楊學(xué)勇，齊 勝，朱 賀，戰(zhàn) 鑫

（1.中國鐵路南昌局集團(tuán)有限公司，南昌 330002；2.中鐵信（北京）網(wǎng)絡(luò)技術(shù)研究院有限公司，北京 100044；3.中鐵信弘信（北京）信息工程咨詢有限責(zé)任公司，北京 100038）

隨著“震網(wǎng)”病毒侵襲伊朗核電站，“黑暗力量”病毒引發(fā)烏克蘭大停電，以及勒索攻擊致使美國輸油管道癱瘓[1]等網(wǎng)絡(luò)安全事件的爆發(fā)，網(wǎng)絡(luò)空間安全越來越引起人們的重視，“沒有網(wǎng)絡(luò)安全，就沒有國家安全”[2]成為人們的共識(shí)。而網(wǎng)絡(luò)安全并非單純的防護(hù)工具、安全平臺(tái)之間的對(duì)抗，其本質(zhì)是網(wǎng)絡(luò)安全人才之間的技術(shù)、思想、能力的競(jìng)爭(zhēng)，如何培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊(duì)伍成為亟須解決的問題。為解決這一問題，網(wǎng)絡(luò)攻防演練成為各企事業(yè)單位，乃至國家層面培養(yǎng)網(wǎng)絡(luò)安全人才的創(chuàng)新型培養(yǎng)模式。隨著各企事業(yè)單位網(wǎng)絡(luò)安全攻防演練工作的不斷演進(jìn)，以攻防實(shí)戰(zhàn)的形式檢驗(yàn)重點(diǎn)企事業(yè)單位的網(wǎng)絡(luò)安全能力逐漸常態(tài)化，各行各業(yè)在各自內(nèi)部也廣泛開展多種形式的網(wǎng)絡(luò)安全競(jìng)賽，以提升本行業(yè)本單位的網(wǎng)絡(luò)安全能力。為了給網(wǎng)絡(luò)安全人員提供一個(gè)用于攻防演練的平臺(tái)，網(wǎng)絡(luò)靶場(chǎng)[3]應(yīng)運(yùn)而生。

鐵路作為關(guān)鍵信息基礎(chǔ)設(shè)施[4]運(yùn)營單位之一，要承擔(dān)網(wǎng)絡(luò)安全主體防護(hù)責(zé)任，不僅需要可靠的網(wǎng)絡(luò)安全技術(shù)體系[5]，還需要大量的網(wǎng)絡(luò)安全人才，因此建設(shè)鐵路網(wǎng)絡(luò)空間靶場(chǎng)也勢(shì)在必行。本文立足《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》對(duì)網(wǎng)絡(luò)安全人員技能、意識(shí)、應(yīng)急處置等方面的規(guī)定，利用虛擬化技術(shù)對(duì)鐵路信息系統(tǒng)進(jìn)行深度仿真，設(shè)計(jì)穩(wěn)定實(shí)用、靈活部署、多角色參與的鐵路網(wǎng)絡(luò)空間靶場(chǎng)系統(tǒng)，為鐵路網(wǎng)絡(luò)安全從業(yè)人員及相關(guān)人員的教育、培訓(xùn)、考核、演練提供一個(gè)方便快捷的學(xué)習(xí)平臺(tái)。

1 總體架構(gòu)及網(wǎng)絡(luò)架構(gòu)

1.1 總體結(jié)構(gòu)

鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)總體架構(gòu)如圖1所示。依托鐵路自身網(wǎng)絡(luò)安全保障體系和鐵路相關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，以數(shù)據(jù)資源為核心，通過整合實(shí)體資源和虛擬資源，搭建底層基礎(chǔ)環(huán)境，并開放虛實(shí)資源調(diào)度接口以供數(shù)據(jù)控制層調(diào)用[6]。在數(shù)據(jù)控制層，將鏡像、場(chǎng)景、工具、課件等數(shù)據(jù)資源分門別類，并進(jìn)行統(tǒng)一管理、調(diào)度、運(yùn)行和監(jiān)控。業(yè)務(wù)功能層通過數(shù)據(jù)資源調(diào)度接口接收數(shù)據(jù)控制層的數(shù)據(jù)，以支撐安全實(shí)訓(xùn)系統(tǒng)、比武競(jìng)賽系統(tǒng)、靶場(chǎng)演練系統(tǒng)及其統(tǒng)一的綜合管理系統(tǒng)。

