2020-11-20周五 网安资讯

2020-11-20周五 网安资讯本站　　11月18日，世界互联网大会组委会发布了《携手构建网络空间命运共同体行动倡议》，在发展共同推进、安全共同维护、治理共同参与等方面提出共20条倡议

　　11月18日，世界互联网大会组委会发布了《携手构建网络空间命运共同体行动倡议》，在发展共同推进、安全共同维护、治理共同参与等方面提出共20条倡议。以下为《携手构建网络空间命运共同体行动倡议》全文：

　　当今世界正经历百年未有之大变局，新冠肺炎疫情持续蔓延，给世界各国带来严重冲击。国际社会唯有同舟共济、守望相助，才能打赢这场全人类与病毒的战争，走出这段艰难的时刻。面对新的风险和挑战，如何在网络空间加强团结协作、维护公平正义、共享数字红利，成为摆在我们面前的重大课题。

　　2015年，中国国家主席习在第二届世界互联网大会提出“四项原则”“五点主张”，倡导尊重网络主权，推动构建网络空间命运共同体，为全球互联网发展治理贡献了中国智慧、中国方案。2019年，第六届世界互联网大会组委会发布《携手构建网络空间命运共同体》概念文件，进一步阐释了这一理念。当前疫情背景下，构建网络空间命运共同体的重要性和紧迫性更加凸显。我们呼吁，各国政府、国际组织、互联网企业、技术社群、社会组织和公民个人坚持共商共建共享的全球治理观，秉持“发展共同推进、安全共同维护、治理共同参与、成果共同分享”的理念,把网络空间建设成为造福全人类的发展共同体、安全共同体、责任共同体、利益共同体。为此，我们提出以下行动倡议：

　　采取更加积极、包容、协调、普惠的政策，加快全球信息基础设施建设，推动数字经济创新发展，提升公共服务水平。

　　1.提升互联网接入水平，促进互联互通。推动各国在光缆骨干网、国际海缆等通信基础设施领域开展合作，在尊重各国网络主权、尊重各国网络政策的前提下，探索以可接受的方式扩大互联网接入和连接，让更多发展中国家和人民共享互联网带来的发展机遇。

　　2.推进信息基础设施建设。携手提升信息基础设施建设、运营与服务水平。支持5G、物联网、工业互联网建设、应用和发展，打造新的经济增长动能，助力经济恢复与发展。

　　3.利用信息通信技术提升公共服务水平。推动利用数字技术应对疫情、自然灾害等突发公共事件的经验分享与合作，利用数字技术提升文化教育、环境保护、城市规划、社区管理、医疗健康等公共服务水平。

　　4.促进数字产业融合与经济转型升级。鼓励数字技术与传统产业融合发展，提升数字化、网络化、智能化水平，促进经济转型升级，推动数据要素的开发利用与共享。

　　5.创建良好的营商环境，维护全球信息通信产业链供应链开放、稳定、安全。为企业提供开放、公平、非歧视的营商环境，加强团结协作，携手共克时艰，全面提振全球市场信心。推动建立健全多边、互信、共赢的数字产业规则，保障全球信息通信产业链供应链开放、稳定、安全，推动全球经济健康发展。

　　6.增强网络空间战略互信。鼓励开展全球、区域、多边、双边与多方等各层级的合作与对话，共同维护网络空间和平与稳定，增进各国之间战略互信，反对网络攻击、网络威慑与讹诈，反对利用信息技术从事危害他国安全和社会公共利益的行为，防止网络空间军备竞赛，营造和平的发展环境，防止技术议题化。

　　7.加强信息基础设施保护。加强在预警防范、信息共享、应急响应等方面的合作，积极开展关键信息基础设施保护的经验交流。反对利用信息技术破坏他国关键信息基础设施或窃取重要数据。

　　8.加强个人信息保护和数据安全管理。规范个人信息收集、存储、使用、加工、传输、提供、公开等行为，保障个人信息安全，开展数据安全和个人信息保护及相关规则、标准的国际交流合作，推动符合《联合国宪章》宗旨的个人信息保护规则标准国际互认。要求企业不得在信息技术设备中预设后门、恶意代码，不得利用提供产品、服务的便利条件窃取用户数据。

　　9.加强未成年人网络保护。开展未成年人网络保护立法经验交流，打击针对未成年人的网络犯罪和网络欺凌，保护未成年人网上隐私，培育提高未成年人网络素养，形成健康的上网习惯。

　　10.深化打击网络犯罪、网络恐怖主义国际合作。对网络犯罪开展生态化、链条化打击整治，进一步完善打击网络犯罪与网络恐怖主义的机制建设。支持并积极参与联合国打击网络犯罪全球性公约谈判。有效协调各国立法和实践，合力应对网络犯罪和网络恐怖主义威胁。

　　11.发挥联合国在网络空间国际治理中的主渠道作用。充分发挥联合国信息安全开放式工作组（OEWG）和政府专家组（GGE）的作用，支持在联合国框架下制定各方普遍接受的网络空间负责任国家行为规则、准则和原则。

　　12.完善共享共治的国际治理机制。支持联合国互联网治理论坛（IGF）、世界互联网大会（WIC）、世界移动大会（MWC）、国际电信联盟（ITU）等平台发挥积极作用，推动政府、国际组织、互联网企业、技术社群、社会组织、公民个人，共同参与网络空间国际治理。

　　13.平等参与互联网基础资源管理。保障各国使用互联网基础资源的可用性和可靠性，推动国际社会共同管理和公平分配互联网基础资源。

　　14.推动对新技术新应用的有效治理。积极利用法律法规和标准规则引导人工智能、物联网、下一代通信网络等新技术新应用，推动在技术标准、伦理准则方面开展国际合作。

　　15.推动网络空间治理能力建设。搭建多渠道的交流平台，在联合国等多边框架下增设网络空间国际治理援助和培训项目，帮助广大有需求的发展中国家提升参与国际治理的能力。

　　16. 共享电子商务发展红利。畅通贸易渠道，减少市场准入壁垒和其他壁垒。促进跨境电子商务发展，探索建立信息共享和互信互认机制，鼓励使用安全可靠的数字化手段促进跨境贸易便利化。

　　17.让中小微企业更多从数字经济发展中分享机遇。鼓励各国加大政策支持，帮助中小微企业利用新一代信息技术促进产品、服务、流程、组织和商业模式的创新，增加就业机会，积极融入全球价值链。

　　18.加强对弱势群体的支持和帮助，不让一个人掉队。推动互联网助力精准扶贫的经验交流与分享，促进国际减贫合作。鼓励开发适合老年人、残疾人、妇女、儿童使用的产品和服务，采取多种政策措施和技术手段，提高弱势群体的数字技能，促进公众数字素养的普及和提升。

　　19.加强网络文化交流与文明互鉴。尊重网络文化的多样性，提倡各国挖掘自身优秀的文化资源开展网络交流合作和文明互鉴。搭建包容、开放、多样的网络文化交流平台与机制。

　　20.为落实联合国2030可持续发展议程做出积极贡献。呼吁各国重视发展中国家关切，弥合数字鸿沟，通过信息通信技术促进持久、包容和可持续的经济增长和社会发展。

　　互联网是人类共同的家园，全人类从未像今天这样在网络空间休戚与共、命运相连。维护一个和平、安全、开放、合作、有序的网络空间，就是在维护我们自己美好的家园。展望前路，我们愿同国际社会一道，把握机遇，迎接挑战，携手构建更加紧密的网络空间命运共同体，共同开创人类更加美好的未来。

