網(wǎng)絡(luò)攻防技術(shù)與信息安全實(shí)驗(yàn)室建設(shè)構(gòu)想

劉東生

摘要：文章主要是對(duì)信息安全攻防實(shí)驗(yàn)室建設(shè)的相關(guān)內(nèi)容進(jìn)行闡述，包括建設(shè)的目標(biāo)和必要性以及研究領(lǐng)域等。實(shí)驗(yàn)室的建設(shè)構(gòu)想主要是從兩個(gè)方面進(jìn)行著重闡述的，即實(shí)驗(yàn)室的組建和功能兩方面，最終立足于與功能實(shí)現(xiàn)來(lái)對(duì)建設(shè)信息安全實(shí)驗(yàn)的意義進(jìn)行討論。

關(guān)鍵詞：信息安全；攻防技術(shù)；數(shù)據(jù)庫(kù)應(yīng)用；實(shí)驗(yàn)室組建

1 信息安全攻防實(shí)驗(yàn)室概述

1.1 目標(biāo)

信息安全實(shí)驗(yàn)室的建立主要是針對(duì)網(wǎng)絡(luò)攻防技術(shù)的應(yīng)用，主要是為了促使安全攻防實(shí)驗(yàn)在互聯(lián)網(wǎng)的應(yīng)用能夠順利實(shí)現(xiàn)，以便搞好互聯(lián)網(wǎng)應(yīng)用安全管理工作，展現(xiàn)出其中的威脅和漏洞，管理好安全風(fēng)險(xiǎn)的威脅、漏洞，做好培訓(xùn)和攻防實(shí)驗(yàn)，更好的針對(duì)信息系統(tǒng)做出安全測(cè)評(píng)，更好的針對(duì)生產(chǎn)系統(tǒng)做出滲透測(cè)試。

1.2 建立的必要性

為了更深刻的認(rèn)識(shí)信息安全威脅及其漏洞，就務(wù)必要針對(duì)信息安全促使其防范技能的不斷提高。因而很有必要將一個(gè)科學(xué)的信息安全實(shí)驗(yàn)室建立起來(lái)，作用主要有：針對(duì)某些特定領(lǐng)域集中管理信息安全威脅，以及對(duì)信息安全脆弱性的管理；可視化地對(duì)某些特定領(lǐng)域的信息安全威脅和脆弱性進(jìn)行再現(xiàn)或展示；根據(jù)需要將特殊的攻防演練環(huán)境搭建起來(lái)，支持信息安全攻防演練，尤其是某些有特定要求的；針對(duì)信息安全攻防技術(shù)，提供某些具有特定需求的培訓(xùn)、實(shí)驗(yàn)；進(jìn)行信息安全攻擊實(shí)驗(yàn)的展示，進(jìn)一步認(rèn)識(shí)信息安全；提供特殊的研究和學(xué)習(xí)實(shí)驗(yàn)平臺(tái)。

1.3 研究領(lǐng)域

信息安全包含著十分廣泛的領(lǐng)域，此次建設(shè)構(gòu)想主要涉及了四個(gè)方面：包括了網(wǎng)絡(luò)、主機(jī)、應(yīng)用以及數(shù)據(jù)庫(kù)等的安全領(lǐng)域。

2 信息安全攻防實(shí)驗(yàn)室組件

2.1 總體架構(gòu)

信息安全攻防實(shí)驗(yàn)室的組成主要包括了六個(gè)子系統(tǒng)，分別是網(wǎng)絡(luò)以及操作平臺(tái)，攻擊、檢測(cè)與防御、目標(biāo)等系統(tǒng)，還包括培訓(xùn)和展示平臺(tái)。其中的網(wǎng)絡(luò)平臺(tái)主要是對(duì)不同的實(shí)驗(yàn)網(wǎng)絡(luò)進(jìn)行仿真，同時(shí)對(duì)平臺(tái)進(jìn)行互聯(lián)。其中的操作平臺(tái)主要是用于攻守雙方的網(wǎng)絡(luò)操作，為系統(tǒng)操作提供一個(gè)終端，或是用于攻守雙方接入各自的自帶設(shè)備。攻擊系統(tǒng)主要是為攻擊方供給常用攻擊工具。檢測(cè)和防御系統(tǒng)主要是為防守方提供一個(gè)工具用來(lái)檢測(cè)和防御攻擊行為。目標(biāo)系統(tǒng)提供的是一個(gè)應(yīng)用系統(tǒng)用來(lái)提供仿真和數(shù)據(jù)庫(kù)系統(tǒng)等。培訓(xùn)與展示平臺(tái)主要是方便教官講課和進(jìn)行實(shí)驗(yàn)演示等。

