赛宁数字孪生靶场：构建验证评估业务的新势能

2023年5月1日实施的《关键信息基础设施安全保护要求》中对于关基企业的现有网络安全保障体系提出了更加具体全面的要求，人员、系统、体系是检测评估主要关注的方向。

赛宁数字孪生靶场从验证评估业务的角度出发，借助多云融合能力、多样化仿真能力、自动化攻防能力和多源数据分析能力，为用户打造了一个“人员-系统-体系”三位一体的数字安全验证评估全通路，实现了安全业务增强回路。

靶场从诞生开始，经历了一个野蛮发展的过程。在北美、以色列、欧洲和中国等不同地区，数字靶场的业务需求出发点各不相同，具体如下：

1、美国：靶场用于创建全球网络栅格，以等比例复现环境，用于研究网络攻击和防御。

2、以色列：靶场用于满足以色列国防军（IDF）快速甄别、挑选和培训网络安全人员的需求。

3、欧洲：靶场用于研究通用型网络漏洞，解决一些安全问题；用于关键基础设施网络的投资分析，为资金分配提供数据支撑。

4、中国：靶场以人员培养和选拔为起点，形成了一拥而上、同质化竞争的行业情况；业界更关注于概念创新而非技术创新，发展代差较大，极少能在国际市场上进行对标竞争。

靶场演进路线

尽管各地区的发展态势不尽相同，但综合来观察分析，可将数字靶场的发展演进归纳为以下路线图，作为靶场业界的发展参考。

数字靶场演进路线图

靶场的发展可以划分为四个阶段，以业务交付为重点。这些阶段是仿真阶段、训演阶段、评估阶段和智能阶段。

1. 仿真阶段：
2. 重点在于以低成本实现高保真度的仿真。这一阶段的突破已超越传统的信息技术范畴，并向着OT和网电领域发展；未来还将实现认知领域的仿真融合，实现跨域融合的全要素仿真[1]。

1. 训演阶段：
2. 重点在于安全业务的开展。核心任务是培养能力、进行预案演练和攻防对抗。

1. 评估阶段：
2. 重点在于对安全风险和威胁进行量化评估及分析，为用户提供可视化、可度量的”安全成本”。安全本质上是一项交易，而不仅仅是一个任务。通过量化评估，为用户提供成本可接受的安全方案，这是安全进一步发展的关键一环。

1. 智能阶段：
2. 随着机器学习和深度学习的发展，垂直领域的安全大模型必然会出现。在这个阶段，靶场成为一个天然的业务入口和基础设施，可基于语义快速地完成原子化、API化的安全体系编排与验证，实现靶场-实网的共生式安全运营。因此基于机器学习的靶场安全验证大模型的出现，只是时间问题，也会是后续靶场发展的必要业务能力。

以上四个阶段展示了靶场的发展脉络，从仿真、训演、评估，最终发展到智能阶段。这些阶段的发展将不断提升网络安全领域的可行性和效果，并为用户提供更安全的解决方案。

国内厂家能力评估

从这四个阶段来看，目前绝大部分国内厂家仍处于第二阶段的中期阶段，其核心靶场业务仍然处于”安全并行业务”的状态，尚未参与到实际的安全业务流程中。此外，他们的业务仿真能力仅限于一些虚拟化平台（如OpenStack）的原生仿真能力[2]，并未在仿真边界上取得突破，无法构建高度逼真的孪生级网络环境。仿的真，才能验的准。受限的仿真能力极大地限制了靶场在安全业务中的应用价值。

如何从第二阶段的同质化竞争中跳脱出来，依托靶场技术能力为用户提供验证评估新价值，是现阶段业界的核心命题，也是不断探索靶场业务边界和安全价值的必经之路。

在这个阶段的探索上，赛宁依托其数字孪生技术，构建了高度逼真的数字复现环境，为”人员-系统-体系”三位一体的安全验证评估提供全通路业务，实现了”安全串行业务”。通过自动化攻防重演和多源数据量化分析，赛宁能够帮助用户实现风险的可见性、投入的可见性和效益的可见性，从而有效地执行网络防护策略。

