摘? 要：高等院校網(wǎng)絡靶場要求能提供豐富的模擬設備，同時模擬多個分級分域的虛實互聯(lián)的實驗網(wǎng)絡環(huán)境，支持授權用戶在此環(huán)境中進行多種場景的實驗、測試和競賽，并能支持較大規(guī)模的應用安全訓練場景模擬。本文在網(wǎng)絡拓撲設計、節(jié)點模擬和環(huán)境構建上進行設計，并按院校的教學科研需求將靶場按三個維度進行驅動：分別是以課堂為基礎的模塊，自定義進度的安全挑戰(zhàn)，以團隊為基礎的動態(tài)練習，以此滿足高等院校建設網(wǎng)絡靶場的教學科研等需要。

關鍵詞： 網(wǎng)絡靶場;需求分析;架構;功能

Abstract： The cyber range of colleges and universities is required to provide a wealth of simulation equipment; simulate the virtual and real interconnected experimental network environment of multiple levels and sub domains at the same time; support authorized users to carry out experiments， tests and competitions in this environment; and support large-scale application security training scenario simulation. This paper conducts network topology design， node simulation and environment construction， and drives cyber range in three dimensions according to the teaching and scientific research requirements of colleges and universities. These requirements are related to modules used in classrooms， safety challenges of customized schedules， and dynamic practices of teams， so to satisfy teaching and scientific research requirements in the construction of cyber range in colleges and universities.

Keywords： cyber range; requirements analysis; framework; function

1? ?引言（Introduction）

隨著物聯(lián)網(wǎng)技術的發(fā)展，網(wǎng)絡深入到了社會生活的方方面面，從虛擬走向了實際的物理世界。伊朗核電事件和烏克蘭電廠事件標志著網(wǎng)絡安全已經(jīng)從信息泄露轉化成與人們的生命財產(chǎn)相關的國家基礎設施的安全，是一個關系著國家安全和主權、社會的穩(wěn)定的重要問題。

在這種網(wǎng)絡空間對抗形勢日趨嚴峻的情況下，基于網(wǎng)絡仿真與效果評估關鍵技術構建的網(wǎng)絡靶場意義就愈發(fā)顯得重要[1]。它能夠對網(wǎng)絡技術進行演示驗證、對網(wǎng)絡攻防武器裝備進行研制試驗和作戰(zhàn)試驗、對作戰(zhàn)效能進行定量定性評估、對網(wǎng)絡攻防技術人員進行訓練演練。

美國、日本、英國和加拿大等國均高度重視網(wǎng)絡靶場建設，將其作為支撐網(wǎng)絡空間安全技術驗證、網(wǎng)絡武器試驗、攻防對抗演練和網(wǎng)絡風險評估的重要手段。我國網(wǎng)絡安全問題嚴重，每年的經(jīng)濟損失達數(shù)百億美元，網(wǎng)絡靶場研究成果 如能很好地推廣，將惠及網(wǎng)絡安全相關企業(yè)及網(wǎng)民，可提高企業(yè)的核心競爭力及網(wǎng)民的安全意識與能力，從而極大的減少經(jīng)濟損失。因此，無論是從保證國家安全、維護社會穩(wěn)定以及產(chǎn)業(yè)發(fā)展、減少經(jīng)濟損失等方面，網(wǎng)絡靶場都具有廣闊的應用前景，具有很高的社會和經(jīng)濟效益[2]。

