錢曉斌 唐瑋濤

摘? 要：隨著大數(shù)據(jù)的持續(xù)推進，大數(shù)據(jù)在各行業(yè)中發(fā)揮出越來越大的作用。大數(shù)據(jù)的價值凸顯，已成為國家新型戰(zhàn)略資源，其安全性直接影響到國家安全。為應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)，全球各國紛紛加速網(wǎng)絡(luò)靶場的建設(shè)。在此背景下，該文通過對國內(nèi)外網(wǎng)絡(luò)靶場的發(fā)展建設(shè)進行分析對比，進而對大數(shù)據(jù)安全靶場的關(guān)通用架構(gòu)與關(guān)鍵技術(shù)進行了系統(tǒng)分析和探討。

關(guān)鍵詞：大數(shù)據(jù)? 大數(shù)據(jù)安全? 網(wǎng)絡(luò)靶場? 大數(shù)據(jù)安全靶場

中圖分類號：TP393? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A文章編號：1672-3791（2021）06（a）-0016-03

General Architecture and Technical System of Big Data Security Range

QIAN Xiaobin? ?TANG Weitao

（Guizhou Guowei Xin'an Technology Co.， Ltd.， Guiyang， Guizhou Province， 550025? China）

Abstract： With the continuous promotion of big data， big data plays an increasingly important role in various industries. The value of big data is prominent. It has become a new national strategic resource， and its security has a direct impact on national security. In order to meet the increasingly severe network security challenges， countries all over the world have accelerated the construction of network shooting range. In this context， this paper systematically analyzes and discusses the general architecture and key technologies of big data security shooting range by analyzing and comparing the development and construction of network shooting range at home and abroad.

Key Words： Big data; Big data security; Network range; Big data security range

目前，我國在網(wǎng)絡(luò)空間靶場的建設(shè)上已經(jīng)具備一定基礎(chǔ)，比如各行業(yè)的實訓(xùn)靶場、教育行業(yè)的校園靶場、電力靶場、通信靶場、電子靶場等[1]。但是，現(xiàn)有靶場大多規(guī)模較小，側(cè)重于測試、科研等專業(yè)用途，其在建設(shè)規(guī)模、資源積累、安全能力、業(yè)務(wù)能力、應(yīng)用層級等方面尚未達到國際先進水平。大數(shù)據(jù)及網(wǎng)絡(luò)安全的新需求與新方向決定了大數(shù)據(jù)安全靶場建設(shè)的系統(tǒng)架構(gòu)及技術(shù)體系，也決定了大數(shù)據(jù)安全靶場的建設(shè)形式與應(yīng)用模式。

1? 國內(nèi)外研究現(xiàn)狀分析

西方部分發(fā)達國家在計算機與網(wǎng)絡(luò)技術(shù)上具有先發(fā)性與先進性，其較早進入信息化時代，在網(wǎng)絡(luò)安全方面極度重視實踐應(yīng)用與實戰(zhàn)對抗。2008年，美國率先開始國家級網(wǎng)絡(luò)靶場的建設(shè)，這為其他國家提供了參考樣板[1]。

美國的國家級網(wǎng)絡(luò)靶場（NCR）項目是一項堪比“曼哈頓工程”的長期計劃，項目涉及相關(guān)企業(yè)、部門、研究所等60余家，由政、產(chǎn)、學(xué)、研共同推進。項目目標是對大規(guī)模網(wǎng)絡(luò)環(huán)境進行高度仿真，構(gòu)造可伸縮的互聯(lián)網(wǎng)模型，為攻防演練提供虛擬環(huán)境。該靶場可提供技術(shù)研發(fā)、測評驗證等服務(wù)，為國防、工業(yè)、金融等領(lǐng)域的網(wǎng)絡(luò)安全發(fā)揮重大作用。除了NCR之外，美國還專注于各專業(yè)性領(lǐng)域靶場如海、陸軍賽博靶場的建設(shè)[2]。

通過借鑒美國的靶場建設(shè)經(jīng)驗，俄羅斯、日本、英國等國家也先后開始推進國家級網(wǎng)絡(luò)靶場的建設(shè)。比如：由英國國防部在2010年牽頭開始建設(shè)英國聯(lián)合國家網(wǎng)絡(luò)靶場、加拿大建立國家仿真實驗室、日本情報通信研究機構(gòu)主導(dǎo)建設(shè)了星平臺StarBed、澳大利亞的新南威爾士大學(xué)與該國的國防學(xué)院聯(lián)合建立校園測試靶場。發(fā)達國家強力推進國家級網(wǎng)絡(luò)靶場建設(shè)，客觀上促使世界各國也開始重視此項工作，越來越多的國家開始建設(shè)各自國家的網(wǎng)絡(luò)靶場，以提高本國的網(wǎng)絡(luò)安全保障能力[3]。

