網路空間靶場發展態勢綜述

  • 2019 年 10 月 30 日
  • 筆記

摘要:近年來,全球逐漸興起以網路空間靶場(Cyber Range)等資訊安全和網路空間安全等新理論的革新研究與應用推廣。從國家軍事層面,為使軍隊能夠通過訓練演練快速掌握這些先進安全理論,並通過靶場試驗加速相配套的武器裝備的研發進程,使軍隊安全訓練和武器裝備的建設發展與安全理論革新相適應,以美國為首的世界主要發達國家顯著加快了網路空間靶場的建設力度。從安全市場層面,為使安全人員能夠應對愈加複雜的安全形勢和攻防技術,通過靶場訓練測試加速紅藍對抗演練等技戰術能力,使網路安全人員技能及設備的建設發展與安全理論革新相適應,全球各大安全公司及新興創新公司均不同程度設計研發了面向不同應用場景的靶場產品及方案。本文基於互聯網上公開的靶場資料,調研和梳理了目前網路空間靶場的發展態勢,為靶場建設單位及群體提供分析研判參考。

關鍵詞:網路空間靶場,Cyber Range,攻防演練,紅藍對抗

一、前言


從理論設計到實際部署,網路空間靶場(Cyber Range)將作為支撐網路空間安全技術驗證、網路武器裝備試驗、攻防對抗演練和網路風險評估的重要基礎設施,成為新興網路安全戰略、專業人才隊伍建設的重要支撐手段。世界各國均高度重視網路空間靶場建設工作,在這一方面,美國走在了世界的前列,除了建成多個小型網路空間靶場外,業已開展國家級的網路空間靶場建設,並建立了基於全美「廣域分布、邏輯一體」的龐大聯合靶場測試群。美國建設國家網路空間靶場引起了各國高度重視。英、德、俄、日、韓、法、澳、瑞典等國為保持其優勢,借鑒美國經驗建設了同類項目,作為支撐網路空間安全技術演示驗證、網路武器裝備研製試驗的重要工具。

網路空間靶場從概念形成到目前的成熟體系,歷經了一段時間的探索。大概在2003年左右,美軍為滿足資訊安全力量建設需要,著手啟動資訊安全靶場建設。美國防部2005年11月18日通過備忘錄正式授權聯合部隊司令部組織建設資訊安全靶場(聯合部隊司令部於2011年撤銷後,該靶場移交聯合參謀部管理)。該靶場從目前公開可查的資料上看,應是屬於最早成體系化和平台化發展的靶場。在這之前,所有的針對資訊安全的試驗測試和安全研究均基於實物硬體環境,一是不具備體系化和平台化特徵,二是尚無網路空間領域或數字領域「靶場」的明確概念。

隨著形勢和任務變化,美軍諸多軍兵種也逐漸興建各自的小型虛擬化網路測試靶場。最具代表性的事件是2008年美國國防部國防高級研究計劃局(DARPA)牽頭建立的國家網路空間靶場NCR,首次提出建立大型的成體系化和平台化的網路空間靶場。以此為契機,在學術界、工業界等相關的網路空間靶場理論和體系框架也隨之進入探索試驗的快車道。這個時間段內虛擬化技術以及由此形成的雲計算、大數據、軟體定義網路等蓬勃式發展,為網路空間靶場的迅速落地提供了堅實的實現和發展技術前提。這個時期的網路空間靶場逐漸從軍隊走向學術界和工業界,並不斷發展出系列軍民融合靶場、虛實結合靶場、民用測試靶場、商業網路靶場等。

直至目前,各國軍事網路空間靶場正在向成為全頻譜資訊安全/網路空間靶場的目標邁進。全頻譜網路空間靶場是指包含了全部網路空間內容的數字靶場,包含了我們可見的所有網路空間內容,比如互聯網、工控網、衛星網、電信網、物聯網、電磁網、無線網、下一代互聯網等所有的網路通訊類型,包含了網路空間所涉及和涵蓋的網路、電腦、移動設備、多媒體、感測器、無人系統、智慧設備等所有可見終端類型。如我們所見,在人工智慧、數字孿生等新興技術,萬事萬物互聯發展的今天,全頻譜網路空間靶場將模擬和模擬我們的整個現實世界,並將現實世界映射至全頻譜網路空間靶場用於網路空間安全技術驗證、網路武器裝備試驗、攻防對抗演練和網路風險評估等試驗演訓。

