钱晓斌 唐玮涛
摘 要:随着大数据的持续推进,大数据在各行业中发挥出越来越大的作用。大数据的价值凸显,已成为国家新型战略资源,其安全性直接影響到国家安全。为应对日益严峻的网络安全挑战,全球各国纷纷加速网络靶场的建设。在此背景下,该文通过对国内外网络靶场的发展建设进行分析对比,进而对大数据安全靶场的关通用架构与关键技术进行了系统分析和探讨。
关键词:大数据 大数据安全 网络靶场 大数据安全靶场
中图分类号:TP393 文献标识码:A文章编号:1672-3791(2021)06(a)-0016-03
General Architecture and Technical System of Big Data Security Range
QIAN Xiaobin TANG Weitao
(Guizhou Guowei Xin'an Technology Co., Ltd., Guiyang, Guizhou Province, 550025 China)
Abstract: With the continuous promotion of big data, big data plays an increasingly important role in various industries. The value of big data is prominent. It has become a new national strategic resource, and its security has a direct impact on national security. In order to meet the increasingly severe network security challenges, countries all over the world have accelerated the construction of network shooting range. In this context, this paper systematically analyzes and discusses the general architecture and key technologies of big data security shooting range by analyzing and comparing the development and construction of network shooting range at home and abroad.
Key Words: Big data; Big data security; Network range; Big data security range
目前,我国在网络空间靶场的建设上已经具备一定基础,比如各行业的实训靶场、教育行业的校园靶场、电力靶场、通信靶场、电子靶场等[1]。但是,现有靶场大多规模较小,侧重于测试、科研等专业用途,其在建设规模、资源积累、安全能力、业务能力、应用层级等方面尚未达到国际先进水平。大数据及网络安全的新需求与新方向决定了大数据安全靶场建设的系统架构及技术体系,也决定了大数据安全靶场的建设形式与应用模式。
1 国内外研究现状分析
西方部分发达国家在计算机与网络技术上具有先发性与先进性,其较早进入信息化时代,在网络安全方面极度重视实践应用与实战对抗。2008年,美国率先开始国家级网络靶场的建设,这为其他国家提供了参考样板[1]。
美国的国家级网络靶场(NCR)项目是一项堪比“曼哈顿工程”的长期计划,项目涉及相关企业、部门、研究所等60余家,由政、产、学、研共同推进。项目目标是对大规模网络环境进行高度仿真,构造可伸缩的互联网模型,为攻防演练提供虚拟环境。该靶场可提供技术研发、测评验证等服务,为国防、工业、金融等领域的网络安全发挥重大作用。除了NCR之外,美国还专注于各专业性领域靶场如海、陆军赛博靶场的建设[2]。
通过借鉴美国的靶场建设经验,俄罗斯、日本、英国等国家也先后开始推进国家级网络靶场的建设。比如:由英国国防部在2010年牵头开始建设英国联合国家网络靶场、加拿大建立国家仿真实验室、日本情报通信研究机构主导建设了星平台StarBed、澳大利亚的新南威尔士大学与该国的国防学院联合建立校园测试靶场。发达国家强力推进国家级网络靶场建设,客观上促使世界各国也开始重视此项工作,越来越多的国家开始建设各自国家的网络靶场,以提高本国的网络安全保障能力[3]。
近年来,我国在借鉴国外发达国家网络靶场建设经验的基础上,利用政、产、学、研结合的模式大力推进各类网络靶场的建设,行业与地方也逐步加大了网络靶场的相关研究,在仿真、渗透、检测、虚拟化等相关技术方面均有了突破和进展。特别是2016年以来,以贵阳大数据及网络安全精英对抗演练与贵阳大数据安全靶场为代表,全国多地启动网络靶场建设工作,服务于城市、区域、行业的实网演练与人才培训。贵阳靶场在建设之初,缺少可参考的蓝本,基本上通过“边建边用、以用促建”的方式慢慢摸索与积累出一套自己的经验,经过实践检验,很好地适应了大数据安全的实际要求,形成了一系列创新技术和产品,填补了国内在网络靶场技术领域的若干空白[4-5]。我国其他靶场建设情况还包括城市级网络靶场构建技术及应用研究,主要采用平行仿真的建设思路,提供测试评估、人才培养、实验演练、技术研究与态势推演等功能;由深圳网络空间科学与技术广东省实验室牵头建设的鹏城靶场,侧重于技术研究、实验验证、人才培养与竞评演练;360实战靶场,基于独特的安全大脑赋能,构建了国内先进的大规模实战演训平台,可对外提供SaaS模式的靶场服务;合天网安实验室建设的网络实验平台,主要用于支撑各类安全竞赛[2]。
2 参考架构与关键技术
2.1 设计原则
