建設基于云計算環(huán)境下的攻防演練平臺

隨著互聯(lián)網、專用網絡化信息系統(tǒng)和各種網絡應用的普及，信息安全已成為關系到國家政治、國防、社會的重要問題。

筆者所在地區(qū)于2012建成了地方云計算中心，目前該中心承載了百余個黨政機關、企事業(yè)單位網站和應用系統(tǒng)，重要程度不言而喻，以前安全隱患是分散的，現在集中在一起，風險巨大，萬一發(fā)生信息安全事件，后果不堪設想，所以必須加強安全防護和管理。

根據相關文件精神，各地、各部門應采取定期和不定期相結合的形式，組織開展網絡與信息安全應急演練。該文件規(guī)定提供7*24小時不間斷服務的重要網絡信息系統(tǒng)每年應至少組織一次演練。通過定期攻防演練來驗證云計算中心安全防護措施的有效性是一種有效可行的技術手段。定期的攻防演練要在不影響正常業(yè)務的情況下來進行，需要搭建一個模擬的環(huán)境即攻防演練平臺，在平臺上進行模擬攻防演練。

攻防演練平臺概述

目前有廠商可以提供以“學、練、賽、測”為一體的全方位信息安全攻防演練平臺，以攻擊步驟為線索向學員介紹黑客攻擊各階段常用的攻擊方法和原理，以及對相應網絡攻擊的防護策略和手段，涵蓋網絡技術、操作系統(tǒng)、數據庫技術、Web應用、手機應用、無線應用在內的全方位漏洞技術研究，內含攻防平臺、知識庫、漏洞分析庫、工具集、課件系統(tǒng)等。

有的科研院校采用PC機、交換機、防火墻組網，使用虛擬化技術搭建網絡攻防演練平臺，該平臺主要用于教學目的，具有教學演示、攻擊實驗和攻擊演練的功能。教學演示由Web服務器、流媒體和備份服務器組成，具有課件、學生管理、在線問答、作業(yè)提交等功能。

也有采用蜜網技術來構建以攻防實驗為主要目的的網絡攻防平臺。使用交換機、PC機組成局域網，采用VMware軟件部署虛擬機，安裝虛擬蜜罐操作系統(tǒng)，部署Web服務器、郵件服務器、FTP服務器等。該試驗平臺具有數據控制、重定向和數據捕獲功能。

攻防演練平臺設計

1.總體架構

攻防演練平臺總體架構如圖1所示。

通過MPLS VPN技術單獨劃分一個功能區(qū)，即攻防演練區(qū)。使用云計算環(huán)境下的軟件硬件，包括防火墻、IDS、IPS、存儲、刀片、交換機、數據庫等。

2.攻防演練平臺軟硬件環(huán)境

（1）主機。通過VMware vspere將刀片服務器虛擬化，形成資源池，分配虛擬機，制作系統(tǒng)模版，如：Microsoft Windows 2008 Server、Windows XP professional、Windows 7、Redhat Linux等常用系統(tǒng)。制作模版后，方便虛機部署。

（2）網絡。通過BGP/MPLS VPN技術將云計算中心的網絡劃分為不同的功能區(qū)，為該平臺獨立劃分功能區(qū)，即攻防演練區(qū)，保證和核心業(yè)務應用邏輯隔離。

（3）防火墻。通過防火墻設置阻斷策略，進行訪問控制，保護核心業(yè)務應用安全。

（4）日志審計。通過收集主機、網絡、安全設備的日志，來分析來自外部和內部的攻擊。

（5）漏洞掃描系統(tǒng)。在攻防演練區(qū)部署漏洞掃描系統(tǒng)，可以對新上線系統(tǒng)進行安全評估，分析系統(tǒng)的漏洞情況。

3.攻防演練平臺功能

（1）模擬攻擊功能

常見的網絡攻擊包括：拒絕服務攻擊、后門攻擊、漏洞攻擊、網絡掃描竊聽、網絡釣魚、干擾等。攻防演練平臺要實現各種常見的網絡攻擊功能，能夠提供豐富的攻擊工具，使該平臺能開展日常的應急演練。

模擬攻擊功能是在虛機上部署攻擊應用程序或者專用工具來實現模擬攻擊功能。可以分配多個虛機來部署不同的攻擊程序和攻擊工具，但是這些攻擊程序和攻擊工具不能用來攻擊真正的業(yè)務環(huán)境，只能攻擊攻防演練功能區(qū)內的服務器和網絡；可以在刀片服務器上劃分一個特定的集群，分配一些虛機，用來部署虛擬蜜罐，收集來自互聯(lián)網、網內以及攻防演練區(qū)的攻擊日志，分析這些攻擊行為，根據這些日志來強化、細化現有的安全策略。

（2）日志分析功能

攻防演練區(qū)的虛機、網絡設備的日志都推送到綜合日志審計系統(tǒng)上，入侵檢測系統(tǒng)（IDS）、防火墻、入侵防御系統(tǒng)（IPS）等安全設備的日志也推送到綜合日志審計系統(tǒng)。

