程靜，雷璟，袁雪芬

(中國電子科學(xué)研究院，北京100041)

0 引 言

網(wǎng)絡(luò)空間以信息為特征，以物理空間為基礎(chǔ)，與傳統(tǒng)的陸、海、空、天物理空間相互交織，輻射人類生產(chǎn)、生活、社會活動乃至意識形態(tài)的各個方面，對國家安全產(chǎn)生越來越重要的影響[1]。網(wǎng)絡(luò)空間安全直接關(guān)乎政權(quán)穩(wěn)固、國防安全、社會穩(wěn)定、經(jīng)濟發(fā)展和科技進步。

“棱鏡”等一系列事件表明，國際網(wǎng)絡(luò)空間安全態(tài)勢十分嚴峻，網(wǎng)絡(luò)空間安全能力已經(jīng)成為國家綜合競爭力的體現(xiàn)之一。為爭奪網(wǎng)絡(luò)空間主動權(quán)，謀求戰(zhàn)略優(yōu)勢，美國、英國、德國、俄國、日本和韓國等競相推出了網(wǎng)絡(luò)空間安全戰(zhàn)略和建設(shè)網(wǎng)絡(luò)戰(zhàn)力量發(fā)展計劃，紛紛啟動國家網(wǎng)絡(luò)靶場建設(shè)，旨在積極參與和爭奪網(wǎng)絡(luò)空間主導(dǎo)權(quán)。

國家網(wǎng)絡(luò)靶場是面向各類用戶，涵蓋各領(lǐng)域各行業(yè)典型應(yīng)用的、軍民結(jié)合的科研與試驗保障環(huán)境，具有網(wǎng)絡(luò)空間安全體系規(guī)劃論證、網(wǎng)絡(luò)安全防御技術(shù)演示驗證和體系化安全性評估等能力。國家網(wǎng)絡(luò)靶場的概念體系包括行業(yè)域、任務(wù)域和應(yīng)用域三個層面，如圖1所示。

圖1 國家網(wǎng)絡(luò)靶場概念

從行業(yè)域?qū)用鎭砜?，國家網(wǎng)絡(luò)靶場的核心是要涵蓋政府、國防、金融、電信和工業(yè)等領(lǐng)域，滿足其網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施安全體系建設(shè)與科研試驗應(yīng)用需求。

從任務(wù)域?qū)用鎭砜矗ㄟ^國家網(wǎng)絡(luò)靶場的頂層設(shè)計與體系建設(shè)，可以完成網(wǎng)絡(luò)空間安全體系規(guī)劃論證、能力測試評估、產(chǎn)品研發(fā)試驗、產(chǎn)品安全性測試、技術(shù)演示驗證和人才教育培養(yǎng)等任務(wù)。

從應(yīng)用域?qū)用鎭砜?，國家網(wǎng)絡(luò)靶場可以為各類用戶提供一系列網(wǎng)絡(luò)化聯(lián)合應(yīng)用，包括支撐國家基礎(chǔ)設(shè)施安全防護體系建設(shè)、自主可控軟硬件安全性測試、技術(shù)和服務(wù)安全性審查和下一代網(wǎng)絡(luò)與大數(shù)據(jù)安全研究等應(yīng)用。

1 國內(nèi)外發(fā)展概況

世界各國均將網(wǎng)絡(luò)靶場建設(shè)作為支撐網(wǎng)絡(luò)空間安全技術(shù)演示驗證、網(wǎng)絡(luò)武器裝備研制試驗、攻防對抗訓(xùn)練演練和網(wǎng)絡(luò)風(fēng)險評估分析的重要場所。目前，美國依然走在了世界的前列，除了已建成多個小型網(wǎng)絡(luò)靶場外，已開展國家級的網(wǎng)絡(luò)靶場建設(shè)。其他國家，如英國等也正在建設(shè)自己的國家網(wǎng)絡(luò)靶場。靶場的任務(wù)類型主要包括訓(xùn)練、測試與評估及演習(xí)3類[2]。