数字复现环境

验证评估业务的最佳实践

赛宁结合多年实践经验和技术能力，提出了”人员-系统-体系”的三位一体安全验证评估框架，并通过体系化能力测评、人员实景实操能力检验、业务系统防护水平场景化评估等多种典型业务，建立标准评估验证流程的综合解决方案。

人员验证评估实践

在对人员能力符合度的验证评估方面，利用NICE框架对多源数据进行采集与分析，在积累了一定时间周期的数据后，能够有效地量化人员能力。将主观的人员能力转化为数据后，可以高效支持日常安全业务、重保业务、HVV业务等，并为安全人员的选拔与调优提供支持。用户通过系统内置的NICE评估框架及探针，可以通过短期的数据积累，自动完成人员能力的量化分析和岗位度匹配分析，并能根据岗位能力模型生成后续能力提升路径。人员验证评估已经服务于电力、运营商等多个行业用户，并形成了具有特色的行业验证数据和体系。

系统验证评估实践

安全设备的不安全性和网络配置的漏洞已经成为各大用户在安全建设和运营过程中经常遇到的问题。因此，利用自动化攻防能力对系统进行多个业务阶段的验证评估是必要的，以避免”千里之堤溃于蚁穴”的情况发生。针对系统的验证评估，需要从供应链安全、业务安全、业务管理等角度出发，联动如源代码检测、运行环境检测、系统漏洞检测、数据安全检测等各独立的数据安全能力，为用户提供全周期的安全性验证。该业务已广泛应用于能源、政企、教育等行业，提升了用户的安全防护能力。

体系验证评估实践

网络安全体系建设是一个集成度高、耦合度高、复杂性高的系统工程。一个运行良好的网络安全体系应当没有明显的长期脆弱性，这就需要有能力对整个安全体系进行长周期的、动态的、智能化的攻防检验，以自主方式开展非侵入式的威胁狩猎，并能快速调整体系策略。

基于ATT&CK框架提供超过20个技战术、2000+评估项，并包含有国家级HVV模拟能力，能够对用户安全体系范围终端、设备、组网等企业设备资产从点到面的安全检测，来检验安全防御手段有效性，量化安全风险并给出安全加固建议，提升用户防御体系的有效性。能够有效实现”安全交底”，为网络安全运营提供准确而必要的工作方向。

未来靶场发展方向的探索

未来靶场的发展与探索将受到国产化和智能化这两个要素的影响。

在国产化的浪潮下，靶场厂家需要解决多个国产化架构之间的兼容性和混编问题，这将成为数字环境复现的重要挑战。多架构兼容和多云兼容的仿真能力将成为靶场厂家的核心竞争力。在这方面，赛宁已经开始探索，并通过持续攻关实现了多云多架构原生仿真能力，有效解决了混编问题，助力用户进行数字化安全建设。

人工智能的浪潮也正在涌现，但目前的靶场主要集中在仿真和训演业务，尚未充分释放出其潜力。未来安全领域将朝着能力原子化和编排智能化的方向发展，靶场将成为部署和验证原子化安全体系的必要工具。在人工智能与靶场的结合方面，赛宁也在积极进行先导性的探索，为用户提供更简洁高效的安全解决方案。

安全领域和靶场的发展都处在不断更新的时代，作为国内唯一出海的厂家，赛宁有责任也有能力探索业务的新边界，为行业进一步发展做出贡献。

术语解释：

[1] 全要素仿真：全要素仿真是指包括物理域、信息域、认知域的全要素仿真，实现“物理—信息—认知”三个空间相互交织，进而对认知数据及特征修改、认知模型修改、认知输出等安全问题进行研究和验证；目前美方已在多个地域性冲突中进行实践，验证了“多重认知-行动困境”的有效性。

[2] 原生仿真能力：是指技术厂家的网络仿真能力取决于供应链的虚拟化技术栈（如openstack、vmware等），并未具备自主开发、自我进化的综合性仿真能力。