二 、美軍典型靶場發展現狀


由於靶場概念最先源於美軍網路安全攻防建設引申而出,本文第一小節將首先研究美軍的網路空間靶場發展思路及具體過程,以期了解和研判美軍當前的網路空間靶場發展態勢。從公開資料研究顯示,目前美軍大型的網路空間靶場主要由美軍戰略司令部和美軍國防部主要協同管理,而從美軍戰略司令部分離出來的美軍網路司令部現目前尚未從美軍戰略司令部和美軍國防部手中接過各大網路空間靶場的管轄權。目前在美軍戰略司令部手中的美軍大型網路靶場包括美軍戰略司令部聯合網路空間靶場(JCOR),在美軍國防部管轄下的大型網路空間靶場包括美軍聯合參謀部J7資訊安全靶場(JIOR)、美軍國家網路靶場(NCR)、美軍國防資訊系統局賽博安全靶場(CSR)以及隸屬於美軍聯合參謀部J6的指揮、控制、通訊和計算評估(C4AD)靶場。除了上述靶場以外,美各軍兵種還根據自身需求建立了各自的靶場,包括:海軍的戰術賽博靶場、陸軍賽博靶場等。

美國防部管轄的四大網路空間靶場,除NCR外,還包括C4 Assessment Division(C4AD) 、DoD CybersecurityRange(美軍國防資訊系統局賽博安全靶場)、Joint IO Range(JIOR)等,四大靶場使命和能力對比如下:

表1: 美軍國防部管理的四大網路空間靶場

靶場

指揮,控制,通訊和電腦評估部(C4AD)

美軍國防資訊系統局賽博安全靶場(CSR)

美軍聯合參謀部資訊安全靶場 (JIOR)

美軍國家網路靶場 (NCR)

使命

C4AD在持續的C4環境中評估現有和新興的命令、控制、通訊和計算(C4)功能,以實現滿足聯合作戰需求的可互操作和集成的解決方案。複製聯合作戰人員、C4系統和解決這些系統之間的互操作性。

提供持久的環境以支援測試和評估、演訓、培訓和教育。模擬全球資訊網格(GIG)及其服務,支援資訊保障(IA)和電腦網路防禦(CND)試驗演訓,培訓官兵的資訊保障能力,進行新型技戰術測試評估

創建一個靈活、無縫和持久的環境(基礎結構),使作戰指揮官和部隊指揮官在運用動能武器所擁有的資訊作戰(IO)武器時達到相同的信心和專業水平。

提供高保真、超逼真的大規模網路環境,以便在系統生命周期的所有階段進行複雜的網路培訓並支援網路測試,以及對複雜的系統系統進行攻防演訓。NCR帶來了國家網路靶場能力的革命,並加速了技術過渡。

能力

•C4AD可以連接到美軍聯合參謀部資訊安全靶場(JIOR)或以獨立模式運行。•用實際的硬體和軟體複製可操作的命令和控制(C2)環境,從而能夠評估系統和系統間的互操作性、操作能力、過程合規性以及技術適用性,以確認準備就緒情況。•C4AD具有結合培訓練習和測試事件來完成測試和培訓以及認證目標的經驗。

•美軍國防資訊系統局賽博安全靶場可以獨立運行,或者指揮官/服務/機構(CC/S/A)及其各自的網路環境也可以通過以下方式連接到該靶場:o美軍聯合參謀部資訊安全靶場(JIOR)o通過Internet和國防研究與工程網路(DREN)的虛擬專用網(VPN)連接。•專註於網路安全和電腦網路防禦的持久環境。•模擬全球資訊網格(GIG)及其服務。•持資訊保障(IA)和電腦網路防禦(CND)試驗演訓。•服務包括流量生成、可配置的用戶模擬。可以在環境中模擬惡意軟體、間諜軟體和BOTnet並將其用於混淆培訓環境。

•封閉的多層安全性(最高機密/敏感隔離資訊(TS/SCI)環境,旨在進行網路和其他非攻擊活動)。•在全球大約68個位置具有服務節點的分散式網路。•形成一個現實且相關的實時火力網路空間環境,以支援資訊作戰(IO)和網路空間任務區域的作戰指揮,服務,機構以及測試社區的培訓,測試和試驗。•可以為聯盟合作夥伴提供安全的連接和傳輸。•具有多個安全級別的多個同時發生的事件。•符合軍隊的聯合作戰意圖概念,並提供關鍵的聯合部隊網路空間培訓和測試環境。它是聯合培訓企業中唯一支援網路空間和資訊作戰(IO)相關目標的「實時射擊」靶場。

