杨斯可 张中宝

摘 要：网络安全的本质是攻防，攻防的核心是人才队伍。在当前日益复杂的网络安全形势下，如何构建一套有效的人才队伍建设体系是当前及今后亟待解决的问题。针对烟草企业在网络安全人才队伍培养方面存在的不足，本文设计了一套集CTF夺旗赛的课程体系、模拟实验平台、多方共治机制于一体的网络安全模拟实验中心方案，为推动烟草企业网络安全治理体系建设，提升网络安全综合治理能力提供一条新的路径。

关键词：网络安全;烟草行业;实验中心;多方共治

中图分类号：TP393.08 文献标识码：A 文章编号：1671-2064（2020）10-0087-03

0引言

互联网时代，烟草企业在“数字烟草”和“互联网+烟草”的信息化发展战略的推动下，信息化触角已延伸到企业运营的方方面面，没有信息化就没有企业发展的现代化，而保障信息化基础设施的安全稳定成为保障企业高质量发展至关重要的一环。同时《网络安全法》、《网络信息内容生态治理规定》、《网络安全审查办法》等一系列国家级法律政策的先后出台，对网络安全工作提出了更高的刚性要求。网络安全是没有硝烟的战场，比拼的是攻防双方的综合实力，其核心是人才。当前，烟草行业在网络安全人才队伍建设方面，主要方式是选派计算机相关专业人员担任网络安全管理员，定期组织线上或线下的网络安全知识培训，这种“专业人员+定期培训”的人才队伍建设模式在前期实际工作中发挥了积极作用，但在应对目前复杂变化的网络安全形势及新的履法要求上日显不足，迫切需要创新网络安全人才队伍建设模式，更好地应对外部变化，保障内部信息化基础设施的安全，推动实现网络安全治理体系和治理能力现代化。

大数据、云计算、虚拟现实、人工智能、移动互联等IT新技术已在社会各行业中显现出巨大的经济效应。模拟攻防实验中心[1]作为传统网络安全培训教育的升级版，更侧重于实践性，更侧重于多方共治的协同性。本文重点探索建设集知识性、趣味性、挑战性和创新性于一体的网络安全模拟攻防实验中心（简称实验中心）平台，通过成体系的课程培训和模拟攻防技能培训，锻炼具备强烈攻防意识和攻防能力的网络安全队伍，并利用实验中心平台申报创新项目，汇聚多方人才力量对共性的网络安全问题展开研究、给出方案、评估实施，形成多方共治的、动态的网络安全治理体系，打造行业级的网络安全模拟攻防实验中心，为行业网络安全治理能力现代化提供可行建设方案。

1实验中心需聚焦解决的主要问题

为构建符合烟草实际的实验中心平台，本文对照目标要求，坚持问题导向，设计有针对性的解决方案。当前网络安全治理存在的问题主要有：

（1）网络安全治理相对独立没有形成有效的合力。当前行业各主体单位在经费投入，人才保障等方面相对独立，未形成合力，相互沟通联系不够，多停留在经验分享层面。各方人才力量、技术资源没有得到有效整合共享，形成共同治理，究其原因是缺乏联系各方力量、资源的纽带。资金投入和人才队伍保障是网络安全治理的核心要素，在一些生产经营规模相对较小的单位很难提供足够的经费和人力的支撑，这在客观上制约了网络安全整体治理水平的提升。

（2）安全培训结构不均衡和缺乏有效的人才评估机制。传统的网络安全教育培训结构不均衡，存在重理论知识，轻实践对抗，课程设置不成体系等问题。网络安全管理人员对安全威胁认识不够，安全意识没有得到真正的提高，对安全预警漠视等现状均埋下大量安全隐患。由于缺乏相应实验平台和保障机制，网络安全攻防实践很难在真实的业务网络中开展，加上部署攻防模拟环境的复杂性及建设成本等问题，要在每个单位普及这样的实验中心平台建设仍存在现实困难。另外，对网络安全人才缺乏有效的评估和激励机制，难以在人才队伍建设方面形成有效的管理闭环。

（3）对外部安全形势变化和攻击手段的认识不足。知己知彼，方能百战不殆。全面掌握外部安全形势变化，准确判断攻击者惯用手段，在网络安全治理能力中至关重要。由于长期重安全设备部署，轻人才队伍建设，重业务可用性，轻业务安全性的认识偏差，同时缺少与外部专业机构合作平台、合作机制，导致对外部最新安全形势变化的了解掌握存在一定的滞后性，对黑客攻击最新手段不了解，造成网络安全攻守双方力量的失衡，给内部安全造成很大的安全隐患。

