网络空间安全试验场是进行网络空间安全研究、学习、测试、验证和演练必不可少的网络核心基础设施。分析对比国内外网络安全试验场的现状,提出了一种面向先进防御技术的网络安全试验场构建方法。该方法分析网络空间先进防御技术试验场的设计目标和具体需求,明确管理体系架构及规范标准,细化安全防护及技术体系,采用基于面向对象的思想构建面向网络空间先进防御技术试验场,可为网络空间先进防御技术的验证、改进和先进防御产品的开发试验提供支撑。
网络空间安全已成为国家安全中的突出问题,并引起国际社会尤其是西方发达国家的高度重视。网络靶场作为网络空间安全研究必不可少的核心基础设施,可以为各种网络技术、攻击防御手段和制定的安全性策略和方案提供定量和定性的评估,实现信息系统和信息化武器装备的技战术性能测试和作战效能评估,为信息安全主管机构评估网络信息系统的安全提供一个可信性、可控性、可操作性强的试验环境。
为了保证国家安全,加快向网络强国迈进的步伐,并在未来网络战中占据有利位置,世界各国均高度重视网络靶场的建设,将其作为网络安全技术验证、网络风险评估和攻防对抗演练的重要手段。
网络空间先进防御技术试验场是面向学术研究的一类网络靶场,2017年,邬江兴院士牵头“新形势下网络基础设施防护技术”项目,开展网络空间先进防御技术试验场建设相关研究,为网络空间先进防御技术发展建立了覆盖探索、试验、检测以及评估等攻防试验平台,从而加速了先进网络防御相关技术的完善和产品化。
目前,关于网络安全先进防御技术试验场的研究已取得了很多成果,但仍处于探索、不断完善的阶段。本文对国内外网络靶场展开研究,基于面向对象的思想,提出了一种网络安全先进防御技术试验场的构建方法,为先进网络安全防御技术、产品的验证和评估提供支撑。
01 相关研究
美国是全球最先开展网络靶场建设的国家,建设的靶场主要包括国家网络靶场(National Network Range,NCR)、下一代互联网靶场GENI和网络攻防实验床Emulab、PlanetLab及DETERlab等,以及惠普、英特尔和雅虎联合开发的“全球云计算试验平台”。这些靶场形成了可逼真复制军事、政府和商业网络等大规模多形态且其广域覆盖的网络环境能力,为美国网络空间安全研究部门提供了具有革命性意义的信息系统试验环境。
英国的网络靶场主要包括Ixia公司构建的Breaking point系统和Northrop Grumman公司构建的联邦网络实验靶场(Federal Cyber Range,FCR)。FCR被用来模拟大型复杂网络,并在安全可控的试验环境下进行基础设施生存能力和可靠性方面的网络试验及评估,以评价它们对网络攻击的承受能力。它可以与美国NCR连接,进行世界范围的高强度网络作战演习。
日本的情报通信研究机构(National Institute of Information and Communications Technolog,NICT)提出了“星平台(StarBed)”系统规划,能够提供大规模的网络试验环境用于评估真实场景下的新技术。
加拿大的维多利亚大学开发了“加拿大国家规模仿真实验室(Canada Case Laboratory,CASElab)”,提供云计算、大规模网络安全和保密等领域的核心研究能力,并为研究人员提供系统分析和仿真工具。
国内在网络靶场建设工作方面主要有国防科技大学、中科院计算所、CNCERT/CC、中科院信工所、中国电子科技集团、哈尔滨工业大学、北京邮电大学等科研院所,以及合天网安实验室和i春秋等公司。他们均建设了自己的网络靶场,在大规模网络仿真、大规模网络攻击行为场景仿真、网络攻击数据采集与安全效果评估以及系统安全管理等关键技术方面进行了突破性研究和技术积累。
02 需求分析
