面向實戰的網絡攻防實訓室設計與管理

曹海嘯 曹夢雨 丁苑

（1.無錫學院網絡空間安全實訓基地 江蘇省無錫市 214105）（2.南通理工學院 電氣與能源工程學院 江蘇省南通市 226002）

1 系統架構

安全實訓平臺主要包括教育學習、教學管理、試驗環境和模擬、考試評價等功能模塊，具體如圖1 所示，根據目前產業上普遍存在的人才培養理論、應用和安全人才培養能力建設問題而制定的綜合教育服務平臺，可以完成專業的信息安全課程培訓、虛擬化安全實驗環境搭建、攻防仿真演練、仿真測試，用于各領域的專業化安全人才培養。

圖1：行業版信息安全實訓系統框架圖

1.1 系統優勢

1.1.1 專業化系統設計

結合目前網絡安全趨勢、人才培養趨勢以及豐富的產品研發經驗[1-2]，打造出一款具有專業化攻防虛擬化仿真及技能實訓的綜合性安全實訓平臺。通過將先進化架構、專業級虛擬化仿真環境設計和課程設計引入實訓平臺中，實現研發專業度及水平的卓越保障。

1.1.2 系統便捷性及操作流暢性

平臺操作無疑是非常重要的一點，關乎到系統用戶體驗的方方面面[3]。作為一款專業化的行業版網絡安全實訓系統，通過高效的底層架構設計，本系統核心將具有高效的負載均衡水平，可主動判斷當前系統過程中的資源占用情況及流暢度，自主化調用閑置資源，自主化釋放資源。達到平臺系統優質資源配比，性能卓越。

1.1.3 實驗環境及仿真水平

平臺產品自帶仿真資源庫，支持目前攻防安全中所需的武器庫（競賽工具、特偵工具）、靶場環境及設備組件模板資源庫（含操作系統模板庫、安全設備、網絡設備、數據庫、中間件、OA、CMS 等設備組件），全面化的武器庫、靶場環境及資源模板，可滿足使用者利用實訓平臺進行環境搭建、學習、產品測試及其他攻防仿真等多樣化需求，卓越高效實現實驗環境及仿真水平的高效化。

1.1.4 課程資源優勢及課程選擇度

平臺在課程設計方面，內置完整化導師講解視頻、實驗環境、課程指導書三部分構成，均由自有講師團隊進行課程錄制及講解。作為課程選擇度方面，平臺中課程可分為初級、中級、高級、CTF 進階及特訓分類課程，同時可對課程類別進行細分，如課程屬于逆向破解或是加解密課程，均可進行細化分類，另外，作為教員角色，如需針對學員進行課程自主化分類，平臺提供課程自定義化分類標簽，可便于教員用戶針對不同學員，進行自主化學習路線定制的同時，進行自主課程定制，滿足課程度選擇的問題。

1.2 系統部署

如圖2 所示，系統通過交換機連接到內網或專網中，所有管理和操作均基于網絡協議，不需插拔線路，同時交換機通過劃分VLAN，劃分出學員操作區域及管理員操作區域既可，只需保障學員操作區域內學員主機終端、管理員操作區域主機終端與平臺保持正常通信即可。

圖2：系統部署圖

產品支持集群部署，集群部署由管理引擎、交換矩陣、計算和存儲資源、網絡和安全設備（選配）組成。產品通常部署在用戶機房或數據中心，通過以太網絡連接到內網或專網中，所有管理和操作均基于網絡協議，不需插拔線路。

2 系統功能

系統包含功能和課程包如圖3、圖4 所示。

圖3：信息安全實訓系統功能圖

圖4：信息安全實訓系統課程資源圖

2.1 在線培訓

系統平臺提供了豐富的課程資源，滿足學員的知識學習所需。在教學內容方面，提供完整的導師授課視頻、實驗環境、課程指導書等信息,并將所有授課錄像、實驗環境、課程指導書等歸于同一個頁面，從而免去了切換教學頁面的繁瑣，更有效地實現培訓學院學習與實踐的結合，并完成實驗課程講義查閱與講解的完整流程。

