基于虛擬化和業務化的攻防演練平臺的研究

朱璽， 張黎首

(國網上海市電力公司信息通信公司，上海200122)

0 引言

隨著信息化的快速發展，各行業對于信息化的依賴越來越高，信息系統的基礎性、全局性作用越來越強。信息化在帶來效能的同時，病毒感染、黑客攻擊也極大威脅著企業的網絡安全與應用安全［1，2］。

為了進一步提升安全人員的攻防技能，并能利用常見的攻擊方式對測試系統進行模擬攻擊，測試出應用系統自身的抗攻擊能力和安全配置的實效性［3］，進而能夠提出安全策略修訂和相關加固方案，確保應用系統的安全性，需要進行信息安全攻防演練平臺的建設。

目前業界知名的信息安全攻防演練平臺，主要是國外開源機構發布的基于主流的漏洞的模擬環境。主要有Webgoat、dvwa和Linux－Metasploitable。Webgoat是知名應用安全機構OWASP發布的一個基于OWASP TOP 10的一個教學環境，主要覆蓋Web常見經典漏洞，SQL(關系化數據庫查詢語言)注入、跨站腳本等等，dvwa與之類似。linux－Metasloit是著名的Rapid7公司為其滲透測試產品量身定制的Vmware Workstation漏洞虛擬機，其主要覆蓋系統層漏洞，切中滲透攻擊的展示。

基于虛擬化和業務化安全攻防演練平臺(以下簡稱攻防演練平臺)，可進行主流網絡層(IP層等)、操作系統、數據庫系統、中間件系統等的漏洞攻擊防護測試，提供培訓、演練、測試的平臺，培養信息安全專家隊伍，不斷提升公司人員信息安全技術水平［4，5］。另外通過引入虛擬化技術可以極大的方便對于漏洞環境的備份、恢復等，攻防環境在攻擊和測試過程中不會遭受到破壞;同時結合行業業務引入業務系統的仿真模擬訓練環境，這樣彌補了傳統的漏洞環境的生硬，牽強，對于一些業務安全漏洞，有了更好的展示，有利于訓練人員理解和接收。……