我的位置 态势感知  >  安全态势

靶场发展态势⑧美国家网络空间靶场综合设施(NCRC)

来源:时间之外沉浮事 时间:2020-02-25 阅读次数:
一、NCRC背景

美国陆军计划模拟、培训和仪器执行办公室(PEO STRI)正在寻求市场研究,以协助制定一项为期多年的美国国家网络空间靶场综合设施(NCRC)事件规划和作战支持合同的购置策略,以支持测试资源管理中心(TRMC)的使命--提供比拟真实的网络安全环境,以支持主要国防部(DoD)采购计划的网络安全测试和评估(T&E),并为国防部网络任务部队(CMF)进行比拟真实的培训和认证活动。此市场研究工作与针对支持持续网络培训环境(PCTE)的功能开发和合同等的工作是分开的。目前美国国家网络空间靶场综合设施(NCRC)也和PCTE类似,进入到了合同技术建议书征集阶段。

美国国家网络空间靶场综合设施(NCRC)将提供对主要国防部(DoD)购置计划进行比拟真实的网络安全测试和评估(T&E)的能力,并为国防部(DoD)网络任务部队(CMF)进行比拟真实的培训和认证活动,其主要培训重点是支持大型复杂团队和集体培训。当前的美国国家网络空间靶场(NCR)位于佛罗里达州奥兰多市的洛克希德·马丁公司的训练与任务系统中心[任务系统与训练事业群],主要由美国测试资源管理中心(TRMC)进行资源管理,目前由四个关键要素组成:即硬件设施、封装架构与操作流程、整合式网络事件工具套件以及网络测试团队[上述文章对NCR有介绍]。美国国家网络空间靶场(NCR)获得了美国国防情报局(DIA)的网络隔离安全等级的认可,可提供高效且安全的网络安全测试和培训基础架构,其运行级别可以达到最高机密/敏感隔离信息(TS/SCI)级。使用最新的网络隔离功能,美国国家网络空间靶场(NCR)可以在不同分类级别同时执行多达八个独立的网络安全测试和评估(T&E)和针对国防部(DoD)网络任务部队(CMF)培训事件的组合。

2016年,为了满足对网络安全测试和评估(T&E)和国防部(DoD)网络任务部队(CMF)培训和认证不断增长的需求,美国测试资源管理中心(TRMC)经过一项NCRC计划,通过创建类似于美国国家网络空间靶场(NCR)的设施的互连综合体来提高美国国家网络空间靶场(NCR)的容量,这个计划被称为NCRC。这些新的网络空间靶场位于以下预先选定的地点:南卡罗来纳州查尔斯顿、马里兰州Patuxent River和佛罗里达州埃格林空军基地。目前这三个地点的国家网络空间靶场(NCR)的设施还在开发当中:

图82  目前正在开发带有服务的NCRC新站点

由于当前基于美国测试资源管理中心(TRMC)新建的三个NCRC实例站点尚未竣工,因此,NCRC在进行市场研究和总体规划中,将上述在建的三个国家网络空间靶场(NCR)的设施规划为美国国家网络空间靶场综合设施(NCRC)的新站点。也就是说,美国国家网络空间靶场综合设施(NCRC)目前已经具有4个类似于美国国家网络空间靶场(NCR)的设施的节点。综合来说,就是TRMC为了扩充NCR的能力,实施了一个NCRC的计划,新建了3个NCR的实例镜像站点。为什么美国测试资源管理中心(TRMC)要继续建设更多的NCR站点,并形成NCRC基础设施互联集群?从本人的理解来看,目前已有的NCR设施根据洛克希德·马丁公司的NCR十年总结,在2014年至今,NCR总共执行了大约400多次的安全测试与培训事件,每个事件的时间周期大约在1~2周左右。而基于现有的NCR扩充的3个镜像实例站点的资源扩充,NCR组成的互联的4个站点将为美国国防部(DoD)提供每年进行500多次网络T&E和培训活动的能力。扩充和能力用于支撑日益频繁的测试和培训活动。

