鐵路網(wǎng)絡(luò)空間靶場方案研究

楊學(xué)勇，齊 勝，朱 賀，戰(zhàn) 鑫

（1.中國鐵路南昌局集團(tuán)有限公司，南昌 330002；2.中鐵信（北京）網(wǎng)絡(luò)技術(shù)研究院有限公司，北京 100044；3.中鐵信弘信（北京）信息工程咨詢有限責(zé)任公司，北京 100038）

隨著“震網(wǎng)”病毒侵襲伊朗核電站，“黑暗力量”病毒引發(fā)烏克蘭大停電，以及勒索攻擊致使美國輸油管道癱瘓[1]等網(wǎng)絡(luò)安全事件的爆發(fā)，網(wǎng)絡(luò)空間安全越來越引起人們的重視，“沒有網(wǎng)絡(luò)安全，就沒有國家安全”[2]成為人們的共識。而網(wǎng)絡(luò)安全并非單純的防護(hù)工具、安全平臺之間的對抗，其本質(zhì)是網(wǎng)絡(luò)安全人才之間的技術(shù)、思想、能力的競爭，如何培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊(duì)伍成為亟須解決的問題。為解決這一問題，網(wǎng)絡(luò)攻防演練成為各企事業(yè)單位，乃至國家層面培養(yǎng)網(wǎng)絡(luò)安全人才的創(chuàng)新型培養(yǎng)模式。隨著各企事業(yè)單位網(wǎng)絡(luò)安全攻防演練工作的不斷演進(jìn)，以攻防實(shí)戰(zhàn)的形式檢驗(yàn)重點(diǎn)企事業(yè)單位的網(wǎng)絡(luò)安全能力逐漸常態(tài)化，各行各業(yè)在各自內(nèi)部也廣泛開展多種形式的網(wǎng)絡(luò)安全競賽，以提升本行業(yè)本單位的網(wǎng)絡(luò)安全能力。為了給網(wǎng)絡(luò)安全人員提供一個用于攻防演練的平臺，網(wǎng)絡(luò)靶場[3]應(yīng)運(yùn)而生。

鐵路作為關(guān)鍵信息基礎(chǔ)設(shè)施[4]運(yùn)營單位之一，要承擔(dān)網(wǎng)絡(luò)安全主體防護(hù)責(zé)任，不僅需要可靠的網(wǎng)絡(luò)安全技術(shù)體系[5]，還需要大量的網(wǎng)絡(luò)安全人才，因此建設(shè)鐵路網(wǎng)絡(luò)空間靶場也勢在必行。本文立足《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》對網(wǎng)絡(luò)安全人員技能、意識、應(yīng)急處置等方面的規(guī)定，利用虛擬化技術(shù)對鐵路信息系統(tǒng)進(jìn)行深度仿真，設(shè)計穩(wěn)定實(shí)用、靈活部署、多角色參與的鐵路網(wǎng)絡(luò)空間靶場系統(tǒng)，為鐵路網(wǎng)絡(luò)安全從業(yè)人員及相關(guān)人員的教育、培訓(xùn)、考核、演練提供一個方便快捷的學(xué)習(xí)平臺。

1 總體架構(gòu)及網(wǎng)絡(luò)架構(gòu)

1.1 總體結(jié)構(gòu)

鐵路網(wǎng)絡(luò)空間靶場平臺總體架構(gòu)如圖1所示。依托鐵路自身網(wǎng)絡(luò)安全保障體系和鐵路相關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，以數(shù)據(jù)資源為核心，通過整合實(shí)體資源和虛擬資源，搭建底層基礎(chǔ)環(huán)境，并開放虛實(shí)資源調(diào)度接口以供數(shù)據(jù)控制層調(diào)用[6]。在數(shù)據(jù)控制層，將鏡像、場景、工具、課件等數(shù)據(jù)資源分門別類，并進(jìn)行統(tǒng)一管理、調(diào)度、運(yùn)行和監(jiān)控。業(yè)務(wù)功能層通過數(shù)據(jù)資源調(diào)度接口接收數(shù)據(jù)控制層的數(shù)據(jù)，以支撐安全實(shí)訓(xùn)系統(tǒng)、比武競賽系統(tǒng)、靶場演練系統(tǒng)及其統(tǒng)一的綜合管理系統(tǒng)。

圖1 鐵路網(wǎng)絡(luò)空間靶場平臺總體架構(gòu)

1.2 網(wǎng)絡(luò)架構(gòu)

鐵路網(wǎng)絡(luò)空間靶場平臺網(wǎng)絡(luò)架構(gòu)，如圖2所示。

圖2 鐵路網(wǎng)絡(luò)空間靶場平臺網(wǎng)絡(luò)架構(gòu)