近年來，我國在借鑒國外發(fā)達國家網(wǎng)絡(luò)靶場建設(shè)經(jīng)驗的基礎(chǔ)上，利用政、產(chǎn)、學(xué)、研結(jié)合的模式大力推進各類網(wǎng)絡(luò)靶場的建設(shè)，行業(yè)與地方也逐步加大了網(wǎng)絡(luò)靶場的相關(guān)研究，在仿真、滲透、檢測、虛擬化等相關(guān)技術(shù)方面均有了突破和進展。特別是2016年以來，以貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全精英對抗演練與貴陽大數(shù)據(jù)安全靶場為代表，全國多地啟動網(wǎng)絡(luò)靶場建設(shè)工作，服務(wù)于城市、區(qū)域、行業(yè)的實網(wǎng)演練與人才培訓(xùn)。貴陽靶場在建設(shè)之初，缺少可參考的藍本，基本上通過“邊建邊用、以用促建”的方式慢慢摸索與積累出一套自己的經(jīng)驗，經(jīng)過實踐檢驗，很好地適應(yīng)了大數(shù)據(jù)安全的實際要求，形成了一系列創(chuàng)新技術(shù)和產(chǎn)品，填補了國內(nèi)在網(wǎng)絡(luò)靶場技術(shù)領(lǐng)域的若干空白[4-5]。我國其他靶場建設(shè)情況還包括城市級網(wǎng)絡(luò)靶場構(gòu)建技術(shù)及應(yīng)用研究，主要采用平行仿真的建設(shè)思路，提供測試評估、人才培養(yǎng)、實驗演練、技術(shù)研究與態(tài)勢推演等功能;由深圳網(wǎng)絡(luò)空間科學(xué)與技術(shù)廣東省實驗室牽頭建設(shè)的鵬城靶場，側(cè)重于技術(shù)研究、實驗驗證、人才培養(yǎng)與競評演練;360實戰(zhàn)靶場，基于獨特的安全大腦賦能，構(gòu)建了國內(nèi)先進的大規(guī)模實戰(zhàn)演訓(xùn)平臺，可對外提供SaaS模式的靶場服務(wù);合天網(wǎng)安實驗室建設(shè)的網(wǎng)絡(luò)實驗平臺，主要用于支撐各類安全競賽[2]。

2? 參考架構(gòu)與關(guān)鍵技術(shù)

2.1 設(shè)計原則

大數(shù)據(jù)安全靶場遵循以下設(shè)計原則：（1）基礎(chǔ)架構(gòu)符合“軟件定義靶場”的基本原則;（2）遵循“由實而虛、虛實結(jié)合”的靶標構(gòu)建原則;（3）重點圍繞大數(shù)據(jù)構(gòu)建靶場核心能力原則。（4）靶場要素滿足“體系對抗”的建設(shè)原則;（5）支撐攻防演練、實訓(xùn)競賽、測評測試、科研創(chuàng)新四大核心功能以及未來持續(xù)擴展新型安全服務(wù)的原則;（6）強化“安全可靠、可信可控、可度量、可擴展”等非功能性需求?？傮w而言，靶場體系架構(gòu)的建立應(yīng)從上述6項原則出發(fā)，從系統(tǒng)層面考慮問題，著眼于縱向和橫向，實現(xiàn)系統(tǒng)的相互連通，運用綜合思維協(xié)調(diào)建設(shè)，考慮現(xiàn)有的信息系統(tǒng)，并對未來的系統(tǒng)建設(shè)進行分析，為靶場全面整合打下基礎(chǔ)。