大数据安全靶场遵循以下设计原则:(1)基础架构符合“软件定义靶场”的基本原则;(2)遵循“由实而虚、虚实结合”的靶标构建原则;(3)重点围绕大数据构建靶场核心能力原则。(4)靶场要素满足“体系对抗”的建设原则;(5)支撑攻防演练、实训竞赛、测评测试、科研创新四大核心功能以及未来持续扩展新型安全服务的原则;(6)强化“安全可靠、可信可控、可度量、可扩展”等非功能性需求。总体而言,靶场体系架构的建立应从上述6项原则出发,从系统层面考虑问题,着眼于纵向和横向,实现系统的相互连通,运用综合思维协调建设,考虑现有的信息系统,并对未来的系统建设进行分析,为靶场全面整合打下基础。
2.2 架构原型
大数据安全靶场体系结构如图1所示。
大数据安全靶场的原型架构主要包括靶场基础环境﹑核心资源库及靶场应用。其中,靶场基础环境是网络靶场运行的基础,包括运营管理中心和服务支撑平台,支撑大数据安全靶场整体功能运行,该层主要采用虚拟化与云计算技术对大数据安全靶场资源的统一调度管理。核心资源库是大数据安全靶场的核心资源,主要包括靶标库、核心能力库、数据导入系统、资源库管理系统及资源库资源池,其主要功能为保障大数据安全靶场运行的工具、数据等,支撑业务的开展和试验的运行,该层主要采用数据采集与分析相关技术、组网技术及靶场云。大数据安全靶场应用层提供靶场试验的管理和应用业务,分别包括研发创新平台用于技术研发,攻防演练平台用于探测扫描、指挥调度、攻防可视化等功能,测试验证平台主要用于产品验证、安全新技术认证、漏洞验证等功能,以及人才实训平台主要用于网络安全相关人才的培训和教育[6]。
2.3 系统相关技术
2.3.1 虚拟化技术
大数据安全靶场基础层采用虚拟化技术对资源进行统一的调度和管理。虚拟化技术主要包括硬件资源虚拟化和网络资源虚拟化。
其中,硬件资源虚拟化是对计算机系统的仿真,可对物理计算机和模拟计算机形成一对多的映射关系,一台或多台硬件资源可被共享,即模拟计算机有属于自己的硬件资源,但是硬件资源是虚拟化的。一般在系统实现上,通常采用Hypervisor技术,它提供的虚拟主机,非常接近物理主机特性,能够实现对各类不同的硬件设备及操作系统的仿真,非常适合操作系统层的仿真需求。
针对网络虚拟化,传统的802.1Q标准定义的VLAN技术随着网络的发展,在一定程度上已经不能满足现有需求,需要使用其他相关网络虚拟化技术来对网络资源进行调度和管理。比如:使用虚拟可扩展局域网和SDN技术,前者可以较好地解决VLAN的现有问题,后者因为其控制和转发相互分离的思想,非常适用于网络靶场的构建。
2.3.2 数据采集
数据采集是大数据安全靶场运行的基础,在大数据时代,数据采集也是需要克服的技术难点之一。数据采集应满足针对特定领域的数据接入、支持多类型的数据接入方式以及具有多种数据抽取策略。
在大数据安全靶场的设计上,数据抽取策略主要采用策略采集和网元采集等多种数据采集方式。策略采集主要有制定策略、下发策略、策略执行及策略采集这4个步骤,数据采集过程主要是将流量转发至采集及分析节点,完成流量的采集工作。网元采集主要是通过代理及数据分析虚拟机,将数据在分析虚拟机中进行分析后,完成数据采集工作。网元采集相对于策略采集,其优势主要存在于采集的数据不用通过其他方式进行发送,而是直接导入分析虚拟机中,就能够减少数据传输过程中占用的网络带宽。因此,在大数据安全靶场的设计上,主要以网元采集为主策略采集为辅的方式对数据进行采集。
2.3.3 数据分析
同数据采集相对应,数据分析是大数据安全靶场运行的核心,数据分析包含了网络流量分析、主机行为分析两个大类。在靶场运行的过程中,主要需要对各环节中的重点数据进行分析,比如:攻防演练数据等重要数据,并依据特征库及策略规则的支撑,以自动化的方式,根据特征比对,按照事先制定好的策略,判断靶场运行的基本情况、目标达成效果、使用的工具及相关技术等。同时,将流量数据进行进一步的清洗,将其中较为重要的部分进行提取,并进行可视化的展示。
2.3.4 靶場云
大数据安全靶场系统基础层及核心层主要由运营管理中心、服务支撑平台两个基础组件以及靶标库、核心能力库、数据导入系统、资源库管理系统及资源库资源池5个核心资源组成,在技术层与核心层之间,需要云化管理平台在两者之间起到连接作用。云化管理平台主要有基础设施层构成,该层功能主要实现仿真及数据采集等功能;数据层主要用具存储数据;平台层主要用于模拟流量的产生、渗透测试等;软件应用层则包含数据管理、工具管理等管理功能等多种应用。
3 结语
国家网络靶场是支持赛博体系对抗能力研究和赛博安全技术装备验证的试验床,是快速形成国家赛博安全能力的物质基础。而大数据安全靶场在此领域中是一项开创性的工作,因此需要突破基础结构、技术体系、大数据应用等相关领域的难题。建设大数据安全靶场必将成为我国网络安全和大数据发展中的里程碑事件,对于我国的国防及战略安全具有重要意义。随着信息安全技术的飞速发展,靶场的技术能力也需要不断更新和提高,业务范围需要不断扩大,使之成为人才培养、产品研发、攻防演练、培训教育等多功能型的国家级安全基地,为我国网络空间安全能力体系的建设贡献力量。
参考文献
[1] 赵静.网络空间安全靶场技术研究及系统架构设计[J].电脑知识与技术,2020,16(3):51-54.
[2] 赵千,李耀兵,江浩,等.网络靶场的建设现状、基本特点与发展思路[J].中国信息化,2020(6):62-64.
[3] 叶锡庆,徐润萍.海军指挥自动化系统实验环境建设思路[J].论证与研究,2011(1):4-7.
[4] 程静,雷璟,袁雪芬.国家网络靶场的建设与发展[J].中国电子科学研究院学报,2014,9(5):446-452.
[5] 陈吉龙.虚拟化工控网络靶场的设计与自动化部署[D].哈尔滨:哈尔滨工业大学,2020.
[6] 李利,韩伟红,梅阳阳,等.当前网络空间安全技术发展现状及思考[J].信息技术与网络安全,2021,40(5):33-38.
