基于公有云的信息安全攻防平臺(tái)研究與實(shí)現(xiàn)

2019-02-20 03:49:46◆冷令

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2019年2期

◆冷令

◆冷令

（中山職業(yè)技術(shù)學(xué)院廣東 528400）

隨著云計(jì)算和虛擬化技術(shù)的不斷成熟，尤其是公有云服務(wù)的快速發(fā)展，開(kāi)發(fā)者可以方便的整合上游的服務(wù)和下游最終用戶(hù)，打造新的價(jià)值鏈和生態(tài)系統(tǒng)。本文以公有云為載體，設(shè)計(jì)并實(shí)現(xiàn)一個(gè)基于B/S架構(gòu)的信息安全攻防平臺(tái)。該平臺(tái)以攻擊與防護(hù)理論學(xué)習(xí)為基礎(chǔ)，加深學(xué)生對(duì)信息安全諸多領(lǐng)域的深入理解，支持多方面的實(shí)訓(xùn)及工程實(shí)踐，涵蓋多層次的實(shí)驗(yàn)操作，以真實(shí)環(huán)境的真實(shí)攻防演練為指南。同時(shí)，平臺(tái)通過(guò)端口映射技術(shù)聯(lián)動(dòng)校內(nèi)的另一套硬件網(wǎng)絡(luò)攻防設(shè)備。

云計(jì)算；信息安全攻防平臺(tái)；虛擬化；公有云

0 引言

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全威脅也日益增長(zhǎng)。針對(duì)高校的信息安全專(zhuān)業(yè)人才培養(yǎng)也提出了更高的要求，傳統(tǒng)的攻防平臺(tái)都是基于真實(shí)的網(wǎng)絡(luò)和物理設(shè)備搭建，不僅費(fèi)用高昂，而且網(wǎng)絡(luò)攻防演練很可能會(huì)對(duì)真實(shí)網(wǎng)絡(luò)設(shè)備和主機(jī)造成一定危害，所以研究如何實(shí)現(xiàn)有效的搭建和管理信息安全攻防演練平臺(tái)成為培育信息安全人才的重要課題。

本平臺(tái)基于公有云資源，利用B/S架構(gòu)為學(xué)生提供模擬網(wǎng)絡(luò)攻擊與防護(hù)的場(chǎng)景，平臺(tái)以知識(shí)點(diǎn)管理為中心、學(xué)習(xí)活動(dòng)為驅(qū)動(dòng)，結(jié)合學(xué)生自主搭建模擬攻防環(huán)境，共同提供一套輔助性培訓(xùn)信息化解決方案。創(chuàng)新性的引進(jìn)了公有云平臺(tái)教學(xué)的理念、模擬網(wǎng)絡(luò)攻擊與防護(hù)環(huán)境，可將面授課堂及網(wǎng)絡(luò)攻擊過(guò)程完全搬到網(wǎng)絡(luò)平臺(tái)進(jìn)行。

1 基于云平臺(tái)的信息安全攻防平臺(tái)總體功能

通過(guò)分析當(dāng)前主流的網(wǎng)絡(luò)攻防平臺(tái)技術(shù)，包括基于仿真的網(wǎng)絡(luò)攻防平臺(tái)、基于傳統(tǒng)技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)和基于虛擬化技術(shù)的網(wǎng)絡(luò)攻防平臺(tái)，吸收現(xiàn)有平臺(tái)技術(shù)的優(yōu)點(diǎn)，給出一種適用高校教學(xué)實(shí)驗(yàn)環(huán)境的基于公有云平臺(tái)的信息安全攻防系統(tǒng)的技術(shù)方案，研究和實(shí)現(xiàn)基于公有云的信息安全攻防平臺(tái)。

