网络空间靶场发展态势综述

  • 2019 年 10 月 30 日
  • 笔记

摘要:近年来,全球逐渐兴起以网络空间靶场(Cyber Range)等信息安全和网络空间安全等新理论的革新研究与应用推广。从国家军事层面,为使军队能够通过训练演练快速掌握这些先进安全理论,并通过靶场试验加速相配套的武器装备的研发进程,使军队安全训练和武器装备的建设发展与安全理论革新相适应,以美国为首的世界主要发达国家显著加快了网络空间靶场的建设力度。从安全市场层面,为使安全人员能够应对愈加复杂的安全角势和攻防技术,通过靶场训练测试加速红蓝对抗演练等技战术能力,使网络安全人员技能及设备的建设发展与安全理论革新相适应,全球各大安全公司及新兴创新公司均不同程度设计研发了面向不同应用场景的靶场产品及方案。本文基于互联网上公开的靶场资料,调研和梳理了目前网络空间靶场的发展态势,为靶场建设单位及群体提供分析研判参考。

关键词:网络空间靶场,Cyber Range,攻防演练,红蓝对抗

一、前言


从理论设计到实际部署,网络空间靶场(Cyber Range)将作为支撑网络空间安全技术验证、网络武器装备试验、攻防对抗演练和网络风险评估的重要基础设施,成为新兴网络安全战略、专业人才队伍建设的重要支撑手段。世界各国均高度重视网络空间靶场建设工作,在这一方面,美国走在了世界的前列,除了建成多个小型网络空间靶场外,业已开展国家级的网络空间靶场建设,并建立了基于全美“广域分布、逻辑一体”的庞大联合靶场测试群。美国建设国家网络空间靶场引起了各国高度重视。英、德、俄、日、韩、法、澳、瑞典等国为保持其优势,借鉴美国经验建设了同类项目,作为支撑网络空间安全技术演示验证、网络武器装备研制试验的重要工具。

网络空间靶场从概念形成到目前的成熟体系,历经了一段时间的探索。大概在2003年左右,美军为满足信息安全力量建设需要,着手启动信息安全靶场建设。美国防部2005年11月18日通过备忘录正式授权联合部队司令部组织建设信息安全靶场(联合部队司令部于2011年撤销后,该靶场移交联合参谋部管理)。该靶场从目前公开可查的资料上看,应是属于最早成体系化和平台化发展的靶场。在这之前,所有的针对信息安全的试验测试和安全研究均基于实物硬件环境,一是不具备体系化和平台化特征,二是尚无网络空间领域或数字领域“靶场”的明确概念。

随着形势和任务变化,美军诸多军兵种也逐渐兴建各自的小型虚拟化网络测试靶场。最具代表性的事件是2008年美国国防部国防高级研究计划局(DARPA)牵头建立的国家网络空间靶场NCR,首次提出建立大型的成体系化和平台化的网络空间靶场。以此为契机,在学术界、工业界等相关的网络空间靶场理论和体系框架也随之进入探索试验的快车道。这个时间段内虚拟化技术以及由此形成的云计算、大数据、软件定义网络等蓬勃式发展,为网络空间靶场的迅速落地提供了坚实的实现和发展技术前提。这个时期的网络空间靶场逐渐从军队走向学术界和工业界,并不断发展出系列军民融合靶场、虚实结合靶场、民用测试靶场、商业网络靶场等。

直至目前,各国军事网络空间靶场正在向成为全频谱信息安全/网络空间靶场的目标迈进。全频谱网络空间靶场是指包含了全部网络空间内容的数字靶场,包含了我们可见的所有网络空间内容,比如互联网、工控网、卫星网、电信网、物联网、电磁网、无线网、下一代互联网等所有的网络通讯类型,包含了网络空间所涉及和涵盖的网络、计算机、移动设备、多媒体、传感器、无人系统、智能设备等所有可见终端类型。如我们所见,在人工智能、数字孪生等新兴技术,万事万物互联发展的今天,全频谱网络空间靶场将模拟和仿真我们的整个现实世界,并将现实世界映射至全频谱网络空间靶场用于网络空间安全技术验证、网络武器装备试验、攻防对抗演练和网络风险评估等试验演训。

