網(wǎng)絡(luò)安全行業(yè)級模擬攻防實(shí)驗(yàn)中心建設(shè)探索

楊斯可 張中寶

摘 要：網(wǎng)絡(luò)安全的本質(zhì)是攻防，攻防的核心是人才隊伍。在當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)安全形勢下，如何構(gòu)建一套有效的人才隊伍建設(shè)體系是當(dāng)前及今后亟待解決的問題。針對煙草企業(yè)在網(wǎng)絡(luò)安全人才隊伍培養(yǎng)方面存在的不足，本文設(shè)計了一套集CTF奪旗賽的課程體系、模擬實(shí)驗(yàn)平臺、多方共治機(jī)制于一體的網(wǎng)絡(luò)安全模擬實(shí)驗(yàn)中心方案，為推動煙草企業(yè)網(wǎng)絡(luò)安全治理體系建設(shè)，提升網(wǎng)絡(luò)安全綜合治理能力提供一條新的路徑。

關(guān)鍵詞：網(wǎng)絡(luò)安全;煙草行業(yè);實(shí)驗(yàn)中心;多方共治

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2020）10-0087-03

0引言

互聯(lián)網(wǎng)時代，煙草企業(yè)在“數(shù)字煙草”和“互聯(lián)網(wǎng)+煙草”的信息化發(fā)展戰(zhàn)略的推動下，信息化觸角已延伸到企業(yè)運(yùn)營的方方面面，沒有信息化就沒有企業(yè)發(fā)展的現(xiàn)代化，而保障信息化基礎(chǔ)設(shè)施的安全穩(wěn)定成為保障企業(yè)高質(zhì)量發(fā)展至關(guān)重要的一環(huán)。同時《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》、《網(wǎng)絡(luò)安全審查辦法》等一系列國家級法律政策的先后出臺，對網(wǎng)絡(luò)安全工作提出了更高的剛性要求。網(wǎng)絡(luò)安全是沒有硝煙的戰(zhàn)場，比拼的是攻防雙方的綜合實(shí)力，其核心是人才。當(dāng)前，煙草行業(yè)在網(wǎng)絡(luò)安全人才隊伍建設(shè)方面，主要方式是選派計算機(jī)相關(guān)專業(yè)人員擔(dān)任網(wǎng)絡(luò)安全管理員，定期組織線上或線下的網(wǎng)絡(luò)安全知識培訓(xùn)，這種“專業(yè)人員+定期培訓(xùn)”的人才隊伍建設(shè)模式在前期實(shí)際工作中發(fā)揮了積極作用，但在應(yīng)對目前復(fù)雜變化的網(wǎng)絡(luò)安全形勢及新的履法要求上日顯不足，迫切需要創(chuàng)新網(wǎng)絡(luò)安全人才隊伍建設(shè)模式，更好地應(yīng)對外部變化，保障內(nèi)部信息化基礎(chǔ)設(shè)施的安全，推動實(shí)現(xiàn)網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化。

大數(shù)據(jù)、云計算、虛擬現(xiàn)實(shí)、人工智能、移動互聯(lián)等IT新技術(shù)已在社會各行業(yè)中顯現(xiàn)出巨大的經(jīng)濟(jì)效應(yīng)。模擬攻防實(shí)驗(yàn)中心[1]作為傳統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)教育的升級版，更側(cè)重于實(shí)踐性，更側(cè)重于多方共治的協(xié)同性。本文重點(diǎn)探索建設(shè)集知識性、趣味性、挑戰(zhàn)性和創(chuàng)新性于一體的網(wǎng)絡(luò)安全模擬攻防實(shí)驗(yàn)中心（簡稱實(shí)驗(yàn)中心）平臺，通過成體系的課程培訓(xùn)和模擬攻防技能培訓(xùn)，鍛煉具備強(qiáng)烈攻防意識和攻防能力的網(wǎng)絡(luò)安全隊伍，并利用實(shí)驗(yàn)中心平臺申報創(chuàng)新項(xiàng)目，匯聚多方人才力量對共性的網(wǎng)絡(luò)安全問題展開研究、給出方案、評估實(shí)施，形成多方共治的、動態(tài)的網(wǎng)絡(luò)安全治理體系，打造行業(yè)級的網(wǎng)絡(luò)安全模擬攻防實(shí)驗(yàn)中心，為行業(yè)網(wǎng)絡(luò)安全治理能力現(xiàn)代化提供可行建設(shè)方案。