2.2 網(wǎng)絡(luò)平臺(tái)

網(wǎng)絡(luò)平臺(tái)的組成部分主要包括：路由器、三層交換機(jī)、防火墻、二級(jí)交換機(jī)等。

2.3 操作平臺(tái)

操作平臺(tái)是為學(xué)員和攻防實(shí)驗(yàn)人員提供的終端系統(tǒng)主要用于學(xué)習(xí)和進(jìn)行實(shí)驗(yàn)。操作平臺(tái)可按照實(shí)驗(yàn)需要來(lái)劃分成兩個(gè)子系統(tǒng)，即防御與攻擊兩大操作平臺(tái)。其中防御操作平臺(tái)是為防守方提供一定的操作環(huán)境，攻擊操作平臺(tái)則是為攻擊方提供一定的操作環(huán)境。

2.4 攻擊系統(tǒng)

本實(shí)驗(yàn)室建設(shè)方案攻擊系統(tǒng)的組成包括兩部分，分別為漏洞掃描工具和攻擊工具系統(tǒng)，其中前者運(yùn)用的是Web應(yīng)用以及數(shù)據(jù)庫(kù)的弱點(diǎn)掃描器，此外還包括主機(jī)掃描器產(chǎn)品和第三方網(wǎng)絡(luò)；后者將多數(shù)常見(jiàn)攻擊工具都包括在內(nèi)，實(shí)驗(yàn)人員可借助軟件庫(kù)中的軟件來(lái)安裝自己所需的攻擊工具，從而作為自己的設(shè)備，或者是將這一系統(tǒng)中工作環(huán)境虛擬機(jī)開(kāi)啟，對(duì)其中的攻擊工具進(jìn)行直接的使用。一些常見(jiàn)的攻擊工具主要有BT5、CAIN和Netcat等等。

2.5 檢測(cè)與防御系統(tǒng)

2.5.1 防火墻

防火墻就是一種保護(hù)屏障，主要是用于內(nèi)外部分的網(wǎng)絡(luò)以及專(zhuān)用和公共網(wǎng)絡(luò)之間，組合部分包括了軟、硬件設(shè)備。這是一種比較形象的稱(chēng)呼，能夠取得一定的安全性。其體現(xiàn)了計(jì)算機(jī)硬軟件的良好結(jié)合，建立了一個(gè)存在于互聯(lián)網(wǎng)之間的安全網(wǎng)關(guān)，進(jìn)而內(nèi)部網(wǎng)受到保護(hù)，不再被非法用戶(hù)的隨意入侵。防火墻的構(gòu)成主要包括四個(gè)部分：分別是訪(fǎng)問(wèn)規(guī)則、包過(guò)濾、驗(yàn)證工具、應(yīng)用網(wǎng)關(guān)。

2.5.2 Web應(yīng)用防火墻

Web應(yīng)用防火墻主要是針對(duì)http/https，并據(jù)此執(zhí)行了一系列安全策略，從而為Web應(yīng)用進(jìn)行專(zhuān)門(mén)的保護(hù)?？傮w而言，Web應(yīng)用防火墻的功能主要包括四大方面：一是審計(jì)設(shè)備：主要是對(duì)全部http數(shù)據(jù)的截取或只是提供一些規(guī)則的服務(wù)會(huì)話(huà)；二是訪(fǎng)問(wèn)控制設(shè)備：主要是為了對(duì)Web應(yīng)用的訪(fǎng)問(wèn)進(jìn)行控制，這將主動(dòng)安全模式和被動(dòng)安全模式都包括在內(nèi)。三是架構(gòu)/網(wǎng)絡(luò)設(shè)計(jì)工具：在反向代理模式運(yùn)行狀態(tài)下，可進(jìn)行職能的分配、對(duì)基礎(chǔ)機(jī)構(gòu)的虛擬以及集中控制等等。四是Web應(yīng)用加固工具：促使Web應(yīng)用的安全性得到增強(qiáng)，不但能將Web應(yīng)用的固有弱點(diǎn)屏蔽掉，還可以對(duì)因編程錯(cuò)誤造成的安全隱患進(jìn)行保護(hù)。

