網絡空間靶場發展態勢綜述
- 2019 年 10 月 30 日
- 筆記
摘要:近年來,全球逐漸興起以網絡空間靶場(Cyber Range)等信息安全和網絡空間安全等新理論的革新研究與應用推廣。從國家軍事層面,為使軍隊能夠通過訓練演練快速掌握這些先進安全理論,並通過靶場試驗加速相配套的武器裝備的研發進程,使軍隊安全訓練和武器裝備的建設發展與安全理論革新相適應,以美國為首的世界主要發達國家顯著加快了網絡空間靶場的建設力度。從安全市場層面,為使安全人員能夠應對愈加複雜的安全形勢和攻防技術,通過靶場訓練測試加速紅藍對抗演練等技戰術能力,使網絡安全人員技能及設備的建設發展與安全理論革新相適應,全球各大安全公司及新興創新公司均不同程度設計研發了面向不同應用場景的靶場產品及方案。本文基於互聯網上公開的靶場資料,調研和梳理了目前網絡空間靶場的發展態勢,為靶場建設單位及群體提供分析研判參考。
關鍵詞:網絡空間靶場,Cyber Range,攻防演練,紅藍對抗
一、前言
從理論設計到實際部署,網絡空間靶場(Cyber Range)將作為支撐網絡空間安全技術驗證、網絡武器裝備試驗、攻防對抗演練和網絡風險評估的重要基礎設施,成為新興網絡安全戰略、專業人才隊伍建設的重要支撐手段。世界各國均高度重視網絡空間靶場建設工作,在這一方面,美國走在了世界的前列,除了建成多個小型網絡空間靶場外,業已開展國家級的網絡空間靶場建設,並建立了基於全美「廣域分佈、邏輯一體」的龐大聯合靶場測試群。美國建設國家網絡空間靶場引起了各國高度重視。英、德、俄、日、韓、法、澳、瑞典等國為保持其優勢,借鑒美國經驗建設了同類項目,作為支撐網絡空間安全技術演示驗證、網絡武器裝備研製試驗的重要工具。
網絡空間靶場從概念形成到目前的成熟體系,歷經了一段時間的探索。大概在2003年左右,美軍為滿足信息安全力量建設需要,着手啟動信息安全靶場建設。美國防部2005年11月18日通過備忘錄正式授權聯合部隊司令部組織建設信息安全靶場(聯合部隊司令部於2011年撤銷後,該靶場移交聯合參謀部管理)。該靶場從目前公開可查的資料上看,應是屬於最早成體系化和平台化發展的靶場。在這之前,所有的針對信息安全的試驗測試和安全研究均基於實物硬件環境,一是不具備體系化和平台化特徵,二是尚無網絡空間領域或數字領域「靶場」的明確概念。
隨着形勢和任務變化,美軍諸多軍兵種也逐漸興建各自的小型虛擬化網絡測試靶場。最具代表性的事件是2008年美國國防部國防高級研究計劃局(DARPA)牽頭建立的國家網絡空間靶場NCR,首次提出建立大型的成體系化和平台化的網絡空間靶場。以此為契機,在學術界、工業界等相關的網絡空間靶場理論和體系框架也隨之進入探索試驗的快車道。這個時間段內虛擬化技術以及由此形成的雲計算、大數據、軟件定義網絡等蓬勃式發展,為網絡空間靶場的迅速落地提供了堅實的實現和發展技術前提。這個時期的網絡空間靶場逐漸從軍隊走向學術界和工業界,並不斷發展出系列軍民融合靶場、虛實結合靶場、民用測試靶場、商業網絡靶場等。
直至目前,各國軍事網絡空間靶場正在向成為全頻譜信息安全/網絡空間靶場的目標邁進。全頻譜網絡空間靶場是指包含了全部網絡空間內容的數字靶場,包含了我們可見的所有網絡空間內容,比如互聯網、工控網、衛星網、電信網、物聯網、電磁網、無線網、下一代互聯網等所有的網絡通訊類型,包含了網絡空間所涉及和涵蓋的網絡、計算機、移動設備、多媒體、傳感器、無人系統、智能設備等所有可見終端類型。如我們所見,在人工智能、數字孿生等新興技術,萬事萬物互聯發展的今天,全頻譜網絡空間靶場將模擬和仿真我們的整個現實世界,並將現實世界映射至全頻譜網絡空間靶場用於網絡空間安全技術驗證、網絡武器裝備試驗、攻防對抗演練和網絡風險評估等試驗演訓。
二 、美軍典型靶場發展現狀
