网络空间安全仿真参考架构

进网络安全行业群

公众号回复 行业群

| 用户视角


从用户视角来看,网络空间安全仿真系统的用户角色分工如下。

a)黄方负责网络空间安全仿真事务计划、设计、执行、管理、评估等全生命周期导演、指挥、调度和控制工作。

b)白方为整个事件过程提供技术保障。负责根据黄方的事件计划,完成整个仿真环境的搭建,包 括虚拟网络生成、实物网络配置、虚实互联,以及网络服务生成等内容。

c)红方需要制定攻击方案,根据计划完成攻击技术研制与部署,在事件实施过程中,按照计划对防守方实施网络攻击行为。

d)蓝方需要制定防御计划,根据计划完成防御技术的部署,在事件实施过程中,对来自攻击方的网络攻击实施防御行为,或利用/攻击对手系统以保护网络阵地。

e)绿方负责对事件运行阶段白方收集到的各类事件数据与攻防情报进行详尽分析,对攻防效果进行评估,并出具相关评估报告。

| 功能视角


1 总体框架


图1 网络空间安全仿真系统总体框架

从系统功能视角来看,网络空间安全仿真系统总体框架如图1所示,按照逻辑分为资源池、目标网络管理分系统、仿真模拟分系统、安全事件监测与态势评估分系统、数据存储与管理分系统、系统管理分系统、分布式靶场7个部分。

a)资源池应提供系统运行的资源,包括硬件资源、软件资源、网络资源、数据资源等。

b)目标网络管理分系统应根据试验想定方案构建试验需要的目标网络环境,通过试验场景配置、虚拟网络支撑、互联接入、试验节点管理,构建一个逼真的目标网络。

c)仿真模拟分系统应实现网络环境和用户行为的模拟,能够按照配置,生成网络流量和真实用户的操作行为,实现真实网络环境的模拟。

d)安全事件监测与态势评估分系统应对网络空间安全仿真系统上开展的试验过程进行数据采集、攻击检测、分析,以及评估和可视化。

e)数据存储与管理分系统应为网络靶场不同种类及模态的试验数据、攻防武器库提供存储与管理服务,为网络安全知识提供表示、构建与管理服务。

f)系统管理分系统应进行试验管理、人员管理和安全防护。

g)分布式靶场为可选分系统,非网络靶场必备组成部分。分布式靶场应能做到快速与主靶场进行互联,支持各个独立自主运行的远程分布式靶场快速统一接入,并支持统一的试验管理和部署运行。

2 用户与系统交互关系


图2 用户与系统交互关系

网络空间安全仿真系统的各个用户与分系统之间的交互关系如图2所示,其试验准备阶段、试验运行阶段、试验后阶段的控制流分别如下。

a)试验准备阶段的控制流

1)白方通过目标网络管理分系统对目标网络进行设计,通过仿真模拟分系统进行仿真工作流设计。

2)黄方通过系统管理分系统的试验管理模块下达目标网络部署的指令,目标网络管理分系统根据设计的网络配置部署目标网络。

3)绿方对试验的资产漏洞进行分析。

b)试验运行阶段的控制流

1)黄方通过系统管理分系统的试验管理模块根据设计的试验流程下达试验控制指令,包括对目标网络管理分系统下达带内程序配置指令和对安全事件监测与态势评估分系统下达监测分析控制指令。

