网络空间安全综合靶场场景设计系统

系统介绍(System introduction)：
　场景设计系统作为网络靶场基础设施系统，利用虚拟化技术为其他系统提供计算资源、存储资源、网络资源等基础设施资源，要求如下：　　
1) 采用KVM和docker容器虚拟化技术，实现对计算服务器的虚拟化；　　
2) 利用本项目提供计算类相关设备构建计算资源池，模拟虚拟节点应不少于1000个；　　
3) 利用本项目提供存储类相关设备构建存储资源池，存储容量不少于10TB；　　
4) 网络服务要求提供SDN、VxLAN相关网络服务，能实现动态的网络资源调配和隔离；　　
5) 所模拟的应用场景应该支持典型数据库，包括Oracle、Mysql，Sql-Server、Sybase等；支持典型Web网站服务器，包括Apache、IIS、Jboss、Weblogic、Websphere等。
提供的网络交换设备、SDN控制器等设备进行应用场景的半自动化部署。当需要构建、变更、扩展用户应用场景时，可缩短其部署时间及配置复杂度。
系统功能(system function)
1、支持通过界面拖拽完成目标网络设计，可通过加载文件的方式构建目标网络，支持对目标网络节点进行增、删、改等操作，目标网络设计支持虚拟化节点、轻量级虚拟化节点、实物网络节点、离散仿真节点4种尺度节点统一设计和配置；实物网络节点可以鼠标拖拽形式实现动态组网；支持通过鼠标拖曳的方式将非虚实互联的实物节点在目标网络设计中描述。如下图所示：
2、支持方便设置虚拟网络节点的IP地址、MAC地址等属性，网络配置信息以模板形式存储。如下图所示：
3、可基于模板以图形化方式进行配置，通过鼠标点击或拖拽方式实现设备的选择、设备属性的设置、设备间连接关系的编辑等，可保存、加载配置结果。如下图所示：
4、能够进行大规模场景的设计，具备多层网络协同设计的功能，支持多人通过配置分享的方式同时对不同层次的网络进行同时配置。具备分层构建场景能力，可对不同层次的网络生成模板，通过模板的组合快速生成新的目标网络场景。如下图所示：
5、支持将设计的部分网络拓扑保存成模板，并支持通过加载多个模板进行组合的方式实现新的网络。如下图所示：

