朱 辰， 孙 斌， 金心宇， 魏 兵

（浙江大学a.工程师学院；b.信息与电子工程学院，杭州310027）

0 引 言

随着信息技术的进一步发展和国家信息化程度的日益提高，网络空间安全已经成为国家安全保障体系的重要组成部分。网络空间安全学科肩负着为国家培养网络空间安全人才和提供技术保障的重要任务［1］。因此，网络空间安全专业人才的培养显得十分重要［2-3］。然而，网络空间安全学科是新兴的交叉的综合性学科，学科建设涉及面广，涉及知识点多。因此，网络空间安全学科建设是一项复杂而艰巨的任务，对学生的理论和实践操作要求比较高［4-7］。为了响应国家对工程专业硕士研究生的教学培养改革，加强学生的网络安全实践操作能力［8-9］，充分发挥学校在网络空间安全学科的学科建设与人才培养方面的优势，因此，需要建立符合专业硕士研究培养实际情况和需求的网络空间攻防实验教学与实训平台。

1 建设目标与内容

高校网络安全实验室主要有公共基础实验室和研究生实验室，公共基础实验室是面向公共基础课的学生，研究生实验室是为研究具体项目而设立［10-12］。建立网络安全实验与实训平台主要是面向专业硕士研究生和工程技术培训的人员，包括传统的网络攻防实验室和电力系统（变电站、配电网与电网调度）、天然气传输、轨道交通3个重点行业典型真实场景，从而使关键信息基础设施的传统信息安全和工业控制系统安全有机结合形成一套虚实结合网络空间攻防实验与实训平台，为工程硕士研究生网络安全实践教学、网络安全标准技术研究、网络安全技术培训实操、网络攻防对抗、举办全国性夺旗比赛提供基础条件支撑。

网络空间安全的研究内容是网络空间各种形式的安全威胁和防护问题，即在对抗环境下，研究网络和系统本身的安全威胁和防护机制以及网络空间基础设施的安全问题，以及信息的产生、存储、传输、处理各个环节中所面临的安全威胁和防御措施［13］。

（1）内容安全。针对网络中数据流量大、敏感内容隐蔽等挑战，重点研究互联网新闻网页、视频分享、图像语音分享等网络媒体内容进行识别，实现网络舆情监控；对互联网上普遍存在的时序数据所包含的隐私数据进行保护；研究互联网上大数据环境下个人隐私保护方法。

（2）互联网安全。针对网络空间中自动化、智能化、和协同化的网络攻击挑战，重点研究主动安全防御的评价理论与方法。

（3）信息系统安全。针对信息系统中存在的系统漏洞，主要研究可信体系结构，如新型体系结构、系统加固等；操作系统等系统软件安全及安全评测和验证平台，如运行时环境安全、集成开发环境安全等。

（4）工业控制系统安全。针对网络空间中重要基础设施的工业控制系统所面临的安全，主要研究工业控制系统脆弱性分析与检测、安全防护、攻击分析及验证等技术［14-15］；工业控制系统平台等级保护研究、安全技术转化以及联动安全管理等应用提供技术支撑；为典型工业控制系统行业领域的工业控制系统安全防护及解决方案研究提供技术支持［16］。

2 实验教学与实训平台总体架构

实训平台主要针对多种典型系统，研究其安全问题和漏洞，针对主流协议解析和安全技术测试验证，以保障网络安全为目标，开展安全参考模型建立、脆弱性识别、数据采集及加载、安全性检测、安全防护加固、安全信息报送等技术研究，建立一套适合专业研究生实践教学和网络安全工程技术培训的网络安全实训平台。实训平台一共分为4个部分：态势感知应急处置实验室，攻防对抗实验室，攻击技术研究实验室和主动防御实验室。

2.1 态势感知应急处置实验室

态势感知应急处置实验室主要包含态势感知展示区（见图1）、电力系统缩微装置及控制区（见图2）、天然气缩微装置及控制区（见图3）、轨道交通缩微装置及控制区（见图4）4个部分，将电力系统、天然气和轨道交通3个典型工控场景接入到态势感知平台，为仿真测试环境中系统网络的攻防演练、仿真测试、态势感知和信息报送等提供完整的真实工业系统数据支持，并开放多种接口满足相关系统的扩展和技术应用，可以将工业控制系统的资产风险态势感知、外部威胁态势感知、安全运营态势感知在态势感知区的大屏上显示出来，可以提供网络安全预警提示，为制定相应的安全防御策略提供技术支持。

