錢曉斌 唐瑋濤

摘? 要：隨著大數(shù)據(jù)的持續(xù)推進(jìn)，大數(shù)據(jù)在各行業(yè)中發(fā)揮出越來(lái)越大的作用。大數(shù)據(jù)的價(jià)值凸顯，已成為國(guó)家新型戰(zhàn)略資源，其安全性直接影響到國(guó)家安全。為應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，全球各國(guó)紛紛加速網(wǎng)絡(luò)靶場(chǎng)的建設(shè)。在此背景下，該文通過(guò)對(duì)國(guó)內(nèi)外網(wǎng)絡(luò)靶場(chǎng)的發(fā)展建設(shè)進(jìn)行分析對(duì)比，進(jìn)而對(duì)大數(shù)據(jù)安全靶場(chǎng)的關(guān)通用架構(gòu)與關(guān)鍵技術(shù)進(jìn)行了系統(tǒng)分析和探討。

關(guān)鍵詞：大數(shù)據(jù)? 大數(shù)據(jù)安全? 網(wǎng)絡(luò)靶場(chǎng)? 大數(shù)據(jù)安全靶場(chǎng)

中圖分類號(hào)：TP393? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791（2021）06（a）-0016-03

General Architecture and Technical System of Big Data Security Range

QIAN Xiaobin? ?TANG Weitao

（Guizhou Guowei Xin'an Technology Co.， Ltd.， Guiyang， Guizhou Province， 550025? China）

Abstract： With the continuous promotion of big data， big data plays an increasingly important role in various industries. The value of big data is prominent. It has become a new national strategic resource， and its security has a direct impact on national security. In order to meet the increasingly severe network security challenges， countries all over the world have accelerated the construction of network shooting range. In this context， this paper systematically analyzes and discusses the general architecture and key technologies of big data security shooting range by analyzing and comparing the development and construction of network shooting range at home and abroad.

Key Words： Big data; Big data security; Network range; Big data security range

目前，我國(guó)在網(wǎng)絡(luò)空間靶場(chǎng)的建設(shè)上已經(jīng)具備一定基礎(chǔ)，比如各行業(yè)的實(shí)訓(xùn)靶場(chǎng)、教育行業(yè)的校園靶場(chǎng)、電力靶場(chǎng)、通信靶場(chǎng)、電子靶場(chǎng)等[1]。但是，現(xiàn)有靶場(chǎng)大多規(guī)模較小，側(cè)重于測(cè)試、科研等專業(yè)用途，其在建設(shè)規(guī)模、資源積累、安全能力、業(yè)務(wù)能力、應(yīng)用層級(jí)等方面尚未達(dá)到國(guó)際先進(jìn)水平。大數(shù)據(jù)及網(wǎng)絡(luò)安全的新需求與新方向決定了大數(shù)據(jù)安全靶場(chǎng)建設(shè)的系統(tǒng)架構(gòu)及技術(shù)體系，也決定了大數(shù)據(jù)安全靶場(chǎng)的建設(shè)形式與應(yīng)用模式。

1? 國(guó)內(nèi)外研究現(xiàn)狀分析

西方部分發(fā)達(dá)國(guó)家在計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)上具有先發(fā)性與先進(jìn)性，其較早進(jìn)入信息化時(shí)代，在網(wǎng)絡(luò)安全方面極度重視實(shí)踐應(yīng)用與實(shí)戰(zhàn)對(duì)抗。2008年，美國(guó)率先開(kāi)始國(guó)家級(jí)網(wǎng)絡(luò)靶場(chǎng)的建設(shè)，這為其他國(guó)家提供了參考樣板[1]。

美國(guó)的國(guó)家級(jí)網(wǎng)絡(luò)靶場(chǎng)（NCR）項(xiàng)目是一項(xiàng)堪比“曼哈頓工程”的長(zhǎng)期計(jì)劃，項(xiàng)目涉及相關(guān)企業(yè)、部門、研究所等60余家，由政、產(chǎn)、學(xué)、研共同推進(jìn)。項(xiàng)目目標(biāo)是對(duì)大規(guī)模網(wǎng)絡(luò)環(huán)境進(jìn)行高度仿真，構(gòu)造可伸縮的互聯(lián)網(wǎng)模型，為攻防演練提供虛擬環(huán)境。該靶場(chǎng)可提供技術(shù)研發(fā)、測(cè)評(píng)驗(yàn)證等服務(wù)，為國(guó)防、工業(yè)、金融等領(lǐng)域的網(wǎng)絡(luò)安全發(fā)揮重大作用。除了NCR之外，美國(guó)還專注于各專業(yè)性領(lǐng)域靶場(chǎng)如海、陸軍賽博靶場(chǎng)的建設(shè)[2]。