圖1 鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)總體架構(gòu)

1.2 網(wǎng)絡(luò)架構(gòu)

鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)網(wǎng)絡(luò)架構(gòu)，如圖2所示。

圖2 鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)網(wǎng)絡(luò)架構(gòu)

基礎(chǔ)設(shè)施區(qū)主要部署虛擬化資源池、資源調(diào)配系統(tǒng)及場(chǎng)景構(gòu)建系統(tǒng)，以提供基礎(chǔ)的數(shù)據(jù)資源及其調(diào)配和搭建[7]，形成基礎(chǔ)環(huán)境；平臺(tái)服務(wù)區(qū)部署系統(tǒng)服務(wù)器；綜合管理區(qū)部署平臺(tái)管理系統(tǒng)、共享管理系統(tǒng)和外部接入設(shè)備，對(duì)整體平臺(tái)進(jìn)行統(tǒng)一納管。

在用戶接入?yún)^(qū)，主要部署用戶側(cè)直接操作的設(shè)備。綜合管理區(qū)對(duì)應(yīng)綜合管理席位，依據(jù)權(quán)限管理原則，細(xì)分為系統(tǒng)管理員、任務(wù)管理員和審計(jì)管理員；平臺(tái)服務(wù)區(qū)對(duì)應(yīng)安全實(shí)訓(xùn)席位、比武競(jìng)賽席位、靶場(chǎng)演練席位，其中，安全實(shí)訓(xùn)席位主要分教師學(xué)員，比武競(jìng)賽席位主要分參賽隊(duì)員、導(dǎo)調(diào)裁判、觀摩，靶場(chǎng)演練席位主要為演練人員；基礎(chǔ)設(shè)施區(qū)對(duì)應(yīng)云管席位和場(chǎng)景搭建席位，云管席位對(duì)應(yīng)云管理員，場(chǎng)景搭建席位對(duì)應(yīng)場(chǎng)景管理員。

2 功能設(shè)計(jì)

2.1 功能架構(gòu)

鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)功能架構(gòu)如圖3所示，主要承擔(dān)以下任務(wù)。

圖3 鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)功能架構(gòu)

（1）為鐵路網(wǎng)絡(luò)安全相關(guān)人員提供一個(gè)教育培訓(xùn)和技能考核的網(wǎng)絡(luò)平臺(tái)，增強(qiáng)鐵路從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)，提升鐵路信息化和網(wǎng)絡(luò)安全從業(yè)人員的網(wǎng)絡(luò)安全技能水平。

（2）組織鐵路網(wǎng)絡(luò)安全相關(guān)人員進(jìn)行不同種類的技能大賽，既可以選拔不同專業(yè)的網(wǎng)絡(luò)安全人才，也可以激發(fā)從業(yè)人員的學(xué)習(xí)興趣和熱情，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全意識(shí)的宣傳。

（3）為鐵路網(wǎng)絡(luò)及網(wǎng)絡(luò)安全方面的新技術(shù)和新架構(gòu)提供一個(gè)可供科研的實(shí)驗(yàn)環(huán)境，以便于對(duì)其進(jìn)行測(cè)試和驗(yàn)證和驗(yàn)證[8]，從而進(jìn)一步優(yōu)化現(xiàn)有的網(wǎng)絡(luò)技術(shù)架構(gòu)，增加應(yīng)急演練儲(chǔ)備。