　　摘要：对于信息系统来说,随着安全需求的不断提升,安全检测防护措施需要更加的科学和系统。根据现有的安全测评需求和云平台的技术和业务特点，重新设计了云平台信息安全评估需求的架构。针对云服务的三种模式: IaaS、PaaS和SaaS，需要进一步完善安全测评要求，改进测评方法，合理制定安全原则。并以此为依据，确保云等保测评工作的有效实施。

　　云等保其实并不新鲜，它其实是现有等保的衍生和扩展，二者的工作流程基本相同，依然分为定级、备案、整改建设、测评、监督检查五步。针对云等保涉及的新兴元素则需要对原有等保相关工作的具体内容进行进一步地扩展和统一，于是“云计算扩展要求”和新修订的“定级指南”应运而生。

　　云计算服务的虚拟计算资源包含云主机和其他虚拟资源,。从传统 IT 信息系统运营和单一安全责任转变为云租户和云服务提供商二者的安全责任,定级也就变得相对复杂。传统的定级对象大家都知道，主要是信息系统和相关基础网络，而云系统由于服务商和租户这两个特殊角色的存在，定级对象也有所不同，分别为服务商所属的云平台以及租户所属的应用系统，这两个对象应该分别定级，且云平台的等级要高于应用系统的等级。将云系统分为公有云和专有云。公有云系统云平台的定级是提供云服务之前的必要工作;私有云系统，要先对云平台作定级测评，然后再将已定级的应用系统迁移至云平台。

　　2.2.1 物理安全：首先云计算系统的基础设施必须位于中国境内，其次从二级系统开始，要求云租户的用户信息、身份鉴别信息以及其他和系统有关的信息必须存储于中国境内。

　　2.2.2 平台安全：依据“安全通用要求”云管理平台的组件和云计算系统的基础设施安全必须符合要求。根据相应的安全等级，对登录云平台的管理用户进行用户身份鉴别，不同的用户分配不同的权限，保证用户权限分离;当进行远程会话管理时，在终端和云平台网络边界设备之间，须建立双向身份验证机制。

　　2.2.3 资源隔离：必须确保业务流量和管理流量的分离;禁止宿主机上的物理硬件和虚拟实例之间直接访问。不同的虚拟机之间要做到CPU指令隔离。分配给每一个虚拟机的内存空间，要保证独占访问；根据不同安全级别进行网络区域划分并配置相应的访问控制策略;对于虚拟机的逃逸行为应进行检测和告警；应保证虚拟机的迁移只能在安全保护等级相同的资源池之间进行。

　　2.2.4 访问控制：虚拟机之间的访问严格基于策略。分配不同的用户和权限从而实现管理用户的权限分离。云服务或第三方能否对租户数据进行管理，取决于云租户是否授权。云平台须提供开放性接口或开放性的安全服务，允许租户在现有第三方安全服务其他安全产品之间进行选择。

　　2.2.5 审计与监控：确保提供可以进行安全审计数据汇集的接口，方便进行第三方的审计工作。根据职责划分实现集中审计。确保云租户可以审计云服务提供商对其应用和数据所进行的操作;确保虚拟机和主机之间的流量监控。

　　2.2.6 数据安全：保证可以随时查询租户数据和备份的存储位置。确保云租户业务应用和相关业务应用数据可以在其他云平台或本地信息系统之间迁移。迁移过程须提供完整性和信息防泄漏保护。对虚拟机的镜像文件须提供完整性保护和及时更新，并对镜像文件的非授权修改进行检测。须提供保密性保护，保护虚拟机快照文件。

　　2.2.7 安全管理：根据业务应用系统的安全级别，选择具有相应保护能力的服务商。须以书面形式约定云服务商的责任与权限，其中包括管理范围、职责划分、访问授权、行为准则、隐私保护、违约责任等。云租户作为其数据的所有者，所有针对数据的访问和操作必须经过数据所有者的授权，所有的访问和操作必须有记录留存，须签署“服务水平协议SLA”和“隐私保护协议”,保证必要时相关证明可以提供给第三方。

　　随着虚拟化技术的应用普及，在三种按需服务模式 IAAS 、PAAS、 SAAS的架构下，云系统中需要保护的对象较之传统信息系统有所增加。具体如下，分别列举出传统信息系统以及云系统的保护对象，其中斜体字显示的对象为云系统特有的保护对象。

　　2.3.2 网络＆通信安全：网络结构、网络设备、安全设备、综合网络管理系统、VT网络结构、VT网络设备、VT安全设备、虚拟机监视器（VMM）、云平台。

　　2.3.3 设备＆计算安全：网络设备、安全设备、主机操作系统、数据库、终端、VT网络设备、VT安全设备、云平台、策略、物理机、宿主机、VM、虚拟机监视器（VMM）。

　　2.3.4 应用＆数据安全：业务应用系统、业务应用系统配置、业务应用数据、中间件、应用系统身份认证信息、用户隐私、开发平台、管理平台、数据存储设备、数据库主机、镜像文件、快照文件、云服务对外接口。

　　2.3.6 安全建设管理：系统建设责任人、服务水平协议（SLA）、云平台、设备供应商资质、系统建设相关电子版或纸质版文档及资质、相关设备或系统的检测报告。

　　2.3.7 安全运维管理：安全管理人员、安全运维管理相关文档、运维设备、第三方审计记录结果、云平台。

　　前期调研、测评方案编制、测评依据和测评指标的选择、现场测评、安全问题分析和整改建议、测评报告编制等。

　　• 指标不同: 云系统中的部分指标适用于“通用要求”和“云计算扩展要求”。在对业务应用系统进行测评时，应选择 “通用要求” 和 “云计算扩展要求” 中适合业务应用系统的一些指标。

　　• 方法不同: 现场测评时，“云计算扩展要求”中的各层面统一全局处理。综合计算所有指标，解决编制报告时控制点和各层面的计算得分问题[5]。

　　• 计分方式不同：云平台的分数合理地与云租户业务系统的得分相结合，得到最终的云租户业务系统得分。当同一业务应用系统分跨两个云平台时，得分越高的云平台就意味着其相应的安全措施越强, 从而决定了业务应用系统的最终得分。这样做的目的，既能提高云服务平台整体安全防护水平，也使得云用户在成本和安全之间，放心地选择安全。

　　• 等保要求的变化。云计算环境下网络安全等级保护在基本要求、设计要求和测评要求中在原有的“通用要求”基础上，针对于云计算平台这一特定等级保护对象，增加了云计算等新领域的个性安全保护标准和安全扩展要求。

　　• 定级对象的变化。云平台下网络安全等级保护中云平台与承载的系统分别定级。一个云平台承载多个系统，云平台的定级根据其承载或将要承载的等级保护对象的重要内容确定其安全保护等级，云平台的等级不低于所承载系统的安全保护等级。对于大型云平台，云计算基础设施和有关辅助服务系统被划分为不同的定级对象。

　　• 责任边界的变化。云平台下网络安全等级保护首要的问题是安全责任边界问题，其责任边界划分是租户负责租户的安全，平台负责平台的安全，责任划分标准是通用的、普适性的做法。在实际工作中，还需要结合实际情况，进一步明确划分相关责任。

　　• 等保对象的变化。由于引入了云计算，所以等保对象中增加了虚拟化网络、虚拟机、云管理平台等，网络安全也演变成了基础安全与新技术安全的集合。

　　总而言之，在面对云等保测评工作时，深度学习现有理论依据的同时，还要提升自身的安全防护意识，用认真负责的态度，为大家营造一片绿色纯净的“云”天空。

　　[4] 石桂花，徐超，刘君。基于云安全服务平台的等级保护测评方法[J].移动通信。2017.47(21):10-15.