通過(guò)借鑒美國(guó)的靶場(chǎng)建設(shè)經(jīng)驗(yàn)，俄羅斯、日本、英國(guó)等國(guó)家也先后開(kāi)始推進(jìn)國(guó)家級(jí)網(wǎng)絡(luò)靶場(chǎng)的建設(shè)。比如：由英國(guó)國(guó)防部在2010年?duì)款^開(kāi)始建設(shè)英國(guó)聯(lián)合國(guó)家網(wǎng)絡(luò)靶場(chǎng)、加拿大建立國(guó)家仿真實(shí)驗(yàn)室、日本情報(bào)通信研究機(jī)構(gòu)主導(dǎo)建設(shè)了星平臺(tái)StarBed、澳大利亞的新南威爾士大學(xué)與該國(guó)的國(guó)防學(xué)院聯(lián)合建立校園測(cè)試靶場(chǎng)。發(fā)達(dá)國(guó)家強(qiáng)力推進(jìn)國(guó)家級(jí)網(wǎng)絡(luò)靶場(chǎng)建設(shè)，客觀上促使世界各國(guó)也開(kāi)始重視此項(xiàng)工作，越來(lái)越多的國(guó)家開(kāi)始建設(shè)各自國(guó)家的網(wǎng)絡(luò)靶場(chǎng)，以提高本國(guó)的網(wǎng)絡(luò)安全保障能力[3]。

近年來(lái)，我國(guó)在借鑒國(guó)外發(fā)達(dá)國(guó)家網(wǎng)絡(luò)靶場(chǎng)建設(shè)經(jīng)驗(yàn)的基礎(chǔ)上，利用政、產(chǎn)、學(xué)、研結(jié)合的模式大力推進(jìn)各類網(wǎng)絡(luò)靶場(chǎng)的建設(shè)，行業(yè)與地方也逐步加大了網(wǎng)絡(luò)靶場(chǎng)的相關(guān)研究，在仿真、滲透、檢測(cè)、虛擬化等相關(guān)技術(shù)方面均有了突破和進(jìn)展。特別是2016年以來(lái)，以貴陽(yáng)大數(shù)據(jù)及網(wǎng)絡(luò)安全精英對(duì)抗演練與貴陽(yáng)大數(shù)據(jù)安全靶場(chǎng)為代表，全國(guó)多地啟動(dòng)網(wǎng)絡(luò)靶場(chǎng)建設(shè)工作，服務(wù)于城市、區(qū)域、行業(yè)的實(shí)網(wǎng)演練與人才培訓(xùn)。貴陽(yáng)靶場(chǎng)在建設(shè)之初，缺少可參考的藍(lán)本，基本上通過(guò)“邊建邊用、以用促建”的方式慢慢摸索與積累出一套自己的經(jīng)驗(yàn)，經(jīng)過(guò)實(shí)踐檢驗(yàn)，很好地適應(yīng)了大數(shù)據(jù)安全的實(shí)際要求，形成了一系列創(chuàng)新技術(shù)和產(chǎn)品，填補(bǔ)了國(guó)內(nèi)在網(wǎng)絡(luò)靶場(chǎng)技術(shù)領(lǐng)域的若干空白[4-5]。我國(guó)其他靶場(chǎng)建設(shè)情況還包括城市級(jí)網(wǎng)絡(luò)靶場(chǎng)構(gòu)建技術(shù)及應(yīng)用研究，主要采用平行仿真的建設(shè)思路，提供測(cè)試評(píng)估、人才培養(yǎng)、實(shí)驗(yàn)演練、技術(shù)研究與態(tài)勢(shì)推演等功能;由深圳網(wǎng)絡(luò)空間科學(xué)與技術(shù)廣東省實(shí)驗(yàn)室牽頭建設(shè)的鵬城靶場(chǎng)，側(cè)重于技術(shù)研究、實(shí)驗(yàn)驗(yàn)證、人才培養(yǎng)與競(jìng)評(píng)演練;360實(shí)戰(zhàn)靶場(chǎng)，基于獨(dú)特的安全大腦賦能，構(gòu)建了國(guó)內(nèi)先進(jìn)的大規(guī)模實(shí)戰(zhàn)演訓(xùn)平臺(tái)，可對(duì)外提供SaaS模式的靶場(chǎng)服務(wù);合天網(wǎng)安實(shí)驗(yàn)室建設(shè)的網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)，主要用于支撐各類安全競(jìng)賽[2]。