2网络安全模拟攻防实验中心的职能设计

坚持“学以致用”的原则，实验中心在设计上综合应用了大数据、多媒体、虚拟仿真等技术;在人才队伍培养上创新训练模式，增強实践性、对抗性训练;突出联防联控的协同能力，凸显人的因素在网络安全治理中的核心作用。

2.1 创新网络安全人才队伍建设新模式

行业内地市级公司的网络安全防护力量相对薄弱，安全管理人员能力水平参差不齐，有些安全问题很难独自解决。实验中心基于CTF夺旗赛的能力要求构建网络安全人才培训和评估机制，注重具有创新精神和实践能力的人才培养与选拔，组建“尖刀班”“突击队”，汇聚各单位优秀人才力量，以项目方式研究解决共性难题。

传统的网络安全人才培养方式主要包括定期的线上/线下培训，理论知识集中讲授等。这种模式不仅内容连续性不强，而且缺少实践环节，极大限制了网络安全人员的攻防实践能力和创新意识的激发，造成重设备轻人才的局面。

虚拟仿真技术的出现为人才培养提供了新的视角和新的解决方案，可有效弥补传统模式的短板，激发学员的学习兴趣，提高攻防实践能力，实现理论与实践教学的完美结合;同时攻防演习是在虚拟环境中开展，既不会影响业务系统正常运行，更不会出现病毒隐患。模拟攻防平台具有开放性强，资源共享程度高，人才能力评估可量化等优势。综合来看，模拟攻防实验中心可集知识性、趣味性、实践性和创新性为一体，满足基础型、应用型、综合型和创新型人才培养的要求，可作为人才队伍培养的新模式。传统模式与新模式的对比如表1。

2.2 实验中心可提升网络安全多方共治的能力水平

综合应用多媒体、虚拟现实、云、网络、人机交互等技术手段，实验中心平台，可提供教学培训、模拟攻防靶场[2]和基于项目的多方共治。其中，教学培训系统提供科学、系统的全套视频课程，重点是知识的讲授，满足学员知识获取，学习计时的需要;在实践层面，主要包含两个环节：一是基于CTF夺旗赛在线解题获取积分，题目类型丰富多样，包括杂项、密码、WEB、逆向、PWN等，在解题中强化知识的掌握，不限时间、不限地点，可充分利用碎片化时间;二是基于虚拟仿真技术搭建网络安全模拟攻防“靶场”，所有学员可组建团队对“靶场”展开攻击获得积分，同时加固“靶场”防守避免被攻击而失分，在平台中可开展常态化的月度线上培训、季度实战PK、半年技能排名等举措。通过实验中心平台选拔汇聚人才，以项目为载体，实现网络安全多方共治，难点协同共解，提高网络安全整体治理水平。

3实验中心的建设

网络安全模拟攻防实验中心建设主要包含三部分：一是机构设置，为保障职能实现，实验中心首先需要一个高效的组织机构;二是制度机制建立，在组织机构基础上，需要有一套运行的制度机制，支撑实验中心有序运行;三是实验中心平台，基于虚拟仿真技术的模拟攻防实验系统平台，通过不同的应用场景实践提高学员安全攻防能力，增强人的因素在网络安全综合防护中的价值作用[3-4]。如图1所示。

3.1安全决策机构

实验中心需要一个高效、专业的组织机构，实行集体领导，由信息化主管部门负责，是实验中心决策、监督的领导机构。其主要职责是落实烟草行业网络安全方针、政策和法律法规，研究网络安全重大事项，重点工程的决策推进工作。坚持网络安全为大家，网络安全靠大家的原则，在专家委员会人员组成方面，主要包括网信主管部门人员、行业内专家人员、行业外专家顾问等，也为跨主体单位的联合运行机制提供基础。

3.2联合运行机制

网络安全行业是一盘棋，任何一个环节，一个区域出现风险点，都会影响整体网络的安全运行。为支撑实验中心有序运行，达到广泛的、有效的选拔培养网信人才，组建“尖刀班”“突击队”，实现联合共治。通过实验中心平台可打通不同企业主体、跨单位人才联合，解决构建网络安全的多方共治机制，其主要运行流程是：由各单位主体，结合工作实际提出网络安全服务需求;由网信主管部门把问题“挂牌”，在平台上公开，由行业各单位网信人才共同研究解决;再由科技企业给出具体实施方案;最后由网信主管部门审批实施。整个共治运行机制，形成“先自下而上，后自上而下”的网络安全综合治理的管理闭环。如图2所示。