　　[5] 潘一飞.基于云安全模型的信息系统安全等级保护测评策略[J].中国新通信，2014.21(3):7.

　　上周也就是2020年11月12日，是腾讯发布2020年度第三季财报的日子，同时也是腾讯组织战略升级两周年。洋洋洒洒的财报和数据图显示，腾讯在第三季度总收入为人民币1254.47亿元，较2019年第三季度同比增长29%，腾讯企业级安全业务前三季度收入同比增长133%，其中基础架构安全产品收入同比增长178%，风控安全产品市场占有率保持行业第一。除了整体业绩增长显著外，腾讯安全在行业广泛关注的重点领域同样成长迅速，SOC产品增速迅猛同比增长609%，零信任安全产品同比增长64%，云原生安全产品客户规模过万。而就在前不久 “数说安全”发布的《网络安全上市企业Q3营业数据排行榜》显示，受疫情及大环境的影响，网络安全产业在前三个季度整体业务情况表现疲软，绝大多数网络安全企业均出现大幅度的负增长。相比之下，腾讯财报公开的内容中，安全业务方面所体现出的成绩，就很值得深思。今天我们从腾讯安全的增长，参考海外云原生安全的战略布局，进一步来看国内云安全市场格局。

　　从2006年云计算（Cloud Computing）概念在世界上的首次被发明并用于描述计算机世界的一种新型服务模式开始，促生了世界的一场大变革。回头追溯，可以清晰地看到，基于以往的技术、产品和服务积累的层层高台之上，云计算不断促生、催化并吸纳新的创新领域及技术（虚拟化、大数据、AI及机器学习、容器及云原生诸如此类），企业从线下的传统架构（Legacy IT），发展出基础即服务（Infrastructure as a Service）的初级形态，进而扩展为软件即服务（Software as a Service）状态，再而演进到平台即服务（Platform as a Service）时代。与此同时，云计算的本身存在形态也一再地变换，从最初的单一公有云（Public Cloud）、私有云（Private Cloud），发展到混合云（Hybrid Cloud），再转而进入多云融合时代（Multi-Cloud）。

　　从业务安全本身观察，安全领域也不得不跟随云计算的步调，相生相促，相携而进。从最早的关注终端和系统角度的传统安全（Legacy Security），到延伸到云端的安全上云（Cloud Security Enable/Ready），再到实现基本的云安全（Cloud Based Security），一场新变革也注入了安全领域。云计算重构了IT基础架构，传统安全着眼的边界也模糊化甚至消失，安全防护范围从有边界的、局部的、可控的空间骤然驶入了云时代的无边界的、微观的、无限大空间，安全定位随之发生转变，从网络安全、应用安全到零信任架构、业务逻辑安全、资产和数据安全，再到人的安全性等等。

　　云计算的车轮依然在持续向前滚动，催生了微服务（Microservices）、服务网络（Service Mesh）、无服务架构（Serverless）等云原生技术，安全关注的尺度也更接近微观业务层面，云原生安全（Cloud Native Security）应运而生，并出现了包罗各方的云原生安全体系：

　　与此同时，先前的安全技术、产品、服务被解构并再重构以适应云原生的安全需求，出现了融合以往技术、产品和服务的工具集式的新品类：

　　更有甚者，伴随着深度融合，Gartner适时提出了新的组合品类CNAPP （Cloud Native Application Protection Platforms），即CWPP兼备CSPM功能，上述转变也可以从云服务提供商的相关动态中略见端倪，腾讯云和阿里云原生安全产品相继入选2019年Gartner CWPP全球市场指南就是一个明证，两者的产品均表现出了上述的融合特征。

　　整个互联网产业已由最初的消费互联网单飞猛进，过渡至产业互联网数字化基础建设持续推进，消费与产业互联融合共存的深入发展阶段，截止2019年，中国公有云PaaS市场规模已达41.9亿元，同比增长92.4%，私有云市场规模增至645.2亿元，同比增长22.8%。作为其中的增长热点，云原生产业市场规模已接近350.2亿元（数据来源：中国信息通信研究院《中国云原生用户调查报告2020》）。

　　Gartner曾预测2020年世界将有50%的传统应用将被云原生化，至2022年将约有75%的全球化企业在其生产业务环境中部署容器化应用，云原生将逐渐增长成为企业业务的未来核心竞争力中的支柱性因素。

　　在中国，大中型互联网企业已主导了云原生产业发展（超60%的云原生技术用户是互联网企业，其中千人规模以上企业达1/3以上），云原生技术的应用已呈现垂直扩展的态势，伴随着产业数字化转型的进程，金融、制造、服务业、政务、电信等垂直领域的云原生渗透率开始逐步提升。

　　从云服务商的角度看，腾讯云2020年Q3财报明确提出企业级安全业务成为其新的增长重点，新冠疫情推动了产业互联网的数字化进程，金融、政务、医疗教育及参保、在线会议、远程办公、泛互联网等领域均得到了快速增长，这与其背后的云安全护航密不可分，着眼于小程序安全的微应急安全防护方案便是一个很好的云原生安全应用案例。

　　当然云原生在技术上仍处于发展投入期，用户所使用的云原生架构的集群还偏中小规模，提升云原生应用比例和扩展集群规模尚存在着各种技术门槛（安全性、业务连续性、性能等），特别是其中的云原生安全性则成为影响实施落地的首要关注因素，如下几个方面则是企业业务转型中所涉及的资产、业务、数据、人等度安全因素考量中不得不面对的问题：

　　不得不承认，目前仍处于多云融合过程，企业也在勉力维持和动态调整着自身业务的多模式共融态（基于硬件、虚拟机、容器、Serverless等的多种业务实现形态），安全问题既是企业当前成长的底线，同时也会定义未来增长的上限，从云计算和云原生发展的长远趋势看，如何借助云平台的原生性安全能力，求得安全、效率、成本的最佳云实践是企业经营者需要思考的问题。

　　第1类 传统安全（Legacy Security）：基于传统边界安全及其扩展性理念的产品品类，如防火墙、IDS/IPS、EDR、SOC/SIEM等

　　第2类 云安全（Cloud Security）:突破传统边界安全理念但尚未涉及云原生安全技术的产品品类，如云WAF、云Anti-DDoS、云检测响应、云堡垒机等

　　第3类 云原生安全（Cloud Native Security）：完全基于新的云原生性安全技术理念，拆分并重构上述传统技术，如CASB、CWPP、CSPM，或是新创技术如微隔离（Micro-segmentation）、声明式安全API等等