2.5.3 網(wǎng)站安全監(jiān)測(cè)平臺(tái)

網(wǎng)站安全監(jiān)測(cè)平臺(tái)體現(xiàn)了軟硬件的一體化，借助遠(yuǎn)程監(jiān)測(cè)技術(shù)實(shí)時(shí)的監(jiān)測(cè)Web應(yīng)用，服務(wù)時(shí)間達(dá)7×24小時(shí)。經(jīng)過(guò)不間斷的檢測(cè)網(wǎng)站，進(jìn)而促使網(wǎng)站具有更強(qiáng)的安全防護(hù)能力和更好的服務(wù)質(zhì)量，借助平臺(tái)的事件跟蹤功能還可以將長(zhǎng)效安全保障機(jī)制建立起來(lái)。

2.6 目標(biāo)系統(tǒng)

目標(biāo)系統(tǒng)作為一種信息系統(tǒng)設(shè)施，擁有不同的漏洞。主要包括主機(jī)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)之類(lèi)。系統(tǒng)都是運(yùn)用了虛擬化技術(shù)，借助設(shè)計(jì)來(lái)合理的排布一些常見(jiàn)漏洞，使其進(jìn)入虛擬機(jī)系統(tǒng)中，同時(shí)固化這些虛擬機(jī)系統(tǒng)，使其成為一個(gè)映像，借助重啟可至原始狀態(tài)。

3 信息安全攻防實(shí)驗(yàn)室功能

3.1 信息安全攻防對(duì)抗演習(xí)

信息安全攻防實(shí)驗(yàn)室建設(shè)構(gòu)想可以進(jìn)行信息安全攻防對(duì)抗演習(xí)，由攻防雙方進(jìn)行的攻防演習(xí)主要是在仿真平臺(tái)上加以應(yīng)用。攻方可以借助所有可用的手段或工具來(lái)進(jìn)攻目標(biāo)系統(tǒng)。而防御方則可借助檢測(cè)和防御系統(tǒng)來(lái)抵御，同時(shí)防御攻擊的手段還包括安全加固信息系統(tǒng)。信息安全攻防對(duì)抗演習(xí)作為一項(xiàng)很有實(shí)效的方法，主要是用于對(duì)安全防御和攻擊的能力進(jìn)行評(píng)估，還可以很好的驗(yàn)證信息系統(tǒng)是否安全。

3.2 安全驗(yàn)證

安全驗(yàn)證針對(duì)的信息系統(tǒng)，主要是對(duì)其進(jìn)行全生命周期的安全測(cè)評(píng)。其涵蓋的工作內(nèi)容主要是相關(guān)的測(cè)評(píng)工作，涉及信息系統(tǒng)的驗(yàn)收測(cè)試、上線(xiàn)前和生產(chǎn)環(huán)境中的測(cè)評(píng)。就信息系統(tǒng)上線(xiàn)前的測(cè)評(píng)工作來(lái)說(shuō)，主要是為了在投運(yùn)系統(tǒng)前、升級(jí)改造后，可以全面的進(jìn)行運(yùn)行環(huán)境的安全測(cè)評(píng)，同時(shí)對(duì)其安全加固進(jìn)行協(xié)助，從而確保系統(tǒng)上線(xiàn)運(yùn)行的時(shí)候能夠使有關(guān)安全要求得到滿(mǎn)足。

