T/CSAC 001-2023 网络靶场 基于技战术模型的安全测评方法

ICS35.240.01

CCSL60T/CSAC

团体标准

T/CSAC001—2023

网络靶场基于技战术模型的安全测评方法

Cyberrange—Securitytestandevaluationmethodbasedontechnologyandtactic

model

2023-6-16发布2023-6-16实施

中国网络空间安全协会发布

III

T/CSAC001—2023

目  次

前  言............................................................................III

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4符号和缩略语........................................................................2

5概述................................................................................2

5.1攻击技战术模型概述..............................................................2

5.2基于攻击技战术模型的安全测评流程................................................3

6确定测评实施方案....................................................................4

6.1制定计划........................................................................4

6.2组建团队........................................................................5

6.3搭建测评环境....................................................................5

6.4构建攻击技战术..................................................................7

6.5体系化模拟......................................................................8

6.6制定应急处置方案................................................................8

7测评执行...........................................................................10

7.1实施攻击测试...................................................................10

7.2测评处置.......................................................................10

8风险量化计算.......................................................................11

8.1资产赋值.......................................................................11

8.2威胁识别.......................................................................11

8.3弱点识别.......................................................................11

8.4风险值计算原理.................................................................13

8.5风险结果判定...................................................................13

9防护能力量化计算...................................................................14

9.1攻击检测能力识别...............................................................14

9.2攻击阻断能力识别...............................................................14

10结果判定..........................................................................15

10.1确定技术指标..................................................................15

10.2信息系统类判定准则............................................................15

10.3安全产品类判定准则............................................................15

11测评总结..........................................................................17

11.1测试反馈......................................................................17

11.2测评后处置....................................................................17

11.3差距报告......................................................................17

附录A（资料性）ATT&CK框架的战术阶段............................................18

附录B（资料性）安全测评人员知识和技能要求......................................19

I

T/CSAC001—2023

附录C（资料性）目标场景搭建步骤示例............................................22

C.1目标网络拓扑准备.................................................................22

C.2路由脚本配置及下发...............................................................22

附录D（资料性）攻击场景特殊性要求..............................................23

D.1概述.............................................................................23

D.2企业场景.........................................................................23

D.3工业控制系统场景.................................................................23

D.4移动终端场景.....................................................................23

D.5金融行业场景.....................................................................23

附录E（资料性）安全产品检测评估统计表..........................................25

参考文献.....................................................................26

II

T/CSAC001—2023

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国网络空间安全协会提出并归口。

本文件牵头起草单位：鹏城实验室

本文件参与起草单位：中汽研软件测评（天津）有限公司、中国电信股份有限公司广东研究院、广

州大学、哈尔滨工业大学(深圳)、北京升鑫网络科技有限公司、北京永信至诚科技股份有限公司、中国

电子信息产业集团有限公司第六研究所、中汽创智科技有限公司、中国第一汽车集团公司、广东为辰信

息科技有限公司、零束科技有限公司、重庆长安汽车股份有限公司、南方电网科学研究院有限责任公司、

兴唐通信科技有限公司、深圳供电局有限公司、中国联合网络通信有限公司、中国移动通信集团有限公

司、中国信息通信研究院、北京天融信网络安全技术有限公司、安天科技集团股份有限公司、北京神州

绿盟科技有限公司、奇安信科技集团股份有限公司、北京奇虎科技有限公司、湖南星汉数智科技有限公

司、四川亿览态势科技有限公司、软极网络技术（北京）有限公司、北京丈八网络安全科技有限公司、

新华三技术有限公司、浙江国利网安科技有限公司、电子科技大学、北京理工大学、北京邮电大学、上

海交通大学、上海电力大学、电子科技大学广东电子信息工程研究院。

本文件主要起草人：贾焰，方滨兴，鲁辉，韩伟红，贾世准，田志宏，李树栋，张曼，向文丽，孙

丽群，陶莎，蔡晶晶，陈俊，周密，林文辉，罗富财，苏申，周可，王珩，程度，卞建超，马兰，胡宁，

顾钊铨，王晔，廖清，李润恒，安伦，王帅，金华敏，贺可勋，杨彦召，薛信钊，郭超，李影，孙琦，

禹晶晶，赵焕宇、罗蕾，周鑫强，汪向阳，匡晓云，杨祎巍，孟琦，胡伟，孙强强，连耿雄，陈璐，刘

伟，徐雷，陶冶，邱勤，徐天妮，谢玮，孟楠，石悦，李雪莹，王龑，吴潇，肖新光、李晨，肖岩军，

宫智，孙翔，武鑫，张屹，王新宇，燕玮，王绍杰，薛金良，包贤晨，张凯，李炜。

I

T/CSAC001—2023

网络靶场基于技战术模型的安全测评方法

1范围

本文件描述了基于攻击技战术模型在网络靶场环境中对信息系统、安全产品等对象进行安全测评的

方法，包括基本概念、流程要求和评估方法。

本文件适用于指导测评方基于网络靶场，按照攻击技战术模型开展安全测评工作。

2规范性引用文件

下列文件中的内容通过文中的规范化引用而构成本文必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069－2022信息安全技术术语

