在“网络战”背景下的围绕全球信息空间的新一轮竞争较量中,各国均把信息安全专业人才的培养作为核心战略。我国在从“网络大国”向“网络强国”转变的过程中,需要多元化、多层次的网络空间安全人才培养体系。但是,目前的人才培养存在体系单一、模式固化、实践教学不强等问题。因此需要对多元化、多层次网络空间安全人才培养创新与实践进行分析和研究。在对国内外人才培养现状进行总结的基础上,对多元化、多层次网络空间安全人才培养创新理念和模式进行研究,进而对网络安全靶场综合实践平台的建设模式和关键技术进行分析,最后对人才培养创新与实践的发展趋势进行了展望。多元化、多层次的网络空间安全人才培养模式对新的网络空间态势下的安全人才培养具有良好的理论和应用价值。
网络安全是互联网发展的前提和基础。近年来随着“棱镜”等事件的曝光,世界各国均开始高度重视网络空间安全。我国面临的网络安全方面的任务和挑战日益复杂化和多元化。已有50多个国家发布网络安全战略,40多个国家组建了网战部队。2013年以来,我国政府采取了一系列重大举措加大网络安全和信息化发展的力度。在“网络战”背景下, 为保证国家信息基础设施的安全,离不开先进的网络安全技术,但更本质的是高级信息安全人才之间的较量,信息安全人才的培养和储备是决定“网络战”的核心关键,但信息安全人才的培养需要经历多年实战经验的历练。一方面,包括我国在内的各个网络大国和强国积极建设多元化、多层次的网络空间安全人才培养体系,全方位覆盖学历教育、继续教育、科普教育等方面,为实施国家安全战略,加快网络空间安全高层次人才培养。另一方面,网络靶场的建设也成为支撑网络空间安全人才培养的重要实践平台及网络空间安全技术验证、网络武器实验、攻防对抗演练和网络风险评估的重要手段[1]。“靶场”是指对攻防武器练习的环境,最早用于军队部门。因此,网络安全靶场是计算机网络操作者可以练习诸如渗透测试、防御网络、加强关键基础设施和响应攻击等技能的环境。
网络靶场综合实训平台是一种为各类用户提供科研和实验支持的环境,涵盖了军民结合的各个领域[2]。它具有规划和演示网络空间安全系统、演示和验证网络安全防御技术、评估系统安全性的能力。行业、任务和应用分别是网络靶场3个体系层面[3]。该平台所能提供的信息安全公共服务能力主要包括:面向信息安全高级专业人才培养的工程实践服务能力、面向社会的大规模继续教育实训服务能力、面向企业的科研工程化资源协同共享服务能力以及网络靶场的设计与建设能力等。
目前,关于网络安全靶场综合实训平台的研究已经收获颇丰, 但仍需要进一步的发展。
1 网络空间安全人才建设现状
1.1 多层次网络空间人才分类
在网络安全领域,各国普遍在建设多层次的网络安全人才培养体系。在网络空间安全领域,人才可分为非专业级、准专业级和专业级。非专业级主要是技术工和辅助工,这类人才可从事网络空间安全相关工程领域;准专业级包含技术工程师和技术员,这类人才可从事网络空间安全相关科学、工程的初步调研、系统研制等工作;专业级主要是指科学家(工程及其他应用科学家)和工程师。科学家负责探索有关网络空间安全的新知识,研究其原理和方法。工程及其他应用科学家负责探索网络空间安全相关人工物的新知识。工程师研究开发网络空间安全相关的应用系统,研究开发方法,设计创造有用的产品、过程和服务。如图1所示:
图1 多层次网络空间安全人才分类
不同类型人才的培养对应不同的教育制度以及不同的鉴定制度。
1.2 各国网络空间安全人才培养体系建设
目前各国普遍从管理、立法、产学研等方面高度重视网络安全人才培养体系的建设。
1.2.1 美国:多层次、广覆盖的培养体系
在学历教育方面,美国高度重视通过正规学校系统教育培养网络安全人才,已经将网络安全教育体系嵌入到不同学龄,甚至是幼儿阶段。同时,加强对青少年网络安全人才的培养和发掘是美国网络安全人才的基本理念。高等学校在培养专业人才的同时,注重对网络安全科学研究能力的培养,形成了教学与科研双轮驱动的教育模式。
在社会培训方面,美国政府早在1998年就开始实施针对信息系统和网络基础设施安全保障的培训和认证计划,从多方面接入网络安全培训和教育工作[4]。目前,美国社会已经建成面向不同领域的培训体系。
1.2.2 欧洲:专业教育和全民普及相结合
