◆冷 令

?

基于公有云的信息安全攻防平臺研究與實現(xiàn)

◆冷 令

（中山職業(yè)技術(shù)學(xué)院 廣東 528400）

隨著云計算和虛擬化技術(shù)的不斷成熟，尤其是公有云服務(wù)的快速發(fā)展，開發(fā)者可以方便的整合上游的服務(wù)和下游最終用戶，打造新的價值鏈和生態(tài)系統(tǒng)。本文以公有云為載體，設(shè)計并實現(xiàn)一個基于B/S架構(gòu)的信息安全攻防平臺。該平臺以攻擊與防護理論學(xué)習(xí)為基礎(chǔ)，加深學(xué)生對信息安全諸多領(lǐng)域的深入理解，支持多方面的實訓(xùn)及工程實踐，涵蓋多層次的實驗操作，以真實環(huán)境的真實攻防演練為指南。同時，平臺通過端口映射技術(shù)聯(lián)動校內(nèi)的另一套硬件網(wǎng)絡(luò)攻防設(shè)備。

云計算；信息安全攻防平臺；虛擬化；公有云

0 引言

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全威脅也日益增長。針對高校的信息安全專業(yè)人才培養(yǎng)也提出了更高的要求，傳統(tǒng)的攻防平臺都是基于真實的網(wǎng)絡(luò)和物理設(shè)備搭建，不僅費用高昂，而且網(wǎng)絡(luò)攻防演練很可能會對真實網(wǎng)絡(luò)設(shè)備和主機造成一定危害，所以研究如何實現(xiàn)有效的搭建和管理信息安全攻防演練平臺成為培育信息安全人才的重要課題。

本平臺基于公有云資源，利用B/S架構(gòu)為學(xué)生提供模擬網(wǎng)絡(luò)攻擊與防護的場景，平臺以知識點管理為中心、學(xué)習(xí)活動為驅(qū)動，結(jié)合學(xué)生自主搭建模擬攻防環(huán)境，共同提供一套輔助性培訓(xùn)信息化解決方案。創(chuàng)新性的引進了公有云平臺教學(xué)的理念、模擬網(wǎng)絡(luò)攻擊與防護環(huán)境，可將面授課堂及網(wǎng)絡(luò)攻擊過程完全搬到網(wǎng)絡(luò)平臺進行。

1 基于云平臺的信息安全攻防平臺總體功能

通過分析當前主流的網(wǎng)絡(luò)攻防平臺技術(shù)，包括基于仿真的網(wǎng)絡(luò)攻防平臺、基于傳統(tǒng)技術(shù)的網(wǎng)絡(luò)攻防平臺和基于虛擬化技術(shù)的網(wǎng)絡(luò)攻防平臺，吸收現(xiàn)有平臺技術(shù)的優(yōu)點，給出一種適用高校教學(xué)實驗環(huán)境的基于公有云平臺的信息安全攻防系統(tǒng)的技術(shù)方案，研究和實現(xiàn)基于公有云的信息安全攻防平臺。

平臺包括挑戰(zhàn)模式和對抗模式兩種模式。挑戰(zhàn)模式是由系統(tǒng)提供若干套靶場環(huán)境，學(xué)員進行滲透，目標為固定目標，主要提高學(xué)生的滲透能力；對抗模式每小組分別由2個滲透學(xué)員和1名防護學(xué)員組成，除了攻擊其他小組目標時，還要針對本團隊目標進行防護，防止其他學(xué)員攻擊本組目標，主要考核學(xué)員在安全防護過程中的應(yīng)變能力。

1.1 公有云平臺選用

公有云通常指第三方提供商為用戶提供的能夠使用的云，公有云一般通過 Internet 使用，免費或成本低廉，公有云的核心屬性是共享資源服務(wù)。它使客戶能夠訪問和共享基本的計算機基礎(chǔ)設(shè)施，其中包括硬件、存儲和帶寬等資源。除了通過網(wǎng)絡(luò)提供服務(wù)外，客戶只需為他們使用的資源支付費用。此外，由于組織可以訪問服務(wù)提供商的云計算基礎(chǔ)設(shè)施，因此他們無需擔(dān)心自己安裝和維護的問題。

