徐国天 中国刑事警察学院

引言

2020年4月，中国互联网络信息中心（CNNIC）发布第45次《中国互联网络发展状况统计报告》，报告显示，截至2020年3月，我国网民规模为9.04亿，互联网普及率达64.5%。随着网络应用的普及，利用网络技术实施的黑客入侵类犯罪也在不断增多，造成的危害越来越大[1]。截至2019年12月，CNCERT共监测发现我国境内被植入后门的网站数量达到84850个，较2018年底增长了259.4%，其中政府网站数量达到717个，较2018年底增长6.4%，占比最高的网络安全事件包括个人信息泄露、上网设备感染木马和病毒、网络诈骗、账号和密码被盗等[1]。网络入侵案件对公民个人信息安全乃至国家安全均构成严重威胁，面对黑客攻击类案件不断增多的实际情况，广大在职民警急需提高办理此类案件的调查和取证分析能力，参加业务培训是培养和提高相关业务能力的有效措施。但是在职民警通常面临繁忙的日常工作，无法调整出大块空闲时间到异地参加集中培训。干警自身的业务空闲期与地市集中培训的时间段不一致，培训名额限制等因素，也会导致有意向参加培训的干警无法得到培训锻炼，进而错失了能力提升的良机。新冠疫情期间，全国各层级教育系统普遍采用的远程线上教育模式启发，如能将在职民警的线下集中培训方式适度、适量调整为线上远程培训，采用弹性培训时间安排，将有效解决目前在职民警培训所面临的诸多问题，显著减低培训费用，提升在职民警参加培训的普及率。

为了确保远程线上培训与线下现场集中培训等质同效，需要解决好以下问题：（1）构建完善的远程实践训练平台，降低民警参加实训的操作门槛，达到与现场教学相同的实践演练效果；（2）完善实践培训内容，改变现有实训平台侧重网络安全技术，轻视案件调查分析的实际问题，重点培养参训学员的网络入侵案件取证分析能力；（3）建立远程线上培训质量监督机制，确保远程线上培训效果，达到与现场教学等质同效目标。

一、基于B/S结构的“可控型”远程云实训平台构建

（一）传统基于“虚拟机”的实训模式

网络安全技术类培训通常以学员实际操作为主要训练内容，目的是提高学员的实践动手能力。教员讲解必要的知识点和实践步骤之后，由学员自行完成相关实训。传统的网络安全技术类现场实训普遍采用VMware虚拟机来搭建虚拟实验环境，至少需要模拟一台黑客主机、一台被入侵服务器，学员为虚拟机配置好IP地址，搭建相应的漏洞服务器，按照实训步骤完成相关安全测试[2]。现场培训方式的优势在于，学员亲自动手完成实训内容，能真实感受到各种网络攻击的危害，同时在被入侵服务器内可以提取到入侵痕迹，例如从WEB服务器日志中提取出攻击者的IP地址，确定攻击方式和攻击行为发生的时间等，对于提高参训学员的取证分析能力有较大帮助。但是这种基于虚拟机的现场培训方式也存在不足，例如要求学员自己完成IP地址配置、漏洞网站搭建等基础工作。这些内容并非培训重点，但对于专业背景不同的广大在职民警来说却容易出现问题，导致学员花费较多时间用于基础环境配置，教员忙于解答基础配置问题，浪费了宝贵的培训时间，也影响了培训质量。由于虚拟机对计算机系统的CPU处理速度、内存和硬盘容量要求较高，学员自己设备的硬件配置参差不齐，很难达到实验要求，这些因素也造成在远程培训中很难采用这种基于虚拟机的培训方式。

（二）基于内网环境的B/S架构实训模式

目前部分公安院校建有专门的网络安全类实验室[3]，大多引入国内主流网络安全公司研制的实训平台等。这类实训平台通常采用B/S或C/S架构，在单位内部局域网环境部署多台服务器，学员使用的全部虚拟机资源均存储在服务器内部，通常情况下，一台服务器能满足10名学员的训练需求。训练时学员通过客户端接入服务器，观看实验讲义和操作视频演示，之后远程启动虚拟机，按步骤完成实践内容。采用网络安全实训平台的优点是学员无需自己进行基础环境配置，基础配置均由云平台在后台自动完成，降低了实训操作的门槛，学员可以将全部精力集中在实训内容本身上。但是这种方式存在的不足也同样明显：（1）实验设备价格昂贵，对培训机构来说是一个不小的负担；（2）实验内容更新缓慢，设备一旦采购完成，实训内容几乎不再更新，而网络安全技术发展变化极为快速，新技术不断出现，陈旧过时的技术不断被淘汰。例如几年前针对Windows系统的某个安全漏洞，随着系统补丁的升级，几乎已经不再存在，如果实训仍围绕此类漏洞进行，则对实践毫无意义。如果希望在远程线上实训中采用培训机构内部搭建的实训平台，就需要培训机构在单位出口路由器上配置VPN服务，在一些安全级别较高的单位，很难对外开放VPN服务，且由于需要对通信数据进行加密、解密处理，因此VPN服务速度通常较慢，也无法满足在线培训的实际需要。