欧盟已制定网络安全人才战略规划,2013年2月发布了《网络安全战略》。各成员国要在国家层面重视网络安全方面的教育与培训。同时要求学校要开展网络安全培训,对计算机科学专业学生进行网络安全、网络软件开发以及个人数据保护的培训,对公务员进行培训。另外,还加强高校对网络安全专家的培养。例如:英国政府为提高网络安全教育质量和教学水平,满足社会对网络安全专家的需求,加强了高校硕士专业认证[5]。
另一方面,欧盟注重提升全民网络安全意识.欧盟各成员国在欧洲网络和信息安全局(ENISA)的支持下,从2013年起每年组织1次私营行业参与的网络安全月活动,以提高用户的安全意识。
1.2.3 日本:整合政府、企业和高校的资源
日本通过以下几个方面来加强网络空间安全人才培养。首先,日本已通过《网络安全基本法》实现立法保障。日本国内大学开始致力于培养可以应对网络攻击的人才,在大学开设的课程中,介绍对此类法令及企业遭受网络攻击的案例,同时将该课程设为所有入学者的必修科目。其次,在专门学校设立网络安全科。在进行网络设计、构造技术学习的基础上,对病毒防治、加密、身份认证等多种信息安全技术进行学习。培养运用高新的技术从黑客以及网络恐怖主义中保护企业以及人民的人才。最后,加强政府、企业、科研机构、高校联合。日本的经济产业省、国立产业技术综合研究所、相关高校都在加强联合培养网络空间安全人才的力度。
1.2.4 我国:有一定基础,体系有待完善
截至2013年,教育部批准全国共96所高校设置信息安全类相关本科专业,其中信息安全专业85个,信息对抗专业17个,保密管理专业12个,已经培养信息安全类专业本科毕业生约1万人/年[6]。由于目前我国信息安全学科建设规模小、水平低,远远满足不了信息安全产业发展对高层次专门人才的需要,导致了我国信息安全关键工程技术整体上比较落后。
据统计,信息安全人才连续几年一直被列为最急需的人才之一。截至2012年底,我国培养信息安全专业人才总共5万人左右,离我国对信息安全人才的需要量50多万需求差距难以缩小。如何培养具有综合素质的网络空间安全学科卓越工程师已经成为当前严重制约信息安全产业发展的瓶颈。建立多元化、多层次的人才体系是急需解决的关键问题。
1.3 各国网络靶场综合实践平台建设
在网络空间安全人才培养领域,网络安全靶场有以下3个主要特征:
1) 可以模拟大规模复杂网络以反映真实场景;
2) 可以与其他包含恶意活动的网络隔离;
3) 为操作人员提供适合培训与竞演的真实环境,同时也支持网络安全产品的实验和测试。
随着信息技术的发展和信息化建设的高速推进,为信息安全产业的发展带来了前所未有的机遇。根据IDC数据分析显示,目前安全市场的增长远远高于整个IT市场的增长。政府、电信、金融等部门和行业对信息安全的投入加大成为推动市场的主要动力。随着电子商务、电子政务等信息化应用的不断深入,对于数据的安全保障、不可否认性等安全机制的要求日益提升,使得信息安全人才在维护信息安全方面的作用将越来越突出[7]。近年来国内外不论政府还是企业机构均对网络安全实训实战环境建设投入了巨大的财力物力及人力。目前,美国依然走在了世界的前列,除了已建成多个小型网络靶场外,已开展国家级的网络靶场建设。其他国家,如英国等也正在建设自己的网络靶场。靶场的任务类型主要包括训练、测试与评估及演习3类。
1.3.1 美国国家网络安全实训平台
自2001年以来,美国率先启动了“国家基础设施保护计划(NIPP)”等一系列计划,美国军方在普渡大学成立信息安全研究中心,合作培养高端信息安全人才,崇尚“先发制人”的美国目前已具备网络战实战能力[8-9]。
美国空军(USAF)是网络靶场的先驱。早在2002年,当美国空军模拟器训练与演练机构支持一项名为Black Demon的运动时,就使用了网络靶场。2011年,它获得了SANS[10]颁发的美国国家网络安全创新奖。这项奖被授予第39信息作战中队,因为它使用了网络靶场训练员工的战术、操作技术和程序。
美国国家赛博靶场承担6个方面的任务如图2所示[11]。
图2 美国国家赛博靶场功能
具体包括:一是在典型的网络环境中对信息保障能力和信息生存工具进行定量、定性评估;二是对美国国防部目前和未来的武器系统,与作战行动中复杂的大规模异构网络和用户进行逼真的模拟;三是在统一基础设施上,同时进行多项独立的实验;四是实现针对因特网/全球信息栅格等大规模网络的逼真测试;五是开发具有创新性的网络测试能力并部署相应的工具和设备;六是通过科学的方法对各种网络进行全方位严格的测试。