課程中采用了豐富的教學資源，并提出了針對不同專業方向的基礎網絡安全技能方向(信息收集、Web 滲透、主機滲透、內網滲透、滲透隱蔽、數據分析、編程及代碼審計、惡意代碼利用及查殺、逆向工程和漏洞挖掘利用、主機安全防護、網絡安全防護、信息安全管理等)，以達到對從業人員的最基礎的互聯網攻防知識了解和培養。

2.2 仿真實訓

實驗仿真采用了靈活可控的拓撲結構，因此能夠實現高度動態的網絡結構模型和控制。模擬實驗平臺同時開展專業化的仿真平臺練習，仿真平臺基于仿真數據庫設計，并同時開展了包括網絡設備、開源的安全設備、基礎服務器、Web 設備、數據庫、移動服務器、PC 客戶端等在內的虛擬系統仿真。

實驗場景拓撲可提供了自由搭建，靈活配置的特性，實驗拓撲提供了拓撲圖導出顯示、居中顯示、放大顯示、拓撲全屏顯示、鼠標縮放等拓撲查看特性，并可以在拓撲上直接對虛擬機進行打開控制臺的功能。

仿真實驗內容可在課程的基礎上涵蓋模擬各行業機構的網絡安全問題、漏洞等，課程學習實驗可分為視頻、單機、及仿真三類，每節課程有詳細包含詳細的實驗視頻、手冊、任務指導書及仿真實驗環境。

2.3 技能考核

考核管理模塊可進行新建考試、下發考試任務、考試題庫管理及試卷管理四項功能?？荚囋嚲砟０蹇商峁┊斍翱蛇x擇試卷名稱、難度、制作老師、題目類型、發布時間。教員可按照題目類型及考試難度、試卷名稱進行篩選查詢。對于已經下發的考試進行綜合管理，包含試卷查看，學員考試詳情、考試成績等數據。

2.4 資源管理

系統提供課程及知識體系相關的主機管理模塊及特偵工具集模塊，多維度展示當前平臺的主機信息及工具集信息；虛擬機管理可對錄入到后臺中的虛擬機進行全面管理，通過對模板的上傳、復制和編輯等操作；特偵工具集模塊主要提供課程及知識體系相關的工具集模塊，便于人員在實驗中需要工具使用時進行工具下載使用，同時也便于進行維護管理操作。

網絡攻防技術離不開基礎理論的教學。只有打扎實的基礎，才能從容應對網絡攻防演練中的突發型應急事件。為此，平臺資源課程體系，將為學員準備豐富的理論課程知識庫。課程涵蓋信息安全中各項培訓資源體系，均由我方安全研究員進行自主化研發及課程設計。包括：標準化課程、IT 基礎課程、逆向破解課程、安全運營管理課程、信息安全管理課程以及自主研發體系。結合當今網絡安全現狀，針對各種網絡安全事件，對攻防原理，應急響應機制進行詳細講解說明。為學員在后續的網絡攻防靶場演練中打下堅實的理論基礎。

2.5 實操訓練

實操演練是指平臺間通過虛實融合方式進行現實系統以及虛擬仿真實驗平臺的互連與部署互聯，以進行最有效及實時化的內攻實訓、模擬與考核。將真實網絡安全環境和虛擬化試驗環境相連接，讓用戶真正體會到試驗環境建設中的真實感。通過連接實現真實設備在虛擬環境中的安全測試及實驗場景的構建。