1.1 美國國家賽博靶場

2008年1月，美國啟動國家賽博靶場(NCR,national cyber range)項目，NCR項目建成后將為美國國防部、陸?？杖姾推渌畽C構(gòu)服務(wù)。美國賽博靶場的建設(shè)目標(biāo)是提供虛擬環(huán)境來模擬真實的網(wǎng)絡(luò)攻防作戰(zhàn)，針對敵對電子攻擊和網(wǎng)絡(luò)攻擊等電子作戰(zhàn)的手段進行試驗，以實現(xiàn)網(wǎng)絡(luò)空間作戰(zhàn)能力的重大變革，打贏網(wǎng)絡(luò)戰(zhàn)爭。

美國國家賽博靶場承擔(dān)六個方面的任務(wù)：一是在典型的網(wǎng)絡(luò)環(huán)境中對信息保障能力和信息生存工具進行定量、定性評估；二是對美國國防部目前和未來的武器系統(tǒng)，與作戰(zhàn)行動中復(fù)雜的大規(guī)模異構(gòu)網(wǎng)絡(luò)和用戶進行逼真的模擬；三是在統(tǒng)一基礎(chǔ)設(shè)施上，同時進行多項獨立的實驗；四是實現(xiàn)針對因特網(wǎng)/全球信息柵格等大規(guī)模網(wǎng)絡(luò)的逼真測試；五是開發(fā)具有創(chuàng)新性的網(wǎng)絡(luò)測試能力并部署相應(yīng)的工具和設(shè)備；六是通過科學(xué)的方法對各種網(wǎng)絡(luò)進行全方位嚴格的測試。

美國國家賽博靶場原型系統(tǒng)的體系結(jié)構(gòu)，如圖2所示。

圖2 賽博靶場原型系統(tǒng)體系結(jié)構(gòu)

美國國家賽博靶場建設(shè)分為四個階段實施，共需要6～7年的時間[3]，四個階段實施計劃如圖3所示。第一階段的建設(shè)為期6個月，主要是進行靶場的初步概念設(shè)計，形成詳細的工程計劃和系統(tǒng)演示驗證計劃，制定實施方案。第二階段從2010年2月始，繼續(xù)進行國家網(wǎng)絡(luò)靶場項目第二階段的建設(shè)。第三階段將交付基礎(chǔ)設(shè)施，進行靶場管理和試驗管理。第四階段主要針對具體項目進行網(wǎng)絡(luò)試驗。

1.2 英國聯(lián)合網(wǎng)絡(luò)靶場

2010年10月，英國國防部相關(guān)人員宣布成立英國聯(lián)合網(wǎng)絡(luò)靶場。聯(lián)合網(wǎng)絡(luò)靶場可以與其它網(wǎng)絡(luò)設(shè)施進行組網(wǎng)，而且是英國第一個可以用于商業(yè)用途的網(wǎng)絡(luò)靶場。盡管從外表上看聯(lián)合網(wǎng)絡(luò)靶場類似一個企業(yè)數(shù)據(jù)中心，但它擁有可實現(xiàn)網(wǎng)絡(luò)靶場各種關(guān)鍵能力的專用軟硬件，而且，聯(lián)合網(wǎng)絡(luò)靶場可以對某些無法在實際系統(tǒng)上測試的事情進行測試。聯(lián)合網(wǎng)絡(luò)靶場是一個安全的環(huán)境，可以在其中仿真網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)防御以及評估各種系統(tǒng)與網(wǎng)絡(luò)的安全性。