那么TRMC的NCRC计划和美国陆军计划模拟、培训和仪器执行办公室(PEO STRI)的NCRC EPOS计划有何不同呢?我们可以理解为,TRMC的NCRC计划是用于NCR实际设施的设计和建造,而美国陆军计划模拟、培训和仪器执行办公室(PEO STRI)的NCRC EPOS计划则是为了在选定地点的政府控制的NCRC设施进行网络事件计划和操作支持。目前的TRMC的NCRC计划已经实施并处于紧张开发中,而美国陆军计划模拟、培训和仪器执行办公室(PEO STRI)的NCRC EPOS计划则还处于市场研究阶段。

根据NCRC的合同信息,美国国家网络空间靶场综合设施(NCRC)的任务是,通过为网络安全测试和评估(T&E)、训练和任务演练提供可操作的代表性网络空间环境,以提高美国网络战士在网络竞争的战场上的应变能力和杀伤力。美国国家网络空间靶场综合设施(NCRC)团队将在整个生命周期中支持美国防部(DoD)采购计划规划和执行各种网络安全活动,包括科学技术实验、体系结构评估、安全控制评估、脆弱性评估和渗透评估以及对抗性评估。此外,美国国家网络空间靶场综合设施(NCRC)还支持网络任务部队(CMF)的培训、认证和任务演练要求。因此,总结来说,就是NCR需要适应新时期美军任务的变化,需要不断开发新的资源及工具、容量等满足美军在新时代条件下的需求。

此外,美国国家网络空间靶场综合设施(NCRC)不仅仅是在资源容量上进行靶场间的互联互通互操作,还侧重进行美国国家网络空间靶场综合设施(NCRC)的运营模式策划和生命周期管理。从美军实践NCR十年时间来看,美军的靶场测试基础设施在进行安全事件演练和测试时,均需要熟练的安全专家和工程师对模拟其特定计算、网络和信息系统基础架构的环境中进行研究实验、开发和测试以及培训演习的网络事件规划、设计、工程实施、执行管理和基础设施维护等内容。因此美国陆军计划模拟、培训和仪器执行办公室(PEO STRI)的NCRC EPOS计划目的是要研究解决靶场在运行大量测试与评估、培训活动的网络事件规划、设计、工程实施、执行管理和基础设施维护等所需的人员及团队。为解决人员问题,美国陆军计划模拟、培训和仪器执行办公室(PEO STRI)在研究NCRC的过程中,推出了针对NCRC运营支撑的合同:针对NCRC的事件计划、运营和支持的合同。针对NCRC的事件计划、运营和支持的合同工作是为了在选定地点的政府控制的NCRC设施进行网络事件计划和操作支持。它不用于实际设施的设计和建造,也不用于核心NCRC基础设施能力的设计和建造。

NCRC EPOS目前处于招标前市场研究阶段。(RFP的预计草案发布于19财年第1季度,最终RFP发行于19财年第3季度。)。TRMC为了支持NCRC项目的推进,建立专门的NCRC监督管理小组,负责NCRC集成企业解决方案的各个方面,以支持美国国防部(DOD)的网络安全测试和培训要求,其中包括多个网络空间靶场、分布式基础结构和多学科团队人员,以帮助成功地计划和执行其活动。多个网络空间靶场的执行是通过建立每个网络空间靶场的代理执行办公室来负责推进和各个网络空间靶场的集成和对接工作,分布式基础结构是通过现有的TRMC的联合任务环境测试能力(JMETC)计划来支撑。目前,美国TRMC负责的分布式网络基础结构联合任务环境测试能力(JMETC)将美国140多个实验室和测试试验设施连接在一起,以支持美国国防部(DOD)的互操作性和网络安全测试与培训事件。

