網絡攻防技術與信息安全實驗室建設構想

劉東生

摘要：文章主要是對信息安全攻防實驗室建設的相關內容進行闡述，包括建設的目標和必要性以及研究領域等。實驗室的建設構想主要是從兩個方面進行著重闡述的，即實驗室的組建和功能兩方面，最終立足于與功能實現來對建設信息安全實驗的意義進行討論。

關鍵詞：信息安全；攻防技術；數據庫應用；實驗室組建

1 信息安全攻防實驗室概述

1.1 目標

信息安全實驗室的建立主要是針對網絡攻防技術的應用，主要是為了促使安全攻防實驗在互聯網的應用能夠順利實現，以便搞好互聯網應用安全管理工作，展現出其中的威脅和漏洞，管理好安全風險的威脅、漏洞，做好培訓和攻防實驗，更好的針對信息系統做出安全測評，更好的針對生產系統做出滲透測試。

1.2 建立的必要性

為了更深刻的認識信息安全威脅及其漏洞，就務必要針對信息安全促使其防范技能的不斷提高。因而很有必要將一個科學的信息安全實驗室建立起來，作用主要有：針對某些特定領域集中管理信息安全威脅，以及對信息安全脆弱性的管理；可視化地對某些特定領域的信息安全威脅和脆弱性進行再現或展示；根據需要將特殊的攻防演練環境搭建起來，支持信息安全攻防演練，尤其是某些有特定要求的；針對信息安全攻防技術，提供某些具有特定需求的培訓、實驗；進行信息安全攻擊實驗的展示，進一步認識信息安全；提供特殊的研究和學習實驗平臺。

1.3 研究領域

信息安全包含著十分廣泛的領域，此次建設構想主要涉及了四個方面：包括了網絡、主機、應用以及數據庫等的安全領域。

2 信息安全攻防實驗室組件

2.1 總體架構

信息安全攻防實驗室的組成主要包括了六個子系統，分別是網絡以及操作平臺，攻擊、檢測與防御、目標等系統，還包括培訓和展示平臺。其中的網絡平臺主要是對不同的實驗網絡進行仿真，同時對平臺進行互聯。其中的操作平臺主要是用于攻守雙方的網絡操作，為系統操作提供一個終端，或是用于攻守雙方接入各自的自帶設備。攻擊系統主要是為攻擊方供給常用攻擊工具。檢測和防御系統主要是為防守方提供一個工具用來檢測和防御攻擊行為。目標系統提供的是一個應用系統用來提供仿真和數據庫系統等。培訓與展示平臺主要是方便教官講課和進行實驗演示等。

2.2 網絡平臺

網絡平臺的組成部分主要包括：路由器、三層交換機、防火墻、二級交換機等。

2.3 操作平臺

操作平臺是為學員和攻防實驗人員提供的終端系統主要用于學習和進行實驗。操作平臺可按照實驗需要來劃分成兩個子系統，即防御與攻擊兩大操作平臺。其中防御操作平臺是為防守方提供一定的操作環境，攻擊操作平臺則是為攻擊方提供一定的操作環境。

2.4 攻擊系統

本實驗室建設方案攻擊系統的組成包括兩部分，分別為漏洞掃描工具和攻擊工具系統，其中前者運用的是Web應用以及數據庫的弱點掃描器，此外還包括主機掃描器產品和第三方網絡；后者將多數常見攻擊工具都包括在內，實驗人員可借助軟件庫中的軟件來安裝自己所需的攻擊工具，從而作為自己的設備，或者是將這一系統中工作環境虛擬機開啟，對其中的攻擊工具進行直接的使用。一些常見的攻擊工具主要有BT5、CAIN和Netcat等等。

2.5 檢測與防御系統

2.5.1 防火墻

防火墻就是一種保護屏障，主要是用于內外部分的網絡以及專用和公共網絡之間，組合部分包括了軟、硬件設備。這是一種比較形象的稱呼，能夠取得一定的安全性。其體現了計算機硬軟件的良好結合，建立了一個存在于互聯網之間的安全網關，進而內部網受到保護，不再被非法用戶的隨意入侵。防火墻的構成主要包括四個部分：分別是訪問規則、包過濾、驗證工具、應用網關。

2.5.2 Web應用防火墻

Web應用防火墻主要是針對http/https，并據此執行了一系列安全策略，從而為Web應用進行專門的保護。總體而言，Web應用防火墻的功能主要包括四大方面：一是審計設備：主要是對全部http數據的截取或只是提供一些規則的服務會話；二是訪問控制設備：主要是為了對Web應用的訪問進行控制，這將主動安全模式和被動安全模式都包括在內。三是架構/網絡設計工具：在反向代理模式運行狀態下，可進行職能的分配、對基礎機構的虛擬以及集中控制等等。四是Web應用加固工具：促使Web應用的安全性得到增強，不但能將Web應用的固有弱點屏蔽掉，還可以對因編程錯誤造成的安全隱患進行保護。