而在2013年,根据英国《简氏防务周刊》的报道,美国波音公司展示其便携式网电靶场系统——“装在箱子中的网电靶场”(CRIAB)。该系统能够帮助公司和政府机构演练网电防御,增强应对网电攻击的能力[12]。波音公司网络和空间系统部网电安全、电子与信息分部副总裁帕尔马称,CRIAB可以使用户模拟其网络,实施高级的病毒攻击或进行红/蓝军模拟演习。CRIAB能够很容易地建立模拟网络,并注入病毒,帮助公司和机构了解如何应对网电攻击。在演练完成后,可以迅速清除这些病毒和网络,并开始新的演练。
1.3.2 其他相关国家网络安全靶场实践平台
英国联邦网络实验靶场FCR(Federated Cyber Test Range)建立于2010年10月[13]。联合网络靶场可以与其他网络设施进行组网,而且是英国第1个可以用于商业用途的网络靶场。尽管从外表上看联合网络靶场类似1个企业数据中心,但它拥有可实现网络靶场各种关键能力的专用软硬件,而且,联合网络靶场可以对某些无法在实际系统上测试的项目进行测试。联合网络靶场是一个安全的环境,可以在其中仿真网络攻击与网络防御以及评估各种系统与网络的安全性。
2009年,澳大利亚政府发布了《信息安全战略》,详细描述了政府将如何保护经济组织、关键基础设施、政府机构、企业和家庭用户免受网络威胁[14]。2012年10月,美国诺斯罗普·格鲁曼公司宣布已获得1份合同,为澳大利亚新南威尔士大学、澳大利亚国防学院堪培拉校园建立网络测试靶场。澳大利亚国防学院是澳大利亚国防部队和澳大利亚新南威尔士大学的合作伙伴,主要任务是为澳大利亚军队训练和培养军官。新成立的网络测试靶场将有助于澳大利亚军事网络技术的发展、测试和评估[15]。
1.3.3 我国的网络安全靶场实践平台
国内方面,中办27号文[2003]明确要求“加快信息安全人才培养,增强全民信息安全意识”。在此大背景下,国家启动了653专业技术人才知识更新工程,并在全国开展信息安全专业技术人员继续教育工作;截至2012年,全国约有100余所大学已建设信息安全专业[16]。信息安全人才的培养需要经历多年的实战经验的历练,我国在信息安全高级专业人才培养、社会继续教育培训、面向企业的科研资源协同共享等公共服务能力建设方面,缺乏能有效满足大规模用户的信息安全教学实训工程实践和科研工程化资源协同共享需要的公共服务支撑环境。
2014年上半年国内首个网络靶场正式启动,多家安全企业的XP防护产品将在这个网络靶场接受全球白帽黑客攻击,以验证其防护能力。据介绍,这也是国内安全领域首次网上实兵对抗演练。资料显示,“网络靶场”是美国国防部7年前开始启动的1个网络战实验平台,在网上模拟网络战实兵对抗场景,以探测网络防攻击能力。近几年网络靶场正在成为网络安全领域的一个新的热点,不过国内开设网络靶场尚属首次。按照微软的计划,微软已在2014年4月8日后停止Windows XP的安全更新,尽管各大安全公司都宣布“保护XP”,但究竟效果如何,普通消费者无从分辨。本次网络靶场就是为了考验安全软件的真实防护能力,重奖悬赏黑客来攻击安全软件,为此主办方设立了高达10万元的奖金。
2 多元化多层次网络空间安全人才培养创新
2.1 多元化网络空间安全人才创新建设理念
以建设一流网络空间安全人才体系、培养一流人才为目标,探索创新型网络空间安全人才培养思路、体制和机制。人才培养理念如图3所示。
图3 多元化网络空间安全人才建设理念
网络安全人才培养理念将从精英教育、通识教育、创新教育、实践教育、素质教育5个方面着手,推动教育创新战略、国际化战略和“个性化”战略。网络空间安全人才培养体系与机制创新探索体现在以下6个方面:
1) 突出从网络空间安全知识传授到重视综合素质与能力培养的转变;
2) 将“研究性”纳入人才培养体系;
3) 完善教学支撑体系;
4) 推动课题体系和教学改革;
5) 师资队伍和教学环境建设;
6) 建设工程实践综合服务平台。
2.2 多层次网络空间安全人才创新建设
在多元化网络空间安全人才创新建设的基础上,实现多层次的人才体系建设尤为重要。特别是加强学历教育、继续教育及职业教育、科普教育的有机结合,是培养复合型网络空间安全人才的关键。
2.2.1 完善学历教育
