我的位置 态势感知  >  安全态势

网络空间靶场发展态势综述①JIOR

来源:时间之外沉浮事 时间:2019-11-12 阅读次数:

网络空间靶场发展态势综述

摘要:近年来,全球逐渐兴起以网络空间靶场(Cyber Range)等信息安全和网络空间安全等新理论的革新研究与应用推广。从国家军事层面,为使军队能够通过试验演练快速掌握这些先进安全理论,并通过靶场试验加速相配套的武器装备的研发进程,使军队安全训练和武器装备的建设发展与安全理论革新相适应,以美国为首的世界主要发达国家显著加快了网络空间靶场的建设力度。从安全市场层面,为使安全人员能够应对愈加复杂的安全形势和攻防技术,通过靶场训练测试加速红蓝对抗演练等技战术能力,使网络安全人员技能及设备的建设发展与安全理论革新相适应,全球各大安全公司及新兴创新公司均不同程度设计研发了面向不同应用场景的靶场产品及方案。本文基于互联网上公开的靶场资料,调研和梳理了目前网络空间靶场的发展态势,为靶场建设单位及群体提供分析研判参考。

关键词:网络空间靶场,Cyber Range,攻防演练,红蓝对抗

前言

从理论设计到实际部署,网络空间靶场(Cyber Range)将作为支撑网络空间安全技术验证、网络武器装备试验、攻防对抗演练和网络风险评估的重要基础设施,成为新兴网络安全战略、专业人才队伍建设的重要支撑手段。世界各国均高度重视网络空间靶场建设工作,在这一方面,美国走在了世界的前列,除了建成多个小型网络空间靶场外,业已开展国家级的网络空间靶场建设,并建立了基于全美“广域分布、逻辑一体”的庞大联合靶场测试群。美国建设国家网络空间靶场引起了各国高度重视。英、德、俄、日、韩、法、澳、瑞典等国为保持其优势,借鉴美国经验建设了同类项目,作为支撑网络空间安全技术演示验证、网络武器装备研制试验的重要工具。
网络空间靶场从概念形成到目前的成熟体系,历经了一段时间的探索。大概在1998年左右(经过资料查证,美军于1998年的《Joint Doctrine for Information Operations》中明确提出了建立信息作战靶场的概念和路线图建议),美军为满足信息安全力量建设需要,着手规划启动信息安全靶场建设。该靶场即为美军联合参谋部联合信息作战靶场(JIOR)。该靶场从目前公开可查的资料上看,应是属于最早成体系化和平台化发展的靶场。在这之前,所有的针对信息安全的试验测试和安全研究均基于实验室测试环境,一是不具备体系化和平台化特征,二是尚无网络空间领域或数字领域“靶场”的明确概念。
随着形势和任务变化,美军诸多军兵种也逐渐兴建各自的小型网络测试靶场,最具代表性的事件是2008年美国国防部国防高级研究计划局(DARPA)牵头建立的国家网络空间靶场NCR,首次提出建立大型的国家级网络空间靶场。以此为契机,在学术界、工业界等相关的网络空间靶场理论和体系框架也随之进入探索试验的快车道。这个时间段内虚拟化技术以及由此形成的云计算、大数据、软件定义网络等蓬勃式发展,为网络空间靶场的迅速落地提供了坚实的实现和发展技术前提。这个时期的网络空间靶场逐渐从军队走向学术界和工业界,并不断发展出系列军民融合靶场、虚实结合靶场、民用测试靶场、商业网络靶场等。
直至目前,各国军事网络空间靶场正在向成为全频谱信息安全/网络空间靶场的目标迈进。全频谱网络空间靶场是指包含了全部网络空间内容的数字靶场,如互联网、工控网、卫星网、电信网、物联网、电磁网、无线网、天地一体化网络等所有的网络通讯类型,以及由此涉及和涵盖的网络、计算机、移动设备、多媒体、传感器、无人系统、智能设备等所有可见终端类型。如我们所见,在人工智能、数字孪生等新兴技术,万事万物互联发展的今天,全频谱网络空间靶场将模拟和仿真我们的整个现实世界,并将现实世界映射至全频谱网络空间靶场用于网络空间安全技术验证、网络武器装备试验、攻防对抗演练和网络风险评估等试验演训。