由於靶場概念最先源於美軍網絡安全攻防建設引申而出,本文第一小節將首先研究美軍的網絡空間靶場發展思路及具體過程,以期了解和研判美軍當前的網絡空間靶場發展態勢。從公開資料研究顯示,目前美軍大型的網絡空間靶場主要由美軍戰略司令部和美軍國防部主要協同管理,而從美軍戰略司令部分離出來的美軍網絡司令部現目前尚未從美軍戰略司令部和美軍國防部手中接過各大網絡空間靶場的管轄權。目前在美軍戰略司令部手中的美軍大型網絡靶場包括美軍戰略司令部聯合網絡空間靶場(JCOR),在美軍國防部管轄下的大型網絡空間靶場包括美軍聯合參謀部J7信息安全靶場(JIOR)、美軍國家網絡靶場(NCR)、美軍國防信息系統局賽博安全靶場(CSR)以及隸屬於美軍聯合參謀部J6的指揮、控制、通信和計算評估(C4AD)靶場。除了上述靶場以外,美各軍兵種還根據自身需求建立了各自的靶場,包括:海軍的戰術賽博靶場、陸軍賽博靶場等。
美國防部管轄的四大網絡空間靶場,除NCR外,還包括C4 Assessment Division(C4AD) 、DoD CybersecurityRange(美軍國防信息系統局賽博安全靶場)、Joint IO Range(JIOR)等,四大靶場使命和能力對比如下:
|
表1: 美軍國防部管理的四大網絡空間靶場 |
||||
|---|---|---|---|---|
|
靶場 |
指揮,控制,通信和計算機評估部(C4AD) |
美軍國防信息系統局賽博安全靶場(CSR) |
美軍聯合參謀部信息安全靶場 (JIOR) |
美軍國家網絡靶場 (NCR) |
|
使命 |
C4AD在持續的C4環境中評估現有和新興的命令、控制、通信和計算(C4)功能,以實現滿足聯合作戰需求的可互操作和集成的解決方案。複製聯合作戰人員、C4系統和解決這些系統之間的互操作性。 |
提供持久的環境以支持測試和評估、演訓、培訓和教育。模擬全球信息網格(GIG)及其服務,支持信息保障(IA)和計算機網絡防禦(CND)試驗演訓,培訓官兵的信息保障能力,進行新型技戰術測試評估 |
創建一個靈活、無縫和持久的環境(基礎結構),使作戰指揮官和部隊指揮官在運用動能武器所擁有的信息作戰(IO)武器時達到相同的信心和專業水平。 |
提供高保真、超逼真的大規模網絡環境,以便在系統生命周期的所有階段進行複雜的網絡培訓並支持網絡測試,以及對複雜的系統系統進行攻防演訓。NCR帶來了國家網絡靶場能力的革命,並加速了技術過渡。 |
|
能力 |
•C4AD可以連接到美軍聯合參謀部信息安全靶場(JIOR)或以獨立模式運行。•用實際的硬件和軟件複製可操作的命令和控制(C2)環境,從而能夠評估系統和系統間的互操作性、操作能力、過程合規性以及技術適用性,以確認準備就緒情況。•C4AD具有結合培訓練習和測試事件來完成測試和培訓以及認證目標的經驗。 |
•美軍國防信息系統局賽博安全靶場可以獨立運行,或者指揮官/服務/機構(CC/S/A)及其各自的網絡環境也可以通過以下方式連接到該靶場:o美軍聯合參謀部信息安全靶場(JIOR)o通過Internet和國防研究與工程網絡(DREN)的虛擬專用網(VPN)連接。•專註於網絡安全和計算機網絡防禦的持久環境。•模擬全球信息網格(GIG)及其服務。•持信息保障(IA)和計算機網絡防禦(CND)試驗演訓。•服務包括流量生成、可配置的用戶仿真。可以在環境中模擬惡意軟件、間諜軟件和BOTnet並將其用於混淆培訓環境。 |
•封閉的多層安全性(最高機密/敏感隔離信息(TS/SCI)環境,旨在進行網絡和其他非攻擊活動)。•在全球大約68個位置具有服務節點的分佈式網絡。•形成一個現實且相關的實時火力網絡空間環境,以支持信息作戰(IO)和網絡空間任務區域的作戰指揮,服務,機構以及測試社區的培訓,測試和試驗。•可以為聯盟合作夥伴提供安全的連接和傳輸。•具有多個安全級別的多個同時發生的事件。•符合軍隊的聯合作戰意圖概念,並提供關鍵的聯合部隊網絡空間培訓和測試環境。它是聯合培訓企業中唯一支持網絡空間和信息作戰(IO)相關目標的「實時射擊」靶場。 |
