ICS35.240.01
CCS L67
YD
中 华 人 民 共 和 国 通 信 行 业 标 准
YD/T 4593—2023
网络空间安全仿真 平台试验操作要求
Cyberspace security emulation——Requirement for platform experiment operation
2023-12-20发布 2024-04-01实施
中华人民共和国工业和信息化部 发 布
YD/T 4593—2023
目 次
前言……………………………………………………………………………………………………………………………………………………………………………………………………………………。.Ⅲ
1 范围………………………………………………………………………………………………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………………………………………… 1
3 术语和定义………………………………………………………………………………………………………………………………… 1
4 缩略语……………………………………………………………………………………………………………………………………………… 1
5 概述…………………………………………………………………………………………………………………………………………………… 2
6 导调方操作要求…………………………………………………………………………………………………………………………… 2
6.1 登录……………………………………………………………………………………………………………………………………………… 2
6.2 试验任务方案想定………………………………………………………………………………………………………… 2
6.3 试验设计权限………………………………………………………………………………………………………………………… 2
6.4 试验过程管理配置……………………………………………………………………………………………………… 2
6.5 试验归档和资源释放…………………………………………………………………………………………………… 2
7 平台管理方操作要求………………………………………………………………………………………………………………… 3
7.1 登录………………………………………………………………………………………………………………………………………… 3
7.2 试验环境搭建………………………………………………………………………………………………………………………… 3
7.3 试验过程监控……………………………………………………………………………………………………………………… 4
7.4 仿真模拟…………………………………………………………………………………………………………………………………………………… 5
8 攻击方、防御方操作要求………………………………………………………………………………………………………………… 5
8.1 登录…………………………………………………………………………………………………………………………………………… 5
8.2 攻防环境搭建…………………………………………………………………………………………………………………………………… 5
8.3 试验过程操作………………………………………………………………………………………………………………………………………… 5
9 评估方操作要求………………………………………………………………………………………………………………………… 6
9.1 登录…………………………………………………………………………………………………………………………………………………………………………………… 6
9.2 安全检测设备部署…………………………………………………………………………………………………………… 6
9.3 采集配置与探测……………………………………………………………………………………………………………………………………………………… 6
9.4 检测结果监控……………………………………………………………………………………………………………………… 6
9.5 出具评估报告…………………………………………………………………………………………………………………………………………………………………… 7
