基于云的信息安全攻防實踐及競賽平臺開發

馬李翠, 黎妹紅, 柳賢洙

(北京交通大學 計算機與信息技術學院, 北京　100044)

?

基于云的信息安全攻防實踐及競賽平臺開發

馬李翠, 黎妹紅, 柳賢洙

(北京交通大學 計算機與信息技術學院, 北京100044)

分析了信息安全實踐教學的技術現狀,提出了建設基于云的信息安全攻防實踐及競賽平臺,并給出了具體的建設方案。該平臺架構分為教育應用層、應用接口層和基礎設施層,主要實訓內容包括漏洞測試、手機安全、安全防護、持續控制目標。該方案轉變了傳統實驗模式和管理模式,解決了目前高校信息安全實踐環節建設成本高、管理維護效率低、實驗室利用率低、優質資源共享程度低等問題。

網絡信息安全； 云計算； 攻防實驗； 信息安全競賽

1　研究的意義

近年來,隨著網絡技術的創新發展,信息化已經成為全球經濟社會發展的顯著特征,但同時,計算機系統漏洞問題和病毒、網絡竊密、網絡攻擊等違法犯罪問題也日漸突出，培養信息安全技術人才十分重要。在高校傳統的信息安全實驗實踐教學系統中,由于實驗存在一定的對抗性和破壞性[1],所以大多是在獨立的網絡環境下進行的,而且實驗設備也都在物理隔離區域內,借助許多專用網絡安全設備、安裝有相應的特別工具軟件,并采用硬件保護[2],因此帶來了以下一些不容忽視的問題。

(1) 建設成本高[3]。實驗室的服務器、存儲設備、計算機、操作系統等軟硬件設備采購需要大量資金,而且硬件配置和軟件系統的更新換代非?？?存在資源使用周期過短,維護成本不斷升高的問題。

(2) 管理維護效率低。實驗教學系統是采用C/S結構,需要根據實驗內容在每一臺客戶機上安裝虛擬機、攻防工具、客戶端程序等。由于學生實驗課程會有所改變,在維護升級服務器端的同時還要維護升級客戶端,管理維護效率不高。

(3) 實驗室利用率低[4]。學生自行安裝或者卸載部分軟件、修改設置和系統服務,導致計算機運行速度慢。另外，實驗室的管理維護跟不上軟硬件的更新換代,導致學生使用實驗資源不方便,造成實驗室閑置率高。

(4) 優質資源共享程度低。信息安全實驗室一般只在規定的時間面向特定的用戶開放,資源共享程度不高。

(5) 實驗環境可擴展性差。不同課程教師會選擇安裝本課程實驗的軟件系統和服務,而機房固定的操作系統和各種應用程序并不能滿足一些課程的需求,無法實現跨領域共享以及靈活的調度和分配[5]。

基于云的信息安全攻防實踐及競賽平臺利用云計算技術,把實驗用到的復雜網絡拓撲、所有的計算和存儲任務都集中在服務器端,客戶端只使用B/S結構即可以使用和管理,甚至只要在聯網的地方使用筆記本電腦、平板電腦和手機等,也可以接入到平臺中。當計算性能不足時只需要增加服務器,更新換代也只需要更新一臺瘦客戶端或者顯示器即可,而且自帶筆記本電腦的學生可以無線或有線自動接入。除了可以進行信息攻防實訓之外,學生還可以在競賽平臺組隊進行分組對抗實訓。通過基于云的信息安全攻防實踐及競賽平臺,學生可以更深入地學習網絡安全基本理論,更真實地體驗實用技術,掌握信息安全防護的基本方法,提高網絡安全意識,增強網絡安全保障能力[6]。

2　云架構

云計算虛擬化平臺通過云計算管理平臺為計算機教學虛擬各種實驗操作環境,學生只需要有能夠接入互聯網的終端,即可進行計算機、網絡設備和安全設備的實際操作,了解它們的原理,掌握網絡安全知識和實際操作技能,真實體驗計算機系統、網絡和安全信息知識和實際操作演練過程。該平臺的云架構[7]分為教育應用層、應用接口層和基礎設施層(見圖1)。

圖1　信息安全攻防實踐及競賽平臺的云架構圖

教育應用層提供各類教育教學應用軟件,即面向教育的SaaS[8]。本層主要包含:(1)用于教學與管理的教學平臺、實驗平臺、監控分析平臺、資源共享平臺；(2)用于教學資源開發共享的文檔、課件制作軟件和演示軟件；(3)虛擬計算環境,即為教師和學生提供的較底層的虛擬計算資源,學生只需有終端和瀏覽器,就可以使用云平臺提供的海量存儲和計算能力；(4)基于云的虛擬計算實驗室。

應用接口層構建在基礎設施層之上,面向開發人員,為開發各類基于云計算的教育應用軟件提供開發環境和公用API等,即提供PaaS[8]。公用API以Web Service的形式提供給開發人員,從而減少了開發人員許多系統管理的操作。開發人員也可以使用公用API開發自己的Web Service.