查看主機日志，可以了解主機CPU利用率、內存使用率、帶寬利用率、硬盤空間大小等信息，可以判定是否主機存在異常，是否遭到攻擊；可以查看網絡設備日志，分析流量是否異常，判定是否遭到DDoS攻擊、SYN泛洪攻擊等；也可以分析IDS日志，判定有無來自內部的攻擊；查看分析IPS日志，發(fā)現有惡意攻擊，可以通過策略阻斷攻擊；查看防火墻日志，通過訪問控制來限制攻擊源；在攻防演練區(qū)部署多個蜜罐，從而形成虛擬蜜網，通過和IPS、IDS、防火墻的聯(lián)動，用來捕獲攻擊數據，分析這些日志信息，來優(yōu)化、細化、強化安全設備的策略。

（3）系統(tǒng)上線測試功能

新開發(fā)的系統(tǒng)，不能直接部署在真實的業(yè)務環(huán)境中，需要在模擬環(huán)境中進行測試，如壓力測試、代碼審計、漏洞掃描等才可以在真正的業(yè)務環(huán)境中上線運行。

因此，在攻防演練區(qū)部署虛機，用于系統(tǒng)上線測試，經過壓力測試、代碼審計、漏洞掃描等安全測試后，通過VMware的vMotion功能將應用系統(tǒng)的虛機遷移到業(yè)務區(qū)的刀片服務器上。

（4）數據庫恢復演練功能

為確保業(yè)務系統(tǒng)的應用及數據安全，檢驗現有備份機制的完善性和有效性，對突發(fā)事件能在最短時間內采取有效措施，需要對數據庫備份與恢復進行了應急演練。演練不能在真實環(huán)境中進行，在攻防演練區(qū)搭建模擬環(huán)境，分配虛機，安裝數據庫等應用程序。云計算中心的備份手段有虛擬機快照、存儲快照、NBU（NetBackup）備份虛擬機、NBU備份文件目 錄、Export導 出、NBU備份Oracle數據庫等。

圖2 攻擊前查看TCP三次握手情況

圖3 攻擊開始階段TCP三次握手不正常結果

圖4 點擊快照時間點

圖5 執(zhí)行快照恢復

攻防演練實驗

1.DDoS攻擊實驗

在攻防演練區(qū)部署虛機，在虛機上安裝攻擊軟件，攻擊前查看TCP三次握手情況，如圖2所示。

攻擊開始，如圖3所示，只有TCP三次握手的第一階段，而且是連續(xù)的。明顯不是正常的三次握手。

2.虛機恢復實驗

虛機快照是虛擬機磁盤文件（VMDK）在某個點即時的復本。當系統(tǒng)崩潰或系統(tǒng)異常時，可以通過快照來恢復虛機系統(tǒng)。

實驗步驟如下：

（1）查看虛擬機當前快照；

（2）確認恢復到哪個快照時間點，點擊快照時間點（如圖4所示）；

（3）執(zhí)行快照恢復（如圖5所示）。點擊“轉到”，選擇“是”即可恢復到某個時間點。

3.數據庫恢復實驗

數據庫備份采用兩種方式EXPDP導出和NBU備份。

EXPDP導出是利用Oracle自帶的功能，將Oracle數據庫中的數據導出成一個備份文件，實現Oracle數據庫的邏輯備份。NBU備份是使用NBU軟件對Oracle RMAN備份的數據文件進行備份(備份至磁帶)，實現Oracle數據庫的物理備份。

實驗步驟如下：

（1）查看成功的備份文件，進入NBU catalog確認備份文件存在。

（2） 進 入 power shell，確認控制文件存在，如圖6所示。

（3）登錄恢復目標庫，進入RMAN模式，利用初始化文件啟動目標恢復庫到nomount狀態(tài)，如圖7所示。

（4）進入 RMAN，利用第powershell下找到的控制文件恢復數據庫的控制文件，如圖8所示。

（5）啟動數據庫到mount狀態(tài)，如圖9所示。

（6）恢復數據庫的數據文件，如圖10所示。

（7）打開數據庫，alter database open resetlogs；查看數據庫狀態(tài)；查看數據庫當前狀態(tài)、數據文件大小、表空間大小、用戶數、表數，確認是否與生產庫一致，如圖11所示。

圖6 進入powershell 確認控制文件存在

圖7 啟動目標恢復庫到nomount狀態(tài)

圖8 恢復數據庫的控制文件

圖9 啟動數據庫到mount狀態(tài)

圖10 恢復數據庫的數據文件

圖11 查看數據庫狀態(tài)

總結與展望

本文通過介紹現有的產品級攻防演練平臺和大學教學實驗型的攻防演練平臺的基礎上，利用單位現有的云計算環(huán)境搭建了攻防演練平臺，可以用于模擬攻擊實驗、日志分析、系統(tǒng)上線安全測試和數據庫備份恢復演練等。

通過實際測試、演練，該平臺基本滿足了云計算中心日常攻防演練的需求。為提高單位工作人員的信息安全意識，提升信息安全技術水平，可以購買專業(yè)的產品級攻防演練平臺（設備），通過在線學習和實際操作將網絡安全培訓和網絡攻防實操結合起來，進一步加強單位信息安全人才的培養(yǎng)，再通過云計算環(huán)境的攻防演練平臺進行攻防演練，以檢驗云計算中心的安全防護措施的有效性，和不斷完善安全策略，保障云計算中心的安全運行。