3.3 滲透測(cè)試

要想針對(duì)生產(chǎn)系統(tǒng)采取風(fēng)險(xiǎn)評(píng)估，就有必要對(duì)其開(kāi)展?jié)B透測(cè)試。而信息安全攻防實(shí)驗(yàn)室創(chuàng)設(shè)了這樣一個(gè)接口，測(cè)試人員可借助實(shí)驗(yàn)室的攻擊系統(tǒng)來(lái)采取滲透測(cè)試，還可借助攻擊系統(tǒng)來(lái)監(jiān)控和評(píng)估這一測(cè)試。文中提出的信息安全攻防實(shí)驗(yàn)室構(gòu)想這方面比較完善，有的接口可以直接連接Internet網(wǎng)絡(luò)，滲透測(cè)試工程師可借助實(shí)驗(yàn)室提供一些工具來(lái)進(jìn)行滲透測(cè)試，諸如應(yīng)用系統(tǒng)弱點(diǎn)以及數(shù)據(jù)庫(kù)弱點(diǎn)的掃描器等攻擊工具。借助實(shí)驗(yàn)室來(lái)針對(duì)生產(chǎn)系統(tǒng)開(kāi)展?jié)B透測(cè)試，其具有兩點(diǎn)益處：第一，實(shí)驗(yàn)室具有較為齊全的掃描和測(cè)試工具；第二，實(shí)驗(yàn)室擁有不同的信息安全的漏洞以及威脅，還包括了驗(yàn)證實(shí)驗(yàn)環(huán)境。這些條件對(duì)實(shí)施滲透測(cè)試工作是非常有幫助的。

3.4 信息安全及網(wǎng)絡(luò)技術(shù)培訓(xùn)

信息安全攻防實(shí)驗(yàn)室可創(chuàng)造良好的教學(xué)培訓(xùn)平臺(tái)，這是在虛擬化技術(shù)基礎(chǔ)上建立的平臺(tái)，可以進(jìn)行專(zhuān)業(yè)的攻防演練，還擁有專(zhuān)門(mén)的考試系統(tǒng)。借助這一系統(tǒng)，可以對(duì)攻防過(guò)程加深理解，從而促使技術(shù)人員更好的提高自身的安全技能。這一系統(tǒng)能夠借助大屏幕來(lái)為觀摩的人員展示攻防的過(guò)程，從而為其參觀和考察提供方便，還能錄制攻防過(guò)程的實(shí)況以及進(jìn)行實(shí)況回放。該平臺(tái)對(duì)有關(guān)信息安全技術(shù)的培訓(xùn)和考試很有幫助，要與相關(guān)培訓(xùn)活動(dòng)相結(jié)合，諸如仿真系統(tǒng)安全防護(hù)演練等。對(duì)于信息安全人才的培養(yǎng)來(lái)說(shuō)是很有幫助的，可進(jìn)行信息安全意識(shí)教育和競(jìng)賽等活動(dòng)。此次構(gòu)想的教學(xué)培訓(xùn)平臺(tái)還會(huì)創(chuàng)設(shè)一個(gè)考試與驗(yàn)證的功能給學(xué)員提供便利，教官也能夠借助系統(tǒng)這一平臺(tái)來(lái)評(píng)價(jià)學(xué)員的實(shí)驗(yàn)。

3.5 信息安全威脅與漏洞概念驗(yàn)證

通常我們易理解信息和信息技術(shù)存在安全風(fēng)險(xiǎn)。然而普遍人員往往對(duì)于威脅和信息技術(shù)的脆弱性無(wú)法直觀的體會(huì)和了解。攻防演練平臺(tái)可以很好的驗(yàn)證信息安全威脅和漏洞的概念。對(duì)于攻擊路徑和具體操作方法也能通過(guò)比較直觀的方式呈現(xiàn)出來(lái)。借助攻防平臺(tái)形象直觀的演示，能夠促使參觀人員對(duì)于一些抽象的內(nèi)容更直觀的了解，諸如威脅、脆弱性、作用原理等等。

4 結(jié)語(yǔ)

總之，文章提出建設(shè)信息安全實(shí)驗(yàn)室主要是借助了網(wǎng)絡(luò)攻防技術(shù)；主要是致力于研究Web應(yīng)用以及數(shù)據(jù)庫(kù)的安全，從而將必要的科研環(huán)境創(chuàng)造出來(lái)，為相關(guān)安全研究提供方便，諸如Web應(yīng)用、數(shù)據(jù)庫(kù)和主機(jī)等的安全研究。希望最終能夠有相關(guān)工作的開(kāi)展提供一定的借鑒。