2.2 主要功能

鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)的3個(gè)系統(tǒng)分別立足自身核心功能，實(shí)現(xiàn)網(wǎng)絡(luò)安全人才培養(yǎng)的全流程無縫銜接。通過安全實(shí)訓(xùn)系統(tǒng)，以講授課程和實(shí)驗(yàn)課程為基礎(chǔ)，以考題測(cè)試作為鞏固手段，實(shí)現(xiàn)網(wǎng)絡(luò)安全從業(yè)人員從入門到進(jìn)階，形成網(wǎng)絡(luò)安全基本素養(yǎng)。再通過比武競(jìng)賽系統(tǒng)，以賽代練，使鐵路網(wǎng)絡(luò)安全從業(yè)人員得以在實(shí)戰(zhàn)中不斷提升自身水平，形成比學(xué)趕幫超的學(xué)習(xí)氛圍，同時(shí)實(shí)現(xiàn)鐵路網(wǎng)絡(luò)優(yōu)秀人才的選拔，逐漸培養(yǎng)出鐵路網(wǎng)絡(luò)安全專家。對(duì)于鐵路網(wǎng)絡(luò)安全專家來說，可以通過靶場(chǎng)演練系統(tǒng)，進(jìn)行鐵路自身網(wǎng)絡(luò)安全技術(shù)的探索和自研網(wǎng)絡(luò)安全設(shè)備的測(cè)試，并對(duì)自己開發(fā)出的新戰(zhàn)術(shù)，新技法進(jìn)行驗(yàn)證，進(jìn)一步提升鐵路網(wǎng)絡(luò)安全人員的整體水平。

2.2.1 安全實(shí)訓(xùn)

安全實(shí)訓(xùn)系統(tǒng)可進(jìn)行課程培訓(xùn)、專項(xiàng)培訓(xùn)、競(jìng)賽培訓(xùn)等，具備多維度的考核和評(píng)估能力，能夠通過實(shí)驗(yàn)課程、視頻教學(xué)、實(shí)操課件、理論題目等提高相關(guān)人員的綜合業(yè)務(wù)能力，準(zhǔn)確記錄各學(xué)員的學(xué)習(xí)日志，分析學(xué)習(xí)成績和進(jìn)度，監(jiān)管每個(gè)學(xué)員的學(xué)習(xí)過程，并可綜合學(xué)習(xí)歷程、考核成績、實(shí)踐成果等，形成實(shí)訓(xùn)效能圖譜，進(jìn)而直觀掌控實(shí)訓(xùn)效果。

2.2.2 比武競(jìng)賽

比武競(jìng)賽系統(tǒng)能夠?qū)Ω?jìng)賽、賽題、試卷、隊(duì)伍及人員等進(jìn)行管理，并能夠通過奪旗賽、攻防對(duì)抗賽、紅藍(lán)對(duì)抗賽等多種演練模式幫助各鐵路局集團(tuán)公司考核選拔網(wǎng)絡(luò)安全實(shí)用人才。

2.2.3 靶場(chǎng)演練

靶場(chǎng)演練系統(tǒng)通過虛擬環(huán)境與真實(shí)設(shè)備相結(jié)合的技術(shù)，并融合主機(jī)虛擬化、網(wǎng)絡(luò)虛擬化、數(shù)據(jù)采集、3D展示引擎等技術(shù)，構(gòu)建網(wǎng)絡(luò)空間環(huán)境，幫助各鐵路局集團(tuán)公司進(jìn)行網(wǎng)絡(luò)安全研究、人才培養(yǎng)、實(shí)戰(zhàn)演練、安全測(cè)試、效能分析、態(tài)勢(shì)推演等。

2.3 任務(wù)流程設(shè)計(jì)

鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)任務(wù)流程如圖4所示。

圖4 鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)任務(wù)流程

綜合管理席位是各項(xiàng)任務(wù)的起始點(diǎn)和終結(jié)點(diǎn)，根據(jù)三員管理的原則分系統(tǒng)管理員，安全管理員和審計(jì)管理員，其中，系統(tǒng)管理員在實(shí)際運(yùn)行過程中將承擔(dān)主要的系統(tǒng)運(yùn)行與維護(hù)工作，以及主營任務(wù)的制訂與反饋工作；安全管理員通過對(duì)系統(tǒng)用戶進(jìn)行身份驗(yàn)證，根據(jù)其身份進(jìn)行相應(yīng)權(quán)限的分配，任務(wù)演練席位的用戶獲得權(quán)限后方可執(zhí)行相應(yīng)權(quán)限的任務(wù)操作；審計(jì)管理員通過對(duì)系統(tǒng)管理日志、安全管理日志進(jìn)行審計(jì)，從而保障平臺(tái)安全穩(wěn)定運(yùn)行。