二 、美军典型靶场发展现状


由于靶场概念最先源于美军网络安全攻防建设引申而出,本文第一小节将首先研究美军的网络空间靶场发展思路及具体过程,以期了解和研判美军当前的网络空间靶场发展态势。从公开资料研究显示,目前美军大型的网络空间靶场主要由美军战略司令部和美军国防部主要协同管理,而从美军战略司令部分离出来的美军网络司令部现目前尚未从美军战略司令部和美军国防部手中接过各大网络空间靶场的管辖权。目前在美军战略司令部手中的美军大型网络靶场包括美军战略司令部联合网络空间靶场(JCOR),在美军国防部管辖下的大型网络空间靶场包括美军联合参谋部J7信息安全靶场(JIOR)、美军国家网络靶场(NCR)、美军国防信息系统局赛博安全靶场(CSR)以及隶属于美军联合参谋部J6的指挥、控制、通信和计算评估(C4AD)靶场。除了上述靶场以外,美各军兵种还根据自身需求建立了各自的靶场,包括:海军的战术赛博靶场、陆军赛博靶场等。

美国防部管辖的四大网络空间靶场,除NCR外,还包括C4 Assessment Division(C4AD) 、DoD CybersecurityRange(美军国防信息系统局赛博安全靶场)、Joint IO Range(JIOR)等,四大靶场使命和能力对比如下:

表1: 美军国防部管理的四大网络空间靶场

靶场

指挥,控制,通信和计算机评估部(C4AD)

美军国防信息系统局赛博安全靶场(CSR)

美军联合参谋部信息安全靶场 (JIOR)

美军国家网络靶场 (NCR)

使命

C4AD在持续的C4环境中评估现有和新兴的命令、控制、通信和计算(C4)功能,以实现满足联合作战需求的可互操作和集成的解决方案。复制联合作战人员、C4系统和解决这些系统之间的互操作性。

提供持久的环境以支持测试和评估、演训、培训和教育。模拟全球信息网格(GIG)及其服务,支持信息保障(IA)和计算机网络防御(CND)试验演训,培训官兵的信息保障能力,进行新型技战术测试评估

创建一个灵活、无缝和持久的环境(基础结构),使作战指挥官和部队指挥官在运用动能武器所拥有的信息作战(IO)武器时达到相同的信心和专业水平。

提供高保真、超逼真的大规模网络环境,以便在系统生命周期的所有阶段进行复杂的网络培训并支持网络测试,以及对复杂的系统系统进行攻防演训。NCR带来了国家网络靶场能力的革命,并加速了技术过渡。

能力

•C4AD可以连接到美军联合参谋部信息安全靶场(JIOR)或以独立模式运行。•用实际的硬件和软件复制可操作的命令和控制(C2)环境,从而能够评估系统和系统间的互操作性、操作能力、过程合规性以及技术适用性,以确认准备就绪情况。•C4AD具有结合培训练习和测试事件来完成测试和培训以及认证目标的经验。

•美军国防信息系统局赛博安全靶场可以独立运行,或者指挥官/服务/机构(CC/S/A)及其各自的网络环境也可以通过以下方式连接到该靶场:o美军联合参谋部信息安全靶场(JIOR)o通过Internet和国防研究与工程网络(DREN)的虚拟专用网(VPN)连接。•专注于网络安全和计算机网络防御的持久环境。•模拟全球信息网格(GIG)及其服务。•持信息保障(IA)和计算机网络防御(CND)试验演训。•服务包括流量生成、可配置的用户仿真。可以在环境中模拟恶意软件、间谍软件和BOTnet并将其用于混淆培训环境。

•封闭的多层安全性(最高机密/敏感隔离信息(TS/SCI)环境,旨在进行网络和其他非攻击活动)。•在全球大约68个位置具有服务节点的分布式网络。•形成一个现实且相关的实时火力网络空间环境,以支持信息作战(IO)和网络空间任务区域的作战指挥,服务,机构以及测试社区的培训,测试和试验。•可以为联盟合作伙伴提供安全的连接和传输。•具有多个安全级别的多个同时发生的事件。•符合军队的联合作战意图概念,并提供关键的联合部队网络空间培训和测试环境。它是联合培训企业中唯一支持网络空间和信息作战(IO)相关目标的“实时射击”靶场。

