近年来，网络靶场与平行仿真技术逐渐被人熟知，这种脱胎于军事网络演习的网络安全概念开始广泛作用于政企安全架构建设，同时在类似“网鼎杯”、“巅峰极客”这样的网络安全赛事中，网络靶场同样发挥着重要作用。

笔者认为，网络靶场得到广泛应用的原因主要有三个方面，其一是基于真实网络环境开展的攻防测试可能造成网络瘫痪和安全风险；其二是关键信息系统涉及到重要数据与核心功能，测试有可能会使业务连续性遭受重大威胁；其三，由于具备高度仿真性，网络靶场也是天然的练兵场，实际应用上对于检测信息系统、人员的安全能力，以及培训从业人员的实战技能具有突出意义。

因而，从某种程度上说，研究、建设更为接近真实网络信息系统环境的网络靶场具有全方位的现实意义。

实际上，早在1983年美国国防高级研究计划局就开展了针对网络靶场的研究，当然在这些早期研究中网络靶场的主要目的还是应对单独的木马类攻击武器，以及测试己方的网络攻击武器，结构和功能都相对单一。随后在2009年至2012年间，该机构建设了一个从各方面来讲逼真度都非常高的国家网络靶场（简称NCR），可以模拟因特网等大型网络，这也是模拟仿真网络靶场的由来。

而距离现在更近的，2018年1月30日至2月2日，北约合作网络防御卓越中心在拉脱维亚举行了“2018十字剑”网络演习，这场演习选择在民用基础设施提供商（如电话和电力公司）的计算机网络上进行，覆盖了多个地理区域，关键信息基础设施提供商和军事单位等参与其中，旨在模拟真实的网络作战环境。在随后的几年里，模拟仿真的网络靶场进一步推向市场，实际上，模拟仿真已经成为目前网络靶场研究的主流方向。

视线回到国内，在近日召开的北京市科学技术奖励大会上，由海淀区人民政府提名，永信至诚牵头，中国人民解放军某部、北京邮电大学、浙江大学等单位联合完成的“基于平行仿真的大规模网络靶场构建技术及应用”项目，获得2019年度北京市科学技术奖一等奖，凸显出在网络空间战略博弈日趋激烈的背景下，网络靶场作为网络空间业务的基础科学装置，在建设网络强国中发挥着举足轻重的作用。

关于基于平行仿真的网络靶场是如何运作的，有那些应用场景，以及未来的发展方向，我们找到永信至诚高级副总裁李炜，希望从采访中获知目前网络靶场的发展脉络和方向。

嘶吼：请您简单介绍一下平行仿真的概念和技术体系？

李炜：先从网络安全培训说起，实际上网络安全的本质在对抗，早期的网络安全学习基本都是在真实的网络环境中进行的，这种模式很难把握尺度，也间接诞生了很多黑、灰产业。所以在网络安全培训、比赛的环境下，想要在学到技能的同时控制风险，就需要有一个可控的渠道、能力、环境，这也是为什么我们打造平行仿真训练平台的原因。

当然平行仿真并不是简单的依靠虚拟机搭建几个环境，要还原对抗的场景培养对抗能力就要求从多维度进行还原。第一是环境本身的仿真，也就是模拟真实的对抗环境；第二是工具的仿真；第三是角色的仿真。单就角色来说，事实上在真实的网络安全对抗中不止攻防两方，以巅峰极客竞赛举例，我们为了尽可能还原真实的对抗场景，在竞赛中配置了多种角色，有监管、运维、业务、安全防御、攻击方，以及运维裁判等各种角色。所以平行仿真不仅仅是仿真环境本身，而是把一系列的工具、流程、人员角色、结果，还有整个操作思路全过程模拟出来。

嘶吼：除了应用于比赛和人员培训，基于平行仿真的网络靶场还有哪些应用场景？

李炜：一个很有代表性的场景是，原来所有的网络安全方案设计和产品很难进行检验，而基于平行仿真支撑的靶场可以实际验证网络安全效果。这不是单纯靠逻辑统计出来的，而是模拟实网检验出来的，一个产品能够阻挡多少攻击，一个安全设计能够避免多少风险，可以实际检测出来。由此引出的一个关键点在于，它能够解决很多行业安全部门和业务部门之间的矛盾。举个例子，当业务部门负责工业生产的系统出现漏洞时，安全部门要在24小时内打补丁，打补丁就要重启服务器，而一次重启带来的工业生产暂停会带来巨额财产损失，这时安全部门只能让服务器带着漏洞继续工作。而基于平行仿真技术构建的网络靶场可以在模拟环境当中验证业务相关的架构、技术、设备、方案的有效性，同时不会影响到业务进度，测试验证结束，就能直观展现漏洞的危害，以及可以寻求哪些补救手段。所以平行仿真的网络靶场在这种情况下能够为安全部门提供一条合理、可行的解决路径。