3术语和定义

GB/T25069－2022界定的以及下列术语和定义适用于本文件。

3.1

评估对象targetofevaluation

被评估的信息技术产品或系统及其相关的指南文档。

3.2

测试test

使评估对象按预定方法/工具产生特定行为，以获取证据来证明其安全确保措施是否有效的过程。

3.3

测试用例testcase

为测试某个特殊功能或性能而编制的一组测试输入、执行条件以及预期结果，其内容包括测试目标、

测试环境、输入数据、测试步骤、预期结果、测试脚本等，用于核实某个测试对象是否满足某个特定要

求。

3.4

目标网络targetnetwork

依据试验需求目标，运用实物、虚拟与模拟三类建模技术在网络仿真平台上构建的，支持试验活动

的仿真网络。

3.5

战术阶段tacticalstage

攻击技战术模型所抽象出来的攻击者进行攻击的不同阶段，每个战术阶段包含多项攻击技术。

1

T/CSAC001—2023

3.6

安全测评人员cybersecurityevaluationworkforce

从事网络安全测评工作，承担相应的工作职责，并具有相应的知识和技能的人员。

3.7

知识knowledge

通过经验或教育获取的事实、信息、真理、原理或者领悟。

[来源：ISO/IEC17027：2014，2.56]

3.8

技能skill

通过教育、培训、经验或其他方式完成任务或活动并获得预期结果的一种才能。

[来源：ISO/IEC17027：2014，2.74]