•NCR可以连接到JIOR,JMETC多独立安全级别(MILS)网络(JMN),或以独立模式运行。•专用软件有助于快速进行网络设计、重新配置和清理以及网络扩展。•安全架构:可将通用基础架构划分为MILS并利用真实的恶意软件。•端到端工具包,可自动完成创建高保真测试环境的冗长过程。•网络领域、网络测试、网络靶场管理和网络测试工具方面的自动化流程结合。

2.1. 美军联合参谋部信息安全靶场


美军联合参谋部信息安全靶场英文简称(JIOR),全称为Joint Information OperationsRange,联合信息作战靶场。如上所述,美军联合参谋部信息安全靶场最早于2005年11月18日由美国防部通过备忘录正式授权联合部队司令部组织建设,后移交联合参谋部管理。该靶场主要强调集成各单位原有的用于信息安全测试、训练和实验的靶场、实验室、信息战中心等设施,并将这些设施通过统一的“服务提供点”(SDP)设备连接起来,构成基于VPN加密通信的靶场网络,从而能够支持部分站点通过加密隔离通信手段构成逻辑靶场。

由于美军联合参谋部信息安全靶场的联合靶场特性,其节点遍布美国本土以及欧洲、澳大利亚、韩国等的美军基地。该靶场拥有的站点数随着时间及建设升级不断增加,下图显示了美军联合参谋部信息安全靶场节点升级的时间路线图:

图1 美军信息安全靶场站点升级时序图

美军联合参谋部信息安全靶场节点2012年达68个,2013年进一步扩充到90个站节点,在英、澳、德等盟军单位亦部署了少数节点。2014年实现了50%的容量升级,2015年实现了100多个节点的升级,目前已扩展到全球120多个节点,并在进一步进行扩容升级中,目前美军联合参谋部信息安全靶场的足迹也将扩展到民用领域(例如,国民警卫队、政府机构、安全联盟等),实现数百节点的扩容升级计划。下图显示了2015年美军联合参谋部信息安全靶场全球的120+节点位置图:

图2 美军信息安全靶场节点分布图

该靶场于2006年8月具备“初始运行能力”。之后随着多年建设,目前已具备计算机网络攻击安全模拟能力、计算机网络防御安全模拟能力、进攻性电子战模拟能力、空间安全模拟能力、心理战模拟能力和欺骗模拟能力,已正式宣称达到“全面运行能力”;2011年度执行试验演训事件达到60余个,2012年度有所缩减,执行了39个试验演训事件。2015年度执行试验演训事件再次上升,达到80余个,目前美军联合参谋部信息安全靶场的大型/超大型环境的数量不断增加(每个计划/执行> 600个工时)。

2.2. 美军战略司令部联合网络空间靶场


美军战略司令部联合网络空间靶场(JCOR)起源于SIMTEX程序,该程序始于2002年,旨在支持名为“Black Demon”的演习。该演习激发了美国战略司令部发起了一项名为“堡垒防御者”的联合演习。美军预想,如果每项服务都将具有类似于SIMTEX的程序,那么就可以每年连接全军的模拟器进行联合网络演训。JCOR最初的愿景还包括联合融资,但尚未实现。

美军联合网络空间靶场(Joint Cyber Operation Range,JCOR)是由各安全司令部、各军种、国防部各直属机构和院校组成的靶场联盟,其目标是集合各单位力量,提供基于模拟器的网络攻防教学、培训、任务推演、人员认证以及演练能力。在战略司令部指导下,各单位按照一定标准,根据自身需求独立建设。目前拥有13+种不同类型的模拟器,其中空军模拟器名为训练模拟器(SIMTEX),海军模拟器名为网络安全靶场(NCOR),陆军国民警卫队模拟器名为增强型网络训练模拟器(ARGENTS)。除了这些特定场景的网络模拟器,还有其他称为部分任务训练器的模拟器用于教授和控制特定任务,例如管理防火墙或电子邮件流,在训练需要时通过该模拟器进行防火墙和邮件流等任务的置备、控制和销毁;此外还有针对互联网模拟功能的模拟器,针对网络防御进行训练的模拟器等。JCOR允许用户连接来自不同服务或机构的不同位置的网络培训模拟器,连接级别可以根据用户的需求而变化。也就是说通过各个单位的模拟器相互连接组网,可以逻辑的形成较大范围的逻辑网络空间靶场,并在一定时间段内调用各单位的模拟器资源进行网络攻防教学、培训、攻防推演等活动。JCOR的基本单元为DS3公司于本世纪初研发的“增强型网络空间模拟系统”,其节点单元分为固定式和可移动式。可分为三个模块:外网模拟与攻击行为模拟模块、内网环境模拟模块和后台管理模块。目前在美海军空军等单位,已经部署了近百套该靶场的模拟单元,部署以来广泛用于各种演训活动。