为实施国家安全战略,加快网络空间安全高层次人才培养,根据《学位授予和人才培养学科目录设置与管理办法》的规定和程序,经专家论证,国务院学位委员会学科评议组评议,报国务院学位委员会批准,决定在“工学”门类下增设“网络空间安全”一级学科,学科代码为“0839”,授予“工学”学位[17]。目前国内各个高校都在加强网络空间安全的学科建设,做好人才培养工作。有不少学校还成立了专门的“网络空间安全学院”。至此,网络空间安全的本硕博学历教育体系得到了很好的完善。
2.2.2 加强继续教育
在非学历教育方面,政府部门以及电信、电力、石油石化等行业的管理和从业人员存在继续教育的需求。在网络空间安全领域,继续教育是面向学校教育之后所有社会成员特别是成人的网络安全教育活动,是终身学习体系的重要组成部分。
在网络空间安全领域,开展继续教育的途径主要有以下3个方面:
1) (ISC)2注册信息系统安全专家(certified information systems security professional, CISSP),由(ISC)2组织和管理,是目前全球范围内最权威、最专业、最系统的信息安全认证;
2) 注册信息安全专业人员(certified information security professional, CISP),系国家对信息安全人员资质的最高认可[18]。CISP系经中国信息安全产品测评认证中心(已改名中国信息安全测评中心)实施国家认证。CISP是强制培训的。如果想参加CISP考试,必须要求出具授权培训机构的培训合格证明;
3) 其他类型的培训包括针对网络安全某个具体领域(如:云计算安全、工业控制安全、大数据安全等)、某个行业(如:水务网络安全、政务网络安全、金融网络安全等)、某项技术(如:漏洞挖掘、态势感知、安全协议等)进行专业的培训。
2.2.3 建设卓越工程师培养体系
卓越工程师教育培养计划将融合高校与企业的社会功能,形成高校网络安全人才培养与行业、企业之间的良性互动、互利共生的运行机制。以网络安全人才创新能力培养为目标,通过实施“卓越工程师教育培养计划”,探索网络安全人才培养新模式。
创立高校与行业企业联合培养网络安全人才的新机制,企业由单纯的用人单位变为联合培养单位,高校和企业共同设计培养目标,制定培养方案,共同实施培养过程.充分发挥行业企业在工程实践条件真实性和先进性的优势,学生通过认知学习、专题学习、岗位学习和项目学习等阶段参与工程创新研究与开发,深入开展工程实践活动,同时培养其敬业精神与职业道德。
应综合网络安全行业标准与专业标准,建立网络安全卓越工程师的培养标准体系,提升卓越计划人才培养质量。网络安全卓越工程师不仅需要系统掌握网络安全基础知识、专业知识、扎实的计算机体系和网络安全体系知识,还需要具有良好的职业道德,在了解信息技术和网络安全技术领域的各行业标准、相关政策、法律和法规的基础上,具有实施网络安全防护体系工程的能力,能够管理与维护网络安全系统,具有进行网络安全产品的设计、开发、测试与创新的能力。
把最新的网络安全技术和应用研究成果纳入到教育内容之中,让学生洞悉网络安全前沿知识,捕捉创新的机遇;采用案例教学、攻防实践教学等多种互动和实践类教学方法,提倡结论的多样性和获得结论的思维方式与认知过程的多样性,培养学生创新的勇气和创造力;通过校企联合培养实现网络安全人才教育的实践性,使学生具有从实践中发现问题和寻找合作者攻关构思的综合能力。
2.2.4 加强科普教育
目前,世界主要国家纷纷将全民网络安全意识科普教育作为国家网络安全战略的重要内容之一,通过提高公众的网络安全基本技能和知识,增强全社会对网络犯罪行为和网络安全威胁的认识,促进公众自觉采取网络安全保护措施,降低公众乃至国家遭受网络安全风险的可能性。在国家战略层面,加强对青少年网络安全意识的培养与教育,将提升青少年网络安全意识作为重要战略举措之一。
着眼于贯彻落实《进一步提升公民科学素质3年行动计划(2015—2017年)》,进一步加强青少年科普教育,深入推进学生综合素质培养实践,可充分利用知名的大学网络空间安全学院在网络信息安全领域所取得的诸多科研成果和信息安全人才培养教学成果基础上,开展利用云计算、大数据、VR/AR虚拟现实、虚拟仿真等技术,“基于MOOC(大规模开放在线课堂)与网络靶场实训演练平台”,面向青少年网络信息安全科普教育提供服务支撑。例如,上海市已依托上海交通大学网络空间安全学院建设“上海交通大学网络空间安全实践工作站”,每年都有100余名高中生进入工作站接受系统的科普教育,已经取得了很好的示范效果。