二、NCRC计划和站点情况

所以NCRC计划要分两个阶段和两个实施主体来理解和看待。从TRMC实施的NCRC计划来看,美国国家网络空间靶场综合设施(NCRC)的合同承包建设后,将包括一个完整且可互操作的网络空间靶场设施群,旨在规划和执行大规模、复杂的分布式网络安全测试和评估(T&E)和网络任务部队(CMF)培训事件。TRMC实施的NCRC计划从背景来看,主要是为了支撑美军规划的网络T&E基础架构(CT&EI)规划。基于执行大规模、复杂的分布式网络安全测试和评估(T&E)的被称为网络T&E基础架构(CT&EI),如下图所示。目前美军规划的网络T&E基础架构(CT&EI):

 

图83  美军网络T&E基础架构(CT&EI)OV-1a

美军网络T&E基础架构(CT&EI)由现有的纯ICT测试的网络测试功能设施与物理世界的控制系统、武器系统等真实世界和C2系统(例如硬件在环(HWIL)设施、系统集成实验室(SIL)和软件在环)等的表示形式集成在一起(SWIL),这些设施通过网络互联互通互操作,从而可以在包括网络和互操作性等实际环境中测试这些各种系统。网络空间靶场作为美军网络T&E基础架构(CT&EI)的控制和集成核心,需要包容接纳全美各种各样的测试资源和设施设备,因此需要更多是资源容量及特定工具。在考虑综合利旧的情况下,美军将现有的国防部网络空间靶场首先进行了基于互联互通互操作的集成,以形成一个基于现有网络空间靶场为核心的美军网络T&E基础架构(CT&EI),如下图所示:

图84  基于现有网络空间靶场集成为核心的网络T&E基础架构(CT&EI)

美军网络T&E基础架构(CT&EI)是基于2015双年度综合计划实施的一个大规模、复杂的分布式网络安全测试和评估(T&E)所规划的。基于2015年NDAA要求执行测试(EA)进行网络测试制定两年期综合计划,其中包括:

1.维护全面的测试功能列表(DoD和非DoD)

2.组织和管理指定的测试功能

制定并执行标准

整合指定功能的指南

寻找成本降低

添加或整合网络测试功能

提高劳动力素质和专业知识

与机构间和行业合作伙伴进行协调

1.定义架构,该架构将:

满足不断变化的需求

与机构间和行业合作伙伴进行协调

允许在安全的网络和EW环境中进行集成的闭环测试

支持科技、研发、DT&E、OT&E等

以分布式方式提供与现有网络空间靶场和其他动态靶场设施的连接

确认国防部所有网络(测试)靶场的投资

生成需求和标准以实施体系结构。

 

图85  综合计划文件文本

经过2015-2017年度的综合计划实施,通过识别网络空间靶场的差距和优先级的初始集合来一次启动网络测试靶场需求生成过程的机会。通过RAND研究以及服务和机构对网络测试靶场要求工作组(CTRRWG)的验证而完成一系列网络空间靶场整合工作。其进程如时间表所示:

图86  基于测试与评估工作的美网络测试靶场整合工作时间表

而2019双年度综合计划也不断增加对网络T&E基础架构(CT&EI)能力的需求。根据这些需求,TRMC作为试验测试资源管理中心,是需要去解决这些测试需求的。因此,NCRC需要解决的问题其实就比较清晰了。NCRC侧重于提供执行大规模、复杂和分布式的网络测试资源,NCRC EPOS侧重于以服务的方式对NCRC提供的网络测试资源进行综合事件规划,运营和技术支持。也就是和NCR目前的管理和运营体制差距不大,原先的NCR是由洛克希德·马丁公司建设和运营,由TRMC管理。而NCRC的EPOS承包商将不会拥有NCR节点的规划和建设权限,但是具有运营服务权限。NCRC和PCTE相比较而言,NCRC侧重于提供执行大规模、复杂和分布式的网络测试资源,PCTE侧重于提供“无剧本”式的执行大规模、复杂和分布式的网络培训资源。作为培训资源的一种,NCRC也是PCTE培训资源计划的一部分。

NCRC新站点的建设阶段包括:

