网络空间靶场发展态势综述
摘要:近年来,全球逐渐兴起以网络空间靶场(Cyber Range)等信息安全和网络空间安全等新理论的革新研究与应用推广。从国家军事层面,为使军队能够通过试验演练快速掌握这些先进安全理论,并通过靶场试验加速相配套的武器装备的研发进程,使军队安全训练和武器装备的建设发展与安全理论革新相适应,以美国为首的世界主要发达国家显著加快了网络空间靶场的建设力度。从安全市场层面,为使安全人员能够应对愈加复杂的安全形势和攻防技术,通过靶场训练测试加速红蓝对抗演练等技战术能力,使网络安全人员技能及设备的建设发展与安全理论革新相适应,全球各大安全公司及新兴创新公司均不同程度设计研发了面向不同应用场景的靶场产品及方案。本文基于互联网上公开的靶场资料,调研和梳理了目前网络空间靶场的发展态势,为靶场建设单位及群体提供分析研判参考。
关键词:网络空间靶场,Cyber Range,攻防演练,红蓝对抗
前言
一、美军典型靶场发展现状
美国防部管辖的四大网络空间靶场,除NCR外,还包括C4 Assessment Division(C4AD) 、DoD CybersecurityRange(美军国防信息系统局赛博安全靶场)、Joint IO Range(JIOR)等,四大靶场使命和能力对比如下:
1.1.美军联合参谋部联合信息作战靶场(JIOR)
《信息作战路线图》为美国国防部提供了一项计划,以推进将信息作战作为核心军事能力的目标。它提供了一个了解IO的通用框架,以及赋予战斗指挥官计划和集成IO的权力的政策和程序。它整合了对IO的监督、倡导和分析支持。它要求有一支敬业的执行队伍,并加强对IO的培训和教育。最后,它要求建立创新的组织结构,以提高作战能力,以适应作战人员的需求并支持国防转型。《信息作战路线图》是美国国防部致力于提高军事能力以跟上新出现的威胁并利用创新和快速发展的信息技术提供的新作战范式转变的另一个例子。《信息作战路线图》是将IO发展为军事战斗能力的过程指导方针。时任美军国防部长的Donald H.Rumsfeld签署了该项计划,并指示DoD和作战司令部支持并实施该计划。作为该计划的一部分,美军联合参谋部联合信息作战靶场应运而生。
基于该靶场使命,美军要求该靶场具备以下的关键属性:
1、该靶场需具备安全的网络测试隔离环境,且该网络测试环境可扩展和可移植;
2、该靶场需具备分布式部署和接入环境,一是可接入分布于不同地域的美军各单位的网络安全测试环境,比如利用现有和扩展的网络(DISN,DREN,JTEN,ESNet等);二是美军测试人员可通过随时随地的远程访问手段接入环境进行网络安全测试;
3、该靶场需保持持久性环境(PE)和战术事件环境,用于DIA(美国国防情报局)和美军作战司令部认可的安全培训和测试,包括七个潜在的安全级别(从未分类到敏感隔离信息(SCI))中尝试攻击性和防御性的网络空间功能。这些持久性环境(PE)和战术事件环境需通过一系列安全工具和资源库进行构建,比如:威胁环境、关键基础架构和关键资源(CIKR)、流量仿真、网络仿真、网络红蓝队的进攻性和防御性网络能力等。
该靶场培训环境的基本角色如下图所示:
图1 美军联合参谋部联合信息作战靶场环境基本角色
美军联合参谋部联合信息作战靶场由于上述特性,其总体架构上就是一个巨大的覆盖美军全球基地的全球测试网络,其节点遍布美国本土以及欧洲、澳大利亚、韩国等的美军基地。下图显示了美军联合参谋部联合信息作战靶场的网络架构图:
图2 美军联合参谋部联合信息作战靶场网络架构图