2.2 架構(gòu)原型

大數(shù)據(jù)安全靶場體系結(jié)構(gòu)如圖1所示。

大數(shù)據(jù)安全靶場的原型架構(gòu)主要包括靶場基礎(chǔ)環(huán)境﹑核心資源庫及靶場應(yīng)用。其中，靶場基礎(chǔ)環(huán)境是網(wǎng)絡(luò)靶場運行的基礎(chǔ)，包括運營管理中心和服務(wù)支撐平臺，支撐大數(shù)據(jù)安全靶場整體功能運行，該層主要采用虛擬化與云計算技術(shù)對大數(shù)據(jù)安全靶場資源的統(tǒng)一調(diào)度管理。核心資源庫是大數(shù)據(jù)安全靶場的核心資源，主要包括靶標庫、核心能力庫、數(shù)據(jù)導(dǎo)入系統(tǒng)、資源庫管理系統(tǒng)及資源庫資源池，其主要功能為保障大數(shù)據(jù)安全靶場運行的工具、數(shù)據(jù)等，支撐業(yè)務(wù)的開展和試驗的運行，該層主要采用數(shù)據(jù)采集與分析相關(guān)技術(shù)、組網(wǎng)技術(shù)及靶場云。大數(shù)據(jù)安全靶場應(yīng)用層提供靶場試驗的管理和應(yīng)用業(yè)務(wù)，分別包括研發(fā)創(chuàng)新平臺用于技術(shù)研發(fā)，攻防演練平臺用于探測掃描、指揮調(diào)度、攻防可視化等功能，測試驗證平臺主要用于產(chǎn)品驗證、安全新技術(shù)認證、漏洞驗證等功能，以及人才實訓(xùn)平臺主要用于網(wǎng)絡(luò)安全相關(guān)人才的培訓(xùn)和教育[6]。

2.3 系統(tǒng)相關(guān)技術(shù)

2.3.1 虛擬化技術(shù)

大數(shù)據(jù)安全靶場基礎(chǔ)層采用虛擬化技術(shù)對資源進行統(tǒng)一的調(diào)度和管理。虛擬化技術(shù)主要包括硬件資源虛擬化和網(wǎng)絡(luò)資源虛擬化。

其中，硬件資源虛擬化是對計算機系統(tǒng)的仿真，可對物理計算機和模擬計算機形成一對多的映射關(guān)系，一臺或多臺硬件資源可被共享，即模擬計算機有屬于自己的硬件資源，但是硬件資源是虛擬化的。一般在系統(tǒng)實現(xiàn)上，通常采用Hypervisor技術(shù)，它提供的虛擬主機，非常接近物理主機特性，能夠?qū)崿F(xiàn)對各類不同的硬件設(shè)備及操作系統(tǒng)的仿真，非常適合操作系統(tǒng)層的仿真需求。

針對網(wǎng)絡(luò)虛擬化，傳統(tǒng)的802.1Q標準定義的VLAN技術(shù)隨著網(wǎng)絡(luò)的發(fā)展，在一定程度上已經(jīng)不能滿足現(xiàn)有需求，需要使用其他相關(guān)網(wǎng)絡(luò)虛擬化技術(shù)來對網(wǎng)絡(luò)資源進行調(diào)度和管理。比如：使用虛擬可擴展局域網(wǎng)和SDN技術(shù)，前者可以較好地解決VLAN的現(xiàn)有問題，后者因為其控制和轉(zhuǎn)發(fā)相互分離的思想，非常適用于網(wǎng)絡(luò)靶場的構(gòu)建。

2.3.2 數(shù)據(jù)采集

數(shù)據(jù)采集是大數(shù)據(jù)安全靶場運行的基礎(chǔ)，在大數(shù)據(jù)時代，數(shù)據(jù)采集也是需要克服的技術(shù)難點之一。數(shù)據(jù)采集應(yīng)滿足針對特定領(lǐng)域的數(shù)據(jù)接入、支持多類型的數(shù)據(jù)接入方式以及具有多種數(shù)據(jù)抽取策略。

在大數(shù)據(jù)安全靶場的設(shè)計上，數(shù)據(jù)抽取策略主要采用策略采集和網(wǎng)元采集等多種數(shù)據(jù)采集方式。策略采集主要有制定策略、下發(fā)策略、策略執(zhí)行及策略采集這4個步驟，數(shù)據(jù)采集過程主要是將流量轉(zhuǎn)發(fā)至采集及分析節(jié)點，完成流量的采集工作。網(wǎng)元采集主要是通過代理及數(shù)據(jù)分析虛擬機，將數(shù)據(jù)在分析虛擬機中進行分析后，完成數(shù)據(jù)采集工作。網(wǎng)元采集相對于策略采集，其優(yōu)勢主要存在于采集的數(shù)據(jù)不用通過其他方式進行發(fā)送，而是直接導(dǎo)入分析虛擬機中，就能夠減少數(shù)據(jù)傳輸過程中占用的網(wǎng)絡(luò)帶寬。因此，在大數(shù)據(jù)安全靶場的設(shè)計上，主要以網(wǎng)元采集為主策略采集為輔的方式對數(shù)據(jù)進行采集。