（三）基于互联网环境的B/S架构云平台实训模式

为了保证远程实训效果，必须能够在参训学员自己的网络环境内搭建起一套实训环境，这套实训环境需要最大限度地降低对参训学员的硬件设备要求和操作门槛，同时最大程度地接近现场培训效果。结合疫情期间的实践情况，笔者认为可以采用基于B/S架构的云实验平台开展线上远程培训，图1所示为这类云平台的基本架构和使用流程。这类平台部属在专业的网络安全公司内部，提供海量服务和带宽资源，可以满足不同规模的培训需求。培训机构接到培训任务后，确定培训时间、参训人数、培训主题等基本信息，从云平台实验库内筛选相应的实践培训内容，按进度分配实验章节，生成课程。之后与云平台联系确定课表，平台管理员按照参训人数和实训数量分配虚拟资源，即保证在授课时间段内，学员优先使用虚拟资源。教师在培训前，将课程二维码通过微信或其它方式发送给参训学员，学员通过扫描二维码方式注册。注册成功后，学员可以使用任何一种浏览器登录云平台，远程一键式启动虚拟机环境，在实验视频和讲义的帮助下，完成相关实践内容。学员申请某个实践项目后，平台分配资源，生成一个虚拟网络环境。在虚拟网络环境内至少包括一台客户机、一台目标服务器和一台工具下载服务器。教员在课前可以将需要的工具软件上传到云平台，实验启动后，全部工具软件都存储在下载服务器内，学员可以操作客户机下载工具软件，按照实验讲义对目标服务器进行测试。实验完成后，由学员选择释放虚拟资源，全部资源返还给云实验平台，教员可以在后台查看学员提交的实验报告，了解实验完成情况。

这种基于云平台的实训方式全部实验任务均发生在云服务器内，学员端仅完成浏览功能，因此对学员使用的计算机硬件要求很低，只要能用浏览器访问互联网即可，甚至使用智能手机也可进行实践操作，同时通信流量很小，对带宽要求也很低，全部参训学员所处网络环境都可满足实训需求。采用基于B/S结构云实验平台的优势非常明显，对学员使用的计算机硬件配置和所处环境的网络配置要求很低，学员不会因硬件设备不达标而无法参加培训。同时云平台可以轻松应对规模较大培训需求，笔者从2020年3月起，利用云平台组织200人规模的远程网络培训，在3个月授课期间，学员未因实验环境问题影响实践效果。由于不需要学员进行基础网络配置，参训学员可以将全部精力集中在网络安全知识点上，节省了基础配置时间，提高了培训效率，而且整个实践环节均由学员自己操作客户虚拟机完成，网络安全实践能力得到了锻炼，可以达到与线下教学相同的培训效果。另外，这种基于B/S结构的云实验平台不需要培训机构花费大量资金购买实验设备，仅需提供少量经费即可使用，降低了培训机构的财政负担，同时这类平台由专业网络安全公司负责运维，实验内容更新非常快速，最新的网络安全技术能及时更新到平台系统中。

目前，这类基于B/S架构的云实验平台主要的不足之处在于学员不能自由控制虚拟网络环境内生成的目标服务器，这导致网络安全测试之后，学员无法登陆目标服务器搜集攻击线索和相关电子数据。对在职民警培训来说，更重要的是网络入侵案件电子数据取证分析能力的培养，这就需要学员能够自由控制目标服务器，提取入侵线索，例如搜集目标服务器端WEB日志，数据库增删改痕迹，提取内存易失数据，获取分析网络数据包等。因此，需要与云平台运维公司协商，开通目标服务器的远程访问控制功能，使得学员在网络安全测试之后，能够自由登录目标服务器，提取分析攻击痕迹。出于对云平台知识产权保护目的，整个实验环境内不提供下载功能，即只能在平台内进行实践，观察实践结果，不能将实践数据导出。

二、突出取证能力培养的实践培训内容改造

（一）网络入侵痕迹获取

目前现有网络安全类实训平台主要培训目标是培养学员的网络安全技术能力，而轻视甚至没有涉及到网络入侵行为的调查和分析环节。笔者于2004年起开始从事网络安全类专业教育和办案，结合自身教学和工作经历，发现很多情况下，黑客攻击类案件的网络入侵痕迹线索可以从日志、内存、流量和数据库等多个方面获取。例如从恶意程序的源代码中可以提取出黑客服务器的控制域名、IP地址、邮箱账户等信息，对于采用DGA算法的恶意程序，可以获取恶意域名的生成算法；从Android智能终端恶意程序源文件中可以获得黑客手机号码，短信控制命令信息；通过分析服务器日志可以确定攻击类型和攻击发生的时间，以及代理跳板地址信息；对网络挂马受害者主机端通信流量进行分析可以还原木马的传播流程，获取每个中间结点的IP地址和域名信息，确定漏洞页面和恶意代码的具体位置。可以说，网络取证在涉黑客攻击类案件办理过程中发挥了越来越重要的作用。

（二）实践培训内容改造实例

表1显示的是对现有网络安全实训平台内容进行的改造，突出取证分析能力的培养。对实践教学内容的改造并不复杂，前提是平台采用的是“可控型”目标服务器，即学员能够完全控制目标服务器，进而才能登录服务器，查看、分析网络入侵痕迹。

?