由于目前國內(nèi)并未完全開放外國公司在中國大陸地區(qū)直接進行云計算業(yè)務(wù)，因此導(dǎo)致像亞馬孫、IBM等國外廠商在中國市場水土不服。目前，國內(nèi)公有云市場以阿里云、騰訊云為代表的服務(wù)提供商不斷發(fā)展，讓云服務(wù)的深度和廣度得到進一步延伸。本系統(tǒng)在綜合評估效能、成本、安全性等方面指標后，最終選用阿里云PaaS作為攻防平臺載體。

1.2 系統(tǒng)總體設(shè)計

開發(fā)的信息安全攻防實驗平臺集成阿里云平臺技術(shù)，整合現(xiàn)有藍盾實驗室硬件環(huán)境，實現(xiàn)網(wǎng)絡(luò)攻防實驗環(huán)境的配置分發(fā)，給學(xué)生提供了真實的攻防環(huán)境。同時，系統(tǒng)利用虛擬機技術(shù)，快速地恢復(fù)整個實驗網(wǎng)絡(luò)系統(tǒng)，減少實驗室配置人員的工作量。該平臺總體結(jié)構(gòu)如圖1所示，網(wǎng)絡(luò)攻防實驗系統(tǒng)由控制端、實驗及用戶信息數(shù)據(jù)庫、服務(wù)器等組成，阿里云平臺集成在實驗系統(tǒng)中，提供虛擬靶機的環(huán)境。教師或?qū)W生可以登錄實驗系統(tǒng)，進行實驗上傳和分發(fā)，以及進行相應(yīng)的實驗操作。

圖1 信息安全攻防平臺總體結(jié)構(gòu)

本系統(tǒng)采用 B/S總體構(gòu)架，系統(tǒng)按對象分模塊進行設(shè)計，平臺由挑戰(zhàn)模式和對抗模式組成。所設(shè)計的模塊有用戶信息管理模塊、實驗操作平臺和評分記錄系統(tǒng)。在實驗操作平臺中設(shè)置按鈕，當學(xué)生進入實驗操作平臺并點擊按鈕，學(xué)生將自動進入相應(yīng)的實驗。該系統(tǒng)擬分為4層：GUI（圖形用戶界面層）、應(yīng)用邏輯層、業(yè)務(wù)邏輯層以及數(shù)據(jù)層[4]，如圖2所示。

網(wǎng)站平臺構(gòu)建采用PHP+MySQL +Apache的架構(gòu)，以Zend Studio作為開發(fā)環(huán)境。系統(tǒng)配置使用phpstudy程序集成包，通過在Windows系統(tǒng)上部署Phpstudy，而該程序包集成最新的PHP+MySQL+Apache+phpMyAdmin+ZendOptim-izer一次性安裝，無須配置即可使用，成功創(chuàng)建一個方便好用的PHP調(diào)試環(huán)境。PHP+Mysql+Apache是目前穩(wěn)定、成熟、安全的Web開發(fā)技術(shù)，其成熟的架構(gòu)，穩(wěn)定的性能，嵌入式開發(fā)方式和簡潔的語法為本網(wǎng)站的開發(fā)提供了很大的可行性和便利性。網(wǎng)站的開發(fā)主要包括前端頁面的開發(fā)和后臺數(shù)據(jù)庫的建立及維護兩個方面，定義了管理和用戶的兩個功能模塊，為此實現(xiàn)不同的功能需求[5]。

圖2 信息安全攻防平臺結(jié)構(gòu)層次

1.3 用戶界面功能設(shè)計

（1）系統(tǒng)首頁

用戶登錄成功后首先進入的是攻防平臺的首頁界面，在此界面中可看到關(guān)于安全攻防平臺的信息介紹，用戶可點擊頁面上的進入練習(xí)按鈕進入攻防練習(xí)界面進行練習(xí)，點擊平臺首頁頁面上的進入練習(xí)按鈕，進入攻防練習(xí)主頁；攻防練習(xí)類型主要分為挑戰(zhàn)練習(xí)和對抗練習(xí)；用戶可根據(jù)個人練習(xí)內(nèi)容進入挑戰(zhàn)練習(xí)界面或進入對抗練習(xí)界面，進行攻防練習(xí)學(xué)習(xí)。如圖3所示。