网络空间安全综合靶场场景设计系统

网络空间安全综合靶场场景设计系统功能表
1.支持通过界面拖拽完成目标网络设计，可通过加载文件的方式构建目标网络，支持对目标网络节点进行增、删、改、查询等操作，目标网络设计支持虚拟化节点、轻量级虚拟化节点、实物网络节点、离散仿真节点4种尺度节点统一设计和配置；实物网络节点可以鼠标拖拽形式实现动态组网；支持通过鼠标拖曳的方式将非虚实互联的实物节点在目标网络设计中描述。
2.支持方便设置虚拟网络节点的IPv4/v6地址、MAC地址、操作系统镜像、标签、网口数量等属性，网络配置信息以模板形式存储。
3.可基于模板以图形化方式进行配置，通过鼠标点击或拖拽方式实现设备的选择、设备属性的设置、设备间连接关系的编辑等，可保存、加载配置结果。
4.支持统一设置目标网络的IP地址和Mac地址空间，能够对目标网络节点和网络链路的网络行为、数据流量、链路状况等进行详细配置。
5.支持设置虚拟链路的类型、带宽、延迟和丢包率。
6.支持虚拟网络调度管理配置；支持计算资源预分配自动化和手动分配手段。
7.支持利用统一的脚本语言对网络拓扑的配置进行描述，并支持通过导入脚本配置文件的方式完成目标网络的自动配置和部署。
8.能够进行大规模场景的设计，具备多层网络协同设计的功能，支持多人通过配置分享的方式同时对不同层次的网络进行同时配置。具备分层构建场景能力，可对不同层次的网络生成模板，通过模板的组合快速生成新的目标网络场景。支持区域划分功能，不同的区域采用不同颜色进行标识和命名。
9.支持将设计的部分网络拓扑保存成模板，并支持通过加载多个模板进行组合的方式实现新的网络。支持模板库功能。支持模板位置快速定义功能。
10.支持虚拟节点、容器节点、实物节点的统一拖拽配置，支持非直接接入的实物节点在网络拓扑中设计和表示，支持修改节点图标自定义不同类型设备。
11.非直接接入的实物节点支持配置端口、IP、操作系统、登录用户密码、支持的web接入方式等信息。
12.支持通过复制已配置节点的方式批量快速生成节点，复制后的节点能自动配置IP、MAC等相关信息，避免造成冲突。
13.支持对虚拟路由器的动态路由进行配置，动态路由协议支持RIP、OSPF、ISIS、BGP等常用协议的基本配置。支持加载动态路由配置的模板。支持NAT设置。
14.支持加载虚拟防火墙，支持配置虚拟防火墙的包过滤规则、OSPF规则、路由选择、NAT转发规则和端口映射等。
15.支持用流量镜像线的方式描述将一个设备的指定端口流量镜像到另外一个设备指定端口，支持多个设备到同一设备的流量镜像。
16.支持配置目标网络指定的子网访问外部资源。
17.支持为节点配置自定义数据便于节点快速分类和查询。
18.支持对设计的目标网络进行布局排版，可批量选择节点进行排版，排版的方式包括顶端对齐、底部对齐、垂直居中、左对齐、右对齐、水平居中对齐等，支持横向和纵向平均分布。支持3D模式的布局排版。
19.支持显示节点的2D和3D图标，支持用不同的颜色标识节点不同的势力方（红方、蓝方等）。
20.支持通过搜索快速定位节点，搜索支持属性搜索和全局搜索，搜索支持跨层级搜索，支持鹰眼模式实现网络拓扑搜索。
21.支持将设计的网络拓扑保存成图片供试验文档使用。
22.支持部署过程的监控和展示，支持对部署的各类节点总数、各类节点进度、部署错误的类型进行展示，支持2000节点同时部署的展示，部署状态支持自动和手动刷新的模式。
23.支持增量式的部署，部署状态监控能够将添加、删除的节点分开监控和展示。
24.支持2种调度模式部署目标网络，调度模式根据资源情况分为自动调度和手动调度。
25.支持配置正确性与合理性校验，对不符合常规的错误配置进行定位和警告。
26.能够对试验过程进行配置与控制，试验过程的控制包括试验的开始、暂停、停止；试验过程的配置包括试验的步骤、任务等。
27.支持试验过程步骤的可视化拖拽设计，试验步骤支持根据时间、虚拟机内部脚本执行状态、输入指定信息或手动等定义步骤结束方式；支持定义步骤之间的关系来控制试验步骤流程，步骤关系包括顺序、并列等；可通过模板配置试验过程、步骤需要完成的试验操作，试验操作包括写入配置、执行命令、执行脚本等。
资源库功能表
1.系统提供400个网络安全实操实验（不含“专用装备实操课程定制”的实操实验），可供教员添加与使用。系统提供的网络安全实操实验提供终身免费使用授权。实验课程需要包括视频、作业指导书、实操环境。提供如下三类课件： a)提供攻防工具相关培训课件，培训课件必须包含安全验证工具实操的培训内容(如“Metasploit攻击Win7”实验、“利用SqlMap交互式写Shell”实验、“wireshark之文件还原”实验)；每个实验课程包括实验指导书、实验操作环境，复杂实验提供视频教程。 b)提供典型网络安全事件复现实训课件，提供代表性安全事件、典型靶标，提供相关实验，确保最新的网络安全事件应用于培训。 c)提供网络安全竞赛入门培训课件，至少包含竞赛原题、思路分析、工具使用、题目解答等方面内容，帮助新手入门。
2.提供的教学课程视频（课件）400个（不含“专用装备实操课程定制”的课件），覆盖网络安全各方面，分为学科体系、岗位体系、CTF体系、及信息安全意识教育等。系统提供的教学课程视频（课件）提供终身免费使用授权。其中： a)学科体系按照方向分为信息安全基础、网络安全、系统安全、软件安全、数据安全等。 b)岗位体系分为web安全工程师、信息安全工程师、渗透测试工程师以及安全运维工程师。课程按照各个岗位需要的技能进行分类。 c)CTF体系包括有web方向、Reverse方向、PWN方向、Crypto&Misc方向、Forensic方向等。 d)信息安全意识教育主要是通过视频、动画的方式进行信息安全基础的意识教育。
3.提供网络安全热点事件库，主要由经典网络安全事件、近5年发生的一些影响较大的安全事件或近期出现的新攻击模式等形成的案例和实验，如勒索病毒传播、Struts2漏洞、心脏滴血漏洞、破壳漏洞等。网络安全热点事件12个。网络安全热点事件需及时纳入教学培训系统。在系统正式验收后6年内提供对网络安全热点事件库免费升级维护服务，网络安全热点事件保持常态更新，更新热点事件10个。
4.镜像资源包括主流windows\Linux各种操作系统类型的基础镜像。winodws操作系统系列包含有 windows XP，win2003，win2008，win7，win8，win10等32位，64位系统镜像；Linux包含有麒麟、Centos，Debian，Ubuntu，Red Hat，openSUSE等32位、64位不同版本号镜像。
5.软件资源主要包括网络攻击、防御工具、靶标等。攻击/防御工具按应用平台分为windows平台、linux平台的工具。靶标资源包括带有CVE常见漏洞、已感染某种病毒的的虚拟机镜像。其中，提供的攻击工具包括信息搜集扫描探测、数据篡改与欺骗、拒绝服务、漏洞利用、恶意代码、Web攻击与SQL注入、蠕虫病毒等类型100个；提供的防御工具包括防火墙、入侵检测系统、数据加密、杀毒软件等类型20个；提供的靶标分为操作系统漏洞靶标、web应用漏洞靶标、应用程序漏洞靶标及数据库漏洞靶标等200个。在系统正式验收后6年内提供对软件资源的免费升级维护服务，软件资源保持常态更新，攻击工具更新50个，防御工具更新15个，各类靶标更新100个。
6.支持管理员对教学、网络安全事件、软硬件镜像、场景模板等各类资源进行增加、删除、编辑、修改等操作。