图1 态势感知展示区

图2 电力缩微装置

图3 天然气缩微装置

图4 轨道交通缩微装置

2.2 攻防对抗实验室

攻防对抗实验室为了提升系统网络安全的攻防技能，学生可以使用常见的攻击方式对测试系统进行模拟攻击，测试出应用系统自身的抗攻击能力和安全配置的实效性，进而能够提出安全策略实施修订和相关系统加固方案，确保应用系统的安全性，加强学生对网络安全知识的理解和网络安全的重要性。为了确保攻防实验不影响正常的校园网络，在网络空间安全攻防实验教学与实训平台内独立设置一个用于攻防教学实验和攻防演练的安全攻防区（如图5中红色区域所示），安全攻防区通过一台防火墙与平台核心互联，通过安全策略、路由配置等操作与平台网络隔离，仅通过地址映射对平台提供演练地址，攻击发起节点通过交换机与安全攻防区防火墙USG6680相连，安全攻防区防御区部署华为DDOS服务器、华为防火墙USG6650、华为入侵保护系统NIP6500，NIP6500下联防端交换机，防御节点服务器与下联交换机相连，同时攻防区防火墙USG6680与沙箱服务器、日志服务器LogCenter、DDOS ATIC服务器相连接，对攻击中出现的流量及日志进行分析防御，整个攻防区区域网络形成了一个攻击由攻击端服务器发起，恶意流量经过防火墙、DDOS、NIP，沙箱等安全设备的防御，同时根据分析产生的流量日志判断能否对防御端服务器上的应用造成影响的攻防实验平台。

图5 网络攻防实验室网络拓扑图

2.3 攻击技术研究实验室

增强网络安全防御能力和威慑能力，网络安全的本质在对抗，对抗的本质在攻防两端能力较量。建立攻击技术研究实验室，主要是建立一间单独的物理实验房间，以便加强学生的实战技术水平，培养学生成为攻防兼备的复合型人才。学生可以在攻击技术研究实验室进行网络扫描、渗透测试、故障注入、数据窃取和报文回放等攻击技术研究。

2.4 主动防御研究实验室

主动防御技术研究实验室包括威胁检测研究区、脆弱性分析研究区和安全防护技术研究及检验区3个部分。威胁识别技术和安全防护技术是“攻”和“防”的关系，攻是研究如何突破系统的安全防线，使攻击者具备干预系统正常运行的能力，防是研究如何抵御系统外部的各种攻击，将威胁挡在系统之外。而脆弱性分析则是着眼于系统内部，以识别系统的资产和风险、确认系统的安全薄弱环节为主要的内容，达到“知己”的目的。

3 实验内容及特点

网络空间安全攻防实验教学与实训平台经过近2年的建设，可以开展如下实验内容：

（1）认识网络和网络安全。介绍实验平台的环境，了解网络安全相关概念，掌握实验方法和实验流程。

（2）防火墙原理及配置。介绍防火墙基础知识，掌握防火墙安全策略相关基础配置，掌握入侵防御配置文件的配置方法，掌握URL（统一资源定位符）过滤的基本配置方法。

（3）Web应用安全。实际操作SQL注入/暴力破解/文件上传/跨站脚本等Web安全漏洞实验，认识Web应用安全的危害。

（4）Windows系统安全。Windows系统安全基础，Windows系统入侵防范，Windows系统入侵检测，Windows系统恢复。

（5）Linux系统安全。操作系统信息安全基础知识，操作系统安全权限加固，操作系统安全通信协议加固，操作系统安全文件及日志加固。

（6）入侵分析与审计。性能下降、网速变慢、文件被篡改等系统相关常见异常现象分析和审计。

（7）工业控制系统攻防实验。仿真主站、野外搭线、篡改报文、攻击现场设备等攻击场景演示实验，工业控制系统不同子系统隔离、管理区和生产区隔离、调度中心与控制系统认证等防御场景演示实验。

综合前面的实验可分组进行网络空间安全攻防对抗实验，在传统的网络安全实验教学中，特别注重工业控制系统网络安全的实验教学，引入工业控制系统的3个典型实例，设计相关实验案例，提高学生对真实工业控制系统的认识和动手解决实际问题的能力。

4 结 语

随着信息技术的发展，信息网络安全人才的不足已严重制约网络空间安全的发展，目前网络安全专业人才培养难，传统的理论教学模式已经不能满足专业人才的培养需求。经过精心组织、设计、论证和建设的网络空间安全攻防实验教学与实训平台，引入3种典型真实场景的工业模拟控制系统，在理论教学的基础上，加强学生的实践操作训练，通过多种形式的网络攻防对抗练习和比赛，提高学生的网络安全对抗能力，探索网络空间人才培养方面的新模式，能够更好地服务网络空间安全专业人才的培养。