平臺(tái)包括挑戰(zhàn)模式和對(duì)抗模式兩種模式。挑戰(zhàn)模式是由系統(tǒng)提供若干套靶場(chǎng)環(huán)境，學(xué)員進(jìn)行滲透，目標(biāo)為固定目標(biāo)，主要提高學(xué)生的滲透能力；對(duì)抗模式每小組分別由2個(gè)滲透學(xué)員和1名防護(hù)學(xué)員組成，除了攻擊其他小組目標(biāo)時(shí)，還要針對(duì)本團(tuán)隊(duì)目標(biāo)進(jìn)行防護(hù)，防止其他學(xué)員攻擊本組目標(biāo)，主要考核學(xué)員在安全防護(hù)過(guò)程中的應(yīng)變能力。

1.1 公有云平臺(tái)選用

公有云通常指第三方提供商為用戶(hù)提供的能夠使用的云，公有云一般通過(guò) Internet 使用，免費(fèi)或成本低廉，公有云的核心屬性是共享資源服務(wù)。它使客戶(hù)能夠訪(fǎng)問(wèn)和共享基本的計(jì)算機(jī)基礎(chǔ)設(shè)施，其中包括硬件、存儲(chǔ)和帶寬等資源。除了通過(guò)網(wǎng)絡(luò)提供服務(wù)外，客戶(hù)只需為他們使用的資源支付費(fèi)用。此外，由于組織可以訪(fǎng)問(wèn)服務(wù)提供商的云計(jì)算基礎(chǔ)設(shè)施，因此他們無(wú)需擔(dān)心自己安裝和維護(hù)的問(wèn)題。

由于目前國(guó)內(nèi)并未完全開(kāi)放外國(guó)公司在中國(guó)大陸地區(qū)直接進(jìn)行云計(jì)算業(yè)務(wù)，因此導(dǎo)致像亞馬孫、IBM等國(guó)外廠商在中國(guó)市場(chǎng)水土不服。目前，國(guó)內(nèi)公有云市場(chǎng)以阿里云、騰訊云為代表的服務(wù)提供商不斷發(fā)展，讓云服務(wù)的深度和廣度得到進(jìn)一步延伸。本系統(tǒng)在綜合評(píng)估效能、成本、安全性等方面指標(biāo)后，最終選用阿里云PaaS作為攻防平臺(tái)載體。

1.2 系統(tǒng)總體設(shè)計(jì)

開(kāi)發(fā)的信息安全攻防實(shí)驗(yàn)平臺(tái)集成阿里云平臺(tái)技術(shù)，整合現(xiàn)有藍(lán)盾實(shí)驗(yàn)室硬件環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境的配置分發(fā)，給學(xué)生提供了真實(shí)的攻防環(huán)境。同時(shí)，系統(tǒng)利用虛擬機(jī)技術(shù)，快速地恢復(fù)整個(gè)實(shí)驗(yàn)網(wǎng)絡(luò)系統(tǒng)，減少實(shí)驗(yàn)室配置人員的工作量。該平臺(tái)總體結(jié)構(gòu)如圖1所示，網(wǎng)絡(luò)攻防實(shí)驗(yàn)系統(tǒng)由控制端、實(shí)驗(yàn)及用戶(hù)信息數(shù)據(jù)庫(kù)、服務(wù)器等組成，阿里云平臺(tái)集成在實(shí)驗(yàn)系統(tǒng)中，提供虛擬靶機(jī)的環(huán)境。教師或?qū)W生可以登錄實(shí)驗(yàn)系統(tǒng)，進(jìn)行實(shí)驗(yàn)上傳和分發(fā)，以及進(jìn)行相應(yīng)的實(shí)驗(yàn)操作。

圖1 信息安全攻防平臺(tái)總體結(jié)構(gòu)