　　未来实体仍将会是三类并存的混合安全世界，处于安全产业市场规模稳步增长的整体背景之下，三种品类的整体占比会发生渐进式的动态调整，一切都取决于企业的云业务增长过程及深化程度，最终趋于一个动态随域平衡的状态。可以预见的是，传统安全无论从整体规模、增长率、从业人员及企业数量均会呈现一个缓慢增长甚至是逐步消减的态势。

　　积极拥抱云安全特别是云原生安全的企业会焕发新的生命力，如TrendMicro、McAfee、Palo Auto均有携带自身独特安全基因的云原生安全解决方案，或许不久的将来市场中会孵化出类似西门子MindSphere的安全平台类系统。自然地，企业向各大云平台迁移业务时将获得更多的第三方云安全方案的选择权，特别是云原生安全方面的产品和服务。

　　相对应地，云服务厂商（Cloud Service Provide）也会依托自身的优势，逐步构建出基于自身云安全发展战略的云安全体系，以及相应的垂直分类安全产品和服务品类，国际云服务商（AWS、Azure、GCP）在这方面的商业探索实践更值得借鉴，以微软和亚马逊为例，依据其自身基于混合云和容器的渐进融合战略下的云安全维度划分来进行产品/服务规划布局（见下表），相比而言，微软因业务横跨生产力/商业流程SaaS（例如Office365和Dynamic 365）和智能云两个领域，其Azure的安全融合度较佳，用户亲和性和体验更好，适用市场更为广阔，而Amazon的云安全服务较适合技术密集型上云企业，特别是众多积极拥抱云原生战略的互联网企业。

　　反观Google，其GCP（Google Cloud Platform）依旧将技术和服务的重点集中在云计算原生性领域，着力推动相关市场的快速发展，走得是一条跃进式路线。相应地，GCP也不得不回应用户在混合云和多云融合中运营业务的现实性和安全性问题，其最终业务模式或许会探索出一条不同于前两者的围绕云原生为核心的安全融合之路。

　　引人注意的是，尽管三者路径有别，但在数据安全性（安全性、隐私性、透明度）及合规性等方面的关注度和投资（如在机密计算领域的持续性投入）所占的比重均十分显著，这也是用户对云平台上运营自身业务的可信度高度关注的一个侧面反映，同时也是国内云服务供应商需要着力提升的领域。

　　有别于国际云市场，国内云市场呈现出以IaaS为主要支柱，SaaS尚待成形，PaaS快速增长的三元格局，如从类比发展的角度观察，虽然走得均是不同于GCP的渐进式融合发线之路，腾讯云的发展基于共生同进的云安全和云原生安全也必然是概莫能外。

　　仍以腾讯来举例，在过去一直强调的产业互联网基调下，腾讯安全这类云综合性安全厂商，为CSP对云安全的持续性深入推动导致国内安全市场三类势力的逐步分化，传统厂商或因市场变化被清洗出局，或借由升级而蜕变，拥抱云安全服务化（SECaaS）和云安全产品或服务的研发成功转型，大量的人才和资金涌入云安全及云原生安全创新领域夺取和拓展新生领域前沿海滩，云平台厂商则通过整合自身及外部资源，稳步拓展云安全能力和市场，借力云原生安全的布局在未来市场的增长性变动中谋求到最强份额，塑造并奠定未来市场的格局。

　　PaaS资源编排借由Kubernetes逐步趋向统一化，所编排的对象也渐由容器延伸至虚拟机、函数、甚至是抽象对象（如支持可编程和支持API等），云原生技术栈的应用场景范围更广、垂直深度更为深入。

　　应用服务Serverless化，让渡非业务部分的实现给云基础架构，提升云计算的性价比和覆盖率。

　　1）整体安全市场的宏观格局：从当前传统安全（Legacy Security）、基础云安全（Cloud Based Security）、原生云安全（Cloud Native Security）的传统为主、云为辅的三元并存时代，过渡至以基础云安全为主、云原生为辅的三元技术市场状态、再演进至以云原生性安全为主、传统为辅的二元市场格局。客观上，云服务商与传统厂商、新兴力量在切分用户原始需求（企业业务的非云化和云化需求）时构成互为消长的三元竞争局面；

　　2）云安全市场的微观格局：在不断扩增的云安全市场中，新老云服务商间形成多元追逐性竞争，安全信誉度、产品/服务形态、迁移/部署的可操作性、行业可定制化程度、合规性、用户亲和性、安全成本等诸多因素影响着云平台的获客成本和驻客能力；

　　未来国内云市场的主要形态仍将会是混合云（公有云+私有云）和多云环境并存，公有云的客户更多是以互联网和新兴产业为主，而因兼具合规性、安全性、可控性等特征，私有云，甚至是专有云则被更为稳健的传统行业客户所青睐，后者的上云过程更需要云服务商提供的定制化方案和服务性支持予以推动。

　　客观地，整个产业互联网的安全能力构建，是无法由任何一家公司所能单独实现的。所以，云服务商的云安全战略需有相应的安全生态支撑，借由安全产业链协作，优势互补，构建适合不同行业和应用场景的云安全解决方案，云平台的投融并也需灵活定位那些具备下列维度特征的安全标的：

　　不难看到，随着中国的数字化及云计算市场的爆发式增长，腾讯安全等云综合性安全厂商将快速跨越投入期，凭借其业务布局及强有力的价值在网络安全市场中成为新的“主导话题”。

　　偷走 10 亿美元比特币 7 年未花，最终被司法部全数缴获；散播新病毒却只赚到 5 块钱，最后自曝解毒方法；盗走微软 GitHub 500GB 数据，不为钱直接泄露，今年的这几位黑客真是让人捉摸不透。

　　本周，美国联邦特工缴获了价值超过 10 亿美元的比特币，这些比特币与已经失效的网站“丝绸之路”有关，该网站是黑暗网络上的一个犯罪市场。这可能是美国司法部缴获的规模最大的加密货币。

　　比特币是丝绸之路上唯一被允许使用的货币。联邦调查局于 2013 年 10 月关闭了丝绸之路，并逮捕了该网站的创始人乌布里希。2015 年 2 月，他被判处终身监禁。

　　“丝绸之路是当时最臭名昭著的网络犯罪市场，”美国检察官戴维•安德森（David Anderson）表示，“2015 年成功起诉丝绸之路创始人留下了一个价值数十亿美元的问题——钱都到哪里去了？今天的罚没至少部分地回答了这个悬而未决的问题。这些犯罪收益中有 10 亿美元现在在美国。”

　　判处文件称缴获的比特币是 2013 年由一名黑客从丝绸之路偷走的，在法庭文件中，这名黑客的身份为“Individual X”。被盗的比特币价值约 1400 万美元，相当于每枚比特币 200 美元多一点。但此后比特币的价值飙升，如今已接近 10 亿美元，但该黑客始终没有将这些比特币花掉，而是一直保留至今，最终全数被联邦政府没收。

　　类似这样风险大但收获少的黑客倒也不是第一个，今年 4 月份还曾有黑客制作新病毒传播后不久就自己公开了解密方式，被戏称为“最怂黑客”，干啥啥不行，提交密钥第一名。

　　中毒之后，电脑会出现这样一个有年代感的界面。该黑客称，超过三天未付款费用将会翻倍，超过一个礼拜未付款，将会永远失去电脑里的宝贵文件。而且，大部分杀毒软件无法对此病毒进行拦截，而且即使第一时间使用杀毒软件手动查杀，电脑依旧会被感染。WannaRen 还可以绕过多数主流安全软件的拦截，在开启防御的情况下文件依然会被加密。