需求分析决定了试验场最终的构建方向,是试验场构建中的重要组成部分。构建网络安全的先进防御技术试验场的需求分析主要从能力需求、系统需求和技术需求3个方面进行考虑。
能力需求是设计、建设试验场的驱动力所在,为后继体系架构研究提出具体的要求,指导试验场建设。本试验场旨在为先进防御技术提供试验、测试与评估的试验平台,从能力上主要存在动态场景构建能力、试验任务管理能力、先进防御技术评估和测试度量能力、拟态防御系统及产品测评的能力4方面需求。
系统需求主要面向先进防御技术试验场功能,描述试验场用户为支持试验任务和实现能力而对试验场系统提出的一系列要求,主要包括系统动态重组和可扩展性的需求、系统运行机理和层次关系的需求、对安全防护的需求和对规范标准的需求。
技术需求要主要依据试验场系统需要实现的能力,结合系统架构方面的要求,分析在系统结构需求的框架内实现不同能力的技术实现途径,提炼出为确保试验场功能完整性必须具备的关键技术特征。
本试验场的主要实现技术需求包括试验管理技术、运维管理技术、采集评估技术和安全防护技术。
03 试验场构建
3.1 体系架构
本试验场采用双平面设计,按照可管可控可测、安全隔离和场景构建,实现从上至下试验管理平面和试验资源平面两个平面,结构如图1所示。
试验管理平面实现对管理、评估、监测、采集和目标模拟等试验资源进行试验管控、系统管理、数据管控等;试验资源平面由多种网络设备、终端设备、虚拟化设施和仿真集群等构成公用基础系统平台,提供试验和研究用的具体网络环境;隔离交换设备实现两个平面之间交互数据的隔离,阻止试验资源平面的攻防行为向管理平面扩散。
图1 试验场管理系统体系架构
本试验场借鉴HLA、DIS以及TENA等体系架构,采用开放性、扩展性和关联性技术。各试验环境内部试验模块可灵活编组,通过组态扩充、裁剪,适应不同规模、分布层级、部署编程与结构体系的系统验证运行;各试验环境之间可相互衔接,支持软硬系统综合集成试验;试验环境具有必要的对外互连能力,能够与其他相关系统在同一技术标准下实现互通,满足基于不同技术标准的系统接入与验证。
3.2 系统组成
本试验场主要基于面向服务(Service-oriented architecture,SOA)的思想,采用SDN/NFV等虚拟化技术,在统一共享的物理网络设施上,建立具备面向服务、动态重组、按需分发等能力的高动态、可重构的基础网络环境,支撑构建相应的网络应用和攻防场景。试验场的系统组成如图2所示。
该系统采用3+2的架构,其中3包括基础资源层、试验功能层和应用服务层,包含了试验管理运行的全部功能;2指标准规范和安全保障,前者为试验运行管理、过程管理、测试认证和系统扩展等提供标准规范,后者用于为试验系统的安全运行提供防护措施。
图2 试验场系统组成模块
先进防御试验场主要采用虚拟化技术、仿真技术等手段实现动态重构、按需分配的能力,通过建立资源抽象层为试验场的管理建立中间层,以屏蔽实体设备、虚拟设备和仿真设备进行配置管理的细节。基础资源层主要完成对计算资源、存储资源、网络资源、专用资源和数据资源等试验场软硬件试验资源的管理。试验功能层提供了试验管理、场景编排、剧情管理、数据采集、分析评估以及安全隔离等试验系统运行的基础功能服务。
应用服务层和试验功能层分离为不同试验目标提供最大的灵活性和扩展性,以满足试验用户差异化的需求。不同的用户可以根据自身的需要,调用试验功能层组件制定特定的试验服务。
在先进防御技术试验场中,根据当前建设的需求,主要有防御系统测评、先进防御技术验证、攻防演练、教学培训以及交互界面等几个方面的应用。
试验场标准规范为试验系统的建设、管理和试验提供操作规范和安全规程,以及为试验鉴定中的评估标准等提供依据,主要包括数据标准、设备标准、管理标准规范、安全审查标准、试验操作规范和鉴定评估标准等。
试验场管理系统面临来自外部系统和试验场本身的安全威胁,主要包括试验场景中可能溢出渗透的网络攻击和互联网的传统网络攻击。