美军联合参谋部联合信息作战靶场的网络架构总体上根据作战演习需要及功能作用,划分为多个不同的功能单元,其中最为主要的三个单元是演习环境规划单元、II级NOSC(演习监控和分析)单元、III级Engineering(作战执行和工程操作)单元。其中,演习环境规划单元作为网络作战演习的活动策划,类似今天的网络攻防比赛的赛事组委会和专家策划组,这些专家协调和设计网络演习的持久和战术环境,以满足作战司令部、服务和政府机构的网络和信息作战要求。下图显示了演习环境规划单元的专家组正在进行活动策划的场景:
图3 演习环境规划单元
II级NOSC(演习监控和分析)单元通过安全防护设备和安全分析设备对网络安全作战演习的进程及任务进行监控和导调,对演习过程出现的异常或紧急事件进行处置等工作。II级NOSC(演习监控和分析)单元如下图所示:
图4 II级NOSC(演习监控和分析)单元
III级Engineering(作战执行和工程操作)单元作为最终的演习执行单位,主要由参与作战演习的美军各军兵种组成,这些作战演习的执行单位即可以在美军基地接入所测网络,也可以在家接入所测网络,该靶场的特性决定了分布式远程接入的灵活性。III级Engineering(作战执行和工程操作)单元如下图所示:
图5 III级Engineering(作战执行和工程操作)单元
当这些单元通过既定的规划设计和网络连接装置连接到一起后,就可以组成一个逻辑的测试靶场。如下图所示,该图展现了各个不同类型的靶场实物单元通过网络连接装置连接到一起形成的一个能够实现网络演训活动的网络空间靶场:
图6 JIOR逻辑靶场架构图
这些靶场的实物单元通过连接的网络连接装置,美军进行标准化设置,其中包含两种不同类型的连接点装置,分别是机架式服务交付点(Rack MountedService Delivery Point,PMSDP)和微型盒式服务交付点(Pico Service Delivery Point,PSDP)。机架式服务交付点主要用于连接大型的网络基础设施,比如美军的驻日基地;微型盒式服务交付点用于连接较小型的网络基础设施或用于美军测试人员接入靶场测试环境。机架式服务交付点如下图所示:
图7 机架式服务交付点
微型盒式服务交付点如下图所示:
图8 微型盒式服务交付点
由于美军联合参谋部联合信息作战靶场的联合靶场特性,其节点遍布美国本土以及欧洲、澳大利亚、韩国等的美军基地。该靶场拥有的节点数量随着时间及建设升级不断增加,下图显示了美军联合参谋部联合信息作战靶场节点数量升级的时间路线图:
图9 美军信息安全靶场站点升级时序图
如路线图所示,美军在2003年开始计划建立信息作战(IO)和计算机网络攻击(CNA)系列网络靶场,并于2005年由国防部授权美国联合部队司令部正式开始进行靶场建设工作(DepSecDef Englanddesignates JFCOM as LA)。现在由总部位于弗吉尼亚州萨福克的美军联合参谋部J-7负责管理,美军联合参谋部J-7负责联合部队发展的六个职能:管理联合部队的开发过程和DOD术语程序、为联合部队提供军事教育、识别并发展未来与实验,负责组织联合部队培训、演习,并进行经验总结,出具培训、演习等最佳实践用于持续改进。
在路线图中,该靶场于2006年建设统筹了10个节点数量的测试环境,共进行3次演训作业。2007年,进行试验演习事件达到11次;2008年升级到40个节点,进行18次的试验演习作业;2009年扩容到57个节点,2010年到达64个节点,2011年达到70个节点,2012年达到75个节点,2014年达到90个节点,并且试验演习作业也达到了60余个;2015年实现了100多个节点的升级,目前已扩展到全球120多个节点,并在进一步进行扩容升级中,目前美军联合参谋部联合信息作战靶场的足迹也将扩展到民用领域(例如,国民警卫队、政府机构、安全联盟等),实现数百节点的扩容升级计划。下图显示了2016年美军联合参谋部联合信息作战靶场全球的120+节点位置图:
图10 美军信息安全靶场节点分布图