具體來說，聯(lián)合網(wǎng)絡(luò)靶場的用途包括體系結(jié)構(gòu)評估、組件測試、研發(fā)和訓(xùn)練4個方面。聯(lián)合網(wǎng)絡(luò)靶場可以為網(wǎng)絡(luò)行動提供高度可控的測試和訓(xùn)練環(huán)境，并通過可配置的網(wǎng)絡(luò)體系結(jié)構(gòu)來開展通信，該結(jié)構(gòu)支持動態(tài)、常規(guī)和核心的企業(yè)服務(wù)。聯(lián)合網(wǎng)絡(luò)靶場還能夠安全地演練網(wǎng)絡(luò)攻擊和防御，并可測試新的以及現(xiàn)有的網(wǎng)絡(luò)軟硬件。聯(lián)合網(wǎng)絡(luò)靶場的組成部分及主要功能如圖4所示。

圖4 聯(lián)合網(wǎng)絡(luò)靶場的組成及主要功能

1.3 國內(nèi)網(wǎng)絡(luò)靶場建設(shè)情況

我國網(wǎng)絡(luò)靶場建設(shè)目前處于起步階段，僅有部分科研實驗室和行業(yè)專用試驗場等，其主要功能是研究電子信息對抗與仿真技術(shù)、為行業(yè)產(chǎn)品進行試驗及檢測等。從體系應(yīng)用角度來講，我國現(xiàn)有的網(wǎng)絡(luò)試驗環(huán)境或測試床規(guī)模還較小，且主要針對某一專業(yè)領(lǐng)域，尚不適用于體系化的網(wǎng)絡(luò)空間安全科研試驗與測試評估。在國家網(wǎng)絡(luò)靶場建設(shè)方面，無論從靶場基礎(chǔ)理論研究、關(guān)鍵技術(shù)和產(chǎn)品研發(fā)，還是網(wǎng)絡(luò)空間安全風(fēng)險評估研究，我國都還存在著不小的差距。

1.4 必要性分析

國家網(wǎng)絡(luò)靶場建設(shè)是國家網(wǎng)絡(luò)空間安全戰(zhàn)略的迫切需要，是提升我國網(wǎng)絡(luò)空間安全能力的重要戰(zhàn)略舉措，是建設(shè)強大信息系統(tǒng)國度的安全保障。目前美國等世界主要強國均已啟動國家網(wǎng)絡(luò)靶場建設(shè)，而我國國家網(wǎng)絡(luò)靶場尚屬空白，缺少成體系的針對國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全性試驗驗證環(huán)境，使得我國網(wǎng)絡(luò)空間安全風(fēng)險評估能力嚴重落后于世界先進水平。面對網(wǎng)絡(luò)空間安全的新發(fā)展、新趨勢，為彌補差距、搶占先機、奮起直追、迎頭趕上，我國必須瞄準(zhǔn)關(guān)系全局和長遠發(fā)展的網(wǎng)絡(luò)空間安全領(lǐng)域，通過科學(xué)規(guī)劃、頂層設(shè)計，深入推進機制創(chuàng)新、協(xié)同創(chuàng)新和開放創(chuàng)新，盡快啟動國家網(wǎng)絡(luò)靶場建設(shè)，提升我國網(wǎng)絡(luò)空間安全核心能力。

通過國家網(wǎng)絡(luò)靶場建設(shè)，可為金融、電信、能源、交通、電力等國家關(guān)鍵信息基礎(chǔ)設(shè)施安全體系建設(shè)提供分析、設(shè)計、研發(fā)、集成、測試、評估、運維等全生命周期保障服務(wù)，解決無法在真實環(huán)境中對復(fù)雜大規(guī)模異構(gòu)網(wǎng)絡(luò)和用戶進行逼真的模擬和測試，以及風(fēng)險評估等問題，實現(xiàn)國家網(wǎng)絡(luò)空間安全能力的整體躍升。

2 靶場技術(shù)重點

2.1 靶場體系架構(gòu)設(shè)計

靶場體系架構(gòu)的建立有助于從系統(tǒng)層面思考問題，關(guān)注縱向、橫向，實現(xiàn)大系統(tǒng)的互聯(lián)、互通、互操作，用一體化思想統(tǒng)籌建設(shè)項目，既考慮已有信息系統(tǒng)資源，又分析未來系統(tǒng)建設(shè)，為靶場綜合集成奠定基礎(chǔ)[4]。