为保障主体流程的高效运行，还需探索建立评估机制和激励机制，为联合运行机制提供源动力。在激励机制方面，可为网络安全优秀人才提供培训进修的机会，打通职业技能晋升通道，给予物质和精神奖励等。在评估机制方面，可基于学习积分、夺旗积分、竞赛积分，参与解决网络安全难题等多方面综合评估，科学客观选拔出优秀网信人才。

例如，在实际工作中，针对业务系统上线前缺乏安全检测有效抓手的问题，通过实验中心平台可组织网络安全技术人才对拟上线的业务系统开展模拟攻击，检验系统是否具备上线运行的安全条件，因而基于虚拟仿真技术的模拟攻防实验中心平台在推动网络安全治理体系和治理能力现代化方面具有很强的现实意义。

3.3攻防模拟平台

基于仿真技术的模拟攻防平台主要有基于CTF夺旗赛的在线课程学习、解题训练及模拟攻防对战。

（1）CTF课程体系平台。课程体系建设是基于CTF夺旗赛设计，重点是增强趣味性，寓教于乐，所有课程成体系具备连续性，同时在夺旗过程中灵活应用网络安全知识，强化对知识的理解，增强学员的创新能力。课程学习利用在线多媒体分享的形式，学员注册登录后即可选择视频学习，并在CTF夺旗赛网站进行夺旗练习。例如，攻防世界、CTFhub等。在线课程主要包含有WEB安全类、Misc类、密码类、逆向类、PWN类及AWD类等，所有学员可随时随地学习，不局限于时间、地点，也不局限于人员范围，趣味性更强，知识成体系，并在学习和解题中获得积分可作为网络安全人才选拔评估的重要参考，增加学员学习的积极性。

（2）模拟攻防场景平台。网络安全模拟攻防实践平台，主要是选取网络安全工作中常用的、重要的应用场景，利用虚拟仿真技术构造模拟攻防环境，为学员提供演练技能的“靶场”。借助模拟仿真技术，学员可在模拟攻防场景平台中重复实践，认识网络安全攻防规律，掌握攻防手段。除了特定的模拟应用场景外，行业学员甚至可组成红蓝队伍，在模拟平台中开展攻防演习，收集信息、挖掘漏洞、展开攻击，同时部署安全软件，加固城防，监控外部流量攻击等实践，不断锤炼网络安全队伍在网络安全攻防中的对抗意识与对抗能力。

图3所示，我们列举了6个模拟场景，包括漏洞探测场景、SQL注入场景、安全加固场景、防火墙场景、文件监控场景、WAF防护场景等。实际模拟平台不仅限于以上几种场景，采用虛拟仿真技术，可根据需求随时启用虚拟机部署新的模拟环境，可扩展性好。另外，对于我们所有学员来说，在学习网络攻防技术前提是必须合法合规，须签订相关安全协议，所有工具和技能仅用作学习和工作所需，不得利用技术对外攻击他人的系统等。

4 结语

网络安全模拟攻防实验中心的建设，弥补了传统网络安全培训方面偏理论轻实践的不足，增强了趣味性、实践性、创新性，通过CTF夺旗赛的形式不断强化学员对网络安全知识的理解和运用;基于虚拟仿真技术构建的攻防模拟实验平台，增强学员网络安全攻防实践能力，对网络安全实际工作具有很强的积极意义。同时实验中心平台统筹协调资源，推动实现多方网络安全共治。下一步，笔者将根据实际不断优化课程体系，丰富模拟攻防的应用场景，完善多方共治的运行机制，进一步发挥实验中心平台在网络安全治理体系和治理能力现代化发展中的价值作用。

参考文献

[1] 徐进.2013年国家级虚拟仿真实验教学中心建设工作小结及2014年申报建议[J].实验室研究与探索，2014，33（8）：1-5.

[2] 罗晓东，尹立孟，王青峡，等.基于虚拟仿真技术的实验教学平台设计[J].实验室研究与探索，2016，35（4）：104-107.

[3] 李林，陈宇峰，李仲君，等.大规模在线虚拟实验教学平台的建设与实践[J].实验技术与管理，2018（7）：15-19.

[4] 彭正明，黄建忠.网络安全虚拟仿真实验教学中心建设[J].计算机教育，2015（23）：18-21.