杨学勇，齐 胜，朱 贺，战 鑫

（1.中国铁路南昌局集团有限公司，南昌 330002；2.中铁信（北京）网络技术研究院有限公司，北京 100044；3.中铁信弘信（北京）信息工程咨询有限责任公司，北京 100038）

随着“震网”病毒侵袭伊朗核电站，“黑暗力量”病毒引发乌克兰大停电，以及勒索攻击致使美国输油管道瘫痪[1]等网络安全事件的爆发，网络空间安全越来越引起人们的重视，“没有网络安全，就没有国家安全”[2]成为人们的共识。而网络安全并非单纯的防护工具、安全平台之间的对抗，其本质是网络安全人才之间的技术、思想、能力的竞争，如何培养高素质的网络安全和信息化人才队伍成为亟须解决的问题。为解决这一问题，网络攻防演练成为各企事业单位，乃至国家层面培养网络安全人才的创新型培养模式。随着各企事业单位网络安全攻防演练工作的不断演进，以攻防实战的形式检验重点企事业单位的网络安全能力逐渐常态化，各行各业在各自内部也广泛开展多种形式的网络安全竞赛，以提升本行业本单位的网络安全能力。为了给网络安全人员提供一个用于攻防演练的平台，网络靶场[3]应运而生。

铁路作为关键信息基础设施[4]运营单位之一，要承担网络安全主体防护责任，不仅需要可靠的网络安全技术体系[5]，还需要大量的网络安全人才，因此建设铁路网络空间靶场也势在必行。本文立足《信息安全技术 网络安全等级保护基本要求》和《关键信息基础设施安全保护条例》对网络安全人员技能、意识、应急处置等方面的规定，利用虚拟化技术对铁路信息系统进行深度仿真，设计稳定实用、灵活部署、多角色参与的铁路网络空间靶场系统，为铁路网络安全从业人员及相关人员的教育、培训、考核、演练提供一个方便快捷的学习平台。

1 总体架构及网络架构

1.1 总体结构

铁路网络空间靶场平台总体架构如图1所示。依托铁路自身网络安全保障体系和铁路相关网络安全标准体系，以数据资源为核心，通过整合实体资源和虚拟资源，搭建底层基础环境，并开放虚实资源调度接口以供数据控制层调用[6]。在数据控制层，将镜像、场景、工具、课件等数据资源分门别类，并进行统一管理、调度、运行和监控。业务功能层通过数据资源调度接口接收数据控制层的数据，以支撑安全实训系统、比武竞赛系统、靶场演练系统及其统一的综合管理系统。

图1 铁路网络空间靶场平台总体架构

1.2 网络架构

铁路网络空间靶场平台网络架构，如图2所示。

图2 铁路网络空间靶场平台网络架构

基础设施区主要部署虚拟化资源池、资源调配系统及场景构建系统，以提供基础的数据资源及其调配和搭建[7]，形成基础环境；平台服务区部署系统服务器；综合管理区部署平台管理系统、共享管理系统和外部接入设备，对整体平台进行统一纳管。

在用户接入区，主要部署用户侧直接操作的设备。综合管理区对应综合管理席位，依据权限管理原则，细分为系统管理员、任务管理员和审计管理员；平台服务区对应安全实训席位、比武竞赛席位、靶场演练席位，其中，安全实训席位主要分教师学员，比武竞赛席位主要分参赛队员、导调裁判、观摩，靶场演练席位主要为演练人员；基础设施区对应云管席位和场景搭建席位，云管席位对应云管理员，场景搭建席位对应场景管理员。

2 功能设计

2.1 功能架构

铁路网络空间靶场平台功能架构如图3所示，主要承担以下任务。

图3 铁路网络空间靶场平台功能架构

（1）为铁路网络安全相关人员提供一个教育培训和技能考核的网络平台，增强铁路从业人员的网络安全意识，提升铁路信息化和网络安全从业人员的网络安全技能水平。

（2）组织铁路网络安全相关人员进行不同种类的技能大赛，既可以选拔不同专业的网络安全人才，也可以激发从业人员的学习兴趣和热情，进一步加强网络安全意识的宣传。

（3）为铁路网络及网络安全方面的新技术和新架构提供一个可供科研的实验环境，以便于对其进行测试和验证和验证[8]，从而进一步优化现有的网络技术架构，增加应急演练储备。

2.2 主要功能

铁路网络空间靶场平台的3个系统分别立足自身核心功能，实现网络安全人才培养的全流程无缝衔接。通过安全实训系统，以讲授课程和实验课程为基础，以考题测试作为巩固手段，实现网络安全从业人员从入门到进阶，形成网络安全基本素养。再通过比武竞赛系统，以赛代练，使铁路网络安全从业人员得以在实战中不断提升自身水平，形成比学赶帮超的学习氛围，同时实现铁路网络优秀人才的选拔，逐渐培养出铁路网络安全专家。对于铁路网络安全专家来说，可以通过靶场演练系统，进行铁路自身网络安全技术的探索和自研网络安全设备的测试，并对自己开发出的新战术，新技法进行验证，进一步提升铁路网络安全人员的整体水平。