•NCR可以連接到JIOR,JMETC多獨立安全級別(MILS)網路(JMN),或以獨立模式運行。•專用軟體有助於快速進行網路設計、重新配置和清理以及網路擴展。•安全架構:可將通用基礎架構劃分為MILS並利用真實的惡意軟體。•端到端工具包,可自動完成創建高保真測試環境的冗長過程。•網路領域、網路測試、網路靶場管理和網路測試工具方面的自動化流程結合。

2.1. 美軍聯合參謀部資訊安全靶場


美軍聯合參謀部資訊安全靶場英文簡稱(JIOR),全稱為Joint Information OperationsRange,聯合資訊作戰靶場。如上所述,美軍聯合參謀部資訊安全靶場最早於2005年11月18日由美國防部通過備忘錄正式授權聯合部隊司令部組織建設,後移交聯合參謀部管理。該靶場主要強調集成各單位原有的用於資訊安全測試、訓練和實驗的靶場、實驗室、資訊戰中心等設施,並將這些設施通過統一的「服務提供點」(SDP)設備連接起來,構成基於VPN加密通訊的靶場網路,從而能夠支援部分站點通過加密隔離通訊手段構成邏輯靶場。

由於美軍聯合參謀部資訊安全靶場的聯合靶場特性,其節點遍布美國本土以及歐洲、澳大利亞、韓國等的美軍基地。該靶場擁有的站點數隨著時間及建設升級不斷增加,下圖顯示了美軍聯合參謀部資訊安全靶場節點升級的時間路線圖:

圖1 美軍資訊安全靶場站點升級時序圖

美軍聯合參謀部資訊安全靶場節點2012年達68個,2013年進一步擴充到90個站節點,在英、澳、德等盟軍單位亦部署了少數節點。2014年實現了50%的容量升級,2015年實現了100多個節點的升級,目前已擴展到全球120多個節點,並在進一步進行擴容升級中,目前美軍聯合參謀部資訊安全靶場的足跡也將擴展到民用領域(例如,國民警衛隊、政府機構、安全聯盟等),實現數百節點的擴容升級計劃。下圖顯示了2015年美軍聯合參謀部資訊安全靶場全球的120+節點位置圖:

圖2 美軍資訊安全靶場節點分布圖

該靶場於2006年8月具備「初始運行能力」。之後隨著多年建設,目前已具備電腦網路攻擊安全模擬能力、電腦網路防禦安全模擬能力、進攻性電子戰模擬能力、空間安全模擬能力、心理戰模擬能力和欺騙模擬能力,已正式宣稱達到「全面運行能力」;2011年度執行試驗演訓事件達到60餘個,2012年度有所縮減,執行了39個試驗演訓事件。2015年度執行試驗演訓事件再次上升,達到80餘個,目前美軍聯合參謀部資訊安全靶場的大型/超大型環境的數量不斷增加(每個計劃/執行> 600個工時)。

2.2. 美軍戰略司令部聯合網路空間靶場


美軍戰略司令部聯合網路空間靶場(JCOR)起源於SIMTEX程式,該程式始於2002年,旨在支援名為「Black Demon」的演習。該演習激發了美國戰略司令部發起了一項名為「堡壘防禦者」的聯合演習。美軍預想,如果每項服務都將具有類似於SIMTEX的程式,那麼就可以每年連接全軍的模擬器進行聯合網路演訓。JCOR最初的願景還包括聯合融資,但尚未實現。

美軍聯合網路空間靶場(Joint Cyber Operation Range,JCOR)是由各安全司令部、各軍種、國防部各直屬機構和院校組成的靶場聯盟,其目標是集合各單位力量,提供基於模擬器的網路攻防教學、培訓、任務推演、人員認證以及演練能力。在戰略司令部指導下,各單位按照一定標準,根據自身需求獨立建設。目前擁有13+種不同類型的模擬器,其中空軍模擬器名為訓練模擬器(SIMTEX),海軍模擬器名為網路安全靶場(NCOR),陸軍國民警衛隊模擬器名為增強型網路訓練模擬器(ARGENTS)。除了這些特定場景的網路模擬器,還有其他稱為部分任務訓練器的模擬器用於教授和控制特定任務,例如管理防火牆或電子郵件流,在訓練需要時通過該模擬器進行防火牆和郵件流等任務的置備、控制和銷毀;此外還有針對互聯網模擬功能的模擬器,針對網路防禦進行訓練的模擬器等。JCOR允許用戶連接來自不同服務或機構的不同位置的網路培訓模擬器,連接級別可以根據用戶的需求而變化。也就是說通過各個單位的模擬器相互連接組網,可以邏輯的形成較大範圍的邏輯網路空間靶場,並在一定時間段內調用各單位的模擬器資源進行網路攻防教學、培訓、攻防推演等活動。JCOR的基本單元為DS3公司於本世紀初研發的「增強型網路空間模擬系統」,其節點單元分為固定式和可移動式。可分為三個模組:外網模擬與攻擊行為模擬模組、內網環境模擬模組和後台管理模組。目前在美海軍空軍等單位,已經部署了近百套該靶場的模擬單元,部署以來廣泛用於各種演訓活動。