國家網(wǎng)絡(luò)靶場體系結(jié)構(gòu)設(shè)想如圖5所示，主要包括靶場基礎(chǔ)環(huán)境、數(shù)據(jù)資源庫、服務(wù)支撐、靶場應(yīng)用、標(biāo)準(zhǔn)規(guī)范體系和安全保障體系。

圖5 國家網(wǎng)絡(luò)靶場體系架構(gòu)

其中，靶場基礎(chǔ)環(huán)境是網(wǎng)絡(luò)靶場運行的基礎(chǔ)，支撐靶場功能系統(tǒng)的運行，具體包括運行資源建設(shè)(包括計算資源、存儲資源、網(wǎng)絡(luò)資源)、目標(biāo)系統(tǒng)建設(shè)(工控系統(tǒng)、移動互聯(lián)網(wǎng)等)、虛擬化管理平臺、SDN動態(tài)組網(wǎng)管理平臺和設(shè)備監(jiān)控管理平臺等。虛擬化管理平臺、SDN動態(tài)組網(wǎng)管理平臺、設(shè)備監(jiān)控管理平臺對靶場的物理資源和虛擬資源統(tǒng)一管理和調(diào)度。其中虛擬化管理平臺通過對靶場中各類虛擬資源(如計算、存儲、網(wǎng)絡(luò)等資源)的統(tǒng)一調(diào)度和管理，從而提供可根據(jù)試驗需求彈性擴展的節(jié)點虛擬機資源；SDN動態(tài)組網(wǎng)管理平臺對所有虛擬網(wǎng)絡(luò)進行集中式監(jiān)、管、控；設(shè)備監(jiān)控管理平臺主要對靶場中各類硬件設(shè)備(如服務(wù)器、交換機、安全設(shè)備、工控設(shè)備等)的運行狀態(tài)進行實時監(jiān)控和管理。

數(shù)據(jù)資源庫是靶場的核心資源，是靶場運行和試驗操作的工具、數(shù)據(jù)和知識保障，支持靶場業(yè)務(wù)的開展和試驗的運行。數(shù)據(jù)資源庫分為三大類，分別是核心基礎(chǔ)資源、試驗支持資源和服務(wù)支撐資源。核心基礎(chǔ)資源包括：測試工具庫、防御產(chǎn)品庫、漏洞庫、軟件庫和鏡像庫等。試驗支持資源包括：模型庫、劇情庫、試驗數(shù)據(jù)庫和知識庫等。服務(wù)支撐資源包括：應(yīng)急預(yù)案庫和情報庫等。

一體化公共服務(wù)支撐平臺采用SOA的思想進行搭建，實現(xiàn)服務(wù)管理、調(diào)度、運行和監(jiān)控等各個層面的解耦，達到完全的消息化、服務(wù)化，以及業(yè)務(wù)的無關(guān)性；為各類用戶提供信息共享與協(xié)同、信息聚合、服務(wù)聚合,以及能力聚合等面向服務(wù)的典型應(yīng)用支撐能力。

靶場功能層提供靶場試驗的管理和應(yīng)用業(yè)務(wù)，分為網(wǎng)絡(luò)復(fù)現(xiàn)、劇情管理、試驗控制、系統(tǒng)評估和展示體驗等十個功能系統(tǒng)，通過統(tǒng)一門戶與用戶進行交互。

安全保障體系從物理環(huán)境安全、安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、計算環(huán)境安全、應(yīng)用安全、安全管理、風(fēng)險評估等七個方面采用技術(shù)手段和措施，確保靶場可靠穩(wěn)定運行和試驗安全可信開展。同時，采用試驗隔離和數(shù)據(jù)擦除等技術(shù)手段，確保靶場中同時開展的試驗相互獨立，靶場中的敏感信息徹底銷毀，無泄漏風(fēng)險。