2.2.1 安全实训

安全实训系统可进行课程培训、专项培训、竞赛培训等，具备多维度的考核和评估能力，能够通过实验课程、视频教学、实操课件、理论题目等提高相关人员的综合业务能力，准确记录各学员的学习日志，分析学习成绩和进度，监管每个学员的学习过程，并可综合学习历程、考核成绩、实践成果等，形成实训效能图谱，进而直观掌控实训效果。

2.2.2 比武竞赛

比武竞赛系统能够对竞赛、赛题、试卷、队伍及人员等进行管理，并能够通过夺旗赛、攻防对抗赛、红蓝对抗赛等多种演练模式帮助各铁路局集团公司考核选拔网络安全实用人才。

2.2.3 靶场演练

靶场演练系统通过虚拟环境与真实设备相结合的技术，并融合主机虚拟化、网络虚拟化、数据采集、3D展示引擎等技术，构建网络空间环境，帮助各铁路局集团公司进行网络安全研究、人才培养、实战演练、安全测试、效能分析、态势推演等。

2.3 任务流程设计

铁路网络空间靶场平台任务流程如图4所示。

图4 铁路网络空间靶场平台任务流程

综合管理席位是各项任务的起始点和终结点，根据三员管理的原则分系统管理员，安全管理员和审计管理员，其中，系统管理员在实际运行过程中将承担主要的系统运行与维护工作，以及主营任务的制订与反馈工作；安全管理员通过对系统用户进行身份验证，根据其身份进行相应权限的分配，任务演练席位的用户获得权限后方可执行相应权限的任务操作；审计管理员通过对系统管理日志、安全管理日志进行审计，从而保障平台安全稳定运行。

系统管理员在综合管理员席位根据不同的任务需求，进行相应的任务制订并派发给相应的任务演练席位人员。系统管理员获取演练人员执行过程中的反馈，生成相应任务的评估结果，形成完整的闭环流程设计。

安全实训系统管理员接收并制订计划培训任务，根据任务要求为教师和学员的提供账号申请，并分别进行相应身份的任务下发，任务演练席位的教师和学员即可根据任务要求进行培训、考试、实验等活动，其执行结果将自动反馈至系统管理员。系统管理员根据活动的执行情况，对该任务的培训效能进行评估。

比武竞赛系统管理员接收并制订组织竞赛任务，根据竞赛任务的形式、人员、难易度进行组织，可以设立红队，蓝队及导调/裁判组，比赛制订后下发给所有参与者，参与者即可根据自身角色完成比赛，红队发现、侦察、攻击，蓝队检测、分析、防御，导调/裁判组根据赛程进展情况对比赛结果进行调节和裁定，也可单方面进行相应的模拟以供蓝队或红队进行检验评估。系统管理员通过接收赛程反馈，得到整体攻防能力的评估结果。

靶场演练系统管理员接收并制订靶场演练任务，根据靶场演练的目标，结合铁路业务场景，搭建实验环境，将科研人员和测试人员指定后进入系统，科研人员在靶场环境中进行新技术、新架构的验证，测试人员在旁侧进行校验环境内部各个参数指标，最终达到演练测试目标。系统管理员根据反馈生成评估报告。

3 关键技术

3.1 软件定义网络

铁路网络场景类型复杂、异构多样、集群庞大，为了将铁路局集团公司内部某些网络场景进行快速搭建，利用虚拟化技术，进行高精度仿真，节约搭建所需时间、人力和物力，以满足在原有架构基础上不断改进的需求。通过基于软件定义网络[9]的动态组网技术将铁路集团公司多集群大规模网络关键部分提取组合，将交换机、防火墙、服务器等设备关键性功能进行仿真和虚拟化映射[10]，从而实现铁路复杂网络环境的复现。

3.2 基于角色的访问控制

铁路网络空间靶场在运行过程中，通过高并发实现多用户进入系统操作，为了做好安全方面的工作，防止非法访问，则需要运用基于角色的访问控制技术，以实现靶场数据的保密性和完整性。在系统管理层面通过标记各个角色的权限，进行角色和权限的一对一映射[11]。角色在创建过程中权限已经做好限定，任何越权操作都将会被阻止，同时，在日志审计中进一步监控访问控制策略的执行情况，最终保障铁路网络空间靶场平台安全运行。

3.3 自动化多维度测试

根据铁路员工个性化的需求，在结合铁路评估方法的基础上，构建科学的评估模型，将神经网络[12]、决策树等人工智能算法引入靶场平台的测试评估过程，从而实现计算资源、存储资源自动调用，并关联漏洞库、知识库等及时生成新的学习建议，同时结合武器库内的工具，自动生成各类攻击流量，实现对独立设备级、系统集群级、体系架构级等不同规模级别的铁路网络空间安全测试验证。

4 结束语

铁路网络空间靶场方案从铁路网络安全人才培养需求发出，以安全实训系统、比武竞赛系统、靶场演练系统为支柱，结合复杂异构网络复现、虚实设备混合组网、自动化多维度测试技术，形成一套针对铁路信息系统的网络空间靶场建设方案。该方案以资源调度为核心，结合铁路既有网络架构，通过灵活的部署方式，搭建多层次一体化的靶场平台。该方案的实施，将能够有效提升铁路网络安全人才的培养能力，进而提升铁路网络整体防护水平。