工业网络靶场技术解析①序言

一、简介

最近发生的委内瑞拉电力系统瘫痪事件表明，这是一种国家间新型战争，企图通过网络攻击行动瓦解国家运行基础，瘫痪民生设施，彻底瓦解民心，从而“手不血刃”达到目的。如果的确是网络攻击造成了这种新型的大规模入侵，显然是达到了预期的效果。这对包括中国在内的世界各国也是严重的警示，应该以生死存亡的紧迫感，着手应对工业控制系统和关键信息基础设施被入侵的全面准备。

我们应该如何进行准备？解决方案之一是建设工业网络靶场，工业网络靶场是一个仿真的攻防演练、产品测试、教育培训、应急演练和风险评估的虚拟训练场。工业网络靶场的第一目标是复制关键信息基础设施和工业控制系统生产环境，基于该复制环境，受训人员可针对网络攻击渗透手段、网络作战战术、防护加固策略等进行反复演练。其次可基于复制环境进行风险评估、产品测试、教育培训、应急演练等业务应用。于此同时靶场还会将演练评估过程中的数据进行汇总统计分析，输出能力评判及效能评估结果。

在网络靶场中，将信息系统环境进行复制是网络靶场的主要核心能力。而工业网络靶场则侧重于表现复制工业控制系统和关键信息基础设施环境的能力，并集成支持复制信息系统环境的能力。网络靶场源于美国，根据2008年5月1日美国国防高级研究计划局（DARPA）发布的“国家网络靶场（NationalCyber Range）”的招标文件，正式在市面上出现网络靶场的相关概念及作用定义。“国家网络靶场”项目源于2008年1月8日由美国总统布什签署的“国家网络安全综合计划”，这是一项多年计划，将由多个部门参加并分步骤实施，其最终目的是保护美国的网络安全，防止美国遭受敌对电子攻击，并能对敌方展开在线攻击。在美国，有人将该计划称为可与“曼哈顿工程”相媲美的国家安全项目。“国家网络靶场”建设是该项目的重要组成部分。“国家网络靶场”项目是自20世纪50年代实施“人造地球卫星计划”以来，美国会向DARPA直接下达的唯一项目。该靶场的建设目标是，模拟真实的网络攻防作战虚拟环境，针对敌对电子攻击和网络攻击等电子作战手段进行试验，以实现网络战能力的重大变革，打赢网络战争。2012年，“国家网络靶场”由美国国防高级研究计划局（DARPA）转交给国防部长/测试资源管理中心办公室，用于国防部、海陆空三军和其他机构进行网络武器试验及攻防能力演习支撑。尽管“国家网络靶场”在建设与运行中尚存在一些关键技术难点，但无疑会对美军网络战攻防试验能力带来革命性的飞跃。至今，网络靶场已成为各国进行网络空间安全研究、学习、测试、验证、演练等必不可少的网络空间安全核心基础设施，世界各国均高度重视网络靶场建设，将其作为网络安全技术能力支撑的重要手段。

美国作为网络空间攻防技术研究领先的国家，除了建设网络靶场等技术保障手段外，还积极组织网络攻防演习。在网络安全领域，针对网络攻防的演习是“是模拟战时行动的，涉及计划、准备和执行的军事行为，主要目的是为了培训和评估网络战的能力”。美国几乎所有的军事单位每年都至少要参加一次以团队为基础的演习，以确保单位成员能够执行他们所指定的任务清单（METL）。这些演习包括：大规模的“网络风暴”、“网络夺旗”、“网络卫士”、“网络防御”、“网络闪电”、“施里弗”和参加的北约“锁定之盾”等，小规模的“防御堡垒”、“虚拟旗”、“网络拂晓”和“网络闪电战”等，这些演习的目标一是实践美国的协调机制，并评估美国国家网络事件响应计划和效果，二是锻炼网络攻防队伍，检验攻击与防御能力。在这些演习中，大大小小的演习背后均由各自规模不同的网络靶场平台进行支撑，如网络夺旗1-13（Cyber Flag 1-13）就是由伊利诺伊州斯科特空军基地的空军模拟器（SIMTEX）来支撑其进行训练演习，在其他更大型的演习中，空军模拟器（SIMTEX）也和“国家网络靶场（National Cyber Range）”及其他靶场平台进行整合联动为演习提供支撑手段。

在过去的三年中，我们密切关注国内外网络靶场的建设及实践情况，以及基于网络靶场开展的网络攻防演习进展。我们注意到，在网络靶场建设和网络攻防演习中，最主要的核心要素就是保持和真实环境一致的体验，不仅仅是演习的复制环境需无限接近于真实环境，演习使用的攻防工具、操作模式以及通讯、协作等均需和真实环境一致。和真实环境一致的体验保证了网络攻防演习的价值，并能够直接作用于真实环境之上。这直接指导了我们的工业网络靶场规划和建设，在充分考虑无限逼真的环境体验下进行成本/效益的平衡。

此外，我们还组织人员参与网络攻防竞赛，也和政府部门合作共同组织举办网络攻防竞赛。以此积累网络攻防实践经验，包括如何基于工业网络靶场进行网络攻防竞赛和演练的宝贵经验，这些都很好的帮助我们来规划和建设工业网络靶场平台。

