高校網絡空間安全靶場設計與實現

宣樂飛

【摘 要】網絡靶場是實現網絡安全技術研究、網絡安全人才培養的重要平臺。利用開源云計算技術open stack，完成網絡空間安全靶場的搭建。通過綜合云管理平臺，對教學實驗、綜合實戰、仿真實戰、攻防對抗等功能進行集中監控與管理。使用Docker技術，快速生成靶機，為高校信息安全類專業開展實訓教學提供快速響應的實戰訓練環境。

【關鍵詞】網絡空間;靶場;云計算;Docker

中圖分類號： TP393.08 文獻標識碼： A 文章編號： 2095-2457（2019）11-0087-002

DOI：10.19694/j.cnki.issn2095-2457.2019.11.038

【Abstract】Network shooting range is an important platform for the research of network security technology and the training of network security talents. Open stack， an open source cloud computing technology， is used to build a safe shooting range in cyberspace. Through the integrated cloud management platform， the functions of teaching experiment， integrated combat， simulation combat， attack and defense confrontation are centralized monitored and managed. Docker technology is used to generate target machine quickly， which provides a fast response training environment for information security major in Colleges and universities to carry out practical teaching.

【Key words】Cyberspace; Shooting range; Cloud computing; Docker

0 引言

信息安全是國家安全的重要組成部分，已經上升到與政治安全、經濟安全、領土安全等并駕齊驅的戰略高度。“沒有網絡安全就沒有國家安全”，而“網絡空間的競爭，歸根結底是人才競爭”。網絡靶場可擬真網絡空間環境，開展網絡空間安全研究、學習、測試、驗證、演練等活動，成為現階段研究的熱點[1]。

1 研究現狀

網絡空間安全靶場的發展主要包括三個階段， 第一階段主要針對病毒、木馬等攻擊武器建立基于實物的高仿真環境[2]。在此階段， 根據攻擊目標的軟硬件平臺， 建立盡可能相似的軟硬件平臺，用于測試攻擊武器能否成功繞過攻擊目標的防護軟件，主要包括蜜罐系統、木馬測試系統等。第二階段是小型虛擬化互聯網靶場時期。在此階段，云計算、SDN等虛擬技術是該階段的主流技術，通過提供虛擬環境模擬真實的互聯網攻防過程。第三階段是支撐泛在網的大型虛實結合網絡空間靶場。由于“震網”、“火焰”等針對工控網的新型網絡攻擊突現， 網絡空間靶場的研究目標轉向實現虛實結合的網絡空間靶場技術。高校作為信息安全類人才培養的承擔者，亟需相應的實訓平臺，滿足教學、科研、實訓和社會培訓的相關工作。

2 關鍵技術研究

2.1 云計算技術

云計算是分布式計算、并行計算、效用計算、網絡存儲、虛擬化、負載均衡等傳統計算機和網絡技術發展融合的產物[3]。開源云計算管理平臺是構建實訓平臺的理想選擇，具有標準化和開放性的特點，能夠同時提高資源的統一管理與利用效率。OpenStack是業內主流的開源云計算管理平臺，具有標準統一、實施簡單、可大規模擴展的特性，便于用戶進行二次開發。

OpenStack包括計算服務nova、對象存儲swift、鏡像服務glance、認證服務keystone和控制臺horizon等核心功能[4]。Keystone模塊主要完成平臺的用戶、角色管理與權限分配。Swift模塊進行分布式存儲環境的搭建，具有較強的可擴展性。Glance模塊主要完成靶機的注冊、創建與使用。Nova模塊與Neutron、Cinder等模塊完成網絡靶場的構建。通過該設計，實現實訓平臺的快速部署與實施，滿足攻防環境的快速切換。

2.2 SDN技術

SDN即軟件定義網絡，是網絡虛擬化的一種實現方式。SDN通過將網絡設備控制面與數據面分離，實現網絡流量的靈活控制。通過OpenFlow技術，以圖形化方式自由拖拽各類網絡設備，模擬各種真實的目標場景、仿真各類網絡拓撲。用戶可以在該網絡空間靶場環境下，實現各類滲透測試訓練。