3 网络安全靶场综合实践平台建设
3.1 人才队伍建设框架
建立科学的网络空间安全专业人才队伍是一个复杂而艰巨的过程,网络安全人才培养是国家信息安全保障体系建设的基础和先决条件[19]。网络空间安全专业学科体系是由核心学科群、支撑学科群和应用学科群3部分组成,是一个以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向的跨学科的交叉性学科群体系[20]。对网络空间安全专业人才的培养必须从网络空间安全的学科体系建设入手,以培养多层次、多规格且具备多学科知识和复合型技术的人才.根据美国国家网络安全教育计划,一个基本的人才队伍建设框架如图4所示[21]。
图4 人才队伍建设框架
3.1.1 确定网络安全人员需求
为帮助组织了解和建立网络安全员工,需要提供工具和指导方针,人才队伍建设框架描述了准备建立网络安全员工队伍的第1步。一旦组织确定了网络安全需求(如通过网络安全审核或内部自我评估),该框架有助于实现这些工作人员的角色安排和任务分配。
3.1.2 招募优秀的网络空间安全人才
人才队伍建设框架可帮助候选人准确地查找他们感兴趣和合格的特定职位。通过使用框架中的任务定义来描述工作职责和要点,并使用其他功能来描述职位所需的技能和资格,候选人和招聘者将获得双向的满意度。
3.1.3 教育和培训人才
人才队伍建设框架规划了网络安全发展方向,帮助教育工作者为学生准备所需的知识和技能。学术机构是储备和培育网络安全人才的关键.公共和私人机构之间的合作,例如通过综合实训平台培养计划,使多方能够共享所需的知识和能力。
3.1.4 面向需求建设靶场课程
在所设计的通用网络安全靶场架构中,充分考虑不同类型网络安全人才培养的需求,对网络安全靶场的课程进行定制化的设计。
3.2 网络靶场体系结构
云环境下信息安全专业高技能人才实训及靶场平台的体系结构如图5所示,核心的5个部分分别是平台基础环境、数据资源库、服务支撑、实训及靶场应用、标准规范体系和安全保障体系。其中,平台基础环境是系统运行的基础,支撑平台功能系统的运行,具体包括运行资源建设(包括计算资源、存储资源、网络资源)、目标系统建设(工控系统、移动互联网等)、虚拟化管理平台、SDN动态组网管理平台和设备监控管理平台等[22]。靶场是由多个系统和装备组成的,具有实验、训练、演练等多个功能的复杂巨系统。为实现靶场各类实验系统和设施的互联互通互操作,使靶场资源共享,需要根据具体的需求和网络靶场综合实训平台的具体特点,设计出一个切实可行的靶场体系结构,为后续改进和维护综合实训打下基础[23]。
图5 网络靶场体系结构
虚拟化管理平台、SDN动态组网管理平台、设备监控管理平台对实训及靶场平台的物理资源和虚拟资源统一管理和调度。其中虚拟化管理模块通过对平台中各类虚拟资源(如计算、存储、网络等资源)的统一调度和管理,从而提供可根据实验需求弹性扩展的节点虚拟机资源;SDN动态组网管理平台对所有虚拟网络进行集中式监、管、控;设备监控管理平台主要对靶场中各类硬件设备(如服务器、交换机、安全设备、工控设备等)的运行状态进行实时监控和管理。
资源库涉及到大量数据、模型等信息。数据资源库是平台的核心资源,是平台运行和实验操作的工具、数据和知识保障,支持实训及靶场业务的开展和实验的运行。它描述了在虚拟靶场中所需信息与生成信息存储的各种库,通过实时数据库与通用数据库,为虚拟靶场实验前、中、后阶段提供数据支持。仿真模型库主要管理大量数据和模型[24],它为用户在逻辑上提供一个一致的产品表示,使数据库中的各种数据采用一致的界面与应用系统进行交互。
一体化公共服务支撑平台适应了靶场灵活多变的信息显示需求,通过消息协调、服务发现、服务管理等功能,达到稳定性好、可重用性好、可维护性好等效果[25]。建立信息显示系统开发环境、运行环境、组态数据库,使用户能针对不同的应用场合进行灵活地组态,快速装配出一套最适合信息展现需求的执行方案。