1實(shí)驗(yàn)中心需聚焦解決的主要問題

為構(gòu)建符合煙草實(shí)際的實(shí)驗(yàn)中心平臺，本文對照目標(biāo)要求，堅持問題導(dǎo)向，設(shè)計有針對性的解決方案。當(dāng)前網(wǎng)絡(luò)安全治理存在的問題主要有：

（1）網(wǎng)絡(luò)安全治理相對獨(dú)立沒有形成有效的合力。當(dāng)前行業(yè)各主體單位在經(jīng)費(fèi)投入，人才保障等方面相對獨(dú)立，未形成合力，相互溝通聯(lián)系不夠，多停留在經(jīng)驗(yàn)分享層面。各方人才力量、技術(shù)資源沒有得到有效整合共享，形成共同治理，究其原因是缺乏聯(lián)系各方力量、資源的紐帶。資金投入和人才隊伍保障是網(wǎng)絡(luò)安全治理的核心要素，在一些生產(chǎn)經(jīng)營規(guī)模相對較小的單位很難提供足夠的經(jīng)費(fèi)和人力的支撐，這在客觀上制約了網(wǎng)絡(luò)安全整體治理水平的提升。

（2）安全培訓(xùn)結(jié)構(gòu)不均衡和缺乏有效的人才評估機(jī)制。傳統(tǒng)的網(wǎng)絡(luò)安全教育培訓(xùn)結(jié)構(gòu)不均衡，存在重理論知識，輕實(shí)踐對抗，課程設(shè)置不成體系等問題。網(wǎng)絡(luò)安全管理人員對安全威脅認(rèn)識不夠，安全意識沒有得到真正的提高，對安全預(yù)警漠視等現(xiàn)狀均埋下大量安全隱患。由于缺乏相應(yīng)實(shí)驗(yàn)平臺和保障機(jī)制，網(wǎng)絡(luò)安全攻防實(shí)踐很難在真實(shí)的業(yè)務(wù)網(wǎng)絡(luò)中開展，加上部署攻防模擬環(huán)境的復(fù)雜性及建設(shè)成本等問題，要在每個單位普及這樣的實(shí)驗(yàn)中心平臺建設(shè)仍存在現(xiàn)實(shí)困難。另外，對網(wǎng)絡(luò)安全人才缺乏有效的評估和激勵機(jī)制，難以在人才隊伍建設(shè)方面形成有效的管理閉環(huán)。

（3）對外部安全形勢變化和攻擊手段的認(rèn)識不足。知己知彼，方能百戰(zhàn)不殆。全面掌握外部安全形勢變化，準(zhǔn)確判斷攻擊者慣用手段，在網(wǎng)絡(luò)安全治理能力中至關(guān)重要。由于長期重安全設(shè)備部署，輕人才隊伍建設(shè)，重業(yè)務(wù)可用性，輕業(yè)務(wù)安全性的認(rèn)識偏差，同時缺少與外部專業(yè)機(jī)構(gòu)合作平臺、合作機(jī)制，導(dǎo)致對外部最新安全形勢變化的了解掌握存在一定的滯后性，對黑客攻擊最新手段不了解，造成網(wǎng)絡(luò)安全攻守雙方力量的失衡，給內(nèi)部安全造成很大的安全隱患。

2網(wǎng)絡(luò)安全模擬攻防實(shí)驗(yàn)中心的職能設(shè)計

堅持“學(xué)以致用”的原則，實(shí)驗(yàn)中心在設(shè)計上綜合應(yīng)用了大數(shù)據(jù)、多媒體、虛擬仿真等技術(shù);在人才隊伍培養(yǎng)上創(chuàng)新訓(xùn)練模式，增強(qiáng)實(shí)踐性、對抗性訓(xùn)練;突出聯(lián)防聯(lián)控的協(xié)同能力，凸顯人的因素在網(wǎng)絡(luò)安全治理中的核心作用。

2.1 創(chuàng)新網(wǎng)絡(luò)安全人才隊伍建設(shè)新模式

行業(yè)內(nèi)地市級公司的網(wǎng)絡(luò)安全防護(hù)力量相對薄弱，安全管理人員能力水平參差不齊，有些安全問題很難獨(dú)自解決。實(shí)驗(yàn)中心基于CTF奪旗賽的能力要求構(gòu)建網(wǎng)絡(luò)安全人才培訓(xùn)和評估機(jī)制，注重具有創(chuàng)新精神和實(shí)踐能力的人才培養(yǎng)與選拔，組建“尖刀班”“突擊隊”，匯聚各單位優(yōu)秀人才力量，以項(xiàng)目方式研究解決共性難題。