系統(tǒng)管理員在綜合管理員席位根據(jù)不同的任務(wù)需求，進(jìn)行相應(yīng)的任務(wù)制訂并派發(fā)給相應(yīng)的任務(wù)演練席位人員。系統(tǒng)管理員獲取演練人員執(zhí)行過程中的反饋，生成相應(yīng)任務(wù)的評(píng)估結(jié)果，形成完整的閉環(huán)流程設(shè)計(jì)。

安全實(shí)訓(xùn)系統(tǒng)管理員接收并制訂計(jì)劃培訓(xùn)任務(wù)，根據(jù)任務(wù)要求為教師和學(xué)員的提供賬號(hào)申請(qǐng)，并分別進(jìn)行相應(yīng)身份的任務(wù)下發(fā)，任務(wù)演練席位的教師和學(xué)員即可根據(jù)任務(wù)要求進(jìn)行培訓(xùn)、考試、實(shí)驗(yàn)等活動(dòng)，其執(zhí)行結(jié)果將自動(dòng)反饋至系統(tǒng)管理員。系統(tǒng)管理員根據(jù)活動(dòng)的執(zhí)行情況，對(duì)該任務(wù)的培訓(xùn)效能進(jìn)行評(píng)估。

比武競(jìng)賽系統(tǒng)管理員接收并制訂組織競(jìng)賽任務(wù)，根據(jù)競(jìng)賽任務(wù)的形式、人員、難易度進(jìn)行組織，可以設(shè)立紅隊(duì)，藍(lán)隊(duì)及導(dǎo)調(diào)/裁判組，比賽制訂后下發(fā)給所有參與者，參與者即可根據(jù)自身角色完成比賽，紅隊(duì)發(fā)現(xiàn)、偵察、攻擊，藍(lán)隊(duì)檢測(cè)、分析、防御，導(dǎo)調(diào)/裁判組根據(jù)賽程進(jìn)展情況對(duì)比賽結(jié)果進(jìn)行調(diào)節(jié)和裁定，也可單方面進(jìn)行相應(yīng)的模擬以供藍(lán)隊(duì)或紅隊(duì)進(jìn)行檢驗(yàn)評(píng)估。系統(tǒng)管理員通過接收賽程反饋，得到整體攻防能力的評(píng)估結(jié)果。

靶場(chǎng)演練系統(tǒng)管理員接收并制訂靶場(chǎng)演練任務(wù)，根據(jù)靶場(chǎng)演練的目標(biāo)，結(jié)合鐵路業(yè)務(wù)場(chǎng)景，搭建實(shí)驗(yàn)環(huán)境，將科研人員和測(cè)試人員指定后進(jìn)入系統(tǒng)，科研人員在靶場(chǎng)環(huán)境中進(jìn)行新技術(shù)、新架構(gòu)的驗(yàn)證，測(cè)試人員在旁側(cè)進(jìn)行校驗(yàn)環(huán)境內(nèi)部各個(gè)參數(shù)指標(biāo)，最終達(dá)到演練測(cè)試目標(biāo)。系統(tǒng)管理員根據(jù)反饋生成評(píng)估報(bào)告。

3 關(guān)鍵技術(shù)

3.1 軟件定義網(wǎng)絡(luò)