联合网络空间靶场于2013年打通了和美国国家网络靶场NCR)的接口连接。通过美国国家网络靶场提供的模仿公共互联网和其他网络工控网等环境和资源,联合网络空间靶场可进行更大网络范围的攻防演训活动。随着时间及演训进程的发展,JCOR自身的能力已经大大增强,其不断增加的模拟器不断向其他网络空间领域进行建设和发展,其模拟的环境不在局限于传统网络环境,也包括现在飞机系统、海事系统等其他军事活动频繁的领域;训练场景也增加了诸如Facebook和Twitter消息以及博客等实时用户行为内容,情报人员可以通过模拟器实时搜索有关对手的信息。

在2011年,JCOR记录显示,用户使用模拟器达30,548个小时,2012年这一数字增长至34,788个小时,随着JCOR用户数量和模拟器数量的增长,联合网络空间靶场将具备更多能力。

2.3. 美军国防信息系统局赛博安全靶场


赛博安全靶场前身为信息保障/计算机网络防御靶场,信息保障/计算机网络防御靶场由2010年美军国防信息系统局组织建设。该靶场的任务是模拟全球信息网格(GIG)及其服务,支持信息保障(IA)和计算机网络防御(CND)试验演训,培训官兵的信息保障能力,进行新型技战术测试评估。2014年,美军将术语信息保障修订为赛博安全,该靶场也随之更名为赛博安全靶场。靶场由国防信息系统局(DISA)负责,并由海军陆战队司令部指挥控制通信与计算机赛博分部管理。赛博安全靶场同时也和JIOR、NCR以及C4AD靶场进行互联互通集成,该靶场互联架构如下图所示:

图3 赛博安全靶场互联架构

赛博安全靶场总体结构如图3所示。处于图中央的核心部分是以骨干网级路由器构成的美军全球信息网格(GIG)骨干网模拟区域;以GIG模拟区域为核心,设置了多个美军基地和国防信息系统局下属网络保障单位的模拟区域,同时还设置了互联网模拟区域以模拟敌军通过互联网对GIG实施渗透攻击。每个模拟基地均设置有由屏蔽路由器、防火墙、接入路由器组成的边界设施,以及含入侵检测设备的DMZ区域,真实再现了美军基地安全防护体系。靶场用户可通过加密VPN途径接入。同时该靶场也可以和联合信息安全靶场等其它靶场设施通过VPN远程互联。

图4 赛博安全靶场总体结构

该靶场在2010年达到“初始运行能力”,目前该靶场已联通了国防信息系统局、网络空间司令部(国家安全局)、美国空军第34战术通信中队、海军空间和海战系统司令部等单位。美海军部在2012年2月由首席信息官签署的《海军网络空间靶场政策指引》备忘录中,明确要求以国防部网络空间(赛博安全)靶场统一海军和海军陆战队的网络空间训练、演习、测试和评估活动。凡此后海军和海军陆战队举行的相关活动,均需首先考虑在该靶场内进行。目前海军和海军陆战队的十多个位于各地的分散环境已能够以赛博安全靶场为中心接入,构成联合模拟环境,如图5所示。

图5 美海军部以赛博安全靶场为中心规划的靶场体系

赛博安全靶场为美军提供了训练即实战的真实感。美军可以通过安全的虚拟专网采用边界组件远程访问赛博安全靶场。赛博安全靶场可以真实地重建国防部信息网(DODIN)环境,提供对事件的直接指挥控制以及观察,支持赛博事件的重复、刷新以及回应,支持红队/蓝队,帮助用户快速熟悉靶场,改进赛博战士工具,验证预先制定的做法并生成配置变更,评估并验证各种战术、技术与程序以及赛博安全/计算机赛博防御工具,支持渗透测试以及突发事件响应能力。