傳統(tǒng)的網(wǎng)絡(luò)安全人才培養(yǎng)方式主要包括定期的線上/線下培訓(xùn)，理論知識集中講授等。這種模式不僅內(nèi)容連續(xù)性不強(qiáng)，而且缺少實(shí)踐環(huán)節(jié)，極大限制了網(wǎng)絡(luò)安全人員的攻防實(shí)踐能力和創(chuàng)新意識的激發(fā)，造成重設(shè)備輕人才的局面。

虛擬仿真技術(shù)的出現(xiàn)為人才培養(yǎng)提供了新的視角和新的解決方案，可有效彌補(bǔ)傳統(tǒng)模式的短板，激發(fā)學(xué)員的學(xué)習(xí)興趣，提高攻防實(shí)踐能力，實(shí)現(xiàn)理論與實(shí)踐教學(xué)的完美結(jié)合;同時攻防演習(xí)是在虛擬環(huán)境中開展，既不會影響業(yè)務(wù)系統(tǒng)正常運(yùn)行，更不會出現(xiàn)病毒隱患。模擬攻防平臺具有開放性強(qiáng)，資源共享程度高，人才能力評估可量化等優(yōu)勢。綜合來看，模擬攻防實(shí)驗(yàn)中心可集知識性、趣味性、實(shí)踐性和創(chuàng)新性為一體，滿足基礎(chǔ)型、應(yīng)用型、綜合型和創(chuàng)新型人才培養(yǎng)的要求，可作為人才隊伍培養(yǎng)的新模式。傳統(tǒng)模式與新模式的對比如表1。

2.2 實(shí)驗(yàn)中心可提升網(wǎng)絡(luò)安全多方共治的能力水平

綜合應(yīng)用多媒體、虛擬現(xiàn)實(shí)、云、網(wǎng)絡(luò)、人機(jī)交互等技術(shù)手段，實(shí)驗(yàn)中心平臺，可提供教學(xué)培訓(xùn)、模擬攻防靶場[2]和基于項(xiàng)目的多方共治。其中，教學(xué)培訓(xùn)系統(tǒng)提供科學(xué)、系統(tǒng)的全套視頻課程，重點(diǎn)是知識的講授，滿足學(xué)員知識獲取，學(xué)習(xí)計時的需要;在實(shí)踐層面，主要包含兩個環(huán)節(jié)：一是基于CTF奪旗賽在線解題獲取積分，題目類型豐富多樣，包括雜項(xiàng)、密碼、WEB、逆向、PWN等，在解題中強(qiáng)化知識的掌握，不限時間、不限地點(diǎn)，可充分利用碎片化時間;二是基于虛擬仿真技術(shù)搭建網(wǎng)絡(luò)安全模擬攻防“靶場”，所有學(xué)員可組建團(tuán)隊對“靶場”展開攻擊獲得積分，同時加固“靶場”防守避免被攻擊而失分，在平臺中可開展常態(tài)化的月度線上培訓(xùn)、季度實(shí)戰(zhàn)PK、半年技能排名等舉措。通過實(shí)驗(yàn)中心平臺選拔匯聚人才，以項(xiàng)目為載體，實(shí)現(xiàn)網(wǎng)絡(luò)安全多方共治，難點(diǎn)協(xié)同共解，提高網(wǎng)絡(luò)安全整體治理水平。

3實(shí)驗(yàn)中心的建設(shè)

網(wǎng)絡(luò)安全模擬攻防實(shí)驗(yàn)中心建設(shè)主要包含三部分：一是機(jī)構(gòu)設(shè)置，為保障職能實(shí)現(xiàn)，實(shí)驗(yàn)中心首先需要一個高效的組織機(jī)構(gòu);二是制度機(jī)制建立，在組織機(jī)構(gòu)基礎(chǔ)上，需要有一套運(yùn)行的制度機(jī)制，支撐實(shí)驗(yàn)中心有序運(yùn)行;三是實(shí)驗(yàn)中心平臺，基于虛擬仿真技術(shù)的模擬攻防實(shí)驗(yàn)系統(tǒng)平臺，通過不同的應(yīng)用場景實(shí)踐提高學(xué)員安全攻防能力，增強(qiáng)人的因素在網(wǎng)絡(luò)安全綜合防護(hù)中的價值作用[3-4]。如圖1所示。

3.1安全決策機(jī)構(gòu)