功能层提供实训及靶场实验的管理和应用业务,分为网络复现、剧情管理、实验控制、系统评估和展示体验等10个功能系统。各种不同功能的组件运行在支撑软件平台上,构成实验系统成员,实现具体功能[26],如实验进程控制、实验过程的综合显示、数据存储/回放等,通过统一门户与用户进行交互。
安全保障体系从物理环境安全、安全基础设施、网络安全、计算环境安全、应用安全、安全管理、风险评估7个方面采用技术手段和措施,确保实训及靶场平台可靠稳定运行和实验安全可信开展。同时,采用实验隔离和数据擦除等技术手段,确保靶场中同时开展的实验相互独立,靶场中的敏感信息彻底销毁,无泄露风险。
标准规范体系是保证平台高效运行和协同的重要保障,应遵循兼容规则,即在扩展兼容的基础上能够使靶场所有实验系统任意组合,实现联合完成实验任务所应该达到的基本功能要求。在这个过程中,靶场应用己完全集成到标准的信息化靶场应用技术体系,实现信息化靶场应用的所有目标[27]。网络测试语言、测试过程、资产、数据库和实验过程的规范化、标准化将贯穿于一个完整的网络实验生命周期中。
3.3 网络安全靶场关键技术
在网络靶场的设计与建设的研究中,需要对靶场建设和运行过程中涉及到的网络复现、多维度测试、靶场资源动态管理等一系列关键支撑技术进行研究和突破,具体包括:大规模复杂异构网络快速重构技术、基于人工智能的自动化检测技术、虚拟化技术、靶场资源自动配置技术、非易失性存储数据安全擦除技术、靶场安全隔离与信息交换技术、木马及APT攻击行为识别技术、网络追踪溯源技术等。
3.3.1 大规模复杂异构网络快速重构技术
基于动态组网技术和虚拟化技术,在统一共享的物理网络设施上,开展大规模复杂异构网络快速重构技术的研究。利用信息基础设施,可对平台上的路由器、交换机、网站服务器、数据库服务器、网络安全设备、工业控制网络设备等信息基础设施实现精确识别[28],实现处理大规模数据和快速重构的需求。
3.3.2 基于人工智能的自动化检测技术
人工智能技术已经被大量引入自动化检测和决策中,基本可以被划分为2类:一类是去试图探索智能的本质并开发通用的智能机;另一类是为难以通过非智能化手段解决的复杂问题提供方法的科学,如基于大量数据进行辅助决策的方法[29]。根据用户的测试需求,自动化调用平台的计算、存储资源和漏洞库、知识库等资源,以及各类测试工具,提高测试评估的客观性、准确性与效率。
3.3.3 虚拟化技术
虚拟化是一种表现逻辑群组或计算资源子集的过程,用比原来的组织更好的方式来使用资源。虚拟资源不受现有资源的架设方式、地域和物理形态所限制[30]。本质上,软件定义网络(software defined network, SDN )、网络功能虚拟化(network function virtualization, NFV )等虚拟化技术对物理资源进行组织为上层提供应用需要的逻辑形态,以更高效、更灵活的方式使用资源。建立具备面向服务、动态重组、按需分发等能力的高动态、可重构基础网络环境。
3.3.4 靶场资源自动配置技术
虚拟化技术改变了基础设施的提供模式,使得计算、存储设备变成可运营的资源,用户可以通过互联网按需弹性获取.基于SDN技术可构建完全虚拟化的网络并实现网络资源的自动化编排,并能够带来一系列资源重构的效益[31]。靶场的网络平台可为用户提供丰富的海量异构资源(网络、计算、存储、信息等),需要实现对这些共用资源的集中管控和灵活调用,使其利用率最大化并保证用户对资源使用的有效性。
3.3.5 靶场安全隔离与信息交换技术
靶场网络隔离防护技术主要包括“隔离”和“交换”2个方面[32]。隔离指的就是把不安全的外部网络靶场和安全的内部网络靶场隔离起来;交换指的是利用第三方系统,为外部网络和内部网络提供数据交换的能力。网络安全隔离与信息交换技术能够防止外网的攻击和防止数据泄露,维护网络靶场安全,实现快速信息交换。
3.3.6 木马及APT攻击行为识别技术
仅通过安全产品和安全技术无法完全实现对木马和APT攻击的有效检测和防御[33]。目前可以采取的防御策略有:从多层面加强对初期攻击的检测,有效分析系统日志、网络流量数据、防御系统警报等信息,及时发现攻击信号;完善响应机制,最小化损失程度,以便部署大数据分析系统,这样就能很快搜索数据库并找到与受害主机相关的所有信息,甚至获取攻击者的信息并进行定位;人工干预,雇用专业的安全服务人员,对安全防御系统进行运维和情况分析,就能够更加准确、及时地发现和处置攻击事件,提高安全防御系统的效能;数据保护,通过合理规划数据所在区域的网络结构部署、增强数据所在主机自身安全防护、优化相应权限管理、对数据进行加密存储及加密传输等措施,增大攻击难度。