2? 參考架構(gòu)與關(guān)鍵技術(shù)

2.1 設(shè)計(jì)原則

大數(shù)據(jù)安全靶場(chǎng)遵循以下設(shè)計(jì)原則：（1）基礎(chǔ)架構(gòu)符合“軟件定義靶場(chǎng)”的基本原則;（2）遵循“由實(shí)而虛、虛實(shí)結(jié)合”的靶標(biāo)構(gòu)建原則;（3）重點(diǎn)圍繞大數(shù)據(jù)構(gòu)建靶場(chǎng)核心能力原則。（4）靶場(chǎng)要素滿足“體系對(duì)抗”的建設(shè)原則;（5）支撐攻防演練、實(shí)訓(xùn)競(jìng)賽、測(cè)評(píng)測(cè)試、科研創(chuàng)新四大核心功能以及未來(lái)持續(xù)擴(kuò)展新型安全服務(wù)的原則;（6）強(qiáng)化“安全可靠、可信可控、可度量、可擴(kuò)展”等非功能性需求?？傮w而言，靶場(chǎng)體系架構(gòu)的建立應(yīng)從上述6項(xiàng)原則出發(fā)，從系統(tǒng)層面考慮問(wèn)題，著眼于縱向和橫向，實(shí)現(xiàn)系統(tǒng)的相互連通，運(yùn)用綜合思維協(xié)調(diào)建設(shè)，考慮現(xiàn)有的信息系統(tǒng)，并對(duì)未來(lái)的系統(tǒng)建設(shè)進(jìn)行分析，為靶場(chǎng)全面整合打下基礎(chǔ)。

2.2 架構(gòu)原型

大數(shù)據(jù)安全靶場(chǎng)體系結(jié)構(gòu)如圖1所示。

大數(shù)據(jù)安全靶場(chǎng)的原型架構(gòu)主要包括靶場(chǎng)基礎(chǔ)環(huán)境﹑核心資源庫(kù)及靶場(chǎng)應(yīng)用。其中，靶場(chǎng)基礎(chǔ)環(huán)境是網(wǎng)絡(luò)靶場(chǎng)運(yùn)行的基礎(chǔ)，包括運(yùn)營(yíng)管理中心和服務(wù)支撐平臺(tái)，支撐大數(shù)據(jù)安全靶場(chǎng)整體功能運(yùn)行，該層主要采用虛擬化與云計(jì)算技術(shù)對(duì)大數(shù)據(jù)安全靶場(chǎng)資源的統(tǒng)一調(diào)度管理。核心資源庫(kù)是大數(shù)據(jù)安全靶場(chǎng)的核心資源，主要包括靶標(biāo)庫(kù)、核心能力庫(kù)、數(shù)據(jù)導(dǎo)入系統(tǒng)、資源庫(kù)管理系統(tǒng)及資源庫(kù)資源池，其主要功能為保障大數(shù)據(jù)安全靶場(chǎng)運(yùn)行的工具、數(shù)據(jù)等，支撐業(yè)務(wù)的開(kāi)展和試驗(yàn)的運(yùn)行，該層主要采用數(shù)據(jù)采集與分析相關(guān)技術(shù)、組網(wǎng)技術(shù)及靶場(chǎng)云。大數(shù)據(jù)安全靶場(chǎng)應(yīng)用層提供靶場(chǎng)試驗(yàn)的管理和應(yīng)用業(yè)務(wù)，分別包括研發(fā)創(chuàng)新平臺(tái)用于技術(shù)研發(fā)，攻防演練平臺(tái)用于探測(cè)掃描、指揮調(diào)度、攻防可視化等功能，測(cè)試驗(yàn)證平臺(tái)主要用于產(chǎn)品驗(yàn)證、安全新技術(shù)認(rèn)證、漏洞驗(yàn)證等功能，以及人才實(shí)訓(xùn)平臺(tái)主要用于網(wǎng)絡(luò)安全相關(guān)人才的培訓(xùn)和教育[6]。

2.3 系統(tǒng)相關(guān)技術(shù)

2.3.1 虛擬化技術(shù)

大數(shù)據(jù)安全靶場(chǎng)基礎(chǔ)層采用虛擬化技術(shù)對(duì)資源進(jìn)行統(tǒng)一的調(diào)度和管理。虛擬化技術(shù)主要包括硬件資源虛擬化和網(wǎng)絡(luò)資源虛擬化。