设施准备

NCRC核心基础结构安装

NCRC团队建设和培训

初始运作能力

全面运作能力

目前在建的NCRC扩展站点正在进行紧张的建设中,就NCRC新站点的建设阶段而言,目前三大核心扩建的NCRC站点全部以及实施了NCRC核心基础结构的安装工作,目前进入到了NCRC团队建设和培训阶段。因此才有了目前美陆军发布的NCRC EPOS计划,将为NCRC扩展阶段招募运营服务承包商。

图87  NCRC扩展站点

从体系结构的角度来看,奥兰多NCR站点将与NCRC其他站点使用相同的技术架构和工具。所有站点将具有相似的技术设计,硬件和软件的安装以及这些站点的认证将通过单独的合同完成。美国政府不寻求新的解决方案作为NCRC EOPS合同的一部分;但是,随着时间的流逝,随着NCRC EOPS承包商精通所提供的功能,NCRC将举办共享创新思想和新技术的论坛,包容接纳NCRC站点技术架构的改进。此外,由于奥兰多NCR站点已经建立了10年,在10年前,虚拟化云计算以及大数据等均未成熟,因为NCRC的建设计划也包括针对奥兰多NCR站点的现代化升级,包括使用云计算和大数据技术进行任务置备和任务推演。此外,新建的NCRC也会和其他靶场进行互联,美国的网络空间靶场互操作性标准仍在定义和开发中。NCRC可根据需要使用现有的分布式基础设施与其他网络空间靶场(例如赛博安全靶场CSR)进行互操作,以支持客户需求。

美国国家网络空间靶场综合设施(NCRC)由网络空间靶场和安全的分布式网络基础结构组成,可为网络空间靶场用户社区提供服务。NCRC当前包括五个功能性网络空间靶场,包括佛罗里达州的国家网络空间靶场以及位于夏威夷、阿拉巴马州、马里兰州和马萨诸塞州的四个区域服务提供点(RSDP)。为了增强DoD网络测距和培训能力,NCRC正在扩展与主要服务组织一起部署的其他网络测距,以支持增加DoD系统的网络测试以及对网络战士的培训。JMETC多独立安全级别(MILS)网络(JMN)当前链接了国防部、工业和学术界的58个站点,从而在网络空间靶场、实验室和设施之间提供了安全的访问。网络空间靶场和网络基础设施均经过认证,可支持多个级别的安全分类,这些分类专门配置为满足特定的网络事件要求。NCRC的投资已经调整为支持国防战略,以改善网络防御、网络弹性以及将网络能力持续整合到军事行动的各个方面。

NCRC为国防部的所有客户开展网络空间测试和培训活动,包括研究、开发、获取、测试、培训和作战的网络任务部队(CMF)。NCRC执行各种事件类型,包括科学技术(S&T)演示、发展测试与评估(DT&E)、运营测试与评估(OT&E)、安全控制评估、网络空间操作培训、网络空间策略、技术和程序(TTP)开发,取证/恶意软件分析)和网络空间作战任务演练。NCRC使网络空间策略、技术和程序(TTP)能够在具有操作性的网络空间环境中进行网络安全测试和评估,从而能够识别、确认和缓解漏洞。NCRC还通过使作战部队能够在真实的联合任务环境中有效评估网络作战能力,来支持CMF的训练、任务演练和认证,以支持美国网络司令部。

NCRC还促进了分布式组织的整合,这些组织具有与网络运营相关的不同任务和人员(例如网络运营商、渗透测试人员、网络评估师、网络观察员、网络分析师等)。NCRC支持各种DoD系统的网络活动,包括武器平台、C4I系统、业务系统、网络设备以及其他容易受到网络攻击的系统。NCRC广泛利用自动化来最大程度地减少人为错误,减少设置网络事件所需的时间并确保可重复的结果。此外,NCRC在暴露于恶意代码后对所有资产采用事件后消毒技术,以恢复到已知的干净状态,从而可以在以后的事件中重复使用。