一、美军典型靶场发展现状

由于靶场概念最先源于美军网络安全攻防建设引申而出,本文将首先研究美军的网络空间靶场发展思路及具体过程,以期了解和研判美军当前的网络空间靶场发展态势。从公开资料研究显示,目前美军大型的网络空间靶场主要由美军战略司令部和美军国防部主要协同管理,而从美军战略司令部分离出来的美军网络司令部现目前尚未从美军战略司令部和美军国防部手中接过各大网络空间靶场的管辖权。目前在美军战略司令部手中的美军大型网络靶场包括美军战略司令部联合网络空间靶场(JCOR),在美军国防部管辖下的大型网络空间靶场包括弗吉尼亚州美军联合参谋部J7联合信息作战靶场(JIOR)、美军国家网络靶场(NCR)、美军国防信息系统局赛博安全靶场(CSR)以及隶属于美军联合参谋部J6的指挥、控制、通信和计算评估(C4AD)靶场。除了上述靶场以外,美各军兵种还根据自身需求建立了各自的靶场,包括:海军的战术赛博靶场、陆军赛博靶场、海军网络空间作战靶场(NCOR)等。

美国防部管辖的四大网络空间靶场,除NCR外,还包括C4 Assessment Division(C4AD) 、DoD CybersecurityRange(美军国防信息系统局赛博安全靶场)、Joint IO Range(JIOR)等,四大靶场使命和能力对比如下:

1.1.美军联合参谋部联合信息作战靶场(JIOR)

美军联合参谋部联合信息作战靶场Joint InformationOperations Range,英文简称(JIOR)。其主要起源于美军《信息作战路线图》并为其服务。1998年美军国防部的开始研究信息技术对军事变革和作战所带来的影响,并内部推出《信息作战路线图》,在美军国防部DoD的信息作战(IO)路线图中:“国防部需要一个集成的测试靶场,以增加网络攻击信心并更好地确保可预测的结果。测试靶场支持计算机网络攻击(CNA),电子战(EW)和其他IO功能的练习、测试和开发。”随后在2001年美军《四年一度国防评估》将信息作战(IO)确定为在美军国防部内部着力于转型工作的六个关键作战目标之一。它要求美军国防部将IO以及情报和太空资产一并对待,不仅要视其为现役部队的力量,还应视其为未来部队的核心能力。随后,2004-2009财年的国防计划指南(DPG)指示IO成为一项核心军事能力,已完全融入到有意和危机行动计划中,并能够执行支持和保障信息作战(IO)的行动计划。

《信息作战路线图》为美国国防部提供了一项计划,以推进将信息作战作为核心军事能力的目标。它提供了一个了解IO的通用框架,以及赋予战斗指挥官计划和集成IO的权力的政策和程序。它整合了对IO的监督、倡导和分析支持。它要求有一支敬业的执行队伍,并加强对IO的培训和教育。最后,它要求建立创新的组织结构,以提高作战能力,以适应作战人员的需求并支持国防转型。《信息作战路线图》是美国国防部致力于提高军事能力以跟上新出现的威胁并利用创新和快速发展的信息技术提供的新作战范式转变的另一个例子。《信息作战路线图》是将IO发展为军事战斗能力的过程指导方针。时任美军国防部长的Donald H.Rumsfeld签署了该项计划,并指示DoD和作战司令部支持并实施该计划。作为该计划的一部分,美军联合参谋部联合信息作战靶场应运而生。

基于该靶场使命,美军要求该靶场具备以下的关键属性:

1、该靶场需具备安全的网络测试隔离环境,且该网络测试环境可扩展和可移植;

2、该靶场需具备分布式部署和接入环境,一是可接入分布于不同地域的美军各单位的网络安全测试环境,比如利用现有和扩展的网络(DISN,DREN,JTEN,ESNet等);二是美军测试人员可通过随时随地的远程访问手段接入环境进行网络安全测试;

3、该靶场需保持持久性环境(PE)和战术事件环境,用于DIA(美国国防情报局)和美军作战司令部认可的安全培训和测试,包括七个潜在的安全级别(从未分类到敏感隔离信息(SCI))中尝试攻击性和防御性的网络空间功能。这些持久性环境(PE)和战术事件环境需通过一系列安全工具和资源库进行构建,比如:威胁环境、关键基础架构和关键资源(CIKR)、流量仿真、网络仿真、网络红蓝队的进攻性和防御性网络能力等。

