網(wǎng)絡(luò)安全競賽平臺(tái)設(shè)計(jì)

廖建博　張韜　唐紅英　賈亞茹

[摘要]針對大多本科院校沒有配備相應(yīng)的網(wǎng)絡(luò)安全競賽環(huán)境，文章提出搭建一套網(wǎng)絡(luò)安全競賽平臺(tái)的設(shè)計(jì)思路。它以體積小、易部署、易管理為目標(biāo)進(jìn)行模塊化設(shè)計(jì)，以賽促學(xué)，通過競賽提高學(xué)生對網(wǎng)絡(luò)安全知識(shí)的運(yùn)用能力和實(shí)踐能力。平臺(tái)適用于大多數(shù)安全類競賽，對推進(jìn)安全類課程教學(xué)和提高學(xué)生動(dòng)手實(shí)踐能力具有重要意義。

[關(guān)鍵詞]網(wǎng)絡(luò)安全；平臺(tái)設(shè)計(jì)；實(shí)戰(zhàn)環(huán)境

1 引言

2013年6月美國前中情局職員愛德華·斯諾登將美國國家安全局的“棱鏡”項(xiàng)目曝光之后，信息安全、網(wǎng)絡(luò)安全被推上了前所未有的高度。隨著互聯(lián)網(wǎng)、專用網(wǎng)絡(luò)化信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的普及和推廣，信息安全已經(jīng)不再僅僅是個(gè)人的利益，更是關(guān)系到國防、政策等國家層面，它對培養(yǎng)具有信息安全知識(shí)和應(yīng)用技能的專業(yè)技術(shù)人才提出了更高的要求。我國近年來相當(dāng)重視信息安全研究，相繼完成一系列的重大工程。政策上大力支持，在維護(hù)國家信息安全，網(wǎng)絡(luò)安全方面發(fā)揮了重要作用。但在人才培養(yǎng)方面，和對手相比，還有很大差距。主要問題在于大多本科院校沒有配備相應(yīng)的實(shí)戰(zhàn)環(huán)境，主要以理論為主，大學(xué)生缺少相應(yīng)的練習(xí)。針對存在的問題，設(shè)計(jì)基于B/S架構(gòu)的網(wǎng)絡(luò)安全競賽平臺(tái)，有利于學(xué)生對所學(xué)知識(shí)進(jìn)行練習(xí)或競賽，平臺(tái)具有簡單，易部署的特點(diǎn)，適用于大多數(shù)高校。

2 網(wǎng)絡(luò)安全競賽平臺(tái)架構(gòu)

競賽平臺(tái)需要完成題目推送，統(tǒng)計(jì)所有隊(duì)伍分?jǐn)?shù)及排名等功能。為了將系統(tǒng)功能的核心部分集中到服務(wù)器上。同時(shí)為了讓參賽用戶在任何地方能進(jìn)行操作而不需要安裝任何軟件。平臺(tái)采用“三層B/S分布式”架構(gòu)模式。此模式也為日后競賽平臺(tái)的開發(fā)、維護(hù)和使用提供了便利。三層B/S分布式計(jì)算結(jié)構(gòu)是互聯(lián)網(wǎng)時(shí)代的產(chǎn)物，它分為三部分：客戶瀏覽、應(yīng)用服務(wù)器（或稱反應(yīng)服務(wù)器）和數(shù)據(jù)庫服務(wù)器。

競賽平臺(tái)結(jié)構(gòu)分為演練平臺(tái)服務(wù)器和靶機(jī)服務(wù)器。演練平臺(tái)服務(wù)搭建在真實(shí)的服務(wù)器上，用于參賽人員答題及瀏覽排名和比賽事項(xiàng)。競賽題目存放于靶機(jī)服務(wù)器當(dāng)中，并做好相應(yīng)的備份，平臺(tái)能夠?qū)W(wǎng)絡(luò)內(nèi)所有虛擬服務(wù)器進(jìn)行有效的管理，并對所有的題目站點(diǎn)進(jìn)行合理的分配資源。

