對抗提供對抗態勢展示、攻擊行為監控、攻擊結果評判等功能。測試驗證靶場可根據使用者需求生成各類模擬場景來進行相關技術驗證或產品測試，並提供攻防工具庫，靶標資源、漏洞資源、自動化測試工具，流量模擬工具等。科研合作靶場提供漏洞挖掘、威脅狩獵研究、知識圖譜等研究課題提供場景。工控模擬靶場則是透過虛實結合，構建電力、水務、軌交等模擬場景。可支援使用者在此場景上開展攻防演練、測試驗證等任務。其它定製靶場，可根據使用者需求定製車聯網、物聯網等方向的靶場。

4.5 核心價值

對客戶而言，綠盟網路空間安全模擬平臺的核心價值，可以概括為以下四點：

1.    靶場種類豐富，並支援自定義選配

平臺提供實訓演練、競賽演練、應急演練、APT攻防演練、實戰演練、測試驗證、工控模擬、科研合作、定製等多個方向的靶場，使用者可根據實際情況進行選配。

2.    網路安全裝置模擬，貼合實際應用環境

平臺提供多類虛擬安全裝置，覆蓋設施安全、資料安全、工控安全、物聯網安全等領域，而包含網路安全裝置的模擬網路環境更加符合使用者實際情況。

3.    攻防行為模擬，復現真實攻防場景

透過流量模擬、自動化漏洞檢測和驗證等工具對攻防行為進行模擬，同時結合使用者的實際操作行為，最大程度的模擬攻防情況。

4.    基於態勢感知的效果評估

基於綠盟科技態勢感知能力，不僅可對攻防效果進行評分，也可對攻防態勢進行研判，為後續安全事件的響應提供決策依據。

網路靶場發展展望

隨著國家和各行業對網路安全和人才培養的重視，網路靶場也將逐漸成為使用者的基礎設施，市場角度也具有很大的增長空間。

未來，網路靶場可能的發展方向，可以概述為以下三個趨勢：

1.     網路靶場應用模擬種類會越來越多

網路靶場的核心是應用模擬。隨著企業上雲、智慧製造、新基建、5G的快速發展，會產生很多革命性的應用，與之對應的需要在網路靶場中模擬測試、研究、培訓的場景就越來越多，靶場的種類也會更加細化，功能更加聚焦。如在人才培養方面，會出現密碼學、無線、資料安全等靶場；在行業應用方面會出現金融、運營商、能源等靶場；在科研方面會出現漏洞研究、車聯網、工控等靶場。

2.     網路靶場能夠提升關鍵基礎設施的響應能力

隨著網路空間的基礎設施安全日益受到重視，國內外的監管單位也在針對關鍵基礎設施企業開展各種演練活動，如美國銀行業的“量子黎明”，美國國土安全部的“網路風暴”（Cyber Storm），演練各個關基企業的響應水平。與之對應的，建設了“關鍵基礎設施指揮決策分散式演練環境（DECIDE）”網路靶場，演練關基單位響應體系以及主管單位的應急指揮能力。更作為NIST網路安全框架（CSF）中關鍵基礎設施部分的研究場，指導各個單位構建防禦體系和響應協調體系。而國內的一些創新企業，也把網路靶場作為企業網路安全運營和響應的一部分來進行建設。透過網路靶場與企業內部環境的聯動，提高企業整體的安全運營和響應水平。

3.     網路靶場雲服務等新服務模式快速發展

因網路靶場的建設需要投入較大的資源，對於一些預算有限和使用頻率不高的客戶來說，採購的意願不會很大。而網路靶場雲服務等各種服務化的產品，可減少企業的建設投入和運維成本，滿足不同投入程度客戶的需求。因此，基於網路靶場的各種新服務也將獲得較快發展。

後續，綠盟科技也將根據網路靶場的發展狀況及客戶需求，適時推出不同方向的網路靶場產品及服務，滿足客戶的個性化需求，推動網路安全人才培養和網路安全建設，為網路強國戰略提供有力保障。