[发明专利]一种网络安全靶场系统及其运行方法

说明书

本发明提供了一种网络安全靶场系统及其运行方法,基于可编程光通道系统，构建了能接入保护验证系统、模拟攻击系统、评估分析系统以及车载和地面目标业务系统等多种物理设备的一体化网络安全靶场系统，模拟网络系统运行的真实状态，提高了网络安全靶场系统使用场景的多样性、扩展性以及可靠性；并且无需人工配线操作，实现了对网络安全靶场系统中的多种真实物理设备或系统进行快速的拓扑构建、切换和管理，提升了网络安全攻防演练灵活性和运维效率。

技术领域

本发明涉及网络安全领域，尤其涉及一种网络安全靶场系统及其运行方法。

背景技术

网络安全靶场系统是一种可提供实际攻防环境的在线部署应用，能够为使用者提供多功能、多样化的网络安全实战场景；使用者则通过不同层次的安全攻防演练靶场环境，加深对网络安全的认识，提升网络安全防护水平。现有技术多将传统的安全数据网加载至虚拟环境中，构建一个网络安全靶场系统。例如：基于OpenStack云计算技术搭建网络攻防平台，利用OpenStack中的计算服务(即Nova)实现网络攻防平台中接入集群和靶场集群的构建，利用OpenStack中的对象存储服务(即Swift)实现场景及相应的存储功能，利用OpenStack中的镜像服务(即Glance)实现攻防平台中场景的快速切换，并同时配合网络IP规划和VLAN配置等操作构建完备的网络安全靶场系统。传统的安全数据网则主要为轻量级系统、攻防系统、目标系统等各子系统之间通过配线连接组网形成，每条接线的端口均需手动配置，如配置一个具有10个节点的网络环境，需要在各节点间人工连接168根线缆；基于安全数据网构建的网络安全靶场系统在网络安全攻防演练过程中，也需要人工进行反复的网线插拔和复杂的组网工作，才能实现不同网络环境下的攻防模拟需求。

由于计算机技术、网络技术和通信技术的迅速发展，大量的信息化和数字化组件被引入到网络之中，这使得原本网络节点间固有的物理隔离被打破，网络系统整体运行效率和自动化程度大大提升。但是，现有的网络安全靶场系统在使用过程中仍需要人工进行组网，操作复杂，无法及时高效地进行网络安全攻防演练拓扑环境的搭建和切换运行，降低了网络安全靶场系统试验各种网络保护技术可行性和有效性的效率，使得网络系统面临的威胁日益严峻，其安全风险也日益突出。

发明内容

为了解决现有技术中网络安全靶场系统的组网和系统切换需要人工进行操作，并且操作复杂、效率低下的问题，本发明提出了一种网络安全靶场系统及其运行方法。

一种网络安全靶场系统及其运行方法，所述系统包括：可编程光通道系统、保护验证系统、模拟攻击系统、评估分析系统和目标业务系统，其中，所述可编程光通道系统用于构建网络安全靶场各子系统间的网络拓扑，并实现所述网络拓扑的动态切换；所述保护验证系统用于对目标业务系统建立网络安全防护体系，并更新所述网络安全防护体系；所述模拟攻击系统用于对所述目标业务系统执行模拟攻击；所述目标业务系统用于作为所述模拟攻击系统的模拟攻击对象以及所述保护验证系统的安全防护对象；所述评估分析系统用于对所述模拟攻击系统、保护验证系统和目标业务系统之间的攻击和防护数据进行采集、存储、评估和分析。

进一步的，所述可编程光通道系统包括控制平台模块，所述控制平台模块用于提供用户操作界面和管理控制可编程光通道模块，所述控制平台模块包括网管服务器、控制器和网管终端，其中，所述网管服务器用于运行系统管理软件、生成和管理网络物理连接配置表、根据业务系统的目标拓扑创建拓扑案例连接表并管理所述拓扑案例连接表，以及根据网络物理连接配置表和拓扑案例连接表，生成L2VPN通道表；所述控制器用于根据所述L2VPN通道表生成SDN流表；所述网管终端用于向用户提供操作界面、对所述系统管理软件进行操作。

进一步的，所述可编程光通道系统还包括可编程光通道模块，所述可编程光通道模块用于获取所述控制器发送的SDN流表，根据所述SDN流表构建L2VPN通道以连接其他系统，所述可编程光通道模块包括交换机阵列和交换设备之间的连接光纤，其中，所述交换机阵列包括一组或多组交换设备，所述一组或多组交换设备设置于所述可编程光通道系统的节点处。