競賽平臺(tái)基礎(chǔ)架構(gòu)如圖1所示。

3 網(wǎng)絡(luò)安全競賽平臺(tái)設(shè)計(jì)

3.1 參賽用戶模塊設(shè)計(jì)

參賽用戶模塊作為用戶操作的接口。要滿足用戶能夠自主選擇答題類型及題目，解題后可快速驗(yàn)證，并能實(shí)時(shí)查看比賽事項(xiàng)及所有隊(duì)伍解題進(jìn)度和分?jǐn)?shù)等功能。參賽人員通過注冊成為正式用戶后，才能登錄平臺(tái)。注冊時(shí)需要提供用戶名、密碼、電子郵箱等信息。成功登錄平臺(tái)后，直接跳轉(zhuǎn)到題目界面，點(diǎn)擊已經(jīng)公布的題目會(huì)彈出題目信息、相關(guān)提示、題目入口及答案提交驗(yàn)證欄。

題目flag采用MD5加密的形式存儲(chǔ)在數(shù)據(jù)庫中，用戶在驗(yàn)證欄輸入對應(yīng)題目的flag，后臺(tái)進(jìn)行MD5加密驗(yàn)證。驗(yàn)證成功則會(huì)得到對應(yīng)的分?jǐn)?shù)。所有參賽用戶通過計(jì)分板能查看其他參賽用戶的比賽進(jìn)度和得分。計(jì)分板對所有隊(duì)伍的得分進(jìn)行由高到低進(jìn)行排名。

3.2 平臺(tái)管理模塊設(shè)計(jì)

管理模塊主要功能是便于管理員對所有競賽題目資源進(jìn)行統(tǒng)一的控制。通過一些圖形化可操作界面實(shí)現(xiàn)對平臺(tái)的管理。

管理模塊主要分為四個(gè)功能：參賽人員管理、題目信息管理、開放注冊和啟動(dòng)競賽。參賽人員管理主要針對參賽用戶，對違反規(guī)則的參賽者進(jìn)行取消資格并刪除操作。題目信息管理包括題目管理和題目類型管理兩塊。管理員通過模塊可對競賽題目進(jìn)行查看、修改、添加、刪除等一系列操作，題目類型管理模塊實(shí)現(xiàn)了管理員對題目類型進(jìn)行及時(shí)的增添和發(fā)布，題目類型也不僅僅局限于傳統(tǒng)安全類型，鼓勵(lì)競賽主辦方對知識(shí)點(diǎn)的創(chuàng)新應(yīng)用。開放注冊和啟動(dòng)競賽便于管理員按照規(guī)定，在—個(gè)時(shí)間段內(nèi)開放注冊或開始競賽，有利于維護(hù)比賽的公平，公正。

管理模塊是平臺(tái)的核心模塊之一，關(guān)系著競賽是否能正常進(jìn)行，只允許具有管理權(quán)限的人員登錄使用。為了提高系統(tǒng)安全性，管理人員用戶密碼采用MD5加密的形式在數(shù)據(jù)庫中進(jìn)行存儲(chǔ)，驗(yàn)證時(shí)同樣采用MD5進(jìn)行驗(yàn)證。后臺(tái)驗(yàn)證成功后，設(shè)置session，每一個(gè)界面都會(huì)進(jìn)行session檢查，根據(jù)session判斷是否已經(jīng)登錄，放在使用URL跳過登錄直接訪問管理模塊。

參賽用戶模塊與平臺(tái)管理模塊作為一整個(gè)應(yīng)用進(jìn)行設(shè)計(jì)，實(shí)際上參賽用戶模塊相當(dāng)于前臺(tái)，平臺(tái)管理模塊相當(dāng)于后臺(tái)。前臺(tái)和后臺(tái)鏈接至同一個(gè)數(shù)據(jù)庫當(dāng)中。統(tǒng)一查看，管理數(shù)據(jù)庫中的信息內(nèi)容。

3.3 競賽平臺(tái)數(shù)據(jù)庫設(shè)計(jì)