標(biāo)準(zhǔn)規(guī)范體系是保證靶場高效運行和協(xié)同的重要保障，網(wǎng)絡(luò)測試語言、測試過程、資產(chǎn)、數(shù)據(jù)庫和試驗過程的規(guī)范化、標(biāo)準(zhǔn)化將貫穿于一個完整的網(wǎng)絡(luò)試驗生命周期中。

2.2 靶場核心技術(shù)

在國家網(wǎng)絡(luò)靶場的建設(shè)過程中，將對靶場建設(shè)和運行過程中涉及到的網(wǎng)絡(luò)復(fù)現(xiàn)、多維度測試、靶場資源動態(tài)管理等一系列關(guān)鍵支撐技術(shù)進行研究和突破，具體包括：復(fù)雜異構(gòu)網(wǎng)絡(luò)快速復(fù)現(xiàn)及重構(gòu)技術(shù)、網(wǎng)絡(luò)空間安全自動化多維度測試技術(shù)、面向任務(wù)的靶場引擎構(gòu)建技術(shù)、靶場資源自動配置與快速釋放技術(shù)、非易失性存儲數(shù)據(jù)安全擦除技術(shù)、靶場安全隔離與受控交換技術(shù)、特種木馬及APT攻擊行為識別技術(shù)、網(wǎng)絡(luò)追蹤溯源技術(shù)等。

2.2.1 復(fù)雜異構(gòu)網(wǎng)絡(luò)快速復(fù)現(xiàn)及重構(gòu)技術(shù)

復(fù)現(xiàn)目標(biāo)類型復(fù)雜、異構(gòu)多樣，為實現(xiàn)快速復(fù)現(xiàn)，節(jié)約復(fù)現(xiàn)成本和代價，避免“煙囪式”的目標(biāo)復(fù)現(xiàn)，需要平臺滿足靈活重組、快速重構(gòu)的要求?；赟DN動態(tài)組網(wǎng)技術(shù)和虛擬化技術(shù)，在統(tǒng)一共享的物理網(wǎng)絡(luò)設(shè)施上，開展大規(guī)模復(fù)雜網(wǎng)絡(luò)快速可重構(gòu)復(fù)現(xiàn)技術(shù)的研究。

2.2.2 網(wǎng)絡(luò)空間安全自動化多維度測試技術(shù)

根據(jù)用戶的測試需求，將人工智能、決策論等相關(guān)理論方法和技術(shù)手段引入平臺的測試評估過程，構(gòu)建科學(xué)合理的測試評估模型，自動化調(diào)用平臺的計算、存儲資源和漏洞庫、知識庫等資源，以及各類測試工具，自動從效果、效率、成本、難易程度等多個維度綜合衡量，實現(xiàn)對設(shè)備級、分系統(tǒng)級、系統(tǒng)級、體系級各個級別的網(wǎng)絡(luò)空間安全性試驗驗證，提高測試評估的客觀性、準(zhǔn)確性與效率。

2.2.3 面向任務(wù)的靶場引擎構(gòu)建技術(shù)

基于“面向服務(wù)”和“軟件定義”的思想，研究基于SDN的網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)建、基于SOA的服務(wù)化集成平臺構(gòu)建，以及基于虛擬化的靶場資源快速構(gòu)建等技術(shù)；建立具備面向服務(wù)、動態(tài)重組、按需分發(fā)等能力的高動態(tài)、可重構(gòu)基礎(chǔ)網(wǎng)絡(luò)環(huán)境，能夠根據(jù)各類作戰(zhàn)任務(wù)需要，快速構(gòu)建國家網(wǎng)絡(luò)靶場試驗測試軟硬件條件，實現(xiàn)網(wǎng)絡(luò)資源按需分配、全網(wǎng)策略智能決策、身份認證與鑒權(quán)的統(tǒng)一管理，滿足試驗任務(wù)需要。

