“429首都網絡安全日”活動日前盛大落幕。本屆大會的一大亮點環節——“第二屆首都網絡安全大賽”以其規模宏大、戰況激烈、技術水平高吸引了眾多觀眾和媒體的關注，更是引發了眾多業內人士的高度關注。特別是競賽背后的“網站安全對抗實時平臺”，讓不少來自大型企事業單位的嘉賓產生了濃厚的興趣。

一直以來，信息安全的實戰訓練一直是企事業單位的痛點。在這個技術發展日新月異的領域，不經過實踐鍛煉的人才是很難滿足用戶單位的實際需求的。但現實情況是，業內非常缺乏類似的可以進行接近實戰訓練的平臺。這就像軍事訓練中的靶場，既需要硬件支撐，也需要專業人員的管理和培訓；但對提升技術水平卻是必須的。因此，如果能將類似安全大賽的對抗平臺引入到日常培訓和演練中，無疑將對提升企事業網絡安全人員的實戰技能水平產生很大有幫助。

然而，這個平臺說起來容易，實際研發應用卻相當難,但通過本次活動的實踐，他們看到了一個完全滿足需求的一個網絡安全實戰對抗訓練平臺。

就此話題，筆者通過活動的主辦方，找到了這次安全大賽的對抗技術平臺的搭建方和技術支撐團隊負責人——北京永信至誠科技公司CTO張凱，請他解剖對抗技術平臺和它背后的故事。

對大眾來說并不非常熟悉的永信至誠公司在國內網絡安全對抗平臺領域可是大名鼎鼎的執牛耳者。該公司是國內最早從事網絡安全對抗訓練產品研發和服務的企業，也是這個支撐網絡安全對抗技術最為成熟、實踐項目最為豐富的技術團隊。該公司近年推出的網絡安全對抗訓練平臺“e春秋”產品已在公安、安全、軍隊、軍工等多家大型機關單位內部開展深度應用，充分滿足了這些行業客戶的對抗訓練、對抗業務、人才培養與安全試驗需求，業已成為了這個領域應用最廣、客戶滿意度最高的產品。而張凱自己，既是“e春秋”產品的主要研發者之一，也是國內多次網絡安全對抗平臺的技術支撐負責人，堪稱網絡技術大賽背后的“技術帝”。

為什么打造一個安全對抗訓練平臺如此之難？張凱向我們介紹了其中的技術復雜度。

1、必須具備足夠深厚的信息安全領域服務經驗和技術沉淀

安全對抗訓練平臺必須應對企事業單位的各種復雜環境，思路、技術、工具、培訓經驗等方面因素缺一不可。沒有多年的服務經驗，就無法積累出全面的、成熟的、可表達傳授出去的安全思路，無法形成系統化的教學理念；沒有足夠的技術，就無法充分了解多樣化、多形式的各種安全軟件、小工具，而在搭建對抗環境時必須能確保這些軟件、工具已被驗證是安全可靠、不會出問題的；而沒有足夠的培訓經驗，就無法歸納出廣大信息安全人員在接受實訓中的共性特征、需求和人才培養的標準，如什么樣的情況是很典型的情況，應該用什么辦法進行防守，應該用什么辦法進行測試等，無法實現嚴格的指導和培訓。

2、必須具備強大的信息安全研發能力

安全研發能力和普通的程序研發不太一樣，并不是一門獨立的學科技術，更多的是源自經驗的積累，甚至是詳細的操作記錄。在開發過程中，要將搭建對抗環境的內容融合到傳統的網站開發中，實現BS架構，就需要有前端界面、后端數據庫的、以及與平臺連接的開發，并要實現整個平臺的穩定性。為了滿足平臺高效性、靈活性、易用性需求，還需要采用云技術和虛擬化技術等。而其中的每一項對研發實力都是艱巨的考驗。

3、對用戶需要的充分感知和了解

對抗訓練環境的搭建，需要對用戶需求、人才培養現狀和標準有清晰的理解，以保證訓練平臺能夠真正發揮訓練和針對性培養的作用，讓培訓人員做到有的放矢，這就需要技術團隊始終站在技術前沿的同時，對攻擊和防守有深刻的理解。

基于上述三個方面的難點，搭建網絡安全對抗演練平臺這個看似平常的技術工作，實則包含了深奧的系統化思想，同時還要與時俱進堅持不懈斷對最新技術的跟進和研究，這樣才能打造出更加經得起實踐檢驗、高度可靠的“對抗訓練平臺”。

張凱最后表示，為了幫助更多的用戶能利用上安全實戰訓練環境，永信至誠即將推出“i春秋”信息安全體驗中心，用戶可以通過互聯網在線學習，并進行極其貼近實戰的實驗和訓練，為整個信息安全行業的人才培訓方式提供一個全新而高效的新形式。