3 平臺能力

3.1 實訓平臺能力

平臺主要采用軟硬一體化設備，系統軟件采用B/S架構，實現了包括教學管理、虛擬仿真、項目實訓、技能評測等功能，以知識點為核心通過知識脈絡對基礎教學內容、項目實訓、技能測評等多個方面實現關聯，從而為教師提供一體化的教學解決方案，同時實現了實現線下教學方案的線上化處理，可實現教學方案的快速復制，為教師教學提供便利，老師可以根據實際教學需求創建合適的教學方案，可通過統一的內容查詢接口查詢系統中可供使用的各方面資源，進行方案的完善，學生可以根據老師教學方案制定的學習任務進行學習并最終進行一體化考核。

3.2 競技平臺能力

網絡安全攻防競技平臺主要訓練學員的技術實戰能力與靈活應用能力，是完善人才培養及選拔手段的一套技術支撐平臺。解決目前存在的信息安全技能賽事舉辦需求，從而滿足目前行業中存在的信息安全技能比武、信息安全人才選拔、實現專有人員攻防競技水平提升的重要需求[3-4]。

平臺主要采用軟硬一體化設備，系統軟件采用B/S架構，參賽人員可通過參加安全競技賽事（競賽界面如圖5 所示）來檢驗自身攻防技術水平。通過對抗混戰，提升自己對安全事件的應急處理能力，對自己綜合能力進行一場全面的專業化的查缺補漏，達到以賽促練，以賽代練的效果，從而提高從業人才的整體攻防知識的水平。

圖5：競技平臺界面

3.3 認證平臺能力

認證平臺是根據網絡安全認證考試需求，所開發的一套集安全培訓、認證考試管理、考生管理、考卷管理等多功能于一體的綜合性認證實訓考試平臺，平臺基于先進的虛擬化技術，采用B/S 架構，使用者可以通過各種瀏覽器快速登陸學習。網絡安全認證和職業培訓體系是網絡安全人才培養體系的重要組成部分，從網絡安全人才培養的特點和實戰化認證體系的必要性看，建立完善的認證體系對網絡安全人才隊伍建設有著重要意義。認證考試平臺支持多認證、多級別（初級、中級、高級）、雙模式（練習考試、正式考試）、多種防作弊手段的業務功能，從而滿足行業內各類認證考試業務需求。

4 應用場景

4.1 企業內部網絡安全測試

企業可以使用網絡攻防實訓室來測試其網絡安全性，發現潛在的漏洞和弱點，并提供相應的解決方案。這有助于企業保護其網絡免受攻擊，并提高其網絡安全保護能力。

4.2 政府機構網絡安全測試

政府機構可以使用網絡攻防實訓室來測試其網絡安全性，發現潛在的漏洞和弱點，并提供相應的解決方案。這有助于政府機構保護其網絡免受攻擊，并提高其網絡安全保護能力。

4.3 學校網絡安全教育和培訓

學?？梢允褂镁W絡攻防實訓室來教育和培訓學生有關網絡安全的知識和技能。這有助于學生了解如何保護自己的個人信息，并為未來的職業做好準備。

4.4 網絡安全比賽和競賽

網絡攻防實訓室可以用于舉辦網絡安全比賽和競賽。這有助于提高參與者的技能水平，并促進對網絡安全的關注[5]。

4.5 網絡安全研究和開發

網絡攻防實訓室可以用于研究和開發新的網絡安全技術和解決方案。這有助于推動網絡安全技術的發展，以更好地保護人們的個人信息和隱私[6]。

5 總結

網絡攻防對抗是網絡安全相關專業教學體系中的核心部分，網絡攻防課程在總體上的特點是技術性和實踐性較強，本文針對高校網絡安全教學實訓不足、安全人才缺乏的現狀設計一種面向實戰的信息安全攻防實訓系統，該系統是面向行業信息安全需求的實訓類產品。系統利用虛擬化的教學資源，通過理論與實踐的結合，為培訓人員設計全方位的培養計劃，定制培養路線，運用“產、學、研三位一體的思維模式循序漸進、由易到難地提升網絡安全培訓人員面向實戰的學習能力和技術水平，滿足網絡安全培訓人員的實際需要。