基礎(chǔ)設(shè)施區(qū)主要部署虛擬化資源池、資源調(diào)配系統(tǒng)及場景構(gòu)建系統(tǒng)，以提供基礎(chǔ)的數(shù)據(jù)資源及其調(diào)配和搭建[7]，形成基礎(chǔ)環(huán)境；平臺服務(wù)區(qū)部署系統(tǒng)服務(wù)器；綜合管理區(qū)部署平臺管理系統(tǒng)、共享管理系統(tǒng)和外部接入設(shè)備，對整體平臺進(jìn)行統(tǒng)一納管。

在用戶接入?yún)^(qū)，主要部署用戶側(cè)直接操作的設(shè)備。綜合管理區(qū)對應(yīng)綜合管理席位，依據(jù)權(quán)限管理原則，細(xì)分為系統(tǒng)管理員、任務(wù)管理員和審計管理員；平臺服務(wù)區(qū)對應(yīng)安全實(shí)訓(xùn)席位、比武競賽席位、靶場演練席位，其中，安全實(shí)訓(xùn)席位主要分教師學(xué)員，比武競賽席位主要分參賽隊(duì)員、導(dǎo)調(diào)裁判、觀摩，靶場演練席位主要為演練人員；基礎(chǔ)設(shè)施區(qū)對應(yīng)云管席位和場景搭建席位，云管席位對應(yīng)云管理員，場景搭建席位對應(yīng)場景管理員。

2 功能設(shè)計

2.1 功能架構(gòu)

鐵路網(wǎng)絡(luò)空間靶場平臺功能架構(gòu)如圖3所示，主要承擔(dān)以下任務(wù)。

圖3 鐵路網(wǎng)絡(luò)空間靶場平臺功能架構(gòu)

（1）為鐵路網(wǎng)絡(luò)安全相關(guān)人員提供一個教育培訓(xùn)和技能考核的網(wǎng)絡(luò)平臺，增強(qiáng)鐵路從業(yè)人員的網(wǎng)絡(luò)安全意識，提升鐵路信息化和網(wǎng)絡(luò)安全從業(yè)人員的網(wǎng)絡(luò)安全技能水平。

（2）組織鐵路網(wǎng)絡(luò)安全相關(guān)人員進(jìn)行不同種類的技能大賽，既可以選拔不同專業(yè)的網(wǎng)絡(luò)安全人才，也可以激發(fā)從業(yè)人員的學(xué)習(xí)興趣和熱情，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全意識的宣傳。

（3）為鐵路網(wǎng)絡(luò)及網(wǎng)絡(luò)安全方面的新技術(shù)和新架構(gòu)提供一個可供科研的實(shí)驗(yàn)環(huán)境，以便于對其進(jìn)行測試和驗(yàn)證和驗(yàn)證[8]，從而進(jìn)一步優(yōu)化現(xiàn)有的網(wǎng)絡(luò)技術(shù)架構(gòu)，增加應(yīng)急演練儲備。

2.2 主要功能

鐵路網(wǎng)絡(luò)空間靶場平臺的3個系統(tǒng)分別立足自身核心功能，實(shí)現(xiàn)網(wǎng)絡(luò)安全人才培養(yǎng)的全流程無縫銜接。通過安全實(shí)訓(xùn)系統(tǒng)，以講授課程和實(shí)驗(yàn)課程為基礎(chǔ)，以考題測試作為鞏固手段，實(shí)現(xiàn)網(wǎng)絡(luò)安全從業(yè)人員從入門到進(jìn)階，形成網(wǎng)絡(luò)安全基本素養(yǎng)。再通過比武競賽系統(tǒng)，以賽代練，使鐵路網(wǎng)絡(luò)安全從業(yè)人員得以在實(shí)戰(zhàn)中不斷提升自身水平，形成比學(xué)趕幫超的學(xué)習(xí)氛圍，同時實(shí)現(xiàn)鐵路網(wǎng)絡(luò)優(yōu)秀人才的選拔，逐漸培養(yǎng)出鐵路網(wǎng)絡(luò)安全專家。對于鐵路網(wǎng)絡(luò)安全專家來說，可以通過靶場演練系統(tǒng)，進(jìn)行鐵路自身網(wǎng)絡(luò)安全技術(shù)的探索和自研網(wǎng)絡(luò)安全設(shè)備的測試，并對自己開發(fā)出的新戰(zhàn)術(shù)，新技法進(jìn)行驗(yàn)證，進(jìn)一步提升鐵路網(wǎng)絡(luò)安全人員的整體水平。

2.2.1 安全實(shí)訓(xùn)