•NCR可以連接到JIOR,JMETC多獨立安全級別(MILS)網絡(JMN),或以獨立模式運行。•專用軟件有助於快速進行網絡設計、重新配置和清理以及網絡擴展。•安全架構:可將通用基礎架構劃分為MILS並利用真實的惡意軟件。•端到端工具包,可自動完成創建高保真測試環境的冗長過程。•網絡領域、網絡測試、網絡靶場管理和網絡測試工具方面的自動化流程結合。 |
2.1. 美軍聯合參謀部信息安全靶場
美軍聯合參謀部信息安全靶場英文簡稱(JIOR),全稱為Joint Information OperationsRange,聯合信息作戰靶場。如上所述,美軍聯合參謀部信息安全靶場最早於2005年11月18日由美國防部通過備忘錄正式授權聯合部隊司令部組織建設,後移交聯合參謀部管理。該靶場主要強調集成各單位原有的用於信息安全測試、訓練和實驗的靶場、實驗室、信息戰中心等設施,並將這些設施通過統一的「服務提供點」(SDP)設備連接起來,構成基於VPN加密通信的靶場網絡,從而能夠支持部分站點通過加密隔離通信手段構成邏輯靶場。
由於美軍聯合參謀部信息安全靶場的聯合靶場特性,其節點遍布美國本土以及歐洲、澳大利亞、韓國等的美軍基地。該靶場擁有的站點數隨着時間及建設升級不斷增加,下圖顯示了美軍聯合參謀部信息安全靶場節點升級的時間路線圖:
圖1 美軍信息安全靶場站點升級時序圖
美軍聯合參謀部信息安全靶場節點2012年達68個,2013年進一步擴充到90個站節點,在英、澳、德等盟軍單位亦部署了少數節點。2014年實現了50%的容量升級,2015年實現了100多個節點的升級,目前已擴展到全球120多個節點,並在進一步進行擴容升級中,目前美軍聯合參謀部信息安全靶場的足跡也將擴展到民用領域(例如,國民警衛隊、政府機構、安全聯盟等),實現數百節點的擴容升級計劃。下圖顯示了2015年美軍聯合參謀部信息安全靶場全球的120+節點位置圖:
圖2 美軍信息安全靶場節點分佈圖
該靶場於2006年8月具備「初始運行能力」。之後隨着多年建設,目前已具備計算機網絡攻擊安全模擬能力、計算機網絡防禦安全模擬能力、進攻性電子戰模擬能力、空間安全模擬能力、心理戰模擬能力和欺騙模擬能力,已正式宣稱達到「全面運行能力」;2011年度執行試驗演訓事件達到60餘個,2012年度有所縮減,執行了39個試驗演訓事件。2015年度執行試驗演訓事件再次上升,達到80餘個,目前美軍聯合參謀部信息安全靶場的大型/超大型環境的數量不斷增加(每個計劃/執行> 600個工時)。
2.2. 美軍戰略司令部聯合網絡空間靶場
美軍戰略司令部聯合網絡空間靶場(JCOR)起源於SIMTEX程序,該程序始於2002年,旨在支持名為「Black Demon」的演習。該演習激發了美國戰略司令部發起了一項名為「堡壘防禦者」的聯合演習。美軍預想,如果每項服務都將具有類似於SIMTEX的程序,那麼就可以每年連接全軍的模擬器進行聯合網絡演訓。JCOR最初的願景還包括聯合融資,但尚未實現。
美軍聯合網絡空間靶場(Joint Cyber Operation Range,JCOR)是由各安全司令部、各軍種、國防部各直屬機構和院校組成的靶場聯盟,其目標是集合各單位力量,提供基於模擬器的網絡攻防教學、培訓、任務推演、人員認證以及演練能力。在戰略司令部指導下,各單位按照一定標準,根據自身需求獨立建設。目前擁有13+種不同類型的模擬器,其中空軍模擬器名為訓練模擬器(SIMTEX),海軍模擬器名為網絡安全靶場(NCOR),陸軍國民警衛隊模擬器名為增強型網絡訓練模擬器(ARGENTS)。除了這些特定場景的網絡模擬器,還有其他稱為部分任務訓練器的模擬器用於教授和控制特定任務,例如管理防火牆或電子郵件流,在訓練需要時通過該模擬器進行防火牆和郵件流等任務的置備、控制和銷毀;此外還有針對互聯網模擬功能的模擬器,針對網絡防禦進行訓練的模擬器等。JCOR允許用戶連接來自不同服務或機構的不同位置的網絡培訓模擬器,連接級別可以根據用戶的需求而變化。也就是說通過各個單位的模擬器相互連接組網,可以邏輯的形成較大範圍的邏輯網絡空間靶場,並在一定時間段內調用各單位的模擬器資源進行網絡攻防教學、培訓、攻防推演等活動。JCOR的基本單元為DS3公司於本世紀初研發的「增強型網絡空間模擬系統」,其節點單元分為固定式和可移動式。可分為三個模塊:外網模擬與攻擊行為模擬模塊、內網環境模擬模塊和後台管理模塊。目前在美海軍空軍等單位,已經部署了近百套該靶場的模擬單元,部署以來廣泛用於各種演訓活動。