　　单从该病毒的名字来看，就让人很容易想起 2017 年风靡全球的“WannaCry”病毒，当年 WannaCry 至少让 150 个国家，30 万台电脑中招，造成高达 80 亿 美元 的经济损失。

　　虽然单从名称和设计来看， WannaRen 有像“WannaCry”病毒致敬的嫌疑，但这次勒索只向感染人索要 0.05 个 比特币（约 2580 元人民币），并且，在病毒攻击持续了几天之后，该黑客团队的留下的比特币账户仅收到了 0.00009490 个比特币，按当前市价折合人民币仅 4.87 元。

　　奇虎 360 安全团队对此病毒进行了分析发现此次勒索软件的开发者是“匿影黑客团队”，匿影团队虽然已经是老手了，然而百密一疏，360 安全大脑同源性数据分析发现此次勒索软件的相关代码与攻击手法和此前专注于挖矿木的匿影黑客团队几乎相同，于是他们就这么暴露了。

　　随后，火绒安全创始人马刚表示对方已经通过多方主动联系到火绒，并提供了相关解密密钥。然而，并没有人知道为什么，部分网友猜测可能是担心自己暴露最后被请去喝茶，所以火速交出了密钥。

　　据悉，这名黑客叫 Shiny Hunters，他宣称入侵了微软的 GitHub 账户，并完全访问了这家软件巨头的私有存储库。同时，他还下载了该账户上近 500GB 的私有项目。数据到手后，他最初打算直接卖掉，但是后来改变主意，Shiny Hunters 决定直接泄露这些数据。

　　据悉，作为预热，Shiny Hunters 在一个黑客论坛提供了 1GB 文件，论坛注册用户则可以利用论坛信用分获取该数据。而网络安全情报公司 Under the Breach 也在黑客论坛上发现泄漏事件，并发布推文：

　　重磅消息！最近入侵过 Tokopedia 的黑客，他宣称自己有 500GB 的微软私有存储库源代码，其中大部分包含 Azure 源代码、以及 Office 和一些 Windows 运行时文件 /API。黑客是从微软的 GitHub 私有存储库窃取的这些数据。

　　通过研究泄漏数据，有一些泄露文件被发现包含中文或引用了不过，盗窃的大部分文件看起来像代码样本、测试项目、电子书和其他常规项目。并且，黑客论坛上的其他黑客对该数据的真实性存疑。

　　大体上，展示出来的泄露数据显然意义不大，因为它并不包含软件（像 Windows 或 Office）的敏感代码。因此，也有网友猜测这才是该名黑客不像微软所要赎金的原因，这些代码并不会给微软带来任何困扰。

　　事实上，今年疫情期间，全球各地的攻击事件频增。目前，全球部分地区仍未得到有效缓解，基于此，我们仍需要加强防范。建议采取以下防范措施：

　　3、尽量减少各种外部服务的暴露面（如 RDP，VNC 等远程服务），如果一定要开启的话，需要设置白名单访问策略，设置足够强壮的登陆密码，避免黑客利用远程服务攻入。

　　近日西门子公司发布了《模拟能源行业的网络攻击：事件响应手册》，该手册模拟了能源行业的网络攻击，以教育监管者、公用事业以及IT和OT安全专家。

　　由于攻击者旨在破坏关键基础设施，因此针对能源行业的网络攻击已从针对信息技术（IT）转向了运营技术（OT）。这种变化迫使能源企业重新考虑如何检测和消除威胁而不影响运营。

　　《手册》展示了对假象的电力公司的，导致全市大停电的网络攻击的响应。这样做的目的是让网络安全，IT和OT团队了解如何在压力很大的情况下进行协作和做出决策。

　　Ponemon Institute的报告称，预计在未来12个月内，全球一半以上的公用事业公司（54％）会发生OT攻击，而64％的受访者表示，复杂攻击是最主要的挑战。此外，西门子在其中解释说，OT基础架构比IT基础架构“明显更脆弱”，影响OT的漏洞对运营的破坏力更大。

　　我们身处的时代，网络攻击正愈演愈烈，特别是网络空间领域上升到网络战的战略高度之后，几乎每天都有网络攻击事件发生，而目前网络安全厂商竭尽全力开发的安全软硬件在保护个人和企业的信息安全方面始终存在差距。详细来说，现今的网络安全技术及产品只解决了安全一半的问题，更关键的另一半需要我们的网络安全技术人员在关键的时候进行干预和解决。这就对我们的网络安全技术人员提出了要求，技术人员必须能够胜任网络安全的岗位的能力并拥有对应解决问题的技能。但是当前的网络安全技能培训方法在很大程度上依赖于安全专家或网络红队，这些安全专家或网络红队为网络人员的安全培训提供了具有挑战性的培训路径和彼此磨炼战术的对手。这样的培训周期长、人力培训成本高且培训的安全专家或网络红队始终不足，无法满足大规模网络人员安全培训的技能要求；而提供的网络安全培训产品在一定程度上又无法满足实战性技能培训人才的要求。

　　面对这样的不足，市面上从事网络安全培训及产品研发的厂商也不断的在寻找和探索合适的技术和流程来解决上述不足。网络培训靶场的出现是解决这样不足的其中之一。在网络培训靶场中，安全厂商期望将安全专家或网络红队提供的培训路径和磨炼战术的对手通过软件和流程进行仿真模拟，以实现使用模拟使此培训环境自动化，并满足不断增长的网络安全人才培训需求。本文基于网络培训靶场及现今网络安全培训的当前状态，介绍了目前的安全厂商在探索解决网络安全培训需求的前瞻性研究实践。

　　根据调研的国外靶场功能情况及应用情况，目前总结的国外靶场核心功能包括构建网络仿真场景所需的：设备模块、仿真模块、流量模块、攻击模块和网络模块。设备模块需要进行大规模资源异构的逻辑编排和统一管控，其中包括虚拟设备（如虚拟机、网元等）以及实物设备等。仿真模块用于进行虚拟机器和虚拟人员的仿真，包括由此产生的用户操作行为，仿真的互联网等内容，主要通过仿真系统为网络环境创造所需仿真的真实环境的其他互动内容。流量模块用于仿真背景流量和攻击/防护流量的自动化编排和管控，用于创建安全事件，扰乱选手视线等。攻击模块用于实现渗透测试自动化编排和管控，能够智能化提高靶场用户的攻防操作训练流程及反复测试训练的效果，减少人工进行渗透测试所需的人力成本。网络模块用于网络环境的自动化编排构建和管控，包括通过可视化方式拖拽组网编排网络环境和命令方式以及配置文件方式编排网络环境。基于此，由五大模块构建的网络环境仿真，开发实现流程化的攻防演练、产品测试、风险评估、教育培训及漏洞挖掘等实际应用。

　　我们可以理解为上述五个方面的仿真模拟是网络培训靶场为实现针对真实环境进行建模元素，这些建模元素对应了真实环境中的网络、设备、流量、攻击、人员交互行为等实体。网络培训靶场实现了这些元素的仿真建模，之后将这些建模元素进行合成，构建一个逼真的真实环境。所以我们可以将网络培训靶场理解是合成的构建环境，首要的目标是模拟真实世界中的数字网络环境。有了这样的逼真仿真环境，在根据安全培训的要求构建安全事件以及培训演练流程，比如演练网络安全人员如何防御关键网络设施受到攻击，以及针对假定目标实施网络攻击。这样想来，网络培训靶场与熟悉的军事导弹、射击或飞行靶场相似，网络培训靶场为体外网络能力的使用、研究和评估提供受控和仪器化的环境。