赛博安全靶场目前已升级到2.0时代,大量使用虚拟化云计算、大数据、软件定义网络、网络虚拟化等技术,最大限度实现物理设备虚拟化,并基于靶场演训重用构建标准环境镜像组件,以进行大规模环境的复制生成和资源快速回收利用。赛博安全靶场2.0还提供所有密级的共用靶场自动化框架,自动化环境控制与供给,集成的、自动化的硬件,虚拟化与专用硬件控制等复杂资源异构管理。

赛博安全靶场2.0架构如下图所示:

图6 赛博安全靶场2.0架构

在赛博安全靶场2.0中,在基础架构层提供DISN核心路由器与骨干、DODIN域名核心服务、MPLS路由、感知节点、因特网接入点以及联合区域安全栈(JRSS)。其中,非密靶场提供非密基础架构层,并协调DISA互联网接入点与JRSS。保密靶场将提供全混合基础架构层以及全虚拟基础设施互联网接入点与JRSS栈。每个联合区域安全栈(JRSS)的架构如下图所示:

图7 联合区域安全栈(JRSS)架构

2.4. 美军国家网络靶场


美军并不满足于现已装备的靶场设施。为实现网络空间安全能力的重大变革,确保未来在网络空间继续保持领先优势,美国防先进研究计划局于2008年规划、2009年启动了“国家网络空间靶场”建设。其主要目的是建成能够真实复制超大规模目标网络环境,借助各种先进技术手段检验评估网络攻防能力,充分支持尖端技术实验需求,技术水平全面领先的下一代网络靶场,该靶场完成后将为美争夺网络空间霸权提供“革命性”的推动力。

由洛克希德•马丁公司完成的位于佛罗里达州的原型靶场耗资1.4亿美元,包含了物理层交换机等相应硬件和500万行代码,共有220个节点,能模拟2000人以上用户,包含攻防试验设计和实时数据可视化等工具,支持靶标自动构建、数据自动清理、并发多安全级测试等功能。图8 给出了该靶场原型系统的模拟环境设计部署界面。

图 8 国家网络空间靶场原型系统模拟环境设计部署界面

2011年10月该原型系统已完成首次试验,在一天内就完成了含1100个节点的国防部网络模拟环境的构建,据称这一任务以往通常需要六周时间才能完成。2012年1月,原型系统的规模扩充到能够模拟3000个节点。试运行期间,该靶场共完成了7次试验。

美军国家网络靶场的关键能力包括:利用多重独立安全等级(MILS)架构支持多个并发的不同密级的测试:快速仿真复杂、典型的网络运行环境(可实现40000个高仿真度虚拟节点,支持红队、蓝队、灰队—演习中提供网络流量或仿真但本身不扮演进攻或防御角色的一方,以及包括武器系统在内的各种专用系统);具备高度自动化,显著提高效率,支持更为频繁以及更为准确的事件;可以将所有暴露系统恢复;可以适应广泛的事件类型与用途(测试、训练、研究等),支持多样化的用户数据库;还可以通过联合任务环境测试能力(JMETC)连接基础设施与其他靶场联合运行。

该靶场原定移交给网络空间司令部,后最终决定移交至国防部测试资源管理中心。2012年9月,美国防部发布采购通知,决定在今后五年内继续投入8000万美元,由洛克希德•马丁公司进一步完善国家网络空间靶场。2018年,洛克希德·马丁公司再次获得了美军国家网络空间靶场升级合同,继续就靶场能力进行更新迭代。洛克希德·马丁公司下属的导弹与火控系统分部与美国陆军司令部签署总价值约3390万美元的网络靶场升级合同。根据合同要求,洛克希德·马丁公司将对国家网络靶场的现有能力进行深度升级和大幅扩展,能够演示和研究目前最具破坏性的网络病毒以及隐蔽性最强的恶意代码,同时将其传播有效控制在靶场范围内,避免向公用或军用网络泄漏。此外,国家网络靶场还将有能力测试和评估更多复杂的网络攻防技术,包括恶意软件、木马程序、主被动防御手段等。洛克希德·马丁公司的能力提升项目完成后,美国国家网络靶场还将具备测试新的网络协议、卫星和射频通信系统,以及战术机动通信和海事通信系统的能力。

本文后续将继续针对欧洲、日本等过的网络靶场进行梳理,并开展商业网络靶场发展梳理。