聯合網絡空間靶場於2013年打通了和美國國家網絡靶場NCR)的接口連接。通過美國國家網絡靶場提供的模仿公共互聯網和其他網絡工控網等環境和資源,聯合網絡空間靶場可進行更大網絡範圍的攻防演訓活動。隨着時間及演訓進程的發展,JCOR自身的能力已經大大增強,其不斷增加的模擬器不斷向其他網絡空間領域進行建設和發展,其模擬的環境不在局限於傳統網絡環境,也包括現在飛機系統、海事系統等其他軍事活動頻繁的領域;訓練場景也增加了諸如Facebook和Twitter消息以及博客等實時用戶行為內容,情報人員可以通過模擬器實時搜索有關對手的信息。
在2011年,JCOR記錄顯示,用戶使用模擬器達30,548個小時,2012年這一數字增長至34,788個小時,隨着JCOR用戶數量和模擬器數量的增長,聯合網絡空間靶場將具備更多能力。
2.3. 美軍國防信息系統局賽博安全靶場
賽博安全靶場前身為信息保障/計算機網絡防禦靶場,信息保障/計算機網絡防禦靶場由2010年美軍國防信息系統局組織建設。該靶場的任務是模擬全球信息網格(GIG)及其服務,支持信息保障(IA)和計算機網絡防禦(CND)試驗演訓,培訓官兵的信息保障能力,進行新型技戰術測試評估。2014年,美軍將術語信息保障修訂為賽博安全,該靶場也隨之更名為賽博安全靶場。靶場由國防信息系統局(DISA)負責,並由海軍陸戰隊司令部指揮控制通信與計算機賽博分部管理。賽博安全靶場同時也和JIOR、NCR以及C4AD靶場進行互聯互通集成,該靶場互聯架構如下圖所示:
圖3 賽博安全靶場互聯架構
賽博安全靶場總體結構如圖3所示。處於圖中央的核心部分是以骨幹網級路由器構成的美軍全球信息網格(GIG)骨幹網模擬區域;以GIG模擬區域為核心,設置了多個美軍基地和國防信息系統局下屬網絡保障單位的模擬區域,同時還設置了互聯網模擬區域以模擬敵軍通過互聯網對GIG實施滲透攻擊。每個模擬基地均設置有由屏蔽路由器、防火牆、接入路由器組成的邊界設施,以及含入侵檢測設備的DMZ區域,真實再現了美軍基地安全防護體系。靶場用戶可通過加密VPN途徑接入。同時該靶場也可以和聯合信息安全靶場等其它靶場設施通過VPN遠程互聯。
圖4 賽博安全靶場總體結構
該靶場在2010年達到「初始運行能力」,目前該靶場已聯通了國防信息系統局、網絡空間司令部(國家安全局)、美國空軍第34戰術通信中隊、海軍空間和海戰系統司令部等單位。美海軍部在2012年2月由首席信息官簽署的《海軍網絡空間靶場政策指引》備忘錄中,明確要求以國防部網絡空間(賽博安全)靶場統一海軍和海軍陸戰隊的網絡空間訓練、演習、測試和評估活動。凡此後海軍和海軍陸戰隊舉行的相關活動,均需首先考慮在該靶場內進行。目前海軍和海軍陸戰隊的十多個位於各地的分散環境已能夠以賽博安全靶場為中心接入,構成聯合模擬環境,如圖5所示。
圖5 美海軍部以賽博安全靶場為中心規劃的靶場體系
賽博安全靶場為美軍提供了訓練即實戰的真實感。美軍可以通過安全的虛擬專網採用邊界組件遠程訪問賽博安全靶場。賽博安全靶場可以真實地重建國防部信息網(DODIN)環境,提供對事件的直接指揮控制以及觀察,支持賽博事件的重複、刷新以及回應,支持紅隊/藍隊,幫助用戶快速熟悉靶場,改進賽博戰士工具,驗證預先制定的做法並生成配置變更,評估並驗證各種戰術、技術與程序以及賽博安全/計算機賽博防禦工具,支持滲透測試以及突發事件響應能力。