2? ?需求分析（Requirements analysis）

網(wǎng)絡靶場是針對網(wǎng)絡攻防演練和網(wǎng)絡新技術評測的重要基礎設施用來提高網(wǎng)絡和信息系統(tǒng)的穩(wěn)定性、安全性和性能，培養(yǎng)實戰(zhàn)型的網(wǎng)絡安全人才隊伍。網(wǎng)絡靶場的主要作用[3]包括：（1）網(wǎng)絡攻防武器評測驗證：新型網(wǎng)絡攻防武器研制出來之后，需要對其進行測試驗證，是否能有效攻破敵方防護系統(tǒng)，以及是否能有效保護我方目標系統(tǒng);（2）科學試驗和新技術驗證：網(wǎng)絡空間科研 人員研制出新的網(wǎng)絡協(xié)議，新型網(wǎng)絡設備，以及不同網(wǎng)絡新技術，在網(wǎng)絡空間上功能和性能如何，也需要進行驗證;（3）支持人員培訓與演練：隨著新型網(wǎng)絡攻防武器的研發(fā)，具體網(wǎng)絡安全人員能否有效掌握，網(wǎng)絡靶場可以對其進行有效的評估。

總結以上需求的共性，網(wǎng)絡靶場最基本的需求是模擬用戶需要的網(wǎng)絡環(huán)境并支撐網(wǎng)絡環(huán)境的運行，支撐用戶在模擬的網(wǎng)絡環(huán)境中完成用戶的任務，在任務完成后保存任務數(shù)據(jù)，釋放模擬的網(wǎng)絡環(huán)境占用的資源并支持資源的重用。 因此，從模擬對象和試驗任務兩個方面分析網(wǎng)絡靶場需求。

具體到校園環(huán)境，總結需求如表1所示。

3? ?特點分析（Characteristics analysis）

高等院校網(wǎng)絡靶場要求能提供豐富的模擬設備，同時支撐模擬多個分級分域的虛實互聯(lián)的隔離實驗網(wǎng)絡環(huán)境，并支持授權用戶在此環(huán)境中進行多種場景的實驗或者測試。網(wǎng)絡靶場支持大規(guī)模的網(wǎng)絡應用（訓練）場景模擬。通過在網(wǎng)絡拓撲設計、節(jié)點模擬和環(huán)境構建上的一系列設計，支持用戶構建大規(guī)模的網(wǎng)絡環(huán)境，以滿足網(wǎng)絡靶場模擬實際應用的需要。

在模擬試驗網(wǎng)絡環(huán)境方面，網(wǎng)絡靶場應在實物、虛擬機和容器三個層級提供各種類型的網(wǎng)絡設備和主機設備[4]，以滿足用戶對設備模擬的不同逼真度的需要，同時也提供流量和用戶行為模擬的支持。靶場也提供合作伙伴的模擬設備類型，便于實現(xiàn)模擬的精細化。

在試驗支撐上，網(wǎng)絡靶場按實驗準備、實驗運行和實驗收尾三個階段，采用訓練配置工具，提供實驗資源準備、實驗環(huán)境設計、實驗環(huán)境部署、實驗任務設計、實驗數(shù)據(jù)采集配置、實驗數(shù)據(jù)分析規(guī)則配置、人員管理、人員權限管理、環(huán)境訪問支撐、實驗態(tài)勢展示、實驗環(huán)境管控、實驗過程管控、銷毀實驗環(huán)境的支撐等。同時提供子網(wǎng)模板、環(huán)境模板和實驗模板，支持實驗人員復用網(wǎng)絡拓撲的設計和實驗的設計。使用子網(wǎng)模板和環(huán)境模板，便于實驗人員將典型的網(wǎng)絡結構存儲起來，從而降低了重構實驗的人工成本。

網(wǎng)絡靶場中的流量發(fā)生器可提供在實驗環(huán)境產(chǎn)生良性數(shù)據(jù)流量，并實現(xiàn)網(wǎng)絡中的設備運行狀態(tài)和流量的采集，節(jié)點采集內容包括節(jié)點的CPU、內存、硬盤利用率，文件變化情況、注冊表變化情況、端口開放情況、流量、網(wǎng)絡連接情況和進程變化等。