實(shí)驗(yàn)中心需要一個高效、專業(yè)的組織機(jī)構(gòu)，實(shí)行集體領(lǐng)導(dǎo)，由信息化主管部門負(fù)責(zé)，是實(shí)驗(yàn)中心決策、監(jiān)督的領(lǐng)導(dǎo)機(jī)構(gòu)。其主要職責(zé)是落實(shí)煙草行業(yè)網(wǎng)絡(luò)安全方針、政策和法律法規(guī)，研究網(wǎng)絡(luò)安全重大事項(xiàng)，重點(diǎn)工程的決策推進(jìn)工作。堅持網(wǎng)絡(luò)安全為大家，網(wǎng)絡(luò)安全靠大家的原則，在專家委員會人員組成方面，主要包括網(wǎng)信主管部門人員、行業(yè)內(nèi)專家人員、行業(yè)外專家顧問等，也為跨主體單位的聯(lián)合運(yùn)行機(jī)制提供基礎(chǔ)。

3.2聯(lián)合運(yùn)行機(jī)制

網(wǎng)絡(luò)安全行業(yè)是一盤棋，任何一個環(huán)節(jié)，一個區(qū)域出現(xiàn)風(fēng)險點(diǎn)，都會影響整體網(wǎng)絡(luò)的安全運(yùn)行。為支撐實(shí)驗(yàn)中心有序運(yùn)行，達(dá)到廣泛的、有效的選拔培養(yǎng)網(wǎng)信人才，組建“尖刀班”“突擊隊”，實(shí)現(xiàn)聯(lián)合共治。通過實(shí)驗(yàn)中心平臺可打通不同企業(yè)主體、跨單位人才聯(lián)合，解決構(gòu)建網(wǎng)絡(luò)安全的多方共治機(jī)制，其主要運(yùn)行流程是：由各單位主體，結(jié)合工作實(shí)際提出網(wǎng)絡(luò)安全服務(wù)需求;由網(wǎng)信主管部門把問題“掛牌”，在平臺上公開，由行業(yè)各單位網(wǎng)信人才共同研究解決;再由科技企業(yè)給出具體實(shí)施方案;最后由網(wǎng)信主管部門審批實(shí)施。整個共治運(yùn)行機(jī)制，形成“先自下而上，后自上而下”的網(wǎng)絡(luò)安全綜合治理的管理閉環(huán)。如圖2所示。

為保障主體流程的高效運(yùn)行，還需探索建立評估機(jī)制和激勵機(jī)制，為聯(lián)合運(yùn)行機(jī)制提供源動力。在激勵機(jī)制方面，可為網(wǎng)絡(luò)安全優(yōu)秀人才提供培訓(xùn)進(jìn)修的機(jī)會，打通職業(yè)技能晉升通道，給予物質(zhì)和精神獎勵等。在評估機(jī)制方面，可基于學(xué)習(xí)積分、奪旗積分、競賽積分，參與解決網(wǎng)絡(luò)安全難題等多方面綜合評估，科學(xué)客觀選拔出優(yōu)秀網(wǎng)信人才。

例如，在實(shí)際工作中，針對業(yè)務(wù)系統(tǒng)上線前缺乏安全檢測有效抓手的問題，通過實(shí)驗(yàn)中心平臺可組織網(wǎng)絡(luò)安全技術(shù)人才對擬上線的業(yè)務(wù)系統(tǒng)開展模擬攻擊，檢驗(yàn)系統(tǒng)是否具備上線運(yùn)行的安全條件，因而基于虛擬仿真技術(shù)的模擬攻防實(shí)驗(yàn)中心平臺在推動網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化方面具有很強(qiáng)的現(xiàn)實(shí)意義。

3.3攻防模擬平臺

基于仿真技術(shù)的模擬攻防平臺主要有基于CTF奪旗賽的在線課程學(xué)習(xí)、解題訓(xùn)練及模擬攻防對戰(zhàn)。

（1）CTF課程體系平臺。課程體系建設(shè)是基于CTF奪旗賽設(shè)計，重點(diǎn)是增強(qiáng)趣味性，寓教于樂，所有課程成體系具備連續(xù)性，同時在奪旗過程中靈活應(yīng)用網(wǎng)絡(luò)安全知識，強(qiáng)化對知識的理解，增強(qiáng)學(xué)員的創(chuàng)新能力。課程學(xué)習(xí)利用在線多媒體分享的形式，學(xué)員注冊登錄后即可選擇視頻學(xué)習(xí)，并在CTF奪旗賽網(wǎng)站進(jìn)行奪旗練習(xí)。例如，攻防世界、CTFhub等。在線課程主要包含有WEB安全類、Misc類、密碼類、逆向類、PWN類及AWD類等，所有學(xué)員可隨時隨地學(xué)習(xí)，不局限于時間、地點(diǎn)，也不局限于人員范圍，趣味性更強(qiáng)，知識成體系，并在學(xué)習(xí)和解題中獲得積分可作為網(wǎng)絡(luò)安全人才選拔評估的重要參考，增加學(xué)員學(xué)習(xí)的積極性。