本文以Android恶意程序实践为例，介绍实践教学内容改造方法。图2左侧显示的是Android恶意程序实践原有教学内容，可见全部实践内容都是从网络安全知识点角度安排，学员通过这部分实践在Android模拟器上种植一个木马程序，在黑客主机端遥控木马窃取手机内部信息，远程监控语音、视频通信，甚至完全控制目标手机，学员可以直观感受到这类木马攻击的危害，对智能终端上的恶意程序攻击有一个更为清楚的认识。图2右侧是对这项实践教学内容进行的改造，融入了网络取证知识点。主要包括：如何从一部送检手机内确定哪个应用程序是恶意程序；对于未加壳的恶意程序，可以采用静态逆向分析法进行取证，即将恶意程序反编译为Java或Smali源代码，再从源文件中提取出黑客主机域名、地址和控制命令信息，形成静态检验结论。当恶意程序采用加壳、加密处理时，静态分析方法失效，此时可以采用动态分析方法，对恶意程序产生的通信数据包、收发的短信数据、执行的函数调用关系进行分析，形成动态检验意见，再综合静态和动态检验的分析意见，得到最终的检验结论。对实践教学的改造主要包括修改实践讲义，上传取证分析工具，改造工作不用新增虚拟机设备，采用原有虚拟网络环境即可，因此不需要协调平台运维机构，任课教员自己即可完成。

三、建立“钉钉群直播+云实践平台演练+微信群反馈”的弹性远程培训模式

（一）远程实训模式总体架构

线下课堂教学的优点在于师生可以面对面交流[4]，教员便于及时发现并解答学员的疑问，学员也可以及时反馈问题。与线下教学相比，远程线上培训方式缺乏师生互动，教员也很难及时了解学员的学习状态和存在的问题，这是制约线上远程培训开展的主要问题。

（二）远程实训的具体实施

针对线上培训存在的师生沟通不及时，互动性较差问题和在职民警业务繁忙的具体现状，笔者提出一种基于“钉钉群直播+云实践平台演练+微信群反馈”的弹性远程培训模式，模型架构如图3所示。教员在授课之前建立微信群，包括全部参训学员和授课教员，在每次授课之前将下次直播课时间、实践教学内容安排、计划讲授的知识点提纲和一些必要的学习资料通过微信群公告方式发布，授课教员通过查看群公告完成情况可以了解到通知传达率，对个别未阅读群公告的学员单独微信提醒，确保授课信息及时发布给每位学员。课前10分钟通过钉钉视频直播方式呼叫学员加入视频课堂，教员可以随时了解到学员加入和退出视频直播情况，大部分学员在授课时段参加视频直播教学，少数学员因工作原因无法收看视频直播，可以选择在课后观看视频回放，教员在质量监控阶段可以查看到学员观看视频回放的数据统计。在直播教学中，学生如有疑问可以随时通过文字、语音方式提出，教员可以及时进行反馈讲解。课后学员也可以通过微信群反馈问题，教员解答相关疑问。实践教学部分不设置具体的课表，学员只需在规定时间段，例如一周时间内完成相关实践任务即可，这样便于学员自主选择空闲时间进行实践演练。

为保证远程线上教学效果，及时了解学员的学习情况和学习状态，质量监控在远程培训中发挥重要作用。通过远程云实验平台对学员实践任务完成情况进行检验，包括查看学员提交的实践报告，检查预设问题的回答情况，统计学生在线学习时间，视频和讲义资料的学习数据，综合上述信息给出学员的实践成绩。对线上直播授课，可以通过统计学员参加直播教学的次数、时长和课后提问情况，对学员的线上直播授课情况进行评价。对不能按时完成实践内容和不能按时学习直播教学内容的部分学员，统计相关数据，微信通知相关学员提高参训积极性，起到督促作用。

四、总结

针对在职民警参加网络安全技术类培训存在的诸多问题，提出一种基于云平台的远程线上培训模式，这种培训模式采用远程云平台开展实践培训，操作门槛低，实际效果好，可以达到与线下实践教学相同的效果。本文提出的“钉钉群直播+云实践平台演练+微信群反馈”的弹性远程培训模式可以确保师生的有效互动，通过质量监控环节，保证远程线上培训与线下课堂培训等质同效。笔者于2020年3月开始，对200余名学员通过远程线上培训方式开展网络安全技术培训，经过初步检验，发现这种方法在实践中应用效果良好，可以作为线下课堂教学的有益补充。