網(wǎng)絡靶場提供基于場景的評估模型，支持正確性評估和量化評估，并提供可自定義的分析規(guī)則定義，允許用戶根據(jù)需要編寫分析規(guī)則，利用采集數(shù)據(jù)進行分析評估[5]。網(wǎng)絡靶場基于網(wǎng)絡拓撲和采集數(shù)據(jù)的分析結果展示實驗態(tài)勢。網(wǎng)絡靶場提供豐富的基礎資源庫，包括鏡像資源、靶機資源、攻防軟件和典型攻防場景等，為實驗人員使用網(wǎng)絡靶場提供資源和使用的范例。

4? 架構設計與功能分析（Architecture design and function analysis）

4.1? ?介紹

院校環(huán)境的網(wǎng)絡靶場以需求確定、任務設定、資源配置、運行部署、實驗運行、數(shù)據(jù)采集和結果評估作為網(wǎng)絡安全實驗的業(yè)務流程展開，以支撐網(wǎng)絡安全實驗的整個生命周期。利用網(wǎng)絡靶場，可以快速構建大規(guī)模的網(wǎng)絡安全實驗環(huán)境，并展開相關的網(wǎng)絡安全實驗，在研究完成后可以釋放資源并再利用資源，同時系統(tǒng)提供的環(huán)境模板和實驗模板功能可以直接重構實驗，從而為分階段的周期性實驗提供了便利。

4.2? ?技術架構

網(wǎng)絡靶場的技術架構如圖1所示。

此架構提供了一種側重于操作的方法，通過角色和任務來測試個人和網(wǎng)絡防護團隊的技能和能力。在這個框架中，每個用戶都可以分配到一個學習計劃，這個計劃為衡量個體的熟練程度和整體進步提供獨特的評分方法。

利用上面圖中所示的框架，可以推動學生的網(wǎng)絡防御能力形成。整個靶場可以按三個維度進行驅動：分別是以課堂為基礎的模塊，自定義進度的安全挑戰(zhàn)，以團隊為基礎的動態(tài)練習。

（1）基于課堂基礎知識的實驗模塊覆蓋四個層次，如表2所示。

（2）自定義的安全挑戰(zhàn)涉及的五個主題類別，如表3所示。

（3）基于團隊的動態(tài)訓練內容，內容描述如表4所示。

5? ?結論（Conclusion）

高等院校自行開發(fā)網(wǎng)絡靶場的優(yōu)劣勢分析：自行搭建基于校園環(huán)境的靶場的主要優(yōu)點是可以完全自行定制，讓它更符合學生，院系及課程的要求，建設團隊自己從底層開始搭建自己的定制化靶場，最終建成的網(wǎng)絡靶場應更符合最初的計劃和設想，并且更加適合院校使用。但更多的實踐告訴我們：網(wǎng)絡靶場的復雜性，要完成任務的數(shù)量將變成沉重的負擔，同時隱性費用的也將持續(xù)不斷上升。高等院校自建靶場對建設團隊在專業(yè)能力，實戰(zhàn)經(jīng)驗方面都有著很高的要求。

參考文獻（References）

[1] 方濱興，賈焰，李愛平，等.網(wǎng)絡空間靶場技術研究[J].信息安全學報，2016，1（3）：1-9.

[2] 李建華.多元化多層次網(wǎng)絡空間安全人才培養(yǎng)創(chuàng)新與實踐[J].信息安全研究，2018，4（12）：15-24.

[3]韓衛(wèi)國，徐明迪.面向賽博空間的網(wǎng)絡靶場建設思路[J].計算機與數(shù)學工程，2015（8）： 103-108.

[4]程靜，雷璟，袁雪芬.國家網(wǎng)絡靶場的建設與發(fā)展[J].中國電子科學研究院學報，2014（5）：446-452.

[5] 李秋香，郝文江，李翠翠.國外網(wǎng)絡靶場技術現(xiàn)狀及啟示[J].信息網(wǎng)絡安全，2014（9）：63-68.

作者簡介：

張月紅（1975-），女，碩士，副教授.研究領域：滲透測試，漏洞挖掘，WEB安全.