（2）模擬攻防場景平臺。網(wǎng)絡(luò)安全模擬攻防實(shí)踐平臺，主要是選取網(wǎng)絡(luò)安全工作中常用的、重要的應(yīng)用場景，利用虛擬仿真技術(shù)構(gòu)造模擬攻防環(huán)境，為學(xué)員提供演練技能的“靶場”。借助模擬仿真技術(shù)，學(xué)員可在模擬攻防場景平臺中重復(fù)實(shí)踐，認(rèn)識網(wǎng)絡(luò)安全攻防規(guī)律，掌握攻防手段。除了特定的模擬應(yīng)用場景外，行業(yè)學(xué)員甚至可組成紅藍(lán)隊伍，在模擬平臺中開展攻防演習(xí)，收集信息、挖掘漏洞、展開攻擊，同時部署安全軟件，加固城防，監(jiān)控外部流量攻擊等實(shí)踐，不斷錘煉網(wǎng)絡(luò)安全隊伍在網(wǎng)絡(luò)安全攻防中的對抗意識與對抗能力。

圖3所示，我們列舉了6個模擬場景，包括漏洞探測場景、SQL注入場景、安全加固場景、防火墻場景、文件監(jiān)控場景、WAF防護(hù)場景等。實(shí)際模擬平臺不僅限于以上幾種場景，采用虛擬仿真技術(shù)，可根據(jù)需求隨時啟用虛擬機(jī)部署新的模擬環(huán)境，可擴(kuò)展性好。另外，對于我們所有學(xué)員來說，在學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)前提是必須合法合規(guī)，須簽訂相關(guān)安全協(xié)議，所有工具和技能僅用作學(xué)習(xí)和工作所需，不得利用技術(shù)對外攻擊他人的系統(tǒng)等。

4 結(jié)語

網(wǎng)絡(luò)安全模擬攻防實(shí)驗(yàn)中心的建設(shè)，彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)方面偏理論輕實(shí)踐的不足，增強(qiáng)了趣味性、實(shí)踐性、創(chuàng)新性，通過CTF奪旗賽的形式不斷強(qiáng)化學(xué)員對網(wǎng)絡(luò)安全知識的理解和運(yùn)用;基于虛擬仿真技術(shù)構(gòu)建的攻防模擬實(shí)驗(yàn)平臺，增強(qiáng)學(xué)員網(wǎng)絡(luò)安全攻防實(shí)踐能力，對網(wǎng)絡(luò)安全實(shí)際工作具有很強(qiáng)的積極意義。同時實(shí)驗(yàn)中心平臺統(tǒng)籌協(xié)調(diào)資源，推動實(shí)現(xiàn)多方網(wǎng)絡(luò)安全共治。下一步，筆者將根據(jù)實(shí)際不斷優(yōu)化課程體系，豐富模擬攻防的應(yīng)用場景，完善多方共治的運(yùn)行機(jī)制，進(jìn)一步發(fā)揮實(shí)驗(yàn)中心平臺在網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化發(fā)展中的價值作用。

參考文獻(xiàn)

[1] 徐進(jìn).2013年國家級虛擬仿真實(shí)驗(yàn)教學(xué)中心建設(shè)工作小結(jié)及2014年申報建議[J].實(shí)驗(yàn)室研究與探索，2014，33（8）：1-5.

[2] 羅曉東，尹立孟，王青峽，等.基于虛擬仿真技術(shù)的實(shí)驗(yàn)教學(xué)平臺設(shè)計[J].實(shí)驗(yàn)室研究與探索，2016，35（4）：104-107.

[3] 李林，陳宇峰，李仲君，等.大規(guī)模在線虛擬實(shí)驗(yàn)教學(xué)平臺的建設(shè)與實(shí)踐[J].實(shí)驗(yàn)技術(shù)與管理，2018（7）：15-19.

[4] 彭正明，黃建忠.網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)中心建設(shè)[J].計算機(jī)教育，2015（23）：18-21.