本系統(tǒng)采用 B/S總體構(gòu)架，系統(tǒng)按對(duì)象分模塊進(jìn)行設(shè)計(jì)，平臺(tái)由挑戰(zhàn)模式和對(duì)抗模式組成。所設(shè)計(jì)的模塊有用戶(hù)信息管理模塊、實(shí)驗(yàn)操作平臺(tái)和評(píng)分記錄系統(tǒng)。在實(shí)驗(yàn)操作平臺(tái)中設(shè)置按鈕，當(dāng)學(xué)生進(jìn)入實(shí)驗(yàn)操作平臺(tái)并點(diǎn)擊按鈕，學(xué)生將自動(dòng)進(jìn)入相應(yīng)的實(shí)驗(yàn)。該系統(tǒng)擬分為4層：GUI（圖形用戶(hù)界面層）、應(yīng)用邏輯層、業(yè)務(wù)邏輯層以及數(shù)據(jù)層[4]，如圖2所示。

網(wǎng)站平臺(tái)構(gòu)建采用PHP+MySQL +Apache的架構(gòu)，以Zend Studio作為開(kāi)發(fā)環(huán)境。系統(tǒng)配置使用phpstudy程序集成包，通過(guò)在Windows系統(tǒng)上部署Phpstudy，而該程序包集成最新的PHP+MySQL+Apache+phpMyAdmin+ZendOptim-izer一次性安裝，無(wú)須配置即可使用，成功創(chuàng)建一個(gè)方便好用的PHP調(diào)試環(huán)境。PHP+Mysql+Apache是目前穩(wěn)定、成熟、安全的Web開(kāi)發(fā)技術(shù)，其成熟的架構(gòu)，穩(wěn)定的性能，嵌入式開(kāi)發(fā)方式和簡(jiǎn)潔的語(yǔ)法為本網(wǎng)站的開(kāi)發(fā)提供了很大的可行性和便利性。網(wǎng)站的開(kāi)發(fā)主要包括前端頁(yè)面的開(kāi)發(fā)和后臺(tái)數(shù)據(jù)庫(kù)的建立及維護(hù)兩個(gè)方面，定義了管理和用戶(hù)的兩個(gè)功能模塊，為此實(shí)現(xiàn)不同的功能需求[5]。

圖2 信息安全攻防平臺(tái)結(jié)構(gòu)層次

1.3 用戶(hù)界面功能設(shè)計(jì)

（1）系統(tǒng)首頁(yè)

用戶(hù)登錄成功后首先進(jìn)入的是攻防平臺(tái)的首頁(yè)界面，在此界面中可看到關(guān)于安全攻防平臺(tái)的信息介紹，用戶(hù)可點(diǎn)擊頁(yè)面上的進(jìn)入練習(xí)按鈕進(jìn)入攻防練習(xí)界面進(jìn)行練習(xí)，點(diǎn)擊平臺(tái)首頁(yè)頁(yè)面上的進(jìn)入練習(xí)按鈕，進(jìn)入攻防練習(xí)主頁(yè)；攻防練習(xí)類(lèi)型主要分為挑戰(zhàn)練習(xí)和對(duì)抗練習(xí)；用戶(hù)可根據(jù)個(gè)人練習(xí)內(nèi)容進(jìn)入挑戰(zhàn)練習(xí)界面或進(jìn)入對(duì)抗練習(xí)界面，進(jìn)行攻防練習(xí)學(xué)習(xí)。如圖3所示。

圖3 系統(tǒng)首頁(yè)

（2）知識(shí)庫(kù)

知識(shí)庫(kù)是對(duì)本平臺(tái)中所涉及到網(wǎng)絡(luò)安全知識(shí)從概念原理和簡(jiǎn)單應(yīng)用兩方面對(duì)知識(shí)進(jìn)行詳細(xì)全面地描述和講解，同時(shí)對(duì)沒(méi)有涉及到的知識(shí)進(jìn)行補(bǔ)充。當(dāng)用戶(hù)在平臺(tái)訓(xùn)練中遇到不熟悉的問(wèn)題，或是對(duì)靶機(jī)漏洞不太了解時(shí)，能夠填補(bǔ)知識(shí)的空白。主要涉及XSS原理及應(yīng)用、權(quán)限繞過(guò)、暴力破解、SQL注入、漏洞掃描、密碼破解、Webshell上傳等方面。