该靶场培训环境的基本角色如下图所示:

图1 美军联合参谋部联合信息作战靶场环境基本角色

美军联合参谋部联合信息作战靶场由于上述特性,其总体架构上就是一个巨大的覆盖美军全球基地的全球测试网络,其节点遍布美国本土以及欧洲、澳大利亚、韩国等的美军基地。下图显示了美军联合参谋部联合信息作战靶场的网络架构图:

图2 美军联合参谋部联合信息作战靶场网络架构图

美军联合参谋部联合信息作战靶场的网络架构总体上根据作战演习需要及功能作用,划分为多个不同的功能单元,其中最为主要的三个单元是演习环境规划单元、II级NOSC(演习监控和分析)单元、III级Engineering(作战执行和工程操作)单元。其中,演习环境规划单元作为网络作战演习的活动策划,类似今天的网络攻防比赛的赛事组委会和专家策划组,这些专家协调和设计网络演习的持久和战术环境,以满足作战司令部、服务和政府机构的网络和信息作战要求。下图显示了演习环境规划单元的专家组正在进行活动策划的场景:

图3 演习环境规划单元

II级NOSC(演习监控和分析)单元通过安全防护设备和安全分析设备对网络安全作战演习的进程及任务进行监控和导调,对演习过程出现的异常或紧急事件进行处置等工作。II级NOSC(演习监控和分析)单元如下图所示:

图4 II级NOSC(演习监控和分析)单元

III级Engineering(作战执行和工程操作)单元作为最终的演习执行单位,主要由参与作战演习的美军各军兵种组成,这些作战演习的执行单位即可以在美军基地接入所测网络,也可以在家接入所测网络,该靶场的特性决定了分布式远程接入的灵活性。III级Engineering(作战执行和工程操作)单元如下图所示:

图5 III级Engineering(作战执行和工程操作)单元

当这些单元通过既定的规划设计和网络连接装置连接到一起后,就可以组成一个逻辑的测试靶场。如下图所示,该图展现了各个不同类型的靶场实物单元通过网络连接装置连接到一起形成的一个能够实现网络演训活动的网络空间靶场:

图6 JIOR逻辑靶场架构图

这些靶场的实物单元通过连接的网络连接装置,美军进行标准化设置,其中包含两种不同类型的连接点装置,分别是机架式服务交付点(Rack MountedService Delivery Point,PMSDP)和微型盒式服务交付点(Pico Service Delivery Point,PSDP)。机架式服务交付点主要用于连接大型的网络基础设施,比如美军的驻日基地;微型盒式服务交付点用于连接较小型的网络基础设施或用于美军测试人员接入靶场测试环境。机架式服务交付点如下图所示:

图7 机架式服务交付点

微型盒式服务交付点如下图所示:

图8 微型盒式服务交付点

由于美军联合参谋部联合信息作战靶场的联合靶场特性,其节点遍布美国本土以及欧洲、澳大利亚、韩国等的美军基地。该靶场拥有的节点数量随着时间及建设升级不断增加,下图显示了美军联合参谋部联合信息作战靶场节点数量升级的时间路线图:

图9 美军信息安全靶场站点升级时序图

如路线图所示,美军在2003年开始计划建立信息作战(IO)和计算机网络攻击(CNA)系列网络靶场,并于2005年由国防部授权美国联合部队司令部正式开始进行靶场建设工作(DepSecDef Englanddesignates JFCOM as LA)。现在由总部位于弗吉尼亚州萨福克的美军联合参谋部J-7负责管理,美军联合参谋部J-7负责联合部队发展的六个职能:管理联合部队的开发过程和DOD术语程序、为联合部队提供军事教育、识别并发展未来与实验,负责组织联合部队培训、演习,并进行经验总结,出具培训、演习等最佳实践用于持续改进。

在路线图中,该靶场于2006年建设统筹了10个节点数量的测试环境,共进行3次演训作业。2007年,进行试验演习事件达到11次;2008年升级到40个节点,进行18次的试验演习作业;2009年扩容到57个节点,2010年到达64个节点,2011年达到70个节点,2012年达到75个节点,2014年达到90个节点,并且试验演习作业也达到了60余个;2015年实现了100多个节点的升级,目前已扩展到全球120多个节点,并在进一步进行扩容升级中,目前美军联合参谋部联合信息作战靶场的足迹也将扩展到民用领域(例如,国民警卫队、政府机构、安全联盟等),实现数百节点的扩容升级计划。下图显示了2016年美军联合参谋部联合信息作战靶场全球的120+节点位置图:

