美国率先开展了国家级网络空间靶场、军用级网络空间靶场等多种类型网络空间靶场的建设,旨在确保美国在网络空间领域处于领先地位。本文将对美国国家级、军用级网络空间靶场建设情况进行介绍。
美国国家网络空间靶场建设情况
美国国家网络空间靶场(National Cyber Range,NCR),于2008年由美国国防部高级研究计划局(DAPRA)牵头主导建设,是开展网络攻击与防御有效性评估、网络武器有效性评估、网络部队训练、网络任务演习、网络战术/技术/过程(TTP)开发的基础设施。
该项目最早在2008年5月5日公布的机构公告DARPA-BAA-08-43中提出,是DARPA为美国《国家网络安全综合倡议》(CNCI)提供的一个“测试平台”。该项目分为4个阶段实施:初步概念设计阶段、靶场原型建设阶段、系统集成阶段和部署应用阶段。在第一阶段,DAPRA采用向多家单位征集设计方案的方式以期望可以获得创新性的体系设计以解决国家网络空间靶场构建的技术和工程难题。DAPRA在2009年1月8日授出第一阶段总价值3000万美元的合同,最终共有7家单位获得合同,其中洛克希德·马丁公司提出的基于“灵活自动网络试验靶场”(FACTR)概念和“网络科学方法”(CSM)的设计方案与约翰·霍普金斯大学提出的基于靶场级命令与控制系统(RangeC2)安全体系结构和CMAC靶场资源的自动化清洗系统的设计方案,获得了DAPRA的认可。2010年1月8日,DAPRA授出第二阶段总价值5500万美元的合同,用于国家网络空间靶场原型的设计与建造,承包商即为洛克希德·马丁公司和约翰·霍普金斯大学。2012年10月,美国国防部(DOD)实验资源管理中心(TRMC)正式从DARPA接管NCR,标志着NCR从实验室演示阶段正式进入部署应用阶段。TRMC负责将美国国防部测试、培训和试验的能力“操作化”,为美国国防部、陆海空三军和其他政府机构服务,提供虚拟环境来模拟真实的网络攻防作战。
TRMC接管NCR之后,NCR主要由洛克希德·马丁公司负责运营和维护。2012年11月TRMC授予洛克希德·马丁公司一份为期5年价值8000万美元的合同,以继续为国家网络空间靶场(NCR)项目提供硬件和软件支持。从2012年到2019年,洛克希德·马丁公司先后多次获得NCR项目相关的合同。最近的一次是2019年11月,洛克希德·马丁公司获得了一项总价值9300万美元的NCR合同W900KK-20-D-0001,为国防部提供网络安全测试和评估能力,以及为国防部网络任务部队(CMF)提供培训、认证和演练能力,该合同预计2021年11月19日完成。
为了满足不断增长的网络安全测试评估需求(T&E)和网络任务部队(CMF)培训认证需求,2016年TRMC启动了一项通过创建多个类似于“国家网络空间靶场(NCR)”的设施组成互连综合体来提高美国“国家网络空间靶场”容量的计划,这个计划被称为国家网络空间靶场综合体(National Cyber Range Complex,NCRC)。目前,在NCRC计划中扩充了3个新的美国“国家网络空间靶场”节点,分别位于南卡罗来纳州查尔斯顿、马里兰州Patuxent River和佛罗里达州埃格林空军基地。随着NCRC的招标结束,新建的三大美国“国家网络空间靶场”节点正陆续构建并交付使用。2020年12月,网络安全专业团队在位于大西洋海军信息作战中心(NIWC)的NCRC查尔斯顿站点的NCRC网络红区举办了夺旗(CTF)竞赛,该竞赛持续48小时共35支队伍参加。
NCR使用多个独立安全级别的体系结构支持不同安全级别的多个并发测试,能够快速模拟复杂的具有作战代表性的网络环境,自动化高效率地支持复杂的网络活动,并能够清理与恢复环境到干净状态,通过支持开发、作战试验鉴定、信息保障、合规性、恶意软件分析等不同类型的活动,满足不同用户群测试、培训、研究的需求。NCR主要组成元素包括基础设施、封装架构与操作流程、集成网络活动工具集、与JIOR和JMETC的安全连接以及一流的网络测试团队。
NCR采用自动化框架,通过自动化执行测试流程,最小化部署时间和人为产生的错误。自动化执行的主要步骤包括:(1)资源分配,确定需要资源池中的哪些资源并进行分配;(2)自动化流程,从资源库中拉取自动化组件或根据需求生成自动化组件;(3)环境部署,创建测试环境;(4)环境验证,确认所有的组件部署正确;(5)流量生成,配置和部署用户流量生成仪并生成用户流量报文;(6)执行测试,即根据任务的特定需求执行测试;(7)清理资源,即释放资源并重新放回资源池。
近年,美国国防部持续推进“向左移(Shift Left)”战略,目标是在采办项目周期中尽早引入网络安全试验鉴定,以避免在开发生命周期结束时进行高成本集成。在最新的美国国防部网络安全试验鉴定指南中,描述了与DoDI 5000.02采办项目生命周期相一致的网络安全实验鉴定各阶段操作流程,主要包括6个步骤:(1)分析理解网络安全需求;(2)描述网络攻击的外层途径;(3)协同漏洞识别;(4)对抗性网络安全的开发试验鉴定;(5)协同脆弱性和渗透性评估;(6)对抗性评估。