基礎設施層為上層提供計算、數據存儲和網絡通信等資源,即提供IaaS。分為物理硬件子層和虛擬化子層,是整個架構的基礎。其中,物理硬件子層由各種真實的物理硬件組成,包括服務器、存儲器和網絡設備。虛擬化子層構建在物理硬件子層之上,利用虛擬化技術對底層硬件設備進行管理,向上提供計算、數據存儲和網絡通信等虛擬資源,由各類虛擬機組成。當前系統使用的虛擬化技術為KVM。

3　基于云的信息安全平臺拓撲結構

基于云的信息安全攻防實踐及競賽平臺的網絡拓撲結構如圖2所示,分為5部分。

圖2　網絡拓撲結構圖

奪旗靶場區:主要包括MAIL服務器和DB服務器,金、銀、銅牌服務器。其中金、銀、銅牌服務器提供靶機虛擬化模板自定義功能,如主機系統、Web應用、用戶業務應用系統級漏洞虛擬化模板。系統監控平臺調度靶機模板,根據不同的實戰任務自動調度相應任務所需要的靶機虛擬化模板功能。

數據區、開發測試區和內網服務區:通過多臺專用信息安全虛擬化設備(Sandbox)虛擬出信息安全所需的場景,如Web攻防平臺、應用攻防平臺、威脅分析平臺、數據挖掘平臺、基線掃描平臺、漏洞分析平臺、木馬分析平臺等，實現紅、藍對抗實戰,并對實戰過程進行監控,實時記錄對抗信息并給出排名。

終端競賽區:學生通過B/S使用信息安全攻防和競賽平臺。

互聯網接入區:滿足學生遠程接入信息安全實驗室,方便學習并充分利用實驗室資源。

競賽滲透區:發現和挖掘競賽區中存在的漏洞,解決存在的安全隱患和問題,確保終端用戶可以正常參與實驗。

3.1功能模塊

信息安全攻防實踐及競賽平臺主要由兩大模塊構成,即選手攻防模塊和服務器模塊,如圖3所示。

圖3　功能模塊圖

選手登錄平臺后,可以根據自己的知識水平選擇基礎關、腳本關、破解關、內核關、溢出關和綜合關,每個關卡都有指導文檔和部分操作視頻。通過闖關,學生可以評估自己的基礎網絡知識、腳本攻擊知識、操作系統原理、內核理解以及底層的相關知識,獲得競賽成績和分析報告,彌補知識漏洞。

管理人員在服務器端可以自主新增、導入、導出和審核選手；可以利用虛擬化技術,在多個主映像上安裝能滿足不同實驗需求的系統軟件和應用軟件。安裝操作與使用物理主機一樣,但發布和部署到客戶端所用的時間卻很短。主鏡像以多用戶共享的機制給參加實訓的用戶同時使用。學生在虛擬桌面上完成的設置和修改,在云主機或虛擬桌面重啟后可以得到保留[9]。根據關卡需求,管理人員在平臺上可以生成具有不同操作系統漏洞和應用軟件漏洞的虛擬靶機,并在靶機上安裝相應的防護工具,平臺會對競賽過程中的目標機和靶機進行實時監控并記錄攻擊軌跡。利用云平臺修改虛擬機配置、網絡拓撲、關卡文檔等[10],不斷改進關卡,擴充競賽內容。在競賽完成后,可以查看選手成績,系統分析整體競賽情況,并導出分析文檔。

3.2實訓內容

信息安全攻防實踐平臺的實訓內容依據學校特色課程和教師擅長的專業合理制定,并密切結合信息安全的熱點問題、研究趨勢和現實應用,緊跟行業發展,最大限度地再現真實的網絡安全環境,讓學生能夠在虛實結合的環境中不斷探索、不斷總結,提高學生興趣和實踐技能。平臺針對信息安全攻防方向,設置了4大類實訓內容,包括漏洞測試、手機安全、安全防護和持續控制目標。

(1) 漏洞測試。包括網絡滲透、操作系統滲透、Web應用滲透和數據庫滲透,掌握網絡滲透相關的使用工具、IPsec安全技術及一些共享漏洞利用。

(2) 手機安全。包括Android手機權限控制、木馬程序設計和分析、通訊錄、短信竊取,理解安全模型、實現對手機行為控制。

(3) 安全防護。包括Windows、Linux下系統日志清除、系統安全、綜合掃描和安全評估,熟悉物理安全、網絡結構、系統安全和管理安全分析技術。

(4) 持續控制目標。包括遠程入侵、堆棧緩沖區溢出、冰河木馬攻擊測試、DNS漏洞、FTP漏洞,理解入侵者控制操作系統的方法,并防止入侵者重返。

3.3競賽內容

學生在學習了信息安全理論知識、夯實基礎的前提下開展信息安全對抗賽,可以利用掌握的知識,靈活變動、挑戰自己,既可以活學活用已有的知識,又可以豐富信息安全實戰手段。信息安全對抗賽內容如圖4所示。