图10 美军信息安全靶场节点分布图

目前,美军联合参谋部联合信息作战靶场(JIOR)为美军国防部提供一个闭环网络,该网络形成了覆盖全球美军基地的实战信息作战靶场综合集群。JIOR在现有传输上使用加密隧道网络进行任务演练、培训、测试、概念开发和试验,以支持信息作战(IO)、电子战(EW)、进攻性网络作战(OCO)等演练活动;在真实的威胁代表环境中,JIOR也在积极推进防御性网络作战(DCO)、频谱战、太空作战和特种作战环境建设和演习活动。由于JIOR的分布式部署和接入特性,JIOR架构支持不同分类级别的多个网络隔离措施和场景活动。如下图所示,JIOR采用VPN加密隧道技术实现分布式接入组网和网络场景隔离。在下图中,显示的Patch Panel站点可以控制与IO Range的连接。(IO Range为最初的名称,意思为信息作战靶场)。

图11 VPN加密隧道组网架构

在JIOR的VPN架构中,设置Patch Panel站点,分为边缘Patch Panel站点和IO Range Patch Panel站点。首先边缘Patch Panel站点和IO Range Patch Panel站点进行一对一的端口连接,打通链路;然后边缘Patch Panel站点的端口再和接入的Type-3 VPN隧道一对一连接,这样就形成了点对点连接组网网络。在网络隔离方面,和站点的连接通过互联网建立Type-1 VPN加密隧道,然后在客户端和站点之间携带多个Type-3加密VLAN,根据规则允许或者不允许该Type-3加密VLAN通过即可实现网络访问的隔离与快速切换。

除了信息作战及电子战等演练能力外,JIOR还提供训练能力并向美军的网络任务部队提供各种网络武器/能力认证。在培训训练能力上,JIOR通过“模拟训练练习平台-STEP”进行网络技能训练,STEP通过提供针对个人和团队操作演习空间网络拓扑的动手实验室,为个人或团队提供训练指导和训练环境;STEP确保多个团队可以同时部署和访问多个隔离的独立训练环境,包含不同的角色操作环境,如红队、蓝队、灰队和白队等角色。

JIOR在国防部内为军队提供网络武器/能力认证。JIOR通过DIA(美国国防情报局)的认可在多个独立的安全级别(MILS)环境中,通过顶级机密信息(TS-SCI)未分类的操作来实现各个网络武器在这些环境中的效能评估和测试验证。JIOR已被特殊访问程序批准使用(SAP),特殊访问要求程序(SAR)和特殊技术操作(STO)。

JIOR还为作战司令部、服务和机构(C/S/A)和主要盟友提供了以下能力测试部署,并在当前和将来的操作环境下协作获得对高级网络空间和电子战(EW)功能的演练评估等服务。JIOR整合了广泛可用的网络空间培训/测试对象,可以访问低密度/高需求的测试和培训资源,包括关键基础设施、特定网络靶标、互联网流量和敌对力量模拟网络等。JIOR还进行国防部/部门间网络漏洞评估,为作战司令部、服务和机构(C/S/A)进行每年数百次的任务排练、培训、测试和试验演习活动。下图显示了2016年JIOR全年的工作内容占比:

图12 2016年JIOR工作量占比统计

根据美军国防部2020年财务预算,JIOR采购资金用于购买JIOR企业网络的技术升级/现代化。计划中的设备和软件现代化可使JIOR将服务扩展到36个,同时继续支持现有的138个JIOR接入点。这些场所中有7个的设备将在2020财年采购。

图13 美军国防部2020年后续针对JIOR的财务预算表

从历史上看,JIOR的IT更新资金有限,并且由于故障、寿命终止或服务终止限制而无法进行集中的现代化工作。鉴于越来越多的重要网络任务云集,美军将在2020年逐年开始对JIOR进行技术现代化升级,以使JIOR更加高效,敏捷且足够强大,以适应未来美军的网络战略和战术扩展,从而满足美军网络任务部队的额外需求。

 

 

原文来源:时间之外沉浮事

8条评论