甚至，现在平行仿真技术不仅能用于培训、测试设备、验证方案、评估效能，它也可以去做实网的防御。比如“蜜罐”（可参考“永信至诚的平行仿真术”一文），以平行仿真技术支撑的新一代“蜜罐”，仿的不是简单环境，而是将整个业务流模拟出来，其根源主要是来自高仿真能力，精确的数据捕获能力，还有相关的安全技术及网络安全服务经验的积累，三方面相结合才能打造一个“高甜度”的“蜜罐”，真正做到对攻击者的诱捕和溯源。这一点我们在HW中进行过检验，如果我们的“蜜罐”模拟了真实的业务系统、固定存在的风险漏洞、思维死角，然后辅以精确的数据采集能力，那么在攻击捕获上基本能够做到零失误。

所以，总结来说，仿真环境不能简单视为对真实环境的模拟，它可以从中延伸出触角，对真实的网络环境产生影响。

嘶吼：将网络靶场环境布置到企业中时，针对安全问题、“人”这些因素，如何做到真实的复现？

李炜：其实这也是巅峰极客竞赛中使用城市靶场的原因，我们当时构建了一个虚拟的城市，包括IT环境、攻击者、防守者、监管者还有普通的员工都在里面，基于这种复杂性，在竞赛过程中是可以使用一些社工手段进行攻击的，这也是与传统攻防比赛的区别。举例来说，在比赛过程中发生过一个很实在的场景，有几个普通员工角色使用网络靶场中模拟的聊天工具聊天，别人跟他聊天过程当中丢了一个木马文件，由此便控制主机作为跳板进入了内网。这种情况同样会在很多真实工作场景中出现，网络靶场可以把这些过程全部模拟复现出来，利用网络靶场在企业内部进行安全可控的演习。

由此引出的应用方向有很多，比如当企业要引入一些专业的团队帮你的内部实网进行检测时，由于测试人员的不可控，涉及到关键数据与功能的部分，大部分企业还是会有担心一些违规的技术环节会监控不到等问题，但是在网络靶场中记录测试者的所有行为是可以做到的。类似这种需求并不是我们拍脑袋想出来的，而是客户自己提出来的。所以基于平行仿真的网络靶场本身就是一个虚与实、真与假之间融合和衔接的一个桥梁，重点在于如何运营和使用它。

嘶吼：像新基建比如5G还有物联网这类新的网络设施和网络结构，网络靶场可以进行安全防护能力的实验和测试吗？

李炜：举个最简单的例子，5G的基站需要组网，如果要测试5G的基站本身有没有安全风险，组网的通信过程会不会有不可控的环节等，在网络靶场中是可以复现出这样的场景来的。在传统思路中，主要侧重检测设备本身有没有漏洞，有没有配置的缺陷，可能没有办法在应用环境下对相关专业设备进行检测，比如说运行中遇到攻击包，这种情况是没有办法验证的，而在网络靶场中将可以这些业务应用场景模拟出来，使用不同的装备和工具进行测试。总的来说，应对5G、物联网这些新型网络设施，网络靶场不仅能够模拟，而且在一定程度上能够评估其真正组网并投入使用后所面临的网络风险。

嘶吼：在网络安全人才培养上，网络靶场会带来哪些改变，以及发挥哪些作用？

李炜：在网络安全技能学习上，我认为一方面是知识体系要扎实。另外一个方面就需要有像网络安全竞赛这样的平台机会验证安全能力，这也是目前网络安全竞赛受欢迎的一个直接原因，通过比赛进行验证，快且直接。对于一部分没有比赛机会的从业者，可以通过一些众测，以及得到授权的、合法的实战演习来积累经验，这其中就涉及到通过网络靶场来监控演习行为，所以网络靶场从侧面也会营造越来越好的实战演习环境。

结语：

随着基于平行仿真技术构建的网络靶场在人才培养、演习演练、技术验证、设备检验、实战演训等多个场景的广泛应用，我们可以看到平行仿真与网络靶场正在融入网络安全市场的发展脉络之中，有效支撑着国家关键信息基础设施的网络安全实验场建设和高素质网络安全和信息化人才队伍建设，对于提升我国网络安全整体防护和应对能力具有重要价值和意义。

如若转载，请注明原文地址