圖4　信息安全對抗賽內容圖

(1) 個人挑戰賽。分為基礎、腳本、破解、溢出、內核、綜合6種題型。關卡考察內容涉及Web知識、ASP/PHP腳本、緩沖區溢出、軟件脫殼破解、系統漏洞利用、社會工程學等信息安全知識。

(2) 分組對抗賽。在封閉的真實對抗環境(包括DMZ區、數據區、開發測試區、內網服務區、終端區)中展開攻防角逐,充分展示參賽學生的個人水平和小組的協同能力。

(3) 奪旗賽。奪旗賽(capture the flag,CTF),衍生自古代軍事戰爭模式。兩隊人馬前往對方基地奪旗,每隊人馬須在保護好己方旗幟的情況下將對方旗幟帶回基地。

4　系統實踐

目前,平臺提供了實訓內容和競賽內容2個模塊。在每個模塊中,教師可以按照課程需求,自主創建實驗課程、搭建實驗網絡拓撲、進行環境配置,在實踐過程中,可以擴展實驗內容,充分利用平臺。實訓內容如表1所示,其中包括目前信息安全領域內諸多熱點問題,并結合學生的知識水平,介紹了信息安全理論、安全框架和安全機制[11]。信息安全競賽內容如表2所示,這些競賽內容有利于培養學生運用所學知識開發安全的信息系統,或運用、管理和維護信息安全系統。

表1　信息安全實訓內容

表2　信息安全競賽內容

5　結語

信息安全攻防實踐及競賽平臺利用云計算虛擬化技術,不但大大降低了教學成本,有效利用了課程資源,并使維護管理工作更加簡單,而且促進學生自主學習、轉變學習方式。教師能夠監控學生虛擬機、輕松分配實驗、實現教學互動。由于網絡帶寬對信息安全攻防實踐及競賽平臺穩定性有一定影響,服務器的負載調度[12]正在測試和優化中,后續的工作將著重研究服務器的調度算法,以降低網絡對平臺的影響,完善云平臺中數據的存儲和備份機制,改進平臺的使用效果。

References)

[1] 底曉強,張宇昕,趙建平.基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索[J].實驗技術與管理,2015,32(4):147-151.

[2] 魏強強.網絡攻防技術的特點及模擬方法的發展研究[J].數字技術與應用,2013(12):188.

[3] 王峰,黃港.基于云平臺的計算機實驗教學中心建設[J].實驗技術與管理,2014,31(12):121-123.

[4] 李賀華.基于云計算機系統的實訓平臺研究與實現[J].實驗技術與管理,2015,32(3):157-160,202.

[5] 李磊,李小寧,金連文.基于Openstack的科研教學云計算平臺的構建與運用[J].實驗技術與管理,2014,31(6):127-133，174.

[6] 趙宏,王靈霞.高校計算機網絡安全課程教學改革與實踐[J].蘭州文理學院學報:自然科學版,2015,29(1):113-116.

[7] 章澤昂,鄔家煒.基于云計算的教育信息化平臺的研究[J].中國遠程教育,2010(11):66-69.

[8] 劉鵬.云計算[M].北京:電子工業出版社,2011.

[9] 王宇英,秦興國.高校開放實驗室管理模式探討[J].教育與職業,2013(3):158-159.

[10] 周世杰,吉家成,王華.虛擬仿真實驗教學中心建設與實踐[J].計算機教育,2015(9):5-11.

[11] 張濤,尹孟嘉,陳曉文.信息安全實驗教學的設計與研究[J].電腦與電信,2015(5):19-21.

[12] 袁新顏.基于云計算平臺的虛擬實驗室設計與實現探究[J].信息安全與技術,2013,4(6):80-82.

Practice on cloud-based attack and defense training and development of competition platform for information security

Ma Licui, Li Meihong, Liu Xianzhu

(School of computer and information technology, Beijing jiaotong university, Beijing 100044, China)

The main technical status of information security practice teaching is analyzed. It is proposed that the information security attack and defense training and competition platform based on the cloud, and the specific platform construction scheme is presented, at present, this system is in trial operation. This scheme changes the traditional experimental mode and management mode, and solves many current problems, such as high construction cost, inefficient-maintenance and management, low utilization of laboratory, ineffective sharing of excellent resources, moreover, this platform can encourage the students to study hard and improve the teachers’ work enthusiasm.

network information security; cloud computing; attack and defense experiment; information security competition

DOI:10.16791/j.cnki.sjg.2016.04.038

2015- 08- 12

中央高?；究蒲袠I務費專項(2015JBM041)資助；北京交通大學實驗室研究課題(15050601)資助

馬李翠(1992—),女,陜西渭南,碩士研究生,主要研究方向為信息安全

E-mail：14120412@bjtu.edu.cn

黎妹紅(1975—),男,湖北黃梅,博士,講師,主要研究方向為信息安全.

E-mail：mhli1@bjtu.edu.cn

TP393

A

1002-4956(2016)4- 0138- 05