　　接着让我们想想，传统射击靶场有了训练环境，训练选手在进行射击训练的时候，首先得有射击教练教授训练选手进行射击的技巧，然后训练选手再根据掌握的射击技巧进行射击训练，不断的射击从而达成熟练度。再此过程当中，射击靶场还会根据每次射击的精度等进行数据分析和评估，并反馈到训练选手身上，训练选手根据上次射击的反馈修正、优化射击姿势和射击角度等，从而再次进行射击训练。这个过程是仿真训练中必不可少的部分, 是确保训练正常有序运行、实现人与系统/靶场交互的关键。在军事训练靶场中，实现上述操作的是成熟的靶场导调系统。靶场导调系统保障作战模拟训练的正常运行,对训练起着十分重要且关键性的作用。它对训练系统/靶场进行导演、运行管理和控制,从而使训练系统/靶场人员能按照设计好的模式正常运转,保证训练任务的顺利完成。

　　从训练的角度来看，靶场导调系统主要从训练的整个生命周期对其进行全访问的控制和管理。我们可以将训练分为四个阶段, 即训练前的管理、训练初始化、训练中的管理和训练后的管理。其中训练前的管理包括:资源加载、网络维护、硬件检测和系统启动等;训练的初始化包括:环境初始化、网络初始化、态势初始化和实体初始化;训练中的管理包括:网络监视、数据采集和实时记录;训练后的管理包括:回放、分析统计、评估报告和结果存档等。

　　网络培训靶场之所以称之为靶场，主要是其本质和军事训练靶场一样，只不过实现的领域有所差别。所以，网络培训靶场有了实现真实环境快速复现、网络仿真和环境复制的能力，就保证了靶场的训练环境具备了基本的训练条件。接下来网络培训靶场要实现网络安全训练，就需要构建靶场导调系统对整个训练流程进行指挥和控制。在网络培训靶场中，靶场导调系统是体现人对网络安全训练进程实时控制和指挥灵活运用的核心,是实现“虚实世界交互”的主要环节,确保训练的各个环节按照预定的网络安全训练进程和设想有序高效地运行。因此,靶场导调系统主要有四项基本功能,即训练规划(配置等)、构设训练初始态势、监控训练状态、传输导调信息和命令：

　　1)训练规划(配置)功能。能够根据受训人员和训练要求的不同,有针对性地对网络安全模拟训练中的设备、网络、人员和流量等进行配置, 以此组织和实施训练, 完成不同的训练目的和训练任务。

　　2)构设训练初始态势功能。根据训练目的,制定安全模拟训练想定,规划训练流程,完成脚本编辑,并对需要参与训练的设备、网络、人员和流量等进行初始化, 并对所参与的实体进行态势的初始化。

　　3)监控训练状态功能。在训练进行中,通过可视化的手段和方法对训练态势和受训人员的现场进行监控。

　　4)传输导调信息和命令功能。作为“虚实世界交互”的重要体现, 可以通过人机交互形式对训练过程进行干预和调整,引导训练进程,达到训练目的。

　　在网络培训靶场中，根据调研的国外靶场功能情况及应用情况，主要由构建的网络培训靶场白方系统来承担和包含传统军事靶场的导调系统。网络培训靶场中，靶场导调系统隶属于白方系统,它主要和脚本编辑与生成系统、运行管理成员、运行监控成员、导调成员、态势显示成员、数据采集成员配合完成对红蓝方队成员行为的引导和调整,确保训练按预定的剧情顺利展开,并为训练评估提供数据支持。我也看见有些靶场建设建设方也直接将靶场导调系立出白方系统的模式，但是不管如何，从网络培训靶场角色的职责设立上看，靶场导调系统是归属靶场白方系统的一个工具和子系统，是白方系统或白队成员实现靶场训练的有力管控工具。

　　具体的例子：以色列的Cyberbit是践行和探索该体系较为成为的培训厂商之一。所以在网络靶场成为培训新的市场关注点后，成功成为全球销售靠前的网络培训靶场。Cyberbit的“网络培训靶场”产品组件包括：

　　虚拟化网络 - 模仿真实网络的副本，包括主机节点、交换机、路由器、数据库、服务器和最终用户设备，以及公共互联网等。

　　攻击引擎 - 以自动化和可重复的方式向虚拟化网络发起各种网络攻击，攻击引擎模拟DdoS、勒索软件、网络钓鱼、数据泄露和网络破坏等攻击场景。（即红队自动化工具，也可人工手动进行攻击）

　　流量生成器 - 模仿普通企业网络的自然背景流量和“威胁流量”，目前该组件可生成电子邮件和Web浏览流量。

　　感兴趣的可关注了解他们的培训流程，很好的将军事靶场的导调系统运用到网络培训靶场培训领域，明晰网络安全培训的流程。由于Cyberbit Range率先在业界提供明晰的培训流程，因此其在新兴产品解决方案中占据大部分购买力市场。从企业角度来说，企业购买Cyberbit Range主要用它来改变企业自身的网络安全培训方式；从服务提供商角度来说，购买Cyberbit Range主要用它来提供培训服务；此外，大学也是Cyberbit Range的主要购买力客户。

　　在网络培训靶场在培训和竞赛领域获得较为成熟的应用后，在其他方面也跟进尝试探索，比如取证、欺骗防御。在这其中，网络培训靶场即服务（CyRaaS）是和公有云结合进行新的商业模式的探索。2018年9月，Cyberbit和CloudRange宣布了第一个商业化的网络攻击模拟培训平台即服务（CASTaaS）。CloudRange培训可以远程进行，也可以在客户现场进行，由CloudRange讲师进行管理。培训课程的范围从入门到高级，涵盖最重要的安全方案，包括事件响应、取证、工业控制系统（ICS）攻击以及自定义方案功能。网络培训靶场即服务（CyRaaS）可以使“逼真的仿真环境”场景可以在封闭的虚拟网络中作为Web应用程序使用，这种使用模式也符合现今主流的软件使用方式。该网络培训靶场即服务（CyRaaS）由CyberbitRange和CloudRange的网络安全仿真培训能力相结合，提供了通过模拟系统体验网络安全专业人员的操作感受，并为这些训练课程提供了评估和数据分析功能，可通过课程学习和实验训练的跟踪反馈来提高学习质量。

　　2019年，Cyberbit也上线了自己的网络培训靶场即服务（Cyberbit Cloud Range）。此外，美国Circadence公司上线了基于Project Ares®战神项目的网络培训靶场即服务（CyRaaS）。美国Circadence公司在云环境中为其网络培训靶场即服务（CyRaaS）提供模板和工具，以构建模拟环境以仿真实际场景。网络培训靶场即服务（CyRaaS）允许通过模板来复制“真实”网络，“真实”企业甚至“真实”城市，或用户也可以自定义构建旨在与其企业相似的定制环境。