3.9

资产asset

对个人、组织、政府具有价值的任何东西。

3.10

识别identify

对某一评估要素进行标识域辨别的过程。

3.11

赋值assignment

对识别清楚的评估要素根据已定的量化模型给予定量数值的过程。

4符号和缩略语

下列缩略语适用于本文件。

APT高级持续性威胁攻击（AdvancedPersistentThreat）

ATT&CK对抗性战术、技术和常识（AdversarialTactics,Techniques,andCommonKnowledge）

KVM基于内核的虚拟机（Kernel-basedVirtualMachine）

RDP远程桌面协议（RemoteDesktopProtocol）

SSH安全外壳协议（SecureShell）

VNC虚拟网络控制台（VirtualNetworkConsole）

5概述

5.1攻击技战术模型概述

攻击技战术模型，即ATT&CK模型。ATT&CK是由MITRE公司创建并持续维护的一个对抗战术

和技术的知识库，全称AdversarialTactics,Techniques,andCommonKnowledge,简称ATT&CK。

ATT&CK是在洛克希德·马丁公司提出的KillChain模型的基础上，构建的一套更细粒度、更易共享的

知识模型和框架。ATT&CK是一个基于黑客攻击实战结果建立的网络攻击战术和技术的知识体系，描

述了网络攻击的行为模型，反映出整个攻击周期的各个阶段，ATT&CK框架的战术阶段划分见附录A。

2

T/CSAC001—2023

ATT&CK包含三个核心部分，即战术、技术和过程（TTPs），战术表示攻击者的目标，技术表示攻击

者达成战术目标的方法与手段，过程显示攻击者如何执行某项技术。

ATT&CK模型是不断演化的，约6个月左右会更新1次。除非特别声明，在依照本文件进行安全

测评时，均应以ATT&CK矩阵的当前版本为依据。

5.2基于攻击技战术模型的安全测评流程

基于攻击技战术模型的安全测评受到被测方实际业务、安全需求、系统规模等方面的影响，需明确

评估目标、范围、工具、团队、环境、技术方案和相关应急措施等，制定安全测评计划，组建测评实施

团队，搭建测评环境，构建面向评估对象的攻击技战术并进行体系化模拟，同时制定面向安全测评全流

程的应急处置措施，确定实施方案，为测评方具体开展测评工作提供指导。在测评启动之后，主要包括

如下工作：

a)制定计划：根据前期调研和收集的情况、测评方和被测方确定的目标范围等，明确双方职责，

制定测评各个环节的工作计划和进度安排；

b)组建团队：根据测试需求组建测评团队，明确团队分组及职责；

c)搭建测评环境：在网络靶场环境中设计部署目标网络，作为开展安全测评的环境；

d)构建攻击技战术：根据评估对象情况、信息收集分析情况等，制定攻击方案，利用ATT&CK框

架作为评估“标尺”，覆盖ATT&CK框架中相应的攻击技战术。同时，根据场景区域、场景访问

策略、场景节点、场景漏洞等，制定攻击线路。

e)体系化模拟：对构建的攻击战术和技术进行体系化模拟实现；

f)测评执行：按照事前拟定的攻击方案，采用选定的攻击技战术对评估对象进行攻击测试；

g)量化评估：对评估对象（信息系统、安全产品）的安全风险、安全防护能力等进行量化计算；

h)结果判定：对测试结果通过与否进行判定。

基于攻击技战术模型的安全测评流程如图1所示。

3

T/CSAC001—2023

图1基于攻击技战术模型的安全测评流程图

6确定测评实施方案

6.1制定计划

6.1.1主要工作

在制定测评计划时，测评方应做充分的调研与准备，应开展以下工作：

a)测评方对评估对象进行情况收集，被测方应予以配合。情况收集包括以下内容：

1)评估对象的拓扑结构或功能模块信息；

2)评估对象的软硬件配置信息；

3)安全域划分信息、应用概况等环境搭建要素；

4)其他用于安全测评的必要信息。

b)由测评方和被测方召开会议，签订委托测评协议，明确评估目标、评估范围等；安全风险评

估范围应为：被测方全部的信息及与信息处理相关的各类资产、管理机构，或者某个独立的

信息系统、关键业务流程和部门；

c)根据被测方实际需求和评估范围，应制定评估实施活动的总体计划，用于指导评估工作，具

体包括组建团队、搭建测评环境、构建攻击技战术、体系化模拟、测评实施、量化评估、编

制报告等环节的工作计划和时间进度安排等；

d)应与被测方协商沟通测评计划表，提高测评效率。

4

T/CSAC001—2023

6.1.2双方职责

在制定测评计划时，测评方与被测方应遵守各自的职责，为顺利开展安全测评创造良好条件。

a)测评方职责：

1)组建测评项目组；

2)指出被测方应提供的基本资料；

3)向被测方介绍安全测评工作流程和方法；

4)向被测方说明测评工作可能带来的风险和规避方法；

5)了解被测方的信息化建设以及评估对象的基本情况；

6)初步分析系统的安全状况，准备测评工具和文档。

b)被测方职责：

1)向测评方介绍本单位的信息化建设及发展情况；

2)提供测评方需要的相关资料；

3)为安全测评人员的信息收集工作提供支持和协调，参与制定应急预案。

6.2组建团队

6.2.1总体要求

根据测评项目要求组建测评团队，明确测评实施各团队的工作职责，此外还应注重测评团队人员的

知识和技能建设。

6.2.2测评实施团队