目前,美军联合参谋部联合信息作战靶场(JIOR)为美军国防部提供一个闭环网络,该网络形成了覆盖全球美军基地的实战信息作战靶场综合集群。JIOR在现有传输上使用加密隧道网络进行任务演练、培训、测试、概念开发和试验,以支持信息作战(IO)、电子战(EW)、进攻性网络作战(OCO)等演练活动;在真实的威胁代表环境中,JIOR也在积极推进防御性网络作战(DCO)、频谱战、太空作战和特种作战环境建设和演习活动。由于JIOR的分布式部署和接入特性,JIOR架构支持不同分类级别的多个网络隔离措施和场景活动。如下图所示,JIOR采用VPN加密隧道技术实现分布式接入组网和网络场景隔离。在下图中,显示的Patch Panel站点可以控制与IO Range的连接。(IO Range为最初的名称,意思为信息作战靶场)。
图11 VPN加密隧道组网架构
在JIOR的VPN架构中,设置Patch Panel站点,分为边缘Patch Panel站点和IO Range Patch Panel站点。首先边缘Patch Panel站点和IO Range Patch Panel站点进行一对一的端口连接,打通链路;然后边缘Patch Panel站点的端口再和接入的Type-3 VPN隧道一对一连接,这样就形成了点对点连接组网网络。在网络隔离方面,和站点的连接通过互联网建立Type-1 VPN加密隧道,然后在客户端和站点之间携带多个Type-3加密VLAN,根据规则允许或者不允许该Type-3加密VLAN通过即可实现网络访问的隔离与快速切换。
除了信息作战及电子战等演练能力外,JIOR还提供训练能力并向美军的网络任务部队提供各种网络武器/能力认证。在培训训练能力上,JIOR通过“模拟训练练习平台-STEP”进行网络技能训练,STEP通过提供针对个人和团队操作演习空间网络拓扑的动手实验室,为个人或团队提供训练指导和训练环境;STEP确保多个团队可以同时部署和访问多个隔离的独立训练环境,包含不同的角色操作环境,如红队、蓝队、灰队和白队等角色。
JIOR在国防部内为军队提供网络武器/能力认证。JIOR通过DIA(美国国防情报局)的认可在多个独立的安全级别(MILS)环境中,通过顶级机密信息(TS-SCI)未分类的操作来实现各个网络武器在这些环境中的效能评估和测试验证。JIOR已被特殊访问程序批准使用(SAP),特殊访问要求程序(SAR)和特殊技术操作(STO)。
JIOR还为作战司令部、服务和机构(C/S/A)和主要盟友提供了以下能力测试部署,并在当前和将来的操作环境下协作获得对高级网络空间和电子战(EW)功能的演练评估等服务。JIOR整合了广泛可用的网络空间培训/测试对象,可以访问低密度/高需求的测试和培训资源,包括关键基础设施、特定网络靶标、互联网流量和敌对力量模拟网络等。JIOR还进行国防部/部门间网络漏洞评估,为作战司令部、服务和机构(C/S/A)进行每年数百次的任务排练、培训、测试和试验演习活动。下图显示了2016年JIOR全年的工作内容占比:
图12 2016年JIOR工作量占比统计
根据美军国防部2020年财务预算,JIOR采购资金用于购买JIOR企业网络的技术升级/现代化。计划中的设备和软件现代化可使JIOR将服务扩展到36个,同时继续支持现有的138个JIOR接入点。这些场所中有7个的设备将在2020财年采购。
图13 美军国防部2020年后续针对JIOR的财务预算表
从历史上看,JIOR的IT更新资金有限,并且由于故障、寿命终止或服务终止限制而无法进行集中的现代化工作。鉴于越来越多的重要网络任务云集,美军将在2020年逐年开始对JIOR进行技术现代化升级,以使JIOR更加高效,敏捷且足够强大,以适应未来美军的网络战略和战术扩展,从而满足美军网络任务部队的额外需求。
原文来源:时间之外沉浮事