2.3 Docker技術

Docker是一個開源的應用容器引擎，開發者將應用以及依賴包打包到可移植的容器中，然后發布到任何流行的Linux機器上。與傳統KVM技術相比，Docker在宿主機器的操作系統上創建Docker引擎，直接在宿主主機的操作系統上調用硬件資源，而不是虛擬化操作系統和硬件資源，所以啟動速度快。同時，Docker共享同一個操作系統內核，占用資源遠小于虛擬機，便于輕量化部署。

3 網絡靶場的實現

根據高校教學與實訓的需求，網絡靶場由攻防實戰和綜合管理兩大模塊組成，并通過綜合管理云平臺進行統一管理。綜合管理模塊提供對于各類教學資源的管理與維護，如課程、模板、靶機、題庫等。攻防實戰模塊通過模擬真實環境，提供教學實訓、攻防對抗等主要功能[5]。

在教學實訓功能中，設置了網絡安全、主機安全、數據庫安全、應用安全、物聯網安全、工控安全等相關課程。并根據內容難度，對學習項目按照初、中、高進行分類。用戶可以按照能力層級進行自主學習，并記錄相關學習信息，便于學習者了解學習進度，教師也可掌握學生的成長軌跡。此外，教師可以通過該平臺提供的課程模板，靈活選取各類資源組建課程，滿足不同教師個性化的課程教學要求。

在攻防對抗功能中，用戶可以根據實際環境搭建仿真業務系統，也可以模擬外部互聯網業務系統場景，并通過Docker技術實現靶機的快速部署。根據測算，單個靶機占用的磁盤資源平均降低70%以上，占用的內存資源平均降低80%以上，啟動速度提高90%以上，適合大批量用戶同時開展實驗實訓。由于Docker技術對于windows系統支持不佳，因此現階段基于windows系統的靶機仍然采用傳統虛擬機方式。但該類靶機占整體靶機的不多，對于用戶使用效果影響較小。后續隨著Docker技術對windows平臺的兼容性的提高，可以解決上述問題。攻防對抗可以以個人或者小組方式進行，通過平臺可以實現整個攻防對抗過程的可視化實時展示，提高了趣味性和觀賞性。通過攻防對抗，可以讓學習者發現企業業務系統中存在的真實問題，進而分析解決辦法。

4 結束語

網絡空間安全靶場對于信息安全類人才培養具有十分重要的作用。本平臺使用云計算技術，具有易于擴展、部署靈活的特點。使用SDN技術，改變傳統平臺對于網絡技術的依賴，實現了網絡的虛擬化。通過docker技術，實現輕量化的系統部署，提高了實訓平臺的承載能力，降低了維護使用成本。通過網絡空間安全靶場建設，為高校提高學生實訓技能，培養學生攻防水平提供了解決辦法，為專業人才培養提供了有力的支撐。

【參考文獻】

[1]韓挺.網絡空間安全靶場設計研究[J].信息安全研究.2018（4）：430-432.

[2]方濱興，賈焰，李愛平，張偉哲.網絡空間靶場技術研究[J].信息安全學報.2016（03）：1-9.

[3]宣樂飛.基于云技術的網絡攻防實訓平臺設計與實現[J].計算機時代，2018（06）：26-28.

[4]韓衛國，徐明迪.面向賽博空間的網絡靶場建設思路[J]. 計算機與數字工程.2015（08）：1465-1470.

[5]宣樂飛.網絡空間安全實訓平臺的設計與實現[J].科技視界，2018（8）：36-37.

※基金項目：本文為杭州職業技術學院科研項目《網絡空間安全靶場設計與實現》（ky201921）的部分成果。

作者簡介：宣樂飛（1980—），男，浙江杭州人，講師，碩士，主要研究方向為網絡安全，職業教育。