、
YD/T 4593—2023
前 言
本文件按照GB/T1.1—2020《标准化工作导则 第一部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国通信标准化协会提出并归口。
本文件牵头单位：鹏城实验室、广州大学网络空间先进技术研究院、哈尔滨工业大学。
本文件参与单位包括：中国电信集团有限公司、国家计算机网络应急技术处理协调中心、四川亿览态势科技有限公司、中国信息通信研究院、华信咨询设计研究院、湖南星汉数智科技有限公司、中汽创智科技有限公司、北京理工大学、博智安全科技股份有限公司。
本文件主要起草人：贾焰、李树栋、向文丽、韩伟红、胡宁、陶莎、柳扬、顾钊铨、罗翠、周密、林文辉、冯禹铭、曲博、黄九鸣、李润恒、安伦、王帅、谢玮、贺敏、杨树强、丁勇、崔涛、孙小平、杨彦召、薛信钊、危胜军、傅涛、杨刚。
Ⅲ
YD/T 4593—2023
网络空间安全仿真 平台试验操作要求
1 范围
本文件提出了网络空间安全仿真平台试验操作要求，包括导调方、平台管理方、攻击方、防御方、评估方五方的操作要求。
本文件适用于通过网络空间安全仿真平台进行试验的各方的操作要求。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
YD/T 4587—2023 网络空间安全仿真 术语
3 术语和定义
YD/T4587—2023界定的以及下列术语和定义适用于本文件。
3.1
有效攻击检测 effective attack detection
根据资产、漏洞、攻击的多维关联关系进行关联分析，检测出攻击作用于资产真实存在相关漏洞的攻击。
3.2
工程快照 project snapshot
对当前状态的工程内多个虚拟机的保存。一个工程快照包含多个虚拟机在当前时刻点的快照。
4 缩略语
下列缩略语适用于本文件。
IDS 入侵检测系统 Intrusion Detection Systems
KVM 基于内核的虚拟机 Kernel-based Virtual Machine
VLAN 虚拟局域网络 Virtual Local Area Network
1
YD/T 4593—2023
WAF 网站应用级入侵防御系统 Web Application Firewall
5 概述
网络空间安全仿真平台的试验操作要求，分为导调方、平台管理方、攻击方、防御方、评估方5方的试验操作要求。导调方作为组织体系，负责活动的组织策划和导调；平台管理方作为支撑体系，负责基础模拟仿真环境建设；攻击方作为攻击体系，是网络空间攻防体系的攻击一方；防御方作为防守体系，是网络空间攻防体系的防守一方；评估方作为评估体系，负责对收集到的试验数据与攻防情报进行分析，对攻防效果进行评估。本文件将分别从这5方提出操作要求。
6 导调方操作要求
6.1 登录
导调方应根据用户手册提供的导调方登录入口接入系统。
6.2 试验任务方案想定
根据需求方提出的需求，导调方需根据场景需求完成制定试验任务方案想定。试验任务方案想定内容包括：试验基本情况、人员组织、网络拓扑、资源分配、靶标设计、预装软件、任务制定、采集及检测范围、分析及评估对象等。
6.3 试验设计权限
导调方应具备创建试验、创建试验任务方案、修改试验任务方案、试验过程监控、试验过程控制、试验回放、试验重建的权限，根据需要，对试验设计的权限进行设置。试验管理应具备对所有试验设计管理的权限。
6.4 试验过程管理配置
导调方应制定一套试验任务流程，来制定试验流程中的各种任务。导调方根据用户使用手册指引，按照试验任务方案对试验过程进行详细设计与配置，包括试验运行、暂停、恢复时需要完成的任务配置。
6.5 试验归档和资源释放
试验完成后，导调方应根据用户使用手册进行试验归档和资源释放操作。
a） 试验归档：导调方根据用户使用手册登录试验归档界面，执行试验归档操作。
b）试验重建：导调方根据用户使用手册登录试验重建界面，根据归档的试验对试验进行重建。
c） 资源释放：试验结束后导调方根据用户使用手册登录资源释放界面，释放试验占用的所有资源。
2
YD/T 4593—2023
7 平台管理方操作要求
7.1 登录
平台管理方应根据用户手册提供的平台管理方登录入口接入系统。
7.2 试验环境搭建
7.2.1 网络拓扑设计