2.3.3 數(shù)據(jù)分析

同數(shù)據(jù)采集相對應(yīng)，數(shù)據(jù)分析是大數(shù)據(jù)安全靶場運行的核心，數(shù)據(jù)分析包含了網(wǎng)絡(luò)流量分析、主機行為分析兩個大類。在靶場運行的過程中，主要需要對各環(huán)節(jié)中的重點數(shù)據(jù)進行分析，比如：攻防演練數(shù)據(jù)等重要數(shù)據(jù)，并依據(jù)特征庫及策略規(guī)則的支撐，以自動化的方式，根據(jù)特征比對，按照事先制定好的策略，判斷靶場運行的基本情況、目標達成效果、使用的工具及相關(guān)技術(shù)等。同時，將流量數(shù)據(jù)進行進一步的清洗，將其中較為重要的部分進行提取，并進行可視化的展示。

2.3.4 靶場云

大數(shù)據(jù)安全靶場系統(tǒng)基礎(chǔ)層及核心層主要由運營管理中心、服務(wù)支撐平臺兩個基礎(chǔ)組件以及靶標庫、核心能力庫、數(shù)據(jù)導(dǎo)入系統(tǒng)、資源庫管理系統(tǒng)及資源庫資源池5個核心資源組成，在技術(shù)層與核心層之間，需要云化管理平臺在兩者之間起到連接作用。云化管理平臺主要有基礎(chǔ)設(shè)施層構(gòu)成，該層功能主要實現(xiàn)仿真及數(shù)據(jù)采集等功能;數(shù)據(jù)層主要用具存儲數(shù)據(jù);平臺層主要用于模擬流量的產(chǎn)生、滲透測試等;軟件應(yīng)用層則包含數(shù)據(jù)管理、工具管理等管理功能等多種應(yīng)用。

3? 結(jié)語

國家網(wǎng)絡(luò)靶場是支持賽博體系對抗能力研究和賽博安全技術(shù)裝備驗證的試驗床，是快速形成國家賽博安全能力的物質(zhì)基礎(chǔ)。而大數(shù)據(jù)安全靶場在此領(lǐng)域中是一項開創(chuàng)性的工作，因此需要突破基礎(chǔ)結(jié)構(gòu)、技術(shù)體系、大數(shù)據(jù)應(yīng)用等相關(guān)領(lǐng)域的難題。建設(shè)大數(shù)據(jù)安全靶場必將成為我國網(wǎng)絡(luò)安全和大數(shù)據(jù)發(fā)展中的里程碑事件，對于我國的國防及戰(zhàn)略安全具有重要意義。隨著信息安全技術(shù)的飛速發(fā)展，靶場的技術(shù)能力也需要不斷更新和提高，業(yè)務(wù)范圍需要不斷擴大，使之成為人才培養(yǎng)、產(chǎn)品研發(fā)、攻防演練、培訓(xùn)教育等多功能型的國家級安全基地，為我國網(wǎng)絡(luò)空間安全能力體系的建設(shè)貢獻力量。

參考文獻

[1] 趙靜.網(wǎng)絡(luò)空間安全靶場技術(shù)研究及系統(tǒng)架構(gòu)設(shè)計[J].電腦知識與技術(shù)，2020，16（3）：51-54.

[2] 趙千，李耀兵，江浩，等.網(wǎng)絡(luò)靶場的建設(shè)現(xiàn)狀、基本特點與發(fā)展思路[J].中國信息化，2020（6）：62-64.

[3] 葉錫慶，徐潤萍.海軍指揮自動化系統(tǒng)實驗環(huán)境建設(shè)思路[J].論證與研究，2011（1）：4-7.

[4] 程靜，雷璟，袁雪芬.國家網(wǎng)絡(luò)靶場的建設(shè)與發(fā)展[J].中國電子科學(xué)研究院學(xué)報，2014，9（5）：446-452.

[5] 陳吉龍.虛擬化工控網(wǎng)絡(luò)靶場的設(shè)計與自動化部署[D].哈爾濱：哈爾濱工業(yè)大學(xué)，2020.

[6] 李利，韓偉紅，梅陽陽，等.當前網(wǎng)絡(luò)空間安全技術(shù)發(fā)展現(xiàn)狀及思考[J].信息技術(shù)與網(wǎng)絡(luò)安全，2021，40（5）：33-38.