2.2.4 靶場資源自動配置與快速釋放技術(shù)

靶場的網(wǎng)絡(luò)平臺可為用戶提供豐富的海量異構(gòu)資源(網(wǎng)絡(luò)、計算、存儲、信息等)，需要實現(xiàn)對這些共用資源的集中管控和靈活調(diào)用，使其利用率最大化并保證用戶對資源使用的有效性。

通過對異構(gòu)資源進行抽象描述并進行統(tǒng)一標(biāo)識，形成資源目錄，同時建立靶場資源管理平臺，實現(xiàn)對靶場資源的發(fā)現(xiàn)與自動推送、實時監(jiān)視、動態(tài)調(diào)度、智能控制，以及快速釋放。

2.2.5 非易失性存儲數(shù)據(jù)安全擦除技術(shù)

研究專門針對試驗中非易失性存儲數(shù)據(jù)安全擦除技術(shù)，對靶場試驗中產(chǎn)生的過程數(shù)據(jù)進行保密性保障以及實時刪除，對非易失性數(shù)據(jù)進行快速安全擦除以及自毀。在試驗結(jié)束后可以自動擦除數(shù)據(jù)、拆除測試平臺、回收所用資源，防止試驗參數(shù)和信息外泄，形成封閉與隔離測試安全能力。

2.2.6 靶場安全隔離與受控交換技術(shù)

靶場安全隔離與受控技術(shù)包括數(shù)據(jù)隔離擺渡、多核并行擺渡處理及安全隧道加速技術(shù)，通過應(yīng)用交換、審計監(jiān)察、安全隧道、身份認證、格式檢查、協(xié)議重組和交換代理等功能滿足兩網(wǎng)間在配置指令下發(fā)、狀態(tài)數(shù)據(jù)上報等過程中的安全需求，為靶場功能系統(tǒng)與各個試驗的交互過程提供可靠安全保障。

2.2.7 特種木馬及APT攻擊行為識別技術(shù)

從分析特種木馬在植入、潛伏、活躍各個階段的不同特征，0Day漏洞、軟件通用漏洞特點，APT攻擊經(jīng)常采用的弱口令猜解嘗試、文件類型偽裝欺騙、ARP欺騙、DNS劫持和共享帶威脅的文件等幾種典型的攻擊行為入手，突破木馬行為辨析與漏洞分析技術(shù)，旨在發(fā)現(xiàn)、識別、測量、跟蹤可確定特種木馬、軟件漏洞和APT典型攻擊行為發(fā)展過程，通過關(guān)聯(lián)分析實現(xiàn)對特種木馬和APT典型入侵行為的識別，評估其破壞程度。

2.2.8 網(wǎng)絡(luò)追蹤溯源技術(shù)

網(wǎng)絡(luò)追蹤溯源技術(shù)將加強蜜罐、蜜網(wǎng)等網(wǎng)絡(luò)誘騙技術(shù)的研究，深入分析各類攻擊行為特征，深入了解網(wǎng)絡(luò)攻擊手段、攻擊方法和攻擊目標(biāo)等，為攻擊溯源和調(diào)查取證提供依據(jù)，實現(xiàn)網(wǎng)絡(luò)攻擊行為的快速跟蹤溯源、精確定位。

3 靶場發(fā)展趨勢分析

網(wǎng)絡(luò)空間安全已經(jīng)成為各國政府關(guān)注的重點，國家網(wǎng)絡(luò)靶場成為國家信息安全防護體系建設(shè)的關(guān)鍵基礎(chǔ)設(shè)施已是共識。如何發(fā)揮我國整體優(yōu)勢，建設(shè)一個符合國家需求的國家網(wǎng)絡(luò)靶場是當(dāng)務(wù)之急。下面從國家網(wǎng)絡(luò)靶場的建設(shè)思路和功能需求兩個方面來對靶場的未來發(fā)展趨勢進行分析。