賽博安全靶場目前已升級到2.0時代,大量使用虛擬化雲計算、大數據、軟件定義網絡、網絡虛擬化等技術,最大限度實現物理設備虛擬化,並基於靶場演訓重用構建標準環境鏡像組件,以進行大規模環境的複製生成和資源快速回收利用。賽博安全靶場2.0還提供所有密級的共用靶場自動化框架,自動化環境控制與供給,集成的、自動化的硬件,虛擬化與專用硬件控制等複雜資源異構管理。
賽博安全靶場2.0架構如下圖所示:
圖6 賽博安全靶場2.0架構
在賽博安全靶場2.0中,在基礎架構層提供DISN核心路由器與骨幹、DODIN域名核心服務、MPLS路由、感知節點、互聯網接入點以及聯合區域安全棧(JRSS)。其中,非密靶場提供非密基礎架構層,並協調DISA互聯網接入點與JRSS。保密靶場將提供全混合基礎架構層以及全虛擬基礎設施互聯網接入點與JRSS棧。每個聯合區域安全棧(JRSS)的架構如下圖所示:
圖7 聯合區域安全棧(JRSS)架構
2.4. 美軍國家網絡靶場
美軍並不滿足於現已裝備的靶場設施。為實現網絡空間安全能力的重大變革,確保未來在網絡空間繼續保持領先優勢,美國防先進研究計劃局於2008年規劃、2009年啟動了「國家網絡空間靶場」建設。其主要目的是建成能夠真實複製超大規模目標網絡環境,藉助各種先進技術手段檢驗評估網絡攻防能力,充分支持尖端技術實驗需求,技術水平全面領先的下一代網絡靶場,該靶場完成後將為美爭奪網絡空間霸權提供「革命性」的推動力。
由洛克希德•馬丁公司完成的位於佛羅里達州的原型靶場耗資1.4億美元,包含了物理層交換機等相應硬件和500萬行代碼,共有220個節點,能模擬2000人以上用戶,包含攻防試驗設計和實時數據可視化等工具,支持靶標自動構建、數據自動清理、並發多安全級測試等功能。圖8 給出了該靶場原型系統的模擬環境設計部署界面。
圖 8 國家網絡空間靶場原型系統模擬環境設計部署界面
2011年10月該原型系統已完成首次試驗,在一天內就完成了含1100個節點的國防部網絡模擬環境的構建,據稱這一任務以往通常需要六周時間才能完成。2012年1月,原型系統的規模擴充到能夠模擬3000個節點。試運行期間,該靶場共完成了7次試驗。
美軍國家網絡靶場的關鍵能力包括:利用多重獨立安全等級(MILS)架構支持多個並發的不同密級的測試:快速仿真複雜、典型的網絡運行環境(可實現40000個高仿真度虛擬節點,支持紅隊、藍隊、灰隊—演習中提供網絡流量或仿真但本身不扮演進攻或防禦角色的一方,以及包括武器系統在內的各種專用系統);具備高度自動化,顯著提高效率,支持更為頻繁以及更為準確的事件;可以將所有暴露系統恢復;可以適應廣泛的事件類型與用途(測試、訓練、研究等),支持多樣化的用戶數據庫;還可以通過聯合任務環境測試能力(JMETC)連接基礎設施與其他靶場聯合運行。
該靶場原定移交給網絡空間司令部,後最終決定移交至國防部測試資源管理中心。2012年9月,美國防部發佈採購通知,決定在今後五年內繼續投入8000萬美元,由洛克希德•馬丁公司進一步完善國家網絡空間靶場。2018年,洛克希德·馬丁公司再次獲得了美軍國家網絡空間靶場升級合同,繼續就靶場能力進行更新迭代。洛克希德·馬丁公司下屬的導彈與火控系統分部與美國陸軍司令部簽署總價值約3390萬美元的網絡靶場升級合同。根據合同要求,洛克希德·馬丁公司將對國家網絡靶場的現有能力進行深度升級和大幅擴展,能夠演示和研究目前最具破壞性的網絡病毒以及隱蔽性最強的惡意代碼,同時將其傳播有效控制在靶場範圍內,避免向公用或軍用網絡泄漏。此外,國家網絡靶場還將有能力測試和評估更多複雜的網絡攻防技術,包括惡意軟件、木馬程序、主被動防禦手段等。洛克希德·馬丁公司的能力提升項目完成後,美國國家網絡靶場還將具備測試新的網絡協議、衛星和射頻通信系統,以及戰術機動通信和海事通信系統的能力。
本文後續將繼續針對歐洲、日本等過的網絡靶場進行梳理,並開展商業網絡靶場發展梳理。
