美国国家网络靶场系统架构与设计原理剖析

总论

美国“国家网络靶场”(NCR)是美军研发的网络安全试验与演练评估靶场,主要为模拟真实的网络攻防作战提供虚拟网络环境,并针对敌对网络攻击等作战手段进行网络安全试验。该网络靶场最初由国防高级研究计划局在2008年5月1日开始筹建,于2013财年移交给国防部试验资源管理中心运行管理。2016年,美国试验资源管理中心(TRMC)进一步加大了国家网络靶场投资与建设规模,不断扩大其在武器系统采办项目中的网络安全试验鉴定功能,以及作战部队网络训练演习评估规模。为了满足对网络安全测试和评估(T&E)和国防部(DoD)网络任务部队(CMF)培训和认证不断增长的需求,美国试验资源管理中心经过一项NCRC计划,通过创建类似于美国“国家网络靶场”的设施的互连综合体来提高美国“国家网络靶场”的容量,这个计划被称为NCRC。这些新的美国“国家网络靶场”节点位于:南卡罗来纳州查尔斯顿、马里兰州Patuxent River和佛罗里达州埃格林空军基地。目前随着NCRC的招标结束,新建的三大美国“国家网络靶场”节点正陆续构建并交付使用。

本文是作者搜集整理了多份与美国“国家网络靶场”相关的原始文献,对美国开展“国家网络靶场”涉及到的网络靶场系统架构与设计原理等内容进行了深入的分析研究和归纳总结的结果。通过对美国“国家网络靶场”系统架构与设计原理的初步认识,进一步加深和理解网络靶场系列发展和演进的真实内核,为我国建设网络靶场提供有益参考。总的来看,美军研发的网络靶场是建立在对网络空间威胁规律深刻认识基础之上,有着全面制胜未来网络攻防对抗作战的针对性与目的性,应引起我们的高度重视与深入研究。

在构建国家网络靶场之前,美国已经建成了多个用于网络安全试验和评估的小型、分散式网络靶场。目前在美军战略司令部手中的美军大型网络靶场包括美军战略司令部联合网络空间靶场(JCOR),在美国国防部管辖下的大型网络空间靶场包括弗吉尼亚州美军联合参谋部J7联合信息作战靶场(JIOR)以及隶属于美军联合参谋部J6的指挥、控制、通信和计算评估(C5AD)靶场。除了上述靶场以外,美各军兵种还根据自身需求建立了各自的靶场,包括:海军的战术赛博靶场、陆军赛博靶场、海军网络空间作战靶场(NCOR)等。这些小型、分散式网络靶场为美军每年实施超过100次与网络作战相关的试验评估活动;但是这些网络靶场的规模和所使用的网络安全试验技术,同美军作战要求及满足信息技术的发展仍有很大差距。首先是这些小型的网络靶场针对的对象是有限的,并且由于当时技术的限制,通过以虚拟且有限的用户行为目标,按照这种方式构建的网络试验环境和模拟的试验对象与真实情况相差甚远,所获得的试验结果难以做到真实可信。其次,要获得逼真的网络试验环境,以当时具备的条件,必须大量配备计算机设备和试验人员来模拟大规模网络,这就会使网络试验环境的真实性同所消耗的人力物力呈指数增长的关系,在可行性上面临很大障碍。再次,就是试验事件的不可重复性即通用性不强,如果所测试的网络类型不同,则需要针对不同类型的网络,重新配置网络结构并配备管理人员,这给大规模、多批次网络试验的快速实施带来了困难。

国家网络靶场不但需要解决上述小型、分散式网络靶场的不足,还要保障对抗日益增长的针对美国政府与国防领域网络基础设施的网络攻击以及自身的网络安全试验评估需求。这就带来了技术及工程上的挑战!为了创新性的解决技术及工程构建问题,负责执行的国防高级研究计划局(DARPA)将国家网络靶场建设规划为4个阶段来完成。2009年1月7日,国防高级研究计划局授出第一阶段总价值3000万美元的合同,第一阶段进行靶场的初步概念设计,以期获得创新性的体系设计解决国家网络靶场构建的技术和工程难题。第一阶段共有7家单位获得承包合同,每家单位均提交了自己详细的靶场初步概念设计构想,其中洛克希德·马丁公司和约翰·霍普金斯大学两家单位提交的靶场初步概念设计构想脱颖而出,其提出的网络靶场初步设计概念获得国防高级研究计划局的认可。在洛克希德·马丁公司提出的初步概念设计构想中,针对当前网络试验的人工操作过多,试验不可重复以及试验结果不可信的问题,创造性的提出“灵活自动网络试验靶场”(FACTR)概念和配套的“网络科学方法”(CSM)。其中,“灵活自动网络试验靶场”(FACTR)概念用于解决网络靶场在网络试验的人工操作过多,试验不可重复的问题,配套的“网络科学方法”(CSM)通过科学的试验方法,解决试验结果不可信的问题。约翰·霍普金斯大学则利用自身学术理论的体系架构设计优势,创造性地提出了靶场级命令与控制系统(RangeC2)的安全体系结构及CMAC靶场资源的自动化消毒系统,很好的解决了国家网络靶场安全隔离、自动化组网及自动化资源消毒的问题。美国国防高级研究计划局结合两家的优势理论和体系架构设计,认为可初步建立国家网络靶场的配置与运行体系,保障国家网络靶场的目标具有可实施性。于是在2010年1月8日,国防高级研究计划局授出总价值5500万美元的第二阶段发展合同,承包商是洛克希德·马丁公司和约翰·霍普金斯大学,负责国家网络靶场原型机的设计与建造。其中洛克希德·马丁公司获得3000万美元,约翰·霍普金斯大学获得2500万美元。

本文将根据国家网络靶场建设规划的阶段,依托洛克希德·马丁公司和约翰·霍普金斯大学的国家网络靶场相关原始文档进行分析,对洛克希德·马丁公司提出“灵活自动网络试验靶场”(FACTR)概念,并研发的“动态自动化靶场技术”(DART)和配套的“网络科学方法”(CSM)和约翰·霍普金斯大学的靶场级命令与控制系统(RangeC2)的安全体系结构及CMAC靶场资源的自动化消毒系统进行剖析,并总结归纳国家网络靶场的配置与运行体系。初衷在于,目前我国靶场的理论架构设计体系尚未跳出虚拟化的内核,尚不能覆盖网络空间建模、攻防对抗建模及效能评估建模。

未来的战争,对抗各方不但依托网络空间围绕保持己方网络空间行动自由并限制对方网络空间行动自由而展开激烈对抗,而且还要借由网络空间制权向陆、海、空、天等作战空间实施跨域作战。在典型的网络空间作战行动案例中,美军打击ISIS行动实施的战术层级进攻性网络空间作战首次证实了网络空间作战制网权及跨域作战的理论实践。网络战已成为未来战争绝不会缺席的组成部分。作为风险验证、作战训练、攻防模拟、装备试验等重要网络战争研究发展的重要工具,网络靶场已经不是想不想搞的问题,而是必须去解决,以及如何去解决的关键问题了。

声明:本文来自时间之外沉浮事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。