作为美国国防部关键基础设施,NCR在以上采办项目的网络安全试验鉴定过程中都要提供网络靶场服务,包括支持网络安全架构的评估、进行网络安全验证和确认、联合蓝方进行任务线程测试、在真实的威胁环境与红方进行任务线程测试、提供大规模的模拟环境来训练网络任务部队、评估网络防御和攻击的作用。
美国军事网络空间靶场建设情况
(1)国防部网络空间安全靶场
美国国防部网络空间安全靶场(DOD Cybersecurity Range,CSR)是美国国防部信息系统局(DSIA)组织建设的一个专门模拟美军国防网络环境的测试与评估靶场。CSR作为美国国防部管理的四大靶场之一,可与其他三大靶场NCR、JIOR和C5AD进行互联互通和资源共享。
CSR前身是2010年美军组建的信息保障靶场(DoD Information Assurance Range,DoD IA Range,IAR)。2014年美军将“信息保障”重新定义为“网络安全”,该靶场的名称也随之变更为国防部网络空间安全靶场(CSR)。
CSR最初的使命是基于构建的CSR靶场通过安全演习、安全测试与评估、培训国防部网络运维人员来提升国防部信息网(DoD IN)的安全防御能力。该靶场目前真实地重建了国防部信息网环境,包括分布于全球的美军基地的国防信息基础设施节点,以及各军种作战网络、军事卫星网和联合战术无线网络,支持网络空间事件的复现,提供对网络空间事件的直接指挥控制以及观察能力,支持红队/蓝队对抗演习,帮助用户快速熟悉靶场及作战环境,验证预先制定的计划并生成配置变更,评估并验证各种战术、技术与程序和网络安全/计算机网络防御工具,支持渗透测试以及突发事件响应等。
(2)美军联合信息作战靶场
美军联合信息作战靶场(Joint Information Operation Range,JIOR)于2003年为满足信息安全力量建设的需要而启动,是最早的体系化平台化靶场。目前由弗吉尼亚州美军联合参谋部J7处管理,是基于真实的美军各基地网络测试环境构建的全球实弹信息作战靶场综合体,可提供联合网络空间作战试验环境。该靶场支持各作战司令部、各军种和国防部各机构在信息作战和网络间任务领域进行战术、战役和战略级的训练和试验,并可与国家实验室、美国国防部和各军种的网络空间靶场连接。
JIOR具备安全的可扩展可移植的网络测试隔离环境,具备分布式部署和接入能力,其在现有的传输网络上利用加密隧道技术接入分布于不同地域的美军各单位的网络安全测试环境,测试人员可随时随地远程接入环境进行网络安全测试。该靶场可通过一系列安全工具和资源库构建持久环境和战术事件环境,用于美国国防情报局和美军作战司令部认可的安全培训和测试。
目前美军联合参谋部联合信息作战靶场的足迹也扩展到民用领域(如国民警卫队、政府机构、安全联盟等),在多个国家的美军基地均有部署接入点。截至2020财年,JIOR全球共有145个接入点,未来还将建设31个接入点。
(3)持续网络训练环境
持续网络训练环境(Persistent Cyber Training Environment,PCTE)由美国国防部于2016年指定美国陆军牵头建设,用于向国防部网络任务部队提供标准化培训能力。PCTE使美军网络任务部队能够访问现有的网络培训靶场以及可用的培训资源,进行个人、团队以及部队级的训练,并提供点对点规划、准备、执行和评估若干网络训练场景的服务,充当大型网络演练的场景基础,从而实现网络任务部队的实时虚拟环境培训。PCTE能够为训练提供可变条件,以提高网络空间作战部队的战备力和杀伤力,同时使训练管理过程标准化、简单化和自动化。
该项目是继国家网络空间靶场后美国国防部又一重量级的网络空间靶场建设项目,目前由美陆军模拟、培训和仪器计划执行办公室(PEOSTRI)管理。经过4年的建设,PCTE于2020年2月向网络司令部交付了该项目的第一版,并于2020年6月在网络司令部年度一级演习Cyber Flag中首次使用了该环境。新冠肺炎疫情期间,远程访问PCTE平台的使用量激增,于是在2020年秋季,PCTE向网络任务部队交付了提高计算能力和用户能力的第二版。
近十年,网络空间靶场在网络安全相关活动中的应用领域与应用频率呈现逐渐上升趋势。从美国的几个重要国家级和军用级靶场的建设情况可以看出,美国经过多年的网络空间靶场体系化建设,已经逐步形成了从综合到专业、军民融合、功能定位互补,可互联互通、资源共享的网络空间靶场体系。(李伦 ,王曦等)
声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。