鐵路網(wǎng)絡(luò)場(chǎng)景類型復(fù)雜、異構(gòu)多樣、集群龐大，為了將鐵路局集團(tuán)公司內(nèi)部某些網(wǎng)絡(luò)場(chǎng)景進(jìn)行快速搭建，利用虛擬化技術(shù)，進(jìn)行高精度仿真，節(jié)約搭建所需時(shí)間、人力和物力，以滿足在原有架構(gòu)基礎(chǔ)上不斷改進(jìn)的需求。通過基于軟件定義網(wǎng)絡(luò)[9]的動(dòng)態(tài)組網(wǎng)技術(shù)將鐵路集團(tuán)公司多集群大規(guī)模網(wǎng)絡(luò)關(guān)鍵部分提取組合，將交換機(jī)、防火墻、服務(wù)器等設(shè)備關(guān)鍵性功能進(jìn)行仿真和虛擬化映射[10]，從而實(shí)現(xiàn)鐵路復(fù)雜網(wǎng)絡(luò)環(huán)境的復(fù)現(xiàn)。

3.2 基于角色的訪問控制

鐵路網(wǎng)絡(luò)空間靶場(chǎng)在運(yùn)行過程中，通過高并發(fā)實(shí)現(xiàn)多用戶進(jìn)入系統(tǒng)操作，為了做好安全方面的工作，防止非法訪問，則需要運(yùn)用基于角色的訪問控制技術(shù)，以實(shí)現(xiàn)靶場(chǎng)數(shù)據(jù)的保密性和完整性。在系統(tǒng)管理層面通過標(biāo)記各個(gè)角色的權(quán)限，進(jìn)行角色和權(quán)限的一對(duì)一映射[11]。角色在創(chuàng)建過程中權(quán)限已經(jīng)做好限定，任何越權(quán)操作都將會(huì)被阻止，同時(shí)，在日志審計(jì)中進(jìn)一步監(jiān)控訪問控制策略的執(zhí)行情況，最終保障鐵路網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)安全運(yùn)行。

3.3 自動(dòng)化多維度測(cè)試

根據(jù)鐵路員工個(gè)性化的需求，在結(jié)合鐵路評(píng)估方法的基礎(chǔ)上，構(gòu)建科學(xué)的評(píng)估模型，將神經(jīng)網(wǎng)絡(luò)[12]、決策樹等人工智能算法引入靶場(chǎng)平臺(tái)的測(cè)試評(píng)估過程，從而實(shí)現(xiàn)計(jì)算資源、存儲(chǔ)資源自動(dòng)調(diào)用，并關(guān)聯(lián)漏洞庫、知識(shí)庫等及時(shí)生成新的學(xué)習(xí)建議，同時(shí)結(jié)合武器庫內(nèi)的工具，自動(dòng)生成各類攻擊流量，實(shí)現(xiàn)對(duì)獨(dú)立設(shè)備級(jí)、系統(tǒng)集群級(jí)、體系架構(gòu)級(jí)等不同規(guī)模級(jí)別的鐵路網(wǎng)絡(luò)空間安全測(cè)試驗(yàn)證。

4 結(jié)束語

鐵路網(wǎng)絡(luò)空間靶場(chǎng)方案從鐵路網(wǎng)絡(luò)安全人才培養(yǎng)需求發(fā)出，以安全實(shí)訓(xùn)系統(tǒng)、比武競(jìng)賽系統(tǒng)、靶場(chǎng)演練系統(tǒng)為支柱，結(jié)合復(fù)雜異構(gòu)網(wǎng)絡(luò)復(fù)現(xiàn)、虛實(shí)設(shè)備混合組網(wǎng)、自動(dòng)化多維度測(cè)試技術(shù)，形成一套針對(duì)鐵路信息系統(tǒng)的網(wǎng)絡(luò)空間靶場(chǎng)建設(shè)方案。該方案以資源調(diào)度為核心，結(jié)合鐵路既有網(wǎng)絡(luò)架構(gòu)，通過靈活的部署方式，搭建多層次一體化的靶場(chǎng)平臺(tái)。該方案的實(shí)施，將能夠有效提升鐵路網(wǎng)絡(luò)安全人才的培養(yǎng)能力，進(jìn)而提升鐵路網(wǎng)絡(luò)整體防護(hù)水平。