平台管理方结合不同的需求与系统实现情况，设计满足试验运行的网络拓扑，包括试验工程创建、试验工程权限分配、试验环境拓扑搭建、试验网络配置、网络节点分配、网络节点参数配置、集群配置、网络节点批量创建、实物设备接入、试验环境部署以及清空部署等功能。
a） 试验工程创建：可以用多种方式创建工程，包括创建空白工程、根据模板创建工程、根据文件导入工程以及根据设备分布创建工程。
b）试验工程权限分配：试验设计可修改工程权限或者所属分区，供不同的试验使用。
c） 试验环境拓扑搭建：试验设计根据网络靶场提供的资源，采用拖拽式/脚本配置等方式，快速清晰的设计出网络拓扑结构，并且试验设计可使用备注功能，方便其他设计能快速了解设计思路，易于后续维护。
d）试验网络配置：试验设计根据试验计划，配置试验网络相关参数，包括以下配置：基础信息配置、IP地址配置、VLAN划分、子网配置、端口配置、外部链接配置以及链路配置。
e） 网络节点分配：试验设计根据参赛队伍，分配并配置网络节点，包括队伍名称配置、图标配置、队伍配置、描述配置、自定义属性配置。
f） 网络节点参数配置：网络节点包括客户机、服务器、IDS、WAF等多种样式，试验设计在试验设计系统中配置网络节点的基本属性配置、操作系统配置、镜像配额、可用域、用户数据和元数据、网络端口配置等内容进行详尽的配置。
g）集群配置：试验设计可使用集群配置方式，以指定的已配置的虚拟机为模板，批量复制配置，并同步分配虚拟机。
h） 网络节点批量创建：试验设计可使用集群配置方式，以指定的已配置的虚拟机为模板，批量复制配置，并同步分配虚拟机。
i） 实物设备接入：试验设计参考用户使用手册在试验中接入实物设备。
j） 试验环境部署：网络拓扑完成创建和网络信息配置后，进行拓扑部署操作。试验设计通过部署页面实时监控部署进度、设备类型、部署状态以及取消部署操作。
k）试验环境清空部署：试验设计在工程部署过程中，可以根据需要选择取消部署过程。
7.2.2 攻击方、防御方虚拟机分配
平台管理方应根据试验计划给攻击方、防御方分配接入网络靶场的虚拟机，以及修改攻击方、防御方虚拟机，以及删除攻击方、防御方虚拟机的功能。
a） 势力方创建（即队伍持有方）：根据用户使用手册指引按照不同的需求创建多种势力方，可以根据不同的场景增加、删除及修改势力方。
3
YD/T 4593—2023
b）用户接入组创建：根据用户使用手册指引按照不同的需求创建用户接入组，可以根据不同的场景增加、删除及修改用户接入组。
c） 试验使用虚拟机分配：试验设计可以根据不同的需求，把虚拟机资源分配给不同的队伍和不同的试验使用，创建用户接入组，给用户分配机器。
d）试验使用权限：试验使用应仅具备连接已分配的虚拟机的权限。
7.2.3 试验任务配置
试验任务配置应对试验任务中各项任务进行配置。平台管理方根据用户使用手册指引，按照试验计划对任务配置进行添加、删除、修改、导入、导出等操作，任务包括：带外采集任务、流量采集任务、文件写入任务、循环读任务、执行命令脚本任务、元数据任务、数据通道任务等。
7.2.4 试验过程备份配置
平台管理方需对试验场景内的虚拟机快照、工程快照进行定期备份。
a） 虚拟机快照：平台管理方根据用户使用手册指引配置虚拟机快照，并可将对应的虚拟机恢复到保存快照时的状态。
b） 工程快照：平台管理方根据用户使用手册指引可选择部分或者全部虚拟机创建快照。
7.3 试验过程监控
7.3.1 虚拟资源监控
平台管理方应根据用户使用手册指引登录虚拟资源监控页面，实时查看虚拟资源的相关信息和状态，虚拟资源出现错误状态时，可快速查找错误原因以及及时恢复。
a） 可用域资源监控：平台管理方根据用户使用手册指引登录可用域资源监控页面，可查看当前的可用域中虚拟机的数量、虚拟机异常的数量、主机的数量、主机异常的数量等内容，实时监控可用域资源使用情况。
b）虚拟机资源监控：平台管理方根据用户使用手册指引登录虚拟机资源监控页面，可查看KVM和Docker的运行情况及数量变化等，实时监控虚拟机资源使用情况。
c） 工程资源监控：平台管理方根据用户使用手册指引登录虚拟机资源监控页面，可查看工程部署状态、工程下各虚拟机状态、物理资源使用量等，实时监控工程资源使用情况。
d）镜像资源监控：平台管理方根据用户使用手册指引登录镜像资源监控页面，可查看镜像类型、镜像数量、以及镜像需占用的资源，了解系统提供的镜像信息。
e） 模版资源监控：平台管理方根据用户使用手册指引登录模版资源监控页面，可查看工程模板、网络模板、虚拟机模板、图标模板、任务模板，了解系统提供的模版信息。