　　网络培训靶场即服务（CyRaaS）将培训能力作为一项服务提供，即学即用，这种模式也正在成为当今网络安全的巨大趋势之一。优势体现是哪里呢？在我看来：

　　公有云会为我们提供上述的便捷性和安全性。当然公有云也可能遭受到黑客攻击，也会有漏洞。但是公有云的组件足够标准化，安全相对于本地的靶场虚拟化环境的安全性会相对较好。另外，实验性质的许多软件，采用云模式的即用即付模式，不用掏大笔的第三方软件许可的钱，只需要购买服务实验的时间的钱即可。网络培训靶场上云和传统IT环境上云的好处我觉得是差不多的，因为云的本质就是这样的商业模式。经过多年的实践的经验和国外的研究来看，云基础设施通常比本地虚拟化更安全，从而导致使用网络培训靶场即服务成为更安全的选择，唯一不足的是会牺牲数据的私密性。

　　虽然通过网络培训靶场实现了部分培训的自动化，但是我们发现是不是每次进行训练的时候靶场导调部分还是需要白队成员进行整体的训练的控制与管理。在大规模进行训练的情况下，靶场导调白队成员也会需要巨大的人力成本。并且训练的反复的演练和校正，靶场导调白队成员很难一直陪着训练选手进行训练，人不是机器，人对于如此枯燥无味的重复天然的具有拒绝情绪。因此，如何解决如此反复枯燥无味的训练呢？我们说人工智能是机器的兴起，是机器代替人类来实现重复枯燥无趣的工作的特征之一。因此解决其实从两个层面来解决：

　　科学技术的革新始终在推动时代巨轮轰鸣向前。随着游戏和人工智能的软硬件技术的成熟，比如在技术和工程层面，通过硬件能够实现针对游戏和人工智能的专用芯片、各种专用硬件卡、网络IO等的成本下降和技术成熟，这些基础能力构成了通过游戏和人工智能实现网络安全培训和发展的技术前提。而通过游戏和AI进行网络安全培训的发展也终将会随着相关软硬件技术、社会价值和商业模式的发展成熟而瓜熟蒂落。

　　人工智能（AI）和机器学习（ML）的出现也起到了弥补知识和能力差距的作用。使用AI和ML可以帮助人类处理大量信息，以指导用户做出最佳决策。目前全球大量的网络安全公司正在研发基于人工智能（AI）和机器学习（ML）的产品，目前比较常用的领域是基于Endpoint Detection andResponse（EDR）的产品，比如FireEye、Carbon Black、Guideance、Cybeeason、Symantec、RSA、Webroot，McAfee、Sophos和VIPRE等公司的产品，这些产品使用端点和网络监视数据，并使用机器学习（ML）的处理引擎来提供分析、检测、调查、告警和生成报告。

　　将人工智能（AI）和机器学习（ML）和网络培训靶场相结合时，人工智能（AI）和机器学习（ML）工具提供的智能学习信息将用于帮助网络培训靶场内的用户在仿真过程中做出决策或指导其训练操作。也就是我们上述提到的通过人工智能（AI）和机器学习（ML）实现部分的白队成员的导调功能自动化、智能化。现阶段当然不能够完全替代，但是辅助白队成员完全是可能的。比如重复的训练就完全不需要白队人员再次进行监督导调，利用人工智能（AI）和机器学习（ML）助手完全可以实现监督导调功能。此外，人工智能的另外一大应用就是聊天机器人，在网络安全训练中引入AI聊天机器人，可用于在模拟过程中指导用户如何处理事件或提供有关如何实现所选事件的更多信息。AI聊天机器人做得足够好，可以部分的替换掉靶场训练教练的角色。目前调研的结果来看，几乎所有的公司具使用其作为辅助助手，尚未完全取代掉人的角色和地位。时机成熟，我们可以期待！

　　Project Ares®战神项目是由美国Circadence公司开发的一款网络安全培训平台，该平台结合云计算提供仿真的真实网络环境，集成网络进攻/防御工具，大量实际环境仿真的任务场景库以及人工智能组件，人工智能组件为学员提供按需支持和反馈信息互动，并通过自动评分和动态跟踪，大大减少教师的工作量。Ares项目采用模块化架构，使平台能够快速，轻松地添加新的任务，以应对快速变化的威胁、战术和工具。Project Ares®战神项目中有一个依赖AI技术的游戏中顾问，用于提供训练的指导和训练进度的跟踪和评价。此外。ProjectAres®战神项目的游戏化机制旨在增加用户练习任务的兴趣。

　　美国Circadence公司是一家网络安全公司，该公司成立于1995年，主要工作内容是提供在线游戏内容制作，主要产品是VR-1，最初为包括美国在线游戏频道和德国电信在内的客户制作并发布了在线视频游戏。该公司是最早开始大规模开发多人游戏的公司之一，并于1996年至1997年间发布了包括Air Attack和SARAC在内的游戏，并首次进入美国全国市场。2000年，公司更名为Circadence，专注于可加速应用程序性能的软件。Circadence于2001年2月将VR-1娱乐部门出售给了盈科数码日本公司。

　　2005年，Circadence在密西西比州的图珀洛开了第二间办公室。2005年到2008年间，公司的收入增长了四倍，在此期间，Circadence开发了名为CircadenceMVO™的应用优化技术。从一线分支机构到企业数据中心，MVO评估、批准和实施用于应用加速领域，以支持美国国防部，美国联合部队司令部，美国国土安全部，美国陆军，美国海军和美国海军研究实验室。其他客户还包括美国政府，州和地方执法部门，急救人员，卫星传输用户，远程办公企业，农村和城市卫生机构以及需要确保运营连续性的研究机构。

　　2010年，由于威胁和入侵模式的复杂性日益高涨，加上政府重视并投资扩大国家网络安全机构，Circadence的业务发展将重点转移到下一代网络安全解决方案—网络靶场（Cyber Range）。该公司开始开发其网络靶场（Cyber Ranges）产品，为网络测试和评估社区构建、管理和维护提供工具和平台。

　　在2016年，Circadence推出项目战神®下一代的网络安全培训平台，利用该公司的软件和大型多玩家游戏的发展历史，以及其应用优化的深刻理解。Ares项目为政府，军事，商业和关键基础设施的网络安全团队提供了一个完全身临其境，由AI支持的专有网络安全培训平台。

　　Derezzed Inc.的游戏化安全培训平台全称为ThreatGEN™Redvs.Blue，是业界第一款多玩家策略计算机游戏，玩家可以相互竞争，控制/维持对计算机网络的控制。这不是像消费者游戏市场那样的基于虚构的游戏应用。这是一个基于模拟仿真现场工控环境，玩家与玩家“游戏化”的训练模拟器，旨在教授身临其境的互动应用学习环境中的网络安全技能。在该网络安全游戏中，具有很多传统游戏的功能，比如单人对阵计算机AI（红队或蓝队），1对1互联网和本地热门排行的多人游戏挑战、跨平台的多人组队游戏、初学者教程等等。ThreatGEN：Red vs. Blue是一款回合制战略游戏，与流行的棋盘游戏非常相似。“游戏板”不是世界地图，而是由计算机网络组成，玩家争夺控制权。玩家使用类似于交易卡游戏的“动作卡”来选择和提交动作，该计算机网络不是虚拟的计算机终端，而是基于真实服务器硬件仿线D建模渲染的物理反馈。该计算机游戏完全继承了传统游戏的游戏化设计并结合到网络安全技能培训内容中。