2.5.3 網站安全監測平臺

網站安全監測平臺體現了軟硬件的一體化，借助遠程監測技術實時的監測Web應用，服務時間達7×24小時。經過不間斷的檢測網站，進而促使網站具有更強的安全防護能力和更好的服務質量，借助平臺的事件跟蹤功能還可以將長效安全保障機制建立起來。

2.6 目標系統

目標系統作為一種信息系統設施，擁有不同的漏洞。主要包括主機、應用系統和數據庫系統之類。系統都是運用了虛擬化技術，借助設計來合理的排布一些常見漏洞，使其進入虛擬機系統中，同時固化這些虛擬機系統，使其成為一個映像，借助重啟可至原始狀態。

3 信息安全攻防實驗室功能

3.1 信息安全攻防對抗演習

信息安全攻防實驗室建設構想可以進行信息安全攻防對抗演習，由攻防雙方進行的攻防演習主要是在仿真平臺上加以應用。攻方可以借助所有可用的手段或工具來進攻目標系統。而防御方則可借助檢測和防御系統來抵御，同時防御攻擊的手段還包括安全加固信息系統。信息安全攻防對抗演習作為一項很有實效的方法，主要是用于對安全防御和攻擊的能力進行評估，還可以很好的驗證信息系統是否安全。

3.2 安全驗證

安全驗證針對的信息系統，主要是對其進行全生命周期的安全測評。其涵蓋的工作內容主要是相關的測評工作，涉及信息系統的驗收測試、上線前和生產環境中的測評。就信息系統上線前的測評工作來說，主要是為了在投運系統前、升級改造后，可以全面的進行運行環境的安全測評，同時對其安全加固進行協助，從而確保系統上線運行的時候能夠使有關安全要求得到滿足。

3.3 滲透測試

要想針對生產系統采取風險評估，就有必要對其開展滲透測試。而信息安全攻防實驗室創設了這樣一個接口，測試人員可借助實驗室的攻擊系統來采取滲透測試，還可借助攻擊系統來監控和評估這一測試。文中提出的信息安全攻防實驗室構想這方面比較完善，有的接口可以直接連接Internet網絡，滲透測試工程師可借助實驗室提供一些工具來進行滲透測試，諸如應用系統弱點以及數據庫弱點的掃描器等攻擊工具。借助實驗室來針對生產系統開展滲透測試，其具有兩點益處：第一，實驗室具有較為齊全的掃描和測試工具；第二，實驗室擁有不同的信息安全的漏洞以及威脅，還包括了驗證實驗環境。這些條件對實施滲透測試工作是非常有幫助的。

3.4 信息安全及網絡技術培訓

信息安全攻防實驗室可創造良好的教學培訓平臺，這是在虛擬化技術基礎上建立的平臺，可以進行專業的攻防演練，還擁有專門的考試系統。借助這一系統，可以對攻防過程加深理解，從而促使技術人員更好的提高自身的安全技能。這一系統能夠借助大屏幕來為觀摩的人員展示攻防的過程，從而為其參觀和考察提供方便，還能錄制攻防過程的實況以及進行實況回放。該平臺對有關信息安全技術的培訓和考試很有幫助，要與相關培訓活動相結合，諸如仿真系統安全防護演練等。對于信息安全人才的培養來說是很有幫助的，可進行信息安全意識教育和競賽等活動。此次構想的教學培訓平臺還會創設一個考試與驗證的功能給學員提供便利，教官也能夠借助系統這一平臺來評價學員的實驗。

3.5 信息安全威脅與漏洞概念驗證

通常我們易理解信息和信息技術存在安全風險。然而普遍人員往往對于威脅和信息技術的脆弱性無法直觀的體會和了解。攻防演練平臺可以很好的驗證信息安全威脅和漏洞的概念。對于攻擊路徑和具體操作方法也能通過比較直觀的方式呈現出來。借助攻防平臺形象直觀的演示，能夠促使參觀人員對于一些抽象的內容更直觀的了解，諸如威脅、脆弱性、作用原理等等。

4 結語

總之，文章提出建設信息安全實驗室主要是借助了網絡攻防技術；主要是致力于研究Web應用以及數據庫的安全，從而將必要的科研環境創造出來，為相關安全研究提供方便，諸如Web應用、數據庫和主機等的安全研究。希望最終能夠有相關工作的開展提供一定的借鑒。