聯合網路空間靶場於2013年打通了和美國國家網路靶場NCR)的介面連接。通過美國國家網路靶場提供的模仿公共互聯網和其他網路工控網等環境和資源,聯合網路空間靶場可進行更大網路範圍的攻防演訓活動。隨著時間及演訓進程的發展,JCOR自身的能力已經大大增強,其不斷增加的模擬器不斷向其他網路空間領域進行建設和發展,其模擬的環境不在局限於傳統網路環境,也包括現在飛機系統、海事系統等其他軍事活動頻繁的領域;訓練場景也增加了諸如Facebook和Twitter消息以及部落格等實時用戶行為內容,情報人員可以通過模擬器實時搜索有關對手的資訊。

在2011年,JCOR記錄顯示,用戶使用模擬器達30,548個小時,2012年這一數字增長至34,788個小時,隨著JCOR用戶數量和模擬器數量的增長,聯合網路空間靶場將具備更多能力。

2.3. 美軍國防資訊系統局賽博安全靶場


賽博安全靶場前身為資訊保障/電腦網路防禦靶場,資訊保障/電腦網路防禦靶場由2010年美軍國防資訊系統局組織建設。該靶場的任務是模擬全球資訊網格(GIG)及其服務,支援資訊保障(IA)和電腦網路防禦(CND)試驗演訓,培訓官兵的資訊保障能力,進行新型技戰術測試評估。2014年,美軍將術語資訊保障修訂為賽博安全,該靶場也隨之更名為賽博安全靶場。靶場由國防資訊系統局(DISA)負責,並由海軍陸戰隊司令部指揮控制通訊與電腦賽博分部管理。賽博安全靶場同時也和JIOR、NCR以及C4AD靶場進行互聯互通集成,該靶場互聯架構如下圖所示:

圖3 賽博安全靶場互聯架構

賽博安全靶場總體結構如圖3所示。處於圖中央的核心部分是以骨幹網級路由器構成的美軍全球資訊網格(GIG)骨幹網模擬區域;以GIG模擬區域為核心,設置了多個美軍基地和國防資訊系統局下屬網路保障單位的模擬區域,同時還設置了互聯網模擬區域以模擬敵軍通過互聯網對GIG實施滲透攻擊。每個模擬基地均設置有由屏蔽路由器、防火牆、接入路由器組成的邊界設施,以及含入侵檢測設備的DMZ區域,真實再現了美軍基地安全防護體系。靶場用戶可通過加密VPN途徑接入。同時該靶場也可以和聯合資訊安全靶場等其它靶場設施通過VPN遠程互聯。

圖4 賽博安全靶場總體結構

該靶場在2010年達到「初始運行能力」,目前該靶場已聯通了國防資訊系統局、網路空間司令部(國家安全局)、美國空軍第34戰術通訊中隊、海軍空間和海戰系統司令部等單位。美海軍部在2012年2月由首席資訊官簽署的《海軍網路空間靶場政策指引》備忘錄中,明確要求以國防部網路空間(賽博安全)靶場統一海軍和海軍陸戰隊的網路空間訓練、演習、測試和評估活動。凡此後海軍和海軍陸戰隊舉行的相關活動,均需首先考慮在該靶場內進行。目前海軍和海軍陸戰隊的十多個位於各地的分散環境已能夠以賽博安全靶場為中心接入,構成聯合模擬環境,如圖5所示。

圖5 美海軍部以賽博安全靶場為中心規劃的靶場體系

賽博安全靶場為美軍提供了訓練即實戰的真實感。美軍可以通過安全的虛擬專網採用邊界組件遠程訪問賽博安全靶場。賽博安全靶場可以真實地重建國防部資訊網(DODIN)環境,提供對事件的直接指揮控制以及觀察,支援賽博事件的重複、刷新以及回應,支援紅隊/藍隊,幫助用戶快速熟悉靶場,改進賽博戰士工具,驗證預先制定的做法並生成配置變更,評估並驗證各種戰術、技術與程式以及賽博安全/電腦賽博防禦工具,支援滲透測試以及突發事件響應能力。