　　Derezzed Inc.（dbaThreatGEN）是一家美国小企业，位于休斯顿德克萨斯州，目前专注于新兴技术应用领域，从事网络安全（工控安全）培训、工控安全服务咨询及工控安全威胁监控的解决方案。在网络安全（工控安全）培训服务中，该公司使用先进的计算机游戏引擎构建了网络安全（工控安全）培训平台，使得该平台基于游戏化的规则结合开发的系列工控安全培训课程TGICS101、TGICS201和TGICS301进行工控安全培训。该公司创立时间比较久远，公司的产品和技术方向也跟随这最新技术的发展而不断变化。相对于工控安全领域，该公司是新人，在技术创新上，采用目前最流行的网络安全游戏化和人工智能化培训模式构建网络安全（工控安全）培训课程及体系。

　　在2019年下旬，Cyberbit Range做了最新的版本更新，主要改进的新功能主要包括两点：

　　Cyberbit Range的新版本增加了两个主要的新功能。第一个是Virtual Instructor，一个AI驱动的虚拟教练，在整个事件响应过程中评估受训者的表现。在Cyberbit Range之前的3.5及更早版本上，针对受训者的表现评估是通过比较简单的特定几个维度的星级评价来实现的，这些评价通常情况下是由Cyberbit Range的教练来完成的。在CyberbitRange的教练控制台中，CyberbitRange能够通过虚拟桌面重影来实现对受训者的操作界面进行实时监控，通过人为的方式来对受训者的操作技能及熟练度进行打分评价。在引入虚拟教练后，虚拟教练根据学员完成任务，比如在检测、响应和修复威胁方面的进展，以及红队的完成进度，虚拟教练自动化进行数据采集和分析，并根据指标进行自动化评估评价。虚拟教练添加了一些自动化的操作过程反馈和自动化评价功能，并部分的解放了训练管理教练的控制管理压力。在Cyberbit来看，虚拟教练是人类教练的补充，是人类教练的人工智能助手。

　　另外一个新功能是：增加了网络安全游戏化机制及攻击场景。在网络安全游戏化方面，根据目前市面上最新的网络安全培训游戏化理念而改进或新增的功能，主要是通过游戏化的方式增加学习和训练网络安全技能的趣味性。

　　如果我将网络培训靶场进行技术成熟度分类，我倾向于将培训靶场分为三个阶段，分别是V1.0时代，2.0时代和3.0时代。

　　网络培训靶场V1.0时代的特征是实现了网络培训靶场中网络空间的仿真建模，并且能够自动化、快速、大规模的复制真实生产环境。这些仿真建模的对象包括网络、设备、流量、攻击、人员交互行为等实体。网络培训靶场V1.0时代我总结归纳来看，通常可以描述为四个关键元素的组成，它们经过扩展和量身定制以满足靶场的特定要求。

　　设施： 承载通用数据中心服务（例如机架空间、电源和冷却设备）的物理站点。 特定于靶场的其他设施可能包括操作员培训和训练空间。

　　资产： 满足计算要求所必需的计算和网络设备（例如服务器、路由器和负载均衡器）的集合。 特定于靶场的其他资产可能包括特定的目标系统，战术或任务系统以及相关的基础结构。

　　人员： 核心数据中心服务运营商团队，例如系统管理员、工程师和管理人员。 扩展靶场的团队可能包括测试设计工程师、分析和建模专家、作战领域专家以及红队模拟器等。

　　流程： 保持数据中心运行的业务流程的集合，例如变更配置管理、安全性程序和策略以及客户管理。 靶场特定的扩展过程包括靶场活动（例如流量生成）、仪器和隔离等。

　　通过物理及虚拟的元素将真实环境在网络空间中建模仿真并复现相似架构，基于此开发流程化的攻防演练、教育培训等特定应用系统对其进行运营和使用。能够具备这一能力的网络培训靶场可算是网络培训靶场V1.0时代的产品和技术。

　　网络培训靶场V2.0时代的特征是基于V1.0基础上，能够实现安全事件想定的智能化、靶场导调的流程化、任务评估与推演的自动化。即实现基于V1.0基础上“三化”。

　　安全事件想定的智能化需实现安全事件想定的智能化设定和建模。想定(Scenario)原意是脚本、剧本。在军事领域是指挥员将作战意图转化成的具体的作战实施计划和方案。想定作为作战计划和方案, 是为满足作战需要而出现的, 是对实际作战过程的预想, 是进行指挥作战不可缺少的一环。网络培训靶场的想定成为安全事件想定，网络空间靶场在建模靶标环境后，后续就需要根据需要进行安全事件的数字想定，也就是建立安全事件的想定模型。网络空间靶场本质上就是要仿真模拟安全事件，并安全事件进行一系列的操作。安全事件想定模型不但秉承了想定关于安全事件的所有内容, 而且为了服务于仿真, 安全事件想定模型包含了描述的设计安全事件运行的所有内容，比如邮件系统、点击触发的URL及用户点击行为、物理实体等都要被真正的可运行的仿真模型来建模执行。灵活多样的安全事件想定模型, 意味着靶场能够完成更多的仿真目标, 更具有逼真性; 安全事件想定模型的快速开发和智能化构建, 也意味着靶场系统设置或置备一场训练的速度和能力也就越是快速和便捷。

　　靶场导调的流程化主要通过导演和调理的手段对训练中的各环节进行控制，把预期的安全事件想定和训练中的临时事件作为导入情况，让受训人员判断或解决这些问题。完成训练管理、人员管理、导调干预、数据汇总等功能。此外，导调功能还必须流程化裁决功能，利用现代梳理分析手段，按照胜负裁判规则和成绩评定标准，对受训人员训练质量进行的评价和裁判。主要对“红、蓝”双方组织指挥与行动进行定量和定性分析。裁决方式以系统自动裁决为主、人工裁决为辅，内容包括对抗结果裁决和行动过程裁决。

　　任务评估与推演的自动化需实现针对网络侦查工具、攻击工具、防御设备以及支撑保障设备做出综合性效果、性能评估；对演练、对抗过程中战术、技术、过程做出评估，给出综合的分析结果及建议；对业务进行过的任务进行可视化过程推演和溯源分析。此外，根据训练要求或考核指标，对不同的训练科目、内容和对象，针对训练过程中反映出的组织和实施情况进行系统回顾和检讨讲评。通过效果评估，全面分析训练活动，准备掌握训练现状和整体训练能力水平，查找训练中的问题，分析出现的原因，制定针对性的改进措施。

　　网络培训靶场V3.0时代的特征是基于V2.0基础上，实现人工智能、机器学习及游戏化机制等在内的更高层次的自动化和趣味化。典型的是在网络培训靶场中使用人工智能技术代替人力进行导调、裁决、跟踪、评价等功能，并基于人工智能、机器学习推理等建立“无剧本”式的培训环境和安全事件。此外，还得在网络培训靶场运用游戏化的机制来提升培训人员的积极性，增加对网络培训的保留和兴趣，游戏化模块将为保持良好行为提供奖励和激励，鼓励与同龄人讨论汲取的教训，对他们尚未学习或与之斗争的知识负责，并通过人工智能技术的监督参与其进步状态跟踪和评判。返回搜狐，查看更多