二、网络靶场的定义及作用剖析

根据美国国家标准与技术研究院（NIST）的定义，网络靶场被表示为与组织的本地网络、系统、工具和应用程序相关的交互式和模拟表示。网络靶场为用户提供安全合法的环境，该环境可基于用户需求自己设计并由网络靶场生成，在该环境中，可用来提高网络、信息系统、工控系统及相关联子系统间的稳定性、安全性和性能。网络靶场既可以单独使用，也可以与其他网络靶场联合使用。网络靶场依赖于硬件和软件或是两者的组合并支持某些网络服务。

对于网络靶场的定义，我们认为将从两个方面来理解，一是“网络”，二是“靶场”。网络靶场是个舶来品，英文名字是“Cyber Range”。追本溯源，我们应理解在英文中“Cyber Range”的含义，从而明晰网络靶场的定义。

“Cyber”一词源自古希腊语，含义为“控制”“掌舵”，在近代最初的运用是诺伯特·维纳的《控制论》，在当时，“Cyber”表现与自动化、交互过程、人工智能、机器人学等范畴相连。近年来“Cyber”一直是各种新媒介研究中的概念，而且许多和Internet、电脑、安全相关的概念都喜欢加上“Cyber”，比如CyberSecurity，Cyber War，Cyber Game等。由于“Cyber”在英文环境中一样是模糊不清、充满歧义的，将“Cyber”翻译为中文时，许多人将其翻译为“网络空间”“网络”“控制”或者直接使用音译“赛博”“赛博空间”。根据维基百科及百度百科等释义及李耐和《赛博空间与赛博对抗》，“其基本含义是指由计算机和现代通信技术所创造的、与真实的现实空间不同的网际空间或虚拟空间.网际空间或虚拟空间是由图像、声音、文字、符码等所构成的一个巨大的‘人造世界’,它由遍布全世界的计算机和通信网络所创造与支撑。”从这个层面上来说，赛博及赛博空间是最接近“Cyber”在网络靶场中所表达的含义。

“靶场”一词意味着其属于进攻性目标练习的环境，就像士兵练习射击的射击场一样具有提供训练靶标，测量训练精度及进度，并对训练结果进行定量和定性的分析和评估。由于“靶场”在军事领域及其他领域的诸多应用，提及靶场我们大概就能“识字明意”。

通过网络靶场，可实时评估表现网络安全攻防进程及态势，为训练提供实时反馈以增加训练价值。网络靶场包含某些团队，每个团队在网络靶场中都具有自己的影响力。到目前为止，网络靶场已经发展到了多大七种不同的团队角色。它们分别是：

综合调查全球网络靶场的发展趋势及实践运用来看，目前的网络靶场主要作用包括：

• 服务于军事，国防和情报事务

军事组织和政府机构希望网络战士具备应对网络战及网络恐怖主义的技能。因此，各国的军事和国防部门建设和部署了大规模的网络靶场，如美国国防高级研究计划局（DARPA）的国家网络靶场（NCR）。除了通用性的大型网络靶场外，美国陆军、美国海军、美国空军及美国网军均建设部署有自己的特色网络靶场。根据我们的调查，目前世界上有一百多个国家的军事和国防部门已经或正在进行服务于军事、国防及情报事务的网络靶场平台建设。

• 服务于网络攻防实践、竞赛及教育培训事务

信息安全人才除了要掌握大量理论知识外，更注重的是实践动手能力。此外，很多信息安全方面的实践具有强大的破坏性，网络靶场可提供安全隔离的模拟仿真环境用于信息安全的网络攻防实践测试、竞赛和教育培训工作。

• 服务于企业和商业事务

目前在企业等商业化组织里面，网络靶场主要用于构建网络安全培训和模拟中心，提供网络安全的模拟和演练解决方案，以加强企业人员技能及安全防护措施的有效性。此外，还针对网络靶场提供测试评估、沙盒分析、DevOps、安全事件响应等服务。其中，以色列的Cyberbit主要为客户提供网络靶场的网络安全模拟与培训解决方案，IBM X-Force Command Center为业务事件处理程序和操作连续性提供事件响应解决方案，美国密歇根网络靶场为网络安全在执法领域的应用开发和测试解决方案等。目前市面上的商业网络靶场产品日益增多，均面向各种应用实践与各行各业，帮助解决所面临的网络安全问题。

三、工业网络靶场

基于网络靶场的作用及价值，我们在工业领域开展针对网络靶场的实践落地应用探索。工业网络靶场定位为涵盖能源、电力、通信、交通等领域，满足关键信息基础设施安全体系建设需求、工业网络攻防能力验证需求、工业产品检测评估需求。靶场通过虚拟化技术及仿真技术重现真实工业网络节点及链路，依赖虚拟环境可以完成网络空间及工业网络体系规划论证、能力测试评估、产品研发试验、产品安全性试、人才教育培养等任务。

工业网络靶场顶层设计维度架构：

后续我将就上述顶层设计架构模型对工业网络靶场技术进行解析，欢迎关注！