从任务测试和培训的角度看,新建的NCRC设施综合体将包含以美国为首的“五眼联盟”的测试活动,并且针对“五眼联盟”的合作伙伴的测试活动与培训不会收取任何费用。NCRC支持数百场网络事件,为大型国防采购计划(MDAP),大型自动化信息系统(MAIS)采购计划和小型采购计划提供网络安全T&E支持。NCRC支持对与有人和无人飞机,水面舰艇,指挥与控制系统,数据管理平台,武器平台,卫星,雷达和导弹防御系统有关的系统和子系统进行网络测试。NCRC通过培训,认证,任务演练和TTP开发重点活动来支持服务网络任务部队(CMF)。NCRC还将支持许多国防部组织的网络活动,包括美国网络司令部;J-7联合参谋部;运营测试与评估总监(DOT&E);发展测试与评估(DT&E)总监;陆军PEO指挥控制通信战术(PEO C3T);海军航空系统司令部(NAVAIR);太空和海军作战系统司令部(SPAWAR);海军系统司令部;PEO船;空军太空与导弹司令部;陆军情报和信息战局;海军情报局;海军陆战队战术系统支持活动;陆军通信与电子研究,发展和工程司令部(CERDEC)。

在NCRC现有4大站点新建完毕后,美军将视情况新建更多的NCRC站点。

在2019年,NCRC将继续就以下任务进行活动:

-NCRC将继续开展业务,以支持不断增长的采购计划网络安全T&E要求。

-NCRC将继续为购置计划提供“网络桌面”支持,以帮助在开发中尽早评估和解决网络安全问题。

-NCRC将通过开发具有代表性的蓝队、红队和灰队环境,继续为美国网络司令部、联合参谋部以及其他培训和认证活动提供支持。

-NCRC将继续支持DOT&E网络评估。

-NCRC将继续支持美国网络司令部的网络活动。

-NCRC将继续扩大对工业控制系统和航空电子系统测试台的测试。

-NCRC将通过建立更多的网络靶场来支持网络的T&E和培训要求,从而提高能力。

-NCRC将进行工程活动,以计划对即将出现的寿命终止和服务终止计算资产进行技术更新。

-NCRC将与网络测试靶场和网络培训靶场的执行代理紧密合作,继续评估网络空间靶场的要求,以建立优先的网络空间靶场功能和能力,以满足已确定的RDT&E社区和CMF的需求。

-NCRC将继续进行能力分析,以确定将这些网络测试设施与现有的采集系统硬件在环、软件在环和系统集成实验室结合起来以实际测试系统所需的要求和标准网络竞争环境。

-NCRC将根据需要继续扩展JMN连接,以提供对网络靶场资源的访问。

三、NCRC EPOS计划和运营承包情况

从美国陆军实施的NCRC EPOS计划来看,计划在2019财年第一季度(FY19第一季度)发布提案征求意见稿(RFP)。此外,美国陆军的目的是在2019财年第三季度发布最终的RFP。但是目前时间明显已经延后,最终版本的RFP可能需要明年才能发布。

NCRC EPOS计划规定,NCRC EPOS承包商将负责运营和维护NCRC站点,包括政府提供的用于计划、设计和执行测试与评估(T&E)和培训活动的硬件(HW)、软件(SW)、计算和存储系统。也就是说,NCRC EPOS承包商的角色和现有NCR的洛克希德·马丁公司一样,区别在于NCRC的设施不会存放到NCRC EPOS承包商的运营中心,而是设置是美国政府的管控设施中心。NCRC EPOS承包商需要在NCRC的现场站点设立运营中心进行运营。该运营中心将根据(IAW)相关站点标准操作程序(SOP)以及运营连续性计划(COOP)和灾难恢复(DR)计划负责NCRC站点的关机/启动。

