12月2日-3日,由教育部高等学校计算机类专业教学指导委员会、教育部高等学校软件工程专业教学指导委员会、教育部高等学校网络空间安全专业教学指导委员会、教育部高等学校大学计算机课程教学指导委员会共同主办的第五届中国计算机教育大会在厦门隆重举办。永信至诚副总裁付磊受邀出席,并发表《网络靶场中的平行仿真技术与靶标融合技术》主题演讲,提到数字化转型时代,平行仿真和靶标融合技术为网络靶场赋予了更多应用场景,催生出以趋于“证无”为理念进行人、系统、数据全要素、多维度科学测试评估为目的的数字风洞平台,为教学和数字化业务安全实践提供实验装置。
网络靶场应用场景在数字化转型中不断延伸
作为网络安全战略建设的重要新型基础设施,网络靶场在实战人才培养、选拔、评价,以及网络安全研究、效能分析、态势推演等方面均发挥着不可或缺的作用。付磊指出,随着技术的不断进步和发展,网络靶场在实践应用方面愈发广泛。例如,基于平行仿真技术和春秋云专有云构建的春秋云境网络靶场,已实现赛事演练、人才培养、智慧城市安全测试、网络案件实战、业务模拟仿真、人工智能攻防、复杂业务安全推演以及综合场景应用“7+1”场景落地。同时,打造出国内首家云上靶场社区——春秋云境.com,以多元、开放的线上交流空间和贴近业务的实践环境,极大降低了老师组织教学环境的难度,让广大学生可以随时接触到高质量的靶场环境,进一步提高实战技能。
基于六元组构建网络靶场任务底层逻辑
“网络靶场的灵魂不是通过靶标组成的场景,而是基于任务构建的场景。”靶标的设计与构造是网络靶场理论中非常重要的一个命题。永信至诚春秋云境网络靶场采用了类似于导演叙事的方式,将构建一个网络靶场中实例单元的过程拆解成六元组。在六元组里面,我们不仅描述靶标构成的环境、系统、评价标准,而是将架构、资产、数据等客体以及角色、事件、逻辑等主体一并写入场景的描述文件,然后通过平行仿真技术构建起一个基于任务的场景。各类比赛赛制、考核模式、应急响应、攻防演练、教学实验等实践活动,都可以通过平行仿真技术快速创建不同的任务模板,极大地提高了靶标设计的精度和场景的有效性,甚至可以基于不同的实践目标,快速生成全新任务。依托此类技术模式,春秋云境网络靶场在各行业领域中得到了广泛应用。
数字风洞为网络靶场打开测试评估大门
关于网络靶场的进一步实践应用,付磊表示,网络安全经过二十余年的发展,安全产品、安全理论、安全设备不断在各行业应用,但面对日益频发的勒索病毒、数据泄露、网络攻击等安全事件,这些产品与理论应用的有效性验证成为行业关注的核心议题之一,也是网络靶场进一步量变并赋能产业数字化转型的重要实践方向。作为网络靶场和人才建设领军者,永信至诚基于十余年网络靶场技术积累与成果沉淀,以及对于靶标技术与平行仿真技术融合应用的思考,推出将网络靶场实验装置和实验功能相融合的大型基础设施,即“数字风洞”产品体系。
基于3×3×3×(产品×服务)安全感公式和安全趋于“证无”理论,“数字风洞”产品体系强调测试评估的持续性与标准化,提倡尽早测试、频繁测试、全面测试,通过对人、系统、数据、方案、流程等进行“测试-发现风险-迭代优化-再测试-再迭代优化”,在规划、处置、运营各个阶段形成持续验证模式,从而不断发现安全风险并消除隐患,帮助用户获得真真实实的安全感。
“数字风洞”的产生源于我们对网络安全的要求从证有已经转为趋于证无。付磊表示,数字系统上线前,往往都会进行很多功能性、易用性、鲁棒性测试。但是通过测试后的系统上线后依然存在开源风险、可利用漏洞、可绕过的验证机制、远控后门等众多问题,对正常经营和生产业务产生了重大影响,这是因为既往信息系统上线及更新前并没有以趋于“证无”为理念从安全视角进行测试评估。而“数字风洞”平台则参考药物临床实验的做法,配合安全验收流程确保了系统的先验性安全。这是平行仿真网络靶场支撑下的数字风洞平台带来的安全感。目前,“数字风洞”已经实现在智能网联汽车、医疗、化工、能源、电力、军工等重要行业的实践落地。
最后,付磊总结到,作为网络靶场测试评估的重要形态,“数字风洞”产品体系已经成为数字化安全测试评估的基础设施,形成了面向城市、行业和单位等不同用户群体的测试评估解决方案,全面助力网络安全合规保障、风险预控、标准践行和投入回报,推动各行业领域在数字化转型关键时期从形式合规向实质合规加强,保障“数字健康”。