朱 辰， 孫 斌， 金心宇， 魏 兵

（浙江大學(xué)a.工程師學(xué)院；b.信息與電子工程學(xué)院，杭州310027）

0 引 言

隨著信息技術(shù)的進一步發(fā)展和國家信息化程度的日益提高，網(wǎng)絡(luò)空間安全已經(jīng)成為國家安全保障體系的重要組成部分。網(wǎng)絡(luò)空間安全學(xué)科肩負著為國家培養(yǎng)網(wǎng)絡(luò)空間安全人才和提供技術(shù)保障的重要任務(wù)［1］。因此，網(wǎng)絡(luò)空間安全專業(yè)人才的培養(yǎng)顯得十分重要［2-3］。然而，網(wǎng)絡(luò)空間安全學(xué)科是新興的交叉的綜合性學(xué)科，學(xué)科建設(shè)涉及面廣，涉及知識點多。因此，網(wǎng)絡(luò)空間安全學(xué)科建設(shè)是一項復(fù)雜而艱巨的任務(wù)，對學(xué)生的理論和實踐操作要求比較高［4-7］。為了響應(yīng)國家對工程專業(yè)碩士研究生的教學(xué)培養(yǎng)改革，加強學(xué)生的網(wǎng)絡(luò)安全實踐操作能力［8-9］，充分發(fā)揮學(xué)校在網(wǎng)絡(luò)空間安全學(xué)科的學(xué)科建設(shè)與人才培養(yǎng)方面的優(yōu)勢，因此，需要建立符合專業(yè)碩士研究培養(yǎng)實際情況和需求的網(wǎng)絡(luò)空間攻防實驗教學(xué)與實訓(xùn)平臺。

1 建設(shè)目標與內(nèi)容

高校網(wǎng)絡(luò)安全實驗室主要有公共基礎(chǔ)實驗室和研究生實驗室，公共基礎(chǔ)實驗室是面向公共基礎(chǔ)課的學(xué)生，研究生實驗室是為研究具體項目而設(shè)立［10-12］。建立網(wǎng)絡(luò)安全實驗與實訓(xùn)平臺主要是面向?qū)I(yè)碩士研究生和工程技術(shù)培訓(xùn)的人員，包括傳統(tǒng)的網(wǎng)絡(luò)攻防實驗室和電力系統(tǒng)（變電站、配電網(wǎng)與電網(wǎng)調(diào)度）、天然氣傳輸、軌道交通3個重點行業(yè)典型真實場景，從而使關(guān)鍵信息基礎(chǔ)設(shè)施的傳統(tǒng)信息安全和工業(yè)控制系統(tǒng)安全有機結(jié)合形成一套虛實結(jié)合網(wǎng)絡(luò)空間攻防實驗與實訓(xùn)平臺，為工程碩士研究生網(wǎng)絡(luò)安全實踐教學(xué)、網(wǎng)絡(luò)安全標準技術(shù)研究、網(wǎng)絡(luò)安全技術(shù)培訓(xùn)實操、網(wǎng)絡(luò)攻防對抗、舉辦全國性奪旗比賽提供基礎(chǔ)條件支撐。

網(wǎng)絡(luò)空間安全的研究內(nèi)容是網(wǎng)絡(luò)空間各種形式的安全威脅和防護問題，即在對抗環(huán)境下，研究網(wǎng)絡(luò)和系統(tǒng)本身的安全威脅和防護機制以及網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施的安全問題，以及信息的產(chǎn)生、存儲、傳輸、處理各個環(huán)節(jié)中所面臨的安全威脅和防御措施［13］。

（1）內(nèi)容安全。針對網(wǎng)絡(luò)中數(shù)據(jù)流量大、敏感內(nèi)容隱蔽等挑戰(zhàn)，重點研究互聯(lián)網(wǎng)新聞網(wǎng)頁、視頻分享、圖像語音分享等網(wǎng)絡(luò)媒體內(nèi)容進行識別，實現(xiàn)網(wǎng)絡(luò)輿情監(jiān)控；對互聯(lián)網(wǎng)上普遍存在的時序數(shù)據(jù)所包含的隱私數(shù)據(jù)進行保護；研究互聯(lián)網(wǎng)上大數(shù)據(jù)環(huán)境下個人隱私保護方法。

（2）互聯(lián)網(wǎng)安全。針對網(wǎng)絡(luò)空間中自動化、智能化、和協(xié)同化的網(wǎng)絡(luò)攻擊挑戰(zhàn)，重點研究主動安全防御的評價理論與方法。

（3）信息系統(tǒng)安全。針對信息系統(tǒng)中存在的系統(tǒng)漏洞，主要研究可信體系結(jié)構(gòu)，如新型體系結(jié)構(gòu)、系統(tǒng)加固等；操作系統(tǒng)等系統(tǒng)軟件安全及安全評測和驗證平臺，如運行時環(huán)境安全、集成開發(fā)環(huán)境安全等。