在人员层面,NCRC EPOS计划将阐明高级别的NCRC组织结构以及角色和职责草案,更具体的事件支持要求将作为最终RFP的一部分。具体的人员结构和数量由承包商决定,因为个人的创新能力和成熟度会有所不同。预计初期的人员配备水平将根据客户需求和承包商的绩效而随时间增长。NCRC EPOS承包商提供的运营人员需要进行培训认证并获得授权,这一块主要由美国网络司令部负责。美国网络司令部会针对NCRC EPOS承包商提供的运营人员进行针对性培训和认证。这样做的目的是NCRC提供的站点也NCR一样,具有最高机密等级的测试环境,这些测试环境和活动都是机密级的,因此人员的认证授权就显得十分重要。

NCRC人员建设后将拥有一支跨学科的员工队伍,具有软件、系统、网络、虚拟化、自动化、系统管理和网络安全主题方面的专业知识。为了支持成功策划和执行托管事件,NCRC员工可以帮助用户定义和完善其事件目标,协助确定潜在漏洞并确定优先级,设计虚拟化网络环境,开发自定义流量生成和检测解决方案,集成第三方硬件和软件,代表用户执行网络事件,提供合作漏洞和渗透评估,执行详细的网络分析并提供有关结果的详细报告。此外,NCRC员工支持网络测试靶场执行代理和网络培训靶场执行代理,以识别和解决相关需求,定义和发布标准,并通过有针对性的投资来提高效率。

最终通过人员团队的建立,为客户定义的支持水平进行服务:

图88  客户定义的支持水平

此外,在NCRC EPOS承包商的能力中,对可测试的非IP和非X86实体的接入网络空间靶场的标准化要保持关注和测试设计验证并提出实践方案,后续会有越来越多的此类情况发生。目前NCR已经将非IP资产(例如符合MIL-STD-1553的设备)纳入到了国家网络空间靶场(NCR)进行测试,其他的实体资源和其他系统和功能也可以通过使用JMN或其他经认可的分布式基础架构(例如联合信息作战靶场(JIOR))远程地包含在事件环境中。

配置管理是环境中的既定目标,由多个安全级别组成。当前在佛罗里达州奥兰多市的NCR站点是基于洛克希德·马丁公司自有构建的配置管理计划,该计划描述了如何配置和管理靶场基础结构以支持同时托管在多个安全级别上运行的事件的需求。预计NCRC EPOS承包商将提交一个NCR站点配置管理计划,以支持靶场的配置管理目标。

NCRC EPOS承包商将需要能够根据当前客户需求以及将来可能的重用、创建、设计、构建、修改和维护系统和组件的虚拟和物理实例。包括需要能够构建、修改或维护诸如物联网、无人机新技术类型或网络设备之类的硬件系统。

在这其中,TRMC和美国陆军计划模拟、培训和仪器执行办公室(PEO STRI)合作,美国陆军计划模拟、培训和仪器执行办公室(PEO STRI)负责进行NCRC EPOS计划规划和实施,在过渡到服务之前,美国国防部测试资源管理中心(TRMC)将为NCRC企业制定计划和负载平衡决策。过渡后,预计调度将主要由站点完成,而TRMC将继续在整个NCRC中发挥协调、调度和负载平衡功能的作用。安排过渡后的具体角色和职责仍待定。

此外需要注意的是,在美国当地站点NCRC EPOS承包商将在其当地政府领导的支持下,与TRMC协调活动事件。也就是说当地政府是具有一定的NCRC站点管理权的。EPOS将作为政府机制,利用该行业的高技能人员团队进行以下活动:

事件策划

事件工程设计

事件执行

事件分析与报告

靶场维护和支持活动

创新委员会

TRMC正在与服务部门合作,以增强现有能力,以满足不断增长的美国防部网络T&E、培训和任务演练要求。美国防部网络能力建设的最终状态将是美国家网络空间靶场综合设施(NCRC),该设施可以与HWIL、SIL、ISTF和OAR设施无缝互操作。最终实现可快速配置、分布式、灵活、可扩展的网络测试资源。美国家网络空间靶场综合设施(NCRC)的能力也将根据不断发展的国防部要求而不断发展。

 

 

原文来源:时间之外沉浮事

8条评论