测评实施团队包含环境搭建组、攻击测试组、检测评估组、报告输出组和测评仲裁组，各团队人员

的角色及其相应的工作职责描述如表1所示。

表1测评实施团队角色和职责

序号团队人员角色工作职责描述

对评估对象的信息收集，评估对象的仿真环境搭建，模拟攻击环境搭建，

1环境搭建人员

以及环境的管理和维护

2攻击测试人员攻击方案制定，模拟攻击实施，模拟攻击工具库管理和维护

3检测评估人员攻击结果记录分析，对攻击结果做量化评估

4报告输出人员负责测评全周期情况记录和分析，测评报告撰写

5测评仲裁人员对攻击测试和检测评估结果进行监督或者判定

测评实施团队应基于以上工作职责做好组内人员的工作分工。

6.2.3安全测评人员要求

安全测评人员应该具备安全测评职责相关的知识和技能，必要时需要开展相关知识和技能业务培训，

并制定培训机制和团队建设计划。基于攻击技战术模型执行安全测评的测评人员知识和技能要求见附录

B。

6.3搭建测评环境

6.3.1基本要求

5

T/CSAC001—2023

安全测评人员应采用灵活便捷的方式快速设计部署大型目标网络，对目标网络的节点内部程序提供

多种方式进行灵活配置。

网络靶场应能够提供网络设备虚拟化、虚拟交换机流量镜像等多种方式提高目标网络的逼真程度，

提供丰富的互联接入方式使目标网络与异域的设备和网络或互联网互联互通，并提供统一的资源管理支

撑目标网络的构建。具备包括：实验场景配置能力、虚拟网络能力、互联接入能力、节点管理能力、资

源管理能力等。

6.3.2测试场景配置

测试场景配置应满足以下要求：

a)应支持根据评估范围完成网络拓扑、应用软件和带内程序的配置；

b)应支持测试场景配置的统一描述，支持通过导入拓扑脚本的方式完成目标网络的配置和部署；

c)应支持在目标网络部署生成后对目标网络内的带内程序进行批量配置。

6.3.3互联接入管理

互联接入管理应满足以下要求：

a)应支持远程实物设备或网络等接入到虚拟网络中；

b)应支持通过便捷配置实现目标网络和互联网的访问与控制；

c)应支持在目标网络中接入透明设备，并且不改变设备的透明属性；

d)应支持多测评网络环境安全隔离。

6.3.4测试网络生成

测试网络生成应满足以下要求：

a)应支持KVM、容器、裸金属服务器、物理设备等多种节点生成方式，各种生成方式均能通过

已有的镜像快速部署；

b)应支持对不同厂商、不同型号的网络安防设备进行虚拟化；

c)应支持对跨宿主机器的流量进行隧道封装；

d)应支持虚拟交换机配置流量镜像复现流量分析场景。

6.3.5节点控制管理

节点控制管理应满足以下要求：

a)应支持构建通道使非目标网络内的节点和网络同目标网络内节点之间进行可控访问；

b)应支持虚拟节点全生命周期管理和控制，支持虚拟化节点、容器节点和实物节点的无差异管

理；

c)应支持对虚拟节点的状态和日志进行监控。

6.3.6测试资源管理

测试资源管理应满足以下要求：

a)应支持对测试过程中需要的工具、脚本、试验设备等资源进行统一管理；

b)应支持对各类试验资源的查看和使用权限进行管理。

6.3.7场景搭建流程

测评方应根据测评需求，设计整体环境搭建方案，包括目标网络拓扑设计和资源规划，为搭建目标

场景环境提供指导。场景搭建流程如图2所示。

6

T/CSAC001—2023

图2场景搭建流程

目标场景搭建的步骤包括：

a)根据测评需求制定测评环境搭建计划

根据被测方提出的要求，应根据场景需求制定测评环境搭建计划。计划内容包括：使用人员对象、

网络拓扑、资源分配、预装软件、任务制定、采集及检测范围、分析及评估对象等。

b)根据计划进行网络拓扑设计

根据提供的系统入口登录目标网络系统，依次进行创建试验过程、试验过程编辑、拓扑编辑、网络

配置、节点配置等。系统应支持创建空白工程、根据模板创建工程、根据文件导入工程以及根据设备分

布创建工程等多种方式，应结合不同需求与系统实际，选择不同方式创建试验工程。试验工程应支持删

除、修改权限、试验关联等编辑操作。拓扑结构和网络配置应根据需要，支持拖拽式/脚本配置等方式

进行编辑。网络节点应支持基本属性配置、批量创建、配置检查等功能。

c)在网络靶场平台中进行测评场景环境部署

测评场景环境部署应在网络拓扑设计完成且确认无误后进行操作，在部署过程中应实时监控部署状

态，网络靶场应支持取消部署、清空部署等操作。

d)虚拟节点管理和软件预装

虚拟节点应支持相关信息和状态的查看，支持根据节点名称、类型、IP和自定义属性进行搜索，并

可通过SSH、RDP、VNC等多种方式接入虚拟节点。系统应支持通过选取指定的虚拟机进行软件预装，

以及查看已安装和可安装的软件。

目标场景搭建步骤示例见附录C。

6.4构建攻击技战术

6.4.1攻击方案制定原则

测评方应按照以下原则制定攻击方案：

a)攻击组织形式应主要从以下方式选取：

1)开放式招募白帽子攻击手参与测试；

2)安全测评方人员按照攻击方案组织实施测试。

b)在选择攻击技战术时，应遵循如下原则：

1)应选择一系列代表性技术进行测评，而非对整个ATT&CK框架；

2)应结合被测信息系统的类型、子系统/子网类型、已发生的攻击事件等信息，分析系统/子

系统易遭受的攻击类型，选择恰当的攻击技战术（如APT29、FIN7等）；

3)应参照已发生过的攻击事件数据选择攻击技战术，攻击事件的数据可来自权威安全机构

的网站等；