3.1 靶場建設(shè)思路分析

縱觀國內(nèi)外網(wǎng)絡(luò)靶場建設(shè)情況，有三點啟示：

(1)國家網(wǎng)絡(luò)靶場建設(shè)是取得國家網(wǎng)絡(luò)空間安全主導(dǎo)權(quán)的關(guān)鍵領(lǐng)域，事關(guān)國家安全，也是國家行為，體現(xiàn)國家意志、統(tǒng)籌國家資源、彰顯國家能力。

(2)國家網(wǎng)絡(luò)靶場是國家的戰(zhàn)略資源，建設(shè)國家網(wǎng)絡(luò)靶場需要清晰的定位、明確的目標(biāo)、完善的頂層設(shè)計，加快核心技術(shù)突破，給我國網(wǎng)絡(luò)空間安全能力帶來革命性飛躍。

(3)緊密圍繞建立先進的網(wǎng)絡(luò)安全保障手段和高水平的綜合性安全試驗驗證環(huán)境，服務(wù)于黨政軍重要信息系統(tǒng)，保障國家關(guān)鍵基礎(chǔ)設(shè)施安全，構(gòu)建國家網(wǎng)絡(luò)安全防護長城。

因此，要按照“頂層設(shè)計、體系建設(shè)、軍民融合、滾動發(fā)展”的思路，構(gòu)建大規(guī)模、開放式、共享式、增長式的國家級網(wǎng)絡(luò)靶場，為各類用戶提供安全防護體系驗證、信息系統(tǒng)及安全產(chǎn)品安全性檢測、風(fēng)險評估及應(yīng)急響應(yīng)等高端服務(wù)，支撐國家網(wǎng)絡(luò)空間安全體系建設(shè)，提升國家網(wǎng)絡(luò)空間安全能力，在全球化信息安全變革發(fā)展中實現(xiàn)我國由網(wǎng)絡(luò)大國向網(wǎng)絡(luò)強國的歷史性跨越。

3.2 靶場功能需求分析

國家網(wǎng)絡(luò)靶場未來應(yīng)該主要滿足以下功能需求。

(1)網(wǎng)絡(luò)空間復(fù)雜性安全試驗環(huán)境需求

進行網(wǎng)絡(luò)空間復(fù)雜性安全試驗需要國家網(wǎng)絡(luò)靶場具備四方面的能力：一是大規(guī)模復(fù)雜異構(gòu)網(wǎng)絡(luò)的快速復(fù)現(xiàn)能力，可以復(fù)現(xiàn)金融系統(tǒng)、工業(yè)控制系統(tǒng)、電信網(wǎng)和物聯(lián)網(wǎng)等各類復(fù)雜異構(gòu)網(wǎng)絡(luò)；二是復(fù)雜用戶行為及網(wǎng)絡(luò)輿情復(fù)現(xiàn)能力，可以逼真模擬社會網(wǎng)絡(luò)中人的行為和輿情行為；三是網(wǎng)絡(luò)空間復(fù)雜特征的復(fù)現(xiàn)能力，可復(fù)現(xiàn)網(wǎng)絡(luò)空間融合性、隱蔽性、復(fù)雜性、無界性、高速性和層次性等復(fù)雜特征；四是大規(guī)模網(wǎng)絡(luò)快速靈活重組能力，可從一個試驗網(wǎng)絡(luò)結(jié)構(gòu)快速靈活重組成另一個試驗網(wǎng)絡(luò)結(jié)構(gòu)。

(2)成體系的測試評估能力需求

為了精確測試評估目標(biāo)系統(tǒng)網(wǎng)絡(luò)空間安全性、可恢復(fù)性和靈活性，操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、內(nèi)核等關(guān)鍵軟硬件的安全性，國家網(wǎng)絡(luò)靶場需具備成體系的測試評估能力。通過國家級完備的測試評估資源庫(測試工具庫、測試用例庫等)及先進的測試評估手段，開展?jié)B透測試、風(fēng)險評估，對目標(biāo)系統(tǒng)安全性進行全方位、體系化、自動化測試評估。