（4）工業(yè)控制系統(tǒng)安全。針對網(wǎng)絡(luò)空間中重要基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)所面臨的安全，主要研究工業(yè)控制系統(tǒng)脆弱性分析與檢測、安全防護、攻擊分析及驗證等技術(shù)［14-15］；工業(yè)控制系統(tǒng)平臺等級保護研究、安全技術(shù)轉(zhuǎn)化以及聯(lián)動安全管理等應(yīng)用提供技術(shù)支撐；為典型工業(yè)控制系統(tǒng)行業(yè)領(lǐng)域的工業(yè)控制系統(tǒng)安全防護及解決方案研究提供技術(shù)支持［16］。

2 實驗教學(xué)與實訓(xùn)平臺總體架構(gòu)

實訓(xùn)平臺主要針對多種典型系統(tǒng)，研究其安全問題和漏洞，針對主流協(xié)議解析和安全技術(shù)測試驗證，以保障網(wǎng)絡(luò)安全為目標，開展安全參考模型建立、脆弱性識別、數(shù)據(jù)采集及加載、安全性檢測、安全防護加固、安全信息報送等技術(shù)研究，建立一套適合專業(yè)研究生實踐教學(xué)和網(wǎng)絡(luò)安全工程技術(shù)培訓(xùn)的網(wǎng)絡(luò)安全實訓(xùn)平臺。實訓(xùn)平臺一共分為4個部分：態(tài)勢感知應(yīng)急處置實驗室，攻防對抗實驗室，攻擊技術(shù)研究實驗室和主動防御實驗室。

2.1 態(tài)勢感知應(yīng)急處置實驗室

態(tài)勢感知應(yīng)急處置實驗室主要包含態(tài)勢感知展示區(qū)（見圖1）、電力系統(tǒng)縮微裝置及控制區(qū)（見圖2）、天然氣縮微裝置及控制區(qū)（見圖3）、軌道交通縮微裝置及控制區(qū)（見圖4）4個部分，將電力系統(tǒng)、天然氣和軌道交通3個典型工控場景接入到態(tài)勢感知平臺，為仿真測試環(huán)境中系統(tǒng)網(wǎng)絡(luò)的攻防演練、仿真測試、態(tài)勢感知和信息報送等提供完整的真實工業(yè)系統(tǒng)數(shù)據(jù)支持，并開放多種接口滿足相關(guān)系統(tǒng)的擴展和技術(shù)應(yīng)用，可以將工業(yè)控制系統(tǒng)的資產(chǎn)風(fēng)險態(tài)勢感知、外部威脅態(tài)勢感知、安全運營態(tài)勢感知在態(tài)勢感知區(qū)的大屏上顯示出來，可以提供網(wǎng)絡(luò)安全預(yù)警提示，為制定相應(yīng)的安全防御策略提供技術(shù)支持。

圖1 態(tài)勢感知展示區(qū)

圖2 電力縮微裝置

圖3 天然氣縮微裝置

圖4 軌道交通縮微裝置

2.2 攻防對抗實驗室

攻防對抗實驗室為了提升系統(tǒng)網(wǎng)絡(luò)安全的攻防技能，學(xué)生可以使用常見的攻擊方式對測試系統(tǒng)進行模擬攻擊，測試出應(yīng)用系統(tǒng)自身的抗攻擊能力和安全配置的實效性，進而能夠提出安全策略實施修訂和相關(guān)系統(tǒng)加固方案，確保應(yīng)用系統(tǒng)的安全性，加強學(xué)生對網(wǎng)絡(luò)安全知識的理解和網(wǎng)絡(luò)安全的重要性。為了確保攻防實驗不影響正常的校園網(wǎng)絡(luò)，在網(wǎng)絡(luò)空間安全攻防實驗教學(xué)與實訓(xùn)平臺內(nèi)獨立設(shè)置一個用于攻防教學(xué)實驗和攻防演練的安全攻防區(qū)（如圖5中紅色區(qū)域所示），安全攻防區(qū)通過一臺防火墻與平臺核心互聯(lián)，通過安全策略、路由配置等操作與平臺網(wǎng)絡(luò)隔離，僅通過地址映射對平臺提供演練地址，攻擊發(fā)起節(jié)點通過交換機與安全攻防區(qū)防火墻USG6680相連，安全攻防區(qū)防御區(qū)部署華為DDOS服務(wù)器、華為防火墻USG6650、華為入侵保護系統(tǒng)NIP6500，NIP6500下聯(lián)防端交換機，防御節(jié)點服務(wù)器與下聯(lián)交換機相連，同時攻防區(qū)防火墻USG6680與沙箱服務(wù)器、日志服務(wù)器LogCenter、DDOS ATIC服務(wù)器相連接，對攻擊中出現(xiàn)的流量及日志進行分析防御，整個攻防區(qū)區(qū)域網(wǎng)絡(luò)形成了一個攻擊由攻擊端服務(wù)器發(fā)起，惡意流量經(jīng)過防火墻、DDOS、NIP，沙箱等安全設(shè)備的防御，同時根據(jù)分析產(chǎn)生的流量日志判斷能否對防御端服務(wù)器上的應(yīng)用造成影響的攻防實驗平臺。