2)绿方通过安全事件监测与态势评估分系统进行安全态势评估与展示,安全事件监测与态势评估分系统向数据存储与管理分系统发送推演分析的请求,进行智能推演分析。

3)红方和蓝方通过目标网络管理分系统接入操作目标网络设备,并通过试验管理模块与黄方进行交互。

c)试验后阶段的控制流

1)黄方通过系统管理分系统的试验管理模块向目标网络管理分系统、仿真模拟分系统和安全事件监测与态势评估分系统下达归档指令。

2)试验数据归档后,试验管理模块向目标网络管理分系统、仿真模拟分系统和安全事件监测与态势评估分系统下达资源释放的指令,进行试验资源的释放。

3)黄方通过试验管理模块对试验数据进行回放和分析,试验管理模块向安全事件监测与态势评估分系统下达试验数据回放的指令。

| 数据视角


1 数据总线


网络空间安全仿真系统采用总线架构和接口服务的方式实现各个分系统之间的数据交互。

a)系统中宜有两条总线,一条位于采集网,主要用于试验数据的采集和传输;另一条位于管理网,用于目标网络以及试验管理与其他系统的交互数据传输。

b)系统宜采用总线架构进行数据分发,保障分系统之间通信中的可靠性、可扩展性及降低耦合度。当出现一些不可预料的异常导致发送端的消息没被接收端接收到时,该架构应实现回滚操作,该消息的队列应恢复到异常事件的地方让接收者能重新接收,确保每个消息都有相应的接收端接收;随着数据量的增大,吞吐率越高,该架构应能水平扩展集群。

c)系统数据总线宜基于发布订阅模式来完成数据的生产发布和订阅消费,应保证整个系统的高吞吐率、高可用性和可扩展性,同时应确保各分系统之间具有低耦合的特性。

2 数据交互


图3 网络空间安全仿真系统的数据交互关系

网络空间安全仿真系统的数据交互如图3所示,其试验准备阶段、试验运行阶段、试验后阶段的数据流分别如下。

a)试验准备阶段的数据流

1)黄方通过系统管理分系统的试验管理模块将试验配置数据写入数据存储与管理分系统。

2)白方通过目标网络管理分系统将目标网络配置数据和试验需要的资源数据写入数据存储与管理分系统,通过仿真模拟分系统将仿真模拟配置数据、仿真模型写入数据存储与管理分系统。

3)黄方通过试验管理模块下发目标网络部署指令后,目标网络管理分系统将试验运行数据写入数据存储与管理分系统。

4)安全事件监测与态势评估分系统将配置数据和安全资源数据写入数据存储与管理分系统。

b)试验运行阶段的数据流

1)系统管理分系统的试验管理模块将试验状态数据写入数据存储与管理分系统,并提供数据查询给黄方。

2)目标网络管理分系统将试验状态数据写入到数据存储与管理分系统,并同步发送给安全事件监测与态势评估分系统进行态势评估。

3)安全事件监测与态势评估分系统通过目标网络管理分系统获取拓扑配置数据进行分析和展示支撑,将采集和分析的监测数据和态势数据写入数据存储与管理分系统,并提供查询接口供可视化展示,将监测分析发现的安全事件形成安全知识数据写入数据存储与管理分系统。

4)黄方和蓝方、红方通过试验管理模块进行交互,人员交互数据写入数据存储与管理分系统进行统一存储。

c)试验后阶段的数据流

1)系统管理分系统的试验管理模块从各个分系统获取配置数据进行试验归档。

2)在试验重建和回放的过程中将试验配置和试验元数据发送给目标网络管理分系统进行试验重建和回放。

| 物理视角


图4 物理视角

从物理视角来看,网络空间安全仿真系统使用三网结构设计,分别为管理网、测量网、仿真业务网,其物理视角如图4所示。

a)管理网宜支持目标网络管理、仿真模拟、态势展示可视化、数据存储与管理、系统管理等业务运行。

b)测量网宜用于流量数据采集和分析。

c)仿真业务网宜用于目标网络自身业务的运行支撑,包括支撑接入互联网、接入实物设备、接入异域设备等。网络空间安全仿真系统通过安防设备接入到互联网中。实物设备包括被测设备、各厂商网络安全设备、终端设备等,通过网络与虚实互联交换机相连接。异域设备通过异域接入设备同网络空间安全仿真系统虚拟网络进行互联互通。

扫码下载文件

| -

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