(3)高安全隔離與高數(shù)據(jù)安全的聯(lián)合試驗環(huán)境需求

為了并行開展不同安全等級網(wǎng)絡(luò)的試驗而不影響各試驗網(wǎng)絡(luò)與數(shù)據(jù)安全，需要構(gòu)建高安全隔離與高數(shù)據(jù)安全的聯(lián)合試驗環(huán)境。在聯(lián)合試驗環(huán)境中可并行開展多個不同安全等級的安全技術(shù)測試、各種惡意軟件和惡意代碼測試等試驗，而不用擔(dān)心試驗基礎(chǔ)設(shè)施安全。并行試驗之間不會相互干擾，重要數(shù)據(jù)也不會在試驗中泄漏。

(4)資源自動配置與快速釋放能力需求

為了實現(xiàn)國家網(wǎng)絡(luò)靶場內(nèi)部各類異構(gòu)共用資源(網(wǎng)絡(luò)、計算、存儲、信息等)的集中管控和靈活調(diào)用，使其利用率最大化并保證用戶對資源使用的有效性，需具備資源自動配置與快速釋放能力。

(5)面向服務(wù)的公共服務(wù)能力需求

為了實現(xiàn)不同網(wǎng)絡(luò)空間安全試驗資源的即插即用、動態(tài)共享、重用和互操作，國家網(wǎng)絡(luò)靶場需具備面向服務(wù)的公共服務(wù)能力，建立服務(wù)化、智能化、網(wǎng)絡(luò)化、模塊化的網(wǎng)絡(luò)共用基礎(chǔ)設(shè)施集成環(huán)境，為各功能系統(tǒng)面向服務(wù)的部署、集成、運行與管控提供全過程支撐。

4 結(jié) 語

國家網(wǎng)絡(luò)靶場是支持賽博作戰(zhàn)能力研究和賽博武器裝備驗證的試驗床,是快速形成國家賽博作戰(zhàn)能力的物質(zhì)基礎(chǔ)[5]。國家網(wǎng)絡(luò)靶場對于我國屬于新生事物，需要突破網(wǎng)絡(luò)防御、測試、評估等相關(guān)關(guān)鍵技術(shù)難點。國家網(wǎng)絡(luò)靶場的建設(shè)必將成為我國網(wǎng)絡(luò)空間安全乃至國家戰(zhàn)略安全的里程碑事件，隨著信息技術(shù)快速發(fā)展，信息安全技術(shù)日新月異，應(yīng)不斷更新和提高靶場的技術(shù)能力，不斷拓展靶場的業(yè)務(wù)范圍，使之成為安全產(chǎn)品研發(fā)試驗、

產(chǎn)品測試驗證、前沿技術(shù)創(chuàng)新、專業(yè)人才培養(yǎng)的國家基地，為我國網(wǎng)絡(luò)空間安全能力體系的建設(shè)貢獻力量。

[1] 孫柏林.網(wǎng)絡(luò)空間病毒猖獗,工業(yè)安全形勢嚴峻[J].自動化技術(shù)與應(yīng)用,2012,31(10):1-2.

[2] 周芳,周正虎.國外信息保障靶場建設(shè)[J].指揮信息系統(tǒng)與技術(shù),2013,4(1):5-8.

[3] 周芳,毛少杰,朱立新.美國國家賽博靶場建設(shè)[J].指揮信息系統(tǒng)與技術(shù),2011(5):5-9.

[4] 王雪崢,許雪梅.基于DoDAF的靶場體系結(jié)構(gòu)設(shè)計[J].系統(tǒng)工程理論與實踐,2013,33(1):249-250.

[5] 吳巍.賽博空間與通信網(wǎng)絡(luò)安全問題研究[J].中國電子科學(xué)研究院學(xué)報,2011,6(5):473-476.