賽博安全靶場目前已升級到2.0時代,大量使用虛擬化雲計算、大數據、軟體定義網路、網路虛擬化等技術,最大限度實現物理設備虛擬化,並基於靶場演訓重用構建標準環境鏡像組件,以進行大規模環境的複製生成和資源快速回收利用。賽博安全靶場2.0還提供所有密級的共用靶場自動化框架,自動化環境控制與供給,集成的、自動化的硬體,虛擬化與專用硬體控制等複雜資源異構管理。

賽博安全靶場2.0架構如下圖所示:

圖6 賽博安全靶場2.0架構

在賽博安全靶場2.0中,在基礎架構層提供DISN核心路由器與骨幹、DODIN域名核心服務、MPLS路由、感知節點、網際網路接入點以及聯合區域安全棧(JRSS)。其中,非密靶場提供非密基礎架構層,並協調DISA互聯網接入點與JRSS。保密靶場將提供全混合基礎架構層以及全虛擬基礎設施互聯網接入點與JRSS棧。每個聯合區域安全棧(JRSS)的架構如下圖所示:

圖7 聯合區域安全棧(JRSS)架構

2.4. 美軍國家網路靶場


美軍並不滿足於現已裝備的靶場設施。為實現網路空間安全能力的重大變革,確保未來在網路空間繼續保持領先優勢,美國防先進研究計劃局於2008年規劃、2009年啟動了「國家網路空間靶場」建設。其主要目的是建成能夠真實複製超大規模目標網路環境,藉助各種先進技術手段檢驗評估網路攻防能力,充分支援尖端技術實驗需求,技術水平全面領先的下一代網路靶場,該靶場完成後將為美爭奪網路空間霸權提供「革命性」的推動力。

由洛克希德•馬丁公司完成的位於佛羅里達州的原型靶場耗資1.4億美元,包含了物理層交換機等相應硬體和500萬行程式碼,共有220個節點,能模擬2000人以上用戶,包含攻防試驗設計和實時數據可視化等工具,支援靶標自動構建、數據自動清理、並發多安全級測試等功能。圖8 給出了該靶場原型系統的模擬環境設計部署介面。

圖 8 國家網路空間靶場原型系統模擬環境設計部署介面

2011年10月該原型系統已完成首次試驗,在一天內就完成了含1100個節點的國防部網路模擬環境的構建,據稱這一任務以往通常需要六周時間才能完成。2012年1月,原型系統的規模擴充到能夠模擬3000個節點。試運行期間,該靶場共完成了7次試驗。

美軍國家網路靶場的關鍵能力包括:利用多重獨立安全等級(MILS)架構支援多個並發的不同密級的測試:快速模擬複雜、典型的網路運行環境(可實現40000個高模擬度虛擬節點,支援紅隊、藍隊、灰隊—演習中提供網路流量或模擬但本身不扮演進攻或防禦角色的一方,以及包括武器系統在內的各種專用系統);具備高度自動化,顯著提高效率,支援更為頻繁以及更為準確的事件;可以將所有暴露系統恢復;可以適應廣泛的事件類型與用途(測試、訓練、研究等),支援多樣化的用戶資料庫;還可以通過聯合任務環境測試能力(JMETC)連接基礎設施與其他靶場聯合運行。

該靶場原定移交給網路空間司令部,後最終決定移交至國防部測試資源管理中心。2012年9月,美國防部發布採購通知,決定在今後五年內繼續投入8000萬美元,由洛克希德•馬丁公司進一步完善國家網路空間靶場。2018年,洛克希德·馬丁公司再次獲得了美軍國家網路空間靶場升級合約,繼續就靶場能力進行更新迭代。洛克希德·馬丁公司下屬的導彈與火控系統分部與美國陸軍司令部簽署總價值約3390萬美元的網路靶場升級合約。根據合約要求,洛克希德·馬丁公司將對國家網路靶場的現有能力進行深度升級和大幅擴展,能夠演示和研究目前最具破壞性的網路病毒以及隱蔽性最強的惡意程式碼,同時將其傳播有效控制在靶場範圍內,避免向公用或軍用網路泄漏。此外,國家網路靶場還將有能力測試和評估更多複雜的網路攻防技術,包括惡意軟體、木馬程式、主被動防禦手段等。洛克希德·馬丁公司的能力提升項目完成後,美國國家網路靶場還將具備測試新的網路協議、衛星和射頻通訊系統,以及戰術機動通訊和海事通訊系統的能力。

本文後續將繼續針對歐洲、日本等過的網路靶場進行梳理,並開展商業網路靶場發展梳理。