7.3.2 试验环境监控
平台管理方需对试验环境进行监控，包括用户接入监控，平台告警信息监控，用户操作监控。
a） 用户接入监控：平台管理方根据用户使用手册指引登录用户监控页面，可查看平台的用户总人数及当前在线人数，实时监控用户资源使用情况。
4
YD/T 4593—2023
b）平台告警信息监控：平台管理方根据用户使用手册指引登录告警资源监控页面，实时查看系统告警信息。
c） 用户操作监控：平台管理方根据用户使用手册指引使用录屏回放，可查看试验使用试验过程中的所有操作。
7.4 仿真模拟
7.4.1 背景流仿真
平台管理方根据用户使用手册指引，部署包括全虚拟化/轻量级虚拟节点的背景流仿真仪表、实物背景流仿真仪表、背景流量仿真节点接入到目标网络中；使用背景流量模型生成不同类型的背景流量注入到目标网络中。
7.4.2 前景用户行为仿真
平台管理方根据用户使用手册指引，在试验场景中根据可视化界面下发的工作流模拟正常用户对应用序列的操作以及某一应用功能序列的操作。
8 攻击方、防御方操作要求
8.1 登录
攻击方、防御方应根据用户手册提供的攻击方、防御方登录入口接入系统。
8.2 攻防环境搭建
攻防环境搭建，攻击方、防御方应根据试验任务、试验数据、获取到的虚拟资源或者实物资源等搭建攻防试验环境。
a） 基础资源获取：基础资源包括虚拟资源和实物资源。攻击方、防御方根据团队分工及制定的攻防计划，确定资源使用情况，同时向管理员申请分配资源。
b）基础环境配置：基础环境配置指虚拟机配置。攻击方、防御方可登录虚拟机，参考靶场用户手册，对虚拟机进行查询和准备操作。
c） 攻防环境搭建：攻击方、防御方可在虚拟机中安装试验需要的工具或者部署自动化攻防演练环境。
8.3 试验过程操作
试验过程操作，应对试验执行阶段进行操作。攻击方、防御方应根据设计的试验环境，执行攻防演练、安全评估、科学研究等试验任务。
a） 基础环境配置：攻击方、防御方根据试验过程中资源使用情况，向平台管理方申请调整资源。
b） 攻防环境配置：攻击方、防御方根据试验过程中攻击情况或者防御情况，重新配置和完善攻击环境或者防御环境。
c） 试验数据查询：攻击方、防御方根据攻防结果可查询试验反馈数据。
5
YD/T 4593—2023
9 评估方操作要求
9.1 登录
评估方应根据用户手册提供的评估方登录入口接入系统。
9.2 安全检测设备部署
评估方根据数据采集需求，按照部署手册、用户手册指引，部署终端带内检测探针、流量检测设备、资产与漏洞检测设备。
9.3 采集配置与探测
评估方设定采集的范围，明确需要采集的数据内容，对虚拟机日志和资产状态数据和流量进行采集配置；对资产与漏洞进行配置和探测。
a） 日志资产采集：评估方通过配置虚拟机日志与资产采集任务来获取目标网络虚拟机上的日志、资产状态数据。
b）流量采集：评估方通过配置流量采集任务，对试验网络流量数据进行多种条件的过滤采集。
c） 资产与漏洞探测：评估方通过配置资产与漏洞探测获取资产与漏洞信息。
9.4 检测结果监控
9.4.1 安全事件检测监控
评估方根据用户使用手册指引登录安全事件检测监控页面，实时查看安全事件检测结果的相关信息和状态。
9.4.2 有效攻击检测监控
评估方根据用户使用手册指引登录态势可视化展示页面，实时查看有效攻击检测结果和状态。在试验运行实施阶段，对攻防对抗过程、安全产品在线评测的安全检测过程进行实时评估。在试验分析评估阶段，对攻防对抗效果进行评估，并输出安全检测报告。
9.4.3 态势展示
评估方通过配置可视化界面，用户可直观看到试验过程中所发生的各种网络攻击事件的攻击过程、攻击事件、攻击信息实时播报、被攻击资产的统计信息、攻击节点信息排行、被攻击节点信息排行、漏洞情况，以及资产总体情况。
a） 地区展示：评估方通过配置态势展示界面节点与地图地理位置的映射关系，模拟不同地区的态势展示。
b） 图表展示：评估方按需配置态势展示界面各种图表，丰富态势可视化效果。
c） 网络拓扑位置调整：评估方按需对态势展示界面的网络拓扑位置进行编辑，调整位置。
6
YD/T 4593—2023
9.5 出具评估报告
试验结束后，评估方负责对试验运行阶段平台管理方收集到的各类试验数据与攻防情报进行详尽分析，对攻防效果进行评估，并出具相关评估报告。评估报告包括分析整理项目情况，具体包括漏洞类型分析、重点漏洞分析、网站安全程度分析等内容。
7