本系统针对前者主要采用用户隔离、场景隔离和数据摆渡解决,针对后者主要采用加密传输、数据专线予以处理。
3.3 实现技术
从构建先进防御技术试验场技术层面看,涉及到系统运行管理、试验管理、采集评估、交互接口和安全防护5个方面的技术。
系统运行管理技术实现对先进防御技术试验场系统管理的支撑,为试验的开展提供运维、后台管理等服务,主要包括运维管理技术、试验场运行监控技术、异构设备自动化配置管理技术、分布式系统协同管理技术、子系统协作互联技术以及多试验场用户管理技术等。
试验管理技术可以分为试验过程管理、场景构建和剧情管理3个方面。试验过程管理指对试验过程的控制管理;场景构建由各种信息设备及其连接关系构成试验目标场景,通常在试验初始阶段已配置完成;剧情管理指在目标试验场景中的各种业务流量,模拟用户行为等。
采集评估技术涉及对试验过程数据的采集和分析评估,与试验构成整个试验过程的反馈回路,主要包括探针管理与部署自动化技术、全要素数据采集技术、多维量化评估技术、安全测试度量技术以及先进防御技术的测试评估技术等。
可视化交互是试验场进行管理、运维和开展试验的交互入口,通过研究图形化的管理和操作界面,为试验管理和操作人员提供简单易用的交互接口,主要包括场景部署可视化、剧情管理可视化、试验态势可视化、子系统管理可视化和运维管理可视化。
安全防护技术为试验安全运行、试验管理系统安全防护提供保障,分为基础设施安全防护和试验管理系统安全防护两个方面,主要包括全流量审计、全过程可控技术、攻击流量溢出检测技术、试验场安全威胁态势感知技术以及数据安全交换技术等。
04 应用实例
本试验场采用面向对象的分层设计思路。从应用角度看,不同的应用服务调度试验功能和完成资源配置的流程和原理相同。本节选取防御系统测评为例来加以说明,如图3所示,测试流程主要分为4个部分。
图3 防御系统测试流程
第1部分为试验准备阶段,主要完成试验场操作人员、参试人员等相关人员的身份认证,由试验功能层用户管理模块完成,以明确试验参与人员的权限和应遵循的规范。
第2部分为场景的创建阶段,由实验功能层场景编排模块完成,通过调度基础资源的虚拟化管理、SDN管理,完成计算资源、存储资源和网络资源的配置;通过调度数据资源管理完成试验中涉及的漏洞库和剧情库的配置;通过探针管理完成对试验目标所需探针资源的配置。
第3部分为试验进行阶段,由剧情管理和过程管理模块实现。其中,剧情管理模块通过调度SDN管理和数据资源管理,根据任务需求按时按需模拟红、蓝、绿三方行为和流量;过程管理根据试验操作指令完成试验场时间同步、场景复现等功能。
第4部分实现对整个试验阶段的信息反馈,由数据采集和分析评估完成。其中,数据采集从试验场探针中采集相应试验数据,经过预处理后进行分析评估;分析评估模块根据防御系统测评的需求,加载相应的评估模型,实时反馈评估结果给试验管理人员。
05 结语
本文分析国内外的靶场搭建,基于面向对象的思想,采用SDN/NFV等虚拟化技术,在统一共享的物理网络设施上,构建具备面向服务、动态重组、按需分发等能力的先进性防御技术试验场,为网络空间先进防御技术的验证、改进和先进防御产品的开发试验提供技术支撑,促进先进网络防御相关技术的完善和产品化。
作者简介
刘正军(1987—),男,博士,主要研究方向为人工智能、网络安全与知识图谱;
徐锐(1977—),女,硕士,研究员,主要研究方向为网络监测预警;
李春林(1984—),男,博士,主要研究方向为软件定义网络;
王冶(1992—),女,硕士,主要研究方向为先进性防御技术;
魏嘉男(1991—),男,硕士,主要研究方向为云平台构建技术。
选自《通信技术》2020年第二期 (为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。