其中，硬件資源虛擬化是對(duì)計(jì)算機(jī)系統(tǒng)的仿真，可對(duì)物理計(jì)算機(jī)和模擬計(jì)算機(jī)形成一對(duì)多的映射關(guān)系，一臺(tái)或多臺(tái)硬件資源可被共享，即模擬計(jì)算機(jī)有屬于自己的硬件資源，但是硬件資源是虛擬化的。一般在系統(tǒng)實(shí)現(xiàn)上，通常采用Hypervisor技術(shù)，它提供的虛擬主機(jī)，非常接近物理主機(jī)特性，能夠?qū)崿F(xiàn)對(duì)各類不同的硬件設(shè)備及操作系統(tǒng)的仿真，非常適合操作系統(tǒng)層的仿真需求。

針對(duì)網(wǎng)絡(luò)虛擬化，傳統(tǒng)的802.1Q標(biāo)準(zhǔn)定義的VLAN技術(shù)隨著網(wǎng)絡(luò)的發(fā)展，在一定程度上已經(jīng)不能滿足現(xiàn)有需求，需要使用其他相關(guān)網(wǎng)絡(luò)虛擬化技術(shù)來(lái)對(duì)網(wǎng)絡(luò)資源進(jìn)行調(diào)度和管理。比如：使用虛擬可擴(kuò)展局域網(wǎng)和SDN技術(shù)，前者可以較好地解決VLAN的現(xiàn)有問(wèn)題，后者因?yàn)槠淇刂坪娃D(zhuǎn)發(fā)相互分離的思想，非常適用于網(wǎng)絡(luò)靶場(chǎng)的構(gòu)建。

2.3.2 數(shù)據(jù)采集

數(shù)據(jù)采集是大數(shù)據(jù)安全靶場(chǎng)運(yùn)行的基礎(chǔ)，在大數(shù)據(jù)時(shí)代，數(shù)據(jù)采集也是需要克服的技術(shù)難點(diǎn)之一。數(shù)據(jù)采集應(yīng)滿足針對(duì)特定領(lǐng)域的數(shù)據(jù)接入、支持多類型的數(shù)據(jù)接入方式以及具有多種數(shù)據(jù)抽取策略。

在大數(shù)據(jù)安全靶場(chǎng)的設(shè)計(jì)上，數(shù)據(jù)抽取策略主要采用策略采集和網(wǎng)元采集等多種數(shù)據(jù)采集方式。策略采集主要有制定策略、下發(fā)策略、策略執(zhí)行及策略采集這4個(gè)步驟，數(shù)據(jù)采集過(guò)程主要是將流量轉(zhuǎn)發(fā)至采集及分析節(jié)點(diǎn)，完成流量的采集工作。網(wǎng)元采集主要是通過(guò)代理及數(shù)據(jù)分析虛擬機(jī)，將數(shù)據(jù)在分析虛擬機(jī)中進(jìn)行分析后，完成數(shù)據(jù)采集工作。網(wǎng)元采集相對(duì)于策略采集，其優(yōu)勢(shì)主要存在于采集的數(shù)據(jù)不用通過(guò)其他方式進(jìn)行發(fā)送，而是直接導(dǎo)入分析虛擬機(jī)中，就能夠減少數(shù)據(jù)傳輸過(guò)程中占用的網(wǎng)絡(luò)帶寬。因此，在大數(shù)據(jù)安全靶場(chǎng)的設(shè)計(jì)上，主要以網(wǎng)元采集為主策略采集為輔的方式對(duì)數(shù)據(jù)進(jìn)行采集。

2.3.3 數(shù)據(jù)分析

同數(shù)據(jù)采集相對(duì)應(yīng)，數(shù)據(jù)分析是大數(shù)據(jù)安全靶場(chǎng)運(yùn)行的核心，數(shù)據(jù)分析包含了網(wǎng)絡(luò)流量分析、主機(jī)行為分析兩個(gè)大類。在靶場(chǎng)運(yùn)行的過(guò)程中，主要需要對(duì)各環(huán)節(jié)中的重點(diǎn)數(shù)據(jù)進(jìn)行分析，比如：攻防演練數(shù)據(jù)等重要數(shù)據(jù)，并依據(jù)特征庫(kù)及策略規(guī)則的支撐，以自動(dòng)化的方式，根據(jù)特征比對(duì)，按照事先制定好的策略，判斷靶場(chǎng)運(yùn)行的基本情況、目標(biāo)達(dá)成效果、使用的工具及相關(guān)技術(shù)等。同時(shí)，將流量數(shù)據(jù)進(jìn)行進(jìn)一步的清洗，將其中較為重要的部分進(jìn)行提取，并進(jìn)行可視化的展示。