3.3.7 网络追踪溯源技术
网络追踪溯源技术使被攻击者发现确定攻击者的准确位置,是维护网络安全的重要环节[34]。该技术将加强蜜罐、蜜网等网络诱骗技术的研究,深入分析各类攻击行为特征,深入了解网络攻击手段、攻击方法和攻击目标等。
4 网络空间安全人才培养的发展趋势
在新的网络空间态势下,网络安全人才培养将面临更多、更复杂的挑战.未来网络空间安全人才培养需要经历多年的实战经验的历练,而我国急需这种通过模拟实战锻炼人才的平台。我国在信息安全高级专业人才培养、社会继续教育培训、面向企业的科研资源协同共享等公共服务能力建设方面,缺乏能有效满足大规模用户的信息安全教学实训工程实践和科研工程化资源协同共享需要的公共服务支撑环境。同样在网络靶场建设方面,无论从靶场基础理论研究、关键技术和产品研发,还是网络空间安全风险评估研究,我国都还存在着不小的差距[35]。因此在下一阶段的工作中,需要继续将多元化、多层次的安全专业人才的培养作为核心战略。
5 结语
人才培养已成为驱动国家网络安全发展的核心战略,在当前网络空间态势日趋复杂的情况下,人才培养也面临了诸多新的挑战和机遇。如何建设新型的人才培养体系已经成为当务之急。本文从人才培养本身的多样性入手,对多元化、多层次网络空间安全人才培养创新体系和模式进行深入研究和探讨,同时分析了网络安全人才教育实践平台建设的方法和技术。未来的网络空间安全人才培养,将具备更多的新特点、新要素和新趋势,这需要网络空间安全教育行业进行更多的创新和实践,为国家的多元化、多层次网络空间安全人才培养提供有力支撑。
参考文献
[1] 方滨兴, 贾焰, 李爱平, 等. 网络空间靶场技术研究[J]. 信息安全学报, 2016, 1(3): 19.
[2] 张宏莉, 于海宁, 翟健宏, 等. 网络空间安全人才培养的规划建议[J]. 网络与信息安全学报, 2016, 2(3): 19.
[3] 陈灏. 基于虚拟化和蜜罐技术的网络靶场研究与实现[D]. 北京: 北京邮电大学, 2017.
[4] 周新丽, 刘月琴, 牛雯, 等. 中、美、英三国网络空间安全人才机制培养比较研究[J]. 计算机教育, 2016(9): 2731.
[5] 罗力. 欧美网络信息安全人才培养进展及对我国的启示[J]. 电脑知识与技术, 2016, 12(6): 114116.
[6] 翁健, 马昌社, 古亮. 网络空间安全人才培养探讨[J]. 网络与信息安全学报, 2016, 2(2): 17.
[7] 张继永. 浅谈新形势下信息安全实验室建设[J]. 科技传播, 2010(16): 240, 249.
[8] Pridmore L, Lardieri P, Hollister R. National cyber range(NCR) automated test tools: Implications and application to network centric support toolsC Proc of Autotestcon. Piscataway, NJ: IEEE, 2010: 14.
[9] National Infrastructure Protection Plan: Partnering to Enhance Protection and Resiliency[J]. Us Department of Homeland Security, 2009, 8(2): 188188.
[10] Davis J, Magrath S. A survey of cyber ranges and testbeds[R]. Edinburgh: Defence Science and Technology Organisation Edinburgh(Australia) Cyber Electronic Warfare Division, 2013.
[11] 周芳, 毛少杰, 朱立新. 美国国家赛博靶场建设[J]. 指挥信息系统与技术, 2011, 2(5): 15.