安全實(shí)訓(xùn)系統(tǒng)可進(jìn)行課程培訓(xùn)、專項(xiàng)培訓(xùn)、競賽培訓(xùn)等，具備多維度的考核和評估能力，能夠通過實(shí)驗(yàn)課程、視頻教學(xué)、實(shí)操課件、理論題目等提高相關(guān)人員的綜合業(yè)務(wù)能力，準(zhǔn)確記錄各學(xué)員的學(xué)習(xí)日志，分析學(xué)習(xí)成績和進(jìn)度，監(jiān)管每個學(xué)員的學(xué)習(xí)過程，并可綜合學(xué)習(xí)歷程、考核成績、實(shí)踐成果等，形成實(shí)訓(xùn)效能圖譜，進(jìn)而直觀掌控實(shí)訓(xùn)效果。

2.2.2 比武競賽

比武競賽系統(tǒng)能夠?qū)Ω傎?、賽題、試卷、隊(duì)伍及人員等進(jìn)行管理，并能夠通過奪旗賽、攻防對抗賽、紅藍(lán)對抗賽等多種演練模式幫助各鐵路局集團(tuán)公司考核選拔網(wǎng)絡(luò)安全實(shí)用人才。

2.2.3 靶場演練

靶場演練系統(tǒng)通過虛擬環(huán)境與真實(shí)設(shè)備相結(jié)合的技術(shù)，并融合主機(jī)虛擬化、網(wǎng)絡(luò)虛擬化、數(shù)據(jù)采集、3D展示引擎等技術(shù)，構(gòu)建網(wǎng)絡(luò)空間環(huán)境，幫助各鐵路局集團(tuán)公司進(jìn)行網(wǎng)絡(luò)安全研究、人才培養(yǎng)、實(shí)戰(zhàn)演練、安全測試、效能分析、態(tài)勢推演等。

2.3 任務(wù)流程設(shè)計

鐵路網(wǎng)絡(luò)空間靶場平臺任務(wù)流程如圖4所示。

圖4 鐵路網(wǎng)絡(luò)空間靶場平臺任務(wù)流程

綜合管理席位是各項(xiàng)任務(wù)的起始點(diǎn)和終結(jié)點(diǎn)，根據(jù)三員管理的原則分系統(tǒng)管理員，安全管理員和審計管理員，其中，系統(tǒng)管理員在實(shí)際運(yùn)行過程中將承擔(dān)主要的系統(tǒng)運(yùn)行與維護(hù)工作，以及主營任務(wù)的制訂與反饋工作；安全管理員通過對系統(tǒng)用戶進(jìn)行身份驗(yàn)證，根據(jù)其身份進(jìn)行相應(yīng)權(quán)限的分配，任務(wù)演練席位的用戶獲得權(quán)限后方可執(zhí)行相應(yīng)權(quán)限的任務(wù)操作；審計管理員通過對系統(tǒng)管理日志、安全管理日志進(jìn)行審計，從而保障平臺安全穩(wěn)定運(yùn)行。

系統(tǒng)管理員在綜合管理員席位根據(jù)不同的任務(wù)需求，進(jìn)行相應(yīng)的任務(wù)制訂并派發(fā)給相應(yīng)的任務(wù)演練席位人員。系統(tǒng)管理員獲取演練人員執(zhí)行過程中的反饋，生成相應(yīng)任務(wù)的評估結(jié)果，形成完整的閉環(huán)流程設(shè)計。

安全實(shí)訓(xùn)系統(tǒng)管理員接收并制訂計劃培訓(xùn)任務(wù)，根據(jù)任務(wù)要求為教師和學(xué)員的提供賬號申請，并分別進(jìn)行相應(yīng)身份的任務(wù)下發(fā)，任務(wù)演練席位的教師和學(xué)員即可根據(jù)任務(wù)要求進(jìn)行培訓(xùn)、考試、實(shí)驗(yàn)等活動，其執(zhí)行結(jié)果將自動反饋至系統(tǒng)管理員。系統(tǒng)管理員根據(jù)活動的執(zhí)行情況，對該任務(wù)的培訓(xùn)效能進(jìn)行評估。

比武競賽系統(tǒng)管理員接收并制訂組織競賽任務(wù)，根據(jù)競賽任務(wù)的形式、人員、難易度進(jìn)行組織，可以設(shè)立紅隊(duì)，藍(lán)隊(duì)及導(dǎo)調(diào)/裁判組，比賽制訂后下發(fā)給所有參與者，參與者即可根據(jù)自身角色完成比賽，紅隊(duì)發(fā)現(xiàn)、偵察、攻擊，藍(lán)隊(duì)檢測、分析、防御，導(dǎo)調(diào)/裁判組根據(jù)賽程進(jìn)展情況對比賽結(jié)果進(jìn)行調(diào)節(jié)和裁定，也可單方面進(jìn)行相應(yīng)的模擬以供藍(lán)隊(duì)或紅隊(duì)進(jìn)行檢驗(yàn)評估。系統(tǒng)管理員通過接收賽程反饋，得到整體攻防能力的評估結(jié)果。