數(shù)據(jù)庫是整個(gè)競賽平臺(tái)的基礎(chǔ)及核心，前期對平臺(tái)建設(shè)進(jìn)行需求分析，閱讀大量相關(guān)書籍并對類似平臺(tái)進(jìn)行調(diào)研，選擇了MySQL關(guān)系型數(shù)據(jù)庫。MySQL數(shù)據(jù)庫具有體積小，速度快，易部署，總體擁有成本低，源碼開放等特點(diǎn)，適合應(yīng)用與中小型競賽平臺(tái)。

數(shù)據(jù)庫中設(shè)計(jì)了系統(tǒng)管理員表、用戶表、題目類型表、題目信息表、用戶一解題關(guān)系表等共五個(gè)表。

（1）系統(tǒng)管理員表：包括管理員編號(hào)、管理員用戶名稱、管理員用戶密碼、平臺(tái)是否開啟、是否允許注冊等信息。如表1所示。

（2）用戶表：包括用戶編號(hào)、用戶名稱、用戶密碼、用戶郵箱、用戶頭像、是否激活、得分、注冊時(shí)間、最后提交時(shí)間等信息。如表2所示。

（3）題目類型表：包括類型編號(hào)、類型名稱等信息。如表3所示。

（4）題目信息表：包括題目編號(hào)、題目名稱、題目分值、flag、題目類型、題目信息、提示等信息。如表4所示。

（5）用戶一解題關(guān)系表：包括事件主鍵、用戶編號(hào)、類型編號(hào)、題目編號(hào)、解題時(shí)間等信息。如表5所示。

創(chuàng)建完所有表之后，向系統(tǒng)管理員表和用戶表插入數(shù)據(jù)，作為系統(tǒng)默認(rèn)的管理員和測試用戶。SQL語句如下：

3.4 競賽主題開放性設(shè)計(jì)

傳統(tǒng)安全題目有幾類：Web安全題目、加解密題目、WiFi破解及數(shù)據(jù)分析題目、取證分析題目和虛擬靶機(jī)。

根據(jù)競賽的主題，競賽主辦方可以在管理模塊中對題目及題目類型進(jìn)行任意的添加或修改，提高競賽對學(xué)習(xí)的針對性。如競賽主題偏重于Android網(wǎng)絡(luò)安全，管理員只需在管理模塊中添加題目類型并發(fā)布對應(yīng)題目即可。

4 結(jié)束語

隨著國家對信息安全，網(wǎng)絡(luò)安全的重視，相信越來越多的人將會(huì)投身于安全領(lǐng)域的學(xué)習(xí)中。信息安全領(lǐng)域的特點(diǎn)是技術(shù)更新?lián)Q代速度快，同時(shí)實(shí)踐性要求很強(qiáng)，強(qiáng)調(diào)人與人之間的智慧對抗。如果高校不與時(shí)俱進(jìn)。增加補(bǔ)充符合時(shí)代的發(fā)展內(nèi)容，和實(shí)踐脫節(jié)，那么培養(yǎng)的學(xué)生不被社會(huì)認(rèn)可也是預(yù)料之中，我國信息安全人才培養(yǎng)需要新思路：以賽促學(xué)。網(wǎng)絡(luò)安全競賽的設(shè)計(jì)便是以此為初衷，此平臺(tái)設(shè)計(jì)在于提高學(xué)生對安全知識(shí)的學(xué)習(xí)熱情，提高實(shí)踐操作能力，同時(shí)通過比賽能更好的選拔網(wǎng)絡(luò)人才，對安全人才的培養(yǎng)有著重大的意義。對于競賽而言，此平臺(tái)還有些不足：Flag對于所有隊(duì)伍來說都是一樣的，直接體現(xiàn)在隊(duì)伍之間進(jìn)行交換Flag來獲得更高的成績。

在今后的工作中，需要加強(qiáng)對如何防止隊(duì)伍間交換Flag的研究，保證比賽更加公平，公正。