[12] 方勇. 美国波音公司研制出便携式网电靶场[J]. 现代军事, 2013(4): 3232.
[13] Winter H. System security assessment using a cyber rangeC Proc of Iet Int Conf on System Safety, Incorporating the Cyber Security Conf. Cardiff: IET, 2013: 15.
[14] 王星. 澳大利亚网络安全人才队伍建设机制研究[J]. 中国信息安全, 2017(12): 8385.
[15] 李秋香, 郝文江, 李翠翠, 等. 国外网络靶场技术现状及启示[J]. 信息网络安全, 2014(9): 6368.
[16] 吕欣. 构建国家信息安全人才体系的思考[J]. 信息网络安全, 2006(6): 810.
[17] 封化民. 创新人才培养模式建设高素质的网络安全队伍[J]. 北京电子科技学院学报, 2016, 24(3): 17.
[18] 程静, 雷璟, 袁雪芬. 国家网络靶场的建设与发展[J]. 中国电子科学研究院学报, 2014, 9(5): 446452.
[19] 李建华, 邱卫东, 孟魁, 等. 网络空间安全一级学科内涵建设和人才培养思考[J]. 信息安全研究, 2015, 1(2): 149154.
[20] 李晖, 张宁. 网络空间安全学科人才培养之思考[J]. 网络与信息安全学报, 2015, 1(1): 1823.
[21] 韩臻, 王星, 黄学臻, 等. 美国NICE网络空间安全人才队伍框架探析[J]. 保密科学技术, 2012(9): 5357.
[22] 苏建刚, 黄艳俊, 王志生. 虚拟靶场及其构建技术研究[J]. 系统仿真设计及其应用, 2015, 16: 176180.
[23] 王雪峥, 许雪梅. 基于DoDAF的靶场体系结构设计[J]. 系统工程理论与实践, 2013, 33(1): 249254.
[24] 关萍萍, 翟正军. 虚拟靶场运行支撑体系结构研究[J]. 计算机测量与控制, 2009, 17(12): 24752478.
[25] 张新丰, 刘新友, 苗高洁. 基于靶场的联合试验训练系统[J]. 国防科技, 2013, 34(3): 3539.
[26] 张洁. 基于TENA思想的分布式靶场虚拟试验系统设计[J]. 系统仿真技术, 2011, 7(1): 5862.
[27] 吕鹏, 杜锋, 张宏江. 信息化靶场体系结构设计与构建方法研究[J]. 信息系统工程, 2017(7): 130133.
[28] 贺劼, 练晓谦, 齐权, 等. 大规模网络对抗兵棋推演系统关键技术探讨[J]. 通信技术, 2018, 51(2): 130133.
[29] 吴元立, 司光亚, 罗批. 人工智能技术在网络空间安全防御中的应用[J]. 计算机应用研究, 2015, 32(8): 22412244.
[30] 孙茜, 田霖, 周一青, 等. 基于NFV与SDN的未来接入网虚拟化关键技术[J]. 信息通信技术, 2016, 10(1): 5762.
[31] 赖培源, 马卫民, 刘艺, 等. 云资源池网络自动化部署技术研究与实践[J]. 电信科学, 2015, 31(7): 96103.
[32] 王诗琦. 网络安全隔离与信息交换技术的系统分析[J]. 信息通信, 2012(3): 211212.
[33] 李潇, 张强, 胡明, 等. 针对APT攻击的防御策略研究[J]. 网络空间安全, 2015, 6(5): 3941.
[34] 杜暖男, 马莹莹. 大数据背景下计算机网络追踪溯源技术研究[J]. 信息通信, 2016(12): 161162.
[35] Leblanc S P, Chapman I, Chapman I. An overview of cyber attack and computer network operations simulationC Proc of Military Modeling & Simulation Symp. Boston: Society for Computer Simulation International, 2011: 92100.
李建华
博士,教授,现任上海交通大学网络空间安全学院院长,信息内容分析技术国家工程实验室主任,上海市网络安全综合管理技术研究重点实验室主任,网络信息安全管理监控与服务教育部工程研究中心主任,上海市信息网络安全管理协会会长,获得2017年网络安全优秀教师的称号。
主要研究方向为网络与信息安全技术、网络信息安全管理理论及应用、内容安全管理理论及应用、电子政务理论及应用、网络攻防和信息系统安全评测理论及应用等信息安全特色领域。
lijh888@sjtu.edu.cn
文章转自《信息安全研究》2018年第12期。
声明:本文来自关键信息基础设施技术创新联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。