【摘 要】 随着网络安全威胁技术持续发展,威胁影响日益加深,熟练掌握应对安全威胁技能的专业技术人才成了当前社会的刚性需求,而培养高素质网络安全人才离不开网络靶场的支撑。本文主要从技术体系、分类和发展趋势等方面对面向人才培养的网络靶场进行了分析和研究。
【关键词】 网络靶场 人才培养 技术框架 发展趋势
1 引言
由于网络安全威胁越来越复杂,越来越具有针对性和持久性,给网络系统安全带来了愈加严重的威胁。抵御越来越复杂的网络威胁不能单纯依靠各式各样的网络安全产品,还必须有训练有素的专业技术人员,根据网络安全态势适时地采取相应的安全防御措施。这就要求专业技术人员必须具备丰富经验和专业知识。网络靶场是帮助网络安全人员提升应对网络安全威胁所需技能和经验的有效手段。网络靶场能够模拟实际的网络安全威胁场景,提供可让网络安全人员扮演多种不同角色的训练环境,为了解安全漏洞利用技术、消除安全威胁影响等,提供实际经验。
网络靶场可以为网络安全管理人员培养其在威胁发生前、威胁发生中和威胁发生后采取有效行动能力提供支撑。在威胁发生前,网络靶场可以提供构建有效安全架构所需的技能,包括部署防火墙、入侵检测、访问权限分割等。在威胁发生中,网络靶场可以提供检测早期告警信息及深入了解网络安全威胁所需技能。在威胁发生后,网络靶场可以提供清理和修复威胁影响所需技能,如追踪威胁路径、修复安全漏洞、消除威胁影响等。
2 网络靶场技术体系
2.1 网络靶场概述
网络靶场是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品,为实现与网络安全相关的学习、研究、检验、竞赛、演习等活动提供支撑,从而提高人员及机构的网络安全对抗能力与水平。通过网络靶场,可实时评估网络安全攻防进程及态势,为网络安全训练提供实时反馈,增加训练的针对性和价值。
网络靶场的概念内涵非常广泛,在线网络攻防学习环境、网络安全竞赛平台、网络安全技术测评研究平台、城市级甚至国家级的网络攻防演练平台等,都可以归属于网络靶场的范畴。在这些可以被称为网络靶场的环境与平台中,也存在着很大的差异,如规模量级差异、模拟环境复杂度差异、应用场景差异、环境模拟逼真度差异等。
网络靶场作为支撑网络空间安全的技术验证、装备试验、技能训练、攻防演练和风险评估的重要基础设施,已成为网络安全领域技术发展和人才培养的重要支撑手段[1]。
网络靶场系统中一般会包含若干团队,每个团队在靶场中都具有自己的角色定位。到目前为止,网络靶场已经发展到了7种不同的团队角色,如表1所示。各种团队角色有不同的角色定位,有些角色还可以由智能化软件实现自动化,代替真实的人来完成相应的角色功能。
2.2 网络靶场技术框架
2020年6月,美国国家标准与技术研究院(NIST)发布《网络靶场指南》,围绕网络安全教育、认证和培训等领域,给出了一种网络靶场的技术框架,如图1所示。该技术框架基于靶场学习管理系统(RLMS),将网络靶场划分为编排层、底层基础架构层、虚拟化层和目标基础设施层4个层次[2]。
(1)编排层。该层从RLMS输入信息,负责将网络靶场所有技术或服务组件整合在一起,便于底层基础设施、虚拟化和目标基础设施的网格化,支持公有云、私有云和专用硬件基础设施的动态网络靶场扩展。
(2)底层基础架构层。该层主要由网络、服务器和存储承载网络靶场数据和信息的基础设施构成。网络靶场基础设施可以是通用的硬件,也可以是虚拟化设备或云,也可以是专用的定制硬件。考虑可伸缩性、成本和可扩展性等需求,网络靶场的底层基础架构逐步转向基于软件定义网络(SDN)技术的虚拟基础架构。
(3)虚拟化层。大多数网络靶场都希望通过某种程度的虚拟化来缩小物理设备的覆盖范围。实现虚拟化的方法主要有2种,基于虚拟化管理程序和基于软件定义的基础结构。
(4)目标基础设施层。该层是模拟生成的目标网络场景的基础设施。较完善的网络靶场包含商用服务器、存储、端点、应用程序和防火墙的配置文件等要素。根据需要,目标基础结构可以由RLMS利用生成脚本来指示编排层创建。生成脚本一般包括特定于目标机的配置信息,如IP地址信息、路由信息、应用软件等。