（3）挑戰(zhàn)練習(xí)

挑戰(zhàn)練習(xí)科目分為五大類(lèi)，分別為：基礎(chǔ)關(guān)、腳本關(guān)、注入關(guān)、上傳關(guān)和解密關(guān)；每個(gè)類(lèi)別中再根據(jù)需求對(duì)練習(xí)題目進(jìn)行再次分類(lèi)。以基礎(chǔ)關(guān)為例，主要包括判斷題和選擇題兩大類(lèi)，點(diǎn)擊判斷題或選擇題按鈕即可進(jìn)入相應(yīng)題目類(lèi)型的練習(xí)界面；判斷題或選擇題練習(xí)界面的左側(cè)顯示題目列表，用戶(hù)可通過(guò)點(diǎn)擊選擇要作答的題目；頁(yè)面右側(cè)顯示用戶(hù)所選題目的題目標(biāo)題、題目?jī)?nèi)容及個(gè)人作答的答案，用戶(hù)點(diǎn)擊提交答案后，可通過(guò)點(diǎn)擊查看答案查看個(gè)人作答的對(duì)錯(cuò)或顯示正確答案。如圖4所示。

圖4 挑戰(zhàn)練習(xí)示例

（4）對(duì)抗練習(xí)

對(duì)抗練習(xí)界面主要用于多人模擬對(duì)抗攻防的演練；該界面通過(guò)端口映射技術(shù)鏈接進(jìn)入到開(kāi)放的云安全攻防練習(xí)平臺(tái)--藍(lán)盾攻防練習(xí)平臺(tái)。

圖5 對(duì)抗練習(xí)示例

2 總結(jié)

對(duì)于信息安全，放在不同的維度來(lái)看會(huì)有不同的社會(huì)、經(jīng)濟(jì)效益。放在國(guó)家層面，信息安全代表著國(guó)家安全和利益；放在企業(yè)層面，信息安全代表著資產(chǎn)安全與系統(tǒng)安全；放在個(gè)人層面，信息安全代表著人權(quán)與個(gè)人隱私。因此，用辯證與多角度的視野來(lái)審視安全問(wèn)題，會(huì)讓我們對(duì)信息安全有著全面的認(rèn)識(shí)。在面對(duì)日益復(fù)雜的國(guó)際、國(guó)內(nèi)環(huán)境下，加大信息安全技術(shù)產(chǎn)品的研發(fā)投入尤為重要，本文介紹了一種適用高校教學(xué)實(shí)驗(yàn)環(huán)境的基于公有云的信息安全攻防平臺(tái)技術(shù)方案，為學(xué)生提供了綜合仿真的實(shí)訓(xùn)環(huán)境，有效的調(diào)動(dòng)了學(xué)生的學(xué)習(xí)興趣，提高專(zhuān)業(yè)技能操作水平。

[1]冷令,吳偉斌.光纖網(wǎng)絡(luò)中多通道最優(yōu)選取的路由協(xié)議設(shè)計(jì)[J].激光技術(shù)，2017.

[2]余姜德,梁本來(lái),冷令.高職信息安全專(zhuān)業(yè)實(shí)訓(xùn)課程與實(shí)訓(xùn)平臺(tái)構(gòu)建探索[J].廣東職業(yè)技術(shù)教育與研究，2018.

[]張容齊.基于云計(jì)算平臺(tái)的服務(wù)自動(dòng)化部署機(jī)制研究[D].北京郵電大學(xué)，2015.

黃曉芳.網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)開(kāi)發(fā)與實(shí)現(xiàn)[J].實(shí)驗(yàn)技術(shù)與管理，2017.

陳昕等.云技術(shù)網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)的研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)空間安全，2017.

2018年度中山職業(yè)技術(shù)學(xué)院校級(jí)科研項(xiàng)目（一般項(xiàng)目）：基于云平臺(tái)的網(wǎng)絡(luò)攻防系統(tǒng)研究與實(shí)現(xiàn)（2018KQ11）。