圖3 系統(tǒng)首頁

（2）知識庫

知識庫是對本平臺中所涉及到網(wǎng)絡(luò)安全知識從概念原理和簡單應(yīng)用兩方面對知識進行詳細全面地描述和講解，同時對沒有涉及到的知識進行補充。當用戶在平臺訓(xùn)練中遇到不熟悉的問題，或是對靶機漏洞不太了解時，能夠填補知識的空白。主要涉及XSS原理及應(yīng)用、權(quán)限繞過、暴力破解、SQL注入、漏洞掃描、密碼破解、Webshell上傳等方面。

（3）挑戰(zhàn)練習(xí)

挑戰(zhàn)練習(xí)科目分為五大類，分別為：基礎(chǔ)關(guān)、腳本關(guān)、注入關(guān)、上傳關(guān)和解密關(guān)；每個類別中再根據(jù)需求對練習(xí)題目進行再次分類。以基礎(chǔ)關(guān)為例，主要包括判斷題和選擇題兩大類，點擊判斷題或選擇題按鈕即可進入相應(yīng)題目類型的練習(xí)界面；判斷題或選擇題練習(xí)界面的左側(cè)顯示題目列表，用戶可通過點擊選擇要作答的題目；頁面右側(cè)顯示用戶所選題目的題目標題、題目內(nèi)容及個人作答的答案，用戶點擊提交答案后，可通過點擊查看答案查看個人作答的對錯或顯示正確答案。如圖4所示。

圖4 挑戰(zhàn)練習(xí)示例

（4）對抗練習(xí)

對抗練習(xí)界面主要用于多人模擬對抗攻防的演練；該界面通過端口映射技術(shù)鏈接進入到開放的云安全攻防練習(xí)平臺--藍盾攻防練習(xí)平臺。

圖5 對抗練習(xí)示例

2 總結(jié)

對于信息安全，放在不同的維度來看會有不同的社會、經(jīng)濟效益。放在國家層面，信息安全代表著國家安全和利益；放在企業(yè)層面，信息安全代表著資產(chǎn)安全與系統(tǒng)安全；放在個人層面，信息安全代表著人權(quán)與個人隱私。因此，用辯證與多角度的視野來審視安全問題，會讓我們對信息安全有著全面的認識。在面對日益復(fù)雜的國際、國內(nèi)環(huán)境下，加大信息安全技術(shù)產(chǎn)品的研發(fā)投入尤為重要，本文介紹了一種適用高校教學(xué)實驗環(huán)境的基于公有云的信息安全攻防平臺技術(shù)方案，為學(xué)生提供了綜合仿真的實訓(xùn)環(huán)境，有效的調(diào)動了學(xué)生的學(xué)習(xí)興趣，提高專業(yè)技能操作水平。

[1]冷令,吳偉斌.光纖網(wǎng)絡(luò)中多通道最優(yōu)選取的路由協(xié)議設(shè)計[J].激光技術(shù)，2017.

[2]余姜德,梁本來,冷令.高職信息安全專業(yè)實訓(xùn)課程與實訓(xùn)平臺構(gòu)建探索[J].廣東職業(yè)技術(shù)教育與研究，2018.

[]張容齊.基于云計算平臺的服務(wù)自動化部署機制研究[D].北京郵電大學(xué)，2015.

黃曉芳.網(wǎng)絡(luò)攻防實驗平臺開發(fā)與實現(xiàn)[J].實驗技術(shù)與管理，2017.

陳昕等.云技術(shù)網(wǎng)絡(luò)攻防實驗平臺的研究與實現(xiàn)[J].網(wǎng)絡(luò)空間安全，2017.

2018年度中山職業(yè)技術(shù)學(xué)院校級科研項目（一般項目）：基于云平臺的網(wǎng)絡(luò)攻防系統(tǒng)研究與實現(xiàn)（2018KQ11）。