2.3.4 靶場(chǎng)云

大數(shù)據(jù)安全靶場(chǎng)系統(tǒng)基礎(chǔ)層及核心層主要由運(yùn)營(yíng)管理中心、服務(wù)支撐平臺(tái)兩個(gè)基礎(chǔ)組件以及靶標(biāo)庫(kù)、核心能力庫(kù)、數(shù)據(jù)導(dǎo)入系統(tǒng)、資源庫(kù)管理系統(tǒng)及資源庫(kù)資源池5個(gè)核心資源組成，在技術(shù)層與核心層之間，需要云化管理平臺(tái)在兩者之間起到連接作用。云化管理平臺(tái)主要有基礎(chǔ)設(shè)施層構(gòu)成，該層功能主要實(shí)現(xiàn)仿真及數(shù)據(jù)采集等功能;數(shù)據(jù)層主要用具存儲(chǔ)數(shù)據(jù);平臺(tái)層主要用于模擬流量的產(chǎn)生、滲透測(cè)試等;軟件應(yīng)用層則包含數(shù)據(jù)管理、工具管理等管理功能等多種應(yīng)用。

3? 結(jié)語(yǔ)

國(guó)家網(wǎng)絡(luò)靶場(chǎng)是支持賽博體系對(duì)抗能力研究和賽博安全技術(shù)裝備驗(yàn)證的試驗(yàn)床，是快速形成國(guó)家賽博安全能力的物質(zhì)基礎(chǔ)。而大數(shù)據(jù)安全靶場(chǎng)在此領(lǐng)域中是一項(xiàng)開(kāi)創(chuàng)性的工作，因此需要突破基礎(chǔ)結(jié)構(gòu)、技術(shù)體系、大數(shù)據(jù)應(yīng)用等相關(guān)領(lǐng)域的難題。建設(shè)大數(shù)據(jù)安全靶場(chǎng)必將成為我國(guó)網(wǎng)絡(luò)安全和大數(shù)據(jù)發(fā)展中的里程碑事件，對(duì)于我國(guó)的國(guó)防及戰(zhàn)略安全具有重要意義。隨著信息安全技術(shù)的飛速發(fā)展，靶場(chǎng)的技術(shù)能力也需要不斷更新和提高，業(yè)務(wù)范圍需要不斷擴(kuò)大，使之成為人才培養(yǎng)、產(chǎn)品研發(fā)、攻防演練、培訓(xùn)教育等多功能型的國(guó)家級(jí)安全基地，為我國(guó)網(wǎng)絡(luò)空間安全能力體系的建設(shè)貢獻(xiàn)力量。

參考文獻(xiàn)

[1] 趙靜.網(wǎng)絡(luò)空間安全靶場(chǎng)技術(shù)研究及系統(tǒng)架構(gòu)設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2020，16（3）：51-54.

[2] 趙千，李耀兵，江浩，等.網(wǎng)絡(luò)靶場(chǎng)的建設(shè)現(xiàn)狀、基本特點(diǎn)與發(fā)展思路[J].中國(guó)信息化，2020（6）：62-64.

[3] 葉錫慶，徐潤(rùn)萍.海軍指揮自動(dòng)化系統(tǒng)實(shí)驗(yàn)環(huán)境建設(shè)思路[J].論證與研究，2011（1）：4-7.

[4] 程靜，雷璟，袁雪芬.國(guó)家網(wǎng)絡(luò)靶場(chǎng)的建設(shè)與發(fā)展[J].中國(guó)電子科學(xué)研究院學(xué)報(bào)，2014，9（5）：446-452.

[5] 陳吉龍.虛擬化工控網(wǎng)絡(luò)靶場(chǎng)的設(shè)計(jì)與自動(dòng)化部署[D].哈爾濱：哈爾濱工業(yè)大學(xué)，2020.

[6] 李利，韓偉紅，梅陽(yáng)陽(yáng)，等.當(dāng)前網(wǎng)絡(luò)空間安全技術(shù)發(fā)展現(xiàn)狀及思考[J].信息技術(shù)與網(wǎng)絡(luò)安全，2021，40（5）：33-38.