靶場演練系統(tǒng)管理員接收并制訂靶場演練任務(wù)，根據(jù)靶場演練的目標(biāo)，結(jié)合鐵路業(yè)務(wù)場景，搭建實(shí)驗(yàn)環(huán)境，將科研人員和測試人員指定后進(jìn)入系統(tǒng)，科研人員在靶場環(huán)境中進(jìn)行新技術(shù)、新架構(gòu)的驗(yàn)證，測試人員在旁側(cè)進(jìn)行校驗(yàn)環(huán)境內(nèi)部各個參數(shù)指標(biāo)，最終達(dá)到演練測試目標(biāo)。系統(tǒng)管理員根據(jù)反饋生成評估報告。

3 關(guān)鍵技術(shù)

3.1 軟件定義網(wǎng)絡(luò)

鐵路網(wǎng)絡(luò)場景類型復(fù)雜、異構(gòu)多樣、集群龐大，為了將鐵路局集團(tuán)公司內(nèi)部某些網(wǎng)絡(luò)場景進(jìn)行快速搭建，利用虛擬化技術(shù)，進(jìn)行高精度仿真，節(jié)約搭建所需時間、人力和物力，以滿足在原有架構(gòu)基礎(chǔ)上不斷改進(jìn)的需求。通過基于軟件定義網(wǎng)絡(luò)[9]的動態(tài)組網(wǎng)技術(shù)將鐵路集團(tuán)公司多集群大規(guī)模網(wǎng)絡(luò)關(guān)鍵部分提取組合，將交換機(jī)、防火墻、服務(wù)器等設(shè)備關(guān)鍵性功能進(jìn)行仿真和虛擬化映射[10]，從而實(shí)現(xiàn)鐵路復(fù)雜網(wǎng)絡(luò)環(huán)境的復(fù)現(xiàn)。

3.2 基于角色的訪問控制

鐵路網(wǎng)絡(luò)空間靶場在運(yùn)行過程中，通過高并發(fā)實(shí)現(xiàn)多用戶進(jìn)入系統(tǒng)操作，為了做好安全方面的工作，防止非法訪問，則需要運(yùn)用基于角色的訪問控制技術(shù)，以實(shí)現(xiàn)靶場數(shù)據(jù)的保密性和完整性。在系統(tǒng)管理層面通過標(biāo)記各個角色的權(quán)限，進(jìn)行角色和權(quán)限的一對一映射[11]。角色在創(chuàng)建過程中權(quán)限已經(jīng)做好限定，任何越權(quán)操作都將會被阻止，同時，在日志審計中進(jìn)一步監(jiān)控訪問控制策略的執(zhí)行情況，最終保障鐵路網(wǎng)絡(luò)空間靶場平臺安全運(yùn)行。

3.3 自動化多維度測試

根據(jù)鐵路員工個性化的需求，在結(jié)合鐵路評估方法的基礎(chǔ)上，構(gòu)建科學(xué)的評估模型，將神經(jīng)網(wǎng)絡(luò)[12]、決策樹等人工智能算法引入靶場平臺的測試評估過程，從而實(shí)現(xiàn)計算資源、存儲資源自動調(diào)用，并關(guān)聯(lián)漏洞庫、知識庫等及時生成新的學(xué)習(xí)建議，同時結(jié)合武器庫內(nèi)的工具，自動生成各類攻擊流量，實(shí)現(xiàn)對獨(dú)立設(shè)備級、系統(tǒng)集群級、體系架構(gòu)級等不同規(guī)模級別的鐵路網(wǎng)絡(luò)空間安全測試驗(yàn)證。

4 結(jié)束語

鐵路網(wǎng)絡(luò)空間靶場方案從鐵路網(wǎng)絡(luò)安全人才培養(yǎng)需求發(fā)出，以安全實(shí)訓(xùn)系統(tǒng)、比武競賽系統(tǒng)、靶場演練系統(tǒng)為支柱，結(jié)合復(fù)雜異構(gòu)網(wǎng)絡(luò)復(fù)現(xiàn)、虛實(shí)設(shè)備混合組網(wǎng)、自動化多維度測試技術(shù)，形成一套針對鐵路信息系統(tǒng)的網(wǎng)絡(luò)空間靶場建設(shè)方案。該方案以資源調(diào)度為核心，結(jié)合鐵路既有網(wǎng)絡(luò)架構(gòu)，通過靈活的部署方式，搭建多層次一體化的靶場平臺。該方案的實(shí)施，將能夠有效提升鐵路網(wǎng)絡(luò)安全人才的培養(yǎng)能力，進(jìn)而提升鐵路網(wǎng)絡(luò)整體防護(hù)水平。