圖5 網(wǎng)絡(luò)攻防實驗室網(wǎng)絡(luò)拓撲圖

2.3 攻擊技術(shù)研究實驗室

增強網(wǎng)絡(luò)安全防御能力和威懾能力，網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量。建立攻擊技術(shù)研究實驗室，主要是建立一間單獨的物理實驗房間，以便加強學(xué)生的實戰(zhàn)技術(shù)水平，培養(yǎng)學(xué)生成為攻防兼?zhèn)涞膹?fù)合型人才。學(xué)生可以在攻擊技術(shù)研究實驗室進行網(wǎng)絡(luò)掃描、滲透測試、故障注入、數(shù)據(jù)竊取和報文回放等攻擊技術(shù)研究。

2.4 主動防御研究實驗室

主動防御技術(shù)研究實驗室包括威脅檢測研究區(qū)、脆弱性分析研究區(qū)和安全防護技術(shù)研究及檢驗區(qū)3個部分。威脅識別技術(shù)和安全防護技術(shù)是“攻”和“防”的關(guān)系，攻是研究如何突破系統(tǒng)的安全防線，使攻擊者具備干預(yù)系統(tǒng)正常運行的能力，防是研究如何抵御系統(tǒng)外部的各種攻擊，將威脅擋在系統(tǒng)之外。而脆弱性分析則是著眼于系統(tǒng)內(nèi)部，以識別系統(tǒng)的資產(chǎn)和風(fēng)險、確認系統(tǒng)的安全薄弱環(huán)節(jié)為主要的內(nèi)容，達到“知己”的目的。

3 實驗內(nèi)容及特點

網(wǎng)絡(luò)空間安全攻防實驗教學(xué)與實訓(xùn)平臺經(jīng)過近2年的建設(shè)，可以開展如下實驗內(nèi)容：

（1）認識網(wǎng)絡(luò)和網(wǎng)絡(luò)安全。介紹實驗平臺的環(huán)境，了解網(wǎng)絡(luò)安全相關(guān)概念，掌握實驗方法和實驗流程。

（2）防火墻原理及配置。介紹防火墻基礎(chǔ)知識，掌握防火墻安全策略相關(guān)基礎(chǔ)配置，掌握入侵防御配置文件的配置方法，掌握URL（統(tǒng)一資源定位符）過濾的基本配置方法。

（3）Web應(yīng)用安全。實際操作SQL注入/暴力破解/文件上傳/跨站腳本等Web安全漏洞實驗，認識Web應(yīng)用安全的危害。

（4）Windows系統(tǒng)安全。Windows系統(tǒng)安全基礎(chǔ)，Windows系統(tǒng)入侵防范，Windows系統(tǒng)入侵檢測，Windows系統(tǒng)恢復(fù)。

（5）Linux系統(tǒng)安全。操作系統(tǒng)信息安全基礎(chǔ)知識，操作系統(tǒng)安全權(quán)限加固，操作系統(tǒng)安全通信協(xié)議加固，操作系統(tǒng)安全文件及日志加固。

（6）入侵分析與審計。性能下降、網(wǎng)速變慢、文件被篡改等系統(tǒng)相關(guān)常見異常現(xiàn)象分析和審計。

（7）工業(yè)控制系統(tǒng)攻防實驗。仿真主站、野外搭線、篡改報文、攻擊現(xiàn)場設(shè)備等攻擊場景演示實驗，工業(yè)控制系統(tǒng)不同子系統(tǒng)隔離、管理區(qū)和生產(chǎn)區(qū)隔離、調(diào)度中心與控制系統(tǒng)認證等防御場景演示實驗。

綜合前面的實驗可分組進行網(wǎng)絡(luò)空間安全攻防對抗實驗，在傳統(tǒng)的網(wǎng)絡(luò)安全實驗教學(xué)中，特別注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的實驗教學(xué)，引入工業(yè)控制系統(tǒng)的3個典型實例，設(shè)計相關(guān)實驗案例，提高學(xué)生對真實工業(yè)控制系統(tǒng)的認識和動手解決實際問題的能力。

4 結(jié) 語

隨著信息技術(shù)的發(fā)展，信息網(wǎng)絡(luò)安全人才的不足已嚴重制約網(wǎng)絡(luò)空間安全的發(fā)展，目前網(wǎng)絡(luò)安全專業(yè)人才培養(yǎng)難，傳統(tǒng)的理論教學(xué)模式已經(jīng)不能滿足專業(yè)人才的培養(yǎng)需求。經(jīng)過精心組織、設(shè)計、論證和建設(shè)的網(wǎng)絡(luò)空間安全攻防實驗教學(xué)與實訓(xùn)平臺，引入3種典型真實場景的工業(yè)模擬控制系統(tǒng)，在理論教學(xué)的基礎(chǔ)上，加強學(xué)生的實踐操作訓(xùn)練，通過多種形式的網(wǎng)絡(luò)攻防對抗練習(xí)和比賽，提高學(xué)生的網(wǎng)絡(luò)安全對抗能力，探索網(wǎng)絡(luò)空間人才培養(yǎng)方面的新模式，能夠更好地服務(wù)網(wǎng)絡(luò)空間安全專業(yè)人才的培養(yǎng)。